LNP138 Stand der Technik

Guten Morgen Linus.

Guten Morgen Tim.

Du müsstest nochmal kurz eine Erinnerung auf der Webseite machen, das Passwort ist das Passwort von Logbuchnetzpolitik.

Okay, alles klar, kein Problem.

Netzpolitik, die einhundertachtunddreißigste Ausgabe, total sicher, extra rund erneuert. Wir haben äh überall nochmal reingeschaut. Uns kann nichts passieren.

Wir haben nämlich jetzt Security haben wir neuerdings.

Ja, genau. Ich habe das äh installiert, also da war so ein äh Paket, da stand äh jetzt mit Securitys, habe ich den installiert, jetzt doch eigentlich alles okay, oder?

Ja, wir sind jetzt auch Grundschutz zertifiziert und der äh das BSI kommt alle zwei Jahre vorbei und guckt, ob das alles in Ordnung ist. Wir haben ein ausführliches Sicherheitskonzept zusammen mit den anderen Podcastern erarbeitet und ähm es ist ganz klar, dass äh Podcasts sicherer werden müssen und ähm es darf jetzt einfach nicht mehr.

Genau und es es kann ja auch nicht sein, dass sich dann jemand drum kümmert.

Nee, wir sammeln jetzt auch extra schon mal ähm die Daten zur Erkennung und Behebung von Störungen. Ja, ist so.

Ja ja, ich meine, so ist es. Es ist bloß immer so schwierig, nicht die ganze Zeit ins Lachen auszubrechen, wenn man irgendwie so die ganzen Nachrichten auf sich einrieseln lässt. Ja.

Ja, wir haben, wir haben ja letzte Woche vom vom Cyber War gesprochen. Und von dem von dem großartigen bösen Angriff auf TV und der Einschüchterung, die damit einhergeht und ähm. In der weiteren Berichterstattung. Zu diesem TW Song Mondeding haben sie halt irgendwie einen interviewt, der dann da erzählte, wie schlimm das doch war, als ihnen die ganze Infrastruktur weggegangen ist und im Hintergrund, Interviews ähm klebt einer Zettel an der Wand mit den neuen.

Ja, das ist auch so. Man kann sich da noch nicht mal besonders drüber aufregen, weil jeder, der schon mal irgendwo bei so einem Unternehmen zu Gast war und grade bei so einem äh Unternehmen, da ist das einfach so gang und gäbe. Also auf Konferenzen ohnehin schon, ne Und und da zeigt sie auch mal wieder mal sehr schön, was einfach das Problem auch mit mit Sicherheit ist. Sicherheit ist einfach extrem unpraktisch beim Arbeiten, Ja, hast du irgendwelche Leute, die müssen mal schnell mal was hochladen und so weiter. Und all diese ganzen Vorgänge, die früher was mit Lokalität zu tun hatten, mit Schlüssel, die man so äh physisch in der Hand hat, Zugang zu Räumen et cetera. Bildet sich jetzt alles digital ab und die entsprechenden Berechtigungen und authentifizierung sind komplex, sind nicht mal eben so in der Hosentasche und auch dieses ganze Übergeben und Teilen von Zugriffsrechten und dessen Verwaltung überfordert einfach alle total nachhaltig und dann kommt man halt zu solchen Lösungen wie, naja mach doch einfach ein Post-up da in die Glasscheibe und passt schon und das passt halt auch nur, dass sie sich dann eben selber schnell mal ein Ei legen, wenn sie ihre eigene Kamera draufhalten. Das ist schon wirklich alles total absurd.

Das ist, das ist das große Problem der ähm der IT-Sicherheit generell, glaube ich, grade, was ich auch immer in meiner ähm in meiner Arbeit sehe und wo ich hoffe, dass sich da so ein, Paradigmenwechsel jetzt langsam auch abzeichnen wird, dass die IT-Sicherheit. Lauter Panik dann irgendwie so gefahren wird, dass sie die Menschen ähm, nachhaltig ein am Erledigen ihrer eigenen Arbeit hindert. So dass die anfangen, die Sicherheitsmaßnahmen zu umgehen, ne, also das beste Beispiel immer, die Leute, die irgendwie eingegangene E-Mails auf ihre Hot-Mail-Konten, damit sie am iPad lesen dürfen. Ähm das sind halt alles ähm Probleme, die kriegst du nicht dadurch gelöst, dass sie denen das jetzt irgendwie verbietest. Sondern du musst glaube ich ein, dass die Sicherheitskonzepte so, aufbauen, dass sie das, was die Menschen machen, gut flankieren und ihnen aber die Möglichkeit geben, das was sie machen sehr, sehr einfach ähm erledigen zu können. Und das ist halt eine große Herausforderung, für die du immer nur eine individuelle Lösung schaffen kannst und ähm immer nur, ähm, maßgeschneiderte Lösungen für jeden Anwendungsfall. Aber du kannst eben nicht in Sicherheitskonzept machen, was dann die Menschen, nicht am Ende einfach unterwandern können. Das geht halt nicht. Die fangen, wenn du je dichter du denen die die die Kehle schnürst, umso mehr werden sie sich darauf konzentrieren aus diesem Korsett irgendwie rauszuklettern. Und dann hast du eben als äh Organisation gar nicht mehr die Kontrolle darüber, Das ist also ist so ein ist halt einfach so ein Konflikt, den man einsehen muss, wenn du die wenn du diese Sicherheit, die technischen Sicherheitsmaßnahmen zu streng schnürst und zu wenig daran orientierst, wie die Leute arbeiten können ähm dann kleben sie sich am Ende irgendwelche Post-Its mit Passwörtern an die Wand, ja? Und da hast du halt dann keine äh keine Kontrollmöglichkeiten mehr.

Medienunternehmen wie vielleicht, also Fernsehsender allgemein, also das ist jetzt hier getroffen hat, das ist wahrscheinlich auch eher Zufall als äh Absicht, also zumindest lässt sich das jetzt vermuten, so richtig wissen, was jetzt gelaufen ist, glaube ich, tut auch noch keiner und wird wahrscheinlich auch gar keiner so richtig rauskriegen können. Ist halt nur so zu dem Zeitpunkt, wo du eben mit deinem Passwort auf postest, äh dir dann sowieso keiner mehr, dass du äh ja total abgefahrene Sicherheitskonzepte hattest und wir hatten ja um die zwei Wochen Berater da und so. Es muss halt wirklich Teil der, Kultur sein und es muss wirklich mitgedacht werden bei dem Design eines solchen Unternehmens und das ist halt einfach auch ein anderes äh technologisches, eine andere technologische Architektur, als das noch vor zwanzig Jahren der Fall war. Und, diese alte Technologiearchitektur mit ihren entsprechenden Auswirkungen auf Sicherheit, aber eben auch generell Arbeitsabläufe, ist verinnerlicht, dass das ist das, was diese Unternehmen äh können und leben. Aber durch diesen doch extrem raschen Wandel der letzten zehn, zwanzig Jahre. Wobei, die Beschleunigung ja gefühlt noch immer noch äh zunimmt. Nicht, man muss immer mehr präsent sein und hier noch ein Social Network und dann ist irgendwie noch alles vernetzt und das nimmt das keiner wahr und dann ist es irgendwie auf einmal ein totales Politikum ähm was auf deinem Twitter-Account gesagt wird, ja, dann ist das auf einmal dann auch ein Medienereignis, wenn da einer Pups sagt, äh oder keine Ahnung, die die der Weltsicherheitsrat muss zusammen äh treffen, wenn da irgendjemand gedroht wurde. Das sind alles so Auswirkungen, die diese ganzen Unternehmen strukturell und meistens auch personell noch überhaupt nicht eingepreist haben und dann eben auch nicht in der Lage sind, die Prioritäten bei ihrem technischen Aufbau so zu setzen, dass man sagt, okay, wir müssen jetzt auch diese, den neuen Distributionswege nicht nur durch ranflanschen von irgendwelchen Outlets äh machen, sondern wir müssen es einfach Sicherheitstechnisch denken, vom Arbeitsablauf her denken. Diese ganzen doppelten Böden und so weiter, die auch sonst drin sind, auch um die Sendesicherheit äh herzustellen, die, müssen jetzt einfach anders geplant werden, als das früher der Fall war und da sind einfach sehr viele Unternehmen, wenn ich fast eigentlich alle hinterher.

Weil sie sich mit langen Listen auseinandersetzen, aber da kommen wir später nochmal zu, ich glaube, wir kommen mal zu dem Thema, was äh uns jetzt alle sehr beschäftigt.

Oh, du meinst das, was uns schon die ganze Zeit beschäftigt seit äh wie lange jetzt? Halt ewig.

Seit wann eigentlich? Das ey das ist äh.

Keine Ahnung. War wahrscheinlich in der ersten Lokbuchnetzpolitik folge auch schon irgendwie eine Zusammenfassung der ersten fünf Jahre dabei, ne?

Also genau, ich glaube bei der ersten Folgen als Politik war das ein kalter toter Hund schon dieses Thema, ne? Aber ähm ja nur der wird jetzt nochmal aufgewärmt.

Ist ja immer noch, aber der wird die ganze Zeit so, ja, er wird, er wird die ganze Zeit so in die Seite getreten und so, hey komm, los, mach mal ein Kunststück.

Wie, lass mal schauen, wie ich oh, warum finde ich das jetzt mal schnell, wann war die. Das ist jetzt schon fast, also das ist ja eine Geschichtsvergessenheit, fast, dass ich jetzt nicht spontan sagen kann, ähm na, na, na, na, na, wann dieser ganze Kram zum ersten Mal hochgetreten wurde.

Ja, wir sollten jetzt erst nochmal sagen, worum's geht. Es geht natürlich um die Vorratsdatenspeicherung, wie sollte es auch anders sein äh und wir hatten ja gerade erst vor ein paar Sendungen dann auch nochmal so dieses, ja, warum reden denn jetzt eigentlich alle schon wieder drüber, ja, äh jetzt wo es doch gerade das Fleisch so schön abgekühlt ist und na ja, es kam, wie's äh kommen musste, äh die Union lässt es einfach nicht sein und hat jetzt wohl auch ähm Heiko Maas, unseren Justizminister so weit keine Ahnung, was sie eigentlich mit ihm gemacht haben. Dann sitzt er irgendwie mit ihm in den Hintergrund gegangen und haben ihm das Video gezeigt.

Irgendwas haben sie gemacht, also ich. Ich habe ihn ja noch vor einigen Folgen äh in den höchsten Ton Tönen gelobt für seine ähm Position gegen die Vorratsdatenspeicher, und es traten jetzt Heiko Maas und Thomas de Maizire in äh trauter Eintracht vor die Kameras und gaben bekannt, dass sie jetzt eine Leitlinie. Für einen neuen Gesetzesentwurf zur Vorratsdatenspeicherung haben. Das heißt, sie haben noch nicht den Gesetzesentwurf, aber sie haben das, was dieser Gesetzesentwurf denn dann abbilden soll. Und da gibt's ähm. Vor allem einen sehr schönen ähm Tweet von von Heiko Maas, wo er das nochmal äh visualisiert hat auch. Ähm. Stellen wir's mal in der Reihenfolge vor, wie er das natürlich verkauft hat. Der sagt halt so. E-Mails ist ist vollständig ausgeschlossen, denn die E-Mail-Kommunikation ist eine Massenkommunikation. Und sie wird von völlig unbescholtenen Bürgern genutzt. Im Gegensatz zum Internet, ja? Im Gegensatz zum Internet. Deswegen E-Mails, E-Mails vollständig ausgeschlossen von der äh von der ähm Vorratsdatenspeicherung. Und es findet auch kein Abruf bei Geheimnisträgern statt. Ähm, Geheimnisträger sind, Telefonseelsorge und äh andere Zeugnisverweigerungsberechtigte. Also Ärzte ähm Rechtsanwälte, Abgeordnete, Journalisten. Bei denen findet kein Abruf statt. Was ich natürlich sehr schön finde, ist eine Speicherung findet anscheinend sehr wohl statt.

