Das Jahr ging recht atemlos aber umso spannender los: Schon zwischen den Jahren hatten der ethische Hacker René Rehme und ich die IT-Sicherheit der Unis und Hochschulen in den Blick genommen. Ich kannte René Rehme von meiner Recherche über die IT-Sicherheit von Kommunen, an der er ebenfalls gearbeitet und einige bedenkliche Sicherheitslücken gefunden hatte. Nun werden in letzter Zeit verstärkt Unis Opfer von Ransomware-Banden, und wir fragten uns, ob dort eventuell ähnlich viel im Argen liegt.
Unsere Recherche förderte leider tatsächlich massive Sicherheitslücken an vielen Unis und Hochschulen zu Tage. Wir hatten sie von außen angegriffen - so, wie es kriminelle Hacker tun würden. Nur mit den Methoden des ethischen Hacking: Anders als Kriminelle richteten wir keinen Schaden an, sondern informierten die Verantwortlichen über die gefundenen Lücken und wie sie sie beheben können.
Und so begann mein Januar damit, zusammen mit René Rehme diese Sicherheitslücken nachzuvollziehen, unendlich viele teils sehr sensible Daten zu sichten und schließlich zahlreichen Institutionen Sicherheitslücken zu melden - was ein ganz eigenes Abenteuer war.
Denn mir wurde dabei klar, was für ein aufwendiger Prozess das ist, wie schwierig es ist, die richtigen Ansprechparter:innen zu finden und auch, dass manche leider nicht oder nur langsam reagieren. Das machte uns vor allem angesichts einiger sehr kritischer Lücken nicht nur recht nervös - es ist auch ein zusätzliches Sicherheitsrisiko. Schließlich blieben die Lücken in dieser Zeit offen.
Das war eine atemlose Zeit, wir arbeiteten nachts und am Wochenende, und immer wieder kam ich aus dem Staunen nicht mehr heraus, wie miserabel es um die IT-Sicherheit an deutschen Unis bestellt ist. Der Prozess des Meldens war teilweise kafkaesk - dazu schreibe ich nochmal etwas längeres auf Riffreporter. Auch die Reaktionen waren vielfältig - von sofortiger Reaktion und Dank bis hin zur Drohung mit rechtlichen Schritten. Ich habe einen großen Artikel für die ZEIT dazu geschrieben, sowie diverse Threads auf Mastodon und Twitter mit Hintergrundinfos und weiteren Details. Zudem werde ich wie gesagt in den nächsten Tagen auf Riffreporter einen Artikel mit weiteren Details und Hintergrundinfos veröffentlichen.
Passend dazu halte ich am Montag, 23.1., einen Vortrag über IT-Sicherheit an Universitäten an der Uni Freiburg - ein Termin, der schon lange vor Beginn der Recherche vereinbart wurde. Von daher ein glücklicher Zufall für die Freiburger, dass dieses Thema jetzt nochmal zusätzliche Aktualität gewonnen hat.
Das ist die perfekte Überleitung zum Thema Termine in nächster Zeit:
Am Dienstag, 24.1., 19.30 Uhr Uhr, stelle ich mein Buch "Ein falscher Klick" in der Stadtbibliothek Stuttgart vor. Hier gibt es mehr Infos. Wer kommt und mir vorher bescheid sagt, dem/der bringe ich gerne ein signiertes Buch mit.
Am Donnerstag, 16.2. stelle ich mein Buch in der VHS Heilbronn vor.
Am Dienstag, 28.2. unterrichte ich Wissenschaftsreportage an der Reportageschule in Reutlingen.
Am Samstag, 11.3., halte ich den Abschlussvortrag der "Ulmer Denkanstöße" in Ulm mit dem Titel »Wir müssen umdenken für unsere Sicherheit im digitalen Raum«.
Vom 27. bis 31.3. ist die Weltkonferenz der Wissenschaftsjournalist:innen in Medellin/Kolumbien - mit meinem Panel: "How immersive storytelling and creative formats can revolutionize science journalism"
Und was mich besonders freut: Am 24.4. werde ich in Hamburg die Keynote der CHI halten, der weltgrößten Konferenz der Mensch-Maschine-Interaktion.
Meldet euch gerne, wenn ihr zu einem der Termine kommen wollt und/oder Zeit habt für ein Treffen an einem der Orte - ich freue mich immer über Austausch und Treffen im echten Leben!
Zum Nachhören und -schauen
Ansonsten habe ich in den vergangenen Wochen viele spannende Interviews und Gespräche im Radio und Fernsehen geführt, teilweise Podcast-artig mit vielen Infos zu Cybersecurity, meinen aktuellen Recherchen und meinem Buch - hier nur eine kleine Auswahl, es lohnt sich, mal reinzuhören/zu schauen:
Fernsehen: Am 19.1. habe ich mit Susanne Fröhlich bei "Fröhlich lesen" im MDR ausführlich über mein Buch gesprochen. Das war sehr erfrischend. :)
Und hier gibt's das Video von SWR 1 Leute mit mir.
Audio: Ganz frisch eine ganze Stunde "Fragen an den Autor" im Saarländischen Rundfunk mit einem Moderator, der mein Buch wirklich ganz gelesen hat! Er ist wirklich super vorbereitet - das war ein sehr gutes Gespräch.
Die SWR 1 Leute Sendung mit mir gibt es auch als Podcast: 30 Minuten pur - ein spannendes Gespräch mit Nicole Köster über Cybersecurity, mein Buch und aktuelle Recherchen.
Oder ein langes Gespräch Deutschlandfunk: 19 Minuten Cybersecurity-Rundumschlag vom Europol-Scam über Angriffe auf kritische Infrastrukturen, Cyberwar und schlecht gesicherte Behörden.
Und „Die Informationsgier der Geheimdienste“ - das wunderbare Gespräch mit Marcel Roth vom MDR über staatliche Spionage und Angriffe auf kritische Infrastrukturen.
Und außerdem: Mein eigenes Radio-Feature für den Deutschlandfunk über den Europol-Scam und andere Social-Engineering-Maschen, für das ich mit Scammern und Opfern gesprochen habe - und mit einem Scammer-Jäger, der die Angreifer:innen zurück gehackt hat. Das war eine super spannende Recherche!
Wenn ihr Feedback/Fragen/Kritik und vor allem Hinweise für spannende Themen aus meinem Bereich habt, meldet euch gerne! Der Kontakt über Threema (47M5V464) und Signal (+491515195032) ist in der Regel erfolgversprechender als E-Mail - einfach, weil ich zu viele E-Mails bekomme. Ich freue mich, von euch zu hören!