YARA: Wie man schwarze Schwäne voraussagt und fängt

Es ist schon lange her, dass die Menschheit ein Jahr wie dieses hatte. Ich glaube nicht, dass ich jemals ein Jahr mit einer so hohen Konzentration von schwarzen Schwänen verschiedener Arten und Formen erlebt habe. Und ich meine nicht die Art von Schwänen mit Federn: Ich beziehe mich damit auf unerwartete Ereignisse mit weitreichenden Folgen. Die Theorie stammt von Nassim Nicholas Taleb, die in seinem im Jahr 2007 veröffentlichten Buch Der Schwarze Schwan: Die Macht höchst unwahrscheinlicher Ereignisse behandelt wird. Einer der Hauptgrundsätze der Theorie basiert auf der Annahme, dass überraschende, schwerwiegende Ereignisse, die bereits eingetreten sind, im Nachhinein offensichtlich und vorhersehbar erscheinen. Doch ehe sie geschehen, sagt sie niemand voraus.

Ein Beispiel: der schreckliche Coronavirus, der die Welt seit März unter Verschluss hält. Es stellt sich heraus, dass eine ganze Corona-Virenfamilie existiert und dass regelmäßig neue Stränge gefunden werden. Katzen, Hunde, Vögel, Fledermäuse und Menschen können sich mit den Viren anstecken. Bei uns verursachen einige Coronaviren gewöhnliche Erkältungen. Andere manifestieren sich jedoch… anders. Deshalb müssen wir für sie Impfstoffe entwickeln, wie wir sie auch für andere tödliche Viren wie Pocken, Polio und andere getan haben. Sicher, aber ein Impfstoff kann nicht immer viel helfen. Schauen Sie sich die Grippe an, wir haben immer noch keinen Impfstoff und das seit… unzähligen Jahrhunderten? Wie dem auch sei, selbst um einen Impfstoff zu entwickeln, muss man wissen, wonach man sucht, und das ist offensichtlich mehr Kunst als Wissenschaft.

Also, warum erzähle ich Ihnen das? Nun, wenn ich schreibe, wird es wohl zwangsläufig entweder mit Cybersicherheit oder exotische Reisen zu tun haben. Heute handelt es sich jedoch um Ersteres.

Eine der gefährlichsten Cyber-Bedrohungen unserer Zeit sind Zero-Day-Schwachstellen. Hierbei handelt es sich um seltene, (u. a. für Cyber-Sicherheitsexperten) unbekannte Schwachstellen in Software, die großflächige Schäden anrichten können. Die Zero-Day-Schwachstellen neigen aber dazu, solange unentdeckt zu bleiben, bis sie entweder für Angriffe ausgenutzt werden oder vorher entdeckt und gepatcht werden.

Cybersicherheitsexperten haben jedoch Tools, um mit solchen Unsicherheiten umzugehen und schwarze Schwäne vorherzusagen.

In diesem Beitrag möchte ich über ein solches Hilfsmittel sprechen: YARA.
YARA unterstützt die Malware-Erforschung und -Erkennung durch die Identifizierung von Dateien, die bestimmte Bedingungen erfüllen. Es bietet einen regelbasierten Ansatz zur Erstellung von Beschreibungen von Malware-Familien auf der Grundlage von Text- oder Binärmustern. (Das klingt kompliziert, deshalb erkläre ich es Ihnen). Daher wird es zur Suche nach ähnlicher Malware durch die Identifizierung von Mustern eingesetzt. Man möchte damit bestimmte Schadprogramme aufdecken, die so aussehen, als seien sie von denselben Machern und für ähnliche Ziele konzipiert worden.

Costin Raiu von GReAT untersuchte den geleakten E-Mail-Verkehr von Hackern Teams und erstelle aus dem Nichts eine YARA-Regel zusammen, die einen Zero-Day-Angriff entdeckte.

Nun, wenden wir uns einer anderen Metapher zu. Und da ich ja schon über schwarze Schwäne gesprochen habe, möchte ich eine weitere Wasser-basierte Metapher verwenden: das Meer.

Nehmen wir an, Ihr Netzwerk wäre der Ozean, der voll von Tausenden von Fischarten ist. Sie sind ein Industriefischer, der mit seinem Schiff auf dem Meer unterwegs ist und riesige Netze auswirft, um die Fische zu fangen. Für Sie als Fischer sind aber nur bestimmte Fischarten von Interesse (bei den Fischarten handelt es sich um Malware von bestimmten Hackergruppen). Nun, das Netz ist besonders, da es quasi Trennwände besitzt und nur Fische einer bestimmten Fischart (also nur bestimmte Malware-Merkmale) in jeder dieser Kammern gefangen wird.

Am Ende Ihres Seegangs haben Sie eine Menge Fische, die alle innerhalb des Netzes sortiert sind. Einige gefangene Exemplare haben Sie noch nie zuvor gesehen (neue Malware-Proben). Aber wenn Sie sich Ihren sortierten Fang ansehen, können Sie diesen neuen Fisch mit den sonst üblichen Fischen vergleichen: „Sieht aus wie Fisch [Hackergruppe] X aus“ oder „Sieht aus wie Fisch [Hackergruppe] Y aus“.

Dieser Artikel bezieht sich auf einen Fall, der die Fisch/Fischerei-Metapher gut veranschaulicht. Im Jahr 2015 spielte unser YARA-Guru und Chef von GReAT, Costin Raiu, den Cyber-Sherlock, um einen Exploit in Microsofts Silverlight-Software zu finden. Ich empfehle Ihnen, diesen Artikel zu lesen, dennoch resümiere ich kurz den Sachverhalt: Raiu untersuchte sorgfältig den geleakten E-Mail-Verkehr zwischen Hackern, um daraus praktisch wie aus dem Nichts eine YARA-Regel zusammenzustellen. Diese trug dazu bei, die Schwachstelle zu finden und so die Welt vor großen Problemen zu schützen. (Die geleakte E-Mail-Korrespondenz wurde von der italienischen Firma HackingTeam zur Verfügung gestellt. Hierbei handelt es sich um Hacker, die böse Hacker hacken!)

Und was diese YARA-Regeln angeht…

Wir lehren seit Jahren die Kunst der Erstellung von YARA-Regeln. Die Cyber-Bedrohungen, die durch YARA entdeckt werden, sind ziemlich komplex. Deshalb haben wir die Kurse immer vor Ort, persönlich, offline und nur für eine kleine Gruppe von Spitzenforschern im Bereich der Cybersicherheit durchgeführt. Natürlich ist das Abhalten der Offline-Schulung seit März wegen der verschiedenen Distanzierungsmaßnahmen sehr schwierig geworden, aber die Notwendigkeit der Ausbildung ist kaum verschwunden, und wir haben in der Tat keinen Rückgang des Interesses an unseren Kursen festgestellt.

Die Kursabsolventen erhalten ein Zertifikat, das ihren neuen Status als YARA-Ninja bestätigt. Frühere Absolventen sind der Meinung, dass dies ihrer beruflichen Karriere zugute kam.

Das ist natürlich selbstverständlich: Cyber-Bösewichte denken sich immer raffiniertere Angriffe aus, erst recht, wenn sie zuhause eingesperrt sind. Dementsprechend wäre es schlichtweg falsch gewesen, unser spezielles YARA-Know-How während der Quarantäne für uns zu behalten. Deshalb haben wir uns entschlossen, (1) unser Trainingsformat auch online anzubieten und (2) es für jeden zugänglich zu machen. Es ist nicht kostenlos, aber für einen solchen spezialisierten Kurs ist der Preis sehr wettbewerbsfähig und auf Marktniveau.

 

Wir stellen vor:

Jagen Sie APTs mit YARA wie ein GReAT Ninja.

 

Was noch? Ah, ja.

Angesichts der anhaltenden virenbedingten Probleme auf der ganzen Welt unterstützen wir weiterhin die Menschen, die an vorderster Front kämpfen. Seit dem Beginn der Corona-Pandemie vergeben wir kostenlose Lizenzen im Gesundheitsbereich. Jetzt wollen wir auch einer Vielzahl von gemeinnützigen NGOs einbinden, die in verschiedenen Bereichen für Rechte einstehen oder sich dafür einsetzen, den Cyberspace zu einem besseren Ort zu machen. Für sie wird unsere YARA-Schulung kostenlos sein (hier finden Sie eine Gesamtübersicht der NGOs).

Warum? Weil NGOs mit sehr sensiblen Informationen arbeiten, die bei gezielten Angriffen gehackt werden können. Nicht alle NGOs können sich den Luxus einer dezidierte IT-Sicherheitsabteilung leisten.

Online-Cybersicherheitstraining: Interaktive Praxis mit der YARA-Regel

 

Kurzbeschreibung des Kurses:

  • 100% online, selbstgesteuertes Lernen. Sie können den Kurs intensiv an ein paar Abenden oder über einen Monat verteilt absolvieren.
  • Eine Kombination aus Theorie und praktischen Aufgaben. Es gibt ein virtuelles Labor zur Schulung im Schreiben von Regeln und zur Suche nach Malware-Beispielen in unserer Sammlung.
  • Praktische Übungen anhand Fallbeispielen echter Cyberspionage-Angriffe.
  • Ein Modul über die Kunst der Recherche nach etwas Unbekanntem, wenn die Intuition auf ein verstecktes Cyberübel hinweist, aber man nicht genau weiß, wo es sein könnte.
  • Ein Abschlusszertifikat, das Ihren neuen Status als YARA-Ninja bestätigt. Frühere Absolventen bestätigten uns, dass das Zeugnis der Karriere hilft.

Online-Übung Cybersicherheit: BlueTraveller

Die Katze ist aus dem Sack: Ein weiteres äußerst nützliches Tool in Ihrem Repertoire zur Bekämpfung hoch entwickelter Cyber-Bedrohungen. In der Zwischenzeit geht hier bei K alles wie gewohnt weiter. Wir setzen unsere Cyber-Detektivarbeit fort, damit wir noch mehr von unserem allerneuesten Know-how und unserer praktischen Erfahrung im Kampf gegen das Böse weitergeben können.

Cybernachrichten der dunklen Seite: Ungeahnte Schwachstellen, Angriffe als Dienstleistung und spaceOS

Der erste Sommermonat in der Quarantäne: Überlebt! Und auch wenn es jetzt so scheint, als ob das Leben wieder langsam zurückkommt, haben wir uns bei K dafür entschieden, keine Risiken einzugehen. Wir arbeiten praktisch permanent im Homeoffice. Das heißt aber nicht, dass wir weniger effektiv arbeiten, denn wir arbeiten weiterhin effizient und sorgfältig, da die Cyberkriminalität weiterhin ihr Unwesen treibt. Tatsächlich hat sich das globale Bedrohungsbild in der letzten Zeit nicht wesentlich zum Besseren verändert, denn die Cyberkriminellen haben jeden Tag neue Tricks auf Lager. Hier einige Angriffe, die letzten Monat stattfanden.

Zero-Day-Schwachstelle im doch „so sicheren“  linuxbasierten Tails OS.

Facebook weiß sicherlich, wie man Geld ausgibt. Es stellt sich nämlich heraus, dass Facebook eine sechsstellige Summe für das Sponsoring eines Zero-Day-Exploits im Betriebssystem Tails (=Linux, aber mit zahlreichen Privatsphärefunktionen) an eine FBI-Untersuchung bezahlt hat, die folglich zur Verhaftung eines Pädophilen geführt hat. Es war schon vorher bekannt, dass dieser paranoide Geistesgestörte dieses besonders sichere Betriebssystem benutzte. Der erste Schritt von Facebook nutzte die immense Kontenmapping-Kraft, um alle Accounts, die der Kriminelle nutzte, zu verknüpfen. Dieser Cybersieg verhalf jedoch nicht zu einer genauen Anschrift. Offenbar haben sie die Entwicklung eines Exploits für einen Videoplayer in Auftrag gegeben. Die Wahl war klug, da er die Videos seiner Opfer auf dem selben Rechner bestellen, downloaden und sehen würde.

Informationen zufolge wurden die Entwickler von Tails nicht über die ausgenutzte Schwachstelle informiert, aber es stellte sich heraus, dass sie schon bereits gepatcht war. Die Mitarbeiter des Unternehmens sind sich all dessen bewusst, aber es ist klar, dass dies nicht die beste Publicity für sie ist

Es besteht immer noch die Hoffnung, dass dieser Exploit einzigartig und ausschließlich dem Fangen des Verbrechers gewidmet war und dass sich dies bei keinem normalen Benutzer wiederholen wird.

Die Schlussfolgerung: Egal wie sicher ein Linux-basiertes Projekt ist, es gibt keine Garantie dafür, dass es keine Schwachstellen enthält. Um dies zu gewährleisten, ist es notwendig, alle grundlegenden Arbeitsprinzipien und die Architektur des gesamten Betriebssystems zu überprüfen. Eine gewagte gute Gelegenheit, kurz auf das hier zu verweisen.

Angriffe als Dienstleistungen

Hier eine weitere Geschichte über maßgeschneiderte Cyberboshaftigkeit. Die (angeblich indische) Cyberkriminellengruppe Dark Basin ist auf frischer Tat ertappt worden. Diese Gruppe ist für mehr als tausend Angriffe verantwortlich, für die sie angeheuert wurden. Zu ihren Angriffszielen gehören Bürokraten, Journalisten, politische Kandidaten, Aktivisten, Investoren und Geschäftsleute aus mehreren Ländern. Interessanterweise verwendeten die Cyberkriminellen in Delhi wirklich einfache und primitive Tools: Zuerst erstellten sie Phishing-E-Mails, in der sie sich als Kollegen oder Freunde ausgaben, dann imitierten sie Google News-Nachrichten und versendeten die Links per Direktnachricht in Twitter, oder verwendeten Phishing-Seiten, die genau so aussahen, wie ihr offizielles Pendant. Alle aufgezählten Angriffe nur für einen Zweck: Anmeldedaten. Mit den Anmeldedaten in der Tasche plunderten sie alles, was ihnen in die Quere kam. Sie lesen richtig! Ohne Malware, ohne komplexe Exploits!  Und übrigens: Es scheint, als ob die Auftraggeber den Verbrechern nützliche Informationen über das Opfer zugespielt haben.

Cyberkriminalität auf Anfrage! Extrem beliebt und seit Jahrzehnten existent. In diesem Fall übertrafen sich die Cyberkriminellen jedoch selbst, indem Sie Tausende von Treffern auslagerten.

