Prolog: Löchriges Internet

Confidential

Guten Morgen aus der Chefetage,

letzte Nacht haben uns alarmierende Informationen erreicht. Bei einem Routine-Scan des Internets sind wir auf einen verdächtig aussehenden Forenbeitrag auf der bisher als unbedenklich eingestuften Website „https://underground-leaks.co.uk/“ gestoßen. Die Webseite wurde mittlerweile abgeschaltet. Der Beitrag stammt von einem Nutzer mit dem Nickname „malware_mike“ und enthält folgenden Text:

moin.

schon verrückt welche massen an informationen heutzutage in geheimdienst-datenbanken rumschwirren. falls ihr selbst einen kleinen einblick wollt, hab ich euch eine kostprobe angehängt.

hab noch ne ganze menge ähnlichen kram hier rumliegen, wenn ihr das nötige kleingeld aufbringen könnt, gehört das zeug euch.

mike

Erklärung

Auch wenn es auf Anhieb möglicherweise unrealistisch erscheint, das gesamte Internet zu scannen, ist diese Aufgabe in der Realität gar nicht so schwierig.

Ähnlich wie jedes Haus eine Adresse haben muss, um beispielsweise Post zu erhalten, benötigt auch jede Website und jeder Computer im Internet eine eindeutige Adresse. Diese Adressen bezeichnet man als sogenannte „IP-Adressen“, bei denen es sich einfach um sehr große Zahlen handelt.

Im Gegensatz zu Postadressen gibt es allerdings nur eine limitierte Anzahl von IP-Adressen, nämlich knapp über 4 Milliarden Stück. Das bedeutet, dass man einfach jede dieser 4 Milliarden Adressen überprüfen muss, um das gesamte Internet zu scannen. Natürlich ist das eine ganze Menge Arbeit, aber mit Hilfe von schnellen Computern dauert ein kompletter Scan heutzutage nur wenige Minuten.

An den Forenbeitrag waren zwei Seiten ungeschwärzter Geheimdokumente angehängt, die die Standorte und Identitäten einiger unserer Agenten offenlegen. Sollte der Täter tatsächlich im Besitz von weiteren Dokumenten sein, können wir keinesfalls zulassen, dass diese in die falschen Hände geraten. Ihre Geheimdienstkolleginnen haben die ganze Nacht versucht, den Täter zu finden und sind nun völlig übermüdet eingeschlafen.

Gut, dass Sie nun endlich hier sind, um die Schicht zu übernehmen. Zusammen mit ihrem Teamleiter bilden Sie eine Task-Force, deren Ziel die Eindämmung der Machenschaften von „malware_mike“ ist. Konkret bedeutet das: Finden Sie heraus, wer „malware_mike“ wirklich ist, und wo er und die Geheimakten jetzt sind. Da es sich um geheimdienstinterne Dokumente handelt, müssen wir davon ausgehen, dass es sich um einen Verräter in unseren eigenen Reihen handelt. Aus diesem Grund haben wir die Task-Force klein gehalten, wir können schließlich nicht riskieren, dass der Täter von den Ermittlungen erfährt.

Ihre Kolleginnen haben alle Internetzugriffe, die von unserem W-LAN aus erfolgt sind, analysiert. Sie haben festgestellt, dass tatsächlich eine Person die verdächtige Webseite „https://underground-leaks.co.uk/“ aufgerufen hat. Diese verdächtige Person besitzt scheinbar einen Computer mit dem Betriebssystem Windows 10 und hat den Browser Firefox in der Version 111 benutzt. Dieselbe Person hat auch auf der Website „panama-banking.ru“ eine untergeordnete Seite namens „/current-balance“ besucht.

Kapitel 1: Identitäts- aber nicht namenlos

Confidential

Ihre Kolleginnen haben gute Arbeit geleistet. Die Informationen über den Verräter und eine Website, die das Motiv, viel Geld zu verdienen bestätigt, sind eine heiße Spur. Dank dieser Informationen konnten wir den Betreiber der Website panama-banking.ru kontaktieren. Zum Glück zeichnen diese auf, wer ihre Website aufruft und haben uns diese Daten für den fraglichen Zeitraum zur Verfügung gestellt.

