Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP138 Stand der Technik

TV5Monde — VDS Reloaded — DDOS — IT-Sicherheitsgesetz — LKW-Maut — Flugzeuge fernsteuern

Derzeit ist durch die fortwährende räumliche Distanz eine kleine Herausforderung Termine zu finden und auch die Technik spielt nicht immer mit. Die etwas schlechte Qualität von Tims Tonspur bitten wir zu entschuldigen. Dank an Hörer Jan, der aus der vollkommen unerträglichen Tonspur von Tim noch etwas halbwegs Hörbares hat retten können.

https://logbuch-netzpolitik.de/lnp138-stand-der-technik
Veröffentlicht am: 20. April 2015
Dauer: 1:25:20


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:32.872
  3. TV5MONDE Nachtrag 00:01:45.686
  4. VDS Reloaded 00:07:58.166
  5. DDoS-Teenager verhaftet 00:36:43.663
  6. IT-Sicherheitsgesetz 00:44:02.855
  7. LKW-Maut-Geodaten-Verwertung 01:06:42.745
  8. Flugzeuge fernsteuern und hacken 01:12:40.392
  9. Epilog 01:24:22.945

Transkript

Tim Pritlove
0:00:00
Linus Neumann
0:00:01
Tim Pritlove
0:00:03
Linus Neumann
0:00:10
Tim Pritlove
0:00:33
Linus Neumann
0:00:44
Tim Pritlove
0:00:46
Linus Neumann
0:00:54
Tim Pritlove
0:01:17
Linus Neumann
0:01:21
Tim Pritlove
0:01:31
Linus Neumann
0:01:45
Tim Pritlove
0:02:19
Linus Neumann
0:03:33

Das ist, das ist das große Problem der ähm der IT-Sicherheit generell, glaube ich, grade, was ich auch immer in meiner ähm in meiner Arbeit sehe und wo ich hoffe, dass sich da so ein, Paradigmenwechsel jetzt langsam auch abzeichnen wird, dass die IT-Sicherheit. Lauter Panik dann irgendwie so gefahren wird, dass sie die Menschen ähm, nachhaltig ein am Erledigen ihrer eigenen Arbeit hindert. So dass die anfangen, die Sicherheitsmaßnahmen zu umgehen, ne, also das beste Beispiel immer, die Leute, die irgendwie eingegangene E-Mails auf ihre Hot-Mail-Konten, damit sie am iPad lesen dürfen. Ähm das sind halt alles ähm Probleme, die kriegst du nicht dadurch gelöst, dass sie denen das jetzt irgendwie verbietest. Sondern du musst glaube ich ein, dass die Sicherheitskonzepte so, aufbauen, dass sie das, was die Menschen machen, gut flankieren und ihnen aber die Möglichkeit geben, das was sie machen sehr, sehr einfach ähm erledigen zu können. Und das ist halt eine große Herausforderung, für die du immer nur eine individuelle Lösung schaffen kannst und ähm immer nur, ähm, maßgeschneiderte Lösungen für jeden Anwendungsfall. Aber du kannst eben nicht in Sicherheitskonzept machen, was dann die Menschen, nicht am Ende einfach unterwandern können. Das geht halt nicht. Die fangen, wenn du je dichter du denen die die die Kehle schnürst, umso mehr werden sie sich darauf konzentrieren aus diesem Korsett irgendwie rauszuklettern. Und dann hast du eben als äh Organisation gar nicht mehr die Kontrolle darüber, Das ist also ist so ein ist halt einfach so ein Konflikt, den man einsehen muss, wenn du die wenn du diese Sicherheit, die technischen Sicherheitsmaßnahmen zu streng schnürst und zu wenig daran orientierst, wie die Leute arbeiten können ähm dann kleben sie sich am Ende irgendwelche Post-Its mit Passwörtern an die Wand, ja? Und da hast du halt dann keine äh keine Kontrollmöglichkeiten mehr.

Tim Pritlove
0:05:37

Medienunternehmen wie vielleicht, also Fernsehsender allgemein, also das ist jetzt hier getroffen hat, das ist wahrscheinlich auch eher Zufall als äh Absicht, also zumindest lässt sich das jetzt vermuten, so richtig wissen, was jetzt gelaufen ist, glaube ich, tut auch noch keiner und wird wahrscheinlich auch gar keiner so richtig rauskriegen können. Ist halt nur so zu dem Zeitpunkt, wo du eben mit deinem Passwort auf postest, äh dir dann sowieso keiner mehr, dass du äh ja total abgefahrene Sicherheitskonzepte hattest und wir hatten ja um die zwei Wochen Berater da und so. Es muss halt wirklich Teil der, Kultur sein und es muss wirklich mitgedacht werden bei dem Design eines solchen Unternehmens und das ist halt einfach auch ein anderes äh technologisches, eine andere technologische Architektur, als das noch vor zwanzig Jahren der Fall war. Und, diese alte Technologiearchitektur mit ihren entsprechenden Auswirkungen auf Sicherheit, aber eben auch generell Arbeitsabläufe, ist verinnerlicht, dass das ist das, was diese Unternehmen äh können und leben. Aber durch diesen doch extrem raschen Wandel der letzten zehn, zwanzig Jahre. Wobei, die Beschleunigung ja gefühlt noch immer noch äh zunimmt. Nicht, man muss immer mehr präsent sein und hier noch ein Social Network und dann ist irgendwie noch alles vernetzt und das nimmt das keiner wahr und dann ist es irgendwie auf einmal ein totales Politikum ähm was auf deinem Twitter-Account gesagt wird, ja, dann ist das auf einmal dann auch ein Medienereignis, wenn da einer Pups sagt, äh oder keine Ahnung, die die der Weltsicherheitsrat muss zusammen äh treffen, wenn da irgendjemand gedroht wurde. Das sind alles so Auswirkungen, die diese ganzen Unternehmen strukturell und meistens auch personell noch überhaupt nicht eingepreist haben und dann eben auch nicht in der Lage sind, die Prioritäten bei ihrem technischen Aufbau so zu setzen, dass man sagt, okay, wir müssen jetzt auch diese, den neuen Distributionswege nicht nur durch ranflanschen von irgendwelchen Outlets äh machen, sondern wir müssen es einfach Sicherheitstechnisch denken, vom Arbeitsablauf her denken. Diese ganzen doppelten Böden und so weiter, die auch sonst drin sind, auch um die Sendesicherheit äh herzustellen, die, müssen jetzt einfach anders geplant werden, als das früher der Fall war und da sind einfach sehr viele Unternehmen, wenn ich fast eigentlich alle hinterher.

Linus Neumann
0:07:52
Tim Pritlove
0:08:03
Linus Neumann
0:08:08
Tim Pritlove
0:08:11
Linus Neumann
0:08:17
Tim Pritlove
0:08:25
Linus Neumann
0:08:33
Tim Pritlove
0:08:54
Linus Neumann
0:09:29
Tim Pritlove
0:11:15

Hm.