SpaceX, Starlink, Linux …

Haben Sie sich jemals gefragt, welches Betriebssystem und welche Software SpaceX verwendet? Nun, erst vor kurzem haben wir es herausgefunden: Intel-basiertes Linux! Und die Logik der eingebetteten Software ist in C/C++ geschrieben.

Andererseits verwendet das große Satellitennetzwerkprojekt Starlink einen gepatchten PREEMPT_RT Echtzeit-Kernel, damit das Betrieb in harter Echtzeit besser funktioniert.

Der Gründer von Linux, Linus Torvalds, sagte dazu etwas Interessantes: „Einen Laser mit Linux zu steuern, ist verrückt, aber jeder in diesem Raum ist ein wenig verrückt. Wenn Sie jedoch einen Schweißlaser unter Linux steuern wollen, empfehle ich Ihnen die Verwendung von PREEMPT_RT„. Und es stellt sich heraus, dass die Ingenieure von SpaceX damit Treiber für ihre Raumfahrt-Hardware schreiben. Und was die Sicherheit von Starlink betrifft, so verspricht sie eine Ende-zu-Ende-Verschlüsselung, um das Risiko für Benutzerdaten, Angriffe auf einen Satelliten oder Gateways zu verringern. Darüber hinaus wird nur signierte SpaceX-Software verwendet. Aber die Hauptsache ist, dass es unter Linux Möglichkeiten gibt, eine unzuverlässige Datei mit Hilfe einer zuverlässigen Datei zu starten…

Insgesamt ist an dieser Geschichte nichts Überraschendes. In der Vergangenheit wurden Betriebssysteme speziell für ein Projekt entwickelt, während es heute keinen solchen Bedarf gibt. Linux ist einfacher und billiger. Übrigens: Die ISS läuft seit langem auf einem Linux-Klon. Ich frage mich, welche Software andere Weltraumprogramme wohl benutzen…

 

Flickr Foto-Stream

  • F1 Grand Prix Turkey 2020
  • F1 Grand Prix Turkey 2020
  • F1 Grand Prix Turkey 2020
  • F1 Grand Prix Turkey 2020

Instagram

Cybersicherheit: Wie alles begann – Teil 6: Die Medien

Letzte Woche wurde mir klar, dass ich mich schon ein ganzes Vierteljahr lang in Quarantäne befand. Drei Monate saß ich zu Hause, mit nur ein paar kurzen Ausflügen in das verlassene Büro, plus jedes Wochenende in der Datscha mit der Familie. Wie für alle von uns war es kein außergewöhnlicher Alltag. Für mich hieß es: keine Flugzeuge oder Flughäfen, keine Hotels, keine Geschäftsreisen oder Reden: kurz gesagt – sehr wenig Reisen.

Aber alles ist relativ: In drei Monaten hat die Menschheit über 230 Millionen Kilometer zurückgelegt (ein Viertel einer vollen Umlaufbahn der Erde um die Sonne)! Und das ohne die Berücksichtigung der Tatsache, dass sich das Sonnensystem selbst sich mit einer verrückten Geschwindigkeit fortbewegt. Eine Sache, die sich seit dem Beginn der Quarantänemaßnahmen nicht wirklich geändert hat, sind die Geschäftstreffen. Die wurden einfach alle online abgewickelt. Ah ja, alle unsere Geschäfte laufen wie gewohnt ab, unabhängig von biologischen Viren 😉 .

Aber genug vom Quarantäne-Talk. Sie sind es wahrscheinlich sowieso leid, etwas im Zusammenhang mit Corona zu hören. Dementsprechend setze ich heute meine Anekdoten aus der Cyber-Vergangenheit fort. Dieses Mal möchte ich über die vergangenen Interviews mit Zeitungen, Zeitschriften, Radio, Fernsehen und verschiedenen anderen öffentlichen Auftritten schreiben. Der Gedanke kam mir erst dank meiner CeBIT-Erinnerungen (Teil 4) und die dazugehörige Interview-Hölle. Und es stellt sich heraus, dass ich Ihnen vieles über meine Erfahrungen mit den Medien und meinen öffentlichen Auftritten als Redner zu berichten habe. Vieles davon ist lustig und ungewöhnlich! Wie schon in den vorherigen Teilen zeige ich Ihnen auch ein paar Fotos :).

Und es werden auch alle möglichen unterschiedlichen Größen und Geschmacksrichtungen von Mediengeschichten auftauchen: von Reden in praktisch leeren Hallen bis hin zu überfüllten Stadien! Von unbekannten winzigen lokalen Medienpublikationen bis hin zu globalen Medienschwergewichten der Spitzenklasse! Von professionellen Vorträgen an führenden Universitäten bis hin zu informellen Vorträgen über die Wunder der Arithmetik auf einem Schiff, das über die Drake-Passage in die… Antarktis fuhr! Eugene ist der Name; das Unerwartete, meine Spezialität :).

Fangen wir also ganz am Anfang an…

Irgendwie habe ich von Anfang an, also in den frühen 90er-Jahren, intuitiv die Bedeutung und Notwendigkeit von PR-Arbeit erkannt. Also tat ich, was ich konnte: Ich schrieb Artikel, die in Computermagazinen veröffentlicht wurden und schon früh hatte auch meinen ersten Vorgeschmack  des Halten von Vorträgen auf Konferenzen. Aber das waren alles nur Babyschritte! Ich sehnte mich nach mehr und schon früh wusste ich, dass „mehr“ kategorisch notwendig war.

Damals wurden Antiviren-Themen noch als Teil der echten „Cybersicherheit“ bezeichnet. Viren waren nur eine Art Kinderspiel, kaum professionell und sicherlich nicht das, was Erwachsene taten. Aber aus irgendeinem Grund hatte ich das Gefühl, dass das nicht richtig war und dass der Kampf gegen das Cyberböse erst am Anfang stand. Und dass es nicht bei „Computerschädlingen“ und  Entstehung nicht nur auf das Bedürfnis der autodidaktischen Teenager nach Selbstbestätigung zurückzuführen war. Manchmal standen geschickte Fachleute hinter ihnen, aber nicht für Geld (damals gab es kein Geld im/über das Internet). Stattdessen waren sie auch nur daran interessiert, irgendein seltsames Bedürfnis zu befriedigen, sich als „großartig“ zu beweisen oder so. Dementsprechend konnte man es nicht als Cyber-Kriminalität bezeichnen, sondern nur als Cyber-Hooliganismus (oder kindisches Cyberverhalten:) ).

Das besonders akute Bedürfnis, alles zu erzählen, was ich über Computerviren und die Antivirenprogramme und Technologien zu ihrer Bekämpfung wusste, überkam mich nach der CeBIT 1992 – meiner ersten globalen IT-Messe im Ausland überhaupt. Ich wurde fast besessen von der Idee, dass „die Leute das wissen müssen!“, aber damals interessierte sich niemand in den Medien dafür, da auch kaum jemand in der breiten Öffentlichkeit daran interessiert war.  Das Thema Antivirus war nämlich noch ganz neu. Was habe ich also getan? Ich habe mich selbst interviewt! Ich schrieb eine Liste von Fragen, beantwortete sie, schickte alles an die russische Zeitschrift Computer Press. Mein von mir gehaltenes Q&A-Interview wurde in der Ausgabe vom Mai 1992 veröffentlicht!

In diesem Selbstinterview behauptete ich, dass das vielversprechendste Potenzial für die russische Computerindustrie damals nicht der Bau und der Verkauf von Endprodukten war (das war damals unmöglich). Vielmehr empfahl ich die Entwicklung und den Verkauf der Technologie, die später in die Produkte im Westen und/oder im Osten integriert wurde. Und wie sich herausstellte, wurde fünf Jahre später genau das, also die Lizenzierung unserer Antiviren-Engine (an die Finnen), zum Hauptgeschäft unseres Unternehmens! Dank dieser Lizenzvergabe überlebten wir als Unternehmen und bauten wir unser Kapital auf, um in die Entwicklung neuer Technologien zu investieren. Wir verfeinerten unsere Produktpalette und eroberten später den globalen Markt. Man sollte sich also wirklich Gedanken machen, was man sich in Selbstinterviews für die Zukunft wünscht!

Nachdem ich mir mit dem Selbstinterview etwas Erfahrung angeeignet hatte, nahm meine Medienaktivität einfach weiter zu. Ich war an ein paar weiteren Artikeln beteiligt. Einer davon war nur ein relativ kurzer Artikel, in dem zwei Kollegen und ich interviewt wurden, aber, wie schon bei Computer Press, war es sehr wegweisend für mich. Er erschien in der britischen Zeitschrift Virus Bulletin und trug den Titel: „Die Russen kommen!“ (Ha, ha… sehr lustig). Die Sache ist die – der Titel war wahr. Wir wollten kommen! Ich spule kurz ins Jahr 2007 vor: Unser Umsatz überholte die etablierte britische AV-Firma Sophos, also gerade das Unternehmen, das Virus Bulletin selbst gegründet und geleitet hat! Man sollte sich also Gedanken machen, worüber man sich lustig macht 😉 .

Weiter geht’s….

1994 gewannen wir den allerersten groß angelegten internationalen Wettbewerb für Antiviren-Tests der Universität Hamburg. Der Sieg an sich: super! Die namentlichen Erwähnungen, die wir danach in verschiedenen Fachpublikationen immer wieder bekamen: ein Mega-Bonus! Und etwa zu dieser Zeit begannen wir neben unserer regelmäßigen Teilnahme an der CeBIT auch die ersten großen aber zaghaften Schritte auf PR-Plattformen anderer Länder zu unternehmen. Zum Beispiel in Großbritannien, wo mir zwei Geschichten besonders in Erinnerung geblieben sind…

Wann genau die Erste stattfand, weiß ich nicht mehr. Irgendwann im Jahr 1999 wagten wir den Sprung und organisierten eine Pressetour für die britische Presse. Wir verschickten Einladungen, buchten einen Konferenzraum in einem Londoner Hotel und flogen ein. Die Hoffnungen waren groß…, aber es lief nicht ganz so, wie wir uns es gewünscht hatten. Praktisch alle Journalisten, die nacheinander zu uns kamen, sagten ziemlich genau dasselbe: „In Großbritannien haben wir Symantec, McAfee, Trend Micro und sogar Sophos. Wozu brauchen wir euch Jungs?!“

Meine Antwort? „Wieso? Wegen unserer einzigartigen und besseren Technologien. Weil wir viel besser als der Rest die furchterregendsten polymorphen, mutierenden Computerviren einfangen können. Da unsere Programme Archive und Installationsprogramme sehr präzise nach infizierten Dateien durchsuchen können (niemand sonst kam auch nur annähernd an uns heran); und zu guter Letzt: weil wir eine völlig einzigartige Technologie zur Abwehr der damals häufigsten Kopfschmerzen von IT-Experten, den sogenannten Makroviren, besitzen!“ Darauf hin murmelte der Journalist: „Ah. Ich verstehe. Interessant… (Wo ist mein Stift?), was war das?… Polymorph… makro… Wie bitte!?“

Die zweite kuriose Geschichte aus England fand etwas später im Jahr 2000 statt, als wir uns trauten, auf der Londoner Cybersecurity-Konferenz Infosecurity Europe einen Vortrag zu halten. Wir hatten eine Ankündigung veröffentlicht, den Raum gebucht, und als die Zeit gekommen war, warteten wir auf die „Massen“. Und sie strömten herein! Zu meiner Rede kamen gerade mal zwei Personen, die sich als Vertreter von Virus Bulletin herausstellten, die wir schon seit Jahren kannten. Unbeeindruckt erzählte ich dem Paar alles über die neuesten Cyber-Scheußlichkeiten und prognostizierte, wie die cybernahe Zukunft aussehen würde, als ob der Saal mit mehreren Hunderten Anwesenden gefüllt gewesen wäre.

In Russland haben wir ein Sprichwort, das besagt, dass „der erste Pfannkuchen immer ein Klumpen ist.“ Nun, das ist sicher die richtige Redewendung für meinen ersten Auftritt in London, denn aller Anfang ist schwer. Aber niemand hat jemals gesagt, dass es sinnlos wäre, den ersten Pfannkuchenklumpen in der Pfanne zu wenden. Es war eine wichtige Erfahrung für mich – ein erster, notwendiger Schritt in die richtige Richtung hin zu ernsthafter PR- und Medienarbeit. // Tatsächlich meinen einige, dass der Raum aufgrund der Uhrzeit praktisch leer war, denn wir hatten ihn gegen Mittag gebucht. Alle dachten an ihren Hunger und nicht an Cybersicherheit! Aus Fehlern lernt man. Im folgenden Jahr wählten wir eine passendere Zeit, und der Raum war voll – so voll, dass einige Leute an den Wänden klebten und in den Gängen stehen mussten!

Seit London habe ich meine Reden fortgesetzt, manchmal in kleinen Räumen, manchmal in riesigen Sälen, wie z. B. beim Bosch Connected World Event im Februar 2018:

Und es versteht sich von selbst, dass diese Reden überall gehalten wurden, da wir als Unternehmen auch stetig expandieren. Denn der Cyberschmutz ist überall. Eine weitere Anekdote, diesmal in den USA:

San Francisco irgendwann in den 2000er-Jahren. Nun, es gefällt mir nicht besonders, früher als nötig in den Saal zu kommen, wenn ich eine Rede halten muss. Meistens vertreibe mir die Zeit, bleibe in der Nähe des Saals und betrete den Saal erst wenige Minuten vor der Rede (sofern es möglich ist). Für die RSA kam ich jedoch so spät an, dass… der Sicherheitsmann mich nicht hineinlassen wollte! „Es ist voll!“ Er dachte wohl, dass ich Teil des Publikums war. „Aber ich bin der Redner!“, sagte ich ihm, während die Zeit tickte. Nach einer Kontrolle ließ er mich durch, und ich schaffte es gerade noch so für die Rede).