Leider speichern die Betreiber aus Datenschutzgründen nicht, auf welche Konten zugegriffen wurde, sondern nur im Allgemeinen als unbedenklich angesehene Informationen wie den verwendeten Browser. Sie wissen allerdings, zu welchem Benutzernamen welche dieser Daten gehören und auch, welche Links jeder Benutzer besucht hat. Ihre Aufgabe besteht jetzt darin, die beiden Tabellen geschickt zu kombinieren, um den Verräter zu finden!

Jetzt seid ihr dran!

Ihr bekommt ein Blatt auf dem zwei Tabellen abgebildet sind. Die erste Tabelle enthält einmal alle Benutzernamen, die ungefähr zum gleichen Zeitpunkt wie der Verräter angemeldet waren. Die zweite Tabelle enthält alle Benutzer und welche Links sie aufgerufen haben (manche Benutzer haben mehr als einen Link aufgerufen). Diese Tabellen müsst ihr jetzt mit den Informationen, die ihr in der Einleitung über den Verräter gewonnen habt, so kombinieren, dass ihr den Benutzernamen des Verräters erhaltet.

Tipp: Teilt euch die Tabellen am besten untereinander auf, sodass nicht alle an der gleichen arbeiten.

Noch ein Tipp: Erinnert euch daran, dass der Täter nur eine einzige untergeordnete Seite auf „panama-banking.ru“ aufgerufen hat.

Erklärung

In der Realität werden solche Tabellen, besonders bevor sie veröffentlicht werden, häufig „anonymisiert“. Das heißt, dass aus ihnen eindeutige Identifikatoren wie Namen oder Adressen entfernt wurden. Sowas sollte immer dann der Fall sein, wenn z. B. Krankenkassen für Forschungszwecke Daten über ihre Kunden veröffentlichen. Schließlich soll nicht jeder wissen können, woran jemand erkrankt ist (stellt euch z.B. mal vor, ihr hättet Fußpilz. Da würdet ihr bestimmt nicht wollen, dass eure ganze Klasse das weiß). Allerdings kann dies unzureichend geschehen, sodass man wie hier durch eine Kombination der als ungefährlich eingestuften Daten und ein bisschen Hintergrundwissen doch eine Person identifizieren kann.

Gut gemacht! Mit der Information können wir jetzt nochmal bei der Bank nachfragen, zu welchem Konto der Benutzername gehört. Sobald wir den echten Namen haben, melde ich mich nochmal bei Ihnen.

Na, das hätte ich ja nicht gedacht! Kollege Eddy Bennet hätte ich nie verdächtigt, der arbeitet schon so lange bei uns. Aber in Ordnung, dass heißt wohl, dass wir sein Büro durchsuchen sollten. Ich habe gerade in seinen Personalakten nachgeschaut, seine Raumnummer ist 05/61. Am Besten, Sie gehen dort gleich vorbei und schauen sich nach verdächtigen Gegenständen um.

Kapitel 2: Schutzfolie mal anders

Confidential

Die Gegenstände, die Sie im Büro von Herr Bennet gefunden haben, sehen extrem interessant aus.

Zuerst der Laptop: Der Computer ist passwortgeschützt, wenn wir also weitere Spuren sammeln möchten, müssen Sie herausfinden, wie das korrekte Passwort lautet.

Die Bedeutung des zweiten Fundstücks ist nicht ganz so offensichtlich. Auf den ersten Blick handelt es sich um sechs handelsübliche Klarsichtfolien, die jeweils mit einer Art unregelmäßigem Muster bedruckt sind. Glücklicherweise meine ich mich aber daran erinnern zu können, dass Kollege Bennet ein großer Verfechter der visuellen Kryptografie ist – hier gäbe es tatsächlich einen Zusammenhang zu den gefundenen Folien.

Erklärung

Bei visueller Kryptografie handelt es sich um eine Technik zum Verschleiern geheimer Bildnachrichten. Im Kern ist die Idee, dass ein Bild in mehrere Komponenten aufgeteilt wird, die alleinstehend keine erkennbaren Muster enthalten. Kombiniert man die einzelnen Komponenten jedoch, indem man sie übereinander legt, wird das ursprüngliche Bild wieder sichtbar:

Visuelle Kryptografie kann beispielsweise dazu verwendet werden, wichtige Informationen an zwei Menschen zu verteilen, wobei jede Person nur eine Komponente des Originalbildes bekommt. Um die ursprünglichen Daten zu rekonstruieren, müssen dann beide Personen zustimmen und ihre Teilbilder übereinander legen. Stimmt nur eine einzelne Person der Rekonstruktion zu, fehlt ihr die zweite Bildkomponente und die ursprünglichen Bildinhalte bleiben verborgen.