Linus Neumann
0:11:18

Genau, aber er sagt halt, der Abruf ist dann eben, findet ein wird nicht getan. Was ich interessant finde daher. Also du kannst es auch glaube ich nur so machen, sonst müsstest du ja eine ständige, aktuelle Liste der ähm der Berufsgeheimnisträger. Haben. Und jetzt frage ich mich, was was passiert, wenn ein. Sagen wir mal Sie, Sie wollen jetzt einen von einem Verbrecher diese Daten haben und der hat einen signifikanten Teil der Zeit mit seinem Anwalt telefoniert. Sind die Daten dann drin oder nicht? Weil so wie ich das verstehe, heißt es, es gibt keinen Abruf bei Berufsgeheimnisträgern. Jetzt könnte natürlich das heißen, man kriegt quasi als man kriegt die Berufsgeheimnisträger nicht. Zielperson, aber als als Angerufene schon mit dazu. Korrekterweise müssten sie natürlich diese Anrufe rauslisten. Also aber da da, wie gesagt, das ist jetzt das Reich der Spekulation. Da müsste also jetzt nochmal der konkrete Gesetzesentwurf abgefangen werden, äh abgewartet werden? Aber das ähm da bin ich mal sehr gespannt. Interessant finde ich auf jeden Fall, dass sie sagen, kein Abruf und nicht keine Speicherung. Ähm. Dann soll der Abruf grundsätzlich, nur in in eng definierten Strafverfolgungs zu zu eng definierten Strafverfolgungszwecken stattfinden und da möchten sie, ähnlich strenge ähm Kriterien gelten lassen, wie bei der Wohnraumüberwachung. Das heißt, ähm. Ermittlungsverfahren zu. Schweren Verbrechen sind eine Grundvoraussetzung dafür, dass ein ähm dass ein Staatsanwalt oder ein Richter eine äh Wohnraumüberwachung für dich anordnen kann. Und äh wenn jetzt was weiß ich, wegen Falschparken gegen dich ermittelt wird, dann geht das eben nicht. Ähm bei anderen schweren Straftaten eben schon. Und äh dieses soll also die diese ähnliche Voraussetzung soll also für einen Abruf der ähm der Daten, die die der Vorratsdatenspeicherung unterliegen als Voraussetzung gelten. Das heißt aber natürlich. Trotzdem, dass diese Daten alle gesammelt werden, ne, also, kein Abruf bei Geheimnis triggern, Abruf nur bei ähm strengen, bei bei krassen strafrechtlichen Verstößen, heißt, die Daten werden aber trotzdem gespeichert. Und jetzt stellt sich ja die Frage, welche Daten denn? Zehn Wochen Speicherfrist unterliegen Verkehrsdaten. Da muss man nochmal zwei Begriffe klären, die da auch immer eine Rolle spielen und zwar wird davon ausgegangen, dass der, der Anbieter, dein Telekommunikationsanbieter einmal Bestandsdaten von dir hat und einmal Verkehrsdaten, Bestandsdaten sind irgendwie Name, Adresse, ähm, Telefonnummer, ähm, Abrechnungskonto und so, das sind eben deine Bestandsdaten und die Verkehrsdaten sind quasi die, die Nutzungsdaten, die du ähm anleierst, Und diese Verkehrsdaten sollen also einer Speicherung von äh zehn Wochen unterliegen. Gleichzeitig ähm, unterhalten, unterliegen notwendigerweise deine Bestandsdaten ja einer Speicherung für die Ewigkeit, so oder zumindest für die Dauer des Geschäfts äh Verhältnisses. Wir hatten da auch mal vor einiger Zeit ähm eine Debatte darüber, wo äh einige Gerichte irgendwie der der Ansicht sein wollten, dass deine IP-Adresse ja ein Bestandsdatum sei. Und deswegen für immer ähm äh gespeichert äh sein sollte, da, da ist es eben also ein ähm war das ein Diskusdebatten-Konflikt, der dadurch entsteht, dass aufgrund des Mangels an V vier, IP-Adressen und des geringen Interesses der, Internetanbieter, dass man zu Hause einen Dienst betreibt, unter einer festen IP. Man immer wieder eine andere IP-Adresse bekommt bei der Einwahl. Was sich im Zweifelsfall irgendwann auch ändern wird, wenn wir alle mal IP V sechs machen, dann kann es gut sein, dass man ähm zumindest die ersten. Die erste Hälfte der IP V sechs Adresse fix bekommt und dahinter irgendwie sein sein zweiunddreißig. Äh Dingens Space da irgendwie nochmal selber verwalten kann. So, aber das ist jetzt irgendwie Zukunftsmusik.

Tim Pritlove
0:16:06
Linus Neumann
0:16:13
Tim Pritlove
0:16:16
Linus Neumann
0:16:55
Tim Pritlove
0:16:57
Linus Neumann
0:17:53
Tim Pritlove
0:17:57
Linus Neumann
0:18:11

Ähm. Also klar, natürlich das sind ähm das sind Fragen und Probleme, die sich stellen und ähm. Diese Details interessieren natürlich wieder keinen und was die die Idee hier ist natürlich auch ähm. Dass in in so einer Haarspalterdebatte äh verlaufen zu lassen, ne. Ich wollte nur zu den zu den ganzen Begrifflichkeiten, wo ich wo ich nicht mehr den Überblick habe, wie jetzt Vorratsdatenspeicherung schon alles hieß mit Mindestspeicherfristen und Höchstspeicherfristen und digitale Spurensicherung und haste nicht gesehen. Das hat der ähm Kai Biermann. Vom Neusprech äh Blog in seiner Laudatio bei den Big Brother, meine Güte. In seiner Laudatio bei den Big Brother Awards ähm nochmal sehr schön zusammengefasst. Und zwar hat der Begriff digitale Spurensicherung, ein neues Sprech Award bekommen in diesem Jahr und ähm Kai hat äh sehr schön noch mal die ganzen Begriffe zusammengefasst und äh wie sie da eben wie mit dem Begrifflichkeiten, Augenwischerei, betrieben wird. Zu diesem Zeitpunkt ist die ähm ist die Laudatio noch nicht online. Wir werden das aber dann hoffentlich äh noch nachträglich verlinken, beziehungsweise die Interessierten, Hörerinnen werden sich das dann selber eher ergaunern und ergoogeln. Was also diese ganzen Begriffe angeht. Es gibt aber noch eine weitere Sache, die gespeichert werden soll. Ähm im Rahmen der Vorratsdatenspeicherung und das ist nochmal eine eine Ecke kritisch, ja? Und zwar sind das Standortdaten. Ähm. Und zwar gibt's ja zwei Interpretationen von Standortdaten werden gespeichert in der ursprünglichen ähm VDS-Richtlinie war das so drin, dass ähm bei einem Telefonat ähm. Gespeichert wird, wo du warst, ja? Also oder und auch bei dem Empfang einer SMS. Also Transaktion findet statt. Ähm. Entsprechend findet, wird äh Speicherung vorgenommen. Also Zelle, in der du dich befindest, was sich eben sehr einfach in den. In den Ort übersetzen lässt. Ähm in den, gut, muss man jetzt auch noch mal vielleicht ganz kurz erklären, eine eine Funkzelle besteht in der Regel aus so was sind das? Hundertzwanzig Grad Segmenten. Ähm also die die Funke der Funkmast steht da und leuchtet jeweils in in drei Himmelsrichtungen von jeweils einhundertzwanzig Grad. Ähm. Und jede dieser einzelne Himmelsrichtungen hat noch mal eine eigene Kennung, ja, das heißt, du kannst eben. Ähm du siehst in welcher Richtung von dem von der von dem Funkmast du stehst. Und in der Visualisierung der Fortsaaten von Malte Spitz kann man es auch sehr gut sehen, ähm wie sie zum Beispiel, so eine Bewegung aufgezeichnet haben, dass er dann, immer wieder Funkmasten in seine Richtung zeigen, während er sich bewegt und du erkennst dann, diese Funkmasten sind einfach entlang der Bahngleise, ja? Sodass du halt sehr mit sehr großer Wahrscheinlichkeit einfach sagen kannst, klar, so schnell wie der sich bewegt. Und so wie er immer wieder von dem zu dem zu dem zu dem Funkmasten geht, der sitzt gerade im ICE. Ne, ist ganz, ganz offensichtlich. Und ähm das Team von Open Data City, was diese Analyse gemacht hat, hat also auch wirklich, so gut wie grundsätzlich einfach sagen können, wo der gerade ist und wo er sich lang bewegt, ne. Ähm, Die haben ja dann noch andere Informationen dazu genommen, wie jetzt zum Beispiel seine Tweets oder so, um dann eben zu erkennen, na ja, wenn er im Regierungs, wenn er in diesem Masten ist, dann ist er halt grade am Bundestag, ne? Und solche ähm solche Scherze, das äh das heißt, diese diese Daten, auch wenn sie theoretisch ein sehr unscharfen eine sehr unscharfe Auskunft nur geben, sind sie gemischt mit mit etwas mehr Wissen über die Person, erlauben sie halt sofort eine eine sehr, sehr äh, genaue Schätzung, wo sich diese Person befindet. Vor allem, wenn du sie über die Zeit hast, ne, also wenn man sieht, dass ich nachts immer wieder in der gleichen Funkzelle bin, so dann ist das halt ganz klar, dass ich da abends schlafe. Ähm jetzt ähm. Stellt sich aber die Frage, okay, machen sie das nur bei Telefonaten und SMS? Oder machen sie das grundsätzlich? In dem Fall von Malte Spitz waren das ähm waren befanden sich in den Vorratsdaten von ihm. Siebenhundert Standortdaten pro Tag. Das das übersetzt sich in ungefähr alle zwei Minuten. Und der der Grund, wie es dazu kam, ist eben die Datennutzung, weil wenn deine Funkzelle auch mitgelockt wird, wenn dein Telefon irgendwie mal mit dem Apple Server spricht, um zu gucken, ob eine neue Push-Notification da ist, mal guckt, wie viel Uhr es ist, sich mal eben updaten lässt, ob das Wetter sich geändert hat und so. Also diese Telefone, sind die ganze Zeit irgendwas am Fachsimpeln mit dem Internet. Ähm und wenn du das als Auslöser nimmst, die die Standortdaten zu speichern. Hast du das eigentlich quasi ähm eine dauerhaftes, dauerhaftes Logging, ne? Und in diesem in dieser Übersicht, die der gute Heiko Master getwittert hat, steht auch. Stehen eben Standortdaten getrennt ausgewiesen von den Verkehrsdaten, was den Verdacht nahelegt, dass sie einfach ein ein vollständiges Tracking machen. Also mit anderen Worten, eine dauerhafte. Abfrage für die gesamte, das gesamte deutsche für die gesamten deutschen Netze. Ähm ich schaue jetzt mal gerade ganz kurz vor dieser ähm. Dieser Tweet ist.