Hm.

Genau, aber er sagt halt, der Abruf ist dann eben, findet ein wird nicht getan. Was ich interessant finde daher. Also du kannst es auch glaube ich nur so machen, sonst müsstest du ja eine ständige, aktuelle Liste der ähm der Berufsgeheimnisträger. Haben. Und jetzt frage ich mich, was was passiert, wenn ein. Sagen wir mal Sie, Sie wollen jetzt einen von einem Verbrecher diese Daten haben und der hat einen signifikanten Teil der Zeit mit seinem Anwalt telefoniert. Sind die Daten dann drin oder nicht? Weil so wie ich das verstehe, heißt es, es gibt keinen Abruf bei Berufsgeheimnisträgern. Jetzt könnte natürlich das heißen, man kriegt quasi als man kriegt die Berufsgeheimnisträger nicht. Zielperson, aber als als Angerufene schon mit dazu. Korrekterweise müssten sie natürlich diese Anrufe rauslisten. Also aber da da, wie gesagt, das ist jetzt das Reich der Spekulation. Da müsste also jetzt nochmal der konkrete Gesetzesentwurf abgefangen werden, äh abgewartet werden? Aber das ähm da bin ich mal sehr gespannt. Interessant finde ich auf jeden Fall, dass sie sagen, kein Abruf und nicht keine Speicherung. Ähm. Dann soll der Abruf grundsätzlich, nur in in eng definierten Strafverfolgungs zu zu eng definierten Strafverfolgungszwecken stattfinden und da möchten sie, ähnlich strenge ähm Kriterien gelten lassen, wie bei der Wohnraumüberwachung. Das heißt, ähm. Ermittlungsverfahren zu. Schweren Verbrechen sind eine Grundvoraussetzung dafür, dass ein ähm dass ein Staatsanwalt oder ein Richter eine äh Wohnraumüberwachung für dich anordnen kann. Und äh wenn jetzt was weiß ich, wegen Falschparken gegen dich ermittelt wird, dann geht das eben nicht. Ähm bei anderen schweren Straftaten eben schon. Und äh dieses soll also die diese ähnliche Voraussetzung soll also für einen Abruf der ähm der Daten, die die der Vorratsdatenspeicherung unterliegen als Voraussetzung gelten. Das heißt aber natürlich. Trotzdem, dass diese Daten alle gesammelt werden, ne, also, kein Abruf bei Geheimnis triggern, Abruf nur bei ähm strengen, bei bei krassen strafrechtlichen Verstößen, heißt, die Daten werden aber trotzdem gespeichert. Und jetzt stellt sich ja die Frage, welche Daten denn? Zehn Wochen Speicherfrist unterliegen Verkehrsdaten. Da muss man nochmal zwei Begriffe klären, die da auch immer eine Rolle spielen und zwar wird davon ausgegangen, dass der, der Anbieter, dein Telekommunikationsanbieter einmal Bestandsdaten von dir hat und einmal Verkehrsdaten, Bestandsdaten sind irgendwie Name, Adresse, ähm, Telefonnummer, ähm, Abrechnungskonto und so, das sind eben deine Bestandsdaten und die Verkehrsdaten sind quasi die, die Nutzungsdaten, die du ähm anleierst, Und diese Verkehrsdaten sollen also einer Speicherung von äh zehn Wochen unterliegen. Gleichzeitig ähm, unterhalten, unterliegen notwendigerweise deine Bestandsdaten ja einer Speicherung für die Ewigkeit, so oder zumindest für die Dauer des Geschäfts äh Verhältnisses. Wir hatten da auch mal vor einiger Zeit ähm eine Debatte darüber, wo äh einige Gerichte irgendwie der der Ansicht sein wollten, dass deine IP-Adresse ja ein Bestandsdatum sei. Und deswegen für immer ähm äh gespeichert äh sein sollte, da, da ist es eben also ein ähm war das ein Diskusdebatten-Konflikt, der dadurch entsteht, dass aufgrund des Mangels an V vier, IP-Adressen und des geringen Interesses der, Internetanbieter, dass man zu Hause einen Dienst betreibt, unter einer festen IP. Man immer wieder eine andere IP-Adresse bekommt bei der Einwahl. Was sich im Zweifelsfall irgendwann auch ändern wird, wenn wir alle mal IP V sechs machen, dann kann es gut sein, dass man ähm zumindest die ersten. Die erste Hälfte der IP V sechs Adresse fix bekommt und dahinter irgendwie sein sein zweiunddreißig. Äh Dingens Space da irgendwie nochmal selber verwalten kann. So, aber das ist jetzt irgendwie Zukunftsmusik.

Genau, es gibt ja jetzt es gibt ja auch noch, äh ich wollte noch mal zwei, drei Sachen dazu anmerken oder wolltest du noch kurz was zu Ende führen.

Verkehrsdaten zehn Wochen, das wollte ich eigentlich nur nochmal kurz zusammenfassen.

Ja okay, damit sind sie ja schon mal deutlich äh wieder mal runter. Ich meine, wir hatten ja dann immer so diese Debatte mit äh Union sagt, halbes Jahr, halbes Jahr und dann die SPD hier, wir sind der Heiland, nur drei Monate und so weiter, Ausverkauf jetzt sind sie irgendwie auf zehn Wochen runter, das soll dann wohl irgendwie, weiß ich nicht, nicht ganz so böse klingen so Ich meine, es sind jetzt zwei Wochen weniger als die zwölf Wochen. Von den drei Monaten, also wo wo da jetzt vor allem auch eine qualitative Änderung, zu der bisherigen Problematik liegen soll, das sehe ich halt gar nicht. Es gibt auch wieder ein neues Wort, wie heißt das jetzt? Höchstspeicherfrist oder was war das?

Höchstspeicherfristen, ja.

Genau, wieder schöner, schöner, neuer Name, ganz toll. Und ähm ja, noch ein paar andere Sachen äh schwierig, zum Beispiel dieses allein schon so dieses kein Abruf bei Geheimnisträgern, also abgesehen davon, wie du ja schon richtig gesagt hast, so gespeichert wird ja trotzdem und schon die Speicherung finden wir ja problematisch ja? Ist es halt auch so, Geheimnisträger, Journalisten, ja, interessant. Ja, gut, Arzt und so, das sind alles ähm klar zertifizierte Berufe. Für die man auch eine entsprechende Ausbildung braucht und äh dann ist irgendwie klar, wer ist jetzt Arzt und wer ist nicht Arzt? Das ist aber bei Journalisten mitnichten so sondern Journalist ist man halt per Aklamation. Wir sind Journalisten, wenn wir darauf stehen, äh welche sein zu wollen und ich kann mir halt irgendwie nicht vorstellen, dass wir dann automatisch dieses Fleck kriegen mit na ja, also hier äh der Herr Neumann, der Herr Britzlaff, äh da darf halt nicht abgerufen werden.

Da wird's dann ein Vorratsdatenspeicherungsschutzrecht für Presseverleger geben.

Super Idee, das ist gut, ja, ein eine eine wie soll ich sagen, ein Spionagebefreiungsschutzrecht oder sowas?

Ähm. Also klar, natürlich das sind ähm das sind Fragen und Probleme, die sich stellen und ähm. Diese Details interessieren natürlich wieder keinen und was die die Idee hier ist natürlich auch ähm. Dass in in so einer Haarspalterdebatte äh verlaufen zu lassen, ne. Ich wollte nur zu den zu den ganzen Begrifflichkeiten, wo ich wo ich nicht mehr den Überblick habe, wie jetzt Vorratsdatenspeicherung schon alles hieß mit Mindestspeicherfristen und Höchstspeicherfristen und digitale Spurensicherung und haste nicht gesehen. Das hat der ähm Kai Biermann. Vom Neusprech äh Blog in seiner Laudatio bei den Big Brother, meine Güte. In seiner Laudatio bei den Big Brother Awards ähm nochmal sehr schön zusammengefasst. Und zwar hat der Begriff digitale Spurensicherung, ein neues Sprech Award bekommen in diesem Jahr und ähm Kai hat äh sehr schön noch mal die ganzen Begriffe zusammengefasst und äh wie sie da eben wie mit dem Begrifflichkeiten, Augenwischerei, betrieben wird. Zu diesem Zeitpunkt ist die ähm ist die Laudatio noch nicht online. Wir werden das aber dann hoffentlich äh noch nachträglich verlinken, beziehungsweise die Interessierten, Hörerinnen werden sich das dann selber eher ergaunern und ergoogeln. Was also diese ganzen Begriffe angeht. Es gibt aber noch eine weitere Sache, die gespeichert werden soll. Ähm im Rahmen der Vorratsdatenspeicherung und das ist nochmal eine eine Ecke kritisch, ja? Und zwar sind das Standortdaten. Ähm. Und zwar gibt's ja zwei Interpretationen von Standortdaten werden gespeichert in der ursprünglichen ähm VDS-Richtlinie war das so drin, dass ähm bei einem Telefonat ähm. Gespeichert wird, wo du warst, ja? Also oder und auch bei dem Empfang einer SMS. Also Transaktion findet statt. Ähm. Entsprechend findet, wird äh Speicherung vorgenommen. Also Zelle, in der du dich befindest, was sich eben sehr einfach in den. In den Ort übersetzen lässt. Ähm in den, gut, muss man jetzt auch noch mal vielleicht ganz kurz erklären, eine eine Funkzelle besteht in der Regel aus so was sind das? Hundertzwanzig Grad Segmenten. Ähm also die die Funke der Funkmast steht da und leuchtet jeweils in in drei Himmelsrichtungen von jeweils einhundertzwanzig Grad. Ähm. Und jede dieser einzelne Himmelsrichtungen hat noch mal eine eigene Kennung, ja, das heißt, du kannst eben. Ähm du siehst in welcher Richtung von dem von der von dem Funkmast du stehst. Und in der Visualisierung der Fortsaaten von Malte Spitz kann man es auch sehr gut sehen, ähm wie sie zum Beispiel, so eine Bewegung aufgezeichnet haben, dass er dann, immer wieder Funkmasten in seine Richtung zeigen, während er sich bewegt und du erkennst dann, diese Funkmasten sind einfach entlang der Bahngleise, ja? Sodass du halt sehr mit sehr großer Wahrscheinlichkeit einfach sagen kannst, klar, so schnell wie der sich bewegt. Und so wie er immer wieder von dem zu dem zu dem zu dem Funkmasten geht, der sitzt gerade im ICE. Ne, ist ganz, ganz offensichtlich. Und ähm das Team von Open Data City, was diese Analyse gemacht hat, hat also auch wirklich, so gut wie grundsätzlich einfach sagen können, wo der gerade ist und wo er sich lang bewegt, ne. Ähm, Die haben ja dann noch andere Informationen dazu genommen, wie jetzt zum Beispiel seine Tweets oder so, um dann eben zu erkennen, na ja, wenn er im Regierungs, wenn er in diesem Masten ist, dann ist er halt grade am Bundestag, ne? Und solche ähm solche Scherze, das äh das heißt, diese diese Daten, auch wenn sie theoretisch ein sehr unscharfen eine sehr unscharfe Auskunft nur geben, sind sie gemischt mit mit etwas mehr Wissen über die Person, erlauben sie halt sofort eine eine sehr, sehr äh, genaue Schätzung, wo sich diese Person befindet. Vor allem, wenn du sie über die Zeit hast, ne, also wenn man sieht, dass ich nachts immer wieder in der gleichen Funkzelle bin, so dann ist das halt ganz klar, dass ich da abends schlafe. Ähm jetzt ähm. Stellt sich aber die Frage, okay, machen sie das nur bei Telefonaten und SMS? Oder machen sie das grundsätzlich? In dem Fall von Malte Spitz waren das ähm waren befanden sich in den Vorratsdaten von ihm. Siebenhundert Standortdaten pro Tag. Das das übersetzt sich in ungefähr alle zwei Minuten. Und der der Grund, wie es dazu kam, ist eben die Datennutzung, weil wenn deine Funkzelle auch mitgelockt wird, wenn dein Telefon irgendwie mal mit dem Apple Server spricht, um zu gucken, ob eine neue Push-Notification da ist, mal guckt, wie viel Uhr es ist, sich mal eben updaten lässt, ob das Wetter sich geändert hat und so. Also diese Telefone, sind die ganze Zeit irgendwas am Fachsimpeln mit dem Internet. Ähm und wenn du das als Auslöser nimmst, die die Standortdaten zu speichern. Hast du das eigentlich quasi ähm eine dauerhaftes, dauerhaftes Logging, ne? Und in diesem in dieser Übersicht, die der gute Heiko Master getwittert hat, steht auch. Stehen eben Standortdaten getrennt ausgewiesen von den Verkehrsdaten, was den Verdacht nahelegt, dass sie einfach ein ein vollständiges Tracking machen. Also mit anderen Worten, eine dauerhafte. Abfrage für die gesamte, das gesamte deutsche für die gesamten deutschen Netze. Ähm ich schaue jetzt mal gerade ganz kurz vor dieser ähm. Dieser Tweet ist.

