Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP296 IT-Sicherheit per Gesetz

Frank Rieger und Linus Neumann diskutieren das IT-Sicherheitsgesetz "2.0"

Der Chaos Computer Club begleitet seit jeher das Handeln der Bundesregierung im Bereich der IT-Sicherheit mal wohlwollend, meist aber kritisch. CCC-Sprecher Frank Rieger und Linus Neumann blicken zurück auf relevante Gesetzesvorschläge der vergangenen Jahre, grenzen das Themenfeld ein, und bewerten den kürzlich von netzpolitik.org veröffentlichten Entwurf für ein IT-Sicherheitsgesetz "2.0"

https://logbuch-netzpolitik.de/lnp296-it-sicherheit-per-gesetz
Veröffentlicht am: 15. April 2019
Dauer: 2:14:01


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:37.280
  3. Hackertool-Paragraphen 00:02:34.838
  4. IT-Sicherheit: Quo vadis? 00:10:08.391
  5. IT-Sicherheit: Was ist das? 00:15:55.781
  6. Ausschuss Digitale Agenda 00:22:48.213
  7. Eckpunkte deutscher Kryptopolitk 00:27:20.359
  8. Staatstrojaner 00:28:35.428
  9. Vulnerabilities Equities Process 00:36:26.254
  10. IT Sicherheitsgesetz 1.0 00:52:40.100
  11. ITSG 2.0 01:00:20.819
  12. Passwort-Herausgabe 01:02:08.581
  13. Strafmaßerhöhungen §202 01:19:20.099
  14. Digitaler Hausfriedensbruch 01:20:34.532
  15. Aktive Maßnahmen 01:23:38.184
  16. Rechtswidrig erlangte Daten 01:36:43.406
  17. Anhörung im Innenausschuss am 8. April 2019 01:43:20.061
  18. Abschließende Bewertung 01:52:35.326

Transkript

Frank Rieger
0:00:00
Linus Neumann
0:00:09
Frank Rieger
0:00:13
Linus Neumann
0:00:37
Frank Rieger
0:00:46
Linus Neumann
0:00:47
Frank Rieger
0:01:47
Linus Neumann
0:01:48
Frank Rieger
0:01:53
Linus Neumann
0:01:54
Frank Rieger
0:02:34
Linus Neumann
0:03:44
Frank Rieger
0:03:47
Linus Neumann
0:03:49
Frank Rieger
0:03:57
Linus Neumann
0:04:01
Frank Rieger
0:04:20

Genau, also es war halt so der der jetzt, ich hab's wieder bei so einem der zwohundertzwo Ausspielen von Daten und der zweihundertzwo B-Abfang von Daten, die gibt's halt schon länger Also die sind halt schon sozusagen die traditionellen Hacking-Paragraphen. Äh und der zwohundertzwo C war dann die Ergänzung um ums Werkzeug äh und. Der ist halt ziemlich schwammig formuliert, ne? Also das ist halt so eine so eine typische Formulierung, wo man sich als, So mal normaler Hacker schon so ein bisschen wundert, ob man jetzt auch damit gemeint ist und deswegen äh sind halt ein paar Sicherheitsforscher damals was Bundesverfassungsgericht gezogen, zweitausendneun gab's denn eine Klageablehnung, äh die eigentlich sehr umfangreich war. Äh wir verlinken hier auch in dem Shownotes, äh die erläutert, so ein bisschen die juristische Interpretation auch im Kontext des äh der Gesetzesbegründung und legt quasi fest, dass es, am Ende nur einen Zuschlagparagraph ist. Also das halt der Paragraph zwohundertzwo C nicht, für sich benutzt werden kann, sondern nur wenn die klare, kriminelle Intention belegbar ist ne, das heißt also, wenn du sozusagen in normal dummen Fall, du hast halt baust halt irgendwie die einen einen neuen Exploid und äh äh parallel dazu, chattest du auf einem unverschlüsselten System darüber, dass du jetzt gerade den neuen Expo gebaut hast, um deine Bank anzugreifen, dann äh würde der zwohundertzwo C greifen. Für sagen wir mal so Standardwerkzeuge sagen wir so Mieterspläue oder was auch immer oder Dinge die du halt mit dir führst auf deinem Computer, um die, IT-Sicherheit im Rahmen deiner deines Berufs oder deiner Forschungstätigkeit von Systemen zu prüfen ohne kriminelle Intention kann laut diesem dieser Begründungsverfassungsgerichts der zwohundertzwo C eben nicht angewendet werden. Und das halt so eine, so eine Einschränkung, die so ein bisschen schwierig zu verstehen ist, weil dieser Paragraph halt so, der liest sich so wie ich bin gemeint, aber halt diese dieser, also ab äh zu dem äh in der Ablehnungsbegrundung Verfassungsgericht ähm ja ab Abstand sechzig, ne? Also ist halt, so danach muss das Programm mit der Absicht entwickelt oder modifiziert worden sein, es zur Begehung der genannten Straftaten einzusetzen. Diese Absicht muss sich für eine objektiv manifestiert haben, ne? Also das ist sozusagen die. Die Einschränkung dafür.

