Magazin Spezial: Hackingopfer Spielebranche

[Voigt]

Bin noch am hören, aber passend zum Thema schaue ich hin und wieder mal ganz gerne Defcon Videos von White-Hat/Grey-Hat Hackern.

Bei einem 10 Jahre alten Videos ging es auch schon um Cookie Session Hijacking, daher das gab es schon länger aber glaube richtig große wurde es erst in den letzten 5 Jahren oder so.

Zum Thema Hacking von hochkarätigen Firmen mittels Social Engineer ist dieses "War Stories" Video ganz gut, insbesondere die zweite Story aber so Minute 18:
https://www.youtube.com/watch?v=RRjre0dnOGQ

Da ging es um Empfang von Expressversand Paket für Vorgesetzten, wo sich davor gut informiert wurde, sodass man sehr überzeugend rüberkam. Gleichzeitig war Mitarbeiter auch gut geschult, dass er schnell nachdem er Hackern zum Einfall verholfen hat die IT angerufen hat, wodurch Schaden nur sehr begrenzt war.

[Symm]

Ich habe mich beim Hören echt gefragt, welche IT einem Admin Rechte gibt mit der Nummer "Ich brauch das jetzt, sonst werd ich gefeuert".
Es gibt doch kaum Unternehmen die sowas überhaupt vergeben an den Standard User geschwiege denn, das es für den Alltag in der Regel wichtig ist.

Natürlich gibts auch da Einzelfälle, aber unsere IT würd ich glaub ich nicht mitmachen.
Aber es muss ja funktionieren, sonst gäbe es die Masche nicht.

[Felidae]

Was ich mich ab einem bestimmten Punkt gefragt habe: Was kostet es eigentlich ein Unternehmen, Sicherheitslücken selbst aufspüren und schließen zu lassen?

Weite Teile klangen nämlich durchaus nach einem für beide Seiten attraktiven Geschäftsmodell.

[XfrogX]

Ich glaube die Spielebranche ist kein hacking Opfer. Also nicht gezielt. Aber sie haben zum einen Daten die für sehr viele Leute dann interessant sind. Das macht die Geschichten dann groß, und das meiste ist wohl auch eher auf dem Level, der Schaden ist kleiner wenn’s öffentlich ist, als die Summe die die Hacker wollen.

Dazu gibts dann noch sowas wie den der gta6 Daten bei Rockstar geholt hat, der wollte ja den Ruhm dafür.

Aber ich würde sagen in der Industrie gibts viel mehr Firmen, die dann doch lieber bezahlen als das ihre Daten raus kommen, oder noch schlimmer, die Produktion steht sogar still. Da bezahlt man lieber.

[XfrogX]

Was ich mich ab einem bestimmten Punkt gefragt habe: Was kostet es eigentlich ein Unternehmen, Sicherheitslücken selbst aufspüren und schließen zu lassen?

Weite Teile klangen nämlich durchaus nach einem für beide Seiten attraktiven Geschäftsmodell.

Sehr viel Geld also sowas selbst zu finden. Nicht umsonst kaufen sogar Geheimdienste diese Lücken, statt sie selber zu suchen.

Aber sehr oft scheitert es ja schon viel früher, an Bequemlichkeit. Also erstmal klare Befugnisse zu verteilen, also keine Admin Rechte für jeden, am besten nicht mal ohne zweites Gerät, keine Installationen wenn kein Admin, keine Datei anhänge öffnen … das ist schon nervig.

Danach müsste man alles immer updaten, sofort. Und sowas macht viel Arbeit bremst gerne auch den normalen betrieb sehr stark aus, und alles muss dann auch getestet und gegebenenfalls geändert werden damit es mit dem neusten Versionen auch klappt, und keine neuen Lücken öffnet.

Und wohl am unbeliebtesten wäre, weg mit windows, Outlook, Office… ja, das will dann niemand mitmachen, wäre aber wohl ein Riesen Schritt für mehr Sicherheit.

Dazu natürlich trotzdem noch viele Schulungen für Mitarbeiter, damit sie durch ihr handeln keine Schwachstellen aufmachen.

[Raptor 2101]

Ich habe mich beim Hören echt gefragt, welche IT einem Admin Rechte gibt mit der Nummer "Ich brauch das jetzt, sonst werd ich gefeuert".
Es gibt doch kaum Unternehmen die sowas überhaupt vergeben an den Standard User geschwiege denn, das es für den Alltag in der Regel wichtig ist.

