LNP218 Wahlsicherheit durch Obskurität

Guten Morgen. Guten Morgen Tim. Ist schon wieder. Nee, ist immer noch Feierball.

Ja, feier mal mit Firewall.

Ein schmissiger Sechs-Achtel-Takt war das.

Wirklich? Ja. Wow.

Ich wollte es auch erst nicht glauben.

Aber, dann hast du nachgezählt.

Nee, ich kann, ich kann sowas ja nicht, aber.

Jemand gefragt, der davon was.

Ich habe jemanden gefragt, der sich da vor Day sich damit auskennt und der hat das gehört und meinte, das ist ein Vier-Vier-Altakt. Und dann meint er irgendwann so, ja gut, das kann man auch auf sechs acht erzählen, aber warum sollte man das tun? Ja, keine Ahnung, aber so, jetzt halber Marsch. Wir haben.

Da ist er. So schön, da mussten wir dann gleich mal äh mit einsteigen, Ja, ansonsten äh wie immer. Hallo, hier ist Lokbuch Netzpolitik. Nummer zwo, eins acht. Haben wir auf der Uhr, und ja irgendwas nennt's wird's passiert. Geht so, ne? War eigentlich relativ ruhige Woche.

Ja, will man meinen, will man meinen, aber dafür, dass äh dass sowohl die letzte Woche, als auch diese Woche zwei Tage weniger hatten. Äh einen Tag weniger hatten, War doch Ostern gewesen. War Ostern? Ja, Oster.

Ja, es war Aussagen, so nennt man das. Also was auf dem Easterheck.

Ich war auf dem ISTA-Heck, ja. Ist immer schön. Ja, war schön. Also war eine schöne Veranstaltung ähm im kleinen Kreis mit netten Leuten und war, Wie immer eine Reise wert, Easterhacke, es ist immer eine Reise wert. Nächstes Jahr gibt's auch ein Easter-Hack.

Jedes Jahr in Istanbul, nicht weiß, wovon wir reden, der Isarheck ist so eine mittlerweile seit, Auch schon seit so zehn Jahren, wenn nicht sogar schon noch länger etablierte äh Osterveranstaltungen des C, C, die sich so ein bisschen geboren hat aus dem Fakt, dass irgendwann mal der Kongress Hamburg verlassen hat und dann fing das irgendwie so in Hamburg an ging dann eine Weile äh hin und her, sprich mal in Hamburg mal woanders. Mittlerweile ist es eine richtige Reiseveranstaltung geworden, das heißt, hier ist der Hack findet jedes Jahr woanders statt und Gruppen aus dem Clubumfeld können sich da entsprechend bewerben, tun das auch und in der Regel steht dann auch immer die nächste Location schon fest, wenn, der eine Israel kommt. Und was ist es? Das nächste Mal.

Würzburg.

Ne? Genau, ich sage richtig gehört.

Und der erste Easterhack war zweitausendeins. Das hätte ich nicht gedacht.

Ja, schon deutlich länger her.

Hm, zweitausendeins. Letztes Jahr war es in Salzburg, das war auch sehr schön. Diesmal war es in Mühlheim an der am Main.

Nicht im Pott. Nicht im.

Und äh nächstes Jahr soll es Würzburg sein.

Gold bleibt sozusagen in der Region. Ist ja nicht so weit weg, oder? Ah okay, jetzt kommen wieder, Entschuldigung, ich Entschuldigung, mich gleich äh bisschen weiter südlich.

Ich weiß es doch nicht wahr.

Gut, kommen wir zur unserer äh Sendung. Es gab äh Feedback und da wir ja schon so schön mit dem Cybermarsch angefangen haben, greifen wir doch auch nochmal die Bundeswehrdiskussion auf, die wir hier geführt haben. Da ging's ja auch so um diese Frage Wie ist denn diese Bundeswehr eigentlich so aufgestellt? Was hatte sie denn eigentlich für einen Track Rekord in den letzten Jahren zehnten aufgestellt und wie steht man dazu? Wie steht man auch generell zu dieser Frage da mitzumachen oder da nicht mitzumachen? Da gibt's natürlich sehr unterschiedliche, Auffassung. Dann haben wir hier noch ein Feedback bekommen, das würde ich euch das mal ganz vorlesen. Ja, machen, ne? Hanno schreibt uns hier hallo. Mit dem Thema warum machen Hacker nicht, beim Start beziehungsweise bei der Cyberwehr mit in der letzten Folge macht ihr ein ziemlich großes Thema auf. Das haben wir dann auch gemerkt, ohne dass gewollt zu haben, ne? Weiter heißt es, die Bundeswehr war lange Zeit eine Wehrpflichtarmee zusammen mit dem Konzept des Staatsbürgers in Uniform, sollte dies unter anderem verhindern, dass die Armee ein Eigenleben am Staat vorbei entwickelt. Wenn regelmäßig normale Bürger die Bundeswehr von innen erleben, ist das ein Korrektiv von unten, das undemokratische Auswüchse zu verhindern hilft. Mit dem Wechsel zur freiwilligen Armee ist dies weg. Ähnlich wie in den USA ist eine Freiwilligenarmee in erster Linie für Leute attraktiv, die sonst keine große Zukunftsperspektive haben und die formuliert eine Ausbildung sogar Möglichkeit zum Universitätsstudium und eine Karriere geboten kriegen, auf die sie sonst vielleicht füge ich mal einen keinen Zugriff hätten. Wenn die Bewerber aber, Überwiegend junge Männer ohne vernünftige Ausbildung aus strukturschwachen Gebieten sind, ist das offensichtlich eine Gefahr für das demokratische Selbstverständnis des Militärs. Die heutige Bundeswehr würde ich als junger ITler allein deshalb schon nicht mehr als Arbeitsplatz auswählen. Dabei bin ich klarer Bundeswehrbefürworter, bin Sohn eines Bundeswehr Berufsoffiziers und war vor über fünfundzwanzig Jahren mal Zeitsoldat, allerdings nicht in einer IT-Einheit, sondern nur äh in Anführungsstrichen als Sanitäter, sozusagen. Wer Wehrdienst verweigerer in Uniform. Viel attraktiver fände ich als Arbeitgeber eine White-Head Behörde, die aktiv die Sicherheit der IT-Infrastruktur verbessert mit Ordits, Backbau und dies Strafgelderzölle für unsichere Produkte und so weiter. Eine solche Behörde erscheint mir auch gesellschaftlich sehr viel hilfreicher als eine staatliche Blackhead Truppe in der Bundeswehr, Selbst wenn sie schlechter als die Wirtschaft bezahlen könnte, wäre sie als ethisch sauberer Arbeitgeber vermutlich immer noch attraktiv für talentierte Leute, die der Staat auf seiner Seite haben will, Es gab ja schon sehr lange die ewige CC-Forderung, dass das BSI äh oder ähnliches, unabhängig vom Innenministerium aufgestellt wird, Wie ist da eigentlich der Stand der Diskussion? Wo hakt es, wenn politische Spieler, Welche politischen Spieler stehen im Konzept, wie gegenüber, wer bringt es voran und wer verhindert es und was kann ich als gemeiner Wähler dafür tun? Schreibt hallo.

Die Forderung wurde glaube ich niemals von irgendjemandem ernsthaft in Erwägung gezogen. Also die bringen wir jedes Mal an, wenn es sich anbietet, ja. Ähm.

Also die Forderung, dass das BSI vom Innenministerium geteilt werden soll, ist schon ein Teil der Debatte gefühlt. Ob das jetzt jemals eine offizielle ZDC-Forderung, da kann ich mich jetzt nicht dran erinnern.

Tschuldigung, das kann ich mich aber sehr gut dran erinnern, das fordern wir in so gut wie jeder Stellungnahme, wenn es wenn es irgendwo auf das BSI kommt und zwar insbesondere habe ich das in der Stellungnahme zum IT-Sicherheitsgesetz äh formuliert. Ich will nochmal ganz kurz vielleicht zusammenfassen, warum diese Forderung ähm, existiert. Und zwar, das Innenministerium, ne? Hat ja seinen Fokus auf der inneren Sicherheit und dem Innenministerium und da stehen ja mehrere Behörden unter anderem, jetzt muss ich mal ganz kurz meine Folie raussuchen, die ich dazu habe, äh weil ich das so oft schon gesagt habe, ja. Ähm unter anderem nämlich die Polizeien, ja und das Bundesamt für Verfassungsschutz. Und wenn du, Wenn das deine Interessen sind, dann hast du ja quasi inherend in deinem Ministerium selber. Ein äh einen Interessenskonflikt, der sich eben darin äußert, dass du eben wenn du sagst, du bist einerseits ein BKA, dass irgendwie Leute hacken möchte, Und andererseits ein BSI, was sie dagegen äh schützen möchte, dann äh kommst du eben an so schwierige Interessenskonflikte, die sich dann in dem Fall ja auch darin geäußert haben, dass das BSI, dem dem BKA quasi dabei geholfen hat, den die Command and Control Kommunikation. Des Staatstrojaners abzusichern. Und äh das war also, ne, das das heißt quasi Die eine Lesart ist, dass BSI hat dabei geholfen, einen Trojaner zu bauen, der gegen die Leute eingesetzt wird, das heißt, es hat sich aktiv, Unsicherheit wird beteiligt. Das war damals noch unter ähm Herrn Hanke, mit dem ich darüber auch gesprochen habe, der wiederum die Position vertritt, ähm dass das BSI da im Rahmen seiner seiner Aufgabe gehandelt hat, weil, Ähm ne, der der Staatstrojaner ja quasi ein richterlich angeordnetes, eine richterlich angeordnete Maßnahme ist, deren Absicherung, eher im Aufgabenbereich seiner Behörde sieht, ja? Denn so also diese Position hat.