Linus Neumann
0:06:49
Frank Rieger
0:07:03
Linus Neumann
0:07:41
Frank Rieger
0:07:45
Linus Neumann
0:07:56
Frank Rieger
0:08:01
Linus Neumann
0:08:04
Frank Rieger
0:08:38
Linus Neumann
0:10:01
Frank Rieger
0:10:19

Ja. Ach so. Ich, so Vorträge oder so, sage ich halt immer, wenn ich über IT-Sicherheit rede, so. Also wir ehrlich wären als Branche, IT-Security, müssten wir eigentlich die weiße Fahne essen. Ja, also weil ich meine, wir haben halt die Situation, dass die die Technik, die wir gerade verwenden, ist halt leider schlecht. Also das was da draußen ausgerollt ist, ist in der Regel halt kaum sicherbar. Auch die Snackold Tools, die man halt sich noch dazu installieren kann und ich meine selbst Suman Tech, also der führende Snack-Eul-Hersteller sagt, wir sehen nur fünfzig Prozent der Mehrwerte. Weil der Rest ist halt irgendwie so schnell modifiziert, dass wir nicht mit den Updates hinterherkommen, Custom oder unsere Juristiken versagen. Ich meine, muss wir vorstellen, wenn Sicherheitsprodukt ist quasi wie ein Schloss, Wenn du das mal übertragen willst, was in der Hälfte der Fälle halt irgendwie einfach auf ist, wenn ein totaler Klinker. Also so wir haben halt irgendwie ja eine Situation, wo wir glaube ich, schneller, mehr schlechte Software schaffen als, Alterssoftware fix und so. Also wenn man sich so anguckt, zum Beispiel gerade die Briten haben diesen ihren Report zu AVI veröffentlicht. Können vielleicht auch nochmal verlinken. Wo die, also als Kontext zu dieser Diskussion, weil die auch gerade diese IT-Sicherheitsdiskussion grade sehr treibt so, also so, also wir haben ja immer gesagt, irgendwie Backdoors ist ein Problem. Und jetzt sind wir so ein bisschen überrascht davon, dass natürlich die Amis diesen äh aus eigener intimer Kenntnis, der der Vorgehensweisen jetzt halt den Chinesen unterstellen, dass überall Vectors einbauen und die Briten haben dann halt mal reingeguckt, also die haben halt seit fünf Jahren so ein Outlet-Projekt mit laufen. Und dieser Report liest sich halt so wie. Ist halt genauso scheiße wie überall. Ja, also wir haben halt irgendwie so Sachen wie, tausende unsichere mit dem Copy und Strink Copy äh Geschichten einfach bei offensichtlich haben die nur durchgegrippt durch den Source. Kein Repreducer Bebilds heißt also du weißt nicht welche Bande, welches Beinerie gerade auf deinem Roter ist aus welchen Source es gebaut wurde, kannst du nicht sagen.