Tim Pritlove
0:24:24
Linus Neumann
0:24:28
Tim Pritlove
0:24:32
Linus Neumann
0:24:39
Tim Pritlove
0:24:52
Linus Neumann
0:24:58
Tim Pritlove
0:25:07
Linus Neumann
0:25:13

So und das heißt im Prinzip, dass du Bewegungsprofil von allen Menschen in diesem Land für vier Wochen vollständig erfasst, und ich muss ganz ehrlich sagen, das wär dann der Grund für mich, nicht von meinen Mobiltelefonen zu trennen. Das ist nicht äh nicht akzeptabel. Ja, also es ist grundsätzlich sowieso alles nicht akzeptabel, ähm aber das wäre ähm. Wäre also für mich die die absolute Höhe. Auch wenn das heute schon so ist, ja, also ich meine, machen wir uns nix vor. Ähm die Mobilfunknetze haben diese Capability, sie vermarkten die ja sogar offensiv, ne, also wir erinnern uns daran, dass äh Telefoniker, O2 ja mit anderen zusammenarbeitet irgendwie im Rahmen der Stauerkennung diese Daten zugänglich zu machen und so da machen wir uns nix vor. Dass die Überwachung der Netze auch zu diesen in einigen Mobilfunknetzen äh werden diese Standortdaten zum Beispiel auch zu Marketingzwecken genutzt, ne? Da ist also 'ne sehr granulare Erkennung möglich, da muss man sich also keine muss man sich nichts vormachen. Ich hatte das ja auch schon mehrmals ausgeführt, dass Mobilfunknetze wissen müssen, wo du bist, damit sie, Damit sie funktionieren können, ja? Also du kannst nicht ein Mobilfunknetz betreiben und wenn jetzt irgendwie äh Linus Neumann angerufen wird. In dem gesamten Land, oder sogar auf der gesamten Welt das Signal aussenden, nur um eine Person in Berlin irgendwie mal das Telefon klingeln zu lassen. Das heißt, was du machst, ist, dass du es in dem Bereich in dem äh, Area Bereich ähm von denen es in Berlin fünf oder sechs gibt. In diesem Bereich halt klingeln lässt, um die Last, dieses dezentrale Netz irgendwie auch entsprechend der Bewegung der Menschen zu verteilen. Also es ist logisch, ein Mobilfunknetz kann nur funktionieren, wenn es weiß, wo die Leute sind. Aber es ist eben was ganz anderes, wenn es eine gesetzliche, Verpflichtung gibt, diese Daten, Maschinen lesbar, getrennt und sauber aufzubewahren um vollständige Bewegungsprofile zu haben. Und das ist ähm, Das ist ein Hammer, ja? Und wer grade vorm Hintergrund der Arbeit von ähm Andre Meister, was eben diese äh Funkzellenabfragen angeht, die ja auch eine eine völlig ähm inakzeptable Maßnahme sind und absolut ähm, unverhältnismäßige Maßnahmen sind, hättest du halt hier eine Situation. Einfach grundsätzlich für alle Bürger des Landes die ganze Zeit so ist. Und das ist ähm das ist halt ein absoluter Hammer. Abschließend bleibt aber zu sagen, nichts Genaues weiß man nicht, denn wir reden da jetzt von Leitlinien und Tweets mit irgendwelchen Visualisierungen. Da ist der ähm der tatsächliche Gesetzesentwurf abzuwarten. Ähm und da liegt also jetzt noch ein weiter Weg vor uns, ähm bis wir dann wahrscheinlich niemals gegen diesen. Gegen dieses Gesetz, nach Karlsruhe wieder ziehen müssen, weil's hoffentlich vorher schon irgendwo verkackt, aber ähm da wird also jetzt, da wird jetzt ähm, Da werden jetzt Ressourcen gebraucht werden, ne, um diesen Gesetzesentwurf hoffentlich schon im Parlament scheitern zu lassen.

Tim Pritlove
0:28:34
Linus Neumann
0:29:16

Na ja, sie sagen halt E-Mail als Massenkommunikation ausgeschlossen und kein Abruf bei Geheimnisträgern, unverkürzte äh Speicherfristen, unten nur zu eng definierten Strafverfolgungszwecken. Das sind das sind die Zugeständnisse, die sie jetzt quasi machen, um, nach der Lektüre der beiden höchst. Höchstrichterlichen Urteile, die einmal die Umsetzung der EU-Richtlinie ähm. Von zweitausendfünf übrigens, also zweitausendfünf kam, wurde diese Idee in die Welt gesetzt und einmal äh natürlich zweitausendzehn im Urteil des äh Bundesverfassungsgerichts Urteils. Äh Deutschlands. Ähm. Äh äh ausgegeben wurden, ja, dass sie halt das haben sie natürlich jetzt sehr genau gelesen und haben wie ja auch immer schon zu erwarten war, diese beiden Urteile als ähm. Anleitungen genommen, äh was sie welche äh Probleme sie adressieren müssen, um die Scheiße an den Gerichten vorbeizubekommen. Und das ist hier geschehen und das sind eben diese drei, Einschränkungen, die ich eben aber für ähm, bin ich eigentlich guter Dinge, dass die eben nicht ausreichend sind, ne. Also gerade dieses kein Abruf äh ist natürlich ein ist natürlich ein Witz, ne? Das heißt, du speicherst ja trotzdem. Ach so, das äh fällt mir nur am Rande ein, dass sie. Sie sicher noch ein weiteres ähm einen weiteren Kritikpunkt ansprechen wollten, denn es war ja bei der ähm, ursprünglich mal angedacht, dass diese Vorratsdatenspeicherung eben auch zentral stattfinden würde, ne. Bei einer zentralen Erfassung der dieser Daten, hast du natürlich das Problem, dass es einen riesigen zentralen Datenpool gibt, in dem sich all dieses Wissen kontrolliert äh konzentriert und all das Missbrauchspotential konzentriert und das dann auch noch in staatlicher Hand wäre. Die Alternative dazu ist ja zu sagen, okay. Wir verpflichten die Anbieter zur Vorhaltung dieser Daten. Damit geht aber automatisch einher, dass du eine sehr ähm. Dass du eine eine dezentrale Vorhaltung hast, wo du ähm die einzelnen. Datensilos sehr, sehr viel schlechter kontrollieren kannst. Und das das Missbrauchs die die Anzahl der Menschen mit. Ähm mit dem potenziellen Zugang für Missbrauch, sich eben ähm potenziert, ja? Und, da, um dem vorzubeugen, sagen sie, ja, die Daten müssen extra sicher äh verschlüsselt, gespeichert werden und der Zugriff unterliegt dem Vier-Augen-Prinzip und muss protokolliert werden. Ähm. Und gleichzeitig führen sie den äh da den Straftatbestand oder wollen sie einführen, den Straftatbestand der Datenhellerei, sodass also die Menschen, jetzt, was weiß ich, bei einem Provider ähm diese Datensammlungen hüten und den die technisch den Zugriff darauf haben, äh empfindlichen Strafen unterliegen, wenn sie einen Missbrauch mit diesen Daten betreiben. Wäre dann eben das, was unter ähm NSA-Analysten eben ganz üblich ist, dass man mal äh seine Nachbarn äh durchleuchtet und die Exfreundin äh und äh solche Sachen, ja? Das das wäre also das wollen sie unter Strafe stellen, damit das äh damit das nicht gemacht wird, ne?