Und wenn es vom Staat kommt, dann kann das ja nicht falsch sein.

Genau, der konnte das aber sowieso, der musste aber auch diese Position haben, weil er sich da nicht wirklich sinnvoll gegen wehren konnte, weil er eben dem, äh, weil das BSI eben den Anweisungen des Innenministeriums, unterliegt. Und genau diesen Konflikt, dass also ein ein BSI zum Beispiel eine Warnung. Rausgeben oder nicht rausgeben kann oder eine Handlung voll führen oder nicht verführen kann und dann immer nochmal den den Abwickungen des Innenministeriums unterliegt, das, Geheimdienste und Polizei ebenfalls kontrolliert oder ähm äh den den. Ähm Geheimdienste und Polizei ebenfalls unterliegen. Ähm das kritisieren wir seit langem und fordern äh deswegen, dass das BSI eine ähm. Eine eigenständige Behörde ist, die quasi dann in im Zweifelsfall, in Konkurrenz treten würde und nicht äh, oder eben in in Konfrontation gehen könnte überhaupt. Und das ist hier leider nicht der Fall, ne? Ich habe das mal in meine Folie dazu, das war ein Vortrag beim Camp zweitausen.

Fünfzehn.

Fünfzehn wahrscheinlich und äh, Na ja, also die Polizei ist hauptsächlich damit bevor der beschäftigt, die Vorratszeiten Speicherung zu fordern das Bundesamt für Verfassungsschutz ist beschäftigt damit irgendwie Nazistrukturen aufzubauen, Journalisten zu verfolgen und Akten zu schreddern und, der BND will viereinhalb Millionen Euro zum Kauf von Zero Days haben, und das BSI möchte für die Sicherheit der Bürger sorgen, ne? Also das ist irgendwie so, das sticht da so ein bisschen raus, dass BSI aus dem aus dem Portfolio des des Bundesinnenministeriums. Ja, also die Forderung ist da, Ich sehe aber wirklich, also mir ist nicht bekannt, dass die in die Nähe von Erfüllung gerade wandern würde oder sowas. Vielleicht habe ich da auch was übersehen. Ich würde mich sehr freuen, ist mir aber ähm.

Ist aber auf jeden Fall eine Forderung, die man auch für künftige Wahlkämpfe stehen ja grad mal wieder welche Arten durchaus auch mal wieder in die Runde schmeißen kann. Ich halte das auch nicht für komplett, un äh umsetzbar. Also ich sehe jetzt auch nicht, dass dass da Eine breite politische Strömung sich da generell gegen ähm versperrt, sondern dass das halt einfach auch noch nicht so richtig klar geworden ist, dass das vielleicht mal eine ganz sinnvollere Maßnahme wäre, die auch äh erwägt werden kann, ist ja auch jetzt auch nicht so, dass es keine Behörden gibt, die äh entsprechende Freiheiten auch haben. Auch wenn ich sie jetzt nicht aufzählen kann. Selbstverständlich.

Bundesdatenschutzbeauftragte kann wohl leider nichts mehr machen, keine weiteren Rechte.

Da ist ein anderes Problem. Also wo ein Wille ist, ist auch eine unabhängige Behörde.

Aber da war übrigens auch diese diese Forderung gab's ja dann, wenn ich das jetzt richtig im Sinne auch längere Zeit, dass wir die äh Datenschutz, den die Bundesbeauftragte für Datenschutz und Informationsfreiheit als eigenständige unabhängige Behörde haben wollen und sie es dann irgendwann tatsächlich auch mal wurde. Und vorher nicht war.

Stimmt. Richtig, war ja auch beim Innenministerium angesiedelt.

Wenn ich das richtig äh.

Ja so glaube ich, da liegen wir jetzt gerade mal richtig ausnahmsweise. Ja, also.

Und wenn nicht, werden wir es ja äh erfahren.

Ja. Aber was haben wir ja auch hier aufgebracht hat uns auch richtig ist einfach diese Situation, dass die Bundeswehr halt sich eben nicht mehr aus der breiten Bevölkerung automatisch oder zumindest so halbautomatisch zusammensetzt, ist natürlich ein Problem. Und ähm ich weiß ehrlich gesagt auch nicht, ob das so. Eine gute Idee war. Ich weiß, da kann man auch anders drüber denken, aber jetzt haben wir, Zumindest genau diese Situation und selbstverständlich wäre es sinnvoller, dass äh Leute, die jetzt sagen wir mal, Plan haben und auch willig und bereit und in der Lage sind dem Starter vielleicht auch IT-Technisch unter die Arme zu greifen, dass die natürlich mit 'ner Behörde, eben so aufgestellt ist, wie wir das im Prinzip eben schon äh anfänglich skizziert haben, die sich also wirklich, primär aus, äh vielleicht sogar auch ausschließlich um die Sicherheit der Bürger kümmert und das war's und anderen Behörden gegenüber keinerlei automatische Hilfsverpflichtung hat, Das wäre sicherlich ein Akt, um dort die äh Personaldecke schneller zu füllen, als das jetzt vielleicht der Fall ist. Gut. Dann gab's äh wieder viel Security Klimbim auf internationaler Ebene.

Ich fand das äh also es war ein großes Spektakel, die Shadow Brokers haben ähm also wieder ein paar Exploids Release, Shadow Brokers waren ja diejenigen, die ähm, NSA. Dinge hatten, ja? Also äh Exploids und ähm Kommanden Control, Skripte und ähnliche Dinge. Und eigentlich nur immer Teile davon oder anfangs ein Teil davon released haben und Geld haben wollten und gesagt haben, hier mach mal eine Bitcoin-Auktion, dann releasen wir die oder so. Ähm, wo schon ein bisschen klar war, dass diese Bitcoin-Aktion eigentlich so ein bisschen utopischen Preis hatte und nicht damit zu rechnen war, dass die tatsächlich zum zum Ergebnis kommt oder so und das äh man hat sich lange man konnte lange darüber spekulieren, Wer sich denn dahinter verbirgt und was denn da los war. Ich hatte ja schon relativ früh die äh Hypothese geäußert, dass das, nicht von irgendwie befallenen Systemen kam, was dort beim beim ersten League war, weil er eben auch Erklärungen und Anleitungen und sowas dabei waren und das zieht sich jetzt so ein bisschen weiter und die haben jetzt äh vor ein paar Tagen, Ähm acht äh Zero Day Exploids veröffentlicht, die man jetzt die dann irgendwie als Zero Days bezeichnet wurden, die alle äh Versionen von Windows sieben und ihren Server, Varianten ähm abwärts betrafen, also alles unter Windows sieben.

Also alte Scheiße.

Ja die aber durchaus noch im Einsatz ist.

Aber im Prinzip auch schon okay die mögen neu sein, aber für halt Systeme, die jetzt schon.

Es waren glaube ich noch mehr da drin, aber ich spreche jetzt nur über diese Windows äh Sachen. Ähm die also nicht öffentlich bekannt waren, Und dann war es ein großes Trara, weil dann nämlich teilweise Leute anfingen ähm auf Twitter zu verbreiten, dass sie das jetzt auf irgendwelchen VMs geprüft hätten mit aktuellem Patchstand, Windows zehn die Exploister dennoch funktionieren würden und das also ne also ein Zero Day Explore heißt ja Zero Day, weil es quasi null Tage seit der öffentlichen Entdeckung gibt mit anderen Worten ein noch nicht gefixter Exploid. Das heißt er bezieht sich auf eine Sicherheitslücke die auch draußen in der freien Wildbahn noch existiert und von der niemand weiß.

Oder zumindest gegen die noch niemand eine nennenswerte Maßnahme ergriffen hat, sie zu fixen.

Und. Das war dann natürlich sehr beunruhigend und gab's dann irgendwie auf Twitter eine große oh mein Gott, oh mein Gott, äh jetzt werden wir alle geornet werden mit NSA Exploids, das ist ja krass hier ähm alle haben jetzt auf einmal NSA-Waffen und äh dann stellte sich aber raus, nee, war gar nicht so. Denn ähm im März bereits genau einen Monat bevor die Shadow Brokers die veröffentlicht haben ähm wurden, Diese Schwachstellen gefixt, von Microsoft in Updates und zu diesem Zeitpunkt gab's auch eine irgendwie nicht erklärliche Abweichung von Patch Tues Day. Also die haben ja Microsoft patcht ja immer am Dienstag und der ist glaube ich alle zwei Wochen. Dieser Patch Duis Day wurde um eine Woche verschoben. Sind jetzt so Dinge, die mit denen setze ich mich nicht so viel auseinander, aber das passiert natürlich sehr, sehr, sehr selten, weil die äh Ich meine, wenn sie es einfach nicht in den Patch, ins Zyklus mit reinkriegen, dann tun sie es halt in den nächsten, aber offenbar gab es irgendetwas, was die so sehr beschäftigt hat. Das interessante ist, Daran ist einfach nur, die hatten offenbar wurden die davor gewarnt. Und äh man weiß jetzt nicht genau von wem könnte vom von den Shadow Brokers selbst gewesen sein, könnte von der NSA gewesen sein, Ist unklar, aber das äh auf jeden Fall haben sie laut aktueller Berichterstattung diese äh Wahl Rebilities, die da betroffen sind vorher gefixt und zwar in eine, Das verbunden mit einer unregelmäßigkeit in ihrem Patch Day.