Eine weitere witzige Geschichte stammt von der Virus-Bulletin-Konferenz im Jahr 2001. Ich durfte die Eröffnungsrede halten, um den Tenor der Konferenz zu bestimmen. Und da eine solche Einladung nicht so oft ausgesprochen wird, beschloss ich, etwas mehr zu tun als nur meine Rede zu halten. Etwas… Verrücktes…

Also haben wir zusammen mit zwei Kollegen eine ganz schöne Show auf die Beine gestellt: eine lustige, alternative Computervirus-Version des Kultfilms Zurück in die Zukunft mit Marty McFly, Doc, dem zeitreisenden DeLorean und vielem mehr. Und es war ein Kracher! Das Publikum lachte sich tot :). Merkwürdigerweise wurde nach unserer Keynote für mehrere Jahre keine Eröffnungsrede für die Virus Bulletin-Konferenz gehalten!

Einige Details zu der Rede finden Sie hier.

Was das größte Publikum anbelangt, vor dem ich jemals eine Rede gehalten habe… das war in China, und da gibt es eine ganze Menge zu erzählen. Der Leiter unseres Büros in China hatte ein Musikkonzert organisiert, zu dem einige der besten Sänger des Landes eingeladen waren. Das Konzert fand in einem praktisch vollen… Pekinger Nationalstadion statt – ja: jenem Olympiastadion mit dem verrückten, völlig einzigartigen Design – dem Vogelnest (übrigens  war das genau ein Jahr nach den Olympischen Spielen in Peking im Jahr 2008). Wir hatten also eine Besetzung mit Top-Popstars und ein paar Nummern von keinem Geringeren als Jackie Chan. Kurz gesagt – OMG; und das alles unter dem Banner unserer chinesischen Marke Kabasiji!

Zur Halbzeit des Programms musste ich also auf das Plateau mitten im Stadion, um ein paar Worte zu sagen (Danke an alle für ihr Kommen oder so etwas) und dass an die über 70.000 Leute auf der Tribüne! Also zog ich die traditionelle chinesische Jacke an, schwitzte furchtbar und bedankte mich. Aber es lief nicht so wirklich am Schnürchen: Mein bisher größtes Publikum… und natürlich musste es einen Patzer geben…

Von Anfang an wurde ich gebeten, meine Dankesworte auf Russisch auszudrücken, damit die Fernsehmoderatorin es ins Chinesische dolmetschen konnte (tatsächlich hatte Sie die Übersetzung meiner geplanten Rede auf Papier in ihrer Hand). So lief das auch während der Probe ab. Aber dann sagte jemand kurz vor dem Start des Events, dass es ausländische Gäste kommen würden und es besser sei, auf Englisch zu reden. Ich versuchte, es beim Russisch zu belassen (der russische Botschafter war dort und das hätte ihm sicherlich gefallen), aber sie blieben standhaft. Der Moment der Wahrheit näherte sich, und dann hatte ich meine 15 30 Sekunden Ruhm auf dem Plateau. Unsere Gesichter wurden auf den großen Bildschirmen des Stadions übertragen. „Danke für Ihr Kommen!“ und ein paar andere Worte der Dankbarkeit hallten auf Englisch durch das Stadion und ich wartete… auf die Verdolmetschung. Aber sie schaute mich nur an und fragte mich nur: „Und auf Russisch?“ Sie wurde nicht von den Programmänderungen informiert! Höhere Gewalt. Huch! Die Worte auf dem Papier passten nicht zu meinen Worten auf Englisch (oder so ähnlich). Und da glotzten wir uns einfach nur an, verwirrt, und wir beide dachten nur „Ups“ (um es milde auszudrücken). Es kam uns wie eine Ewigkeit vor! Gnädigerweise schien es niemanden zu stören, denn der Applaus hallte durch das Stadion!

Aber am Ende haben wir es dann irgendwie doch noch geschafft. Schließlich sagte ich: „Ah – pa-russky?“ und hielt den Rest der Rede auf Russisch. Die Augen der Moderatorin leuchteten erleichtert auf, und sie fuhr fort, rasch ins Chinesische zu „übersetzen“. Pheeeew. Erledigt. Noch mehr Lächeln, etliche Verbeugungen und vorbei war’s! Danach ging ich zurück auf die VIP-Tribüne…, um mich aus meiner grünen traditionellen chinesischen Jacke auszuwringen!

Ich schätze, jede andere Geschichte, die ich Ihnen nach der Story in Peking erzählen würde, würde etwas schwach ausfallen. Ja, ein bisschen vielleicht… aber ich habe noch ein paar witzige Anekdoten auf Lager..

Wie damals, als ich 2010 auf unserem Sicherheitsanalytiker-Gipfel (SAS) in Zypern war: mein Fernsehinterview dort.. nun ja.. das war mitten im Ufer! Nicht meine Idee, ehrlich! Es waren diese beiden deutschen Journalisten, die tatsächlich ins Wasser kamen, um mich zu interviewen ;).

Hier ist ein weiteres Fernsehinterview, diesmal am Strand von Cancún (wo wir drei Konferenzen hintereinander hatten). Ich kann mich nicht beschweren: die Meeresbrise ist wesentlich besser als ein muffiges Büro oder ein Konferenzzentrum ;).

Dann gibt diese komischen Situationen, in denen ich mich manchmal befinde, während die Kamera läuft… nun, warum nicht? Wie letztes Jahr, im Sommer 2019, als ich während einer Bootsfahrt auf den Kurilen-Inseln eine amerikanische Gruppe von Dokumentarbloggern interviewte, die auf der Robbeninsel Tjuleni unter dem überwältigenden Lärm der Vögel einen Film über den russischen Osten drehten.

Oder als ich einen Vortrag auf dem Forschungsschiff Akademik Sergey Vavilov hielt, das mit einer internationalen Gruppe moderner Künstler in die Antarktis unterwegs war. Wir hatten viel Freizeit, also sangen wir nachmittags Lieder, während wir tagsüber interessante Geschichten austauschten. Als ich an der Reihe war, erzählte ich cyber-inspirierten Geschichten, während ich bei einer anderen Gelegenheit über die Arithmetik scherzte: z. B. wie man mit den Zahlen 1, 2, 3, 4, 5, 6, 7, 8, 9 und 10 die Zahl 2017 erhält. Ersteres hat sie beeindruckt und Zweiteres sogar mehr!

Ich weiß, dass es in Sachen Medien andere bizarre Schauplätze und Situationen gegeben hat, aber da müsste noch weiter in meinem Fotoarchiv graben. Leider muss ich aber auch zugeben, dass ich nicht alle Zeit der Welt habe. Denn auch wenn ich eingesperrt bin, bin ich tatsächlich sehr beschäftigt. In den drei Monaten, in denen ich eingesperrt war, habe ich zehn Online-Interviews mit Journalisten aus der ganzen Welt gegeben, an zwei Pressekonferenzen teilgenommen und bei fünf Veranstaltungen Reden gehalten, darunter auch eine argentinische IT-Konferenz, an der 30.000 Südamerikaner teilnahmen, die auch wie ich alle zu Hause saßen!

Das Versteckspiel… mit Fileless-Malware.

Bösartige Codes… irgendwie gelangen Sie überall…

Sie verhalten sich ein bisschen wie Gas, denn auch Gas möchte sich immer ausbreiten. Denn wie auch das Gas, finden bösartige Codes immer wieder „Löcher“ (Schwachstellen), durch die Sie entweichen können und unsere Computersysteme angreifen. Unsere Aufgabe (eher gesagt eine davon) ist es also, solche Löcher zu finden und zu stopfen. Dabei soll dies proaktiv geschehen, d.h. noch bevor die Malware die Schlupflöcher entdeckt. Somit können wir auf Malware lauern und sie gegebenenfalls abfangen.

Tatsächlich ist es gerade der proaktive Schutz und die Fähigkeit, die Angriffsmuster vorauszusehen und im Voraus eine effektive Schutzbarriere zu schaffen, die wirklich ausgezeichnete, hochtechnologische Cybersicherheit von dem Marketingmist anderer unterscheidet.

Heute möchte ich Ihnen hier ein weiteres Beispiel vorstellen, anhand Sie sehen werden, wie unser proaktiver Schutz vor einer weiteren, besonders raffinierten Art von Malware schützt: sogenannte Fileless-Malware (aka – dateilose Malware). Bei dieser gefährlichen Art von Geister-Malware handelt es sich um einen ausgeklügelten Schadcode, der gelernt hat, die architektonischen Nachteile von Windows zu nutzen, um Computer zu infizieren. Doch auch hier bietet unsere patentierte Technologie einen Schutz und eine effektive Bekämpfung dieser speziellen Cyber-Krankheit. Wie gewohnt erkläre ich Ihnen die komplexen technischen Zusammenhänge in verständlichen Sätzen ohne Fachchinesisch, und zwar genau so, wie Sie es wünschen: als leichten, packenden Cyber-Thrillers mit Spannungselementen.

Zunächst einmal, was bedeutet Fileless?

Nun, sobald Fileless-Malware einmal in ein Computersystem gelangt ist, kopiert sie sich nicht von selbst in Form von Dateien auf der Festplatte und vermeidet somit die Erkennung durch herkömmliche Methoden, zum Beispiel mit einem Antiviren-Monitor.

Wie kann also solche „Geister-Malware“ in einem System existieren? Tatsächlich befindet sie sich im Arbeitsspeicher von vertrauenswürdigen Prozessen! Schrecklich, oh ja!

Unter Windows (eigentlich nicht nur unter Windows) gab es schon immer die Möglichkeit, dynamische Codes auszuführen, die insbesondere für die Just-in-Time-Kompilierung verwendet werden, d.h. die Umwandlung von Programmcode in Maschinencode, und zwar nicht sofort, sondern nach Bedarf. Dieser Ansatz erhöht bei einigen Anwendungen die Ausführungsgeschwindigkeit. Und um diese Funktionalität zu unterstützen, erlaubt Windows Anwendungen, Codes im Arbeitsspeicher (oder sogar in einen anderen vertrauenswürdigen Prozessspeicher) zu platzieren und auszuführen.

Vom Sicherheitsstandpunkt aus kaum eine gute Idee, aber was kann man dagegen tun? Auf diese Weise funktionieren seit Jahrzehnten Millionen von Anwendungen, die in Java, .NET, PHP, Python und anderen Sprachen und für andere Plattformen geschrieben wurden.

Irgendwie war es zu erwarten, dass die Cyberbösewichte den dynamischen Code ausnutzen und dadurch Missbrauchsmöglichkeiten erschaffen würden. Eine der bequemsten und daher am weitesten verbreiteten Angriffsmethoden ist die so genannte „reflective PE Injection“. Hört sich kompliziert an, deshalb erkläre ich es Ihnen (Es ist eigentlich ziemlich interessant!).

Um eine Anwendung zu starten, muss man nur auf das Anwendungssymbol auf dem Desktop klicken: Einfach und unkompliziert, oder? Es sieht zwar einfach aus, aber in Wirklichkeit geht unter der Haube alles Mögliche vor sich: Es wird ein Systemlader aufgerufen, der die jeweilige Datei von der Festplatte nimmt, in den Speicher lädt und ausführt. Und dieser Standardprozess wird von Antiviren-Programmen kontrolliert, die die Sicherheit der Anwendung überprüfen.

Bei einer „Reflexion“ wird der Code ohne den Systemladers (und damit auch unter Umgehung des Antiviren-Monitors) geladen. Der Code wird direkt in den Speicher eines vertrauenswürdigen Prozesses platziert, wodurch eine „Spiegelung“ des ursprünglichen ausführbaren Moduls erzeugt wird. Eine solche Reflexion kann wie ein echtes Modul ausgeführt werden, das mit einer Standardmethode geladen wird, aber es ist nicht in der Liste der Module registriert und hat, wie oben erwähnt, keine Datei auf der Festplatte.

Im Gegensatz zu anderen Techniken der Code-Injection (z.B. über Shellcode) erlaubt eine Reflexions-Injektion zudem die Erzeugung von funktional fortgeschrittenen Codes in höheren Programmiersprachen und Standard-Entwicklungsframeworks ohne jegliche Einschränkungen. Man erhält also: (i) keine Dateien, (ii) eine Verschleierung hinter einem vertrauenswürdigen Prozess, (iii) Unsichtbarkeit für traditionelle Schutztechnologien und (iv) freie Hand, um Schaden anzurichten.

So waren natürlich die reflektierten Injections bei den Entwicklern von bösartigen Codes ein Megahit: Zuerst tauchten sie in Exploit-Packs auf, dann kamen Cyber-Spione ins Spiel (z.B. Lazarus und Turla), dann fortgeschrittene Cyber-Kriminelle (da es eine nützliche und legitime Art der Ausführung von komplexen Codes ist!), dann kleine Cyber-Kriminelle.

Auf der anderen Seite der Tatsachen sind Fileless-Infektionen nicht so einfach zu besiegen. Es ist also eigentlich kein Wunder, dass die meisten Cybersicherheitsmarken nicht allzu heiß darauf sind. Einige können es kaum schaffen.

Read on: Das Versteckspiel… mit Fileless-Malware.

Cybersicherheit: Wie alles begann – Teil 5: Der Wendepunkt im Jahr 1996

Es geht weiter mit unserer KL-Geschichte! Eine Geschichte, die erzählt, wie wir als bescheidenes Unternehmen, das wir damals waren, zu dem geworden sind, was wir heute sind. Und diese Cybergeschichte verdanken wir dem Lockdown! Sonst hätte ich nie die Zeit zum Erinnern gehabt!

Nur für den Fall, dass Sie die vorherigen Teile verpasst haben:

Teil 1
Teil 2
Teil 3
Teil 4

In Ordnung. Teil 5: 1996. Wahrlich ein schicksalhaftes Jahr, ein Wendepunkt…

Als erstes beschlossen die Eigentümer von KAMI, mein damaliger Arbeitgeber, das Unternehmen zu verlassen. Infolgedessen wurde KAMI in mehrere unabhängige Organisationen aufgeteilt. Und im folgenden Jahr – 1997 – trennten auch wir uns.

Zweitens unterzeichneten wir einen OEM-Vertrag mit der deutschen Firma G-Data, um sie mit unserer Antivirus-Engine zu beliefern. Dieser Vertrag lief 12 Jahre lang (bis 2008!), als wir die Nummer 1 auf dem deutschen Einzelhandelsmarkt wurden. Genau so lief es ab. Unsere ursprünglichen technischen Fähigkeiten waren nicht zu stoppen! Aber was sollten wir tun? Jedenfalls war es G-Data, die auf uns zu kamen (wir waren damals nicht in der Lage, aktiv nach Technologie-Partnern zu suchen) und Remizov, dem damaligen Chef von KAMI, eine Zusammenarbeit anbot. Wie im Teil 4 schon beschrieben, unterzeichneten wir den Vertrag auf der CeBIT. Und so kam unser Technologie-Lizenzgeschäft in Schwung.

