Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP221 Ich glaub doch nichts, was die Regierung sagt!

WannaCry — Vorratsdatenspeicherung — SMS-2FA — re:publica — Termine — 34C3

Ein paar Tage später dran als gewohnt und genau richtig, um den Fallout der Ransomware WannaCry zusammenzufegen, die über das Wochenende ihr Unwesen auf den ungepatchten Windows-Computern der Welt getrieben hat. Dazu blicken wir auf die geplante vorzeitige Verschärfung der Vorratsdatenspeicherung und die Probleme, die Provider mit ihrer Umsetzung haben, die re:publica in Berlin. Dann verkünden wir noch ein paar Termine und besonders auf die neue Location des 34C3.

https://logbuch-netzpolitik.de/lnp221-ich-glaub-doch-nichts-was-die-regierung-sagt
Veröffentlicht am: 15. Mai 2017
Dauer: 2:23:16


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:28.898
  3. Feedback: Wahlsoftware 00:01:28.063
  4. WannaCry: Vorgeschichte 00:05:28.668
  5. WannaCry: Verbreitungsweg 00:14:44.962
  6. WannaCry: Auswirkungen 00:24:55.955
  7. WannaCry: Politische Komponente 00:33:38.292
  8. Vorratsdatenseicherung wird ausgeweitet 00:53:12.002
  9. SMS-2nd-Factor-Hack 01:13:39.595
  10. re:publica 2017 01:34:43.599
  11. Termine 02:07:56.290
  12. 34C3 in Leipzig 02:10:10.400
  13. Epilog 02:16:21.233
  14. Bonus Track 02:18:12.673

Transkript

Linus Neumann
0:00:00
Tim Pritlove
0:00:29
Linus Neumann
0:00:41
Tim Pritlove
0:00:45
Linus Neumann
0:01:00
Tim Pritlove
0:01:02
Linus Neumann
0:01:14
Tim Pritlove
0:01:17
Linus Neumann
0:01:22
Tim Pritlove
0:01:23
Linus Neumann
0:01:48
Tim Pritlove
0:01:50

Genau, also Markus hat uns geschrieben und von seiner Tätigkeit als Wahlhelfer von, Vor zwölf Jahren äh berichtet in einer nicht nähergenannten äh Stadt zur Kommunalwahl. Warum? Weil dort ähm auch Software zum Einsatz kam. Um die Wahlergebnisse seines Wahlbüros, seines Wahllokals. Ähm, digital zusammenzufassen. Wir hatten ja vor einigen Sendungen über diese Software IVU Elect äh gesprochen. Mir ist nicht klar, ob die jetzt hier zum Einsatz kamen. Ich habe da so ein bisschen meine Zweifel, aber irgendeine Software ähnlicher Natur kam wohl dort schon zum Einsatz. Software hatte man, Was man aber wohl nicht hatte, waren Computer, wurde halt nicht nur noch Wahlhelfern gesucht, sondern es wurde auch gleich noch nach Wahlhelfern mit Computer gesucht, weil man hatte wohl irgendwie nicht genug, brauchte dann nochmal schnell mal so einen PC, der äh auf jeden Fall Floppi Disco und CD Laufwerk haben sollte. Ähm ich zitiere mal äh kurz, also ich weiß nicht, ob er jetzt einen Rechner mitbracht oder jemand. Ich glaube, jemand brachte einen Rechner mit und er verfolgte äh das Ganze. Es gab dann auch noch irgendwie etwas Kohle äh äh dafür. Aber wir reden jetzt wirklich von privat mitgebrachten Computern. Dann schreibt er uns zuerst wurden die Rechner mit einer McFi-Boot-CD auf Viren gescannt. Bin mir nicht mehr ganz sicher, ob die Wahl sofort danach direkt auf dieser CD war oder von einer zweiten CD neu gebudet wurde, soweit ich mich erinnere, wurde das Betriebssystem auf der Festplatte aber nicht genutzt, was wiederum für das Buchen von CD spricht. Auf jeden Fall, war zusätzlich noch eine Diskette erforderlich auf der die Daten spät auch abgelegt wurden wie dieser Vorgang abzulaufen hatte war festgeschrieben und wurde in einer Schulung vorher besprochen. Und ich meine auch gezeigt und geübt. Dieses Kette war wohl in irgendeiner Form gekennzeichnet, enthielt spezielle Dateien, die auf den Wahlkreis zugeschnitten waren. Dann ins wette Krypto zum Einsatz kam, ist mir nicht bekannt. Die Stimmzettel wurden dann nach dem Vieraugenprinzip in die Waldsoftware übertragen, durch die vielseitigen Gestaltungsmöglichkeiten mit Komulieren und Panagieren, war das auch schon genug Arbeit, die Veränderung der Stimmenzahlen konnte man soweit ich mich im Sinne nachvollziehen, ob unmittelbar oder nur, wenn man die Eingabestatistiken anzeigte, kann ich aber nicht mehr genau sagen, die Software erfasst auch nachträgliche Korrekturen und, Fehleingaben. Ja, ähm, was kann man davon halten? Wir haben's ja hier schon äh häufiger gesagt, dass äh. Grundproblem bei der Wahl natürlich ähm immer das Vertrauen ist und das so ein bisschen wie bei der Kühlkette. Ja, also wenn da irgendwo zwischendurch mal die Temperatur weggeht, dann äh kannst du den Fisch danach doch so tief gefrieren. Der ist dann halt unter Umständen madig.

Linus Neumann
0:04:35
Tim Pritlove
0:04:36
Linus Neumann
0:05:31
Tim Pritlove
0:05:34
Linus Neumann
0:05:37
Tim Pritlove
0:06:10
Linus Neumann
0:06:14
Tim Pritlove
0:06:17
Linus Neumann
0:06:20
Tim Pritlove
0:07:06
Linus Neumann
0:07:08
Tim Pritlove
0:07:30
Linus Neumann
0:07:32
Tim Pritlove
0:08:38
Linus Neumann
0:08:39
Tim Pritlove
0:09:18
Linus Neumann
0:09:21
Tim Pritlove
0:09:54
Linus Neumann
0:09:59
Tim Pritlove
0:10:08
Linus Neumann
0:10:09
Tim Pritlove
0:11:17
Linus Neumann
0:11:23

Weiß ich nicht, ob das der richtige Vergleich jetzt ist. Also um nochmal kurz von vorne anzufangen die NSA kann diese Waffen selber nicht mehr einsetzen. Die NSA muss darunter leiden oder muss, muss zumindest die Sorge haben ähm dass das andere Angriffe aus der Vergangenheit nun der NSA zu zuschreiben können, was für die eine oder andere diplomatische Verstimmung ähm sorgen könnte und ähm. Der Erruf der NSA leidet natürlich auch, ja? Also ich habe das äh mal so genannt, sodass man der NSA politisch nicht vertrauen konnte, war irgendwie ähm seit seit Snowden klar, aber ähm, Einer ihrer wichtigsten eines ihrer wichtigsten Argumente ist ja, dass sie diese dieses Wissen über Schwachstellen horten, dass sie ihre Angriffstools horten und dass sie damit für das Gute kämpfen Und das zentrale Argument gegen diese Praxis der NSA war ja immer, dass sie, dadurch, dass sie das Wissen über Schwachstellen geheim halten, andere einem Risiko aussetzen. Und jetzt gehen diese Shadow-Brokers hin, zocken denen einen Sack an Exploids und liegen die ins Netz Und was zu befürchten war und das haben wir ja Logbuchnetzpolitik berichtete, äh ist das, dass diese ähm Angriffstools, die die von der NSA da jetzt äh im Internet auf einmal frei verfügbar waren, dass die anderen nutzen würden. Und so geschah es dann auch. Also ähm wir haben darüber, glaube ich, in LMP zweihundertachtzehn berichtet. Im Februar setzte Microsoft zum ersten Mal in dreizehn Jahren den Patch Tuesday aus, und hat nicht zum angekündigten Datum Updates ausgeteilt, sondern hat gesagt, okay, Patch Ducel fällt aus, gehen sie äh gehen sie weiter, passiert nichts. Hat dann im März einen größeren, umfänglicheren Patch Tuesday gemacht. Mit einer längeren Liste Sicherheitsupdates. Und exakt einen Monat später, siebzehnter April oder sowas, haben dann die Shadow Brokers wieder ihre äh Sacktools veröffentlicht. Ich glaube, in dem Fall waren es neun ähm, neuen Angriffstools. Und es stellte sich dann raus, dass die entscheidenden Sicherheitslücken genau einen Monat vorher. In diesem März Security Update von Microsoft gefixt wurden. In den Betriebssystemen, die Microsoft noch unterstützt.

Tim Pritlove
0:13:50
Linus Neumann
0:13:52

Gehört seit einigen Jahren nicht mehr dazu, weil es End of Life ist und Microsoft gesagt hat bitte nicht mehr, bitte nicht mehr benutzen. Kauf mal kauf mal was Neues, ihr habt das jetzt irgendwie dreizehn Jahre benutzt oder wie lange auch immer so jetzt kommen jetzt mal wieder hundert Euro an die Sonne, jetzt machen wir eine neue Runde, ne? Ähm so, das heißt im März äh äh im April zwanzig siebzehn sind auf einmal diese Angriffstools öffentlich. Und liegen für jeden äh frei zum Download in den großen bösen Internet. Und jetzt war natürlich die Frage, was machen die Leute damit? Ein größerer Teil der Angriffsoberfläche war hoffentlich glücklicherweise, weiß man nicht verschwunden, weil ja wahrscheinlich viele ihre Sicherheits-Updates machen, Einige aber offenbar nicht. Und was jetzt passiert ist, ist, dass Leute diese einen Exploid mit dem Namen E-Turnal Blue benutzt haben. Das so ein bisschen zu der der Königsklasse der Exploids gehört, nämlich eine sogenannte Remote Code Executition ermöglicht. Das heißt, du musst. Ohne du brauchst keine weitere Nutzerinteraktion, um ein System zu übernehmen und auf diesen Code ausführen zu können. Und ähm in der Regel wird dann dieser Code nur mit Nutzerrechten ausgeführt oder so, aber es ist im Prinzip so, das ist so wirklich so diese, Das, was man sich immer so vorstellt, der Hacker kommt und ohne dass du irgendetwas getan hast, übernimmt er dein System. Das ist relativ selten, dass Angriffe so funktionieren, dass man solche Schwachstellen hat, weil die eben so besonders kritisch sind. Und gleichzeitig sind sie natürlich besonders attraktiv. Und in diesem Fall äh war diese Sicherheitslücke in den Feilshares von Windows. Also wenn du eine Dateifreigabe hattest auf einem Windows-System, Sit XP. Und man dort ein bestimmtes Paket hinschickte, dann konnte man dadurch deinen Rechner übernehmen und Code ausführen. Ähm. Hier ist nochmal wichtig die Trennung zwischen Exploid und Paylot, ne? Oder dem, was dann, also was man dann macht, ich kann also mit dem Exploid Code ausführen. Die Frage ist, welchen Code führe ich denn aus, ne? Ich könnte ja irgendwie einen kleinen Trojaner im System einnisten, ich könnte was weiß ich, eine ein lustiges Katzenbild auf dem Bildschirm anzeigen. Ich könnte ein Rentsim Wear Trojaner äh ausführen und alle Dateien verschlüsseln. Auch ein paar andere Hacker, äh die einen Tool namens Onegrip geschrieben haben, äh dass sich dieser, dass also diese Sicherheitslücke, aus dem Fundus der NSA nutzt, um sich weiter zu verbreiten. Das heißt, dieser Trojaner, wenn er einmal auf einem System ausgeführt wird, scannt im lokalen Netzen und im Internet nach, SMB Freigaben und schickt da wieder sein Paket hin, das nennt man Worum, also ein Chartprogramm, das seine. Befallenen Rechner nutzt, um wiederum weitere zu befallen. Ja und das äh wurde offenbar irgendwann am Freitag in die Welt gesetzt, wie man das so macht mit mit üblen Cyberattacken. Man macht's ja am Freitagabend, weil dann freuen sich die Admins am meisten. Und äh was dann eben auf diesen Rechner, auf den befallenen Rechnern zu sehen war, war dann irgendwie so eine Forderung, also herzlichen Glückwunsch, ihre Dateien sind weg, äh wenn sie die wieder haben wollen, zahlen sie bitte innerhalb von drei Tagen Betrag X, innerhalb von drei Tagen nicht tun, verdoppelt sich dieser Betrag. Und ähm wenn sie es nicht innerhalb von sieben Tagen tun äh erlischt unser Angebot.