Ich habe jahrelang für eines der größten deutschen IndustrieUnternehmen (AG) gearbeitet und hatte als Zulieferer (Software) root-Zugriff auf alle wichtigen Produktions-Relevanten Systeme, weltweit. Bei Mittelständlern war es eine Mixed Bag. Bei einigen war es eine Vollkatastrophe bei anderen war die Security fein abgestimmt.

Bei fast allen großen unternehmen ist die IT mittlerweile Out-Gesourced. Was soll die machen? Die sind froh, wenn sie wissen, was das System, was sie verwalten überhaupt macht. Ich durfte mal bei einem Disaster-Recovery helfen, bei dem die (externe) IT im laufenden Betrieb den ProduktivServer deinstalliert hat (und ja das Backup war auch im Arsch)

Und gerade bei den Automobilherstellern: wenn die eine 100% Datenverlust haben, das Auto ist vielleicht nicht weg, aber sie dürfen oder können es nicht mehr verkaufen. Die ganzen ProduktionsDaten sind ja weg. In der Vorproduktion sind wissen sie nicht mahl mehr, zu welchen Kunden das Bauteil gehört (das wird alles Digital gehalten). Das einzige: in der IT dort arbeiten selten Kreative, das senkt die Angriffsfläche und nach 2 Jahren haben die so viel schaden angerichtet oder miterlebt (ganz ohne Hacker), dass die Leute Risiko-avers werden

In meiner alten Firma gab es für Neulinge immer die "aufbauende" Begrüßung: "es gibt nur zwei arten von Mitarbeitern: die die schon mal eine Produktiv-DB gelöscht haben und die, die es noch tun werden" und danach gab es intensives Training wie man Datenverluste recovert

Um Millionenschaden anzurichten braucht die deutsche Industrie IT keine Hacker/Ransomware, das schaffen wir ganz alleine

[Hieronymus]

Ich kann zu dem Thema dieses Video hier empfehlen: https://www.youtube.com/watch?v=ibk3goTcdHE

Ich hatte beim Hören häufig auch den Verdacht, dass Jochens "mysteriöser Fremder im Bereich der IT-Sicherheit", wie Sebastian ihn am Ende des Podcasts gennant hat, in Wahrheit dieses Video war
Aber vielleicht bilde ich mir das auch nur ein

[Raptor 2101]

Ich hatte beim Hören häufig auch den Verdacht, dass Jochens "mysteriöser Fremder im Bereich der IT-Sicherheit", wie Sebastian ihn am Ende des Podcasts gennant hat, in Wahrheit dieses Video war
Aber vielleicht bilde ich mir das auch nur ein

Die blasen ja alle ins gleiche Horn. Soweit ich weiß ist Linus Neumann aber als Berater Tätig und nicht in einer großen IT Butze angestellt

Was ich mich ab einem bestimmten Punkt gefragt habe: Was kostet es eigentlich ein Unternehmen, Sicherheitslücken selbst aufspüren und schließen zu lassen?

Sehr viel Geld also sowas selbst zu finden. Nicht umsonst kaufen sogar Geheimdienste diese Lücken, statt sie selber zu suchen.

ich würde mich dazu hinreißen lassen, zu sagen das ist mittlerweile schlicht unmöglich (unbezahlbar). Die komplette IT Industrie hat sich so entwickelt, dass das nicht mehr geht.

Nehmen wir mal, um die Diskussion klein zu halten an, das die Hardware, die BuildPipeline, Cloud und Runtime alle fehlerfrei sind (was sie nachweislich NICHT sind). Es geht nur darum, dass ich als Software-Lieferant sicherstelle, dass meine Software Fehlerfrei ist. Für die kleine 5 Personen Klitsche, mit einer Legacy von wenigen Monaten geht das noch. Ab zwei Jahre braucht das sicherstellen der Fehlerfreiheit schon echt Aufwand. Wenn es dabei noch Fluktuationen im Personal gab dürfte schon nicht mehr das KnowHow im Unternehmen sein um funktionale Fehlerfreiheit sicherzustellen (wir reden hier noch nicht von Abwehr gegen bewusste Angriffe).