Also hektisch.

Ja oder es haben wir jetzt gerade mal zu einer Verzögerung. Ich denke mal, also ich wenn ich das jetzt richtig zusammenfüge, haben die das halt irgendwie kurz vor ihrem Patch Day gesagt bekommen und haben gesagt, nee, komm, wir verschieben den lieber um eine Woche.

Weil das müssen wir jetzt irgen.

Damit wir das sofort drin haben, weil das sieht so ein bisschen nach Mayhem aus.

Pitch Justan ist übrigens jeder zweiter Dienstag im Monat und manchmal auch der vierte. So lese ich das hier raus.

Ja, alles nicht nicht so meine Welt mit diesem möge mir, äh da die Unkenntnis im Detail.

Ja, das ist ja auch so ein neues Konzept, das ja halt äh gesagt haben, wir machen das jetzt regelmäßig, damit Administratoren sich darauf einstellen können und wissen äh an diesem Dienstag, da ist bestimmt mal was zu installieren, das setze ich jetzt auch mal um. Anstatt, dass man halt die ganze Zeit irgendwas raushaut und das fliegt irgendwie an einem vorbei und so, ah ja, ein Patch mit, keine Ahnung und dadurch schafft man halt so eine gewisse Synchronisation, so einen Zwang zur Aufmerksamkeit ist, vielleicht auch ganz sinnvoll.

Diese Aktion der Shadow Brokers ist natürlich nach wie vor, höchst ravisant, ne? Also man muss halt auch sagen, diese Exploids sind halt bis März waren die halt äh wunderbar äh einzusetzen, ne und wurden auf dieser Welt.

Also wenn die jetzt schon also ich hab's nicht so ganz verstanden, also eigentlich sind Zero Days, aber sie waren trotzdem schon gefixt.

Ja, sie, die sind, es sind nämlich keine Zero Days.

Ja okay, aber trotzdem, wo können sie eben soweit noch.

Bis zum bis zum März waren sie Zero Days, Ähm ich keine Ahnung, ich glaube einfach die Leute, die da auf Twitter behauptet haben, die würden noch funktionieren, auf auf anderen Windows Versionen oder so haben unregelmäßigkeiten in ihren Tests gehabt oder so. Ich weiß nicht genau, was da los war. Es war auf jeden Fall etwas äh verwirrend und, Das Spannende ist natürlich, wer dahinter steckt, die Hypothese, der die meisten Anhängen ist es ein äh gut ausgestatteter Geheimdienst ist, ein verfeindeter Geheimdienst, äh der das äh, Gezielt macht um die um die NSA eben zu schwächen. Ja, also so, Natürlich, das sind jetzt einfach mal acht äh acht Sero Days verbrannt, die sie bis März noch hätten einsetzen können, Die haben ja auch einen Marktwert, die haben eine, die braucht man, die muss man erstmal finden suchen zum vernünftigen Gangbaren Exploid ausbauen. Da wird halt ein bisschen Geld verbrannt. Das ist die eine Sache davon. Der andere Teil ist, dass. Durch diese Veröffentlichung nun andere in der Lage sind zu sehen, ob die bei ihnen zum Einsatz gekommen sind. Ja, also das ist ja das äh das eigentlich spannende in dem Moment, wo du sagst, hier das sind äh Indicaters of Compromiz, voll für ein Angriff von der NSA. Das heißt, da werden jetzt irgendwo, bestimmten Hochsicherheitsbereichen werden Leute sich die ganze Zeit diese Shadow Brokers Sachen anschauen, die irgendwie testen, prüfen, gucken, ob sie irgendwelche Spuren von deren Einsatz in ihrem System finden und ähnliches, oder sie haben einfach wieder zu viel zu tun und kommen leider einfach nicht dazu. Was äh leider auch öfters mal der Fall ist.

Gut. Dann schreiten wir voran und wenn hier diese Seite scrollt, dann weiß ich auch worum's geht. Es geht um das.

Telefonkommunikationsgesetz.

Telekommunikation, TK Gegner und die Änderung äh des TKG.

Ja, da, das, das ist jetzt irgendwie relativ kurzfristig und unterm Radar rumgeflogen, das wobei wir jetzt sprechen wurde, bereits Ende März relativ still und leise im Innenausschuss äh durchgewunken wird dann jetzt äh in der nächsten Sitzungswoche am siebenundzwanzigsten April kurz vor dreiundzwanzig Uhr ähm vom Plenum durchgewunken werden, wie es schön beschrieben ist. Ähm, wenn man von solchen Gesetzen redet, dann weiß man natürlich schon immer, okay, da da riecht's, da riecht's, ne, wenn das irgendwie still und leise aus dem Hut gezäubert, gezaubert wird, Müffel, ne? Nachts nachts um dreiundzwanzig Uhr mal eben schnell durch ohne großes Tamtam. Das riecht nach Heiko Maas. Ist er halt. Ist aber eben, ne?

Müffelt nach Maß.

Ähm die schwarz-rote Koalition hatte sich in den Koalitionsverhandlungen ausdrücklich gegen das Einsetzen der Technik, Packet ins Paction eingesetzt. Und das ist auch der Grund, warum ich das Thema hier so drin habe, weil wir ja letzte Woche schon darüber gesprochen haben, also aufhören. Content oder Protokollebenen in den Datenverkehr reinschauen, um auf dieser Basis zu filtern oder zu bloggen oder irgendetwas anders zu machen. Und in diesem, in dieser Änderung des TKG werden die Steuerdaten zur Analyse freigegeben, die man vorher noch deutschem Recht nicht analysieren darf. Ähm das wäre eben eine fünf im Osi. Tim möchtest du nochmal die Osi Zwiebel erklären? Das kannst du so gut. Timme ist der erste, der sie mir mal so erklärt hat, dass ich mir da einfach auch mal merken konnte. Du hast es auf jeden Fall sehr gut, mal irgendwann abends in der Seebase äh erklärt.

Ja, okay. Weil ich mache das ja eigentlich ganz gerne. Bin jetzt ein bisschen äh kommt jetzt ein bisschen überraschend. Also grundsätzlich ist halt das Osi-Modell ein Abstraktionsmodell für Netzwerkkommunikation, um einfach äh Prinzip der der Kommunikation zwischen potenziell unterschiedlichen Systemen zu erläutern. Man packt halt seine Daten wie du schon so schön gesagt hast, so ein Zwiebelschichten äh äh System ein. Und man kann sich das immer am besten finde ich vorstellen, wenn man irgendwie die Daten dann auspackt, so wenn die dann halt, übers Netz gehen, dann ist sozusagen die unterste Schicht am Werken und wenn dann Genaueres darüber herausgefunden werden soll, was denn nun mit diesem Paket äh auf sich hat, dann nimmt man das Päckchen halt immer weiter auf, Die dritte Ebene ist normalerweise sozusagen diese Netzwerkebene, das ist so das IP, von dem immer alle reden die vierte Ebene, die findet im Wesentlichen schon äh am Empfänger äh statt und sagt also erstmal so grob in welches Programm das jetzt reinzuschießen ist, die fünfte Ebene ist ja die sogenannte, Session Lair. Das ist eigentlich schon sehr vage definiert generell. So das kann irgendwie alles möglich sein. Viele Protokolle haben auch wie sowas gar nicht so richtig drin, so. Meistens ist es so, wenn's beim Programm ist, dann wird das halt irgendwo reingestopft und dass da halt wirklich nochmal nennenswerte Zwischenprotokolle etabliert werden. Ähm, das, das findet man eben nur in manchen Protokollen. Deswegen finde ich das gerade so ein bisschen strange, dass sie das jetzt hier auf Gesetzesebene äh festlegen wollen, weil das eigentlich sehr äh schwammig ist.

Session heißt die die Verbindung, die da stattfindet, eine Form von Kontext hat. Hm?

Ja, das sind so.

In diesem Kontext schickt man sich Dinge hin und her oder oder hält oder lädt nochmal was nach, ne? Man kann eine HTDP Session haben.

Ja, du kann.

SSH Session haben.

Sowas zum Beispiel, ne? Also da über die eigentliche technische Verbindung nur eines reinen Datenstroms liegt die Session äh Geschichte sozusagen nochmal noch so eine eine Anwendungsabhängige Verteilung. Das kann halt jetzt alles möglich sein, so Multiplexer Systeme et cetera aber ähm, Da gibt's wirklich wenig gute Beispiele, es gibt so Printaprotokoller und so weiter, wo man das irgendwie hat. Also da bin ich jetzt nicht ausreichend vorbereitet und zu gute Beispiele zu machen.

Sagen wir mal.

Das wird auch alles sehr äh technisch jetzt.