Tim Pritlove
0:17:38
Linus Neumann
0:17:39
Tim Pritlove
0:18:48
Linus Neumann
0:18:49
Tim Pritlove
0:20:06
Linus Neumann
0:20:08
Tim Pritlove
0:20:48
Linus Neumann
0:20:49
Tim Pritlove
0:20:53
Linus Neumann
0:20:54
Tim Pritlove
0:21:46
Linus Neumann
0:21:55
Tim Pritlove
0:23:13
Linus Neumann
0:23:16
Tim Pritlove
0:24:00
Linus Neumann
0:24:23
Tim Pritlove
0:24:25
Linus Neumann
0:24:28
Tim Pritlove
0:24:33
Linus Neumann
0:24:55
Tim Pritlove
0:25:32
Linus Neumann
0:25:35
Tim Pritlove
0:26:41
Linus Neumann
0:26:44
Tim Pritlove
0:26:48
Linus Neumann
0:26:52

Also da gab's äh da gab's einiges an einiges an Lachern und ähm, Ja, das sieht ne, also das ist ja alles, das ist lustig äh äh und äh aber der der Titel dieser ähm. Dieser Myway mit One Decriptor oder One-Ecrypter und aber One Acry ist jetzt so der Name, der sich natürlich am meisten durchsetz, ist natürlich auch sehr äh passend gewährt und man hat als nicht Betroffener äh relativ viel zu lachen, aber machen wir mal, schauen wir uns mal an, was da jetzt tatsächlich los war, ne. Ähm die befallenen Systeme haben, auf jeden Fall nicht das aktuelle Patch-Level. Also entweder waren da noch uralte Windows XP im äh im Betrieb oder noch unterstützte Windows Varianten, die aber eben mindestens seit einem Monat keine Updates gemacht haben. Das ist und da schreien natürlich jetzt viele schlau los, ne? Die sind selber Schuld, dass die alte Software einsetzen, ja? Das stimmt. Auf jeden Fall, aber leider auch nur so halb, weil du kannst ähm. Du kannst in bestimmten Systemen nicht so einfach Updates machen, insbesondere da, wo so Nischensoftware im im Einsatz ist, die irgendwie von so kleinen Betrieben mal, wurde und dann steht da eben drauf, er läuft mit Windows XP oder läuft mit Windows so und so und die hast du einmal gekauft und den Supportvertrag ist längst abgelaufen und ähm dann bist du irgendwann in der Situation, dass du diese Systeme nicht ohne weiteres updaten kannst, sowieso brauchst du in größeren Infrastrukturen so ein Patch Management, das heißt ähm wenn Windows kommt, äh wenn Microsoft kommt und gibt dir ein neues Update, dann spielst du das natürlich nicht auf den tausend Rechnern deiner Firma aus. Sondern du gibst das erstmal in so ein Staging und prüfst, was macht unsere Standardworkstation, ne.

Tim Pritlove
0:28:44
Linus Neumann
0:28:46
Tim Pritlove
0:29:27
Linus Neumann
0:29:28
Tim Pritlove
0:29:54
Linus Neumann
0:29:56
Tim Pritlove
0:30:05
Linus Neumann
0:30:07
Tim Pritlove
0:30:33
Linus Neumann
0:31:36
Tim Pritlove
0:31:40
Linus Neumann
0:31:51
Tim Pritlove
0:33:03
Linus Neumann
0:33:05
Tim Pritlove
0:34:06
Linus Neumann
0:34:07

Also Schätzungen könnten sagen, dass diese Schwachstelle vielleicht sogar schon sechzehn Jahre alt ist. Ne? Weiß man, da weiß man nicht so. Wir wissen mindestens, dass sie ein halbes Jahr alt ist. Vermutlich ist hier aber sehr viel sehr viel älter. So die die NSA hatte quasi die gesamte Zeit das Wissen über diese Schwachstelle und dass Rechner weltweit von dieser Schwachstelle befasst. Befallen sind ja befallen sind und hat nichts, dagegen getan. Die haben dieses Wissen bei sich in den äh geheim gehalten, weil sie diese Schwachstelle zu für ihre Zwecke nutzen wollten. Und was wir jetzt gerade sehen als Schaden, ist immer noch ähm relativ gering im Vergleich zu dem Risiko, dem die NSA die Welt ausgesetzt hat, denn immerhin, gab es ja jetzt zu diesem Zeitpunkt schon eine ein Sicherheitsupdate von Microsoft. Ähm, Es hätte ja genauso gut sein können, dass jemand diesen, diese Schwachstelle parallel findet, das ist ja außerhalb der der Kontrolle der NSA und sich so ein baut und den einfach mal in die Welt setzt und einfach mal vollständig ungepatchte Systeme, infizieren kann. Und das ist das Risiko, was die NSA mit jedem Tag, dass sie diese Schwachstelle geheim gehalten hat, eingegangen ist. Und, Der Schaden, den wir jetzt sehen, der wird sicherlich am Ende auf weiß ich nicht, wie viel hundert Millionen äh beziffert werden, wenn nicht in Richtung einer Milliarde, ich weiß nicht, was wir dann so in den Krankenhäusern mit äh und was wir bei Renault mit einer Betriebsunterbrechung und so für für Rechnungen dafür am Ende bekommen. Ja. Also da ist ein riesiger Schaden entstanden in über hundert Ländern dieser Erde. Das hat die NSA wissentlich und billigend in Kauf genommen, Und zwar auf eine sehr lange Zeit und ich denke, das ist etwas, sorry, wenn ich jetzt zum Tal tue Seug komme, weil da genau davor waren wir seit Jahren Das ist das des Kernargument äh gegen diese gesamte ähm gegen diesen gesamten Geheimdienstmarkt mit den Schwachstellen, dass wir diesem Risiko ausgesetzt sind. Damit die ihre Hacking Tools behalten können, Und jetzt kam noch erschwerend hinzu, dass sie ihre Hacking Tools noch nicht mal behalten können. Und äh dass dass diese Angriffe halt in die Welt gesetzt wurden und und wir jetzt alle davon betroffen sind. Gehen wir mal davon aus, die hätten die hatten das Wissen schon vor fünf, sechs Jahren, ja Wer jetzt 'ne moderate Schätzung, dann hätten Sie das damals Microsoft melden können, Microsoft hätte damals noch XP Supported, hätte diese Schwachstelle irgendwie ganz still und heimlich geupdatet, ja? Dann werden immer nochmal ein paar Leute vielleicht am Ende unter die Räder gekommen. Weil die Sicherheitspatches werden ja auch Reverse enginiert, um dann die Schwachstellen zu finden, ja? Das heißt, mit dem Sicherheits-Update gibst du so oder so das Wissen über die über die Schwachstelle bekannt. Aber es werden nicht so viele Rechner mehr betroffen gewesen, ja? Das heißt, die Angriffsfläche wäre verringert worden und die NSA wäre nicht dieses, nicht kalkulierbare, absolut unverantwortungslose Risiko eingegangen, dass die Welt untergehen kann, nur damit sie damit sie diesen einen ähm Exploid hat. Und ähm das heißt, wir sind, wir erleben eigentlich gerade noch das Best Case Szenario von dem, von dem, was die NSA da gemacht hat.

Tim Pritlove
0:37:39
Linus Neumann
0:37:42
Tim Pritlove
0:38:31
Linus Neumann
0:38:35
Tim Pritlove
0:38:36
Linus Neumann
0:39:07
Tim Pritlove
0:39:54
Linus Neumann
0:39:58

So, das heißt, das ist für also es gibt Möglichkeiten, mal flott äh Bitcoins zu überweisen. Ich hatte letztens einen Fall, wo er auch, was ist denn so? Kriegste SMS so ähm. Lenos, wie kriegen wir schnell Bitcoin? Welche E-Mail habt ihr angeklickt? Na ja und dann ähm so das ist, Ne, ich also da habe ich dann im Bekanntenkreis welche beraten und weiß, dass die haben also innerhalb von drei Tagen haben die das wirklich auch so mit mit meiner Unterstützung dann hingekriegt, ne. Insofern da das kann sein, dass da nochmal sehr viel mehr Geld über den Tisch geht, das kann auch sein, dass die dass die Leute ähm. Vielleicht dann doch Backups einspielen und und damit wieder klarkommen. Da ist das letzte Wort glaube ich noch nicht gesprochen. Ja gut, was sind die Reaktionen Dobrindt? Äh fordert mehr IT-Sicherheitsgesetz und mehr BSI. Und da möchte ich mal ganz gerne einhaken, ne. Was hat eigentlich das BSI seitdem um sechzehn oder siebzehnten April gemacht? Als dieser Exploid in die Welt ging. Die haben gar nichts gemacht. Die haben vielleicht irgendwie in ihrem BSI-Blog da gesagt, machen sie ein Windows-Update oder sowas, ne? Aber das war's. Andere Leute haben damals schon mal eben den Setmap rausgeholt, also so ein ein Portscanner. Und haben mal das Vier-Netz durchgescannt und geguckt, wo denn überall SMB Shares sind, und haben sich die Antwort geben lassen, wo nämlich im Identifire drinsteht, welche Arten von SMB Protokollen hier gesprochen werden und haben irgendwie einen Tag oder sowas. Ich glaube, das habe ich auch in der LMP zweihundertachtzehn erwähnt. Irgendwie so ein paar hunderttausend äh betroffene Systeme gefunden. Ich hätte es in der Aufgabe des BSI gesehen, die wissen ja, welche IP-Adressen deutsch sind. Und die können ja auch den Look abmachen, wer wo diese IP-Adressen residieren, wem die gehören. Dass die einfach mal den gleichen Scan machen und dann die die Briefdruckmaschine anwerfen, und dahin schreiben und sagen, machen sie bitte sofort diesen SMB Share aus. So, das Ding ist bald platt. So, das wäre eine Aufgabe gewesen, die hätte ich mal so im Bereich des BSI erwartet. Wir haben gar nichts gemacht. Sitzen jetzt da und halten die Hand auf und sagen hier, war schon wieder Cyber, wir brauchen mehr Geld. Aber das wäre mal so, das da hätte ich gedacht so, ach. Ne, wenn dann so ein, so ein Hinweis käme so, ey, ah, übrigens hier offen, Weinreport, so da draußen ist Remote Code Execution, ähm so Brace for Impact, macht das bitte sofort weg ja? Das wäre doch mal zu erwarten gewesen. Da hätten sie zumindest den den öffentlichen IP Vier Space abdecken können. Der ja dafür verantwortlich ist, dass das Ding äh sich so rasant ausgebreitet hat. Das wäre eine Aufgabe, wirklich eine Aufgabe für Nachmittag. Diese okay dann die die Leute da äh feststellen wo die IPs, aber Hauptsache du schickst irgendwo was hin. Aber die haben gar nichts gemacht. So, das äh halte ich für, für ausbaufähig.