Meist diese grafische Übersicht über die Höchstspeicherfrist.

Ja, die habe ich, ich meinte, ich hätte die gestern in die.

Ja, ich habe das hier vor mir vier Wochen Speicherfrost, heißt es da, also ne, Standortdaten.

Und da steht einfach nur Standortdaten, ja? Und das man könnte ja eigentlich, ich man würde ja vermuten, dass sie sagen, die Standortdaten sind Teil der Verkehrsdaten. Aber sie weisen sie genau getrennt davon aus. Und das.

Tun sie. Aber halt nur für vier Wochen, das ist ja schon mal, ist ja nochmal ein Discount, ne? Stimmt die SPD ausgehandelt?

Genau, das ist ein Discount, aber das klingt eben nach Volltracking. Ja, Vollüberwachung, wo du dich ähm.

Für vier Wochen genau, Funkzelle, in der sich das Mobiltelefon befindet, Zeitpunkt des Aufenthalts in der Funkzelle.

So und das heißt im Prinzip, dass du Bewegungsprofil von allen Menschen in diesem Land für vier Wochen vollständig erfasst, und ich muss ganz ehrlich sagen, das wär dann der Grund für mich, nicht von meinen Mobiltelefonen zu trennen. Das ist nicht äh nicht akzeptabel. Ja, also es ist grundsätzlich sowieso alles nicht akzeptabel, ähm aber das wäre ähm. Wäre also für mich die die absolute Höhe. Auch wenn das heute schon so ist, ja, also ich meine, machen wir uns nix vor. Ähm die Mobilfunknetze haben diese Capability, sie vermarkten die ja sogar offensiv, ne, also wir erinnern uns daran, dass äh Telefoniker, O2 ja mit anderen zusammenarbeitet irgendwie im Rahmen der Stauerkennung diese Daten zugänglich zu machen und so da machen wir uns nix vor. Dass die Überwachung der Netze auch zu diesen in einigen Mobilfunknetzen äh werden diese Standortdaten zum Beispiel auch zu Marketingzwecken genutzt, ne? Da ist also 'ne sehr granulare Erkennung möglich, da muss man sich also keine muss man sich nichts vormachen. Ich hatte das ja auch schon mehrmals ausgeführt, dass Mobilfunknetze wissen müssen, wo du bist, damit sie, Damit sie funktionieren können, ja? Also du kannst nicht ein Mobilfunknetz betreiben und wenn jetzt irgendwie äh Linus Neumann angerufen wird. In dem gesamten Land, oder sogar auf der gesamten Welt das Signal aussenden, nur um eine Person in Berlin irgendwie mal das Telefon klingeln zu lassen. Das heißt, was du machst, ist, dass du es in dem Bereich in dem äh, Area Bereich ähm von denen es in Berlin fünf oder sechs gibt. In diesem Bereich halt klingeln lässt, um die Last, dieses dezentrale Netz irgendwie auch entsprechend der Bewegung der Menschen zu verteilen. Also es ist logisch, ein Mobilfunknetz kann nur funktionieren, wenn es weiß, wo die Leute sind. Aber es ist eben was ganz anderes, wenn es eine gesetzliche, Verpflichtung gibt, diese Daten, Maschinen lesbar, getrennt und sauber aufzubewahren um vollständige Bewegungsprofile zu haben. Und das ist ähm, Das ist ein Hammer, ja? Und wer grade vorm Hintergrund der Arbeit von ähm Andre Meister, was eben diese äh Funkzellenabfragen angeht, die ja auch eine eine völlig ähm inakzeptable Maßnahme sind und absolut ähm, unverhältnismäßige Maßnahmen sind, hättest du halt hier eine Situation. Einfach grundsätzlich für alle Bürger des Landes die ganze Zeit so ist. Und das ist ähm das ist halt ein absoluter Hammer. Abschließend bleibt aber zu sagen, nichts Genaues weiß man nicht, denn wir reden da jetzt von Leitlinien und Tweets mit irgendwelchen Visualisierungen. Da ist der ähm der tatsächliche Gesetzesentwurf abzuwarten. Ähm und da liegt also jetzt noch ein weiter Weg vor uns, ähm bis wir dann wahrscheinlich niemals gegen diesen. Gegen dieses Gesetz, nach Karlsruhe wieder ziehen müssen, weil's hoffentlich vorher schon irgendwo verkackt, aber ähm da wird also jetzt, da wird jetzt ähm, Da werden jetzt Ressourcen gebraucht werden, ne, um diesen Gesetzesentwurf hoffentlich schon im Parlament scheitern zu lassen.

Ja gut, ich meine das ist stelle mir vor allem wirklich die Frage, hat sich eigentlich irgendwas verändert? Also ich meine, äh in gewisser Hinsicht gehen sie jetzt noch weiter als vorher. Damit sind sie schon irgendwie gescheitert. Ich äh weiß jetzt auch gar nicht, woraus sie jetzt eigentlich ableiten, dass jetzt ausgerechnet dieser Entwurf äh, verträglicher gestaltet sein soll mit den Anforderungen sowohl des Bundesverfassungsgerichtes als auch des äh europäischen äh Verfassungsgerichtes die sich ja beide sehr deutlich dagegen ausgesprochen haben, ja zwar mit Einschränkungen und so weiter, aber mit Einschränkungen, die meiner Meinung nach hier einfach ähm, einfach nicht, nicht hier nicht sehe, also sie sind keine Einschränkungen äh gemacht.

Na ja, sie sagen halt E-Mail als Massenkommunikation ausgeschlossen und kein Abruf bei Geheimnisträgern, unverkürzte äh Speicherfristen, unten nur zu eng definierten Strafverfolgungszwecken. Das sind das sind die Zugeständnisse, die sie jetzt quasi machen, um, nach der Lektüre der beiden höchst. Höchstrichterlichen Urteile, die einmal die Umsetzung der EU-Richtlinie ähm. Von zweitausendfünf übrigens, also zweitausendfünf kam, wurde diese Idee in die Welt gesetzt und einmal äh natürlich zweitausendzehn im Urteil des äh Bundesverfassungsgerichts Urteils. Äh Deutschlands. Ähm. Äh äh ausgegeben wurden, ja, dass sie halt das haben sie natürlich jetzt sehr genau gelesen und haben wie ja auch immer schon zu erwarten war, diese beiden Urteile als ähm. Anleitungen genommen, äh was sie welche äh Probleme sie adressieren müssen, um die Scheiße an den Gerichten vorbeizubekommen. Und das ist hier geschehen und das sind eben diese drei, Einschränkungen, die ich eben aber für ähm, bin ich eigentlich guter Dinge, dass die eben nicht ausreichend sind, ne. Also gerade dieses kein Abruf äh ist natürlich ein ist natürlich ein Witz, ne? Das heißt, du speicherst ja trotzdem. Ach so, das äh fällt mir nur am Rande ein, dass sie. Sie sicher noch ein weiteres ähm einen weiteren Kritikpunkt ansprechen wollten, denn es war ja bei der ähm, ursprünglich mal angedacht, dass diese Vorratsdatenspeicherung eben auch zentral stattfinden würde, ne. Bei einer zentralen Erfassung der dieser Daten, hast du natürlich das Problem, dass es einen riesigen zentralen Datenpool gibt, in dem sich all dieses Wissen kontrolliert äh konzentriert und all das Missbrauchspotential konzentriert und das dann auch noch in staatlicher Hand wäre. Die Alternative dazu ist ja zu sagen, okay. Wir verpflichten die Anbieter zur Vorhaltung dieser Daten. Damit geht aber automatisch einher, dass du eine sehr ähm. Dass du eine eine dezentrale Vorhaltung hast, wo du ähm die einzelnen. Datensilos sehr, sehr viel schlechter kontrollieren kannst. Und das das Missbrauchs die die Anzahl der Menschen mit. Ähm mit dem potenziellen Zugang für Missbrauch, sich eben ähm potenziert, ja? Und, da, um dem vorzubeugen, sagen sie, ja, die Daten müssen extra sicher äh verschlüsselt, gespeichert werden und der Zugriff unterliegt dem Vier-Augen-Prinzip und muss protokolliert werden. Ähm. Und gleichzeitig führen sie den äh da den Straftatbestand oder wollen sie einführen, den Straftatbestand der Datenhellerei, sodass also die Menschen, jetzt, was weiß ich, bei einem Provider ähm diese Datensammlungen hüten und den die technisch den Zugriff darauf haben, äh empfindlichen Strafen unterliegen, wenn sie einen Missbrauch mit diesen Daten betreiben. Wäre dann eben das, was unter ähm NSA-Analysten eben ganz üblich ist, dass man mal äh seine Nachbarn äh durchleuchtet und die Exfreundin äh und äh solche Sachen, ja? Das das wäre also das wollen sie unter Strafe stellen, damit das äh damit das nicht gemacht wird, ne?