Da die Folien mit dem Text „falls passwort vergessen“ markiert waren, handelt es sich bei den zugrundeliegenden Motiven hinter den Folien vermutlich um Hinweise auf das Passwort des gefundenen Windows-Computers.

Also los, worauf warten Sie noch? Versuchen Sie die jeweils passenden Folienpaare zu finden und bestimmen Sie, welche Motive auf ihnen abgebildet sind. Vielleicht ist hier ja das richtige Passwort dabei?

Kapitel 3: Von Mördern und Passwörtern

Confidential

Leider passt keiner dieser Begriffe als Passwort, der Computer bleibt also vorerst gesperrt. Das ist auch kaum verwunderlich, schließlich sollte Herr Bennet als Geheimdienstmitarbeiter wissen, dass gute Passwörter möglichst lang sind und aus verschiedenen Sonderzeichen und Zahlen bestehen sollten, statt nur aus normalen Wörtern.

Trotzdem hat unser Verräter die Folien mit dem Text „falls passwort vergessen“ beschriftet, die Wörter „Katze“, „Panda“ und „Schloss“ müssen also irgendetwas mit dem tatsächlichen Passwort zu tun haben. Es sieht so aus, als bräuchten wir hier eine strategischere Herangehensweise, um automatisch sehr viele verschiedene Passwörter auszuprobieren, die irgendetwas mit den gefundenen Begriffen zu tun haben. Praktischerweise haben wir genau das richtige Werkzeug für diese Aufgabe: John the Ripper.

Erklärung

Es kann sehr schwierig sein, sich gute Passwörter zu merken – und trotzdem brauchen wir Passwörter für fast jede Website und jede App. Deshalb verwenden viele Menschen aus Bequemlichkeit möglichst einfache Passwörter, was sich auch in der Liste der 10 häufigsten Passwörter widerspiegelt:

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 12345
  6. qwerty123
  7. 1q2w3e
  8. 12345678
  9. 111111
  10. 1234567890

Diese und weitere simple Passwörter sind so weit verbreitet, dass oft nur wenige Passwörter ausprobiert werden müssen, bis man sich in einen fremden Account einloggen kann.

Angreifer nennen diese Listen der häufigsten Passwörter auch Wortlisten, wobei eine Wortliste schnell mehrere Millionen Einträge enthalten kann. Verschiedene Werkzeuge wie „John the Ripper“ erlauben es dann, die Wortliste von oben nach unten abzuarbeiten, und jedes einzelne enthaltene Passwort automatisch auszuprobieren, bis ein passender Eintrag gefunden wird. Dieses Vorgehen ist viel schneller als jedes mögliche Passwort systematisch nacheinander auszuprobieren (z.B. „aaa“, „aab“, „aac“, …), weshalb es in der Praxis extrem weit verbreitet ist.

Aber Werkzeuge zum Umgang mit Wortlisten können noch viel mehr: Einige Nutzer wissen, dass die Verwendung häufiger Passwörter ein Sicherheitsrisiko darstellen kann und ändern ihre Passwörter deshalb leicht ab. Diese Änderungen können zum Beispiel daraus bestehen, jedes „o“ durch eine Null zu ersetzen („password“ wird also zu „passw0rd“) oder aber ein paar Zahlen an ein einfaches Passwort anzuhängen („querty“ wird also zu „querty4242“). Diese Anpassungen werden so häufig vorgenommen, dass es mittlerweile verschiedene Werkzeuge gibt, die existierende Wortlisten um typische Variationen erweitern können.

Dazu werden zuerst Regeln definiert, die angeben, wie jeder einzelne Wortlisteneintrag verändert werden soll. Eine Regel könnte dabei beispielsweise sein, an jedes Passwort die Zahl „1“ anzuhängen. Mit dieser Regel wird die Wortliste „hallo, test, passwort“ dann zur Wortliste „hallo, hallo1, test, test1, passwort, passwort1“ erweitert.

Mein Vorschlag für Ihr weiteres Vorgehen lautet wie folgt: Erstellen Sie zuerst eine kleine Wortliste mit nur den Begriffen, die Sie auf den Folien gefunden haben.