Tim Pritlove
0:42:59
Linus Neumann
0:43:14

Ja, die äh die G wollen äh äh Sicherheit von Computernetzwerken erhöhen, ne. Also keiner, ich bin ganz froh, also dieser dieser Aspekt. Die verantwortungslos Geheimdienste damit umgehen. Der Wirt gerade schon in sehr vielen, Medien entsprechend auch aufbearbeitet. Ähm ich hatte die Spontangelegenheit da einen Artikel aus Spiegel online zuzuschreiben die digital und Netzwerkredaktion in den äh, In den entsprechenden Publikationen nehmen diese Argumente ebenfalls zur Hand und äh sage ich mal, kritisieren jetzt das Vorgehen der NSA. Es gibt ein Blogpost von dem Chefjustizia von Microsoft, der auch sagt, so, dieses Winobility Stockpiling, also das Sammeln von Sicherheitslücken, statt sie zu beheben, muss ein Ende haben, denn und das Argument ist ja richtig, wir die spielen hier. Der nationalen Sicherheit, die sie eigentlich schützen sollen. Und genau das sage ich ja dann auch hier diesen diesen, habe ich auch vor ein paar Wochen erzählt. Diesen Zitisle da, die die werden ja genau das tun. Die die quasi dann auch Windrobilities haben wollen. Der BND hat irgendwie Millionenbeträge zur Verfügung, um Exploids zu kaufen. Das ist alles genau dieses Risiko, was sie da eingehen, wir dürfen uns nicht wundern, das ist also es wird finde ich auch sehr gut von Analyst in Zwischenhalt als so 'n Warnschuss und zwar als der letzte genannt. Was hier passiert ist, ja? Keinen anderen ähm verantwortungsvollen Umgang mit Sicherheitslücken als sie zu melden und zu schließen. Und wir können nicht akzeptieren, dass staatliche Stellen das tun, äh nicht tun. Gerade staatliche Stellen mit unserem Geld. Und ähm hier sieht man, ne, wenn man hier die Schadenspotentiale sieht, die da eingegangen werden. Es ist auch und so argumentiere ich ja dann entgegenüber den entsprechenden Verantwortlichen auch. Es ist auch ökonomisch die richtige Abwägung. Das Risiko, was du auch für deine eigene Volkswirtschaft, für deinen eigenen, für dein eigenes Militär, für dein eigenes Innenministerium damit eingehst, ist zu groß. Es ist es nicht wert. Da lasse ich äh gerne mit mir diskutieren, habe aber auch immer ein gutes Gegenargument. Jetzt kommt natürlich das, also die Antworten, die man darauf bekommt, ist natürlich, ja klar, das ist doch inlusorisch, die Geheimdienste äh operieren im verantwortungsfreien Raum. Und genau deswegen denke ich ist es eine politische Frage das nicht mehr zu erlauben. Das darf so Das können wir uns so nicht leisten, denn die Leute, die da unter die Räder kommen, sind natürlich nicht die Geheimdienste. Wenn die sehen, es gibt einen Zero Day Explore, irgendwo, ja klar, das haben die innerhalb kürzester Zeit gepatcht. Aber die, die Gesellschaft ist da irgendwie, wird denn da schwer getroffen? Und das ist äh nicht nicht akzeptabel, können wir so als Gesellschaft nicht, ähm dulden.

Tim Pritlove
0:46:09
Linus Neumann
0:47:10
Tim Pritlove
0:47:13
Linus Neumann
0:47:15
Tim Pritlove
0:47:19
Linus Neumann
0:47:20
Tim Pritlove
0:47:22
Linus Neumann
0:47:26
Tim Pritlove
0:47:28
Linus Neumann
0:47:38

Da werden sich noch, da werden sich noch eine ganze Menge Leute äußern, die werden jetzt irgendwie, ne? Also wenn etwas Angst und Schrecken verbreitet, dann müssen sich alle dazu äußern, müssen irgendwas fordern und das das. Der Fehler ist, der Fehler ist natürlich und da werden wir uns dann in mehreren Monaten wieder darüber aufregen, die Konsequenzen, die daraus jetzt gezogen werden, dass sie irgendwie den Geheimdiensten mehr Geld geben, um Zero Day Explores zu kaufen, um diesen Markt weiter anzuheizen, ja? Dass sie dem BSI das jetzt schon versagt hat, irgendwie noch mehr Geld in Rachen schieben, damit die den nächsten Staatsrühren auch noch sicher machen können ja? Und dass sie dann irgendwie ein IT-Sicherheitsgesetz äh nochmal irgendwie anziehen, wo ähm denen, die eigentlich dynamisch Systeme verteidigen müssen, noch mehr bürokratischer Scheiß aufgebürdet wird. So, es läuft einfach vollständig in die falsche Richtung. Und ich denke die, die wirklich sinnvolle. Strategie für die Bundesrepublik Deutschland insbesondere in diesem Bereich wäre ganz massiv ähm Systeme. Abzusichern und aufzuwerten. Und richtig hohe Backbounties für die kritischen Bereiche auszuauszusprechen umso die Zero Days oder die die Winobilities zu finden und zu schließen und damit dem ähm dem der Allgemeinheit zum Wohle, zu zu dienen, ja? Wer es übrigens macht, ne, großartiges Team in, also ich würde echt sagen, eindeutig gerade so die, das beste Team, was du irgendwie da draußen anhackern findest. Ähm das beste bekannte Tief öffentlich agierende Team, Google Project Cero, ne? Also mit ähm Thomas Dulin ist da drin, dann irgendwie der, Omandi, die regelmäßig ähm, krasse Sicherheitslücken finden und dann diese Policy haben, dass sie also die Betroffenen Hersteller oder so in Kenntnis setzen und sagen so, hier ist der Brief, ihr seid hier mit darüber in Kenntnis gesetzt worden, ihr habt sechs Monate, danach wird es automatisch veröffentlicht, um da eben auch Druck reinzubringen, dass diese Sicherheitslücken vom Markt verschwinden. Das eine wirklich großartige Initiative, wo wirklich äh ja, Also wo wo Genies dieser Welt äh äh geile Forschung machen und zwar äh und unter deren Ergebnisse einfach mal alle immer. Von deren Ergebnissen alle immer profitieren. Und sowas äh ist halt schade, wenn sowas dann irgendwie äh Google machen muss, ne? Also oder machen muss, ich meine, ist toll, dass Google das macht. Ähm.

Tim Pritlove
0:50:13
Linus Neumann
0:50:15

Könnte eine Staatsaufgabe sein, könnte man, ne, wenn hier die G sagen, sie wollen was für ein, sie wollen was gegen den Cyber tun, ja, dann geht doch mal hin, so, Setzt euch doch mal zusammen. Geht da jetzt alles mal als allererstes mal hin und nehmt die Pool mal die Giftschränke von euren Geheimdiensten, kippt die mal alle auf den Tisch, lass den, lass den Mist mal sein. Machen die natürlich nicht, weiß ich auch, ne. Ähm die denken halt anders. Also sie werden ja am Wochenende natürlich viel drüber geredet. Ähm, dass der Punkt oder das Argument, das durch die Existenz von ich nenn's jetzt mal Waffen, ja? Ähm, Alle dem Risiko ausgesetzt sind, dass sie von dieser Waffe auch getroffen werden, das ist keine neue äh Risikoabwägung für zum Beispiel militärisch denkende, Ähm wenn du zum Militär sagst, hey, euer, wenn ihr diese Schwachstelle nicht schließt, ja, dann. Ist die ganze Welt diesem Risiko ausgesetzt? Das kannst du übersetzen in hey ähm wenn ihr nicht aufhört. Sorry, jetzt kommt der Vergleich, ne? Bomben oder Atombomben zu bauen? Dann sind auch wir dem Risiko ausgesetzt, dass uns jemand diese auf den Kopf wirft. Mit so einer Situation haben wir aber vierzig Jahre kalten Krieg gemacht. Ja, da sind die problemlos mit klargekommen. So, die die sind es gewohnt, dass dieses Risiko ähm immer existiert. Die sind's nur nicht gewohnt, dass es in ihrer Hand liegt, zumindest dieses eine Risiko auch wirklich der gesamten Welt wieder zu entziehen. Insofern die die denken anders und ich glaube ich fürchte, dass wir die nicht davon überzeugt bekommen werden, diesen Mist sein zu lassen.

