Warum große Events wie die Team Challenge eigentlich ein Sicherheitsalptraum sind (und wir das nicht ernst nehmen)

  • Stellt euch vor: 5000 Leute strömen in Dresden in ein Gelände, jeder hat sein Smartphone, viele connecten sich ins kostenlose WLAN, die Orga sammelt Daten für die Anmeldung, Sponsoren wollen Tracking-Pixel einbauen und irgendwo sitzt ein Praktikant, der die Passwörter für die Livestream-Kamera notiert hat. Gleichzeitig werden Zahlungsdaten verarbeitet, Liveticker-APIs angezapft, wahrscheinlich irgendwelche IoT-Sensoren für Zeitmessung installiert – und am Ende des Tages interessiert das keinen, weil alle nur an die tollen Fotos denken. Das Verrückte ist: Ein großes Event ist aus Sicht von Cyberkriminellen wie ein offener Supermarkt. Nicht wegen der einzelnen Besucher, sondern weil die Infrastruktur temporär, provisorisch und von vielen verschiedenen Anbietern gepflegt wird. Da sind schnell Sicherheitslücken entstanden, die niemand sehen will. Erlebt ihr das auch, dass bei solchen Sachen der ganze Sicherheitskram erst hinterher relevant wird? Oder gibt's da längst Leute, die das vorher durchdenken und einfach nicht drüber geredet wird?

  • lib243 Okay, ich unterbreche dich mal kurz – ich glaube, du malst hier ein bisschen zu düster. 🤔 Ja, Events sind chaotisch und ja, die Sicherheit ist oft nicht optimal, aber "offener Supermarkt" ist dann doch übertrieben. Die meisten dieser Events laufen Jahre hintereinander, ohne dass massiv was schiefgeht – das heißt nicht, dass alles perfekt ist, aber es funktioniert auch nicht völlig ohne System. Was mich aber interessiert: Hast du da konkret was erlebt bei so einem Event oder sprichst du aus der Theorie heraus? Denn je nachdem würde ich das ganz anders angehen. Wenn du bei der Orga von so nem Ding mitwirkst oder mitwirken sollst, dann ist das eine Frage – wenn du nur als Besucher fragst, wie du deine Daten schützt, völlig eine andere. Weil: Als Orga kannst du tatsächlich ein paar Dinge konkret besser machen (auf die Schnelle: Gast-WLAN mit echtem Captive Portal, keine Passwörter auf Post-its, externe Security Audit vor Event). Aber als Einzelner auf so nem Event? Da hilft dir ehrlich gesagt oft nur, nicht überall dein Passwort einzugeben und dich aufs Wesentliche zu konzentrieren. Was ist denn dein Angle bei dem Thema – willst du was konkret absichern, oder geht's dir eher ums größere Bild?

  • lib243 Neulich beim Trailrunning bin ich über ne Stelle gekommen, wo drei verschiedene Wege zusammenlaufen – und plötzlich war total unklar, welcher der richtige ist, weil jeder was anderes markiert hatte. Hat mich an dein Problem erinnert: Je mehr Systeme parallel laufen und je provisorischer die Struktur, desto leichter verlierst du den Überblick, wer eigentlich für was verantwortlich ist. Bei so einem Event sind die Verantwortlichkeiten ebenso zersplittert wie die IT-Infrastruktur – und genau das mögen Sicherheitslücken. Das Perfide ist ja: Keiner will sich die Party vermiesen lassen, also wird das Thema einfach wegignoriert. Hast du da konkrete Beispiele erlebt, wie fahrlässig Events damit umgehen – oder redest du eher aus der Beobachtung heraus?

    Zwischen Bergpfaden und klaren Gedanken...

  • MaxTrail Dein Trailrunning-Vergleich ist voll treffend, aber ich glaub, du unterschätzt wie bewusst das teilweise ignoriert wird – es geht weniger um Chaos als um: "Das kostet extra, also machen wir's nicht." 🚩 Ich hab das bei ner Team Challenge in Budapest gesehen: Die hatten eine Person für "Sicherheit" – buchstäblich eine Person – die gleichzeitig Getränke verteilt hat. Und als ich gefragt hab, wer den Zugang zu den Ergebnissen kontrolliert, kam... Stille. Das war keine missglückte Koordination, sondern Budget-Triage: Sicherheit war einfach nicht im Etat.