Reden wir von einer 200 Personen und mehr und ist vielleicht noch der Agile Ansatz im Einsatz (ziele werden geändert, häufiges refactoren) kann man sich nur auf das TestSuite verlassen die hoffentlich aufgebaut wurde. Und hier wird es meist schon Duster...

Dazu kommt der umstand, dass Anwendungsentwickler selten das Mindset eines PenTesters haben. Den Leuten beizubringen, das der Nutzer oder Kommunikationspartner dein Feind ist und dir böses will ... kostet Geld viel Geld und "Time to market"

Ein Statement aus der Produktentwicklung: "Wenn das Produkt nicht im Markt ankommt, brauchen wir uns um Nutzersicherheit keine sorgen zu machen" (Sicherheit war in diesem Kontext übrigens die Überlebenschance des Nutzers)

[ragdel]

Ich habe mich beim Hören echt gefragt, welche IT einem Admin Rechte gibt mit der Nummer "Ich brauch das jetzt, sonst werd ich gefeuert".
Es gibt doch kaum Unternehmen die sowas überhaupt vergeben an den Standard User geschwiege denn, das es für den Alltag in der Regel wichtig ist.

Natürlich gibts auch da Einzelfälle, aber unsere IT würd ich glaub ich nicht mitmachen.
Aber es muss ja funktionieren, sonst gäbe es die Masche nicht.

Wer ueberhaupt irgendwem pauschal irgendwelche Rechte gibt und das nicht nach bedarf ueber den benoetigten Zeitraum per JIT oder so macht.
Wir haben bei uns eigentlich alle Adminaccounts abgeschafft und Nutzer koennen (mit speziellen Accounts) Rechte fuer einzelne Bereiche gezielt anfragen per JIT und die kriegen diese dann auch nur fuer den benoetigten Zeitraum.

Ansonsten entwickelt sich ja auch bei Unternehmen viel in Richtung Zero-Trust.

[philipp_neu]

Ich arbeite als IT-Admin bei einem Dienstleister für viele viele Kunden, darunter Krankenhäuser, Netzbetreiber oder produzierende Unternehmen. Was man dort regelmäßig mitbekommt zieht einem wirklich die Schuhe aus. Das betrifft nicht nur beratungsresistente Head-Offs, sondern viel zu oft auch IT-Admins kurz vor der Rente, die nach dem Motto "Das haben wir schon immer so gemacht" jegliche IT-Sicherheit in den Wind schlagen. Da scheitert man oft schon an einfachen Regeln für die Passwortkomplexität, geschweige denn 2FA oder ähnlichen Mechanismen.
Adminrechte werden nach wie vor mehr oder weniger auf Zuruf vergeben.

Ich bin der Meinung für jedes Unternehmen in Deutschland, das IT-Sicherheit ernst nehmen (muss), gibt es 5 andere die mit dem Thema mehr oder weniger nix zu tun haben wollen.

[Crenshaw]

Was ich mich ab einem bestimmten Punkt gefragt habe: Was kostet es eigentlich ein Unternehmen, Sicherheitslücken selbst aufspüren und schließen zu lassen?

Weite Teile klangen nämlich durchaus nach einem für beide Seiten attraktiven Geschäftsmodell.

Sehr viel Geld also sowas selbst zu finden. Nicht umsonst kaufen sogar Geheimdienste diese Lücken, statt sie selber zu suchen.

Aber sehr oft scheitert es ja schon viel früher, an Bequemlichkeit. Also erstmal klare Befugnisse zu verteilen, also keine Admin Rechte für jeden, am besten nicht mal ohne zweites Gerät, keine Installationen wenn kein Admin, keine Datei anhänge öffnen … das ist schon nervig.

Danach müsste man alles immer updaten, sofort. Und sowas macht viel Arbeit bremst gerne auch den normalen betrieb sehr stark aus, und alles muss dann auch getestet und gegebenenfalls geändert werden damit es mit dem neusten Versionen auch klappt, und keine neuen Lücken öffnet.

Und wohl am unbeliebtesten wäre, weg mit windows, Outlook, Office… ja, das will dann niemand mitmachen, wäre aber wohl ein Riesen Schritt für mehr Sicherheit.