Tim Pritlove
0:51:50

Wobei ich mir hier auch ein bisschen wundere meine, wir haben da so eine Politikerkasse, die immer sehr ganz weit vorne ist. Wenn's darum geht, innere Sicherheit zu beschwören, ja? Und da frage ich mich halt immer so. Wäre es nicht mal an der Zeit, diesen Begriff äh auch mal digital zu besitzen, ne? Was ist denn die innere Sicherheit in Digitalien. Ist das nicht genau das, wovon wir jetzt gerade reden? Es ist nicht so, dass Verhindern, dass irgendwie unsere Infrastruktur wegschmilzt und damit halt äh. Ja auch Sicherheitssysteme ja letzten Endes auch äh gefährdet sind. Also es ist ja es ist Man merkt, wie die ganzen Auswirkungen, jeder ist jedes Planspiel von neuer Technologie, neuer Kraftwerkstechnik, Versorgungssysteme, Energie, Elektromobilität et cetera. Der ganze Energiemarkt basiert auf Börsenhandel, basiert auf äh elektronischen Systemen passierte, wenn wenn die Ranson Ware mal äh auf der deutschen Börse aufschlägt? Na viel Spaß. So Also bitte innere Sicherheit, mal anders interpretieren, muss man jetzt nicht unbedingt immer nur auf äh die Leute, die die Mängel an äh anprangern, irgendwie mit Stöcken draufhauen, kann man vielleicht auch einfach mal was in der Hinsicht tun. Aber diese Einsicht sitzt ich leider nicht so richtig durch, das sehen wir auch bei unserem nächsten Lieblingsthema der Vorratsdatenspeicherung. Ja äh die neue Vorratsdatenspeicherung ist ja im Anmaß äh Anmarsch äh wir haben ja hier nur mehrfach darüber äh berichtet und auch wenn es, Erhebliche Zweifel gibt, ob nun dieser zweite neue Ansatz so sehr viel besser ist als der erste, hat sich bisher die Bundesregierung nicht so richtig beirren lassen. Und ähm zwingt die deutsche Wirtschaft dazu bei den Providern ähm entsprechende Technik einrichten zu lassen von dem Provider natürlich selber. Obwohl, Ist ja eine Menge Anlass gibt ähm daran zu zweifeln, ob denn auch diese neue Izeration äh gesetzlich überhaupt, zulässig ist, zwar im Dezember zwanzig sechzehn. Gab's da ein entsprechendes Urteil des europäischen Gerichtshofs EuGH haben wir natürlich hier auch drüber berichtet. Hast genug äh Zweifel seht, dass das äh alles mit der EU-Grundrechts-Chater noch vereinbar ist, was hier in Deutschland beschlossen wurde, ob das noch lange Bestand haben wird Und äh ja, nichtsdestotrotz hält die Bundesregierung bisher Kurs und sagt erster Juli zwanzig siebzehn muss das irgendwie alles anfangen. Jetzt haben wir fast Mitte Mai. Ja, Mitte Mai. Wir reden also jetzt hier noch von sechs Wochen. Ähm, ja, das Gesetz wurde in dem bisher halt nicht nicht nicht überdacht, nicht ein äh äh bisschen, auch wenn so der wissenschaftliche Dienst des Bundestages zu dem Ergebnis kam dass das äh auch mit diesen EU äh EuGH Vorgaben äh äh nicht kompatibel ist, nicht vereinbar ist. Ja und jetzt ähm soll halt die Wirtschaft, das umsetzen und sagt, ja hier mach doch mal. Problem ist nur, Weiß halt keiner so genau wie eigentlich, also es ist so ein bisschen ja die Antwort ist zweiundvierzig, aber wie war denn jetzt nochmal die Frage genau, ja, weil äh die technische Richtlinie, wie denn das nun umgesetzt werden soll ist einfach nicht veröffentlicht worden. Dafür wäre ja die Bundesnetzagentur zuständig und die haben irgendwie gerade zu viel zu tun und ähm. Also selbst wenn man jetzt da absolut staatskonform äh sein möchte, gibt's einfach die Rahmendaten dafür nicht. Und ähm. Das schafft natürlich eine interessante Situation, ja? Das ist so, ja, warum haben sie denn diese die Richtlinie nicht umgesetzt? Weil sie sie nicht veröffentlicht haben. Das ist dann die Antwort. Ja ist geheim oder.

Linus Neumann
0:55:59
Tim Pritlove
0:56:05
Linus Neumann
0:56:07
Tim Pritlove
0:56:09

Schnell soll das erfolgen, All dieser ganze Kram, also man kann natürlich sich jetzt irgendwas bauen, von dem man vielleicht denkt, dass es unter Umständen mit diesem Wischiwaschi-Formulierung des Gesetzes ähm, konform ist, aber, Üblicherweise muss halt für so eine Forderung dann eben auch mal ganz konkret gesagt werden, wie ist denn eigentlich zu tun ist? Wobei ich dann schon überlege, ob das halt nicht sozusagen auch ein guter Hebel ist, es einfach nicht zu machen, dass man einfach sagt, ja, sorry. Gab hier keine äh entsprechende Definition so äh. Wie wollt ihr uns zwingen etwas zu tun, von dem ihr selber noch nicht mal formulieren könnt, was es eigentlich ist. Das hält jetzt allerdings eine interessante, neue ähm Business-Idee nicht so richtig davon ab äh auf den Markt zu treten, Es gibt ja nämlich da jetzt einen neuen Anbieter, wie heißt dieser Laden eigentlich nochmal? Unis kommen. Uniskorn, toller Lauer. Uniskorn äh hat auf jeden Fall schon mal ein paar Marketingleute angesetzt und schreibt jetzt potenzielle Provider an, Per Werbebrief. Per E-Mail. Äh ja, hier Vorratsdatenspeicherung alles ganz toll. Kommt jetzt irgendwie demnächst, wisst ihr ja, müsst ihr ja machen und überhaupt gar kein Problem, dass ihr keine Ahnung habt, wie, weil wir wissen das ja. Und wir machen das dann für euch. Ihr gebt uns also eure Daten und wir speichern das und äh speichern es nicht nur, sondern wir regeln dann sozusagen auch automatisch den Zugriff vom Staat, und erfüllen für euch die Anforderungen, von denen ihr noch nicht mal wisst, welche es sind. Warum können wir das? Ja, weil wir arbeiten ja ganz eng mit dem Bundeswirtschaftsministerium zusammen.

Linus Neumann
0:57:54
Tim Pritlove
0:57:58
Linus Neumann
0:58:21
Tim Pritlove
0:59:44
Linus Neumann
0:59:51
Tim Pritlove
0:59:59
Linus Neumann
1:00:01
Tim Pritlove
1:00:24

Aber jetzt mal davon auch mal abgesehen. Vorratsdatenspeicherung SS Service ist ja eigentlich ein Widerspruch in sich. Ne, weil es geht ja bei dieser ganzen Geschichte da drum, dass man ja eben diese Daten nicht vom Staat per se einsammeln lässt, sondern die Idee der Vorratsdatenspeicherung ist, okay, ihr sagt uns zwar jetzt nicht, was eure Kunden so treiben, aber für den Fall, dass, Ihr, äh, dass wir dann doch nochmal ein berechtigtes Nachforschungsinteresse in besonders schweren Fällen haben ja, wenn der Weltuntergang mal dringend abgewendet werden muss, dann können wir dann zu euch kommen und dann könnt ihr da in eure verschlüsselten, abgesicherten, durch, unsere Maßnahmen ja vor bösen Hackern und Rancy World Geschützen Daten, ich frage mich gerade, ob die auch dann irgendwann ihre Vorratsdatenspeicherung dann auch erstmal mit Bitcoin auslösen müssen in Zukunft So, ja, nur dann kommt dieser Zugriff und nur dadurch wird das alles gesetzeskonform. Und jetzt arbeitet das BMWI und die Bundesnetzagentur, Mit einem Unternehmen zusammen, was für die. Ganzen klagenden Provider, das Ganze als Dienstleistung machen will, was ja dann sozusagen darauf hinausläuft, dass genau diese ganzen Vorortsdaten, die eben dezentral gespeichert werden sollen, nicht mehr die zentral gespeichert werden, sondern eben zentral gespeichert werden in ihrer äh merkwürdigen äh mit Alufolie eingepackten Wolke. Also geht's noch? Also ich mein dann kann man's ja auch gleich äh. Den staatlichen Institutionen äh zum Dauerabspeichern äh äh überlassen, weil hier ja der Provider überhaupt gar keine Möglichkeit mehr hat durch eigene Maßnahmen sicherzustellen, dass diese Daten eben nicht entweichen, ja?

Linus Neumann
1:02:21
Tim Pritlove
1:02:37
Linus Neumann
1:03:24
Tim Pritlove
1:03:28
Linus Neumann
1:03:31
Tim Pritlove
1:04:10
Linus Neumann
1:04:15
Tim Pritlove
1:04:46
Linus Neumann
1:04:48
Tim Pritlove
1:04:51
Linus Neumann
1:05:00
Tim Pritlove
1:05:02
Linus Neumann
1:05:20
Tim Pritlove
1:05:41
Linus Neumann
1:05:47
Tim Pritlove
1:05:56
Linus Neumann
1:07:03
Tim Pritlove
1:07:18
Linus Neumann
1:07:24
Tim Pritlove
1:07:27
Linus Neumann
1:08:04
Tim Pritlove
1:08:04
Linus Neumann
1:08:44
Tim Pritlove
1:08:46
Linus Neumann
1:08:50
Tim Pritlove
1:09:37
Linus Neumann
1:09:38
Tim Pritlove
1:09:41
Linus Neumann
1:10:25
Tim Pritlove
1:10:48
Linus Neumann
1:10:52
Tim Pritlove
1:10:53
Linus Neumann
1:11:12
Tim Pritlove
1:12:35
Linus Neumann
1:12:53
Tim Pritlove
1:12:55
Linus Neumann
1:12:59
Tim Pritlove
1:13:02
Linus Neumann
1:13:14

Katastrophe. Also es ist es ist ein dieses dieses dieses Umfeld, dieses Themenbereich der der Vorratsseitenspeicherung ist einfach wirklich skurril, der weiß gar nicht mehr, wo du anfangen sollst, ne? Weil darfst du eigentlich, darfst du eh nicht und ach ja hier machen wir aber trotzdem und hier machen wir es Service, ist besser beim TÜV, Herrje. Ich ich käme mir dann, ich hätte noch ein zweites Tal Juso aus der letzten Woche. Fasse ich aber mal kurz, ähm weil wir das, glaube ich, hier in Logbuch Netzkritik auch schon öfter erwähnt haben und zwar wurde in der vergangenen Woche äh viel berichtet oder sogar der Woche davor, ähm dass es äh einen Angriff gab ähm auf äh einen SS sieben Angriff, bei dem die zweiter Faktor SMS abgefangen wurden. Ähm, Also mein, es ist ja bei vielen Banken so, du du meldest dich da also an, häufig mit einem relativ cool, also mit einem Passwort ohne besonders hohe Sicherheitsanforderungen, aber wenn du dann eine Transaktion ausführen möchtest, brauchst du eine Transaktionsnummer, die Tann. Und ähm früher gab's die schön auf Papier für in der Schublade und da hat man hundert Stück gehabt und das Ding hat nach einer davon gefragt, dann wurde das System geupdatet und es hat nach. Einer spezifischen davon gefragt, ja, was also für Angreifer natürlich eine sehr viel höhere Schwelle wieder darstellt. Ähm Und dann hat man immer gedacht, boah wäre doch geil, wenn wir irgendwie so schlaue Sachen machen würden, zum Beispiel Apps, die hatte ja dann der äh Vincent Haupert aufm dreiunddreißig C drei nochmal schön auseinandergenommen, eine davon und hatte gezeigt, dass also diese fundamental schlechte Idee eben auch, fundamental Scheiße umgesetzt war und eben deswegen fundamental grundsätzlich nicht gemacht werden sollte. Ähm. Aber eines der weit verbreiteten Verfahren ist, äh, dass man einen SMS-Nachricht schickt und ähm wir kennen auch ähm oder wir wir Haben ja auch häufiger darauf hingewiesen, dass das eine sehr schlechte Idee ist, weil SMS eben unverschlüsselt übertragen werden. Ist schon mal das erste Problem. Und weil SMS natürlich auch abgehört und abgefangen werden können und ähm wir erinnern uns vielleicht zum Beispiel, dass einen derartigen Angriff auch das BKA nutzt um Telegram-Accounts zu übernehmen, ja? Und da da weitere Geräte zu zu registrieren, auch das haben wir äh vor einigen Monaten hier mal behandelt Nun zweitausendvierzehn muss das gewesen sein, als wir beim. CCC-Kongress, die beiden Präsentationen über Sicherheitslücken im SS sieben hatten. Ähm. Der Vortrag war einmal von Carsten Nohl und der andere Vortrag war von Tobias Engel. Ähm, Hinweis, ich hab zu dem Zeitpunkt im Team von Carsten Null gearbeitet und bin mit Tobias Engel befreundet, also ich äh kann Wettmuster muss man ja erwähnen oder sowas, ne.