Jetzt seid ihr dran!

Schritt 1: Eine einfache Wortliste erstellen

Öffnet dafür zuerst den Text-Editor, indem ihr auf das Notizblock-Symbol in der linken Seitenleiste klickt. Hier könnt ihr die vorhin erstellte Wortliste (die drei Begriffe von den Folien „Katze“, „Panda“ und „Schloss“) eingeben, wobei jedes Wort in einer eigenen Zeile stehen sollte; speichert diese Datei dann, indem ihr oben rechts auf „Speichern“ klickt. Als Dateinamen solltet ihr „hinweise.txt“ eingeben, bevor ihr erneut auf den „Speichern“-Knopf klickt. Herzlichen Glückwunsch, damit habt ihr schon eure erste Wortliste angelegt!

Da diese Begriffe allein als Passwörter nicht zum Erfolg geführt haben, sollten Sie anschließend mithilfe von John the Ripper eine erweiterte Wortliste generieren, die verschiedene Modifikationsregeln auf die drei Begriffe anwendet. Möglicherweise passt dann ein Passwort aus dieser erweiterten Wortliste und wir können uns in den Computer von Eddy Bennet einloggen.

Jetzt seid ihr dran!

Schritt 2: Eine Kommandozeile öffnen

Um das Passwort von Eddy Bennet zu knacken, werdet ihr im Folgenden wie bereits erwähnt das Werzkeug „John the Ripper“ (oder einfach kurz „John“) benutzen. Hierbei gibt es allerdings eine kleine Schwierigkeit: John ist ein sogenanntes Kommandozeilen-Werkzeug, was bedeutet, dass ihr das Programm nicht wie gewohnt mit eurer Maus bedienen könnt. Stattdessen kann John nur über die Tastatur in einer Kommandozeile bedient werden.

Zuerst einmal müssen wir eine Kommandozeile öffnen. Klickt dafür in der linken Seitenleiste auf das schwarze Symbol mit der spitzen Klammer nach rechts; anschließend werdet ihr von einem dunklen Fenster mit etwas weißem und grünem Text begrüßt. Immer wenn ihr grünen Text am Anfang der Zeile seht, neben dem ein blinkendes weißes Kästchen platziert ist, wartet der Computer auf eure Eingaben; wenn ihr tippt, erscheinen die Buchstaben anstelle des weißen Kästchens.

Durch den Text, den ihr eingebt, teilt ihr dem Computer mit, was genau er tun soll. Sobald ihr dann die Enter-Taste drückt, wird euer Befehl verarbeitet und der Computer antwortet in Textform, indem er die gewünschten Ergebnisse anzeigt. Anschließend könnt ihr wieder weitere Befehle eingeben.

Auch wenn Computer immer besser darin werden, menschliche Sprache zu verstehen, müssen Befehle in der Kommandozeile einem bestimmten Aufbau folgen, damit sie korrekt verarbeitet werden können. Deshalb ist es bei den folgenden Beispielen besonders wichtig, dass ihr jeden Befehl genau so abtippt, wie er angegeben ist – inklusive sämtlicher Leer- und Sonderzeichen. Solltet ihr das Gefühl haben, dass etwas nicht mehr funktioniert, könnt ihr jederzeit die Tastenkombination „Strg + C“ drücken, um wieder neue Befehle eintippen zu können.

Probiert es doch direkt einmal aus! Gebt in der Kommandozeile den Befehl sl ein und drückt Enter. Als Antwort auf euren Befehl wird eine Dampflokomotive aus Text über den Bildschirm fahren (sl steht für „steam locomotive“). Dieser Befehl ist natürlich nur eine Spielerei, aber er demonstriert, dass man über die Kommandozeile verschiedenste Werkzeuge und Programme benutzen kann. Wenn ihr beispielsweise den Befehl date eingebt, wird euch stattdessen das aktuelle Datum inklusive der Uhrzeit angezeigt.

Schritt 3: Eine erweiterte Wortliste generieren

Nachdem ihr jetzt die Grundlagen der Kommandozeile kennengelernt habt, könnt ihr im nächsten Schritt die erweiterte Wortliste aus den Folien-Motiven generieren. Dafür müsst ihr auf der Kommandozeile sein, um John zu benutzen. Gebt jetzt den Befehl john --rules=All --wordlist=hinweise.txt --stdout > erweitert.txt ein und drückt Enter. Es wird eine Weile dauern bis dieser Befehl ausgeführt ist, weshalb wir uns in der Zwischenzeit kurz den genauen Aufbau anschauen können.