Dazu natürlich trotzdem noch viele Schulungen für Mitarbeiter, damit sie durch ihr handeln keine Schwachstellen aufmachen.

ich denke, der größte Schritt wäre das Produktivnetz vom Internet zu trennen und zwar komplett (soweit möglich), ich verstehe einfach nicht, warum Rechner, gearbeitet werden soll am Netz hängen, in der Verwaltung kann ich es teilweise nachvollziehen, aber dann soll man die Rechner halt in ein eigenes Netz tun und die Arbeitsrechner offline halten

und je mehr die Sicherheitsvorkehrungen Komfort kosten, umso kreativer werden die Leute, die zu umgehen
Schulungen sind nen ganz schwieriges Thema, da ist meist kein Verständnis da und so werden die dann auch gemacht

[XfrogX]

Was ich mich ab einem bestimmten Punkt gefragt habe: Was kostet es eigentlich ein Unternehmen, Sicherheitslücken selbst aufspüren und schließen zu lassen?

Weite Teile klangen nämlich durchaus nach einem für beide Seiten attraktiven Geschäftsmodell.

Sehr viel Geld also sowas selbst zu finden. Nicht umsonst kaufen sogar Geheimdienste diese Lücken, statt sie selber zu suchen.

Aber sehr oft scheitert es ja schon viel früher, an Bequemlichkeit. Also erstmal klare Befugnisse zu verteilen, also keine Admin Rechte für jeden, am besten nicht mal ohne zweites Gerät, keine Installationen wenn kein Admin, keine Datei anhänge öffnen … das ist schon nervig.

Danach müsste man alles immer updaten, sofort. Und sowas macht viel Arbeit bremst gerne auch den normalen betrieb sehr stark aus, und alles muss dann auch getestet und gegebenenfalls geändert werden damit es mit dem neusten Versionen auch klappt, und keine neuen Lücken öffnet.

Und wohl am unbeliebtesten wäre, weg mit windows, Outlook, Office… ja, das will dann niemand mitmachen, wäre aber wohl ein Riesen Schritt für mehr Sicherheit.

Dazu natürlich trotzdem noch viele Schulungen für Mitarbeiter, damit sie durch ihr handeln keine Schwachstellen aufmachen.

ich denke, der größte Schritt wäre das Produktivnetz vom Internet zu trennen und zwar komplett (soweit möglich), ich verstehe einfach nicht, warum Rechner, gearbeitet werden soll am Netz hängen, in der Verwaltung kann ich es teilweise nachvollziehen, aber dann soll man die Rechner halt in ein eigenes Netz tun und die Arbeitsrechner offline halten

und je mehr die Sicherheitsvorkehrungen Komfort kosten, umso kreativer werden die Leute, die zu umgehen
Schulungen sind nen ganz schwieriges Thema, da ist meist kein Verständnis da und so werden die dann auch gemacht

Dafür gabs bei uns 2 große Faktoren warum das nicht mehr zu trennen war. (Hab nachts YouTube darüber auf unseren Maschinen und Bildschirmen laufen lassen, zur Motivation)
Der erste kommt von den Herstellern, heutige Maschinen haben nicht nur ein Rechner dran der einfache Befehle ausführt, die Dinger werden darüber gewartet, bekommen Updates usw. Also die sind bei Kauf so designt das sie am Netz hängen. Mich würde nicht mal wundern wenn die Garantie oder so eingeschränkt wird wenn es nicht so ist.

Klar das hat die Geräte nicht besser gemacht, und die Fehler die heute online gefixt werden sind zum großen Teil welche die frühere Maschinen einfach nicht hatten.

Trotzdem neue Maschinen sind schon geil was Roboter usw schon so machen Hammer.

Aber das noch viel schlimmere, es müssen ja Diagramme erstellt werden und Maschinen(Mitarbeiter) kontrolliert werden ob die genug produzieren. Und das soll natürlich schön vom Schreibtisch im Büro, und da es ja geht, hat man dann meistens gleich den vollen Zugriff, damit man sich ja nicht zum arbeiten Volk bemühen muss um ein Programm aufzuspielen oder sowas. Und gleichzeitig hat man noch die sap Anbindung die ja auch wieder ins Netz läuft.

Bequemlichkeit siegt leider immer.