Tim Pritlove
0:32:55

Ja, das ist äh das ist natürlich super. Wir wissen ja auch, das wird super funktionieren, ja, weil alles, was ja verboten wird, das findet ja auch äh automatisch immer nicht statt, ne, das äh so ein bisschen so wie äh ja, äh wir bitten sie, ihre Tagebücher jetzt außen an ihrer Wohnungstür anzubringen, aber keine Angst, es ist ja verboten, da reinzuschauen, von daher kann da ja nichts passieren. Wir schauen da nur rein, wenn äh eine dringende Straftat vorliegt, so. Und ähm ja, gut. Wir wiederholen uns, glaube ich, in gewisser Hinsicht. Ich meine, ähm was die, ten betrifft. Ähm ich habe jetzt gerade die Quelle äh nicht zur Hand, aber ich meine auch schon so eine laut Äußerung, zumindest der deutschen Telekom gelesen zu haben, die aufgrund dieses Vorschlags schon so ein bisschen in Stellung gegangen ist und meinte so. Vorratsdatenspeicherung teuer und so und wenn man da jetzt irgendwie was ähm müsste dafür, das haben wir ja schon mal gemacht, das war ja schon sehr teuer, da müsste jetzt der Staat aber dann doch mal äh ein bisschen auch, ne, schon unbedingt alles gespeichert haben möchte, dann bist du dann auch schon mal so ein bisschen Kohle raustun. Das ist so etwas, was eigentlich bei einem ersten Durchlauf der VDS ein bisschen hinten übergefallen ist. Die Kosten wurden dann einfach äh murrend äh aufgenommen, aber ich glaube, dass die Unternehmen selber eigentlich relativ wenig Bock haben auf diese ganze Nummer, nicht nur, weil's ihren Neumond ähm verkackt, sondern auch weil sie halt einfach auf diesen Aufwand Kosten und so weiter überhaupt gar keinen äh Bock haben, schon gar nicht drauf sitzen zu bleiben und ähm ich habe so den Eindruck, dass wenn die Debatte sich dieses Mal noch weiter verschärfen würde, was sehr gut sein kann, dass das schon vorher wieder als ähm neuer Rockrepierer endet, aber angenommen ist, auch nochmal weiter, dass wir in diesem Fall auch mehr Rückmeldungen von der Wirtschaft im Hinblick auf Kostenbeteiligung ähm damit rechnen können und das ist halt auch nochmal so ein zweiter Hammer in dieser ganzen Debatte, der das doch sehr unwahrscheinlich macht, dass sie damit voranschreiten können.

Linus Neumann
0:34:49
Tim Pritlove
0:35:11
Linus Neumann
0:35:13
Tim Pritlove
0:35:24
Linus Neumann
0:35:30
Tim Pritlove
0:36:13
Linus Neumann
0:36:34

Ja, da könnte aber noch, da könnte noch was anderes eine Rolle spielen, da kommen wir gleich zu, ich will nur noch ganz kurz eine interessante Meldung mit einspielen, um um zum nächsten Thema zu kommen, Und zwar hat Mitte Januar gab es ein, ähm Deo, Diny of Serviceangriff auf die Webseite von Sigmar Gabriel und äh wohl auch anderer ähm Abgeordneter. Ähm. Wo man erst damit rechnete, dass das äh russische Hacker waren oder so. Ähm, Es war aber wohl ein äh Teenager aus Deutschland. Sich dann auch kurz nach diesen Angriffen in Foren ähm brüstete dafür verantwortlich zu sein. Und als Motivation angab, die äh die Aussicht einer Vorratsdatenspeicherung ähm. Sagte also durch durch solche Maßnahmen wird man immer enger in einen Käfig gesperrt und aus Protest hat er eben diese, diese Webseiten gefahren und hat jetzt eine Wohnungs Besichtigung bekommen von der Zentralstelle zur Bekämpfung von Internetkriminalität, bei der, umfangreiches Beweismaterial sichergestellt wurde. Ähm laut Medienberichten hat er das auch nicht, äh eigener Internetleitung oder Hacking Skills hinbekommen, sondern mit der Hilfe eines Spot Netz ähm. Netz, also eine Reihe infizierter Rechner ähm meistens Windowskisten ähm deren äh. Die also mit einem von einem Chart-Programm übernommen wurden und sich aus der Ferne fernsteuern lassen, mit denen man dann ähm ganz gemütlich zum Beispiel gerne mal Spam verschicken kann, um halt möglichst viele IP-Adressen zu haben und viele verschiedene E-Mail-Adressen. Mit denen man aber auch sowas wie. Sachen machen kann, also eine Reihe Rechner, die man ähm, die man sich Zugang mieten kann, ja? Also das ist tatsächlich so der das das Geschäftsmodell, was was hinter solchen Wort Netz äh teilweise steht, dass man sich die züchtet und dann eben auf einem Schwarzmarkt ähm, die Stunde bordnet äh vermietet. Und das hat dieser äh Jugendliche wohl wahrscheinlich getan oder er war oder er hat sich ja tatsächlich selber ein Bordnet gebaut. Das wäre äh scheiße für ihn, wenn er das wirklich selber gemacht hat, weil dann, will er sicherlich nicht die äh die Zentralstelle zur Bekämpfung von Internetkriminalität in seiner Wohnung haben. Ähm. Da steht also nichts drin, ob er jetzt selber einen Bordnet hat oder ob er das gemietet hat. Ich hoffe mal für ihn, dass er es gemietet hat, weil dann ähm sollte sein. Strafmaß, äh im Zweifelsfall sehr viel geringer ähm ausfallen. Aber es ist natürlich ähm. Ja, also wir haben diese Debatten ja schon auch mal geführt, einmal auch glaube ich insbesondere als Anne Roth bei uns zu Gast war, ob nun äh die Nylove Service-Angriffe ein ähm. Ein legitimer äh eine ein legitimes Mittel des politischen Ausdrucks sind oder ob das jetzt eben wirklich Internetkriminalität ist. Und das ist das hängt glaube ich auch vom Einzelfall ab, Fakt ist, dass dass die Night of Serviceangriffe insbesondere von solchen Bot Netz auch, häufig im Rahmen der Erpressung stattfinden, also bei Dienste, Anbietern, die, Geld verdienen, also so ein Onlineshop, ne? Wäre ja schade, wenn euer Onlineshop jetzt die nächste Woche down wäre. Deshalb ist das Übliche, ist halt so, man legt den mal einen Tag lahm. Und schreibe dann so eine E-Mail, ja ähm wir haben festgestellt, dass äh ihr Onlineshop nicht ging, sie schien da einen Angriff zu haben wir haben hier so 'ne kleine Schutzgeldmafia die sie davor schützen kann, dass sowas passiert das ist halt auch 'n relativ häufiges Szenario, das aber offensichtlich dieser junge Mann weil. Nicht äh verfolgt hat, sondern da eben ein eine politische Botschaft darüber transportieren wollte. Und ähm ich hoffe mal, dass er, ähm da äh entsprechend mit milde ihm begegnet werden wird. Und dass er nächstes Mal sich äh so anstellt, dass er ähm nicht erwischt wird.