Nach den Deutschen (1995) kamen die Finnen – F-Secure (1996), damals bekannt als Data Fellows. Ich möchte Ihnen erzählen, wie unsere Zusammenarbeit mit ihnen begann.

Im August 1995 erschien der allererste Makrovirus, der Microsoft Word-Dokumente infizierte. Es stellte sich heraus, dass das Schreiben von Makroviren sehr einfach war, und sie verbreiteten sich mit alarmierender Geschwindigkeit unter sehr vielen ahnungslosen Benutzern. Dies erregte die Aufmerksamkeit anderer Virenautoren, und sehr schnell wurden Makroviren zum größten Problem für die Antivirenbranche. Sie zu erkennen war alles andere als einfach, da das Format eines Word-Dokuments sehr komplex ist (wer wusste das schon?:). So spielten AV-Firmen mehrere Monate lang mit verschiedenen Methoden, bis Anfang 1996 McAfee (die Firma:) die „richtige“ Zerlegungsmethode für das Format von Word-Dokumenten verkündete. Diese Nachricht wurde von unserem Kollegen Andrej Krukow (der 1995 unserem Kollektiv beigetreten war) aufgegriffen, und er fand schnell eine äußerst elegante und effektive technische Lösung. Nachdem ich sie bekannt gab, kamen schon ziemlich bald Unternehmen mit Angeboten zum Kauf unserer Technologie auf uns zu. Nachdem wir mehrere solcher Angebote eingeholt hatten, arrangierten wir ein Treffen mit ihnen allen auf der bevorstehenden Virus Bulletin-Konferenz in Brighton, Großbritannien, zu der Andrey und ich im Herbst 1996 reisten.

In Brighton liefen die Dinge kaum nach Plan: Keines dieser Treffen hat je zu etwas geführt! Aber…

Wir hatten ein sehr interessantes Gespräch mit Command Software – ich erinnere mich, dass wir in einer sehr schick eingerichteten Präsidentensuite eines Hotels waren, das sie für Meetings gebucht hatten. Diese Firma hatte seit langem die AV-Engine der Firma F-Prot lizenziert. Aber schon seit einigen Jahren waren die Entwickler von F-Prot nicht mehr in der Lage gewesen, eine neue Engine zu entwickeln, und ihre Partner waren höchst unzufrieden und suchten nach Alternativen (ein wenig wie bei Apple und Intel).

Nun luden die guten Leute von Command Software Andrey und mich in die USA ein, damit wir anfangen konnten, für sie zu arbeiten. Ich erinnere mich mit allen möglichen saftigen Verlockungen, wie Häuser, Autos und fetten Gehältern! Wir lehnten jedoch ab und sagten, wir würden über das Angebot nachdenken, aber wir hätten nicht vor, Moskau in nächster Zeit zu verlassen. Und das war alles. Natürlich war es sehr schmeichelhaft, in den Staaten so viel gutes Zeug angeboten zu bekommen, und als wir das schicke Hotelzimmer verließen und durch die Lobby gingen, grinsten wir wie Honigkuchenpferde! Und es war in dieser Lobby, wo die Kompanen von Data Fellows unser Grinsen bemerkten. Wir hielten für einen Plausch an. Und um es kurz zu halten: zwei Monate später reiste Natalya Kaspersky nach Helsinki, um die Bedingungen der Zusammenarbeit zu besprechen, und bald darauf unterzeichneten wir mit ihnen einen Vertrag. Sieh an, sieh an. Wie schnell sich doch das Blatt wendete!

Der Vertrag mit den Data Fellows war… reine technologische Sklaverei! Er verweigerte uns u.a. das Recht, Internetlösungen und Managementsysteme für Unternehmenslösungen zu entwickeln, und darüber hinaus war es ein Exklusivvertrag, d.h. wir hatten nicht das Recht, unsere Engine an jemanden außer Data Fellows (und G-Data, aufgrund des laufenden Vertrags) zu lizenzieren. Warten Sie – da ist noch mehr. Die Finnen hatten alle Rechte an unseren Technologien und dem Quellcode! Der Vertrag war in der Tat erdrückend. Wir hatten jedoch keine andere Wahl. Denn ohne das Geld, das wir damit verdienen würden, hätten wir einfach nicht überlebt. Also unterzeichneten wir ihn. Und das war auch gut so, denn Data Fellows war unsere Haupteinnahmequelle für die nächsten Jahre. Wir kamen gerade so über die Runden. Doch mit der Zeit wurden die Vertragseinschränkungen eine nach der anderen aufgehoben. Zuerst das Verbot unserer Entwicklungsprodukte, dann das Exklusivitätsrecht. Erst im Sommer 2006 befreiten wir uns schließlich vollständig von allen unseren Verpflichtungen, fast 10 Jahre nachdem wir sie unterzeichnet hatten.

Drittens (um zurück zu den wegweisenden Ereignissen des Jahres 1996 zurückzukommen) begannen wir schließlich mit der Entwicklung eines eigenen Produkts für Windows 95. Die Entwicklung hätte zwei Jahre früher anfangen sollen, aber [*hust*] alle unsere Entwickler waren mit anderen Dingen beschäftigt! Alexey ‚the Count‘ (dt. der Graf) De Mont De Rique war mit der Lösung für MS-DOS beschäftigt. Andrej Tichonow war mit der Lösung für Novell NetWare beschäftigt, und Larissa Gruzdeva war noch mit einer Version für Windows 3.xx beschäftigt. Es gab einfach physisch niemanden, der an der Entwicklung eines Produkts für das vielversprechendste Betriebssystem der Welt arbeiten konnte! Rückblickend und im Nachhinein betrachtet, war das einfach verrückt…

Sobald die Entwicklung einer Windows-Version begonnen hat, kommen wir zu dem vierten wegweisenden Ereignis…

Auf der Moskauer Comtek-Ausstellung im Herbst 1996 näherte ich mich dem Stand der damaligen Monopol-Antivirusfirma in Russland, einer Firma namens Dialog Science, und fragte sie nach ihren neuesten Produkten. Man schaute mich von oben bis unten an, und von ihrem (für damalige Verhältnisse) schicken Stand aus erfuhr ich, wie gut doch alte MS-DOS-Programme unter Windows gut funktionieren. Darauf antwortete ich: ~“Ich werde euch alle auffressen!“ Sie lächelten lediglich und dachten wahrscheinlich: „Ja, richtig“ ).

Und vor allem, fünftens

Wir begannen und schlossen mit der Entwicklung einer neuen Antiviren-Engine (AVP3) ab, die ein volles Jahrzehnt lang in Millionen von Kopien unserer Produkte auf der ganzen Welt und auch in den Produkten unserer Technologiepartner nahezu unverändert zum Einsatz kommen sollte. Erst im Frühjahr 2008 haben wir begonnen, sie durch unsere neue Engine (KLAVA) zu ersetzen – zunächst in unseren Heimprodukten und später, Anfang 2009, in unseren wichtigsten Unternehmensprodukten.

Die wichtigste Neuerung mit AVP3 war die plattformübergreifende Technologie, d.h., dass dieselbe Engine mit denselben Datenbanken auf jeder Intel-basierten Plattform funktioniert. Bisher war es eine Engine pro Plattform: jede brauchte ihre eigene, die portiert werden musste; aber – schlimmer noch – jede Datenbank musste auch portiert werden (da sie den ausführbaren Code enthielten). Unsere neue Engine verhinderte die gesamte Duplikation. Ein Game-Changer!

Darüber hinaus verfügte die Engine über ein eigenes Modul (zum Teil, um die Lizenzvergabe an Partner). Als Ergebnis hatten wir eine universelle, plattformübergreifende Engine und universelle, plattformübergreifende Datenbanken. Man konnte sie zur Herstellung eines eigenen Antivirusprogramms verwenden (was die Firmen auch taten). Dies bedeutete einen Ruck nicht nur für die weitere Entwicklung des OEM-Geschäfts der Firma, sondern auch für die Entwicklung eigener Produkte, da die Hauptkomponenten (Motor + Datenbanken) maximal „abgestimmt“ waren, um in verschiedene Produkte für verschiedene Plattformen eingebettet zu werden, d.h. DOS16/32, Windows, Novell, Linux, OS/2, Unix und andere.

Sechstens

Noch wichtiger war die Einführung unserer Produkte für Windows 95. Wann genau die offizielle „Markteinführung“ stattfand, lässt sich nur schwer feststellen: Zwischen Herbst 1996 und Sommer 1997 gab es zahlreiche öffentliche Beta-Versionen – waren das „Produkte“? Wahrscheinlich wurden sie erst in den frühen 2000er Jahren zu vollwertigen (Nicht-Beta-)Versionen. Der erste Beta-Prototyp wurde am 16. September 1996 der Öffentlichkeit vorgestellt und hieß AVP for Win95 3.0, Build 105. Und basierend auf dem Quellcode davon wurde eine DOS-Version kompiliert, so dass es wahrscheinlich im September 1996 war, als 3.0 vorgestellt wurde.

Und zum Schluss Nummer Sieben:

Im November 1996 starteten wir schließlich unsere Website, eine der Versionen davon finden Sie hier, und das Archiv der Website – hier. Wir haben die Texte selbst geschrieben und auch die Bilder selbst gezeichnet (die meisten Illustrationen sind von mir :).

Exploring Russia: Tourismus ÷ Lockdown × Accelerator = Das Siegertreppchen

Mitte Frühling dieses Jahres, auf dem Höhepunkt der „Jeder-ist-zu-Hause-Periode“, wurde deutlich, dass die Lage für die Welt sehr düster aussieht und für lange Zeit düster bleiben wird. Die Wirtschaft wurde hart getroffen, um es milde auszudrücken, während die Tourismusindustrie ziemlich am Boden zerstört ist und so manches Unternehmen die Krise nicht überstehen wird. Wir bei K haben also das getan, was wir so oft tun: Wir reichen den am meisten betroffen Branchen eine helfende Hand.

Anfang Mai gab ich bekannt, dass der neue Online-Accelerator für Tourismus „Kaspersky Exploring Russia“ (dt. Kaspersky entdeckt Russland) lanciert und jetzt den Startschuss für Einsendung von Wettbewerbsbeiträgen gegeben wurde. Aber ich hätte nie gedacht, dass mehr als über 500 Projekte aus 47 Ländern (das ist fast ein Viertel aller Länder der Welt!) aus fünf verschiedenen Kontinenten (allen Kontinenten außer der Antarktis!) bei mir eingehen würden. Und als ich mich durch die Projekte durchlas, wurde mir klar, wie viel Potenzial in der Tourismusindustrie steckt! So viele Ideen und so viele großartige Startups und etablierte Projekte. Es gab keine geographischen Beschränkungen für die Einsendungen. Sie konnten von überall auf der Welt kommen, und das taten sie auch! Ziel war es, Tourismusideen zu beschreiben, die entweder das Potenzial des russischen Inlandstourismus ausschöpfen oder auf Russland angewendet werden konnten. Wir haben alle Projekte gesichtet, um die 10 besten Ideen auszuwählen. Die besten 10 Projekte aus der Vorrunde stiegen dann im Accelerator-Programm ein.

Zwei Wochen lang nahmen die 10 Siegerprojekte an virtuellen Masterclass-Workshops und Vorträgen teil. Jedes Team hatte eine Reihe von speziell zugeschnittenen Beratungskursen mit Mentoren. Führende Persönlichkeiten der Branche teilten mit den Teilnehmern ihre Erfahrungen und ihr Know-how für den Aufbau eines erfolgreichen Unternehmens. Zu den Mentoren gehörten Vikas Bhola, Regional Manager von Booking.com; Gemma Rubio, Gründerin von Define the Fine; Vadim Mamontov, Geschäftsführer von Russia Discovery; und anderen Experten der Branche. Und in diesen zwei Wochen feilten die Teilnehmer auch an ihren Präsentationen, die sie dann vor der Jury, der ich angehörte, vortrugen.

Letzte Woche hielten die Finalisten ihre Präsentationen und beantworteten unsere Fragen am letzten Tag des Accelerators. Anhand der Präsentationen kürten wir drei Gewinner, die von unseren Partnern verschiedene Preise erhielten. Lassen Sie mich Ihnen etwas über die Gewinner erzählen…

Den ersten Platz belegte das Projekt „360 Stories„. Dabei handelt es sich um eine Augmented-Reality-App mit einem Live-Guide. Die Mission von 360 Stories sei es, „das traditionelle Reiseerlebnis zu modernisieren, indem sie interaktive Live-Touren mit Echtzeit-Reiseführern ermöglichen.“ Mit 360 Stories können Menschen nun ihre Lieblingsstädte und -attraktionen aus der Ferne erkunden, indem sie sich für eine personalisierte Tour mit einem lokalen Echtzeit-Reiseführer anmelden.

Übrigens: 360 Stories hätte beinahe verloren, da wohl jemand verschlafen hat und nicht aufgekreuzt ist! Die Präsentation fand um 05:30 Uhr Ortszeit (New York) statt.  Angesichts eines so frühen Termins verschlief Herr 360 Stories, obwohl er seinen Wecker gestellt hatte. Schließlich wachte er auf und rief die Organisatoren an, um zu fragen, warum er 20 verpasste Anrufe auf seinem Telefon hatte. Alle fragten ihn nur, wo er steckte, da er der Gewinner war!

Silber ging an das russische Projekt „maps.me.“ Hierbei handelt es sich um eine detaillierte Offline-Karte für Reisende mit über 140 Millionen Downloads weltweit. Der Dienst vereint Hunderte von Reiseführern und Navigationsrouten von mehr als 600 Städten. Man kann in der App direkt nach Sehenswürdigkeiten und wichtigen Kategorien suchen (z.B. Cafés und Banken), Rezensionen hinterlassen, Tipps mit Freunden austauschen oder Hotelzimmer auf Booking.com buchen. Die App eignet sich gut für Reisen in ein anderes Land (sie verfügt auch über einen Offline-Modus) und ist gleichzeitig ein praktisches Hilfsmittel für die Navigation in Ihrer Stadt. Ich muss sagen, dass ich die Offline-Karten von maps.me selbst benutze, wenn ich mich an Orten mit Funklöchern, schlechter Internetanbindung oder fehlender Telekommunikationsinfrastruktur aufhalte (wie zum Beispiel auf meinen jüngsten Reisen nach Namibia und Tasmanien (vor Corona).