[Hieronymus]

Ich hatte beim Hören häufig auch den Verdacht, dass Jochens "mysteriöser Fremder im Bereich der IT-Sicherheit", wie Sebastian ihn am Ende des Podcasts gennant hat, in Wahrheit dieses Video war
Aber vielleicht bilde ich mir das auch nur ein

Die blasen ja alle ins gleiche Horn. Soweit ich weiß ist Linus Neumann aber als Berater Tätig und nicht in einer großen IT Butze angestellt

Das mit dem ins gleiche Horn blasen stimmt wohl, aber ich fand Jochens Ausführungen hier und da doch sehr sehr ähnlich...
Naja, nur mein Eindruck

[Crenshaw]

Ich hatte beim Hören häufig auch den Verdacht, dass Jochens "mysteriöser Fremder im Bereich der IT-Sicherheit", wie Sebastian ihn am Ende des Podcasts gennant hat, in Wahrheit dieses Video war
Aber vielleicht bilde ich mir das auch nur ein

Die blasen ja alle ins gleiche Horn. Soweit ich weiß ist Linus Neumann aber als Berater Tätig und nicht in einer großen IT Butze angestellt

Das mit dem ins gleiche Horn blasen stimmt wohl, aber ich fand Jochens Ausführungen hier und da doch sehr sehr ähnlich...
Naja, nur mein Eindruck

wobei der Grundtenor aber unterschiedlich, bei Jochen hatte ich das Gefühl, das man davon aus geht, das viele zahlen und das nur nicht an die große Glocke hängen und bei Linus heißt es ja eher, nicht zahlen (bzw. runterhandeln) und auch die Arbeitsteilung kommt bei Jochen nur andeutungsweise vor
und das Thema DSVGO habe ich bei Jochen total vermisst und mit einer Meldung nach DVGO ist es ja praktisch öffentlich (und ich denke bei der heutigen internen Vernetzung, ist fast jeder Vorfall meldebedürftig)

was mir etwas gefehlt hat, war der Umgang der betroffenen Firmen mit den sekundär Betroffenen, den Spielern, denn die werden in der Regel nicht benachrichtigt oder mit den Folgen eher alleine gelassen oder hat da jemand andere Erfahrungen

[Desotho]

WordPress an sich ist gar nicht so schlecht. Nur installieren die Leute (logischwereise) gerne dann jede Menge Plugins und natürlich ein eigenes Theme und da liegt dann meistens das Einfallstor. Dazu kommt, dass die Seitenbetreiber keine Datensicherung machen und Updates von WordPress, Plugins und Themes meist auch nicht gemacht werden. Auch schön: Kostenpflichtiges Theme kaufen, das kommt mit 12 Monate Support und wer dann kein Geld nachwirft bekommt auch keine Updates. Dazu kommt, dass WordPress sehr beliebt ist, es lohnt sich also als Ziel. Wie im Cast erwähnt muss nur nach oberflächlich nach bekannten Lücken gescanned werden und dann fällt der Hammer.

Noch schlimmer ist es bei Online Shops. Was da im Netz an uralt Versionen rumfliegt geht auf keine Kuhhaut. Und als Kunde kann man das ja nicht einfach so feststellen.

Ich habe auch schon Ärzte und Krankenhäuser erlebt, die ihre Patientendaten in einem ganz normalen Online Speicher abgelegt haben.

Wobei ich die Leute da nicht auslachen oder verurteilen will. Das sind eben Leute die von diesen Themen keine Ahnung haben und die dann leider auch oft niemanden mit Ahnung an der Hand haben.


Es gab mal eine Zeit, da hatte ich 3 Passwörter die ich fleißig wiederverwendet habe. Vernunft (und Passwortregeln) haben mich dann aber vor langer Zeit Richtung Passwortmanager getrieben. Passwort generieren, copy & paste.
Keepass wäre wohl die schlauere Wahl, aber das Bedürfnis nach Komfort hat mich in die Arme von Bitwarden getrieben.