Also DPI wird jetzt auf jeden Fall soll nun zugelassen werden, wann denn, ne? Ähm und zwar dürfen diese Informationen in minimalem Umfang erhoben werden und müssen unverzüglich gelöscht werden, Sobald der Zweck der Erhebung erreicht sei. Datenschutzbeauftragte, Bundesnetzagentur und die Betroffenen seien über derlei Maßnahmen in Kenntnis zu setzen. Was ja erstmal ganz ähm ganz sinnvoll klingt. Zugleich will die große Koalition ähm es gestatten, Datenverkehr bei vorliegen einer Störung einzuschränken, umzuleiten oder zu unterbinden. Und das sowohl zum Schutz der eigenen Systeme als auch zum Schutz derer des Nutzers. Und, Was ich daraus lese, ich das ist hier so sehr verklausuliert, aber wenn man sich mal anschaut, was hat den Leuten denn in letzter Zeit Kopfschmerzen gemacht, ne? Das könnten dann zum Beispiel die Nile of Serviceangriffe sein. Das könnten. Bleiben wir einfach mal bei oder Trojaner Angriffe, die dann oder Trojaner, die zu einem bestimmten Kommand in Control-Server gehen. Wenn man sich jetzt diesen Telekom-Hack mal als Beispiel nimmt. Ähm oder oder so einen klassischen Routerangriff, ne? Da hätte man einfach einmal beides drin, eine Infektion. Ah, es kommt ein Datenpaket an, dieses infiziert den Rechner, oder oder schafft eine Code Executition diese Cordex Secution lädt den Trojaner nach, dann ist er installiert und dann macht der Command in Kontrollkommunikation und fragt, was er machen soll und kriegt dort gesagt, mach mal Dedos irgendwo anders hin und dann gehen Dedos-Pakete, All das könntest du, kannst du ja im Netzwerk relativ problemlos Finger printen. Die eingehende Verbindung ähm mit dem Exploid war, unverschlüsselt, das heißt, da könntest du relativ einfach nachfiltern. Die ähm ausgehende Verbindung der Download dann zum um den um die Playlote nachzuladen, war eine relativ klar definierte ausgehende Verbindung. Die könnte sie auch sperren, dann verbindet er sich mit dem Command Control Server, das kannst du ebenfalls sperren und wenn er dann ein Dinal of Serviceangriffe macht, kannst du den ausgehend sperrend oder sperren oder wenn er bei dir ankommt, eingehend sperren und sagen, diese Form von UDP Paketen ähm lassen wir heute mal nicht zu. Und ähm. Es ist schon so, dass man.

Was aber dann eher Lea, vier wäre.

Kommt drauf an. Es gibt ja auch äh sowas wie Hashtos oder sowas, so ähm De Nil of Serviceangriffe, die ähm. Oder was gibt's oder keine Ahnung, du könntest die Neile, du kannst ja auch zum Beispiel in Denals auf, das ist ein schönes Beispiel. Machst du die Nine of Serviceangriff auf eine Webseite, Der dadurch funktioniert, dass du die Datenbank überlastest. So mache ich das zum Beispiel immer. Ne? Also du machst eine, du machst eine Suchquery.

So machst du das immer.

Du du suchst dir eine Suchcurry aus, die zu möglichst vielen Ergebnissen führt? Deswegen werden Such-Currys gerne auch mal auf 'ne Anzahl Zeichen begrenzt, damit du nicht einfach nach das suchen kannst oder S. Oder isst, weil ist kommt in jeder Seite vor und dann muss die Datenbank.

Ja, such mal nach I.

Ja genau, such mal nach E, also das sollte man möglichst nicht zulassen, ne, dann dann muss man einfach nur immer sagen, such mal nach, such mal nach, such mal nach E, dann kommt immer sehr viel sehr viel Ergebnis, dass die Datenbank zurückliefert und dann kriegt man die äh überlastet. Und in dem Fall hättest du ja ein, Wenn du den verteilt machst diesen Denal auf Serviceangriff, hättest du etwas, was du sinnvoll nur blocken kannst, wenn, du weiter reinguckst in die Pakete und schaust, ob da zum Beispiel äh ob die auf die Suche selber gehen, ne? Und das wäre ja dann aber schon im höheren Leyjahr. Ich will nur sagen, um solche Angriffe zu filtern, sind das schon, Adäquate Maßnahmen, die in der, wenn du jetzt ein Unternehmen verteidigst gegen Angriffe oder ein Netzwerk, regelmäßig Anwendungen finden in deinem eigenen Berei.

In deinem eigenen Code vor allem auch, ne.

In deinem eigenen Code, in deinem eigenen Bereich.

Aber hier ist natürlich jetzt weniger von dem eigenen Code die Rehe und ich hab grad so die ganze Formulierung diese Formulierung die die ich da jetzt gerade in unseren Notizen sehe wo kommt die so her? Ist das.

Die.

Du das geschrieben oder steht das genau so da.

Zeichen ist.

Dieses die fünfte Ebene ist bla bla bla von der Zwischenstufe getrennt, dass er.

Das ist das ist glaube ich aus dem heißer Artikel.

Ah ja, okay, gut. Ähm. Sagen wir mal so, äh Entschuldigung, dass ich da jetzt so so schwimme, aber äh dieses mit den Lehrern, also, Eins, zwei, drei, vier, relativ klar definiert, da weiß man ziemlich genau, da ist kann man kann man sehr klar argumentieren, was das ist. Ab fünf wird's schwammig. Und solche Unter.

Ist dann eigentlich wieder klar. Application leer.

Ja und acht.

Ja

Der User. Also fünf, sechs, sieben, acht äh fünf, sechs, sieben Das ist sozusagen der Teil der Software, die sich eigentlich in den Anwendungen abspielt und nur wenn die Anwendung selber mit Logik äh vorgeht oder irgendwelche Systemframeworks benutzt oder sowas, dann könnten im Prinzip solche Sessionlayer oder Präsentation Layer tatsächlich auch als solche wirklich zum Einsatz kommen. Die sind aber von außen nicht sichtbar, Und wenn du quasi jetzt sagst, auf Netzwerkebene, in so einer Traffic-Analyse in so einer Überwachungssituation, ist der Zugriff auf die fünf gestattet, Dann heißt das so viel wie du darfst reinschauen. Und du siehst aber dann nicht nur fünf, sondern du siehst halt alles und deswegen ist das eigentlich eine relativ freche Formulierung, die so überhaupt gar keinen technischen Clan Bezug hat, wo man sagen kann, ach ihr wollt ja nur bis zur fünf, das ist ja schön, ab sechs fängt ja unsere Verschlüsselung an, äh da sind wir ja sicher vor, so äh so so funktioniert das irgendwie nicht.

Ja, da hast du, also das finde ich gut, das, das siehst du genauso wie ich, weil ich dachte so, hä, fünf, das kriegst du eigentlich nicht sinnvoll getrennt und mein Verdacht ist einfach, dass sie gesagt haben, wenn man's eh nicht sinnvoll getrennt kriegt, ne, dann sagen wir doch lieber.

Wir schauen ja nicht, wir schauen ja gar nicht in ihre Anwendungen rein. Wir schauen ja nur in den Session Layer.

Dann sagen wir es klingt am besten.

Aber das ist so ein bisschen so wie dein Schlafzimmer ist irgendwie so leer sieben, aber wir wollen ja nur in den Flur, ja? So. Ja, der, der so hinter der Tür ist so, ne? Aber durch die Tür wollen wir halt schon durch. Wir stehen ja nur im Flur rum, sie sind in ihrem Schlafzimmer äh ganz sicher, ne.

Also das wird sich nicht äh das wird sich am Ende nicht aufrechterhalten lassen und nicht erklären lassen, Ähm, dass man sagt, hier wir haben auf Ebene fünf geguckt und das äh wie du schon sagst, ist die auch nicht bei allen ähm, bei allen Angriffen überhaupt relevant. Ähm insofern kann man das, glaube ich, hier als eine Haarspalterei nehmen, die dafür da ist, damit Nerds, wie du und ich, sich lange Zeit darüber unterhalten und sagen, das macht keinen Sinn, Ähm aber. Fakt ist ja eher der Punkt, okay, sie dürfen reinschauen, sie dürfen diese Daten erheben und speichern und sie dürfen Datenverkehr bei vorliegen einer Störung einschränken, auf Fahren leiten, auf Warnseiten umleiten oder unterbinden. Und das zu unserem Schutz und zu dem anderer. Bin da wirklich sehr zwiegespalten. Ich ich würde prinzipiell so wie das da steht, würde ich jetzt erstmal sagen, finde ich okay.

Bin ich erst ein Wort.

Finde ich erstmal in Ordnung, ja? Nur die haben sich diese schöne ganze DPI-Hardware nicht gekauft, um am Ende nur das damit zu machen. Und insofern bin ich zwiegespalten, dass das riecht für mich wieder nach so einer wäre den Anfängernummer.

Ja, weil äh hast du die fünf hasse alles.

Ja, das sowieso, aber hier die es sind ja die Zwecke sind ja da, ne? Also möchtest du beispielsweise keine Ahnung. Es gibt ja Fälle weit verbreitete Trojaner, die bestimmte Command and Control Server ansprechen. Und das ist einfach auch bekannt, Möchtest du, dass dein Mobilfunkprovider, Das automatisch erkennen und einfach mal sperrt, um dich aus der, um bei dir den größeren Schaden zu verhindern. Würde man doch eigentlich äh oder dein dein dein dein Internetprovider? Würde man doch jetzt erstmal sich im Zweifelsfall nicht drüber beschweren.