Bronze ging an „Altourism“ (großartiger Name!). Es handelt sich um „ein neues Konzept für Reisen durch das ländliche Russland.“ Eines der Hauptziele des Projekts ist es, Dörfer und Kleinstädte in Russland zu erhalten und die Einstellung der lokalen Bevölkerung gegenüber ihrer Umwelt zu verändern. Dadurch wird eine touristische Infrastruktur auf dem Land geschaffen, die Entwicklung von Kleinunternehmen unterstützt und die Aufmerksamkeit auf Probleme in ländlichen und abgelegenen Regionen gelenkt. Altourism hilft Reisenden, aus ihrer gewohnten Umgebung zu entkommen und mit eigenen Händen etwas zu bewirken. Das Engagement zeigt sofort Ergebnisse, man macht praktische und angenehme Bekanntschaften mit den Locals und anderen Reisenden und trägt zu einem positiven Wandel bei. Das Verlassen der eigenen Komfortzone durch das Abenteuer durch ein Land mit unendlichen Möglichkeiten erlaubt den Reisenden auch eine „digitale Auszeit.“

Und das waren unsere Gewinner! Ich wünsche den Gewinnern, und auch allen anderen Teilnehmern, viel Glück bei all ihren touristischen Unternehmungen und Abenteuern. Und ich hoffe, dass sie irgendwie wieder auf die Beine kommen, wenn sich dieser schreckliche Virus etwas beruhigt hat. In der Zwischenzeit tue auch ich genau das, wofür der Accelerator plädiert: die Öffnung Russlands! Denn langsam aber sicher bereite ich mich auf meine Sommerreise nach Altai vor – wo ich seit 2016 nicht mehr gewesen bin (Details dazu – hier).

Abschließend möchte ich mich bei allen Gewinnern und Teilnehmern, den Sponsoren, Partnern, Mentoren und Organisatoren bedanken.  Alle, die darauf brennen, wieder auf Reisen zu gehen wünsche ich jetzt und auch für die Zukunft: Bon Voyage und eine sichere Reise!….

Cybersicherheit: Wie alles begann – Teil 4: Die CeBIT.

Endlich ist der Sommer da. Es hat lange gedauert! Aber ich bin mir nicht sicher, ob es der Segen ist, der es normalerweise ist, da wir alle noch zu Hause sitzen und aus der Ferne arbeiten. Sicher, es gab hier und da „Erleichterungen“ auf der ganzen Welt, aber wir hier in K haben es nicht eilig, die Dinge… zu überstürzen. Ich denke, das gilt auch für andere IT-Unternehmen, die zumindest bis zum Herbst von zu Hause aus arbeiten werden. Einige haben sogar signalisiert, dass sie bis zum Ende des Jahres im Homeoffice verbleiben werden. Und natürlich werden immer noch Geschäftsreisen abgesagt, ebenso wie Ausstellungen und Konferenzen und die Olympischen Spiele und das Festival von Cannes und eine ganze Reihe anderer Großveranstaltungen. Die Grenzen einiger Länder verbleiben sogar bis heute geschlossen.

Also ja: Wir sind immer noch alle eingesperrt, dürfen nicht viel an die frische Luft und werden durch die Wohnzimmerluft ein bisschen verrückt. Zumindest geht es vielen so, da bin ich mir sicher. Es gibt andere, die all die zusätzliche Zeit nutzen und sich mehr bewegen als je zuvor, unglaublich! Ich bin irgendwo dazwischen. Ich habe manchmal genug von den lässigen Faulpelztagen, aber ich bleibe beschäftigt. Und dazu gehört auch, dass ich meine Archive abstaube und durchstöbere. Dabei finde ich immer wieder alte Fotos, die mich in liebevollen Erinnerungen schwelgen lassen (wie schnell sich doch die Welt verändert!) und mich zur Fortsetzung meiner Blog-Memoiren geführt hat! Hier Teil 4 der Cybersicherheit: Wie alles begann-Reihe:

Ja, diese Serie kombiniert Cyber-Nostalgie mit verschiedenen persönlichen und geschäftlichen Einsichten, die ich auf dem Cyber-Weg gesammelt habe und von denen ich hoffe, dass sie für einige nützlich oder für andere einfach interessant sind. Dementsprechend fahre ich heute hier mit Teil vier fort, und ich setze meine im dritten Teil begonnenen Erzählungen über die CeBIT fort…

Die CeBIT – Wir liebten sie! Es war einfach sooo neu und anders und einfach nur riesig!

Wir schreiben das Jahr 1992. Die Sowjetunion hatte gerade erst aufgehört zu existieren, aber das tägliche Leben war immer noch ziemlich „sowjetisch“, und die Dinge waren für die einfachen Leute sehr instabil, chaotisch und schockierend; ein Beispiel: Starke Spirituosen fragwürdiger Qualität wie Royal Spirit fanden einen Weg in russische Kiosken (neu aus den Niederlanden importiert; ursprünglich nie zum Trinken gedacht, aber angesichts des riesigen neuen Marktes (der sich ohne Einschränkung durch Verbraucherschutzgesetze im Osten öffnete), und das leider nicht ohne Opfer. Die Menschen litten an Alkoholvergiftungen und starben sogar, nachdem sie ihn getrunken hatten. Und wir kamen von diesem Ort der Instabilität und des Chaos und fanden uns im stabilen, geordneten, dekadenten Deutschland wieder, wo jahrhundertelang ununterbrochenen Kapitalismus und Konsumismus gelebt wurde.

Wie ich im dritten Teil bereits erwähnte: Es war wirklich ein Kulturschock! Aber nach einer Woche relativen Komforts im Westen haben wir uns irgendwie daran gewöhnt. Aber dann gab es einen zweiten Kulturschock als wir nach Moskau zurückkehrten! Die Unterschiede trafen uns dann umso mehr. Aber natürlich: Die Unterschiede waren nur allzu real; ein Beispiel: Familie und enge Freunde gaben uns Konservendosen, geräucherte Wurst und andere solche Dinge mit für die Geschäftsreise, damit wir unsere D-Mark (das war lange vor dem Euro) aufheben konnten, indem wir sie nicht für den Lebensunterhalt ausgaben, sondern für bessere Geräte wie z. B. einen Kassettenspieler, den wir mit nach Russland nehmen konnten, oder schicke Kleidung wie ein gutes Paar Levi’s oder so etwas ausgaben. Wenn man sich heute an all das erinnert, was damals fast schon ein Lebensstil war, kann man manchmal nicht ganz glauben, dass es real war. Die Welt von heute fühlt sich so an, als wäre sie ein anderer Planet, auf dem eine ganz andere Zivilisation lebt!

Ok, Kulturschock: überwunden. Aber wie kommt es, dass wir uns, so kurz nach der Geburt der „Russischen Föderation“ überhaupt auf der CeBIT wiederfinden? Schließlich waren wir ja noch nicht einmal ein Unternehmen, geschweige denn wichtig genug, um einen Stand auf einer weltweit führenden Ausstellung zu haben. Und auch Russland war gerade erst auf den Beinen. Nun, es gibt da eine Geschichte, die mir erst kürzlich von Alexey Remizov erzählt wurde, meinem früheren Chef bei KAMI, mein erster Arbeitgeber (jetzt I-Teco)…

Nachdem die UdSSR zerbrach, nahm sie viele sowjetische Ministerien und Komitees mit sich ins Jenseits, so dass an ihrer Stelle neue, russische Pendants gegründet werden mussten. Einer dieser neuen Behörden, die kurz vor unserer CeBIT-Reise gegründet wurde, war das Komitee für Infomatisierung des Kommunikationsministeriums, das schnell auf die Idee kam, auf der CeBIT einen Gemeinschaftsstand mit mehreren russischen IT-Firmen auf der CeBIT zu haben (darunter auch KAMI, wo ich seit Mai 1991 angestellt war). Buchstäblich nur wenige Wochen später waren wir in Hannover auf der internationalen Mega-Ausstellung. Eine ganze Woche lang, zeigten unsere verschiedenen technischen Produkte während wir uns neugierig auf der CeBit alles in Augenschein nahmen. Ja, es war ein seltsames Spektakel für uns. Aber ich bin mir sicher, dass viele der anderen Teilnehmer und Besucher der CeBit die russische Delegation für komisch hielten. Oh, und ich wollte gerade „Delegation russischer Startups“ schreiben, allerdings hätte man die Unternehmen wirklich so bezeichnen können: Damals gab es praktisch keine Investitionen in der russischen IT-Branche.

Da waren wir also… auf der CeBIT…

Ich habe dies bereits im dritten Teil angesprochen, aber hier sind noch ein paar weitere Details über… den MASSIVEN Umfang der Ausstellung. Sie war in mehreren, riesigen und vollen Hallen untergebracht, es gab Tausende von Ständen von Unternehmen aus der ganzen Welt und Hunderttausende von Besuchern (in der Hochsaison fast eine Million). Es war die größte Computermesse der Welt: Bei weitem größer als die Nummer zwei der IT-Messen, COMDEX, in Vegas. Das Spektakel wäre für einen erfahrenen West-ler, der seit Jahren mit Computern arbeitet, ziemlich unglaublich gewesen. Für uns war es einfach nur… überwältigend! (Ich meine, ich war auf ein paar Computer-Ausstellungen in Moskau gewesen, auf der Comtek zum Beispiel im Jahr 1990… die war aber im Vergleich zur CeBIT winzig).

Aber es waren nicht nur Leute wie wir, die in der Branche arbeiten und für die die Ausstellung warb, die zur CeBIT kamen. Es waren Rentner, Kinder… fast jeder war da, um einen Blick auf das Geschehen zu werfen… und um ein paar kostenlose Stifte, Blöcke und andere Werbegeschenke mitzunehmen („Staubsauger“ würden wir Besucher nennen, denn sie saugten praktisch alles auf, was nicht festgeschraubt war!). Schließlich war dies die Zukunft, und es war so hell, dass alle eine Brille tragen mussten. Nicht wie heute, wo wir so daran gewöhnt sind, dass die Technik im Stundentakt immer besser, größer, heller, schneller und umso außergewöhnlicher wird.

Ich erinnere mich zum Beispiel an die Weltneuheit auf der CeBIT: die erste schwarz-weiß- Digitalkamera! Die Qualität der Bilder, die sie aufnahm, war so schlecht, dass sie nach heutigen Maßstäben lächerlich war, und sie kostete auch einen Haufen Geld (1000 Dollar, wenn ich mich recht entsinne). Man fotografierte einige Freiwillige, übertrug das Bild auf einen Bildschirm, der mit einem primitiven Grafikeditor verbunden war, und editierte die Köpfe der Freiwilligen während das riesige Publikum applaudierte.

Es gab einen Stand eines internationalen IT-Konzerns mit einem Formel-1-Rennwagen (eigentlich hat sich dort nicht viel geändert, aber damals war es ein Novum😊). Eine Schaufensterpuppe schüttete den ganzen Tag Kaffee über eine Computertastatur, um die innovativen Vorteile einer wasserdichten Tastaturabdeckung aus Kunststoff zu demonstrieren. Es gab einen Saal, der den Start-ups gewidmet war und in dem alle Arten von Erfindungen und Innovationen gezeigt wurden… und es war alles da, eine ganze Woche lang.

Übrigens geschah das alles im Frühjahr 1992 – im Vor-Internet-Zeitalter, wie wir es heute kennen (die erste Webseite überhaupt war weniger als ein Jahr zuvor erschienen), und Jahre vor der Dot-Com-Blase.

Für die Besucher war das alles bestimmt toll und spaßig, aber für uns war es nichts anderes als harte Knochenarbeit: Non-Stop-Arbeit am Stand. Und das Ergebnis: Für de Katz! Keine neuen Kunden, keine Interessenten, gar nichts. Nicht, dass die Reise umsonst gewesen wäre. Es war unser erster Schritt, und er hat uns klar gemacht, dass wir in Zukunft wieder nach Hannover zurückmüssen, was wir (nach einigen Jahren, regelmäßig) getan haben. Das hat uns, auch wenn es ein steiniger und mit Umwegen verbundener Weg war, dorthin geführt hat, wo wir heute sind.

Während der Anfänge kamen aber jährliche Reisen zur CeBIT nicht in Frage: Wir hatten weder die Zeit noch das Geld für so etwas. Und außerdem waren wir uns sicher, dass weitere Reisen nicht zur Entwicklung unseres Geschäfts beitragen würden, also, warum sich die Mühe machen? Die wenigen russischen Softwarefirmen wurden damals mit Skepsis begegnet belustigt angeschaut, dann meist ignoriert.

Aber die Dinge begannen sich für uns früher zu ändern, als wir zunächst erwartet hatten: 1994…

Wie bereits erwähnt, haben wir einen Antivirentest der Universität Hamburg gewonnen. Und im Frühjahr 1995 hatten wir bereits ein Dutzend ausländische Partner (vor allem in Europa). Aber was uns wirklich den Anstoß auf ein neues Niveau gab, war unsere zweite Reise zur CeBIT im selben Frühjahr 1995. Dort trafen wir dann die deutsche Firma G-Data. Sie hatte bereits eine lange Geschichte im Antivirenbereich, tatsächlich hatte sie einen der ersten AV der Welt geschaffen (1988 für Atari)! Aber sie war mit ihrer eigenen Antiviren-Engine nicht allzu glücklich, und als sie die Ergebnisse des Hamburger Wettbewerbs sahen, wollten sie mit uns über technische Zusammenarbeit sprechen. Und das war es dann auch (zu einem großen Teil).

So trafen wir (nicht ich persönlich, sondern ein Kollege) 1995 auf der CeBIT zum ersten Mal die guten Leute von G-Data. Auf der CeBIT 1996 unterzeichneten wir (ich persönlich eingeschlossen) mit den guten Leuten von G-Data einen Vertrag über die Lizenzierung unserer AV-Engine und unseres AV-Datenbank-Update-Systems. Aber abgesehen von diesem wichtigen Vertrag gab es für mich auf der CeBIT in den ersten Jahren nicht wirklich viel zu tun, also besuchte ich Hannover das nächste Mal im Jahr 2001. Aber von diesem Jahr an besuchte ich sie jährlich bis 2012 und dann ein weiteres Mal im Jahr 2014, so dass sich meine Gesamtzahl der Besuche auf 15 beläuft.