[Raptor 2101]

ich denke, der größte Schritt wäre das Produktivnetz vom Internet zu trennen und zwar komplett (soweit möglich), ich verstehe einfach nicht, warum Rechner, gearbeitet werden soll am Netz hängen, in der Verwaltung kann ich es teilweise nachvollziehen, aber dann soll man die Rechner halt in ein eigenes Netz tun und die Arbeitsrechner offline halten

und je mehr die Sicherheitsvorkehrungen Komfort kosten, umso kreativer werden die Leute, die zu umgehen
Schulungen sind nen ganz schwieriges Thema, da ist meist kein Verständnis da und so werden die dann auch gemacht

Aber dann geht doch "Cloud first" nicht, heute muss doch alles in die Cloud ... die Kunden wollen das doch ... und wie soll die Remote IT aus Übersee denn deine Maschine warten wenn die nicht direkt im Netz hängt

Spaß bei Seite: Air Gap bremst Angriffe nur, es gibt gute mittel dieses AirGap zu überwinden.

wobei der Grundtenor aber unterschiedlich, bei Jochen hatte ich das Gefühl, das man davon aus geht, das viele zahlen und das nur nicht an die große Glocke hängen und bei Linus heißt es ja eher, nicht zahlen (bzw. runterhandeln) und auch die Arbeitsteilung kommt bei Jochen nur andeutungsweise vor
und das Thema DSVGO habe ich bei Jochen total vermisst und mit einer Meldung nach DVGO ist es ja praktisch öffentlich (und ich denke bei der heutigen internen Vernetzung, ist fast jeder Vorfall meldebedürftig)

was mir etwas gefehlt hat, war der Umgang der betroffenen Firmen mit den sekundär Betroffenen, den Spielern, denn die werden in der Regel nicht benachrichtigt oder mit den Folgen eher alleine gelassen oder hat da jemand andere Erfahrungen

Jochen beschreibt was gemacht wird und Linus beschreibt was gemacht werden sollte. Jochen hat auch mehrfach gesagt, das er vereinfacht. Man merkt Sebe mehrfach an, das er sich zurückhält und nicht mit einsteigt ins fachsimpeln ...

Und was die DSGVO betrifft das wurde aktiv erwähnt. Natürlich sind die Vorfälle meldepflichtig, aber wenn du zahlst, und der Angreifer seinen Ruf bewahren will, ergo dicht hält, musst du auch nichts melden, keiner außer dir und "die Angreifer" weiß davon... wenn du nicht zahlst bist du halt doppelt gekniffen. Du hast den Schaden und auch noch die Datenschutzbehörden am Arsch...

[Marix]

Hier noch ein Hinweis zum P.S.: des Podcast-Posts: Beim Hasso-Platner-Institut gibt es auch einen Leak-Checker den man als zusätzliche Quelle zu den bereits genannten verwenden kann. Insbesondere auch interessant falls man den Menschen andienen möchte die eine deutschsprachige Seite brauchen. URL ist https://sec.hpi.de/ilc/.

[bluttrinker13]

Geile Folge!
Gut recherchiert, spannendes Thema.
Ich nehme da sogar Anregungen für die Lehre mit.

[Rince81]

Hier noch ein Hinweis zum P.S.: des Podcast-Posts: Beim Hasso-Platner-Institut gibt es auch einen Leak-Checker den man als zusätzliche Quelle zu den bereits genannten verwenden kann. Insbesondere auch interessant falls man den Menschen andienen möchte die eine deutschsprachige Seite brauchen. URL ist https://sec.hpi.de/ilc/.

Wer Abonnent von Google One ist, da gibt es einen "Dark Web Report". "Have I been Pwned findet meine Email in 14 Breaches.

Der "Dark Web Report" findet meine Email in 16 Listen und listet darüber auch auf, welche Nutzernamen und Passwörter betroffen sind, ob die Telefonnummer und Echtname mit bei ist und mehr.

[Jochen Gebauer]

Ich kann zu dem Thema dieses Video hier empfehlen: https://www.youtube.com/watch?v=ibk3goTcdHE

Ich hatte beim Hören häufig auch den Verdacht, dass Jochens "mysteriöser Fremder im Bereich der IT-Sicherheit", wie Sebastian ihn am Ende des Podcasts gennant hat, in Wahrheit dieses Video war
Aber vielleicht bilde ich mir das auch nur ein

Das bildest du dir bloß ein. Tatsächlich kannte ich das Video bis eben gar nicht. Ich habe aber per Mail mehrmals das Feedback bekommen, dass die von mir paraphrasierten Aussagen ziemlich genau dem entsprächen, was auch andere Experten auf diesem Themengebiet denken/sagen. Sogar eine wissenschaftliche Forschungseinrichtung hat sich gemeldet. Würde also einfach davon ausgehen, dass ich Glück mit einem kompetenten Experten hatte und einfach den gängigen Konsens erfahren habe