Also ich möchte nicht, dass hier in meiner äh fünften Ebene rum vorwerken. Haben die nichts zu suchen? Das ist. Privatsphäre beginnt es bei der Fünf. Gut, wir stochern im äh im Mist.

Ja, ich, also es ist schwierig. Ich mein Problem ist eher, dass sie immer wieder sowas dann am Ende ausweiten werden und dann sagen, ja, jetzt haben wir doch eh hier DPI und für die Sicherheit dürfen wir das doch auch schon einsetzen und wenn wir das jetzt noch dafür einsetzen, dass der Kunde besser Netflix gucken kann, dann ist das doch auch im Interesse des Kunden und schwuppdiwupp ist der Damm mal wieder gebrochen. Das ist so ein bisschen das, was ich hier eher äh leider befürchte, auch wenn ich aus meiner. Erfahrung im IT-Sicherheitsmonitoring und so natürlich andere einen anderen Blick auf die. Möglichkeit solcher solcher Filter und Analysen habe, ähm wenn es darum geht, eine Infrastruktur zu verteidigen.

Ja, man muss dazu auch immer wieder sehen, so diese diese Schichtenmodelle, das sind halt im Prinzip abstrakte, informatische Konzepte, das war jetzt niemals gedacht, um irgendwie so eine klare äh Trennung im Hinblick auf Security, im Hinblick auf äh Privatsphäre oder andere äh damit verwandte Dinge zu schaffen. Äh das ist jetzt hier kein religiöses Buch, was man da aufschlägt und sagt, irgendwo, die fünf Finger weg, sondern ähm das sind so Konzepte und jetzt versucht man halt anhand dieser Konzepte irgendwas zu definieren, was ich wahrscheinlich so ohne Weiteres gar nicht so definieren lässt. Es bleibt schwierig.

Ja. Na ja. Aber dann haben wir jetzt äh haben wir jetzt unser DPI ab siebenundzwanzigster April kurz vor dreiundzwanzig Uhr. Äh.

So und dann ist der Wahlkampf.

Es ist Wahlkampf und ähm in den letzten Monaten haben ein waren auch alle hier schon zu Gast, ne? Ähm nicht alle, nicht alle. Schade, müssen wir die anderen mal einladen.

Wer war alle zu Gast.

Äh zwei der der Leute, die die Analyse gemacht haben. Ähm aber es gibt mehr Personen, Es ist ein und zwar haben sich der Tagesspiegel Data, Ähm und oder das Tagesspiegel Data Team und äh Netzpolitik Ork zusammengesetzt und sich mit äh der AfD auf Twitter auseinandergesetzt. Und ähm das äh Tagesspiegelteam, besteht aus oder dieses gesamte Team besteht aus ich scrolle hier gerade, ah ja genau. Henrik Lehmann, Lisa Charlotte Rost, Maria Fiedler, Markus Reuter und Michael Kreill und die letzten beiden Namen äh sind den den treuen Hörerinnen, hier bekannt.

Oder sollten sie zumindest sein?

Markus Reuter bei Netzpolitik Ork Redakteur Michael Kreill, ehemals Open Data City und bei uns auch schon zweimal zu Gast gewesen. Und die haben äh Michael Kreil und so sein Team oder seine ja sein Team machen ja so Datenvisualisierung, Datenanalysen und die haben sich vor ein paar Monaten hingesetzt und haben gesagt, okay, wir wollen mal so ein bisschen was auf Twitter uns anschauen. Und dann konnte man denen seinen Api-Token spenden. Das erinnert wiederum an äh diesen Wie ist das denn? Wie ist nochmal dieser The Counter? Der, der, wo den diese türkische äh Hackergang da aufgenommen hatte und dort die ganzen ähm Authentification Talkens rausgeholt hatte, um damit unter anderem im Namen von Boris Becker, gegen die Nazideutschen zu zu, zu wettern, die den Türken den demokratischen Schritt in die Diktatur madig.

Frechheit.

Ähm das haben die quasi auch gemacht. Und ähm weil das brauchen sie, weil wenn du auf Twittern von der AP API dir Daten holen lässt, dann hast du quasi so ein Limit, du darfst nur so und so viele Anfragen pro Zeiteinheit machen und deswegen brauchten die halt mehrere Accounts. Und was sie gemacht haben, ist, sie haben AfD, Accounts und ihre Follower, scraped. Also die Daten immer wieder aus der AP ausgelesen und gesagt, okay, ah jetzt haben wir hier den ähm wir gucken uns jetzt diesen AfD-Account an. Wer folgt dem denn? Ja und dann kannst du die Follower ausgeben lassen, kriegst aber natürlich nicht alle, sondern nur einen Teil und dann fängst du für jeden Follower wieder an und guckst dir an, was der für eine äh was der zum Beispiel in seiner Twitter-Bio hat und wie vielen Leuten der folgt oder so, ne? Und das haben die ein paar Monate, hm, ein paar Monate lang gemacht, weil sie da eben. Von vielen Leuten. Ich glaube so neunzig Leuten diese Apikies gespendet bekommen haben.

Ja, verstehe also verteilt.

Ja, das war halt das ist ja immer, also das finde ich bei Michael Kreis Aktion immer ganz cool, dass er immer mal wieder so eine Crowd Geschichte mit dabei hat, oder? Weil jetzt so die Sache, ey, gibt uns doch mal hier äh autorisiert mal unsere Twitter-App für euren Account. Da brauchst du halt dann auch Leute die dir vertrauen, Das äh das kann eben auch ins Auge gehen, weil man eben bestimmte Zugriffsrechte auf den äh Account damit gibt.

Aber wenn man nicht kreativ ist, dann kommt man halt auch nicht zum Ziel und da äh halt äh Herr Kreil auf jeden Fall schon immer gut Punkte gesammelt bei uns.

So und da haben sie jetzt irgendwie sich angeschaut, wie wie die AfD, äh twittert. Und haben dann zum Beispiel so eine Fake News Kampagne sich angeschaut, ne? Also irgendwie die das ist eine Reihe von Accounts gab, die behauptet haben, dass Auswärtige Amt habe vor Reisen nach Schweden gewarnt. Er hat's, Und äh das das war irgendwie wohl in diesem ähm.

Schweden, wo ja auch wieder letzte Nacht, also es war ja unglaublich. Unfassbar. Hm.

Boah letzte Nacht nicht. Boah hör mal, hör mal äh und ähm. Dann äh gab es eben die die richtige Variante davon war, dass diese äh dieser Reisehinweis über ein Jahr alt war, Das haben sie so ein bisschen analysiert ähm und äh vor allem sich auch angeschaut. Die fünfzig Top-Parteienmitglieder je Partei und wen sie wiederum Reduzen. Und ähm.

Talking About Blase.

Genau, da siehst du nämlich, Die Größe der Kreise entspricht der Häufigkeit mit welcher der jeweilige Account retwietet wird und dann siehst du so diese Parteien angeordnet, Linke, Grüne, SPD, CDU, FDP und ganz relativ außerhalb davon, gibt's dann so einen Schweif, der der AfD, die da irgendwie so ein bisschen im eigenen. Im eigenen Saft schmort. Ähm dann haben sie auch analysiert, welche Medien denn die AfD so über Twitter verbreitet und auch das ist sehr, sehr interessant, was die AfD am meisten über, Twitter ähm verbreitet ist die junge Freiheit. Das ist so ein relativ, Rechtslastiges Magazin und ähm, Die war vor Jahren wurde die mal in der vor der HU verteilt. Da habe ich ja irgendwie Also da habe ich irgendwie gedacht, ach so und ich habe das irgendwie so gegriffen und dachte, es wäre die junge Welt. Weil ich irgendwie nicht so, er hat nicht so ganz drauf geschaut und mir kam irgendwie nicht der Gedanke, dass sie irgendwie so ein.

Mhm.

Naziblatt da verteilen würden und dann las ich irgendwie diese, hatte eine eine Stunde Zeit und legte mich irgendwie in den Gartenfinger an die Zeitung zu lesen und dachte.

Dachte mir die Welt hat.

Hör mal, was ist denn hier los? Junge Welt, neues Deutschland und Postilion werden äh eher von den äh von den Linken vertwittert, was ich sehr schön finde, und äh ja, also junge Freiheit, BZ Berlin, Fokus und Bild und Welt und das sind so die, die Dinge, die die AfD. Verteilt. Ich will jetzt auch nicht jede Analyse hier einfach schon vorwegnehmen, weil das sehr schön ähm sehr schön visualisiert ist und das sollte man sich auch einfach mal anschauen. Vor allem, weil es auch noch so, viel Interaktivität hat, was aber noch spannend ist, ist, dass sie in einem weiteren Artikel, dass jetzt eine Artikelserie losgeht, sich ein Account mit dem Namen Balerina anschauen. Und das ist mit fast dreihunderttausend Followers, der vermeintlich Reichweiten stärkste AfD-Nahe-Account. Und da haben sie sich mal angeschaut wie also einmal so die Hinter den Hintergrund dieses Accounts das ist diese Ballerina dieses vorgegeben hat früher Irina zu heißen und siebzehn zu sein und Deutsch-Russin zu sein, dass wahrscheinlich nicht der Fall ist, sondern dass da eher so ein mehrere AfD Supporter irgendwie sich den Count teilen und den irgendwie pushen, und ähm gleichzeitig haben sie festgestellt, dass dieser Account unter seinen dreihunderttausend Followern irgendwie neuntausend, hat die Deutsch als Sprache angegeben haben mit anderen Worten, der verdacht liegt dann schon relativ nah, dass äh, die restlichen, Zweihundertneunzigtausend Follower, eher ähm für zehn Euro achtzig im im Darknet gekauft wurden, um diesen Account quasi eine größer wirken zu lassen und einflussreicher wirken zu lassen.