Tim Pritlove
1:16:13
Linus Neumann
1:16:24
Tim Pritlove
1:16:47
Linus Neumann
1:16:49
Tim Pritlove
1:16:50
Linus Neumann
1:16:58
Tim Pritlove
1:17:06
Linus Neumann
1:17:08

Ähm hatte er schon erste SS sieben Angriffe präsentiert, die die Lokation angehen, wo du also nämlich also das funktioniert, Kurz gefasst so ähm die in diesem SS sieben geben, die Provider sich, teilweise weitreichenden Kommunikationszugriff auf jeweils ihre eigene Infrastruktur. Das heißt, ähm wenn du eine Assess, wenn du eine SMS zustellen möchtest in einem Fremdnetz, konntest du früher, heute haben wir dafür gesorgt, dass das ein bisschen weniger der Fall ist, dann kannst du direkt die Zelle erfragen oder das MSC wo du diese wo du diese SMS abliefern musst. Ähm MSC ist das Mobile Switching Center, etwas, was ein Teil der mehrere, Zellen verwaltet. Also mehrere Basestation Controller. Und die wiederum verwalten mehrere, Station. Somit äh okay, lange langer Rede, kurzer Sinn. Du kannst also konntest dich damals bei einem Mobilfunknetz melden und sagen, hör mal, ich habe hier eine SMS für Nummer so und so. Wo in deinem Netz muss ich die denn zustellen? Und dann kam als Antwort der Global Teil äh des MSC. Und den konntest du wiederum meppen auf eine geographische Region. Konntest damit also relativ einfach äh feststellen, wo die Person sich gerade befindet, wo in Deutschland oder, Ob sie im Ausland ist. Ähm Das war so einer der ersten weit äh diskutierten SS sieben Angriffe. Was dann zweitausendvierzehn ähm präsentiert wurde. Ähm war eine ganze Reihe von weiteren SS sieben Angriffen, weil es in SS sieben im Prinzip keine wirkliche Sicherheit gibt. Die gehen davon aus, dass dieses SS sieben Netzwerk so ein World Garden ist, in dem allen vertrauen können. Je.

Tim Pritlove
1:19:00
Linus Neumann
1:19:02
Tim Pritlove
1:20:18
Linus Neumann
1:20:21
Tim Pritlove
1:21:11
Linus Neumann
1:21:12

So, genau dieser Angriff wurde jetzt genutzt für Online-Banking, denn beim Onlinebanking du schnappst du schnappst dir quasi erstmal das Opfer und kriegst die den Online-Banking-Zugang von dem, ja? Also, gibt's einen Keylogger oder irgendein Trojaner drauf? Dann hast du zwar Zugang zu dem Online-Banking, aber in dem Moment, wo du jetzt dein ganzes Geld irgendwie an dich selber überweisen möchtest oder an einen Bitcoin Exchange, sagt das Ding, okay, wir schicken eine SMS. Jetzt hast du ein äh jetzt hast du aber die Telefonnummer von deinem Opfer. Und gehst dann über SS sieben hin und sagst den Mobilfunkprovider übrigens Tim Bukto hier oder wer auch immer, dein Subscriber, der roamt gerade bei mir, voll geil. Und wenn der jetzt eine SMS kriegt, weißt du ja, wo die hinschicken muss. Dann geht diese SMS also äh kommt bei dem Provider an, der sagt okay, mein Subscriber ist gerade im Ausland. Ich muss sie an das MSC oder wo auch immer äh in die Infrastruktur von dem anderen schicken. Ähm gibt verschiedene Möglichkeiten, wie die dann da transportiert wird, aber du schickst sie auf jeden Fall, gib dir Provider sie weg und stellst sie nicht im eigenen Netz zu, sondern eben in dem Fremdnetz. Das aber gar nicht existiert, indem der Subscriber auch gar nicht eingebucht ist, dass einfach nur die SMS entgegennimmt und sagt, jawoll, da haben wir ja unsere Transaktionsnummer. Und jetzt räumen wir mal los und dann zack sind die Kupiken halt woanders, ne? Ähm Genau dieses Szenario ist also jetzt muss man auch mal sagen relativ spät ja erst zweitausendsiebzehn, ne? Demonstrationen äh waren zweitausendvierzehn, ja zweitausendvierzehn ist es ein öffentliches Wissen. Seit so und inklusive, ne? Ich habe ja gerade gesagt, wer auf Schwachstellen hinweist, muss immer auch sagen, wie man die loswird, das haben wir immer getan. Das sieht man auch in dem. In dem Vortrag, das also gesagt wird, hier so ist es und natürlich die Lösung auf der Hand liegt, dass in diesem SS sieben Call Flow sich eben Dinge ändern müssen. Ich glaube, der Tobias hat dann irgendwann auch sogar noch so ein äh, So ein Firewall Produkt äh entwickelt.

Tim Pritlove
1:23:13
Linus Neumann
1:23:14
Tim Pritlove
1:23:20

Im Wesentlichen die erste Firewall für die SS sieben Welt überhaupt, also das Konzept gab's bis dahin dort sozusagen noch gar nicht mal über Internet geredet, aber da wo halt so viele Daten äh laufen, das ist ja auch ein riesiges Netz. Und was waren ja auch kurz meinte, ne, Gentleman Egre, also man muss sich das jetzt mal Ich breche mal kurz, was du jetzt lange erzählt hast, mal kurz auf was runter, ja? Also. Banküberweisung möchte gerne einen zweiten Faktor haben. Zweiter Faktor deshalb, damit eben nicht nur das Online-Passwort, mit dem man sich einloggt, ausreicht, um Geld zu überweisen. Das war über viele, viele Jahre war das dieser ausgedruckte Tarniste. Das ist quasi ein, Ein zweites Wissen, was die Bank dir einmal vorher per ausgedruckten Zettel per Post. Zuschickt, was alleine für sich auch nichts nützt, ohne das Passwort. Deswegen zwei Faktorsystem. Und dann hat man halt immer diese Tarn eingetippt. Und weil ihnen das irgendwie zu lästig war, diese Zettel zu verschicken und weil das natürlich zugegebenermaßen auch so ein bisschen, Ne, nicht so richtig mobil und nicht so richtig digital ist und ein Telefon und wir wollen ja alle modern sein. Ist man dazu übergegangen halt zu sagen, na ja. Nimm doch eine SMS, dann schicken wir dir die, ne? Was natürlich in dem Moment schon lustig ist, wenn du dein Telefon selber benutzt, um Banking zu machen, weil dann dieser zweite Faktor halt nicht so richtig, weil da geht zwar über einen zweiten Kanal, Aber landen natürlich auf demselben Gerät. Aber das Hauptproblem ist, dass, sich hier eben um einen Kanal handelt, der nicht besonders sicher ist und der vor allem auch nochmal so ein Telekommunikationsverbindung braucht. Und das recht sich natürlich in diesem SS sieben System, wo lange Zeit die Sicherheit nur dadurch hergestellt wurde, dass sich alle Kanten am Tisch Aber heutzutage ist es für jede Bude, die halt irgendwie irgendein SMS-Gateway anbieten möchte, möglichst sich da einfach problemlosen Zugang zu bekommen. Und in dem Moment, wo man dabei ist, ist man quasi mit allen anderen auf einer Ebene, Man sitzt auf einmal an dem Tisch, wo die anderen Könige auch sitzen und weil jede Person zwangsläufig die in den Throseallmarschiert kommt, natürlich auch wahrscheinlich ein ein König sein muss, halten alle anderen Königinnen natürlich auch für Könige, alter Fehler. Und äh ich bin auch ehrlich gesagt ein bisschen sauer auf die Banken, dass sie. Systeme, die nachweislich 'ne hohe Sicherheit haben, hier einfach nicht unterstützen.