Tim Pritlove
0:41:15
Linus Neumann
0:41:23
Tim Pritlove
0:41:44

Das auch einfach mal so als, als konkreter Tipp an ähm so den den äh jungen Hackernachwuchs, ja? Wir können das, glaube ich, beide sehr gut nachvollziehen. Wie sehr einen das so in den Fingern jucken mag, Ja, wenn man so rausgefunden hat, wie das so alles funktioniert und dann hat man auch immer das Gefühl, man sitzt so mit so einem Lichtschwert an der Tastatur und braucht das jetzt nochmal so ein bisschen von links nach rechts zu wedeln und dann fallen irgendwie die ganzen Bösewichte einfach um Ja, kann gut sein, dass da irgendwas umfällt, aber erstens ist damit meistens relativ wenig gewonnen Zweitens ähm sehen das andere Leute dann auch meistens ganz anders. Also man macht sich damit nicht unbedingt jetzt äh Freunde Ja, das hatte man vielleicht auch nicht vor, aber man macht sich auch in dem Moment äh einfach Feinde, die man vielleicht so einfach noch gar nicht aufm Zeiger hatte. Vor allem auch Leute, die potenziell, ähm man vielleicht auch durchaus als Freunde hätte gewinnen können, womit's dann meistens dann schnell aus ist. Ja, äh Leute, die einfach grade mit dem Niederringen von Infrastrukturen einfach, keinen Spaß haben, weil sie einfach darauf vertrauen, dass die zumindest meistens online sind, ja? Und ähm ganz davon abgesehen, das ist auch einfach die Sache nicht wert und ihr macht euch da einfach nur angreifbar und ihr macht euch da äh, versaut euch einfach etwas. Äh leitet mal diese Energie besser in ähm konstruktivere Dinge. Baut Webseiten, mit denen man irgendwie ordentliche Sachen machen kann. Das ist sehr viel hilfreicher.

Linus Neumann
0:43:16
Tim Pritlove
0:44:01
Linus Neumann
0:44:02
Tim Pritlove
0:45:19