Sobald der Befehl fertig ist, wurde die erweiterte Wortliste erfolgreich generiert. Mit dem Befehl cat erweitert.txt könnt ihr euch die Inhalte der Datei „erweitert.txt“ ausgeben lassen – seht ihr wie die drei ursprünglichen Passwörter verändert wurden? Welche Regeln könnten wohl zu den Modifikationen geführt haben?

Schritt 4: Das Passwort des Windows-Computers knacken

Jetzt wo ihr eine erweiterte Wortliste generiert habt, müsst ihr die verschiedenen enthaltenen Passwörter nur noch ausprobieren. Aber das ist leichter gesagt als getan, schließlich enthält die Wortliste mehr als 20 Millionen Einträge! Zum Glück kann man das automatisieren und muss nicht alles von Hand eintippen.

Die Möglichkeit, die einem vielleicht zuerst in den Kopf kommt, ist ein Gerät an den zu knackenden Computer anzuschließen, dass wie eine Tastatur automatisch jedes Passwort nacheinander eingibt. Hier ergibt sich dann allerdings das Problem, dass die Passworteingabe auf Geräten oft künstlich verlangsamt wird: Versucht ihr beispielsweise mehrmals nacheinander erfolglos euer Handy zu entsperren, kann es sein, dass ihr vor dem nächsten Versuch einige Minuten warten müsst.

Um diese Limitierungen zu umgehen, gibt es ein viel schnelleres Verfahren, bei dem die Passwörter so schnell ausprobiert werden können wie es nur geht. Dafür müssen wir uns allerdings kurz überlegen, wie eine Passwortprüfung überhaupt auf dem Computer aussieht: In der einfachsten Form gibt ein Nutzer ein Passwort ein und der Computer überprüft, ob das eingegebene Passwort mit dem richtigen Passwort übereinstimmt.

Aber woher weiß der Computer überhaupt, welches das richtige Passwort ist? Wenn das Passwort einfach so auf dem Rechner gespeichert wird, würde Angreifer nichts davon abhalten, einfach die Festplatte des Computers auszubauen und so das gespeicherte Passwort auszulesen. Darum wird das Passwort zuerst mit einer speziellen Funktion, einer sogenannten Hash-Funktion, in eine nicht-lesbare Form gebracht. Man kann jederzeit prüfen, ob ein Passwort zu einem Passwort-Hash passt; es ist jedoch nicht möglich aus dem Passwort-Hash wieder das Passwort zu gewinnen – außer man probiert alle möglichen Passwörter durch.

Zur Vorbereitung haben wir den Passwort-Hash des Computers von Eddy Bennet schon für euch extrahiert und auf eurem Computer in der Datei „hash.txt“ abgespeichert. Ihr könnt euch den Inhalt der Datei erneut auf der Kommandozeile mit cat hash.txt anzeigen.

Um jetzt für jeden Eintrag der erweiterten Wortliste den zugehörigen Hash zu berechnen und mit dem korrekten Hash abzugleichen, benutzen wir wieder John. Gebt diesmal das Kommando john --format=NT --wordlist=erweitert.txt hash.txt ein; sobald ihr Enter drückt, wird John die erweiterte Wortliste in „erweitert.txt“ öffnen (wegen --wordlist=erweitert.txt), und für jeden Eintrag den Hash-Wert berechnen (wegen --format=NT), bis ein Ergebnis mit dem Inhalt von „hash.txt“ übereinstimmt.

Vielleicht seid ihr überrascht davon, wie schnell das Passwort geknackt ist – John hat nur ein paar Sekunden gebraucht, um das richtige Passwort herauszufinden! Gerade deswegen ist es wichtig, komplizierte und vor allem lange Passwörter zu verwenden, die nicht in typischen Wortlisten enthalten sind. Um das gefundene Passwort anzeigen zu lassen, könnt ihr den Befehl john --format=NT --show hash.txt verwenden. Aber Achtung, das eigentliche Passwort beginnt erst nach dem Doppelpunkt, das „?:“ gehört nicht dazu.

Hervorragende Arbeit! Ich dachte mir schon, dass Kollege Bennet seine Affinität für Tiere auch in sein Passwort einfließen lässt.