Als den Lokboot Letzpolitik.

Genau. Gleichzeitig haben sie dann die Follower wiederum ähm analysiert und haben festgestellt, dass die Follower auch wiederum mehr anderen Leuten followen, Und festgestellt haben, dass dann mal mit mit Netzpolitik, mit Erdnetzpolitik äh verglichen, weil die, weil dieser Account irgendwie dreihundertfünfzigtausend Follower hat und dann festgestellt, dass die Follower von Endnetzpolitik in der Regel einhundert bis tausend Accounts folgen. Und die Follower von Ballerina folgen irgendwie dreieinhalb bis fünf oder zehntausend.

Ist alles so Eierkorns.

Ja, es sind im Zweifelsfall dann eher Accounts, die nicht dafür genutzt werden, dieses ähm dieses Netzwerk ernsthaft, zu nutzen.

Schon lange eine Forderung von mir die ich die vielleicht auch irgendwo schon mal mit irgendwelchen Tools umgesetzt wurde, aber die ich eigentlich auch ganz gerne mal bei Twitter selber sehen würde, dass man eben genau diese Gewichtung, nicht nur wie viele Leute folgen dir. Sondern wie viele Leute folgen denen, die dir folgen? Ja?

Ja

Also haben die Leute, die dir folgen Relevanz, dass man das in so eine, in so eine Gewicht, eine so eine Gesamtgewichtung mit reinbringt. Und dann sozusagen daraus so einen koffizienten.

Ja, du, du möchtest Relevanzkriterien.

Mehr als nur dieses einfache folgt mir so. Ich meine, das lässt sich natürlich dann letzten Endes genauso äh faken, ist aber dann halt auch irgendwann äh genauso schwierig.

Würden die Botthörder aber auch hinkriegen, ne? Also. Insofern diese Analyse.

Ich trotzdem mal geil. Ja, mir folgen zwar nicht so viele Leute, aber es sind alles die.

Das sind alles Influencer.

Alles Influencer richtig.

So, aber dieser Ballerina, dieser Ballerina-Account kann man, glaube ich, abschließend festhalten, ist wirklich keine ähm, kein Influencer äh sondern eher ähm ein Scheinriese mit ein paar tausend echten Followern. Und das war finde ich, also es ist einfach mal wieder schöne, schöne Analysearbeit. Ich muss mich ja so oft mit irgendwelchen, Journalisten auseinandersetzen, die irgendwie bei Twitter die und in Social Bots den Untergang. Wittern und da finde ich das sehr schön, dass hier mal so, mit ordentlicher Datenanalyse einfach mal so ein bisschen geschaut wurde und gesagt wurde, was Christina. Es wurde auch so ein bisschen mit den Hintermännern des Accounts gesprochen Und so, also es ist schon ganz, ist eine ganz schöne Sache. Deswegen bin ich auch nicht alle spoilern, sondern dazu empfehlen bei uns in den Shownotes auf die beiden Links zu klicken, der Stories, die es bisher erschienen sind und auch die zukünftigen äh zu zu lesen und wenn ihr äh wenn ihr wenn ihr.

Weitere Details zu dem Artikel bei dem fünften.

Wenn ihr den den Frovo Code äh Logbuch eingeb.

Wird euer Streemound-Account nochmal irgendwie umfallen, das Kilo bald aufgeladen.

Dann haben wir als nächstes Thema. Eine schriftliche Anfrage an das Abgeordnetenhaus Berlin, die eine Antwort bekommen hat. Und zwar erinnert ihr euch ja sicherlich, dass wir in der letzten Sendung über die Software IV Elect gesprochen haben.

Die tollen Balkomputer.

Die aus Zählsoftware, ne? Die.

Wahlcomputer.

Die in den Niederlanden geprüft wurde mit katastrophalen Ergebnis und dann irgendwie sofort ähm eingedampft wurde und wo der, Wo in Deutschland jetzt erstmal nicht drauf weiter drauf eingegangen wurde und wir als CC dann um eine Datenspende gebeten haben, Das Thema hat natürlich auch andere beschäftigt und da hat der CDU Abgeordnete Dani Freimark am vierundzwanzigsten März ähm. An das Abgeordnetenhaus Berlin eine schriftliche Anfrage gestellt und hat gesagt ähm bei welchen Wahlen wurden mit der fraglichen Software IVU Ilec Wahlergebnisse in Berlin überprüft, aufbereitet und, präsentiert und soll diese Software auch zur Bundestagswahl am vierundzwanzigsten September zweit zweitausendsiebzehn eingesetzt werden. Antwort Im Zusammenhang mit der Durchführung der Wahlen zum Abgeordnetenhaus zweitausendsechzehn in Berlin wurden die mobile auf Dimobo Module, Aufbereitung sowie Präsentation der Software erfolgreich eingesetzt. Es ist vorgesehen, die Software zur Wahl zum deutschen Bundestag zweitausendsiebzehn in Berlin mit den Modulen Erfassung, Aufbereitung sowie Präsentationen einzusetzen. Dann, welche Erkenntnisse hat der Senat zu den Sicherheitsrisiken beim Einsatz der Software, dem Senat liegen keine Erkenntnisse zu Sicherheitsrisiken beim Einsatz der Software vor.

Also die haben diese Sendung noch nicht nachgehört.

Ja haben die. In den Niederlanden wurde die Nutzung der Software verboten, war dies dem Land Berlin bereits vor dieser Anfrage bekannt. Dem Senat war das Verbot vor dieser Anfrage bekannt, Nachdem in den Niederlagen eine Sicherheitsüberprüfung stattgefunden hatte, wurde das Nutzungsverbot, vor der Wahl wieder zurückgezogen. Die Software wurde dann landesweit für die Erfassung Aufbereitung und Veröffentlichung der Wahlergebnisse eingesetzt, die in den Niederlanden für Wahlen zuständige Stelle, Türkisrat ähm beabsichtigt die Software auch zu den im März zweitausendachtzehn bevorstehenden landesweiten Kommunalwahlen einzusetzen. Vierte Frage, teilt der Senat die Sorge, dass die Verwendung der Software Zweifel an der Integrität der Bundestagswahlen, aufkommen lassen könnte. Nein. Die Software IVE Elect wird auch im Umfeld des Bundeswahlleiters eingesetzt, das Umfeld des Bundeswahlleiters unterliegt der Kontrolle des Bundesamtes für Sicherheit in der Informationstechnik. Da haben wir sie wieder, Die Übertragung, dann die die Übertragung der Wahlmeterdaten einschließlich der Auszählergebnisse erfolgt über ein verschlüsseltes Datennetz. Da haben wir wieder die, da haben wir wieder die, die Frage nach den nach den Layern, ne?

Ja genau, auf welcher Ebene seid ihr denn verschlüsselt? Player sechs.

Und die der für den Einsatz der Software IFAU Elect ist eine Reihe von Tests unter den Aspekten der IT-Sicherheit vorgesehen. Die Testergebnisse so wie der Quellcode der einzusetzenden Software werden nach dem Grundsatz Sicherheit durch, Geheimhaltung nicht veröffentlicht. Oh Mann, da sind einfach alle Fehler drin. Alterssicherheit durch Geheimhaltung bei der Software, die unsere Wahlen auszählen soll.

Tja, also das ist äh der Grundsatzsicherheit durch Geheimhaltung. Ja, das ist äh was schreiben die sogar rein.

Rest de Shirt, der öffentliche Dienst des Landes Berlin ist verpflichtet nach den Vorgaben des BSI-Grundschutzes zu arbeiten. Dieser findet auch im vorliegenden Fall Anwendung der Bau der Beauftragten Dienstleister und ihre Rechenzentren sind nach Iso siebenundzwanzig null null eins zertifiziert.

Da kann ja nichts mehr passieren. Wenn wir das vorher gewusst hätten, hätten wir das Thema gar nicht äh aufgebracht. Kennst du Iso siebenundzwanzigtausend null eins?

Lache ich mich jeden Tag darüber kaputt. Ich stehe morgens auf und lache bei Iso siebenundzwanzig null null eins.

Aber das liest sich doch ganz gut hier. Ja.

Wer das habe ich hier glaube ich auch schon mal erzählt, ne? Mit also mit Iso siebenundzwanzig null eins nach Iso siebenundzwanzig null null eins zertifiziert ist, zum Beispiel keine vollständige Angabe, denn es gibt ja tausend Unterschiede, die du da zertifizieren kannst.

Ist alles modular und Pipapo.

Ein Kumpel, ich habe das hier wahrscheinlich schon mal erzählt, ein Kumpel, der früher als Iso siebenundzwanzig null null eins Auditor gearbeitet hat, hat eben wie gesagt kannst deine Pommesbude, nach Iso siebenundzwanzig null null eins Informationssicherheit zertifizieren lassen. Wenn du den Fokus darauf legst, dass deine Mitarbeiter niemals verraten dürfen, dass du Gammelfleisch verkaufst. So ungefähr das, das bringt dir als Kunde ne, dann kannst du in der Iso siebenundzwanzig null und eins zertifizierten Pommesbude, dein. Hilft dir auch nicht.