Ja

Linus Neumann
0:45:20

Position der Finanzwirtschaft, äh die ebenfalls auch schon so hart reguliert ist, sagt, Ja, komm, wir haben, wir müssen eh jeden Furz, den wir lassen, irgendwie mit der BaFin abstimmen. Ähm es es ist für uns aber als ärgerlich zu betrachten, dass wir da jetzt nochmal weitere Berichtspflichten gegenüber dem dem BSI bekommen sollen. Wir haben eigentlich schon genug ähm genug mit der BaFin zu tun, ja? Das ist so, kurz gefasst und über äh überschwitzt die die Position der Finanzwirtschaft, dass eben beides Bereiche, die ähm eh schon bis zum Erbrechen ähm. Reguliert sind. Und da ähm zwei unterschiedliche Herangehensweisen jetzt im Umgang mit diesen IT-Sicherheitsgesetz für sich äh entdeckt haben. Jetzt würde ich nur gerne noch kurz die Gelegenheit nutzen, eben also meine Position auf dieses äh auf dieses IT-Sicherheitsgesetz äh zusammenzufassen. Wie gesagt, die Stellungnahme die ich da verfasst habe, findet sich in den Shownots. Ich hab's äh auf ganze vierzehn Seiten gebracht. Das äh beziehungsweise wahrscheinlich sind so äh wenn man da ein bisschen White Space nochmal raus sind, ungefähr dreizehn, zwölf Seiten. Und mich mich ärgert daran vor allem, dass es also nicht wirklich Ansätze zum Endnutzerschutz gibt, sondern dass man sich da irgendwie um um kritische Infrastruktur und Wirtschaft und Hasse nicht gesehen, Gedanken macht. Was ich mal äh was ich mir da mal betrachtet habe, ist. Was das BSI als Bedrohungslage für Deutschland zweitausendvierzehn, formuliert hat oder ähm zusammengefasst hat in ihrem Lagebericht äh IT-Sicherheit. Ähm. Deckt sich also vom vom Risikoszenario her überhaupt nicht mit dem, was dieses Gesetz adressieren soll, ja? Sie sagen also zweitausendvierzehn, gab es diese beiden Passwortdiebstähle von einmal sechzehn Millionen und einmal achtzehn Millionen Passwörtern, riesiges Bedrohungsszenario für die äh privaten Anwender hier. Und das ist halt ein Risiko, dem sie sich äh oder eine eine Personengruppe, der sie sich in diesem Gesetz überhaupt nicht widmen, ja, überhaupt nicht. Gleichzeitig sein, dann sagen sie, ja, Wirtschaft, Wirtschaft, fürchterlich, fürchterlich, ne? Und dann äh sagen sie, da wurde ja sogar jetzt ein ein Stahlwerk einmal äh, beschädigt durch Hacker. Und interessanterweise war der war der der initiale Angriffsvektor auf dieses Stahlwerk war, Social Engineering, ja, das heißt, die man könnte also überspitzt sagen, das Stahlwerk war aus technischer Perspektive sicher genug, Sie haben nur die Angreifer haben sich halt rein Social Engineers um. Um dann eben nachher tatsächlich an an kritische auf kritische Systeme Zugang zu erlangen. Und ähm dann dort äh Schaden anzurichten. Und dann das große Thema, um das sie sich hier die ganze Zeit äh, auf das sie sich die ganze Zeit konzentrieren, ist eben kritische Infrastruktur. Alle Berichtspflichten und Alamierungskontakte und was nicht alles, ist ausschließlich im Bereich der kritischen Infrastruktur. Und zu denen schrieb das ja das BSI schon im Jahr zweitausendneun bei den Betreibern der sogenannten kritischen Infrastrukturen können IT-Sicherheitsbewusstsein und Kompetenz sowohl auf Managementebene als auch in der Umsetzung durchweg, hoch eingeschätzt werden, ja? Zitat BSI äh Lagebericht, IT-Sicherheit zweitausendneun. Im Bericht zweitausendvierzehn schreiben sie dann, unter Angriffe auf kritische Infrastrukturen beschreiben sie einen Angriff, es gab also im Jahr zweitausendvierzehn einen dokumentierten erfolgreichen Angriff auf kritische Infrastrukturen in der Bundesrepublik Deutschland und der, Folgendermaßen ab, es gab Social Engineering auf die Mitarbeiter. Und der Ziel dieses Social Engineering Angriffs war, dass Übermitteln einer Kopie eines amtlichen Lichtbildausweises und der Bankverbindung des Gehaltskontos der Opfer, Und die Angreifer hatten Erfolg bei einigen. Und so wurden mittels gefälschten Unterschriften die Bankkonten der Betroffenen aufgelöst und oder neue EC-Karten samt PIN an eine neue Adresse in China angefordert. Das war der Angriff auf kritische Infrastruktur in Deutschland zweitausendvierzehn, mit dem jetzt dieses gesamte Gesetz gerechtfertigt wird. Ja, das heißt, selbst wenn die Hacker kritische Infrastruktur angreifen, haben sie. Laut, Bedrohungslage des BSI ein größeres äh äh einen größeren Anreiz, ähm einfach die Konten der Leute, die dort arbeiten zu lehren, als wirklich diese kritische Infrastruktur platt zu machen, ja? Also da ist die da ist die Bedarfslage an einem solchen Gesetz, die das BSI in seinen eigenen Berichten benennt, dann doch eher sehr gering. Grundsätzlich teilt der Chaos-Computer-Club natürlich nicht die Einschätzung, dass kritische Infrastruktur in Deutschland ausreichend gesichert wäre, aber ähm, zumindest nicht nachvollziehbar, dass ausrechnet darauf jetzt dieses Augenmerk gelegt wird. In diesem Gesetz, während äh wenn Millionen, von von Endnutzern in Deutschland von von Passwortdiebstahl und und Onlinebanking Betrug und so weiter betroffen sind, dass in der Hinsicht halt überhaupt nichts passieren soll, ne? Dann kommen wir zum nächsten, zum zweiten Punkt. Die Steigerung der Bürokratie statt aktiver Erhöhung der Sicherheit. Da geht's mir also darum, dass. Diese Auflagen, die da jetzt sind, in der Regel melde und Berichtspflichten sind, ähm und dann gibt's natürlich noch diese Sicherheitskonzepte, die dem BSI vorgelegt werden und die dann alle zwei Jahre kontrolliert werden sollen. Und die die Pflicht, eben alle möglichen Sicherheits Auditberichte und ähm und irgendwie Sicherheitsschwankungen dem BSI zu melden. Das ist ja alles schön und gut. Das ist aber ein riesiger Overhead in der Verwaltung und, der geht natürlich mit einem riesigen Aufwand auf Seiten der Unternehmen einher und dem Aufwand steht eben nichts gegenüber. Dem dem Aufwand steht gegenüber, dass sie irgendeinen Scheißbericht an das BSI geschickt hast, um irgendeiner Meldepflicht äh zu entsprechen? Ja? Aber da hast du ja noch keine einzige Sicherheitslücke, die du im Moment hast, äh geschlossen und deshalb eine weniger. Und das heißt natürlich auch, dass diese Ressourcen, die du aufwenden musst, um diese ganzen Auflagen zu erfüllen, die fehlen dir, um irgendwie mal ernst zu nehmende Sicherheitskonzepte ähm zu zu formulieren, die dich irgendwie weiterbringen. Ähm dann hatte ich gerade schon äh genannt, dass das eben. Sicherheitskonzepte eingereicht werden müssen, das ist also jetzt mein dritter Kritikpunkt. Und zwar ist das so, dass das äh dass das Gesetz erstmal vorschreibt. Maßnahmen müssen dem Stand der Technik entsprechen. Und dann stellt sich natürlich die Frage, was ist denn Stand der Technik? Ja und, Dass es in diesem Gesetz gezielt nicht ausformuliert, sodass du dich dann eben als Betreiber in so einer rechtlichen Unsicherheit befindest, dass dir natürlich einfach jederzeit ähm quasi das BSI daher kommen könnte und sagt, das hier ist nicht Stand der Technik. Und um diese Rechtsunsicherheit aus deinem, aus deiner Risikolandschaft rauszubekommen, musst du oder bist kannst du als Branchenverband ein Sicherheitskonzept dem BSI vorlegen und das vom BSI absegnen lassen. Und dann hast du eben, dann hast du vom BSI verbrieft den Stand der Technik implementiert. Ja? Und. Und das äh ist eben, das soll, da sind sie natürlich angehalten, das als Verband zu tun. Ja, das heißt, der Branchenverband, der äh Telekommunikationsanbieter, Branchenverband, der äh Atomkraftwerkbetreiber oder was auch immer, setzen sich dann zusammen. Und ähm reichen quasi ein gemeinsames Sicherheitskonzept beim beim BSI ein. Das BSI hat ja überhaupt nicht die Kapazität oder die Expertise um so ein Sicherheitskonzept selber zu schreiben. Und jetzt kannst du dir das natürlich so vorstellen, die sitzen da in ihrem Verband und die haben ja alle schon Sicherheitskonzepte. Es ist ja nicht so, als hätten die nicht genug Checklisten, wo sie Häkchen dran machen. Und dann sitzen die also in ihrem Verband zusammen und jetzt kannst du dir natürlich vorstellen. Bleibe jetzt mal zum Beispiel beim Mobilfunk, dann könnte man sich jetzt vorstellen, dann ist da die Deutsche Telekom, die vielleicht ein ähm ein höheres äh Sicherheitsniveau bei sich äh erreicht als als andere Anbieter. Und das in entsprechenden Sicherheitskonzepten eben auch äh vorgeschrieben verbrieft und dokumentiert hat. Und jetzt sitzen die also alle in einem Raum, und dann hast du halt einen Teil der Anbieter, die sagen, ja, aber so dieses Maß an sich, also sieht so unser Sicherheitskonzept aus. Und dann sagen die anderen, Umsätze ist ein bisschen höher und jetzt entsteht natürlich ein ein Konflikt zwischen denen, weil die, die das höhere Konzept haben, eigentlich diejenigen sind, die sagen können, nö, wir wollen, dass unser Konzept festgeschrieben wird und ihr erstmal die fetten Investitionen habt, euch auf dieses Konzept auch hochzubringen. Wir könnten aber natürlich auch sagen, nee, nee, komm, schreibt mal euren kleinen Mist dahin den haben wir eh schon vollständig implementiert. Und dann haben wir sind wir die Sorge los, äh, dass uns das BSI irgendwie auf den Sack geht, ne? Ich halte die zweite, den zweiten Weg für den wahrscheinlichern, das heißt, es wird dann einfach, das niedrigste existierende Sicherheitskonzept der Branche als, Sicherheitskonzept und Stand der Technik verbrieft, festgelegt und das ist dann eben für alle verbindlich. Das heißt, auch da hast du keinen ähm. Kein Anhaltspunkt, dass sich IT-Sicherheit wirklich erhöht. Wie du eben auch schon mit der Definition Stand der Technik nicht die Chance hast den Stand der Technik zu vergrößern. Sinnvoll wäre es gewesen, wenn Sie sagen, so pass auf, jede Kommunikationsdienstleistung bis zweitausendachtzehn endet zu Ende verschlüsselt, fertig. Ne? Ähm und, irgendwie jedes Kraftwerk so und so hier folgende Sicherheitsmaßnahme ist uns scheißegal ob ihr das was euch das kostet ja? Da wäre die Gelegenheit gewesen durch durch regulatorische Verpflichtung oder eben auch Anreize. Wirklich mal einen Effekt herbeizuführen, den ich als ähm, Angreifer auch sehe, ja, wo ich sage, hier hat stattgefunden, hier ähm sind wurde in die in den Abbau von von Risikoszenarien investiert. Das sehe ich da einfach nicht. Der vierte Punkt betrifft dann diesen Paragraph einhundert TKG, wo man jetzt sagt OK. Das ist der, das ist der Paragraph unter dem heute schon ähm Daten gesammelt werden bei Telekommunikationsanbietern. Und zwar äh wird dort einfach gesagt, du darfst Verkehrs und Bestandsdaten zum Zwecke der Erkennung und Behebung von Störungen speichern. Und da wird jetzt noch ein wird jetzt noch ein Satz dabeigefügt. Das gilt auch für Hackerangriffe. Wobei Hackerangriff natürlich das Ergebnis eines Hackerangriffs ist natürlich eine Störung. Ähm und da stellt sich natürlich die Frage. Also und das ist da formuliert übrigens ohne irgendwelche äh Grenzen des Anwendungszweckes, und ohne irgendwelche Grenzen der der zeitlichen Aufbewahrung dieser Daten. Und es ist natürlich totaler Unsinn zu sagen, du speicherst irgendwie Sachen für für für mehrere Wochen oder sogar Monate laut AK Vorrat eben da ist keine feste Vorschrift gibt beträgt diese Vorhaltedauer von den Daten zwischen sieben, einhundertachtzig Tagen in Deutschland, je nachdem bei wem du schaust.