Linus Neumann
1:25:40
Tim Pritlove
1:25:46
Linus Neumann
1:26:04

Also ähm. Erstens sei noch kurz erwähnt, wenn ich den Artikel richtig verstehe war, dass nur bei O2 Telefonica möglich, dieser Angriff oder von äh und deutsche Telekom, hatten, haben die entsprechenden äh anderen Konfigurationen gehabt. Ähm es gibt auch, weil ich jetzt gerade den Artikel von Hakan Tenriver nochmal überlegen hat, äh überlesen habe, da da ist also die Rede von einer Rufumleitung, also es wären wäre, was er schreibt, ein anderes Angriffsszenario aber was ebenfalls über SS sieben funktioniert, ähm hatte dann äh auch Tobias Engel glaube ich sogar nochmal ähm, direkt demonstriert, also ne, die die Angriffe über SS sieben sind Mannikfach. Ähm und aus dem Artikel geht nicht hundertprozentig hervor, welcher es jetzt war. Schreibt er auch ein etwas, was mich ein bisschen verwundert, weil mir das unklar vorkommt, was da ich vermute, dass er es selber auch nicht hundertprozentig weiß, welcher, welcher es ist im Angriff da stattgefunden hat, aber, Die Banken bieten mir ein Verfahren an. So und die Banken sagen, das ist sicher. Ja, wenn das sich jetzt als unsicher erweist, bin ich nicht der Leidtragende. Und deswegen bin ich überhaupt nicht böse auf die Banken, wenn sie unsichere Verfahren dafür nutzen, weil das mir im Zweifelsfall vor Gericht ermöglicht, dass ich auf jeden Fall mein Geld wieder kriege. Wir dürfen in diesem Online-Banking-Bereich nicht vergessen. Die Zeche zahlen In neunundneunzig Prozent der Fälle die Banken. Da sitzt jetzt keiner zu Hause, dem irgendwie Geld auf dem Konto fehlt, der am Ende die Bank verklagen muss oder oder sein, sein ähm sein Telefonprovider verklagen muss ja? Ähm da die Leute kriegen in der Regel alle brav ihr Geld zurück. Es sei denn. Es sei denn, den man merkt's nicht oder äh ihnen wird nachgewiesen, dass sie selbst ähm fahrlässig gehandelt haben. Dann, gehen die Banken auch gerne mal hin und sagen, nee, also das zahlen wir jetzt mal nicht, das bist du selber Schuld. Und wir erinnern uns, das ist was, das haben wir hier bei LMP vor wahrscheinlich zwei Jahren oder sowas besprochen, da gab es diesen Fall von einem äh Bankkunden, der hatte so einen, der hatte so einen Chiptan-Generator, ne? Also, Im Moment Königsklasse der Sicherheit kann man tatsächlich so sagen, du hast so ein, du hast so ein kleines Gerät, da musst du die, Chipkarte, die die EC Karte reinstecken. Das heißt, du hast schon mal einen haben, Aspekt, nämlich und vor allem einen haben Aspekt von einem Teil, das zu klonen ähm mit äh mit Bordmitteln nicht möglich. Ist so oder zumindest der, wo der Aufwand das Gerät die die Karte zu klonen, In der Regel teurer ist als das Geld, was du von dem Konto kriegen könntest? Mit anderen Worten nicht ökonomisch, sinnvoll, kopierbares haben. Ähm Und dann steckst du diese Karte da rein, musst was weiß ich noch, die PIN zu der Karte eingeben, hast also nochmal Wissen, ja? Und dann sagt dir das, dann musst du irgendwie so einen Flickercode auf den Bildschirm scannen und dann steht in dem, in dem Display von dem Gerät diese dran, die ich dir jetzt gebe, ja, die ist dafür da, den Betrag X auf die IBAN zu überweisen. So und in dem Moment hast du quasi den wirksamen Schutz gegen man in den Mittelangriffe, Weil wenn jetzt gerade ein Angreifer da ist und versucht dir eine andere Transaktion unterzuschieben, ja? Also statt du überweist äh fünfhundert Euro an mich für heute, wie sonst auch immer? Ne, also ähm. Dann ähm dann würde also auf dem äh an der auf diesem Display stehen eine andere IBAN. Und ein anderer Geldbetrag, ne? So du überweist gerade zehntausend Euro auf diese Schellen. Gib diese, gib die Tannen ein oder nicht. Und dieses Verfahren ist so sicher. Dass es eigentlich kein sinnvoll nachvollziehbares Angriffsszenario darauf gibt. Es sei denn, du machst als Opfer den Fehler nicht zu kontrollieren, was dieses Gerät hier gerade sagt, was du durch die Eingabe der TAN ähm. Für eine Transaktion autorisierst, Da gab es also einen Fall, wo das jemand, äh wo das irgendwie, ich glaube, der Angestellten äh Bürokraft äh oder sowas, die hundert von diesen scheiß Überweisungen machen musste, die hat dann bei der hundert ersten mal nicht hingeguckt oder sowas Und da haben dann die Banken gesagt, nee, also Entschuldigung, das ist eindeutig nicht unsere Schuld. Dieses Verfahren ist sicher, du bist schuld. Und das heißt, dieses sichere Verfahren hat in diesem Fall. Gegen die zu schützende Person gearbeitet. Insofern würde ich's persönlich die zynische. Ähm These aufstellen, du bist besser bedient mit einem Verfahren, was nachweislich unsicher ist, Weil du mit, weil du dann wenigstens notfalls vor Gericht ähm beweisen kannst, dass das nicht deine Schuld war. Sondern die der Bank. Aber okay, äh so. Bitte, wenn jetzt irgendwie Geld von eurem Konto ist, klärt das mit eurer Bank, ich habe euch hier nur einen Tipp gegeben, von mir kriegt ihr das Geld nicht. Die Banken sind natürlich, die wollen diese Online, diesen Online-Sinova ähm aufrechterhalten, die wollen auch nicht den Ruf bekommen, ihre Kunden im Regen stehen zu lassen und deswegen ist dieser Schaden auch in diesem Fall denke ich ähm wird bei den Banken liegen und äh unter Umständen klagen, die sich da die eine oder andere Mark äh von O2 zurück.

Tim Pritlove
1:31:35
Linus Neumann
1:32:06
Tim Pritlove
1:32:55
Linus Neumann
1:32:58
Tim Pritlove
1:33:59
Linus Neumann
1:34:04
Tim Pritlove
1:34:17
Linus Neumann
1:34:21
Tim Pritlove
1:34:23
Linus Neumann
1:34:31
Tim Pritlove
1:34:46
Linus Neumann
1:34:48
Tim Pritlove
1:34:56
Linus Neumann
1:35:10
Tim Pritlove
1:35:42
Linus Neumann
1:36:48
Tim Pritlove
1:36:50
Linus Neumann
1:37:16
Tim Pritlove
1:37:18
Linus Neumann
1:37:41
Tim Pritlove
1:37:44
Linus Neumann
1:37:54
Tim Pritlove
1:37:56
Linus Neumann
1:37:56
Tim Pritlove
1:39:08
Linus Neumann
1:39:33
Tim Pritlove
1:39:35
Linus Neumann
1:40:28
Tim Pritlove
1:40:30
Linus Neumann
1:40:38
Tim Pritlove
1:40:46
Linus Neumann
1:40:47
Tim Pritlove
1:41:01

Genau, hat aber Anderes Programmkomitee, andere Zielgruppe, andere eigene Geschichte. Fand vorher auch schon mal statt. Ist ja nicht so, dass das jetzt für die Republiker erfunden wurde und jetzt sozusagen als Subkonferenz innerhalb dieser Konferenz geboren wurde, weil man gesehen hat, au, wir haben jetzt hier so einen starken Teil äh den müssen wir jetzt mal autarker handhaben und nochmal einen eigenen Namen geben, so ein so ein Su Branding von etwas, was aus uns herausgewachsen ist, sondern es ist etwas, was es vorher schon gab. Und was von da reingegangen ist und sozusagen einfach nur die Republika als Marktplatz benutzt, um die Leute, die ohnehin schon da sind, ohne dass sie sich nochmal ein anderes Ticke. Für eine andere Location ähm dort eben auch einfach noch das Angebot mit äh vor die Nase geworfen zu bekommen. Und das finde ich nochmal besonders problematisch im Punkto Verbesserung, weil da weiß ich dann halt auch irgendwie gar nicht mehr so, Ja, also warum ist denn das jetzt da? Ist es jetzt da, damit es nicht auf der Republika ist? Und deswegen ist es in einem anderen Track, ja? Oder ist es da, Weil man selber nicht mehr die Kraft oder die Energie oder die Kontakte hatte, um die Themen, die wünschenswert sind, äh auch noch mit dazu zu bekommen, oder ist es nur um politisch, äh gesellschaftlich anzudocken. Was ja auch eins der erklärten Ziele der Republika ist, ja diese ganze Debatte zu breit zu streuen, mediale Aufmerksamkeit zu erzielen die ein oder anderen Minister mal über die Bühne zu schleifen, um die dann da auch ein bisschen an die Kandale zu nehmen und denen zu zeigen, hier guck mal, es gibt auch noch Leute, die reden anderen Stoß als in den anderen Veranstaltungen, wo du normalerweise über die Bühne gezehrt wirst sehe ich alles ein, halte ich aber nach wie vor für problematisch in der Wahrnehmung, weil die Leute trennen das halt nicht. Die können das nicht trennen, ich könnte jetzt auch nicht in drei Worten erklären, was diese Media-Convention äh ist, was sie dann anders macht und warum der eine Talk da ist und nicht auf einen anderen Stage ich weiß es einfach nicht und ich glaub das könnte auch kaum einer erklären der auf der Republika ist.

Linus Neumann
1:43:01
Tim Pritlove
1:43:36
Linus Neumann
1:43:38
Tim Pritlove
1:44:07
Linus Neumann
1:44:13
Tim Pritlove
1:44:51
Linus Neumann
1:44:53