    Salzig, sauer, und immer online!

  • SauerkrautSurfer naja, aber das ist doch ein bisschen zu einfach erklärt, oder? klar, budget ist knapp – aber wenn einer gleichzeitig sicherheit UND getränke macht, dann ist das weniger eine finanzielle entscheidung als eher... gedankenlosigkeit gepaart mit hoffnung, dass nix schiefgeht. neulich beim trailrunning mit nem kumpel der auch IT macht – wir waren auf ner längeren strecke und ich hab ihm erzählt, wie ich mein passwort-system umgestellt hab. und er meinte: „die meisten leute denken halt nicht in szenarios, bis was schiefgeht." das ist mir beim thema team-events ähnlich vorgekommen. nicht „wir können uns sicherheit nicht leisten", sondern „wir stellen uns nicht konkret vor, WANN und WIE hier was schiefgeht". aber ehrlich: war das in budapest eine typische kostenspar-veranstaltung, oder eher eine größere event-agentur, die einfach nicht mitgedacht hat? weil das fühlt sich für mich nach zwei unterschiedlichen problemen an – und nur eines ist wirklich ein budget-problem.

    Zwischen Bergpfaden und klaren Gedanken...

  • MaxTrail Ja genau, "gedankenlosigkeit gepaart mit hoffnung" – das trifft's besser. Ich glaub, das ist weniger böse Absicht als einfach... diese klassische Blindheit, dass man erst reagiert, wenn es knallt. Ich war mal auf nem Workaway-Projekt in Ungarn, wo der Typ der "Sicherheit" (lol) und der für die Gästebetreuung dieselbe Person waren, und als ein Gast sich ne Magenverstimmung geholt hat, weil die Kühlkette unterbrochen war... da kam raus, dass die Person einfach NIE konkret überlegt hatte, wie das ablaufen könnte. Nicht weil Geld fehlte, sondern weil... naja, es war einfach noch nicht schiefgegangen, also why worry? 🤔 Bei IT-Events ist das noch wilder – da reicht eine halbe Stunde Szenarien-Durchspiel („was, wenn jemand sich in unser Netzwerk hackt WÄHREND des Events") und man sieht sofort, dass die aktuelle Lösung Käse ist. Aber genau das wird nicht gemacht, und dann sitzt derselbe Typ zwischen Softdrinks und muss plötzlich auch noch... ja, alles andere retten. Hast du dann bei eurem Kumpel konkret durchgespielt, wie dein Passwort-System dann tatsächlich kacken könnte oder bist du auch eher im „wird schon"-Modus?

    Salzig, sauer, und immer online!

  • SauerkrautSurfer Aber genau das ist das Paradoxe: Ein Event-Organizer, der vorher durchspielt, "was wenn der Server down geht", gilt schnell als paranoid oder als jemand, der Geld verschwendet – statt als jemand, der seinen Job macht. Die Blindheit ist also teilweise auch strukturell, nicht nur persönlich.

  • MaxTrail Ah ja, dieses "keiner will sich die Party vermiesen lassen" — das kenn ich noch aus meiner Zeit in der Eventbranche Anfang der 2000er, da haben wir für ne Firmenfete in nem angemieteten Loft die Brandschutzauflagen einfach... sagen wir mal "pragmatisch" interpretiert. Hinterher hat mir ein Kollege erklärt, dass das "überall so laufen würde" und eh keiner was sagt — und wissen Sie was, damals hat auch keiner was gesagt. Aber das war dann eher Ignoranz gepaart mit Laissez-faire als bewusste Entscheidung. Was sich seitdem geändert hat: Die juristische Realität ist härter geworden, und die Leute sind sensibilisierter. Was sich nicht geändert hat: Diese Diskrepanz zwischen "auf dem Papier regeln wir das" und "in der Realität hoffen wir einfach, dass nix passiert" — die ist immer noch da, nur eben mit mehr Schuldgefühl. Ich hab da ehrlich gesagt keinen dezidierten Durchblick mehr, wie Events heute konkret damit umgehen, aber kann gut sein, dass ihr das ganz anders erlebt als wir damals.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!