Tim Pritlove
0:57:14
Linus Neumann
0:57:16

Verkehrsdaten im Telekommunikationsbereich. Und ähm jetzt stellt sich natürlich die Frage sag mal, du hast jetzt eine akute Störung in deinem Telekommunikationssystem. Wofür brauchst du da die Daten der letzten einhundertachtzig Tage, um diese diese Störung zu beheben? Ja, da steht halt wirklich nur Diagnose Erkennung und Behebung, da steht nicht, juristische Aufklärung oder sowas, ne? Da steht einfach nur, dass du erkennen kannst, wo ist das Problem und wie werde ich's los? Und da ist natürlich so ein Long Tale an Daten totaler Unsinn, ja? Sinnvoll ist es da allenfalls zu sagen, okay, im Rahmen einer solchen. Störungsbehebung kannst du, Und da gibt es auch einen Absatz zu, kannst du vollständig alles mitloggen, überall reinschauen, um dein System wieder in die Gänge zu kriegen. Wenn du das getan hast, musst du aber auch alle Betroffenen darüber in Kenntnis setzen, ja? Und das ist natürlich eine Maßnahme, die ist ähm. Die wäre nachvollziehbar und eben auch an den akuten Fall gebunden und an der äh Berichtspflicht Ja? Hier reden wir aber davon, dass sie sagen, nö, alles kannst du so lange speichern, wie du willst, für den Fall, dass irgendwann mal was passiert und du da da rein, da eine akute Störung beheben muss. Und da ist halt so ein Longtail an Daten absolut ähm nicht für zu rechtfertigen und jetzt kann natürlich irgendjemand daherkommen und und Langzeitszenario entwerfen, wo tatsächlich dann die Verkehrsdaten von vor mehreren Wochen eine Rolle bei der Behebung Angriffs ähm spielen könnten. Ja, also er wird sicherlich jetzt jemand daherkommen und ein findiges Szenario erkennen. Ähm aber dieses Szenarien gibt es halt nicht, ja? Das, was wir, was wir feststellen, was wir sehen, sind Angriffe, bei denen irgendwie langfristige Speicherungen von von Verkehrsdaten, die in keiner Form bei der Behebung helfen. Es ist einfach nur Unsinn, und gleichzeitig ähm ist natürlich dieses Sammeln dieser Daten ist eben nicht, wie bei der Vorratsdatenspeicherung irgendwelchen krassen äh Auflagen unter äh unterlegt, sondern ähm. Das ist einfach, du darfst speichern Punkt. Und ähm das ist natürlich ein, das Einfallstor, um dann eben wieder, so wird's ja, so findet es ja auch heute statt. Das sind genau die Daten, anhand derer heute IP-Adressen aufgelöst werden, äh wenn man sagt, das ist ein Falsche. Das sind Daten, die nach TKG einhundert gesammelt wurden. Und die sollen da jetzt einfach weiter ausgeweitet und erlaubt werden. Und da ist relativ ähm offenkundig, wer am Ende bei an diesen Datensammlungen ähm. Teilhaar, an diesen Datensammlungen teilhaben möchte. Und das hat mit einer Erhöhung der IT-Sicherheit erstmal überhaupt nichts zu tun. Vor allem nicht im Sinne dessen, wie es in der Formulierung des Gesetzes und in der Begründung des Gesetzes ausgeführt ist, ne? Man könnte natürlich sagen, äh okay, äh wir wollen, solche Bot Netzer dingfest machen und deswegen, wollen wir diese Daten da liegen haben? Und deswegen wollen wir die abgreifen können. Deswegen wollen wir IP-Adressen auflösen können. Ähm so ist aber dieses Gesetz nicht begründet und ich muss mich ja in meiner äh Stellungnahme eben daran orientieren, auch wie dieses Gesetz. Formuliert und begründet ist. Und das halt einfach nur unsinnig, was da steht. Habe ich auch dann so geschrieben.

Tim Pritlove
1:00:48
Linus Neumann
1:00:50

Ah ja genau. Letzter Punkt, Vertrauensproblem des BSI wird nicht gelöst. Das ist etwas, was ich in meiner früheren Stellungnahme an den Ausschuss Digitale Agenda auch schon mal ausgeführt hatte. Das BSI hat ja seit zweitausendzwölf oder was eine Meldestelle, ja? Und es ist nun mal so, dass weder in der Privatbevölkerung noch in den Unternehmen das das BSI irgendwie ein besonders guten Ruf hätte. Und jemand ist, mit dem man, mit dem man sich irgendwie ausführlich auseinandersetzen möchte, das ist ja genau der Grund, warum sie da jetzt irgendwie mit Meldepflichten und wat nicht alles um die Ecke kommen. Das nämlich einfach sonst keiner mit dem DSI spielen möchte, Und wenn sie jetzt auch noch sagen, sie wollen zum Beispiel ähm vor den Bundeseinrichtungen irgendwie äh groß ähm das Monitoring ausbauen. Wenn sie sagen, sie wollen alle Angriffe ähm. Angriffsszenarien und fast Angriffe und so weiter äh äh gemeldet bekommen, dann geht damit natürlich auch einher, dass sie wissen, über äh potenzielle Angriffsszenarien und äh potentielle Schwachstellen sammeln, und beim BSI ist eben im Moment überhaupt nicht klar, dass das BSI dieses Wissen. Nur zum Zwecke der Verteidigung und zum Zwecke des Schutzes der eigenen Wirtschaft und Bevölkerung zum zum Einsatz bringt Ja? Das BSI hat an an Staatstrojaner Entwicklungen mitgewirkt. Und es ist durchaus nicht ähm also da das Risiko, dass das BSI ähm das im im Namen im Rahmen dieses Monitorings und im Rahmen dieser Meldungen erlangte Wissen über IT-Sicherheitsschwächen. Nicht auch selber äh weiterentwickelt oder äh in in Angriffe weiter über übersetzt, die eben, Die Partnerbehörde, die ebenfalls den BN äh dem BMI unterliegt, nämlich der BND, der ja schon ähm irgendwie zwanzig Millionen für die nächsten Jahre haben möchte, um das Wissen über Sicherheitslücken zu kaufen, ähm, weitergibt, ja, das heißt, ähm ein BSi, das immenses Wissen über Sicherheitslücken sammelt, ist äh, natürlich selbstverständlich da es dem BMI untergeordnet ist, äh angehalten, dieses Wissen wiederum mit den, offensiven Behörden BND zu teilen. Deswegen kannst du halt quasi so eine Vertrauensposition, die das BSI im Rahmen dieser äh dieses IT-Sicherheitsgesetzes bekommen soll, nur rechtfertigen, wenn das eine vollständig äh unabhängige Behörde mit absolut eindeutigen Sicherheitsauftrag ist und das ist sie eben nicht. Ist es eben nicht.