Ja, das ist äh das ist natürlich super. Wir wissen ja auch, das wird super funktionieren, ja, weil alles, was ja verboten wird, das findet ja auch äh automatisch immer nicht statt, ne, das äh so ein bisschen so wie äh ja, äh wir bitten sie, ihre Tagebücher jetzt außen an ihrer Wohnungstür anzubringen, aber keine Angst, es ist ja verboten, da reinzuschauen, von daher kann da ja nichts passieren. Wir schauen da nur rein, wenn äh eine dringende Straftat vorliegt, so. Und ähm ja, gut. Wir wiederholen uns, glaube ich, in gewisser Hinsicht. Ich meine, ähm was die, ten betrifft. Ähm ich habe jetzt gerade die Quelle äh nicht zur Hand, aber ich meine auch schon so eine laut Äußerung, zumindest der deutschen Telekom gelesen zu haben, die aufgrund dieses Vorschlags schon so ein bisschen in Stellung gegangen ist und meinte so. Vorratsdatenspeicherung teuer und so und wenn man da jetzt irgendwie was ähm müsste dafür, das haben wir ja schon mal gemacht, das war ja schon sehr teuer, da müsste jetzt der Staat aber dann doch mal äh ein bisschen auch, ne, schon unbedingt alles gespeichert haben möchte, dann bist du dann auch schon mal so ein bisschen Kohle raustun. Das ist so etwas, was eigentlich bei einem ersten Durchlauf der VDS ein bisschen hinten übergefallen ist. Die Kosten wurden dann einfach äh murrend äh aufgenommen, aber ich glaube, dass die Unternehmen selber eigentlich relativ wenig Bock haben auf diese ganze Nummer, nicht nur, weil's ihren Neumond ähm verkackt, sondern auch weil sie halt einfach auf diesen Aufwand Kosten und so weiter überhaupt gar keinen äh Bock haben, schon gar nicht drauf sitzen zu bleiben und ähm ich habe so den Eindruck, dass wenn die Debatte sich dieses Mal noch weiter verschärfen würde, was sehr gut sein kann, dass das schon vorher wieder als ähm neuer Rockrepierer endet, aber angenommen ist, auch nochmal weiter, dass wir in diesem Fall auch mehr Rückmeldungen von der Wirtschaft im Hinblick auf Kostenbeteiligung ähm damit rechnen können und das ist halt auch nochmal so ein zweiter Hammer in dieser ganzen Debatte, der das doch sehr unwahrscheinlich macht, dass sie damit voranschreiten können.

Da muss ich dich korrigieren, denn der Heiko Maas und der gute Tommy haben schon angekündigt, dass wenn äh Unternehmen anmelden, dass ihnen das jetzt eine zu große finanzielle Belastung ist, sie mit einer Förderung rechnen können. Das heißt, sie bekommen das dann bezuschusst, wenn sie das irgendwie als.

Das heißt, das haben sie sich schon rausgehandelt bei der Telekom.

Das heißt. Das wird dann an den, an den, an der Bildung und an den Schultoiletten gespart. Ähm und äh am Breitbandausbau und äh da kriegen sie also am Geld soll es nicht scheitern.

Hm. Kostet was es wolle, ja? Verstehe.

Da haben sie auch dran. Also, was jetzt passieren wird, ist oder was der Plan ist natürlich, ne, diesen Fuß, das will ich nur noch mal zur äh zur Sicherstellung sagen. Ich habe das ja schon öfter gesagt. Das ist auch letzte Woche dem ZDF gesagt, die haben's aber leider nicht gesendet, Überwachungsextremisten setzen sich ja jetzt nicht in den Schaukelstuhl und blicken auf ihr Lebenswerk, sondern die werden an einer Ausweitung der Speicherfristen, an einer Ausweitung der ähm abgedeckten Straftaten und einer Ausweitung der erfassten Daten, arbeiten, sobald äh ein solches Gesetz beschlossen wäre. Ja, so ist das im, in, im Leben, leider.

Genau. Und da wissen wir auch wieder, wo wofür so eine VDS auch tatsächlich dann verwendet werden würde, nämlich äh mitnichten für schwere Straftaten oder schwerste Straftaten oder wie auch immer das jetzt gerade wieder aktuell formuliert wird, sondern so wie es bei der ersten VDS auch war, vor allem halt Urheberrechtsverstöße und andere Kleinigkeiten, die hier äh recherchiert.

Ja, da könnte aber noch, da könnte noch was anderes eine Rolle spielen, da kommen wir gleich zu, ich will nur noch ganz kurz eine interessante Meldung mit einspielen, um um zum nächsten Thema zu kommen, Und zwar hat Mitte Januar gab es ein, ähm Deo, Diny of Serviceangriff auf die Webseite von Sigmar Gabriel und äh wohl auch anderer ähm Abgeordneter. Ähm. Wo man erst damit rechnete, dass das äh russische Hacker waren oder so. Ähm, Es war aber wohl ein äh Teenager aus Deutschland. Sich dann auch kurz nach diesen Angriffen in Foren ähm brüstete dafür verantwortlich zu sein. Und als Motivation angab, die äh die Aussicht einer Vorratsdatenspeicherung ähm. Sagte also durch durch solche Maßnahmen wird man immer enger in einen Käfig gesperrt und aus Protest hat er eben diese, diese Webseiten gefahren und hat jetzt eine Wohnungs Besichtigung bekommen von der Zentralstelle zur Bekämpfung von Internetkriminalität, bei der, umfangreiches Beweismaterial sichergestellt wurde. Ähm laut Medienberichten hat er das auch nicht, äh eigener Internetleitung oder Hacking Skills hinbekommen, sondern mit der Hilfe eines Spot Netz ähm. Netz, also eine Reihe infizierter Rechner ähm meistens Windowskisten ähm deren äh. Die also mit einem von einem Chart-Programm übernommen wurden und sich aus der Ferne fernsteuern lassen, mit denen man dann ähm ganz gemütlich zum Beispiel gerne mal Spam verschicken kann, um halt möglichst viele IP-Adressen zu haben und viele verschiedene E-Mail-Adressen. Mit denen man aber auch sowas wie. Sachen machen kann, also eine Reihe Rechner, die man ähm, die man sich Zugang mieten kann, ja? Also das ist tatsächlich so der das das Geschäftsmodell, was was hinter solchen Wort Netz äh teilweise steht, dass man sich die züchtet und dann eben auf einem Schwarzmarkt ähm, die Stunde bordnet äh vermietet. Und das hat dieser äh Jugendliche wohl wahrscheinlich getan oder er war oder er hat sich ja tatsächlich selber ein Bordnet gebaut. Das wäre äh scheiße für ihn, wenn er das wirklich selber gemacht hat, weil dann, will er sicherlich nicht die äh die Zentralstelle zur Bekämpfung von Internetkriminalität in seiner Wohnung haben. Ähm. Da steht also nichts drin, ob er jetzt selber einen Bordnet hat oder ob er das gemietet hat. Ich hoffe mal für ihn, dass er es gemietet hat, weil dann ähm sollte sein. Strafmaß, äh im Zweifelsfall sehr viel geringer ähm ausfallen. Aber es ist natürlich ähm. Ja, also wir haben diese Debatten ja schon auch mal geführt, einmal auch glaube ich insbesondere als Anne Roth bei uns zu Gast war, ob nun äh die Nylove Service-Angriffe ein ähm. Ein legitimer äh eine ein legitimes Mittel des politischen Ausdrucks sind oder ob das jetzt eben wirklich Internetkriminalität ist. Und das ist das hängt glaube ich auch vom Einzelfall ab, Fakt ist, dass dass die Night of Serviceangriffe insbesondere von solchen Bot Netz auch, häufig im Rahmen der Erpressung stattfinden, also bei Dienste, Anbietern, die, Geld verdienen, also so ein Onlineshop, ne? Wäre ja schade, wenn euer Onlineshop jetzt die nächste Woche down wäre. Deshalb ist das Übliche, ist halt so, man legt den mal einen Tag lahm. Und schreibe dann so eine E-Mail, ja ähm wir haben festgestellt, dass äh ihr Onlineshop nicht ging, sie schien da einen Angriff zu haben wir haben hier so 'ne kleine Schutzgeldmafia die sie davor schützen kann, dass sowas passiert das ist halt auch 'n relativ häufiges Szenario, das aber offensichtlich dieser junge Mann weil. Nicht äh verfolgt hat, sondern da eben ein eine politische Botschaft darüber transportieren wollte. Und ähm ich hoffe mal, dass er, ähm da äh entsprechend mit milde ihm begegnet werden wird. Und dass er nächstes Mal sich äh so anstellt, dass er ähm nicht erwischt wird.

Tja, naja. Ich finde ja solche Detox-Maßnahmen sind eigentlich auch generell da eigentlich abzulehnen. Das ist einfach äh kein guter Stil.

Das ist nicht das, das ist nicht der beste Stil und nicht die nicht die eleganteste äh Hacking-Maßnahme, aber wie gesagt äh. Muss man halt auch mal überlegen, mit was was so eine Vorratszeitenspeicherung fürn schlechter Stil ist. Ähm beides ist wahrscheinlich irgendwie nicht das, was äh im Internet äh irgendwie in in Richtung einer guten Zukunft führt, ja.

Das auch einfach mal so als, als konkreter Tipp an ähm so den den äh jungen Hackernachwuchs, ja? Wir können das, glaube ich, beide sehr gut nachvollziehen. Wie sehr einen das so in den Fingern jucken mag, Ja, wenn man so rausgefunden hat, wie das so alles funktioniert und dann hat man auch immer das Gefühl, man sitzt so mit so einem Lichtschwert an der Tastatur und braucht das jetzt nochmal so ein bisschen von links nach rechts zu wedeln und dann fallen irgendwie die ganzen Bösewichte einfach um Ja, kann gut sein, dass da irgendwas umfällt, aber erstens ist damit meistens relativ wenig gewonnen Zweitens ähm sehen das andere Leute dann auch meistens ganz anders. Also man macht sich damit nicht unbedingt jetzt äh Freunde Ja, das hatte man vielleicht auch nicht vor, aber man macht sich auch in dem Moment äh einfach Feinde, die man vielleicht so einfach noch gar nicht aufm Zeiger hatte. Vor allem auch Leute, die potenziell, ähm man vielleicht auch durchaus als Freunde hätte gewinnen können, womit's dann meistens dann schnell aus ist. Ja, äh Leute, die einfach grade mit dem Niederringen von Infrastrukturen einfach, keinen Spaß haben, weil sie einfach darauf vertrauen, dass die zumindest meistens online sind, ja? Und ähm ganz davon abgesehen, das ist auch einfach die Sache nicht wert und ihr macht euch da einfach nur angreifbar und ihr macht euch da äh, versaut euch einfach etwas. Äh leitet mal diese Energie besser in ähm konstruktivere Dinge. Baut Webseiten, mit denen man irgendwie ordentliche Sachen machen kann. Das ist sehr viel hilfreicher.

Ja, also ja, natürlich, also es gibt, es gibt auf jeden Fall elegantere Formen des Protests und es ist halt, es ist halt eine unselige Mischung, wenn man äh eine, Eine unelegante Form des Protests dann auch noch mit einer mit einem relativ hohen äh, strafrechtlichen Risiko verbindet, ne? Das ist halt ähm das ist halt schade, ja. Ähm. Andererseits würde ich, muss ich halt auch mal sagen, so, ich meine, die scheiß Webseite von Sigmar Gabriel ist jetzt nun wirklich keine kritische Infrastruktur, die irgendjemand gebraucht hätte, ne, also muss man vielleicht auch einfach mal sehen, dass es auch eine eine kleinkarierte Assi-Nummer ist, sowas überhaupt zur Anzeige zu bringen.