Dann das dann Thema Subkonferenz, das hat ja der Republiker jetzt zum ersten Mal echt ein Problem bereitet. Ähm dann rollen wir das mal von vorne auf, sodass die erste erste, hochgezogenen Augenbrauen gab es nach so einem Tagesspiegelartikel, der so ein bisschen äh glaube ich aus dem aus dem Team oder aus der Vorbereitung der Republika berichtete. Die haben sich da offenbar irgendwie so ein ähm Battle Journalist in ihre Vorbereitungstruppe geholt, und die waren dann wohl auch mal irgendwie abends mit denen denen in Praßnik, wo das Team da, ne, das Team trinkt abends noch ein Bier in der Kneipe oder sowas, ne? Na, findet sich dann so der Satz drin vor der diesjährigen Konferenz? Hat sich die Bundeswehr gemeldet. Sie wollte einen Stand aufbauen. Einerseits wollte man dem Militär keine Werbefläche bieten, Andererseits sahen die Republika Planer ein, dass auch die bundeswehrfähige IT-Kräfte braucht. Zum Beispiel, um im Ernstfall Hackerangriffe gegen Atomkraftwerke abzuwehren. Dazu komme ich später nochmal. Außerdem soll die Konferenz doch Ort, der gesellschaftlichen Auseinandersetzung seien keine Selbstvergewisserung Gleichgesinnter. Am Ende stellte sich heraus, die interne Diskussion war überflüssigflüssig, sämtliche Standflächen bereits ausgebucht. Vielleicht wird nächstes Jahr weiter gestritten. Also erstens, das mit diesen mit diesen Atomkraftwerken, also ich meine so ein dämliches Argument, ich will, ich gehe davon aus, dass das hier von den von den Tagesspiegel äh Journalisten reingedichtet wurde, nicht wirklich bei den Republika-Leuten noch kursiert, denn. Ist der der Cyber-Ernstfall der Verteidigung ist ein Mythos. Ja, entweder dein scheiß Atomkraftwerk ist sicher und nicht am Internet, oder es ist es nicht und dann wird nicht innerhalb von wenigen Minuten die Bundeswehr das verhindern. Ja, also das ist einfach Quatsch, aber so viel einfach nur in Richtung des Tagesspiel, Das ernsthaft überhaupt darüber diskutiert wird, diese diese Konferenz, Republika, der Bundeswehr, Zur Verfügung zu stellen für Marketing. Äh das ist natürlich äh hochkritisch und jetzt kann man aber auch nur sagen, das steht da halt im Tagesspiegel, wer weiß, wer da gestritten hat. So wie ich den ein oder anderen wirklichen Republika-Macher, persönlich kenne und nicht irgendwie aus dem Tagesspiegel dritt zitiert lese, will ich ja wohl Hoffnung, kann mir schwer vorstellen, dass das ernsthaft diskutiert wur. Also ähm das möchtest du nun wirklich nicht machen, wenn du über so viele Jahre so eine tolle Veranstaltung aufgebaut hast, dass du die ab dass ihr den den Schaden reinholst, dass das auf einmal, dass du die für Bundeswehrrecruiting öffnest, ne? Und das haben die auch finanziell überhaupt nicht nötig, ne? Die haben ja gerade da wieder, was waren jetzt die ersten Sponsoren, die du da gesehen ha, der große äh Mercedes Stern aus Stuttgart. Äh ein schönes Telekom-Logo, ähm bei denen kannst du gut melken, die wissen, was diese Veranstaltung wert ist für sie. Ähm da kriegst du offenbar auch mit deren Hilfe die Ticketpreise, für ein auf ein für eine kommerzielle Veranstaltung immer noch äußerst groß äh ähm äußerst ähm schmales Niveau mit, Euro. Ähm, ich denke da da bist du nicht darauf angewiesen, die die Bundeswehr da reinzuholen. Ähm insofern hier mal im Zweifel für die Angeklagten, kann ich mir eigentlich nicht vorstellen, dass das ernsthaft bei der Republika diskutiert wurde und dass er es nötig hä. So, jetzt haben die aber nun mal diese Subkonferenz der Media Convention und diese Media Convention macht ihr eigenes Programm, So, die die haben sich da, was weiß ich, wie der die finanziellen Rangements sind. Die werden irgendeine Form von Kosten äh und Gewinnbeteiligung oder sonst was haben. Ähm und haben da ihre Bühne und dürfen die bespielen. Und ähm jetzt haben wir das Risiko oder das Problem ja schon angesprochen, dass das aber eine Eintrittskarte ist und das Programm der Media Convention steht auch auf der Republika-Seite. Und wenn du jetzt auf die, auf die, auf die Veranstaltung der Media Convention gehst, dann steht da knallgroß Titel teilnehmende Thema und irgendwo steht sicherlich auch angemerkt, dass es sich dabei um eine Veranstaltung der Media Convention handelt. Du siehst aber die Seite im vollen Design der Republikan. Ja? Und da war's, gab's jetzt also ein äh ein Programmbeitrag. Coca Cola statt RTL, Edeka statt ProSieben. Mark, produzieren Shows und Formate im Social Web, Mit der Kurzthese jede Supermarktkette produziert eine Kochshow auf YouTube. Formate und Shows für Marken haben Konjunktur und die Qualität nimmt zu. Entwickelt sich hier ein neuer Markt für Produzenten, was erhoffen sich die Marken davon? Ja ähm Man sieht, das wäre jetzt nicht unbedingt was, was äh in der Republika sonst stattfinden würde. Das ist schon sehr stark auf Marketing und irgendwie Marketingtechniken und so weiter äh bezogen und das war dann ein Podium mit äh ich glaube drei oder vier Gästen drauf und der interessante Gast, äh, der dann ja doch einige Leute äh in sprachlos gemacht hat, war Dirk Feldhaus. Der Beauftragte für die Kommunikation der Arbeitgebermarke Bundeswehr. Ähm. Der ist ein Angestellter der Bundeswehr oder des äh direktes äh Verteidigungsministeriums. Weiß nicht, wie man das genau trennt, aber ich glaube, ich hatte seine Visitenkarte, das ist Verteidigungsministerium, was da draufsteht. So und der Beauftragte der Arbeitgebermarke Bundeswehr heißt natürlich seine Aufgabe ist ja Verteidigungsministerin heute, seine Aufgabe ist Die Bundeswehr als Arbeitgeber interessant zu machen. Mit anderen Worten Menschen dazu zu bringen für die Bundeswehr zu arbeiten und ähm die zwei Kampagnen, ähm für die dieser Mann oder zwei der Kampagnen, für die dieser Mann erfolgreich ist und die man sicherlich irgendwie als als sehr erfolgreich auch bezeichnen kann, was auch der Grund war, wahrscheinlich, warum man ihn da eingeladen hat, ist äh die YouTube-Serie die Recruitin wo irgendwie ein paar Jugendliche in der Grundausbildung ähm gezeigt werden. Und ähm diese Plakatkampagne äh in der uns jeder einzelne flachwitz, den man irgendwie übers Halber machen kann, äh geklaut wurde und wo ja auch unsere Sendungstitel schon äh Anwendungen finden, aber auch diese Kampagne ist eben muss man nun mal sagen, ist eben erfolgreich und oder weiß ich gar nicht, ob die.

Tim Pritlove
1:51:14
Linus Neumann
1:51:16
Tim Pritlove
1:51:20
Linus Neumann
1:51:23

So, nichtsdestotrotz hatten wir jetzt natürlich die Situation Ein Mensch vom Verteidigungsministerium, dessen Aufgabe ist, die Marke der Bundeswehr in gutem Licht stehen zu lassen da damit Menschen dazu zu animieren zur Bundeswehr zu gehen war auf einem Podium angekündigt, dass im Rahmen der Republika stattfindet. Moderiert wurde das Ganze von Kathrin Schmidt, die hier auch nochmal ehrenvoll erwähnt wird aufgrund ihrer weiteren Reaktionen. Ähm. Dann haben sich offenbar ein paar Leute zusammengetan und, haben eine Intervention gemacht, um da ihrem Unmut darüber, dass ein, äh, dass ein Bundeswehr äh Vertreter äh der noch dazu mit dem Recruiting beauftragt ist, äh dort auf auf auf der Bühne ist. Die haben also. Hatten so mehrere Schilder, auf denen stand irgendwie Cyber, Cybersex statt, Cyberwehr oder sowas, ne? Oder Cybersex statt Cyberware, äh Soldaten sind Mörder und irgendwie solche entsprechende Plakate da, und äh irgendwie ein Korfetti-Kanonen und ein Sakkonsack, Glitzer oder so, ne? Und sind dann irgendwie über die Bühne gegangen und haben diesen Herrn Feldhaus einer Konfetti-Dusche unterzogen. Ja, diese Intervention dauerte irgendwie sowas wie äh dreißig Sekunden und fand statt und da muss man wirklich sagen, starke Abzüge in der B-Note erstens zu einem Zeitpunkt, als dieser Mann noch gar nicht vorgestellt war. Der saß da auf der Bühne und wäre irgendwann drangekommen. Ähm das war also zu früh. Ich vermute mal, die waren aufgeregt oder so oder haben irgendwie nicht gehört, dass der Mann da jetzt nun mal jetzt gerade gar nicht Thema ist? Ähm zweitens fand die Stadt zu einem Zeitpunkt, als gerade, Ein Video lief, was nämlich der der Gast, der vorher dran war. Eben ihr wieder so, das war eben Teil Teil des des Marketings, was er jetzt macht. Da wurde halt irgendwie so ein Video gespielt. Und in dieser Situation gehen die jetzt auf die Bühne, konfettieren den ein, halten ihre Plakate hoch und kriegen von, ich würde mal sagen, Aber maximal der Hälfte des Publikums, Applaus. So, von Rest nicht. Ähm, Dann ging diese Diskussion äh irgendwie relativ, problemlos weiter. Das Video lief da irgendwie noch ein paar Minuten. Die haben in der Zeit äh den Herrn Feldhaus des äh Konfetti oder dieses Glitzer abgewischt und ähm die Leute von der Bühne gescheucht. Und ähm dann ging die Diskussion weiter. Im weiteren Verlauf, also was mir dann noch aufgefallen ist, Herr Feldhaus hat dann davon seine Arbeit geredet, die eben darin besteht, die das Image der Bundeswehr in der Öffentlichkeit aufzupolieren, denn äh Bekanntheitsprobleme hätte sie ja nicht. Es ging also nicht darum, eine Marke zu etablieren, sondern, eine Marke für andere ähm attraktiv zu machen und er rühmte sich, dass äh da ist mir dann doch die Kinnlade runtergegangen. Er rühmte sich, Die Bundeswehr zum Thema auf Pausenhöfen gemacht zu haben. So. Weiß ich nicht, ob ich da jetzt so unkritisch stolz drauf wäre, dass ich äh es geschafft habe durch eine YouTube-Serie äh Schüler, äh die ja irgendwie meistens noch unter achtzehn sind, aber eben Natürlich auch gerade im rekrutierungsfähigen Alter.

Tim Pritlove
1:54:53
Linus Neumann
1:54:54
Tim Pritlove
1:54:57
Linus Neumann
1:55:01
Tim Pritlove
1:55:04
Linus Neumann
1:55:30
Tim Pritlove
1:55:53
Linus Neumann
1:55:54

Das war die Moderatorin. Ähm die hat also dann nochmal explizit gesagt, so sie wollen hier keine Fragen zur Bundeswehr hören. Das hatten wir ja jetzt schon. So, ne? Die äh die also die Pöbel und Gesocks hatten ja ihre Chance, ja? Und denen ist ja nicht. Das parafrisiere ich ähm ne, die der Pöbel hat ja jetzt schon seine Chance und wir wollen ja jetzt hier äh ist ja eine Fachdiskussion. Fachdiskussion der der Marketer und entsprechend verbat sie sich dann ähm, Fragen zur Bundeswehr oder Kritik an der Bundeswehr. Das Publikum ist ja offenbar eh sehr ähm. Da gewesen und hat sich das dann auch äh verbieten lassen. Und äh die Veranstaltung endete. Ich bin dann noch äh mit mit meinem Aufnahmegerät. Äh ich habe so ein Handaufnahmegerät zum Herrn Feldhaus gegangen, habe mich vorgestellt, habe gesagt, also ich wollte, wären sie denn wohl bereit, mir Fragen zu beantworten und ähm so jetzt hier im Anschluss. Äh das ging leider nicht, weil er also muss man Kammern einsehen, ne? Der durfte zwar auf dieses Podium aber. Ist eben vom Haus aus nicht als Sprecher des Verteidigungsministeriums ähm und ähm irgendwie legitimiert und darf deshalb ähm nicht, Mit mir, durfte deshalb nicht unabgesprochen mit mir sprechen. Wir haben dann im weiteren Verlauf festgestellt, wenn ich ihm die Fragen vorher schicke, Dann könnte er sich nochmal eine Genehmigung vom Hause einholen, darauf zu antworten, dann könnten wir das telefonisch machen. Schade, ich hätte natürlich, also und es gab dann, es war ihm auch klar, dass ich eben bestimmte Fragen nicht stellen darf, Zum Beispiel wie wie sich das so wie sich das so anfühlt, wenn der Job ist irgendwie möglichst Jugendliche dazu zu bringen, dass sie sich freiwillig irgendwie zwölf Jahre ihres Lebens äh als Kanonenfutter subscriben oder wie er so allgemein ähm eine mit dieser Kampagne, so die wir damit umgeht, dass da unsere Witze geklaut hat. Nein, aber sowas darf's dann alles nicht. Mal schauen, ob wir dieses Interview noch führen werden. Aber ähm ich finde es natürlich auch schade, wenn da äh die Fragen. Einer einer Vorauswahl unterliegen. Wenn ich das auch verstehen kann Bei jedem anderen Unternehmen ist es auch so, dass nicht Grandom Vertreter einfach mal ein Interview geben dürfen. Aber schade, hat also nicht stattgefunden. Das war eigentlich der Grund, warum ich da war. Was mich dann aber noch so ein bisschen schockiert hat, muss ich echt sagen, da war dann auch echt eine längere Schlange an Leuten die und dann können wir jetzt auch dieses Fachthema, ne, die ja dann irgendwie sagten, so ja äh ja erstmal so, also wirklich to, toll diese diese YouTube-Serie sie haben ja da wirklich innerhalb kürzester Zeit echt irgendwie Groß Rates auf ihrem YouTube Kanal gehabt und gibt's denn da nochmal 'ne eine gibt's ja nochmal 'ne Staffel zwei wo er dann irgendwie Andeutungen machte und ich musste mir echt auf die Zunge beißen zu sagen leben die Jungs denn überhaupt noch alle, dass wir eine Staffel zwei machen können. Weiß man doch nicht.