Tim Pritlove
1:03:22
Linus Neumann
1:04:02
Tim Pritlove
1:04:41
Linus Neumann
1:04:53
Tim Pritlove
1:04:54
Linus Neumann
1:05:08
Tim Pritlove
1:05:33
Linus Neumann
1:05:36
Tim Pritlove
1:05:38
Linus Neumann
1:05:40
Tim Pritlove
1:05:41
Linus Neumann
1:05:47
Tim Pritlove
1:05:58
Linus Neumann
1:06:04
Tim Pritlove
1:06:44
Linus Neumann
1:06:48
Tim Pritlove
1:07:44
Linus Neumann
1:08:00
Tim Pritlove
1:08:00
Linus Neumann
1:08:05
Tim Pritlove
1:08:32
Linus Neumann
1:09:20
Tim Pritlove
1:09:22
Linus Neumann
1:09:52
Tim Pritlove
1:09:54
Linus Neumann
1:10:35
Tim Pritlove
1:12:01
Linus Neumann
1:12:02
Tim Pritlove
1:12:03
Linus Neumann
1:12:04

Der Wald? Wird es mit mir nicht geben? Da weiß ich aber nicht genau, wie da der aktuelle Stand ist, denn das ist ja ähm hier Autobahnminister, ne. Aber äh ja, also das deswegen habe ich das nur mit aufgenommen. Also diese Idee ist relativ also die wirtschaftliche. Verwertbarkeit dieser Idee ist, glaube ich, ähm strengen Einschränkungen unterworfen und ähm es, ich hab's nur mal als Beispiel aufgenommen, was du eben von so Datenschutz und äh AR vereint Verwendungszweckenschränkungen eben in the Long Run halten kannst, wenn du einmal anfängst, solche Daten zu erfassen. Und dann gab's noch ähm auch das nur als Kurzmeldung, weil wir da äh vor einigen Wochen auch mal drüber gesprochen haben, eben über Flug äh Sicherheit, Flugzeugsicherheit. Da gab's jetzt ein ein ganz gelungener Vorschlag von der deutschen Flugsicherung. Die sagt, lasst uns doch mal so einen Anti-High-Hecking-System bauen, sodass wir vom Boden aus die Kontrolle über ein Flugzeug nehmen. Und es sicherlich sicher landen können. Da gab's auch schon mal einen EU-Forschungsprojekt namens Sofia, was sich vor ein paar Jahren damit auseinandergesetzt hat und dann irgendwie wahrscheinlich seine Anschlussförderung nicht bekommen hat. Jetzt stellen wir uns mal vor, ja? Wir haben im Moment wir hatten jetzt irgendwie. Es gab ein paar Flugzeugentführungen in den letzten Dekaden. Ähm in. Vergangenen zehn Jahren, nee, in den vergangenen fünfzehn Jahren fallen mir jetzt zwei besondere ein, dass es eben einmal äh Mohammed A und Andreas L. Dann eben diese es gibt sicherlich noch mehr die ich vielleicht jetzt grade vergessen habe oder so aber die Folge von Mohammed A war eben dass diese Tür verstärkt wurde, was dann eben wiederum Andreas L geholfen hat bei seinem Unterfang. Ähm beide hatten aber die große Herausforderung für ihren, für ihren Angriff, dass sie in diese Flugzeuge kommen mussten. Dass sie dafür eine Pilotenausbildung brauchten und was nicht alles. Und ähm ihren ihren Massenmord ähm. Lange vorbereiten und planen mussten. Und. Jetzt wollen wir offenbar den Flugzeugen mehr oder weniger eine Funkverbindung geben. Wodurch dann eben Menschen, die sich noch nicht mal an Bord des Flugzeuges befinden. Dieses ähm Steuern können. Und dann eben entweder heile landen oder eben auch nicht. Und diese, das, glaube ich, ist eine enorme Vergrößerung der der Angriffsfläche. Die ein unglaublichen Risiko einhergeht, dass nämlich genau dieses System der Grund dafür ist. Dass das nächste Flugzeug runterkommt. Und das halte ich für eine ähm für eine für eine äh für eine für eine ausgesprochen hirnrissige Idee. Ausgesprochen hirnrissig. Ähm. Dass da so etwas einzubauen, ja? Dieses vier-Augen-Prinzip wiederum halte ich für eine das ist eine, denke ich, eine eine eine Notwendigkeit und auch was Grundsätzliches, was gerade bei der Steuerung eines eines äh so komplexen und gefährlichen Fahrzeuges äh ohnehin eigentlich schon immer hätte da sein sollen, ja, das das leuchtet ein, aber ähm. Da jetzt irgendwie diese diese Passagierflugzeuge Fernbedienbar zu machen, halte ich für ähm ausgesprochen ähm ausgesprochen dumm.

Tim Pritlove
1:15:47
Linus Neumann
1:16:49
Tim Pritlove
1:16:58
Linus Neumann
1:17:34
Tim Pritlove
1:17:37
Linus Neumann
1:17:49
Tim Pritlove
1:19:05
Linus Neumann
1:19:29
Tim Pritlove
1:19:41
Linus Neumann
1:19:46
Tim Pritlove
1:20:53
Linus Neumann
1:21:00

Bei denen nicht. Es gibt aber noch so ein anderes System, mit dem die kommunizieren, wo es vor zwei Jahren mal so ein Blackhead Talk gab, äh wo das durchaus sicherheitskritisch war. Ähm noch kurz zu erwähnen, in der gleichen Woche, wie die Deutsche Flugsicherung sagte, lasst uns baut, gibt uns doch mal eine Fernsteuerung für alle Flugzeuge Ähm gab es einen Bericht, der des United States Government Accountability Office über Air Traffic Control, äh wo sie ähm mal so die ganzen, Cyber äh Security-Freds an Flugzeugen aufgelistet haben und sagen, ja ähm die Piloten rennen da mit ihren gehackten Tablets und Smartphones im Cockpit äh rum und jetzt kriegen die Flugzeuge ja auch noch alle Internetzugang, also hast du zum Beispiel auf Langstreckenflügen? Äh sündhaft teuer. GSM-Netze haben Flugzeuge jetzt übrigens auch an Bord, ja? Kleines GSM-Netz, wo du dann, äh ungeheuren Preisen ähm SMS äh versenden kannst. Und äh auch Daten bekommst. Ähm. Aber zum Glück äh nicht, anrufen kannst und auch nicht angerufen werden kannst, also wird gebloggt äh aus Rücksicht auf die Passagiere. Ich hoffe, dass das so bleiben wird. Ähm. Und dann wurde, sagt er halt, dieses äh Government Accountability Office, ja ähm zwischen der Bord-Elektronik, des Flugzeugs und, den ihr da betreibt, ist irgendwie eine Firewall und mehr nicht, Wir würden mal anraten, da vielleicht keine Kupferverbindung oder sonstige logische Verbindung zwischen zu haben, weil es wäre ja wirklich schade, äh wenn ähm irgendjemand sich in die Board äh Elektronik rein äh, Wie es eben auch vor zwei Jahren irgendjemanden gelungen ist. Äh ich kann mich an den, Fall nur dunkel erinnern, aber der ist da auch nochmal in dem Artikel verlinkt, wo eben einer ähm in diesem Hotspot Netz war und dann einfach mal so ein bisschen rumgetracet und gepinkt hat und dann irgendwie am Ende mit der Flugaufsicht da äh ähm mal ein ernstes Gespräch hatte und sagte, hör mal Was ist denn hier. Also Firewalls äh ist da ähm das sieht natürlich immer toll aus in so einem Architekturdiagramm. Hier ist Firewall. Aber ich habe auch echt äh noch nie eine Firewall gesehen, wo nicht irgendwelche völlig, Regeln drin sind, wo du die Hände überm Kopf zusammenschließt, weil es einfach auch viel zu komplex ist offenbar eine eine ernstzunehmende größere Architektur mit Firewalls abzusichern. Und wenn es wenn es dir gelingt, dann fangen die Administratoren an, sich sogenannte dirty rolls zu schreiben, damit sie nicht andauernd die Firewall unkonfigurieren müssen und sich halt irgendwelche kleinen geheim äh Umwege da reinbauen. Also Firewall äh ist heutzutage ähm oder der alleinige Schutz durch eine Firewall ist heutzutage nicht mehr zeitgemäß.

Tim Pritlove
1:23:55
Linus Neumann
1:24:09
Tim Pritlove
1:24:11
Linus Neumann
1:24:16
Tim Pritlove
1:24:23
Linus Neumann
1:24:28
Tim Pritlove
1:24:51
Linus Neumann
1:25:16
Tim Pritlove
1:25:19