Ja, ja, das stimmt.

Bei kritischer Infrastruktur sind, sind wir beim IT-Sicherheitsgesetz. Ähm. Ich hatte ja letztes Mal schon angekündigt, dass da am morgigen Montag die Anhörung zu stattfindet. Ich habe jetzt meine äh Stellungnahme auch dazu fertig geschrieben, viele andere auch Vertreter der Wirtschaft natürlich. Äh es gab da noch ein ganze Tuschanartikel auf auf Reise, wo ähm die Telekom interessanterweise äh gesagt hat. Das hatte ich auch schon mal angedeutet, dass das die Position der Deutschen Telekom in dieser Angelegenheit ist. Die halt sagt, ey seid äh Jahrzehnten. Werden wir äh wird uns werden wir kaputt reguliert und können keinen Schritt unternehmen äh ohne dass dass wir, irgendwelchen Berichts- und sonst was Pflichten und Checklisten unterliegen. Das wäre doch super, wenn das die anderen die Over the Top Anbieter auch betreffen werden. Das ist die Telekom ist also da schon so weit würde. Das heißt, die Telekom ist ja schon so weit in Stockholm sind rum drin, dass sie sagen. Das kriegen wir auch noch hin. Das kriegen wir auch noch äh verbürokratisiert. Ähm es wäre aber super, wenn ihr die anderen auch noch drunter leiden lassen würdet, äh weil das ja ein Standort Nachteil ist. So so jetzt mal überspitzt die Position der Deutschen Telekom.

Ja

Position der Finanzwirtschaft, äh die ebenfalls auch schon so hart reguliert ist, sagt, Ja, komm, wir haben, wir müssen eh jeden Furz, den wir lassen, irgendwie mit der BaFin abstimmen. Ähm es es ist für uns aber als ärgerlich zu betrachten, dass wir da jetzt nochmal weitere Berichtspflichten gegenüber dem dem BSI bekommen sollen. Wir haben eigentlich schon genug ähm genug mit der BaFin zu tun, ja? Das ist so, kurz gefasst und über äh überschwitzt die die Position der Finanzwirtschaft, dass eben beides Bereiche, die ähm eh schon bis zum Erbrechen ähm. Reguliert sind. Und da ähm zwei unterschiedliche Herangehensweisen jetzt im Umgang mit diesen IT-Sicherheitsgesetz für sich äh entdeckt haben. Jetzt würde ich nur gerne noch kurz die Gelegenheit nutzen, eben also meine Position auf dieses äh auf dieses IT-Sicherheitsgesetz äh zusammenzufassen. Wie gesagt, die Stellungnahme die ich da verfasst habe, findet sich in den Shownots. Ich hab's äh auf ganze vierzehn Seiten gebracht. Das äh beziehungsweise wahrscheinlich sind so äh wenn man da ein bisschen White Space nochmal raus sind, ungefähr dreizehn, zwölf Seiten. Und mich mich ärgert daran vor allem, dass es also nicht wirklich Ansätze zum Endnutzerschutz gibt, sondern dass man sich da irgendwie um um kritische Infrastruktur und Wirtschaft und Hasse nicht gesehen, Gedanken macht. Was ich mal äh was ich mir da mal betrachtet habe, ist. Was das BSI als Bedrohungslage für Deutschland zweitausendvierzehn, formuliert hat oder ähm zusammengefasst hat in ihrem Lagebericht äh IT-Sicherheit. Ähm. Deckt sich also vom vom Risikoszenario her überhaupt nicht mit dem, was dieses Gesetz adressieren soll, ja? Sie sagen also zweitausendvierzehn, gab es diese beiden Passwortdiebstähle von einmal sechzehn Millionen und einmal achtzehn Millionen Passwörtern, riesiges Bedrohungsszenario für die äh privaten Anwender hier. Und das ist halt ein Risiko, dem sie sich äh oder eine eine Personengruppe, der sie sich in diesem Gesetz überhaupt nicht widmen, ja, überhaupt nicht. Gleichzeitig sein, dann sagen sie, ja, Wirtschaft, Wirtschaft, fürchterlich, fürchterlich, ne? Und dann äh sagen sie, da wurde ja sogar jetzt ein ein Stahlwerk einmal äh, beschädigt durch Hacker. Und interessanterweise war der war der der initiale Angriffsvektor auf dieses Stahlwerk war, Social Engineering, ja, das heißt, die man könnte also überspitzt sagen, das Stahlwerk war aus technischer Perspektive sicher genug, Sie haben nur die Angreifer haben sich halt rein Social Engineers um. Um dann eben nachher tatsächlich an an kritische auf kritische Systeme Zugang zu erlangen. Und ähm dann dort äh Schaden anzurichten. Und dann das große Thema, um das sie sich hier die ganze Zeit äh, auf das sie sich die ganze Zeit konzentrieren, ist eben kritische Infrastruktur. Alle Berichtspflichten und Alamierungskontakte und was nicht alles, ist ausschließlich im Bereich der kritischen Infrastruktur. Und zu denen schrieb das ja das BSI schon im Jahr zweitausendneun bei den Betreibern der sogenannten kritischen Infrastrukturen können IT-Sicherheitsbewusstsein und Kompetenz sowohl auf Managementebene als auch in der Umsetzung durchweg, hoch eingeschätzt werden, ja? Zitat BSI äh Lagebericht, IT-Sicherheit zweitausendneun. Im Bericht zweitausendvierzehn schreiben sie dann, unter Angriffe auf kritische Infrastrukturen beschreiben sie einen Angriff, es gab also im Jahr zweitausendvierzehn einen dokumentierten erfolgreichen Angriff auf kritische Infrastrukturen in der Bundesrepublik Deutschland und der, Folgendermaßen ab, es gab Social Engineering auf die Mitarbeiter. Und der Ziel dieses Social Engineering Angriffs war, dass Übermitteln einer Kopie eines amtlichen Lichtbildausweises und der Bankverbindung des Gehaltskontos der Opfer, Und die Angreifer hatten Erfolg bei einigen. Und so wurden mittels gefälschten Unterschriften die Bankkonten der Betroffenen aufgelöst und oder neue EC-Karten samt PIN an eine neue Adresse in China angefordert. Das war der Angriff auf kritische Infrastruktur in Deutschland zweitausendvierzehn, mit dem jetzt dieses gesamte Gesetz gerechtfertigt wird. Ja, das heißt, selbst wenn die Hacker kritische Infrastruktur angreifen, haben sie. Laut, Bedrohungslage des BSI ein größeres äh äh einen größeren Anreiz, ähm einfach die Konten der Leute, die dort arbeiten zu lehren, als wirklich diese kritische Infrastruktur platt zu machen, ja? Also da ist die da ist die Bedarfslage an einem solchen Gesetz, die das BSI in seinen eigenen Berichten benennt, dann doch eher sehr gering. Grundsätzlich teilt der Chaos-Computer-Club natürlich nicht die Einschätzung, dass kritische Infrastruktur in Deutschland ausreichend gesichert wäre, aber ähm, zumindest nicht nachvollziehbar, dass ausrechnet darauf jetzt dieses Augenmerk gelegt wird. In diesem Gesetz, während äh wenn Millionen, von von Endnutzern in Deutschland von von Passwortdiebstahl und und Onlinebanking Betrug und so weiter betroffen sind, dass in der Hinsicht halt überhaupt nichts passieren soll, ne? Dann kommen wir zum nächsten, zum zweiten Punkt. Die Steigerung der Bürokratie statt aktiver Erhöhung der Sicherheit. Da geht's mir also darum, dass. Diese Auflagen, die da jetzt sind, in der Regel melde und Berichtspflichten sind, ähm und dann gibt's natürlich noch diese Sicherheitskonzepte, die dem BSI vorgelegt werden und die dann alle zwei Jahre kontrolliert werden sollen. Und die die Pflicht, eben alle möglichen Sicherheits Auditberichte und ähm und irgendwie Sicherheitsschwankungen dem BSI zu melden. Das ist ja alles schön und gut. Das ist aber ein riesiger Overhead in der Verwaltung und, der geht natürlich mit einem riesigen Aufwand auf Seiten der Unternehmen einher und dem Aufwand steht eben nichts gegenüber. Dem dem Aufwand steht gegenüber, dass sie irgendeinen Scheißbericht an das BSI geschickt hast, um irgendeiner Meldepflicht äh zu entsprechen? Ja? Aber da hast du ja noch keine einzige Sicherheitslücke, die du im Moment hast, äh geschlossen und deshalb eine weniger. Und das heißt natürlich auch, dass diese Ressourcen, die du aufwenden musst, um diese ganzen Auflagen zu erfüllen, die fehlen dir, um irgendwie mal ernst zu nehmende Sicherheitskonzepte ähm zu zu formulieren, die dich irgendwie weiterbringen. Ähm dann hatte ich gerade schon äh genannt, dass das eben. Sicherheitskonzepte eingereicht werden müssen, das ist also jetzt mein dritter Kritikpunkt. Und zwar ist das so, dass das äh dass das Gesetz erstmal vorschreibt. Maßnahmen müssen dem Stand der Technik entsprechen. Und dann stellt sich natürlich die Frage, was ist denn Stand der Technik? Ja und, Dass es in diesem Gesetz gezielt nicht ausformuliert, sodass du dich dann eben als Betreiber in so einer rechtlichen Unsicherheit befindest, dass dir natürlich einfach jederzeit ähm quasi das BSI daher kommen könnte und sagt, das hier ist nicht Stand der Technik. Und um diese Rechtsunsicherheit aus deinem, aus deiner Risikolandschaft rauszubekommen, musst du oder bist kannst du als Branchenverband ein Sicherheitskonzept dem BSI vorlegen und das vom BSI absegnen lassen. Und dann hast du eben, dann hast du vom BSI verbrieft den Stand der Technik implementiert. Ja? Und. Und das äh ist eben, das soll, da sind sie natürlich angehalten, das als Verband zu tun. Ja, das heißt, der Branchenverband, der äh Telekommunikationsanbieter, Branchenverband, der äh Atomkraftwerkbetreiber oder was auch immer, setzen sich dann zusammen. Und ähm reichen quasi ein gemeinsames Sicherheitskonzept beim beim BSI ein. Das BSI hat ja überhaupt nicht die Kapazität oder die Expertise um so ein Sicherheitskonzept selber zu schreiben. Und jetzt kannst du dir das natürlich so vorstellen, die sitzen da in ihrem Verband und die haben ja alle schon Sicherheitskonzepte. Es ist ja nicht so, als hätten die nicht genug Checklisten, wo sie Häkchen dran machen. Und dann sitzen die also in ihrem Verband zusammen und jetzt kannst du dir natürlich vorstellen. Bleibe jetzt mal zum Beispiel beim Mobilfunk, dann könnte man sich jetzt vorstellen, dann ist da die Deutsche Telekom, die vielleicht ein ähm ein höheres äh Sicherheitsniveau bei sich äh erreicht als als andere Anbieter. Und das in entsprechenden Sicherheitskonzepten eben auch äh vorgeschrieben verbrieft und dokumentiert hat. Und jetzt sitzen die also alle in einem Raum, und dann hast du halt einen Teil der Anbieter, die sagen, ja, aber so dieses Maß an sich, also sieht so unser Sicherheitskonzept aus. Und dann sagen die anderen, Umsätze ist ein bisschen höher und jetzt entsteht natürlich ein ein Konflikt zwischen denen, weil die, die das höhere Konzept haben, eigentlich diejenigen sind, die sagen können, nö, wir wollen, dass unser Konzept festgeschrieben wird und ihr erstmal die fetten Investitionen habt, euch auf dieses Konzept auch hochzubringen. Wir könnten aber natürlich auch sagen, nee, nee, komm, schreibt mal euren kleinen Mist dahin den haben wir eh schon vollständig implementiert. Und dann haben wir sind wir die Sorge los, äh, dass uns das BSI irgendwie auf den Sack geht, ne? Ich halte die zweite, den zweiten Weg für den wahrscheinlichern, das heißt, es wird dann einfach, das niedrigste existierende Sicherheitskonzept der Branche als, Sicherheitskonzept und Stand der Technik verbrieft, festgelegt und das ist dann eben für alle verbindlich. Das heißt, auch da hast du keinen ähm. Kein Anhaltspunkt, dass sich IT-Sicherheit wirklich erhöht. Wie du eben auch schon mit der Definition Stand der Technik nicht die Chance hast den Stand der Technik zu vergrößern. Sinnvoll wäre es gewesen, wenn Sie sagen, so pass auf, jede Kommunikationsdienstleistung bis zweitausendachtzehn endet zu Ende verschlüsselt, fertig. Ne? Ähm und, irgendwie jedes Kraftwerk so und so hier folgende Sicherheitsmaßnahme ist uns scheißegal ob ihr das was euch das kostet ja? Da wäre die Gelegenheit gewesen durch durch regulatorische Verpflichtung oder eben auch Anreize. Wirklich mal einen Effekt herbeizuführen, den ich als ähm, Angreifer auch sehe, ja, wo ich sage, hier hat stattgefunden, hier ähm sind wurde in die in den Abbau von von Risikoszenarien investiert. Das sehe ich da einfach nicht. Der vierte Punkt betrifft dann diesen Paragraph einhundert TKG, wo man jetzt sagt OK. Das ist der, das ist der Paragraph unter dem heute schon ähm Daten gesammelt werden bei Telekommunikationsanbietern. Und zwar äh wird dort einfach gesagt, du darfst Verkehrs und Bestandsdaten zum Zwecke der Erkennung und Behebung von Störungen speichern. Und da wird jetzt noch ein wird jetzt noch ein Satz dabeigefügt. Das gilt auch für Hackerangriffe. Wobei Hackerangriff natürlich das Ergebnis eines Hackerangriffs ist natürlich eine Störung. Ähm und da stellt sich natürlich die Frage. Also und das ist da formuliert übrigens ohne irgendwelche äh Grenzen des Anwendungszweckes, und ohne irgendwelche Grenzen der der zeitlichen Aufbewahrung dieser Daten. Und es ist natürlich totaler Unsinn zu sagen, du speicherst irgendwie Sachen für für für mehrere Wochen oder sogar Monate laut AK Vorrat eben da ist keine feste Vorschrift gibt beträgt diese Vorhaltedauer von den Daten zwischen sieben, einhundertachtzig Tagen in Deutschland, je nachdem bei wem du schaust.