Tim Pritlove
1:58:51
Linus Neumann
1:58:55
Tim Pritlove
1:59:00
Linus Neumann
1:59:10

Ja, das war das überrascht mich jetzt nicht Tim, damit bin ich regelmäßig konfrontiert, So, aber ne, ich ich stelle das nur fest. So und ich muss aber auch sagen, dass das dieses Gespräch, was ich da dann eben unfreiwillig ähm bezeugen musste. Eines ist, dass ich in der Form, sage ich mal, auf einer Republika vor fünf Jahren nicht erwartet hätte. Vielleicht bin ich da ein bisschen idealistisch, ich will auch nicht sagen, dass diese Leute äh äh kein Recht hätten, die Republika zu besuchen, aber ich bin dann doch erschrocken gewesen, dass es der Media Convention hier gelungen ist diese Sache so zu positionieren. In einem Umfeld, wo es wenig Kritik gibt und die auch noch dann von der Moderatorin verboten wird. Ähm. Und dass das so stattfindet so, das finde das war für mich der Grund, also ich bin im Anschluss, kann ich sagen, direkt, von dieser Veranstaltung abgehauen. Ich bin da auch nicht mehr wieder hingegangen. So, das war vorbei. Ich musste eh dann nachher weg, aber ich habe dann das hat mich wirklich persönlich echt getroffen und ich weiß. Ähm dass das auch andere aus dem Veranstaltungsteam der Republika getroffen hat. Die also auch sagten, so boa. Das braucht man nicht. Ähm es gibt dann also Johnny Häusler hatte auch ein äh Interview dazu gegeben äh zu diesem, Ich sag mal zu diesem Videofall der läufig so interpretiert wird, dass er mit sehr diplomatischen äh Worten sich da im Prinzip von der Entscheidung der Media Convention distanziert hat. So wird's interpretiert. Ja, also er hat einfach gesagt so, also das war mit uns nicht abgesprochen und Da hatten wir keinen Einfluss drauf. Wir haben das sehr spät erfahren und ähm. So ähm wenn sich jetzt jemand beschweren will, dann bitte bei denen und nicht bei uns. Ja, das kann ich auch verstehen und das finde ich auch äh ja notwendig und richtig, dass er, dass er das so klarstellt. Das Problem das das Drama ging aber noch ein bisschen weiter und zwar im ähm dieser diese Session wurde natürlich auch veröffentlicht. Die haben eine Videoaufzeichnung davon gemacht und einen Livestream und ähm haben diese haben diese Aufzeichnung veröffentlicht und in dieser Aufzeichnung fehlte dieser Protest. Sowas. Allen, ich meine, Kardinalfehler, der dieser der Media Convention Verantwortlichen ist. Du kannst, wenn sowas ist, ne, dann kannst du das nicht rausschneiden. Der Grund, warum der dieser Protest fehlte war. Das zu dieser Zeitpunkt, zu diesem Zeitpunkt ja ein Einspieler lief. Und die ihre Einspieler ähm diese Einspieler aus den, aus der Veröffentlichung rausgeschnitten haben. Also immer wenn ein Video lief.

Tim Pritlove
2:01:56
Linus Neumann
2:01:57

Wurde das, wurde war eine Überblendung äh und das haben sie quasi aus dem veröffentlichten Teil, den sie auf YouTube hochladen, rausgeschnitten. Sagte mir die Frau Sabine Wessels, die die Programmmanagerin von der Media Convention Berlin ist. Ich hab dann in dem Video ein bisschen hin und her gescrollt und du siehst bei Minute drei nein Spieler der nicht rausgeschnitten ist. Ähm was natürlich, also das war dann dieser Badwiser äh Spot, ne? Kennst du dieses WhatsApp oder sowas, ne, keine Ahnung. Den hatten sie dann nicht rausgeschnitten. Mit anderen Worten ähm äh wirklich. Äußerst ungeschickt. Dann wurde gesagt, die Kameras werden ausgeschaltet, wenn äh wenn dieser Einspieler laufen. Was dann nachher das Team von Alex TV Berlin widerlegte, indem sie uns dann äh auf Twitter anboten, dass sie die Aufzeichnung von diesem Protest haben und die gerne bereitstellen, Mit anderen Worten die gute Frau Wessels hat da echt äh sich als Kommunikationsprofi echt nochmal so richtig, Aussagen und äh das war echt jetzt wirklich nicht besonders elegant, wie wie sie sich da, wie sie da das Krisenmanagement gemacht hat. Fakt ist aber, ähm, dass der Protest nicht in dem, in diesem Video drin ist, liegt an dem. Unschönen Timing, der Demonstranten oder der Protestanten, die da quasi während einem Video und vor allem bevor der gute Herr Feldhaus überhaupt die Gelegenheit hatte, äh vorgestellt zu werden äh über die Bühne laufen und ihre Interventionen machen. Und äh da sind sie eben. Unter die Räder gekommen. Ich meine, selbst wenn die Media-Convention das nicht rausgeschnitten hätte. Dieses Video, dann wäre eben auch zu dem Zeitpunkt das Video zu sehen gewesen und nicht die Bühne, ja? Insofern einerseits wirklich ein total schlechtes Timing von diesen von den von den Demonstranten äh oder wie nennt man das von den Konfetti Leuten ähm andererseits natürlich trotzdem eine sehr ungeschickte äh sehr ungeschickte Verarbeitung durch die Media Convention, weil wenn du so einen Protest rausschneidest, dann setzt du natürlich sofort, dich und dein, Die Republika, diesen ähm diesen Verdacht aus, dass da eben äh nicht nur der Protest explizit von deiner Moderatorin auf der Bühne verboten wird Äh sondern dass du den auch noch nachher rausschneidest. So ähm das ist echt ein bisschen also. Und dann noch irgendwie nachweislich falsche Aussagen von der Programmmanagerin so boa Also da kann man der Republiker wirklich nur raten, dass sie sich irgendwie in den nächsten Jahren nochmal überlegt, ähm wem man sich als Subkonferenz ins Boot holt und wie man da den nochmal bei ihrer Programmgestaltung auf die Finger schaut so, weil das der Schaden für die Republika ist jetzt in Grenzen. Aber keine Sau und das ist auch das Problem, keine Sau unterscheidet die Republika von der Media Convention die die Republik das Republicas Team steht im Feuer, ja? Mit warum habt ihr die Bundeswehr da? Warum schneidet ihr den Protest raus? Warum äh hier, warum das, ne? Und ähm da muss man jetzt einfach mal sagen, zu Unrecht. So, zumindest nicht Direkt, also die Republika ist nicht verantwortlich für das, was da geschehen ist, die Republika war nicht verantwortlich für die Verarbeitung dieses Videos. Die haben halt ein sehr unglückliche Wahl offenbar bei ihrer Subkonferenz getroffen, waren jahrelang damit happy und zufrieden. Ähm und jetzt haben sie halt da offenbar etwas, worüber sie mal mit ihrem mit ihrem Partner da reden müssen. Ähm, Nur mir geht's nur wichtig, mir geht's nur darum, äh eben zu sagen, so Republika. Hat damit nichts zu tun. So und diese Media Convention Leute, die habe ich aber jetzt aber auch wirklich doppelt gefressen, bin ich auch ganz ehrlich.

Tim Pritlove
2:05:49
Linus Neumann
2:06:18
Tim Pritlove
2:06:41
Linus Neumann
2:07:26
Tim Pritlove
2:07:33
Linus Neumann
2:07:51
Tim Pritlove
2:07:53
Linus Neumann
2:08:39
Tim Pritlove
2:09:21
Linus Neumann
2:09:40
Tim Pritlove
2:10:10
Linus Neumann
2:10:55
Tim Pritlove
2:11:57
Linus Neumann
2:13:26
Tim Pritlove
2:13:27

Genau, jetzt jetzt, jetzt wird dem Ganzen äh der Titel offiziell verliehen und das dürft ihr euch cool nennen. Jetzt kommen wir auch. Nein, wer Leipzig äh ein wenig kennt, weiß, dass es da einfach kulturell äh ziemlich abgeht in den letzten Jahren. Ist auch eine wachsende Stadt. Und trotz einfach nicht äh vor Langeweile. Und das ist das ist gut und wir freuen uns auch da in die kulturellen Eigenschaften der Stadt ein bisschen anzudocken. Das wird natürlich jetzt, auf diesem Messegelände, was ja dann doch etwas isoliert am Nord äh Rand der Stadt liegt. Ähm eine Herausforderung so. Nicht, dass wir uns jetzt, wenn es in der Stadt liegen würde, sind besonders viel auß, dieses Geländes äh aufgehalten hätten, aber muss man einfach mal gucken, wie sich das da so entwickelt. Ist ein großes Gelände und äh Ist ein relativ modernes Gelände auch. Zwanzig Jahre ist das erst alt, das ist jetzt sagen wir mal nicht so eine, also Messe Leipzig ist natürlich viel viel älter, aber die traditionellen Messerhallen, weil ja alle in der Stadt, das war nicht mehr zu halten, die haben da jetzt noch, glaube ich, noch so eine kleine Stadthalle oder so etwas, was auch noch von der Messe betrieben wird. Und wir haben das. Team, Von der Messe Leipzig allerdings als sehr agil, sehr aufgeschlossen, sehr kooperativ empfunden, also das war so auch, so ein Gefühl dabei von Anfang an, wo man gesagt hat, hier rennen wir nicht in Widerstände, hier rennen wir in Möglichkeiten. Und das ist für den Kongresscan sehr, sehr, sehr wichtig. Jetzt ist auf jeden Fall angekündigt und weiß nicht, ob's noch Hotels gibt. Der Run war spürbar. Ähm ich denke, das wird aber reichen. Ähm leider gibt's nicht so viele Hotels in unmittelbarer Messe hier. Das ist ein Problem aber es ist auch alles nicht so groß und nicht so weit weg. Man kann sich super zum Beispiel so mal als Tipp, wer nochmal günstig äh unterkommen möchte. Es gibt ein paar sehr günstige äh kleine Hotelhosteldinger, die alle so an dieser Straßenbahnlinie sechzehn äh liegen.

Linus Neumann
2:15:37
Tim Pritlove
2:15:40
Linus Neumann
2:15:43
Tim Pritlove
2:15:51
Linus Neumann
2:15:53
Tim Pritlove
2:15:55
Linus Neumann
2:16:27
Tim Pritlove
2:16:38
Linus Neumann
2:16:42
Tim Pritlove
2:16:50
Linus Neumann
2:16:53
Tim Pritlove
2:16:59
Linus Neumann
2:17:47
Tim Pritlove
2:17:53
Linus Neumann
2:18:05
Tim Pritlove
2:18:07
Linus Neumann
2:18:10