Okay, also ich habe so den Eindruck an der Stelle ist noch etwas Aufklärung, äh erforderliches. Ich fand's ja ganz interessant, dass die Anfrage von der CDU kam, aber vielleicht war das auch nur so ein, Keine Ahnung, weiß ich nicht.

Immerhin, ey Wendy, die CDU kann auch mal was machen.

Kann auch malen und Korn finden.

Wie gesagt, mir ist völlig egal, wer das Richtige tut. Und ähm. Der, also ich finde das aber die, die beantworten sind natürlich bedrückend, ne? Also eine eine Software mit mit Sicherheitsmängeln, die es auszählen an Computern, kein Audiotrail, der da irgendwie vernünftig bei rausfällt. Ich bin nicht überzeugt, dass das sinnvoll ist. Und das Argument ähm, Security bei Obscurity, das haben wir schon an so vielen an so vielen Orten gehört und Clark, also kläglich scheitern sehen, ja? Und ich bin einfach von dem, was ich da jetzt schon über diese Wahlsoftware weiß und das ist ja noch nicht mal viel. Ähm an dieser Stelle sei an die Datenspende an den CC, nochmal freundlich erinnert. Ähm, das sieht echt alles ganz ganz grauselig aus und ich verstehe nicht diese Verantwortungslosigkeit mit der Menschen sich der hohen Verantwortung dieser äh Wahl entgegen. Stellen.

Ja. Also eine Neuigkeit, die ich jetzt noch nicht äh so kannte, vielleicht stimmt's ja auch nicht, äh dass die dann wieder in Holland wieder zugelassen wurden. Darüber haben wir.

Waren jetzt tatsächlich auch nicht bekannt.

Ja äh kann man auch nochmal hinterfragen. Klingt für mich auch so nach dem Motto mit äh oh Gott, wenn wir das jetzt verbieten, kriegen wir irgendwie diese Wahl nicht durchgezogen, weil die Scheiße steht jetzt überall rum, bis wir hier ein neues System am Start haben, äh bricht uns alles auseinander. Das kann es sehr wohl sein, das ist vielleicht auch nur eine temporäre Zulassung ist, das wäre mal ganz interessant Wobei ja da jetzt auch drin steht, es soll so weitergehen, aber auch das kann äh nur eine Übergangslösung sein, dass äh wenn wir nochmal nachschauen. Trotz alldem um's auch nochmal ganz klar zu sagen. Das geht nicht. Also das ist einfach man man kann nicht behaupten, man hätte jetzt irgendwie transparente Wahlen und dann macht man halt äh direkt hinter der Urne, wo maximale Transparenz ja sichergestellt ist durch ein System, macht man das Ding wieder komplett zu. Natürlich gibt es im Prinzip schon mal dadurch, dass alle Ergebnisse öffentlich sind, ja? Und man ja im Prinzip alle diese gemeldeten Zahlungsstände überprüfen und dann auch einsammeln und selber auch ausrechnen kann gibt's diese Transparenz. Nur. Wir wissen auch alle, wie schnell sowas einbrechen kann, ne? Wir haben jetzt irgendwie diese Situation in äh der Türkei, ja, mit dieser äh sehr knappen Abstimmung, wo man glaube ich auch nicht so richtig das Gefühl hat, dass das jetzt unbedingt den äh höchsten Kriterien an so eine Wahl äh entspricht, und selbstverständlich ist genau dieser Level dahinter genau der Ansatzpunkt, wo ähm ein Betrug dann eben in gewisser Hinsicht auch wieder leichter wird, obwohl er ja im Prinzip von außen überprüfbar ist. Aber es gibt ja auch noch andere Maßnahmen, sich dagegen zu wehren. Äh insbesondere eben auch, was ich auch als zunehmendes Problem sehe, ne, was wir glaube ich früher so nie diskutiert haben, dass wir uns jetzt in so einem Infokrieg befinden, in dem halt einfach die Wahrheit dadurch äh untergetaucht wird, indem du sie einfach mit vielen alternativen Wahrheiten anreicherst. Bis die Leute halt gar nichts mehr glauben, das ist natürlich ein Problem, ne? Also du kannst natürlich hier so als Aktivistengruppe sagen so ja wir haben hier mal nachgezählt und das kann ja alles gar nicht sein, und dann werden halt einfach von irgendwelchen Sinktanks nochmal fünf andere unabhängige Wahlüberprüfungsinstitute erfunden, die einfach in die Öffentlichkeit gehen und sagen, nee, wir haben das hier alles überprüft und äh. Alles richtig, ja? Wo dann wahrscheinlich die richtigen Aktivisten auch auf einmal mit den Händen wedelt und gar nicht wissen, wie sie damit mit dieser Situation umgehen sollen, weil sie dem dann einfach Öffentlichkeitstechnisch überhaupt nicht mehr gewachsen sind, Und selbst wenn halt irgendjemand das dann so mitbekommt, dass es da so Differenzen gibt, denken die Leute halt irgendwie, na ja, wird schon irgendwie seine Richtigkeit haben und die meisten sagen ja dies und ein paar sagen das und was weiß ich schon und was kann ich da schon machen und ich bin ja nur so ein kleines Licht. Also das, das ist natürlich ein Problem und deswegen muss man an der auf der Ebene sich einfach mal Gedanken darüber machen, wie man genau dieselbe Transparenz genau dieselbe Überprüfbarkeit, Prinzip in jedem einzelnen Schritt macht, und zwar nicht, weil ich jetzt glaube, dass hier das Scheiße läuft. Jeden Grund derzeit zu glauben, dass sehr wohl die Wahlergebnisse, Stimmen so, das ist sicherlich hier und da mal einen handwerklichen äh äh Fehler und Vertipper und Hasse nicht gesehen, äh gibt, der aber dann am Ende nicht groß Auswirkungen haben dürfte, Aber in dem Moment, wo man halt sagt, wieso ist doch sicher durch Geheimhaltung? Sorry Also damit verbaut man sich dann aber auch wirklich das letzte Argument, ne? Weil dann kommen sie ja nämlich dann an die äh AfD Freunde und nach der Wahl und sagen ja das ist ja hier alles betrogen. Ich hab hier 'n Dokument da steht drin, Sicherheit durch Geheimhaltung, das zeigt doch mal wieder hier und dann Chemtrails und haste nicht gesehen. Das hatten wir ja auch schon äh in Österreich in der in der Debatte und das muss einfach verhindert werden. Man kann dem ganzen Unfug einfach nur begegnen, indem man einfach sagt, okay stellen die Sache jetzt so auf den Kopf und machen, machen hier so eine glasklare äh unzweifelhafte transparente Abwicklung stellen wir sicher auf allen Ebenen. Ähm bis, bis das einfach nicht mehr argumentierbar ist. Und wenn man das nicht hinkriegt, sorry, dann ist man da auch ähm sich, glaube ich, der eigentlichen Problematik nicht ausreichend bewusst.

Absolut nicht, ne? Also du willst keinerlei Zweifel an der Wahl haben. Das kriegst du nur dadurch hin, dass du, dass sich alle in radikaler Transparenz überprüfen lassen.

Ja, Sicherheit durch Transparenz und Nichtsicherheit durch Geheimhaltung. So sieht's nämlich aus.

Also ich. Sicher Sicherheit durch Geheimhaltung ist ja also ist ja totaler Bullshit ähm der der. Der englische Begriff dafür ist Security bei Obscurity und ich stelle mir eben.

Eigentlich ein Schimpfwort.

Wahlsicherheit durch Obskurität.

Ja äh dem können sie schon vertrauen, wir haben das durch äh ähm äh entsprechende Obskurität sichergestellt.

Kommen wir zum nächsten Obskuren. Kurzthema. Es gibt ja Kopfhörer.

Kopfhörer.

Ich will jetzt gar nicht sagen, wer solche hat.

Ach komm.

Es gibt ein bestimmtes Kopfhörermodell von Bose, dass sich für Leute, die oft im Flugzeug sitzen oder in der Bahn besonders eignet, weil es ein neues Canceling hat, was unter vielen Bedingungen sehr, sehr gut die Umgebungsgeräusche abfiltert und dafür dadurch ein sehr angenehmer Reise eine angenehme Reise beschert.

Wir können das Modell jetzt auch nennen im Angesicht der weiteren Berichterstattung.

Q C fünfunddreißig, und dieser Kopfhörer ist schweineteuer, den kriegst du, wenn du Glück hast für irgendwie zweihundertdreißig für dreihundertdreißig oder dreihundertzwanzig oder dreihundert Euro, aber in der Regel schwankt der so bei dreihundertfünfzig Euro rum. Ähm.

Schon so eins der Preis würdigeren und Bewerterinnen und trächtigeren Modelle.