In der Zwischenzeit wurde unsere Präsenz auf der CeBIT jedes Jahr dazu genutzt, aktiv Distributoren/Vertriebspartner zu suchen und zu finden, vor allem europäische. Im Jahr 1999 teilten wir uns einen Stand mit zwei anderen russischen Unternehmen, und im Jahr 2000 hatten wir einen Stand ganz für uns allein (wenn auch in einer der entfernteren Ecken der Hallen). Im Jahr 2001 hatten wir uns auf die Mitte zubewegt und unser Stand wurde zu einem zweistöckigen (wenn auch neben den öffentlichen Toiletten😊). Danach rückten wir jedes Jahr näher und näher zur Mitte der Halle heran (dort findet die ganze Action statt), und schließlich schafften wir den Umzug auf die Antiviren Straße der CeBIT, mit allen unseren Kollegen und Konkurrenten der AV-Branche als Nachbarn!

Wieso haben wir so lange gebraucht, um unseren verdienten Platz an der Antiviren Straße zu bekommen? Nun, die Organisatoren der CeBIT boten einem Unternehmen immer den Platz an, den man im Vorjahr belegt hatte, und die einzige Chance, einen anderen Platz zugeteilt zu bekommen, bestand darin, dass ein Unternehmen seinen gewohnten Messeplatz verließ und dadurch das Areal frei wurde. So entschied sich unser sehr gelber Konkurrent 2007 aus einem unbekannten Grund, nicht an der CeBIT teilzunehmen und wir nutzten die Chance, um den Platz zu ergattern, und zwar an der besten Stelle auf der gesamten Antiviren-Allee!

Das sind wir auf dem Gemeinschaftsstand mit den beiden anderen russischen Unternehmen im Jahr 1999. „Spitzentechnologien für Unternehmen“ klingt zuversichtlich, solide. Was es wirklich bedeutete: „Wir sind verzweifelt, wir müssen wirklich etwas verkaufen, um über die Runden zu kommen!“

Unser Stand 2000 – in einer Ecke:

2001 – Doppeldecker! ->

Sehen Sie für sich selbst… es war wirklich direkt neben den Badezimmern!

Ein Bild von mir, während ich mir die Hände schmutzig mache, und zwar im wahrsten Sinne des Wortes:

Wir spulen bis ins Jahr 2008 vor: Es hat sich deutlich verbessert:

Zurück zum Wesentlichen:

Jede Ausstellung, die sich selbst als seriös bezeichnet… sollte doch an einem Messestandort stattfinden. Man erwartet das doch irgendwie, dass sie irgendwo stattfindet, wo es viele Hotels gibt. Stimmt’s? Ja, das stimmt. Aber in Hannover, ja – Sie haben es schon bestimmt erahnt, gibt es (oder gab es? Bin mir der heutigen Situation nicht bewusst) einen katastrophalen Mangel an Hotelzimmern. WAS?!

Die beste und größte jährliche internationale IT-Ausstellung der Welt… fand in einer Stadt statt, in der es kaum Hotels gibt (gab). Die Teilnehmer mussten Wohnungen und Zimmer mieten, die 30, 50, 100 oder mehr Kilometer von der CeBIT entfernt waren. WIESO? Nun ja, erwarten Sie keine zufriedenstellende Antwort von mir, ich weiß es nämlich auch nicht.

Aber sie führte zu einigen interessanten, fast absurden Methoden, um das Defizit auszugleichen. Einheimische, die in der Stadt oder in der Nähe der Stadt wohnten, zogen während des Messezeitraums aus ihren Wohnungen und vermieteten diese lieber an die Ausstellungsbesucher (quasi ein Vorgänger von Airbnb). Einige zogen jedoch nicht „aus“ sondern „nach unten“ in ihre Keller (falls die Eigentumswohnung einen hatte)! Und mit dem nach einigen Jahren gesparten Geld bauten sie ein Haus nebenan und fingen an, auch dieses Haus zu vermieten!

Oder vielleicht ist diese seltsame Situation bezüglich der fehlenden Unterkünfte nur während der CeBIT entstanden? Vielleicht gab es während einer „normal großen“ Ausstellung genügend Übernachtungsmöglichkeiten, was bei der CeBIT sicher nicht der Fall war. Möglicherweise. Ich war ein paar Mal für eine andere Ausstellung in Hannover, z.B. die Hannover Messe, und da hatte ich auch keine Probleme, ein Hotelzimmer in der Stadt zu finden.

Ah – und wenn ich schon über unerklärliche Merkwürdigkeiten in Hannover schreibe, muss ich Ihnen von einer anderen erzählen, an die ich mich gerade erinnert habe: die Situation auf dem Flughafen der Stadt. Manchmal kann es stundenlange Schlangen bei der Passkontrolle geben! Was? In Deutschland?? Nachdem wir zwei- oder dreimal unter solch schrecklichen Warteschlangen gelitten hatten, beschlossen wir, nicht mehr direkt nach Hannover zu fliegen. Daher landen wir jetzt in Hamburg oder Frankfurt. Ich sag es gerne nochmal: „Hannover – bitte reiß dich zusammen!“ :).

Mir ist gerade noch etwas eingefallen. Diesmal keine Kritik an Hannover, sondern nur an meinem vergesslichen Gedächtnis. Das Messegelände verfügt über einen riesigen Parkplatz, der ungefähr die gleiche Fläche einnimmt wie die riesigen Messehallen selbst. Nun, einmal kam ich mit einem Mietwagen an, den ich gerade abgeholt hatte. Ich hatte es wohl etwas eilig, also parkte ich den Wagen und eilte zur CeBIT. Nach der Messe hatte ich jedoch vergessen, wo ich ihn geparkt hatte und auch welche Farbe er hatte! Gott sei Dank war es nicht in den 80ern, als Autofahrer noch keine piependen Autoschlüssel hatten. Trotzdem ich lief eine gute halbe Stunde lang auf diesem verdammt großen Parkplatz herum und drückte auf meine Funkautoschlüssel, bis ich endlich ein erlösendes „piep, piep“ hörte… grrrr.

Huch, ich schweife schon wieder ab. Zurück zu unseren frühen CeBIT-Erfahrungen…

Wie ich schon sagte, gab es für mich, dem IT-begeisterten Eugene, auf der CeBIT anfangs nicht viel zu tun. Verträge mit Distributoren aushandeln, Geschäftsbedingungen besprechen… nein: nichts davon gefällt mir wirklich. Aber dann wurden wir immer bekannter, und mit dem Ruhm kommt… die Presse. Und bevor ich das Ausmaß begriff, war ich der Ansprechpartner für die Presse, der ich aber nie werden wollte. Meine Arbeit mit den Medien explodierte: etwa ein Dutzend Interviews täglich! Die ganze Woche über! Und das ohne Mittagessen (ein Kollege schien es immer zu schaffen, ein zusätzliches, ungeplantes Interview für diese freie halbe Stunde mitten am Tag hineinzuquetschen 😊). Am Abend war ich dann dementsprechend sehr erschöpft. Alle anderen gingen in ein nettes, traditionelles deutsches Restaurant (nach der CeBIT – siehe unten), während ich einfach in mein Hotelzimmer gemietetes Zimmer zurückkehrte, kurz zu Abend aß (meistens eine Wurst vom Imbiss) und schließlich im Schlafsack einschlief. Ich redete den ganzen Tag über mit der Presse, dass ich mich quasi buchstäblich wund redete. Zwei Mal habe ich sogar Bläschen auf der Zunge bekommen!

Erst Jahre später habe ich mir die Frage gestellt: Warum hat sich die Presse so sehr für uns interessiert?

Ich glaube, es liegt daran, dass „Cybersicherheit“ damals ein sehr heißes Thema war (genau wie heute!), und die Aufmerksamkeit dafür schnell zunahm. Und von allen Ständen auf der CeBIT gab es nur einen, (und zwar unser Stand), der in der Lage war, die Expertensicht rund um Cybersicherheit ausführlich zu erläutern. Andere beschränkten sich auf die typischen hellen und glänzenden Produkt/Marketing-Maschen, aber die Leute hatten es satt (das war vor 20 Jahren. Einige sind heute immer noch dabei, stellen Sie sich das mal vor😊). Wir hingegen konnten Geschichten über Cyberkriminelle erzählen, wie und warum sie sich in die Computer und Netzwerke ihrer Opfer einhacken, was sie stehlen und wie sie das, was sie stehlen, in Hartwährung verwandeln können. Und es scheint, dass wir uns vom traditionellen Marketing-Mist unserer Konkurrenten mit unserer Innovation, Leidenschaft und unkonventionellen Art abgehoben haben: Das gefällt nämlich der Presse 😊.

Noch ein paar Bilder. Zeitreise zur CeBIT 2010:

Und hier ist die „Antivirus Allee“. Trend Micro, G-Data, Avira und mehr. Die Organisatoren teilten die Standfläche nach verschiedenen Branchensegmenten auf. Dieser Pavillon wurde allen Arten von Cybersicherheitsfirmen überlassen, auch uns. Doch ab 2010 wurde die Teilnehmerliste der AV-Unternehmen immer kleiner. Symantec, McAfee, F-Secure und andere kleinere Unternehmen kamen alle nicht mehr zum jährlichen Trubel. In der Zwischenzeit wurden wir jedes Jahr größer und fröhlicher (aber immer basierend auf dem Fachwissen😊 )!

Es gab Jahre, an denen ich am Vorabend der Ausstellungseröffnung zur CeBIT ging, als der Aufbau der Stände noch im Gange war:

Hier ist unser Stand im Jahr 2012, alles aufgebaut und einsatzbereit:

…Und hier ist der gleiche Stand am Tag danach. Der erste Ausstellungstag war Non-Stop-Trubel. Für mich: Nonstop-Interviews mit Internet-, TV-, Radio-, Zeitungs- und Zeitschriftenjournalisten, Treffen mit unseren Geschäftspartnern, erstmalige Begegnung mit neuen Geschäftspartnern – und kein Mittagessen ☹ .

Hier ist unser immer volle Lounge-Bereich. Manchmal habe ich ihn als Ad-hoc-Minikonferenzsaal genutzt, um mit verschiedenen Distributoren und Resellers aus der ganzen Welt zu sprechen. Nun, sie waren alle hier, warum dann nicht einfach alle zusammen über unsere Neuigkeiten, Pläne und neuen Produktideen informieren? Dann habe ich vielleicht einfach mal Zeit, etwas zu Mittag zu essen).

Da unser Stand recht groß war, arbeiteten einige Dutzend Mitarbeiter hier. Und diese Mitarbeiter, und natürlich auch unsere Gäste/Partner, mussten regelmäßig gefüttert werden und mit reichlich Flüssigkeit versorgt werden. Dementsprechend hatten wir unser eigenes Mini-Café. Ein Ort, in dem ich leider viel zu wenig Zeit verbracht habe ☹.

Am Abend… (Sie werden es nicht glauben): Party! Bier, DJs, Disco, Tanzen, jeder war Glücklich! Haare: ruiniert.

Eines der vielen tollen Dinge an der CeBIT war, dass man nach den harten Arbeitstagen noch etwas Spaß haben konnte. Jedes Unternehmen, das etwas auf sich hielt, veranstaltete abwechselnd einen Partyabend auf ihrem Stand. Das macht also eine Party pro Abend für die ganze Woche! Und es gab keine Regeln für das Format der Abendveranstaltung. Nun, das war unser Partyabend:

Ja – das sind zwei Damen, die auf den Tischen tanzen :).

Einige Male luden wir einige in Berlin lebende russische DJs ein, um ein bisschen „Russendisko“ aufzulegen:

Ok, die Musik war nicht nur Russendisko (wir wollten es nicht übertreiben:), aber die Zeichentrickfilme auf den Bildschirmen waren auf jeden Fall sowjetisch. Stundenlang tanzten und tranken wir uns durch die Nacht und unsere Party wurde zu einer der geschäftigsten. Auch das lokale Messemagazin „Messe Zeitung“ war der Meinung: Unsere Nacht wurde als „die coolste Party der gesamten CeBIT“ ausgezeichnet! Leider hat kein Exemplar dieser Ausgabe des Magazins überlebt.

 

Ich glaube nicht, dass es neben der CeBIT noch eine andere Ausstellung – auch keine IT-Messe – gibt, auf der ich gewesen bin, die ein so entspanntes Abendformat erlaubt. Die Hannover Industriemesse zum Beispiel, die im gleichen Gebäudekomplex stattfindet, ist eine „Hemd und Krawatte“-Veranstaltung: absolut keine abendlichen Spielereien :). Sogar der Mobile World Congress in Barcelona, der ähnlich fröhlich, lustig und dynamisch wie die CeBIT ist… erlaubt überhaupt keinen Unfug!

Und zum Schluss, leider leider, spiele ich einen geschriebenen Moll-Akkord…

Anfang 2010 beschloss die CeBIT, obwohl ihr Format jahrzehntelang gut funktioniert hat, ihr Format zu ändern. Sie wurde deutschzentrierter, geschäftlicher und formeller. Infolgedessen kam praktisch das gesamte asiatische Kontingent der CeBIT nicht mehr.

Von da an ging es nur noch bergab. Alles, was mobil war, schien sich auf MWC in Barcelona und andere asiatische Messen zu verlagern, und das war es dann – schließlich: Game over. Die CeBIT hörte 2019 endgültig auf zu existieren :((.

Meine letzte CeBIT fand 2014 statt. Nur drei Antiviren-Unternehmen waren dort vertreten: wir, Sophos und ESET (nur zum Vergleich, auf dem Höhepunkt der CeBIT (2000-2005) waren es etwa ein Dutzend).

Aber bei meinem letzten Besuch war ich aus einem anderen Grund dort:

 

Ich denke, das Foto sagt alles. Nur für alle Fälle, finden Sie hier die Details.

PS: Vielleicht fragen Sie sich sich, warum ich so viel über eine einzige jährliche IT-Ausstellung geschrieben habe.

Nun, eigentlich liegt es daran, dass ich die CeBIT für so entscheidend für unsere Entwicklung halte. Unsere kontinuierliche Präsenz dort war einer der Schlüsselfaktoren für unseren Erfolg, insbesondere in Europa. Denn dort gab es jedes Jahr eine außergewöhnlich hohe Konzentration an nützlichen Kontakten und IT-Presse. Dort konnten wir stolz darüber sprechen, dass wir besser sind als unsere Konkurrenten und die Leute wurden aufmerksam auf uns!