Loggen Sie sich jetzt mit dem Passwort am Computer des Verräters ein. Dort finden Sie mit Sicherheit weitere Hinweise zum Aufenthaltsort unseres Verräters.

Kapitel 4: Ich kam, sah und leakte

Confidential

Sieht so aus, als ob Kollege Bennet vor Kurzem mit seinem privaten Mail-Account gearbeitet hätte. Vielleicht finden Sie da ja einen Hinweis auf den Komplizen oder auf den aktuellen Aufenthaltsort von Eddy Bennet.

Ah, diesen Bill Böse haben wir schon länger auf unserer Beobachtungsliste, da werden wir gleich ein Team vorbei senden. Ihre Aufgabe ist jetzt, die zweite E-Mail zu entschlüsseln. Ein Forensiker des Geheimdienstes vermutet, dass es sich um eine einfache Verschlüsselungsmethode wie die Caesar-Chiffre handeln könnte.

Erklärung

Die Caesar-Chiffre ist eine Methode, die vermutlich schon von Julius Cäsar verwendet wurde, um geheime Nachrichten zu verschicken. Dabei werden alle Buchstaben in einer Nachricht um eine bestimmte Anzahl von Positionen im Alphabet verschoben. Wenn man zum Beispiel den Versatz auf 3 setzt, wird aus einem „A“ ein „D“, aus einem „B“ ein „E“ und so weiter. Auf diese Art und Weise lassen sich nun Stück für Stück ganze Texte verschlüsseln.

Genauso kann aber auch ein verschlüsselter Text wieder entschlüsselt werden: Dazu muss man entweder den Versatz kennen – also um wie viele Positionen im Alphabet verschoben wurde – oder diesen herausfinden. Um den Versatz herauszufinden, kann man eine sogenannte Häufigkeitsanalyse durchführen. Im Deutschen ist zum Beispiel der häufigste Buchstabe das „E“; diese Erkenntnis kann man nutzen, um den Versatz der Caesar-Chiffre zu bestimmen.

Jetzt seid ihr dran!

Damit ihr die Buchstabenhäufigkeit in der verschlüsselten Nachricht nicht per Hand zählen müsst, gibt es unter https://spurensuche.psi.uni-bamberg.de/#/frequencyanalysis ein Online-Werkzeug, dass das für euch macht. Gebt hier den verschlüsselten Text ein und vergleicht ihn mit den Referenzhäufigkeiten für deutschen Text. Könnt ihr damit den Versatz herausfinden?

Erklärung

Um das Entschlüsseln der Nachricht zu vereinfachen, gibt es die Caesar-Chiffre-Scheibe. Diese zeigt euch, welche Buchstaben im Klartext zu welchen Buchstaben im verschlüsselten Text gehören. Die Scheibe besteht aus zwei Scheiben, einer inneren und einer äußeren. Der Buchstabe der inneren Scheibe zeigt euch den verschlüsselten Buchstaben, während der Buchstabe der äußeren Scheibe euch den dazugehörigen Buchstaben im Klartext zeigt.

Jetzt seid ihr dran!

Um die Scheibe zu verwenden, müsst ihr sie so drehen, dass der Versatz berücksichtigt wird. Wenn ihr zum Beispiel den Versatz auf 3 gesetzt habt, müsst ihr die innere Scheibe im Bezug zur äußeren um drei Positionen verschieben. Dadurch könnt ihr die verschlüsselte Nachricht schnell und einfach entschlüsseln und den ursprünglichen Klartext lesen.

Beispiel: Entschlüssle das Wort „VFGEJSK“ mit Versatz 3

  1. Stelle den Buchstaben „A“ der inneren und äußeren Scheibe aufeinander
  2. Wende Schlüssel 3 an: D.h. drehe die innere Scheibe um 3 Stellen gegen den Uhrzeigersinn („A“ und „D“ liegen aufeinander)
  3. Gehe nun von innen nach außen: „V“ wird zu „S“, „F“ wird zu „C“, ...

Aha, der Ablageort der Dokumente! Wenn Sie schnell genug sind, können Sie Bennet möglicherweise sogar auf frischer Tat ertappen.

Also los, schauen Sie sich auf der Website um und finden Sie heraus, wo die Übergabe stattfindet. Und dann nichts wie hin! Vielleicht springt ja sogar eine Beförderung für Sie heraus…