Ist äh für das, was er tut immer noch ziemlich teuer. Ähm diese neue Generation ähm, dieses dieser neues Cancen Kopfhörer hat einen Bluetooth Connectivity und man kann dann irgendwie die Fernwahl seines Kopfhörers updaten mit einer, Pose App, die man auf sein Handy, hat. Und mit dieser äh mit dieser App kann man glaube ich sogar auch Musik hören. Ich habe die nie großartig genutzt, außer für das äh notwendige Update natürlich meiner Kopfhörer auf die letzte Version, weil du willst ja nicht mit, falschen Patch-Level auf deinen Kopfhörern rumrennen im Jahre zweitausendsiebzehn. Ähm jetzt hat jemand herausgefunden, dass diese App offenbar, Daten vom Mobiltelefon sammelt diese Anbose zurückschickt und wenn man sich diese Privacy Policy der App anschaut, dann steht da auch so drin, dass es über die Daten und die Nutzung und der Nutzungsverhalten weil du diese App nutzt äh eben, Nach Hause telefoniert? Das ist natürlich ziemlich uncool.

Ich freue mich vor allem, also ich meine, aus den Berichten, die wir dann auch verlinkt haben. Mir ist nicht so hundertprozentig klar geworden, wer das jetzt herausgefunden hat und wie Ich kann es nur vermuten, dass da einfach mal jemand entweder die AGBs uminterpretiert hat oder vielleicht tatsächlich mal Hand an den Schnorchel gelegt hat, der dort gemacht wird, aber so dieser richtige der Beweis ist mir jetzt noch nicht so ganz klar gehen wir mal davon aus, dass dass das ähm ein gültiger Bericht ist. Es ist jetzt auch nicht nur eine Meldung, sondern es ist ja auch schon zu einer Klage gekommen. Geht ja in USA mal relativ schnell. Ähm nun ist ja diese App nicht unbedingt dein Musikplayer.

Ich bin mir nicht, also das ist jetzt ich kann also ich meine ich habe diesen Kopfhörer gerade nicht dabei, deswegen kann ich hier in der App wenigstens gerade tun, aber ich meine tatsächlich, dass die, dass man damit abspielen, Musik abspielen konnte. Ich bin nur, ich habe, kann's jetzt leider oder habe ich den Kopfhörer dabei? So, aber genau, die Daten, die nämlich von denen da die Rede ist, äh, umfassen den Musikgeschmack und der der Herr Seck, der sich da beschwert, sagt, dass äh diese das Sammeln von, von der gesamten Musik Library eine, eine klar, eine sehr detailliertes Profilieren von Personen ermöglicht und dass das ja wohl nicht sein kann. Ich habe auch gesehen, dass diese App bei mir auf dem Gerät zweieinhalb MB übertragen hat.

Zeitpunkt.

Das, ich weiß es nicht, das ist einfach nur diese.

Ach so, gesammelt über ah okay, oh.

Und ähm das könnte einfach nur ein Softwareupdate sein. Oder nicht. Ich weiß auch nicht genau, ob ich dieser App überhaupt jemals Zugriff auf eine meine Musik Library gegeben habe. Und äh bin da äh man sieht, ich bin äh ich bin eiskalt erwischt. Ich wurde eiskalt erwischt und äh habe jetzt einfach nur, gesagt, ich möchte diese App nicht mehr haben und werde sie installieren. Aber.

Andererseits so förmbar Updates natürlich jetzt auch nichts schlech.

Du willst ja allein schon, aber du, na ja, du musst dich da ja registrieren bei dieser App, mit deiner mit einer E-Mail-Adresse und mit der Seriennummer deines Kopfhörers, Und dann wollen sie eben darüber, wollen sie zum Beispiel so Scherze machen wie gucken mit welchen Geräten werden denn unsere Kopfhörer genutzt, ne? Haben die, wenn du jetzt irgendwie ein iPhone hast, benutzt du den dann auch noch am iPad oder benutze den am Computer oder solche Dinge, und das steht auch alles in dieser Privacy Policy drin, die man sich da durchlesen kann, dass sie aber sich angucken, welche Musik du hörst. Äh das stand da nicht drin Wobei ich natürlich auch verstehen kann, dass für so eine Kopfhörerfirma auch das unter Umständen von Interesse ist zu sehen was hören die Leute eigentlich damit, ne? Worauf müssen wir unsere Kopfhörer optimieren? Aber, Mann, ey, willkommen zweitausendsiebzehn, wo du irgendwie dir jetzt nur eine scheiß Kopfhörer-App installierst und am Ende das Ding sich als so ein, als so eine Daten Spionen irgendwie mit einer riesigen Privacy Policy herausstellt.

Ja, vor allem wie dumm auch. Also ich meine äh jetzt kommt jetzt so die Nachricht raus und sagen wir mal, die machen jetzt wirklich irgendwie nichts Wildes, ja? Sagen wir mal so, okay, nur wenn du über diese App die die Musik selber abspielst, was vielleicht die allermeisten Leute auch gar nicht tun, ne? Weil das dann eher aus deiner Mediathek kommt, aber selbst dann und sie würden nur so Sachen machen wie das Genre aus dem MP3 auslesen und versuchen das irgendwie so als Datenbasis zu nehmen, was in gewisser Hinsicht ja schon so ein bisschen lächerlich ist. Was dann natürlich in so einer Öffentlichkeitsberichterstattung dann daraus gemacht wird, das hat man dann einfach nicht mehr unter Kontrolle, ne? Das ist dann irgendwie so United äh Airlines mäßig dann bitte alles alles mögliche unterstellt, weil ich dachte mir zuerst so, ah okay die App, die irgendwie die Firmware einspielt, weiß jetzt was so äh höher ist, weil ich, die Kopfhörer nicht und wussten nicht genau, wie die funktioniert. Ja und kam dann halt gleich so auf den nächsten Schritt so Ja, dann kann das ja nur der Kopfhörer selber sammeln, ja? Also das sozusagen die Software dann so schasammenmäßig irgendwie äh quasi die Musik, die Tection macht äh mit dem, was da hingeschickt wird. Wäre ja durchaus vorstellbar. Ja, ich sage nicht, das ist jetzt so, aber solche Ideen kommen natürlich dann schnell auf und wer durchaus denkbar, ja, dass die App dann einfach sozusagen diese diese Soundsamples einsammelt, dass hinten rum einfach abwürft und dann dann weißt du halt auch genau, was Sache ist und da sind wir eben auch schon an dem Punkt, wo das Ding quasi dein Audio abgreift, also auch deine Telefonate und was auch immer, ne.

Also was waren glaube ich einfach mal machen muss und ich weiß, dass das auch gerade Leute tun diese App deinstalliert, neu installieren, einrichten, Kopfhörer mit Perlen, dann mal gucken wo das Telefon denn so hintelefonieren möchte und wie man da nochmal vielleicht mit dem mit dem ein bisschen guckt was da so übertragen wird. Das sollte jetzt nicht so schwer sein und ähm. Ich denke mal, dass wird Witter auch jemand getan haben. Ansonsten tun's jetzt gerade Leute. Aber ich. Will auch da interessieren mich jetzt die technischen Details noch nicht mal so. Also ich find's einfach nur erstaunlich, dass du das das weißt du scheiß Kopfhörer sammelt jetzt schon Daten über dich so. Überhaupt was erlaube ja wie. Warum? Warum? Warum? Ja, meine Userexperience war vorher besser. Das kann ich echt sagen.

Ja, das hat jetzt irgendwo einen Marketingschnüssel bei Bose vielleicht auch gemerkt, so. Vielleicht aber auch nicht, man weiß es nicht so genau. Trotzdem, also diese ganze IOT Nummer und äh voll Vernetzung und intelligente Geräte und so. Das wird jetzt nicht besser werden, weil wir natürlich jetzt auch technologisch ähm, uns vielleicht noch nicht der Singularität annähern, aber zumindest ist so dieses jedes kleine Ding, was man in irgendeiner Form in so einem elektronischen Kontext mit sich herumträgt, hat die Rechtenpower von super Computern aus den Siebzigern, und äh dessen muss man sich oder vielleicht auch schon aus den Achtzigern. Das muss man sich einfach bewusst sein und es wird noch sehr viel mehr möglich werden und weil eben sehr viel mehr möglich werden wird, wird halt, potenziell irgendwie alles möglich und wir müssen uns schon darüber Gedanken machen, wie man jetzt an der Stelle eine passende Ethik einfach auch umgesetzt bekommt. Das ist jetzt nicht nur so die Idee von so ein paar äh äh beärtigen Nerds, ja, dieser Meinung muss ja alles schön und sauber sein, sondern das, dass wenn wir diese Ethik nicht an den Staat kriegen, dass einfach dieses ganze Gefüge auseinander platzt und das nicht schön. So jetzt haben wir auch und ich wieder schlechte Nachrichten hier zusammengefeg.

Katastrophe.

Ja, ja, wann kommen denn die? Wann hat man eigentlich das letzte Mal gute Nachrichten? Was ist gar nicht mehr so genau.

Ich habe gerade schon die nächste schlechte Nachricht gelesen, die machen wir aber erst nächste Sendung.

Wie schlecht. Wetter. Na ja, dann das kriegen wir noch weggelacht. Ja Leute, ich glaube, das war's äh für diese Ausgabe. Heute mal wirklich knapp.

Ja, ist doch super. Ich wollte auch nur kurz.

Ne? Und äh insofern wünschen wir euch äh noch eine schöne Woche in, Der Trump-Era und ähm hoffen wir mal, dass wir nächste Woche nicht wieder über irgend so eine vollkommen verkackte Wahl berichten müssen. Das äh wäre mir ganz lieb, weiß schon, wie viel A France. Aber gucken wir mal, wie's uns dann geht. Bis dahin, sagen wir Tschüs.

Ciao ciao.