Auch unser „Weg zum Erfolg“, den wir zu einem großen Teil auf der CeBIT beschritten haben, ist heute ebenfalls so ziemlich eine historische Untersuchung entsprechend seiner Zeit. Das ist ein weiterer Grund, warum ich viel geschrieben habe: Es schließt irgendwie ein bedeutendes Kapitel ab, also musste ich es richtig irgendwie machen. Ich bin mir sicher, dass Startups heute nicht mehr so bizarre, zähneknirschende Abenteuer erleben müssen. Heutzutage gibt es Investoren, und man kann aus den Erfahrungen anderer, älterer Unternehmen lernen. Welch ein Glück. Dennoch muss ich gestehen, dass auch wir Glück hatten: Der Weg zum Erfolg, den wir auf der CeBIT beschritten haben, war zwar oft hart, aber hat auch viel Spaß gemacht!

 

Cybersicherheit: Wie alles begann – Teil 3: 1992-199x.

Nur für den Fall, dass Sie die ersten beiden Teile verpasst haben, dies ist die dritte Episode meiner Cyber-Chroniken aus vergangenen Zeiten. Da ich, wie die meisten Leute, eingesperrt bin, habe ich mehr Zeit, um in aller Ruhe in der Vergangenheit der CyberseKurity zu schwelgen. Normalerweise sitze ich in Flugzeugen und fliege rund um den Globus für Geschäfte und Tourismus – was normalerweise den größten Teil meiner Zeit in Anspruch nimmt. Aber da all das – zumindest offline/persönlich – im Moment nicht möglich ist, nutze ich einen Teil dieser ungenutzten Zeit stattdessen, um auf mit meinen Fingern auf die Tastatur zu hauen. Das Ergebnis: Ein bisschen persönliche / Kaspersky Lab / cyberhistorische Nostalgie! In diesem Beitrag schreibe ich mehr über den Zeitraum ab den Neunzigern.

Der Tippfehler, der zur Marke wurde

Ganz am Anfang wurden alle unsere Antivirenprogramme nach der ‚-*.EXE‘-Vorlage benannt. Das heißt zum Beispiel ‚-V.EXE‘ (Antiviren-Scanner), ‚-D.EXE‘ (resident Monitor), ‚-U.EXE‘ (Dienstprogramme/Utilities). Das ‚-‚-Präfix wurde verwendet, um sicherzustellen, dass unsere Programme in einem Dateimanager ganz oben auf der Liste der Programme stehen (Technikfreak verwendet von Anfang an intelligente PR-Maßnahmen ?:) ).

Später, als wir unser erstes vollwertiges Produkt auf den Markt brachten, tauften wir es „Antiviral Toolkit Pro“. Logischerweise hätte das mit „ATP“ abgekürzt werden müssen; aber das wurde es nicht…

Irgendwann gegen Ende 1993 oder Anfang 1994 bat mich Vesselin Bontchev, der sich an mich von früheren Treffen (siehe Cybersicherheit: Wie alles begann – Teil 1) erinnerte, um ein Exemplar unseres Produkts. Er testete es im Virus Test Center der Universität Hamburg, wo er zu dieser Zeit arbeitete. Natürlich war ich sehr dankbar dafür! Während der Zip-Archivierung der Dateien gab ich dem Archiv versehentlich den Namen AVP.ZIP (anstelle von ATP.ZIP) und schickte es ausversehen an Vesselin. Einige Zeit später bat mich Vesselin um die Erlaubnis, das Archiv auf einen FTP-Server zu stellen (damit es öffentlich zugänglich wäre), und natürlich kam ich Ihm wieder entgegen. Ein oder zwei Wochen später sagte er mir: ‚Ihr AVP wird auf dem FTP wirklich ziemlich populär!

‚Welches AVP?‘, fragte ich.

Was meinst du mit ‚Welches AVP‘? Na, den, den Sie mir in der Archivdatei geschickt haben, natürlich!“

‚WAS?! Benennen Sie es sofort um – das ist ein Tippfehler!“

Zu spät. Es ist bereits veröffentlicht worden – und als AVP bekannt!“

Und das war’s: AVP, war es halt nun! Glücklicherweise haben wir (irgendwie) es dann doch geschafft, AVP Sinn zu verleihen:  Anti-Virus-Toolkit Pro. Wie ich schon sagte – irgendwie. Wenn schon, denn schon: Alle unsere Tools wurden umbenannt, indem das Präfix „-“ weggelassen und „AVP“ an seine Stelle gesetzt wurde.  Bis heute noch wird es in einigen der Namen unserer Module verwendet.

Erste Geschäftsreisen – nach Deutschland zur CeBIT

1992 half mir Alexey Remizov – mein Chef bei KAMI, wo ich zum ersten Mal arbeitete – dabei, meinen ersten Auslandsreisepass zu bekommen, und nahm mich mit zur CeBIT-Ausstellung in Hannover in Deutschland. Wir hatten dort einen bescheidenen Stand, den wir uns mit einigen anderen russischen Unternehmen teilten. Unser Tisch war zur Hälfte mit KAMI-Transplutertechnologie gedeckt, die andere Hälfte – unser Antivirus-Angebot. Wir wurden mit kleinen Aufträgen belohnt, aber nichts Großartiges. Trotzdem war es eine sehr nützliche Reise…

Unsere Eindrücke von der CeBIT damals waren einfach nur oh-mein-grandios! Es war einfach so riesig! Und es war noch gar nicht so lange her, dass Deutschland wiedervereinigt war, also war für uns alles ein bisschen Westdeutschland – der Computerkapitalismus ist durchgedreht! In der Tat – ein Kulturschock (gefolgt von einem zweiten Kulturschock, als wir wieder in Moskau ankamen – dazu später mehr).

Angesichts der immensen Größe der CeBIT wurde unser kleiner Gemeinschaftsstand kaum zur Kenntnis genommen. Dennoch war es der sprichwörtliche „erste Schritt ist die große Welt“ oder so ähnlich. Denn vier Jahre später folgte ein erneuter Besuch der CeBIT – diesmal, um mit dem Aufbau unseres europäischen (und dann globalen) Partnernetzwerks zu beginnen. Aber das ist ein Thema für ein andermal einen weiteren Beitrag (was meiner Meinung nach besonders für diejenigen interessant sein sollte, die ihre eigenen langen Geschäftsgeschichte schreiben werden).

Übrigens habe ich schon damals verstanden, dass unser Projekt dringend zumindest eine Art von PR-/Marketing-Unterstützung benötigte. Aber da wir kaum Geld hatten und die Journalisten noch nie von uns gehört hatten, war es schwierig, welche zu bekommen. Dennoch gelang es uns als direkte Folge unserer ersten Reise zur CeBIT, im Mai 1992 einen selbstgeschriebenen Artikel über uns im russischen Technologie-Magazin ComputerPress zu veröffentlichen: hausgemachte PR!

Fee! Fie! Foe! Fum!, Ich rieche das Geld der Engländer

Meine zweite Geschäftsreise fand im Juni-Juli desselben Jahres statt, und zwar flog ich nach Großbritannien. Ein Ergebnis dieser Reise war ein weiterer Artikel, diesmal im Virus Bulletin mit dem Titel „The Russians Are Coming“ (dt. die Russen kommen), der unsere erste ausländische Publikation war. Übrigens, in dem Artikel werden „18 Programmierer“ erwähnt. Insgesamt arbeiteten wahrscheinlich 18 Personen bei KAMI, aber in unserer AV-Abteilung waren wir nur zu dritt.

London, Juni 1992

So weit, so gut. Aber haben wir Geld verdient? Die schnelle – auch vollständige – Antwort: nein. Die Sache war die, dass es damals in Russland praktisch keinen legitimen Software-Markt gab. In Russland wurden viele Raubkopien „verkauft“, aber kaum jemand kaufte tatsächlich autorisierte Produkte. Es wurden einige zaghafte Versuche unternommen, ATP AVP über die KAMI-Partnerschaften zu verkaufen (einige rühmen sich bis heute stolz darauf, seit damals mit uns zusammenzuarbeiten:), aber es kam nicht viel dabei heraus. Dementsprechend war ich gezwungen, meinen Lebensunterhalt… als Akkordarbeiter für das britische Antiviren-Unternehmen Sophos zu verdienen!

Die Briten schickten mir neue Proben von Viren, die sie eingefangen hatten, und ich machte mich daran, sie zu analysieren, um Signaturen für ihren Virenschutz zu erstellen, und schickte sie dann zurück. Und das zum Stückpreis von fünf US-Doller pro Stück, soweit ich mich erinnere. Und so habe ich bis Dezember 1996 mein täglich Brot verdient.

Die allererste Auszeichnung (von vielen)

Die ersten Tests von Virenschutzprogrammen an großen Sammlungen von Malware, von denen ich je gehört hatte, sollten im Frühjahr/Sommer 1994 stattfinden. Und wir haben beschlossen, daran teilzunehmen (Details – hier). 32 Produkte traten an und jedes wurde auf die Erkennung von etwa 16.000 infizierten Dateien getestet. Nun, Sie können sich wahrscheinlich unsere Überraschung vorstellen, als das Antivirusprogramm, das die höchsten Ergebnisse erzielte, und deshalb gewann… unserer war! Die Ergebnisse der Tests wurden am 19. Juni 1994 veröffentlicht. Und das sind genau diese Testergebnisse:

Welch eine Freude!

Die Rolle, die dieser Sieg für uns hatte, kann gar nicht hoch genug eingeschätzt werden. Anfang 1994 engagierten uns unsere ersten ausländischen Partner nur gelegentlich. Aber nach diesen Testergebnissen, schafften wir den großen Sprung: Im Dezember 1994 hatten wir bereits acht Partner in Übersee!

Ich erinnere mich noch gut an die Vereinbarungen, die wir mit diesen ersten Partnern getroffen haben – denn ich war derjenige, der sie ausgearbeitet und schon mit den meisten von ihnen früh verhandelte. Nicht das beste Metier für einen Mathematiker! Sie können sich also meine Erleichterung vorstellen, als meine damalige Frau Natalya einsprang, um alles Geschäftliche und die Buchhaltung übernahm.

Und auf diese Weise haben wir unser viertes Mitglied ins Boot geholt. Nach fünf Jahren zu Hause bei den Kindern fing sie in der Verkaufsabteilung von KAMI an zu arbeiten. Und da wir Kapital brauchten und der beste Weg, um an Kapital zu kommen der Vertrieb war, luden wir sie ein, sich uns anzuschließen, um die Verkäufe (und die Verträge und Buchhaltung) zu leiten. Nochmal zur Erinnerung: 1994 existierte der russische Software-Markt nicht wirklich, und so gab es nur sehr wenig Geld (Gehalt) für offene Stellen im Bereich „russische Software“. Hochkarätige Verkaufsprofis könnten niemals in eine ~nicht existierende Branche gelockt werden – noch dazu zu einem Neuling darin! – und sie hätten sich nie vorstellen können, dass dieser Neuling schon bald die Welt erobern würde). Stattdessen trat Natalja an den Verhandlungstisch, um sozusagen „auszuhelfen“.

Anfangs hatte sie es auch sehr schwer. Der Rest des Teams – die Programmierer – hatten insofern Glück, da man sich beim Programmieren nur an die richtigen Tastenreihenfolge in den verschiedenen Programmiersprachen gewöhnen musste. Für Natalya gab es damals leider praktisch keine Business Schools, so dass sie (und auch wir, für nicht-computerfreakiges Zeug) praktisch alles von Grund auf und aus eigener Kraft und aus Fehlern lernen musste.

Besonders heikel war die Zusammenarbeit mit unseren ausländischen Partnern, denn bei weitem nicht alle von ihnen sich… völlig ehrlich verhielten. Ziemlich viele… bestahlen uns! Einer unserer aufrechten Partner tat das Anständige und erklärte uns, dass in unserem Standardvertrag Klauseln fehlten, um unsere Partner vernünftig zu kontrollieren. Wir waren ein leichtes und schnell ausnutzbares Ziel. Wir antworteten unserem Partner, dass wir einverstanden seien, aber unser Vertrag, so wie er war, unsere einzige Chance, um Zugang zum Weltmarkt zu erhalten war. Wir dachten uns nur: Wir lassen uns bestehlen, aber zumindest werden sie unser Produkt zur gleichen Zeit auf den Markt bringen.

Und so schafften wir es, unser erstes Partnernetzwerk zu knüpfen. „Schaffen“ in dem Sinne, dass es keinen wirklichen Plan gab, um die Aufgabe tatsächlich in Angriff zu nehmen. Wir haben es uns im Laufe der Zeit selbst geschaffen und gelernt, wie es geht. Und außerdem konnten wir kaum viel planen, da es die Partner waren, die nach einer Weile zu uns kamen. Doch Anfang 1995 begann Natalya, die ihr Englisch innerhalb eines Jahres von „sowjetisch erzogenen Soundsoundso“ auf „gut“ aufgefrischt hatte, viel enger mit unseren Partnern zusammenzuarbeiten. Sie flog oft zu ihnen, um ihnen bei der Feinabstimmung unseres wachsenden internationalen Geschäfts zu helfen. Chapeau, Natalya!

Und schon kurze Zeit später ging es dann richtig los. Aber mehr dazu im vierten Teil…

Ein Update der Quarantäne-Cybernachrichten: März 92, 2020

Die meisten Menschen auf der ganzen Welt sind seit etwa drei Monaten eingesperrt! Sie gehören bestimmt auch dazu, daher bin ich mir sicher, dass Sie in den letzten Monaten vieles über einen konkreten Film gehört haben: Und täglich grüßt das Murmeltier ist nämlich keine Komödie mehr! Dann das Wetter: Wenn es noch nass und winterlich ist, ist es deprimierend für alle (abgesehen von der Erfahrung, zuhause eingesperrt zu sein). Wenn es besser und sommerlich wird, bleibt es auch weiterhin eine Enttäuschung für alle, da niemand hinausgehen kann, um das prima Wetter zu genießen!