Für welche für welche Daten genau?

Verkehrsdaten im Telekommunikationsbereich. Und ähm jetzt stellt sich natürlich die Frage sag mal, du hast jetzt eine akute Störung in deinem Telekommunikationssystem. Wofür brauchst du da die Daten der letzten einhundertachtzig Tage, um diese diese Störung zu beheben? Ja, da steht halt wirklich nur Diagnose Erkennung und Behebung, da steht nicht, juristische Aufklärung oder sowas, ne? Da steht einfach nur, dass du erkennen kannst, wo ist das Problem und wie werde ich's los? Und da ist natürlich so ein Long Tale an Daten totaler Unsinn, ja? Sinnvoll ist es da allenfalls zu sagen, okay, im Rahmen einer solchen. Störungsbehebung kannst du, Und da gibt es auch einen Absatz zu, kannst du vollständig alles mitloggen, überall reinschauen, um dein System wieder in die Gänge zu kriegen. Wenn du das getan hast, musst du aber auch alle Betroffenen darüber in Kenntnis setzen, ja? Und das ist natürlich eine Maßnahme, die ist ähm. Die wäre nachvollziehbar und eben auch an den akuten Fall gebunden und an der äh Berichtspflicht Ja? Hier reden wir aber davon, dass sie sagen, nö, alles kannst du so lange speichern, wie du willst, für den Fall, dass irgendwann mal was passiert und du da da rein, da eine akute Störung beheben muss. Und da ist halt so ein Longtail an Daten absolut ähm nicht für zu rechtfertigen und jetzt kann natürlich irgendjemand daherkommen und und Langzeitszenario entwerfen, wo tatsächlich dann die Verkehrsdaten von vor mehreren Wochen eine Rolle bei der Behebung Angriffs ähm spielen könnten. Ja, also er wird sicherlich jetzt jemand daherkommen und ein findiges Szenario erkennen. Ähm aber dieses Szenarien gibt es halt nicht, ja? Das, was wir, was wir feststellen, was wir sehen, sind Angriffe, bei denen irgendwie langfristige Speicherungen von von Verkehrsdaten, die in keiner Form bei der Behebung helfen. Es ist einfach nur Unsinn, und gleichzeitig ähm ist natürlich dieses Sammeln dieser Daten ist eben nicht, wie bei der Vorratsdatenspeicherung irgendwelchen krassen äh Auflagen unter äh unterlegt, sondern ähm. Das ist einfach, du darfst speichern Punkt. Und ähm das ist natürlich ein, das Einfallstor, um dann eben wieder, so wird's ja, so findet es ja auch heute statt. Das sind genau die Daten, anhand derer heute IP-Adressen aufgelöst werden, äh wenn man sagt, das ist ein Falsche. Das sind Daten, die nach TKG einhundert gesammelt wurden. Und die sollen da jetzt einfach weiter ausgeweitet und erlaubt werden. Und da ist relativ ähm offenkundig, wer am Ende bei an diesen Datensammlungen ähm. Teilhaar, an diesen Datensammlungen teilhaben möchte. Und das hat mit einer Erhöhung der IT-Sicherheit erstmal überhaupt nichts zu tun. Vor allem nicht im Sinne dessen, wie es in der Formulierung des Gesetzes und in der Begründung des Gesetzes ausgeführt ist, ne? Man könnte natürlich sagen, äh okay, äh wir wollen, solche Bot Netzer dingfest machen und deswegen, wollen wir diese Daten da liegen haben? Und deswegen wollen wir die abgreifen können. Deswegen wollen wir IP-Adressen auflösen können. Ähm so ist aber dieses Gesetz nicht begründet und ich muss mich ja in meiner äh Stellungnahme eben daran orientieren, auch wie dieses Gesetz. Formuliert und begründet ist. Und das halt einfach nur unsinnig, was da steht. Habe ich auch dann so geschrieben.

Ja, sag noch deinen letzten Punkt, dann können wir nochmal, dann fahre ich noch.

Ah ja genau. Letzter Punkt, Vertrauensproblem des BSI wird nicht gelöst. Das ist etwas, was ich in meiner früheren Stellungnahme an den Ausschuss Digitale Agenda auch schon mal ausgeführt hatte. Das BSI hat ja seit zweitausendzwölf oder was eine Meldestelle, ja? Und es ist nun mal so, dass weder in der Privatbevölkerung noch in den Unternehmen das das BSI irgendwie ein besonders guten Ruf hätte. Und jemand ist, mit dem man, mit dem man sich irgendwie ausführlich auseinandersetzen möchte, das ist ja genau der Grund, warum sie da jetzt irgendwie mit Meldepflichten und wat nicht alles um die Ecke kommen. Das nämlich einfach sonst keiner mit dem DSI spielen möchte, Und wenn sie jetzt auch noch sagen, sie wollen zum Beispiel ähm vor den Bundeseinrichtungen irgendwie äh groß ähm das Monitoring ausbauen. Wenn sie sagen, sie wollen alle Angriffe ähm. Angriffsszenarien und fast Angriffe und so weiter äh äh gemeldet bekommen, dann geht damit natürlich auch einher, dass sie wissen, über äh potenzielle Angriffsszenarien und äh potentielle Schwachstellen sammeln, und beim BSI ist eben im Moment überhaupt nicht klar, dass das BSI dieses Wissen. Nur zum Zwecke der Verteidigung und zum Zwecke des Schutzes der eigenen Wirtschaft und Bevölkerung zum zum Einsatz bringt Ja? Das BSI hat an an Staatstrojaner Entwicklungen mitgewirkt. Und es ist durchaus nicht ähm also da das Risiko, dass das BSI ähm das im im Namen im Rahmen dieses Monitorings und im Rahmen dieser Meldungen erlangte Wissen über IT-Sicherheitsschwächen. Nicht auch selber äh weiterentwickelt oder äh in in Angriffe weiter über übersetzt, die eben, Die Partnerbehörde, die ebenfalls den BN äh dem BMI unterliegt, nämlich der BND, der ja schon ähm irgendwie zwanzig Millionen für die nächsten Jahre haben möchte, um das Wissen über Sicherheitslücken zu kaufen, ähm, weitergibt, ja, das heißt, ähm ein BSi, das immenses Wissen über Sicherheitslücken sammelt, ist äh, natürlich selbstverständlich da es dem BMI untergeordnet ist, äh angehalten, dieses Wissen wiederum mit den, offensiven Behörden BND zu teilen. Deswegen kannst du halt quasi so eine Vertrauensposition, die das BSI im Rahmen dieser äh dieses IT-Sicherheitsgesetzes bekommen soll, nur rechtfertigen, wenn das eine vollständig äh unabhängige Behörde mit absolut eindeutigen Sicherheitsauftrag ist und das ist sie eben nicht. Ist es eben nicht.

Ja, so ist es eher wirklich, wenn mal wieder der sprichwörtliche Bock, äh, der zum Gärtner gemacht wird und was man eigentlich bräuchte, wäre mir so eine Stiftung Datentest, die äh einfach so diesen diesen Grad dann Unabhängigkeit hat und äh wo auch sagen wir mal die Unternehmen und äh auch Verbraucher natürlich so ein gewisses Interesse ähm und, also also gewisses Vertrauen drin haben, dass es Interesse äh dieser Organisation eben ausschließlich das ist, was auch außen dransteht, ne, dass man sozusagen Daten äh sammelt zum Zwecke der Abwehr und nicht eben das Gefühl hat, man man liefert sich da quasi selber an den an den Geigen.

Und das ist halt hier äh relativ offensichtlich nicht der Fall. Interessanterweise habe mir jetzt auch mal die anderen Stellungnahmen angeschaut. Interessanterweise will aber auch kein Unternehmen dasjenige sein, das öffentlich sagt, wir sind gegenseitig Sicherheitsgesetz, ja. Wir halten alle schön die die Fresse und konzentrieren sich halt wahrscheinlich auf die auf die Loopholz, um aus der Nummer irgendwie wieder rauszukommen. Das Ding sich selber irgendwie kaputt regulieren zu lassen, aber ich glaube halt letztendlich, dass mit diesem Gesetz dann in der IT-Sicherheit sogar tatsächlich aktiver Schaden angerichtet wird, weil das eben Ressourcen auffrisst, die an anderer Stelle tatsächlich dringend benötigt würden.