Dennoch nehme ich an, dass es vielleicht ein Trost ist, dass wir alle im selben Boot sitzen. Vielleicht. Aber wir sind gesetzestreue Menschen. Was ist mit den Cyberkriminellen? Wie geht es ihnen wohl zu Hause? Nun, ich habe neulich einige Statistiken und Trends dazu veröffentlicht. Heute möchte ich weitere Daten veröffentlichen, denn ja, Cyberkriminelle handeln schnell. // Ach ja, und übrigens, wenn Sie an weiteren Cyber-Nachrichten von der dunklen Seite interessiert sind, verpassen Sie nicht diesen Tag, der alle Beiträge sammelt.

Zuerst einmal ein paar mehr Statistiken – aktualisierte und beruhigende dazu…

Im März und vor allem im April sprang die gesamte Cyberkriminalität sprunghaft an; im Mai ist sie jedoch wieder stark zurückgegangen – bis etwa auf das Niveau vor der Coronakrise im Januar-Februar:

Gleichzeitig haben wir einen stetigen Rückgang aller Malware, die mit dem Coronavirus in Verbindung stehen, verzeichnet:

// Mit „Malware, die mit dem Coronavirus in Verbindung stehen“ sind Cyberattacken gemeint, die das Coronavirus-Thema in irgendeiner Weise dazu benutzt haben, um kriminellen Ziele zu erreichen.

Es scheint also, dass die Nachrichten vielversprechend sind. Die Cyberschurken treiben weniger als früher ihr Unwesen. Was die Statistiken jedoch nicht zeigen, ist das warum; oder – was tun sie stattdessen? Sicherlich haben sie sich nicht den ganzen Monat Mai freigenommen, der in vielen Teilen der Welt eine recht hohe Zahl von freien Tagen hat, einschließlich der Tage, an denen das Ende des Zweiten Weltkriegs gefeiert wird. Nein, das kann nicht sein. Was dann?…

Leider weiß ich es nicht. Sie erzählen mir ja nichts über ihre kriminellen Geschäftspläne. Aber ich habe meine eigene Hypothese: Vielleicht haben sie es im April so sehr übertrieben, dass sie sich im Mai eine Auszeit nehmen mussten, um ihren „Fang“, also die Masse an Daten, zu analysieren. Es braucht nämlich durchaus etwas Zeit, um sie zu sichten und richtig zu monetarisieren. Das ist nur eine Vermutung, aber durchaus möglich.

Deshalb glaube ich, dass es noch zu früh ist, um sich in der neuen „Normalität“ in Sicherheit zu wiegen. Cyber-Bösewichte haben schon immer gehackt, hacken immer noch und werden auch in der Zukunft hacken. Und alle verschiedenen Arten von Hacks nutzen immer noch die Panik rund um Corona aus, um ihnen bei ihren bösen Taten zu helfen. Viele APT-Gruppen haben es zum Beispiel in Phishing-E-Mails verwendet. Es gibt jedoch einige besondere Verwendungen des Coronavirus als Leitmotiv (apropos, es gibt auch einige Angriffe, die das Coronavirus nicht als Köder verwenden), die besonders hervorgehoben werden müssen:

So hat in letzter Zeit zum Beispiel die Hackergruppe Transparent Tribe (über die wir kürzlich einen APT-Bericht geschrieben haben), die sich auf Angriffe auf indische Unternehmen, den öffentlichen Sektor und militärische Einrichtungen spezialisiert, noch weitere, dunklere Schritte gewagt. Sie haben sich als die offizielle indische Coronavirus-App, die auf allen Geräten im Land installiert werden muss, ausgegeben, um Android-Backdoors zu verbreiten. Und es sieht so aus, als würden sie Ziele angreifen, die beim Mlitär arbeiten.

Am 20. April wurde auf dem 4chan-Forum ein Beitrag über ein Leak von Logins und Passwörtern des Instituts für Virologie von Wuhan veröffentlicht. Kurz darauf gab es in vielen Beiträgen auf verschiedenen Social-Media-Plattformen einen Aufschrei (und auch viel Medientrubel) über angeblich durchgesickerte Daten nicht nur vom Wuhan-Institut, sondern auch von der WHO, der Weltbank, der Gates Foundation und anderen Organisationen. Unsere eigene interne Untersuchung des Leaks ergab, dass die meisten Daten aus älteren Leaks stammten. Darüber hinaus wurden die Informationen, die in verschiedenen Foren gepostet wurden, meist als vermutlicher Beweis für eine absichtliche Verbreitung von SARS-CoV-2 / COVID-19 herangezogen. Im Großen und Ganzen sieht es nach echten gefälschten (!) Nachrichten mit politischen Untertönen aus. Wer da wohl dahintersteckt?

Quelle

Die nächste Nachricht steht nicht direkt mit dem Coronavirus in Verbindung; allerdings wurden viele der gehackten Supercomputer zur Erforschung von COVID-19 genutzt, so dass die Forschung verlangsamt wurde. Wie auch immer…

Eines Tages, Anfang Mitte Mai, wurden mehrere Supercomputer weltweit gleichzeitig gehackt. Archer in Edinburgh, das deutsche bwHPC, das Swiss National Supercomputing Centre (das derzeit das Coronavirus-Protein analysiert) und viele weitere Hochleistungsrechenzentren in Europa, Nordamerika und China. Unsere Analyse zeigte, wie die Cyberkriminellen Backdoors benutzten, um… Krypto-Währung zu minen! All das Superhacken von Supercomputern nur deswegen? Sicherlich nicht. Da Cryptomining heutzutage wohl kaum der profitabelste Bereich der Cyberkriminalität ist, bleibt die Frage nach einem Grund: Was hatten sie wirklich vor? Ein Testlauf für etwas viel Größeres, das noch kommen wird? Und wieder einmal bleibt das Wer und Warum ein Rätsel.

Eine interessante, in Forbes veröffentlichte Untersuchung behauptet, dass Xiaomi-Smartphones die Internet-Links und Suchanfragen aller Benutzer zusammen mit Metadaten über ihre Geräte an… die Server von Alibaba gesendet haben! Jepp, der Forscher installierte seinen eigenen Browser auf seinem Telefon und das hat er entdeckt. Xiaomi dementiert natürlich alles, versprach aber trotzdem ein Software-Update und fügte ein Kontrollkästchen hinzu, mit dem die Benutzer sich gegen das Senden von Daten entscheiden können.

Source

Und zu guter Letzt noch ein weiteres Unternehmen, dessen Ruf kürzlich aufgrund von Sicherheitsproblemen einen weiteren Imageschaden erlitt: Zoom. Die Probleme waren so eklatant schlimm, dass ich beschloss, ihre Software (seit Beginn des Corona-Lockdowns) nur auf einem „leeren“ Computer zu verwenden, sofern ich zur Benutzung von Zoom gezwungen wurde. Trotzdem muss man es Zoom lassen – in zwei Monaten haben sie die Dinge wirklich geändert. Mit jedem Patch verbessern sie die Sicherheit, und sie haben ein gutes Bug-Bounty-Programm gestartet (unter der Leitung von Katie Moussouris, die ein solches Programm zuvor bei Microsoft eingeführt hatte). Und erst kürzlich gab Zoom bekannt, dass es den Kryptodienst Keybase zum Schutz der übermittelten Daten kaufen wird. Ich hoffe also, dass Zoom ein gutes Beispiel dafür wird, wie eine gute Einstellung zur Sicherheit zum Geschäftserfolg führt – und dass sogar Zoom den Weg auf meinen „Kampf“-Laptop findet). Gut gemacht, Zoom!

Und das war’s für heute. Wenn weitere Cyber-Meldungen von der Quarantäne-Front auftauchen, werde ich Sie bald darauf auf den neuesten Stand bringen. Und jetzt… zurück an die Arbeit!

Der Cyberpuls der Welt während der Pandemie

Eine der häufigsten Fragen, die mir in diesen schwierigen Zeiten gestellt wird, ist, wie sich die cyber-epidemiologische Situation verändert hat. Wie sich die Cybersicherheit im Allgemeinen durch den massenhaften Übergang zum Homeoffice (oder zur Arbeitslosigkeit, für die Unglücklichen, die es getroffen hat) verändert hat. Konkret auch welche neuen listigen Tricks sich Cyberkriminelle ausgedacht haben und was man tun sollte, um sich weiterhin vor ihnen zu schützen.

Lassen Sie mich daher die Antwort(en) auf diese Frage(n) in diesem Blogpost zusammenfassen…

Wie immer beobachten Kriminelle – auch Cyberkriminelle – die sich ändernden Bedingungen genau und passen sich ihnen an, um ihr kriminelles Einkommen zu maximieren. Wenn also der größte Teil der Welt plötzlich praktisch zu einem vollwertigen „Bleib-zu-Hause“-Regime übergeht (Homeoffice, Home-Entertainment, Home-Shopping, soziale Interaktion zu Hause usw.), adaptieren auch Cyberkriminelle diese Taktik.

Cyberkriminelle haben bemerkt, dass die meisten Menschen, die sich in Quarantäne befinden, viel mehr Zeit im Internet verbringen. Dies bedeutet eine größere allgemeine „Angriffsfläche“ für ihre kriminellen Taten.

Viele der Arbeitnehmer, die jetzt leider von zu Hause aus arbeiten müssen, werden von ihren Arbeitgebern nicht mit einem hochwertigen, zuverlässigen Cyber-Schutz ausgestattet. Das bedeutet, dass es jetzt mehr Möglichkeiten für Cyberkriminelle gibt, sich in die Unternehmensnetzwerke zu hacken, mit denen die Mitarbeiter verbunden sind, und die für die Bösewichte eine potenziell sehr ertragsreiche kriminelle Beute darstellen.

Natürlich sind die Bösewichte hinter dieser verlockenden Beute her. Bestätigt wird dies durch die starke Zunahme von Brute-Force-Angriffen auf Datenbankserver und RDP (Remote Desktop Technologie, die es beispielsweise einem Angestellten erlaubt, vollen Zugang zu seinem Arbeitsrechner – seine Dateien, seinen Desktop, also alles – aus der Ferne, z.B. von zu Hause aus, zu erteilen).

 

Passwort-Kombinationen, die durch Brute-Force entschlüsselt wurden, werden verwendet, um in Unternehmensnetzwerke einzubrechen und dort Ransomware, also Erpressungstrojaner wie Crusis-, Cryakl– und Phobos-Malware einzuschleusen. Seit Anfang des Jahres stieg die durchschnittliche tägliche Zahl der mit dieser Technik angegriffenen Einzelbenutzer um 23%. Betrachtet man das Diagramm jedoch in absoluten Zahlen, so wird klar, dass die Angriffe sprunghaft angestiegen sind. Diese plötzlichen Zunahmen waren praktisch auf der ganzen Welt einheitlich.

Bestätigt wird die diese Tendenz durch den weltweiten Anstieg der Web-Bedrohungen: 25% mehr in vier Monaten. Doch besonders auffällig war vor allem der starke Anstieg der Anzahl der 1.) Modifikationen von Browser-Skripten, die an schlecht geschützte Websites angehängt werden und den Bösewichten die Bankkartendaten der Opfer zukommen lässt, und 2.) Cookie-Dropping-Angriffe (dabei handelt es sich um die versteckte Installation von Cookie-Dateien, die nichts mit einer besuchten Website zu tun haben).

 

Und schließlich gab es einen, wenn auch nicht besonders starken, Anstieg der durchschnittlichen täglichen Warnmeldung von Antivirenprogrammen (+8% seit Jahresbeginn). Malware-Skripte sind zusammen mit böswilligen Verknüpfungen (.js, .vbs) am häufigsten daran schuld (sie ermöglichen die schnelle Entwicklung neuer Malware, indem sie einfach einen PowerShell-Befehl in eine Verknüpfung integrieren). Oh, und noch etwas: Ein unerwarteter, nicht willkommener Gast aus der Vergangenheit ist wieder aufgetaucht: die Reinkarnation des ziemlich alten polymorphen Virus (oh ja!) Sality! Unsere Produkte erkennen täglich etwa 50.000 einzigartige Dateien, die damit infiziert sind.

Aber Moment! Im Februar gab es bereits eine ähnliche Meldung, als wir die Infizierung durch KBOT registriert haben (ja, das fiese Parasitenvirus, das bösartige Codes in ausführbare Dateien injiziert: das erste „lebende“ Computervirus, das wir vor Jahren in freier Wildbahn entdeckt haben). Aber wir glauben, dass es noch etwas zu früh ist, um zu behaupten, dass es wirklich eine Rückkehr in die Ära der Viren geben wird. Die Anzahl der Malware der „alten Schule“ ist in der Gesamtheit der täglichen Infektionen, immer noch sehr gering.

Insgesamt stieg der Anteil neuer Malware (von allen Malware-Programmen) im April um 7,9 %. Ich möchte Sie daran erinnern, dass wir täglich (!) mehr als 340.000 neue (!) Malware-Instanzen abfangen und in unsere Datenbank aufnehmen! Und im April war das ein Anstieg von fast 10 %.

Merkwürdig ist, dass in den ersten beiden Maiwochen fast alle aufgelisteten Zunahmen von Schwachstellen, die wir festgestellt haben, tatsächlich zurückgegangen sind: durchschnittlicher Alarm von Antivirenschutzprogrammen: -7,2%; Web-Virenschutzprogramme -5,27%; und neue Malware -31%. Die einzigen Zunahmen konnten bei Brute-Force-Angriffen auf Datenbankserver und RDP (+0,27%) verzeichnet werden. Ich frage mich, warum? An den Maifeiertagen war es sonnig, vielleicht haben sich die Cyberkriminellen ein paar Tage frei genommen?! Mal sehen, ob der Trend für den Rest des Monats anhält…

Zusammenfassung

Die cyber-epidemiologische Situation verläuft wie erwartet, und hier bei K und auf den Computern, Geräten, Servern und Netzwerken unserer Nutzer ist alles unter Kontrolle.

Dennoch schlage ich vor, dass jeder die Grundregel der Cybersicherheit befolgt – nämlich die Cyber-Hygiene aufrechtzuerhalten! 🙂 Die wichtigste Regel lautet: Klicken Sie nicht auf Dinge, die Sie zum anklicken verleiten (die Hände nach dem Klicken mit Seife zu waschen hilft nicht); installieren oder starten Sie keine Programme, auf die Sie zufällig gestoßen sind; verwenden Sie einen VPN-Dienst, ebenso wie die Zwei-Faktor-Authentifizierung, und verwenden Sie immer – auch bei der Heimarbeit – einen guten Cyber-Schutz. Mehr über effektives Homeoffice erfahren Sie unter unserem Tag Homeoffice auf unserem Blog.