Nicht nur Ressourcen, sondern es sollen auch einfach so diese Blase, dass man so äh das das Gefühl gibt, es wäre ja jetzt schon alles getan, so ja. Was wollt ihr denn, werden noch hier äh ein Gesetz erlassen? Das steht auch alles drin.

Wir haben sogar ein Gesetz, ja.

Ja genau, wenn sogar ein Gesetz erlassen und äh mehr kann man ja nun wirklich nicht erwarten, ne. Hach, das ist wirklich. Das ist ja, das ist das ist in welchem Rahmen wirst du jetzt diese Stellungnahme vortragen.

Morgen um vierzehn Uhr, vierzehn, vierzehn Uhr im Innenausschuss des Deutschen Bundestages, der aber irgendwie nicht da tagt, wo er sonst immer tagt, sondern im Marie Elisabeth Lüdershaus. Äh das ist also auch ein Gebäude des deutschen Bundestages ist. Im Anhörungssaal drei einhunderteins. Ja, keine Ahnung, was das Mariela Elisabeth.

Morgen ist dann der zwanzigste April zwanzig fünfzehn.

Führers Geburtstag.

Das hast du jetzt gesagt.

Ist so.

Ja, ich weiß. Hast du schon wieder gesagt.

Ja genau, da machen wir da und die äh Lokbuch-Netzpolitik Ultras fahren natürlich mit Bussen dorthin und ähm ja, werfen, werfen Feuerzeuge auf Herrn Bosbach. Nein, bitte nicht, Scheiße.

Da sind wir schon wieder beim nächsten.

Dich, bitte dich, ey. So sehr ich das also ich mach das ja tatsächlich muss ich euch ich mach das ja eigentlich gerne, ich find das wirklich interessant und anregend mich mit so Sachen dann, mal das Vertiefen irgendwie zu behandeln, sich da Gedanken drüber zu machen und ähm ich habe mich auch in der äh Stellungnahme bemüht, eben auch ähm. Wie ich ja immer bemüht bin, eben auch Vorschläge zu machen, wie man's besser macht, aber ich will jetzt auch nicht hier die ganze Sendung alle damit langweilen äh äh wie man irgendwie was, kaputt regulieren kann und wie die Welt eben eine schönere wäre. Wer wen das also interessiert, kann sich, kann sich gerne die Stellungnahme mal anschauen. Kommen wir zu den Kurzmeldungen.

Kurzmeldung.

Ja genau. Nee, eine eine Kurzmeldung. Ähm das war aber da habe ich mich gar nicht so genau mit auseinandergesetzt. Die Große Koalition möchte gerne die LKW-Maut Daten zu anonymen Auswertungen weiterreichen, ausschließlich zum Zwecke der Verkehrslenkung und Verkehrsvorstände, Forschung und natürlich vollständig anonymisiert und in enger Abstimmung mit den Datenschutzbeauftragten. Er hat dann der äh Thomas Jarzombek äh gesagt, es wird sicher Start-Ups geben, die daraus Dienste entwickeln wollen. Hat der Thomas dem Handelsblatt gesagt? Also man sieht die die wirtschaftlichen Ambitionen Deutschlands ähm im im Bereich der Startups, die gehen jetzt nochmal richtig ab, ja? Indem wir jetzt die LKW-Mautdaten und machen daraus eine fette Start-up. Denkbar seien etwa Dienste wie Staumelder oder Parkplatzfinder jetzt weiß ich nicht genau, einen Parkplatz auf der.

Bist. Ja das ist super irgendwie. Also da können nämlich dann die LKW-Fahrer mit so einer, interaktiven App dann sehen, wo sie jetzt noch einen Parkplatz äh finden können, auf der Autobahn. Auf den völlig überfüllten.

Muss ich jetzt ganz kurz.

Parkplätzen der deutschen Autobahn.

Das ist abends für die LKW-Fahrer tatsächlich ein Problem. Da muss ich fairerweise sagen. Ähm wenn viel auf den Autobahnen los ist, äh auf bestimmten Strecken hast du nachts das Problem. Dass die Rastplätze absolut voll sind mit LKWs und die stehen dann teilweise bis in die Auffahrten, wodurch dann wiederum Unfälle entstehen, weil Menschen auf den Rastplatz fahren wollen und in der Kurve auf einmal einen LKW geparkt ist. Also da das ist in der Tat ein leichtes Problem.

Das ist ein in der Tat ein Problem, nur dass sie die Mautdaten einfach keine Spur weiterhelfen, weil die Mautdaten sind Daten, die an Maut, Brücken irgendwie alle Kilometer reingeholt werden und bei den einzelnen Rastplätzen sind, diese Mautbrücken ja überhaupt nicht installiert. Das heißt, wer da jetzt irgendwie parkt und da irgendwie Platz hat, das da helfen dir die Mautdaten genau überhaupt nicht weiter. Man kann zwar irgendwelche äh theoretischen Erhebungen dadrüber so ja, hier ist er jetzt vorbeigekommen und da ist er nicht angekommen, da muss er da wahrscheinlich dazwischen irgendwo ähm, Preußing gemacht haben, wissen wir aber nicht, vielleicht ist er auch an der Ausfahrt rausgefahren und hat irgendwie sich in der Nase gebohrt, keine Ahnung, also man man kann diese Informationen daraus gar nicht äh machen und auch für Stau ist das einfach ähm nicht wirklich.

Verstauket's Google.

Weil äh ja für Stau gibt's erstens sowieso schon seit vielen, vielen Jahren viel bessere Systeme, nämlich einfach die anonyme Auswertung des äh Mobilfunks, das sehen wir auch auf allen Handys äh schon drauf, da brauchen wir ja jetzt wirklich die LKW-Maut-Daten wirklich überhaupt nicht für. Was ich gerade jetzt hier in der Meldung auf Reise Online auch nochmal so richtig geil fand, war ähm Ja, zugleich, heißt es da ja, könnten auch Behörden dann mittels der Daten besser nachvollziehen, welche Strecken besonders belastet seien und so investitionsbedarf.

Ein Scheiß!

Und dazu muss man das an Dritte weiterreichen irgendwie, ich meine, die Behörden könnten das doch heute schon selber ermitteln. Ich meine, was machen sie denn bitte mit diesen Daten? Die füttern das irgendwie in ihre Informationssysteme und geben da äh entsprechende Rechnungen an, die Unternehmen raus. Also wenn sie daraus nicht schon irgendwie rauslesen können, auf welchen Straßen jetzt wirklich gefahren wird und und und in welcher Menge und wo nicht dann weiß ich nicht so richtig, was jetzt äh diese Maßnahme dann noch groß helfen soll. Also das ist einfach, bin immer wieder entsetzt, wie viel Dummheit und Unwissen und Unkenntnis irgendwie aus diesen ganzen Worten, die hier geäußert werden in diesem Zusammenhang äh herausblutet. Das ist doch einfach wirklich schäbig.

Andererseits müssen wir natürlich, finde ich schon, kann man halt sagen, ich bin mir sicher, dass man aus diesen Daten die ein oder andere interessante, Auswertung oder Visualisierung machen könnte. Im Rahmen so eines Open Delta Projektes, ja? Ähm. Ich glaube aber, dass du da in keiner Form auch nur irgendwie eine Müde mag, äh draus machen kannst. Also, Wie gesagt, das Start in das Start-up würde ich echt nicht investieren, muss ich ich sage und diese diese Parkplatzsache bei den LKWs ähm die ist wie gesagt ist tatsächlich ein Problem das kriegen die aber glaube ich seit vielen Jahrzehnten die ähm die Kraftfahrer ähm, irgendwie gelöst äh über zum Beispiel ihre CB-Funkgeräte und so. Sie haben natürlich dann noch äh Probleme mit den ähm die mit ihren äh Lenkzeiten einhergehen und so, ne? Das ist also ist ein ist ein Problem, will ich gar nicht äh kleinreden ähm wichtig wär mir hier nur nochmal zu betonen, Diese absolute Anonymität und der hohe Datenschutz war eben eines der großen Versprechen dieser Mautgeschichte, ja? Und. Dann siehst du halt irgendwie, dass sie dann mit relativ fadenscheinigen Argumenten so was eben nach ein paar Jahren dann eben kippen. Und genau das wird eben bei der Vorratsdatenspeicherung bei ähnlichen Sachen eben auch so sein. Und du kannst dir natürlich dann auch schon mal vorstellen, was das wieder für diese äh für diese geile PKW-Maut bedeuten wird von von der jetzt da irgendwann auch nochmal.

Nie kommen soll.

Wo ich gar nicht weiß.

Nie kommen sollte.

Der Wald? Wird es mit mir nicht geben? Da weiß ich aber nicht genau, wie da der aktuelle Stand ist, denn das ist ja ähm hier Autobahnminister, ne. Aber äh ja, also das deswegen habe ich das nur mit aufgenommen. Also diese Idee ist relativ also die wirtschaftliche. Verwertbarkeit dieser Idee ist, glaube ich, ähm strengen Einschränkungen unterworfen und ähm es, ich hab's nur mal als Beispiel aufgenommen, was du eben von so Datenschutz und äh AR vereint Verwendungszweckenschränkungen eben in the Long Run halten kannst, wenn du einmal anfängst, solche Daten zu erfassen. Und dann gab's noch ähm auch das nur als Kurzmeldung, weil wir da äh vor einigen Wochen auch mal drüber gesprochen haben, eben über Flug äh Sicherheit, Flugzeugsicherheit. Da gab's jetzt ein ein ganz gelungener Vorschlag von der deutschen Flugsicherung. Die sagt, lasst uns doch mal so einen Anti-High-Hecking-System bauen, sodass wir vom Boden aus die Kontrolle über ein Flugzeug nehmen. Und es sicherlich sicher landen können. Da gab's auch schon mal einen EU-Forschungsprojekt namens Sofia, was sich vor ein paar Jahren damit auseinandergesetzt hat und dann irgendwie wahrscheinlich seine Anschlussförderung nicht bekommen hat. Jetzt stellen wir uns mal vor, ja? Wir haben im Moment wir hatten jetzt irgendwie. Es gab ein paar Flugzeugentführungen in den letzten Dekaden. Ähm in. Vergangenen zehn Jahren, nee, in den vergangenen fünfzehn Jahren fallen mir jetzt zwei besondere ein, dass es eben einmal äh Mohammed A und Andreas L. Dann eben diese es gibt sicherlich noch mehr die ich vielleicht jetzt grade vergessen habe oder so aber die Folge von Mohammed A war eben dass diese Tür verstärkt wurde, was dann eben wiederum Andreas L geholfen hat bei seinem Unterfang. Ähm beide hatten aber die große Herausforderung für ihren, für ihren Angriff, dass sie in diese Flugzeuge kommen mussten. Dass sie dafür eine Pilotenausbildung brauchten und was nicht alles. Und ähm ihren ihren Massenmord ähm. Lange vorbereiten und planen mussten. Und. Jetzt wollen wir offenbar den Flugzeugen mehr oder weniger eine Funkverbindung geben. Wodurch dann eben Menschen, die sich noch nicht mal an Bord des Flugzeuges befinden. Dieses ähm Steuern können. Und dann eben entweder heile landen oder eben auch nicht. Und diese, das, glaube ich, ist eine enorme Vergrößerung der der Angriffsfläche. Die ein unglaublichen Risiko einhergeht, dass nämlich genau dieses System der Grund dafür ist. Dass das nächste Flugzeug runterkommt. Und das halte ich für eine ähm für eine für eine äh für eine für eine ausgesprochen hirnrissige Idee. Ausgesprochen hirnrissig. Ähm. Dass da so etwas einzubauen, ja? Dieses vier-Augen-Prinzip wiederum halte ich für eine das ist eine, denke ich, eine eine eine Notwendigkeit und auch was Grundsätzliches, was gerade bei der Steuerung eines eines äh so komplexen und gefährlichen Fahrzeuges äh ohnehin eigentlich schon immer hätte da sein sollen, ja, das das leuchtet ein, aber ähm. Da jetzt irgendwie diese diese Passagierflugzeuge Fernbedienbar zu machen, halte ich für ähm ausgesprochen ähm ausgesprochen dumm.

Ja, das, Das ist das äh ja, das ist nicht nur dumm, sondern das äh also man man stelle sich einfach mal vor, das Österreich, also nicht nur das ganz neue Angriff, Vektor äh geschaffen wird, der einfach überhaupt nicht kontrollierbar sein wird Ja, egal, also da sehen wir dann schon wieder und dann kommen dann wieder irgendwelche Gesetze zur Sicherheit, der Sicherung, der Flugsicherheit im äh Fernbedienungswesen. So, ja, das wird dann halt einfach äh wieder per Akklamation alles abgesegnet, dass es sicher ist und am Ende einfach reinhacken und kann jetzt irgendwie auch noch Flugzeuge fernsteuern. Viel Spaß. Aber auch so. Äh aus Sicht der Piloten oder auch der Versicherung, ja? Also wenn jetzt was abstürzt und es gibt auch nur die theoretische Möglichkeit einer Fernwirk. Ja Also wer ist denn dann bitte überhaupt noch für irgendetwas bereit irgendeine Versicherungssumme zu zahlen, wenn was passiert oder wer ist bereit irgendeine Verantwortung zu übernehmen? Da sagt doch jeder Pilot so, na ja, also ich habe ja alles richtig gemacht, aber das System hat einfach nicht gehorcht, da war wohl einer äh der Fernwirkung irgendwie dabei.

Das das kommt ja auch noch dazu und ehrlich.

Zu der also bei der bei der vier Augengeschichte weiß ich nicht so richtig, ob ich dir da so zustimmen kann, dass das jetzt wirklich so selbstverständlich ist, dass das äh so sinnvoll ist, weil wer sind denn dann die anderen. Augen, die dann äh in die Kabine gebeten werden, ja? Das sind da sozusagen Flugbegleiter, die aber keine Ausbildung haben, die sowieso nicht äh sicherstellen können, dass der Pilot, der noch anwesend ist, das Richtige tut, geschweige denn ihm in irgendeiner Form widersprechen kann. Also das verhindert irgendwie herzlich wenig.

Die können wenigstens die Tür aufmachen für den für den.

Ja, aber dann hast du sozusagen ein noch niedrigere Schwelle, um äh in die Kabine reinzukommen. Ja, also sozusagen, man musste sich nur noch als Flugbegleiter anheuern und dann hast du sozusagen auch schon äh garantierten Kaminzugang, jedes Mal, wenn ein Pilot aufs Klo geht.

Aber genau und genau ich denke, daran sieht man eben auch, dass diese Sicherung, Sicherheitsmaßnahmen eben immer nur irgendein Schlangenöl sind und man eben leider Gottes mit diesem Restrisiko einfach leben muss äh wie überall sonst leider auch so schwer uns so unglaublich, dass wir uns alle sein mag. Andere Vorschläge, die man jetzt hier auch diskutiert wurden, war halt irgendwie so eine äh Flugzeug-Landeautomatik oder Flugzeugabsturzverhinderungsautomatik, dass das Flugzeug sich halt nicht abstürzen lässt das ist halt das ist halt auch wieder so ein so ein so ein Problem. Stell dir mal vor, so ein scheiß Flugzeug muss notlanden, ja? Und dann hast du eine Flugzeug ähm. Flugzeugabsturz, Verhinderungsautomatik, wo das Flugzeug erkennt, hier ist aber gar kein ähm kein Flughafen. Hier lande ich nicht, ne. Also das, das ist alles, technische Lösungen für dieses Problem ähm sind, schwierig, oder nicht, nicht möglich. Noch dazu ist funken diese Flugzeuge ja eh alle mit Standards durch die Gegend, die irgendwie jenseits von Gut und Böse sind, ne? Also du, die sagt ja Flight Raider äh twentyfour was? Und wenn ich mich jetzt nicht äh wenn ich mich jetzt nicht täusche, heißt das ADBS.

Ja, das sind halt diese ganzen ähm ähm Kennungssignale, die die Flugzeuge, die Zeit von sich geben, die man mit einem ganz normalen äh Receiver empfangen kann. Da gibt's ja genug Leute, die das machen und genau aus dieser dezentralen Sammlung der Daten entstehen ja auch dann solche Flugbilder, wie sie eben bei Flatrate A24 und ähnlichen äh Dienstlein gibt's mehrere. Dieser Art visualisiert werden kann.

Das meiste, das ist übrigens auch ganz lustig. Da habe ich auch so einen, so ein kleines SDR, so ein RTL, SDR, so ein kleiner USB-Stick mit Antenne. Und da kannst du dir äh kannst du diese diese Daten eben ähm locken. Das ist ganz.

SDR musste, glaube ich, kurz nochmal erklären. Also redest von Software, die find Radio.

Genau, RTL. Ist so ein kleiner Chipsatz ziemlich günstig. Ähm Software, die find Radio, also eine im Prinzip eine sehr gute Soundkarte ähm mit hoher Frequenz, die eben äh Funksignale zu in verschiedenen Bereichen zu, in der Lage ist und äh zum Beispiel in so DVB-Tastics eingebaut ist. Und dann kannst du halt das DVB-T-Sticks und, SDR Chips sind ebenso mit das Günstigste, um eben sowas an Computer zu bekommen. Man kann sich auch sehr viel bessere SDS kaufen, im im mehreren hundert Euro Bereich oder auch im mehreren tausend Euro Bereich, die dann eben zum Beispiel auch häufig äh nicht nur empfangen, sondern auch senden können, also so ein Blade AF, Hack AF, USAP, sind da eben bessere oder teurere Produkte, ähm aber wenn man einfach nur mal so ein bisschen rumempfangen möchte, ist halt so ein, so, sind diese Realtech-Dinger im im Preisbereich von fünfundzwanzig Euro äh oder so, ganz interessante Spielzeuge, mit denen man allen möglichen Scheiß dann mit Gnoueradio eben empfangen kann, unter anderem eben auch die unverschlüsselten Steuerungssignale, die Flugzeuge irgendwie äh durch die Gegend fahren.

Was ja jetzt erstmal nix ähm sicherheitskritisches ist. Also nicht primär.

Bei denen nicht. Es gibt aber noch so ein anderes System, mit dem die kommunizieren, wo es vor zwei Jahren mal so ein Blackhead Talk gab, äh wo das durchaus sicherheitskritisch war. Ähm noch kurz zu erwähnen, in der gleichen Woche, wie die Deutsche Flugsicherung sagte, lasst uns baut, gibt uns doch mal eine Fernsteuerung für alle Flugzeuge Ähm gab es einen Bericht, der des United States Government Accountability Office über Air Traffic Control, äh wo sie ähm mal so die ganzen, Cyber äh Security-Freds an Flugzeugen aufgelistet haben und sagen, ja ähm die Piloten rennen da mit ihren gehackten Tablets und Smartphones im Cockpit äh rum und jetzt kriegen die Flugzeuge ja auch noch alle Internetzugang, also hast du zum Beispiel auf Langstreckenflügen? Äh sündhaft teuer. GSM-Netze haben Flugzeuge jetzt übrigens auch an Bord, ja? Kleines GSM-Netz, wo du dann, äh ungeheuren Preisen ähm SMS äh versenden kannst. Und äh auch Daten bekommst. Ähm. Aber zum Glück äh nicht, anrufen kannst und auch nicht angerufen werden kannst, also wird gebloggt äh aus Rücksicht auf die Passagiere. Ich hoffe, dass das so bleiben wird. Ähm. Und dann wurde, sagt er halt, dieses äh Government Accountability Office, ja ähm zwischen der Bord-Elektronik, des Flugzeugs und, den ihr da betreibt, ist irgendwie eine Firewall und mehr nicht, Wir würden mal anraten, da vielleicht keine Kupferverbindung oder sonstige logische Verbindung zwischen zu haben, weil es wäre ja wirklich schade, äh wenn ähm irgendjemand sich in die Board äh Elektronik rein äh, Wie es eben auch vor zwei Jahren irgendjemanden gelungen ist. Äh ich kann mich an den, Fall nur dunkel erinnern, aber der ist da auch nochmal in dem Artikel verlinkt, wo eben einer ähm in diesem Hotspot Netz war und dann einfach mal so ein bisschen rumgetracet und gepinkt hat und dann irgendwie am Ende mit der Flugaufsicht da äh ähm mal ein ernstes Gespräch hatte und sagte, hör mal Was ist denn hier. Also Firewalls äh ist da ähm das sieht natürlich immer toll aus in so einem Architekturdiagramm. Hier ist Firewall. Aber ich habe auch echt äh noch nie eine Firewall gesehen, wo nicht irgendwelche völlig, Regeln drin sind, wo du die Hände überm Kopf zusammenschließt, weil es einfach auch viel zu komplex ist offenbar eine eine ernstzunehmende größere Architektur mit Firewalls abzusichern. Und wenn es wenn es dir gelingt, dann fangen die Administratoren an, sich sogenannte dirty rolls zu schreiben, damit sie nicht andauernd die Firewall unkonfigurieren müssen und sich halt irgendwelche kleinen geheim äh Umwege da reinbauen. Also Firewall äh ist heutzutage ähm oder der alleinige Schutz durch eine Firewall ist heutzutage nicht mehr zeitgemäß.

Genau, denkt einfach immer an Alufolie. Das ist auch eine Firewall. Ja, also ist auch total sicher auch. Also, es schützt auf jeden Fall immer extrem gegen gegen Feuer.

Für ein paar Sekunden schon, ja also gegen.

Ja, also wenn sie nicht einreist und so, wenn man da nicht gegenkommt und so, ist total äh super.

Vorbeiwandern, dass gegen ein umherschweifendes Feuer bist du damit sehr gut geschützt, ja.

Gut, ich glaube, diese Sendung ist äh an die Ende gekommen, stimmt's?

Das ist sie. Das ist sie und ähm der Dank für diese Sendung gilt dem dem Bernd. Zum x-male und zwei Personen, die es offensichtlich vorziehen anonym zu bleiben und aber natürlich trotzdem an dieser Stelle herzlich gegrüßt und mit Dank versehen werden.

Genau, auch alle äh anonymen, also für uns zumindest anonym äh Spender, äh die über äh Flatter nach wie vor diesen Podcast ihre Liebe erweisen. Das ist äh nach wie vor alles sehr äh wichtig und sehr äh nachhaltig und deswegen möchte ich euch auch dabei zu bleiben, das auch weiterhin zu tun. Ja, mehr kann ich dazu nicht sagen. Dann sagen wir tschüss.

Juppei, dann sind wir am Ende. Tschau, tschau.

Tschüss.