Linus Neumann
0:12:26
Frank Rieger
0:12:56
Linus Neumann
0:13:02
Frank Rieger
0:13:03
Linus Neumann
0:13:05
Frank Rieger
0:13:30
Linus Neumann
0:13:33
Frank Rieger
0:13:48
Linus Neumann
0:13:49
Frank Rieger
0:13:57
Linus Neumann
0:13:58
Frank Rieger
0:14:09
Linus Neumann
0:14:11
Frank Rieger
0:14:24
Linus Neumann
0:15:03
Frank Rieger
0:15:11
Linus Neumann
0:15:13
Frank Rieger
0:15:20
Linus Neumann
0:15:22
Frank Rieger
0:15:38
Linus Neumann
0:15:42
Frank Rieger
0:17:02
Linus Neumann
0:17:03
Frank Rieger
0:17:05
Linus Neumann
0:17:07

Gitarre, sagst du frisch spielen. Und genauso kann der Computer eben. Äh weitere Funktionen haben, wie führe doch mal die Tastatur, die auch der Tatatur gedrück. Befehle nochmal ab über das Internet an einen Server in Russland oder in China oder in den USA. Ähm, das heißt wir haben jetzt auf einmal so 'ne neue Problemklasse von Geräten die wir, Ich meine, wirft die meisten Geräte, mit denen wir arbeiten, verstehen wir nicht. Jetzt haben wir aber auch noch welche, die wir. Erstens nur nicht verstehen, sondern die zweitens auch noch universelle Funktionen haben können. Und diese universellen Funktionen können, so kompliziert oder unkompliziert sein, wie sie wollen. Und so gibt's dann einen ganz neuen Problembereich, in dem wir beide im Prinzip beruflich tätig sind und das ist der der IT-Sicherheit, der im Prinzip darauf beruht, zu sagen, okay, wir haben. Ganz grob drei Schutzziele für Systeme und Daten, Verfügbarkeit, Integrität, Vertraulichkeit, Verfügbarkeit heißt, okay, wenn das System weg ist, sind die Daten weg, können wir nicht damit arbeiten, ist relativ einfach, Vertraulichkeit, ähm. In also naiv interpretiert heißt die Daten dürfen nur uns zugänglich sein, wenn man jetzt aber mal so ein größeres Management reingeht, ist im Prinzip die Daten dürfen nur den Nutzern, Rollen und Systemen zugänglich sein, bei denen wir das wollen, wenn wir jetzt ein größeres Unternehmen oder ein größeres Mobilfunknetz anschaut, dann hast du im Prinzip für ein spezifisches Datum oder System. Ein relativ komplexes Rollenkonzept, mit welcher, welcher äh welcher Person und welches System, welche Berechtigung, hat zum Zugriff auf welche Daten. Mit zum Mobilfunknetz, da gibt's eine zentrale Instanz, die, Zum Beispiel regelt, wer sich in dieses Mobilfunknetz unter welchen Bedingungen einbuchen darf und unter welchen Bedingungen nicht die gleiche Instanz weiß, aber auch welche Person sich gerade oder welcher Subscriber sich gerade wohl mobilfunknetz befindet, weiß zum Beispiel, aber auch mit welchen Schlüssel, gerade Verschlüsselt wird, wenn mit dieser mit diesem Substriber gesprochen wird. Alles drei Da. Die in unterschiedlichen Kontexten relativ komplexen unterschiedlichen Rechten unterliegen, sodass. Ne, dieser Kiel ist sehr kompliziert, weil damit oder sehr kritisch, weil damit wird äh die Kommunikation verschlüsselt, für den gelten streckenweise andere Anforderungen, wie die, wie für die Information wo in unserem Netz befindet sich der Subscriber jetzt gerade, weil diese Information brauchst du unter Umständen auch, um sowas wie eine SMS zuzustellen oder einen ähm. Oder einen äh Anruf durchzuleiten, Und interessanterweise genau da sind ja auch die klassischen schönen Angriffe in den Mobilfunknetzen, die sich dann über zwei G drei G vier G manifestiert haben. Das ist dann eben. Corner Cases gab, wo man dann das äh doch mal fragen konnte, ey, kannst du dem Klima ganz kurz geben und der dann rausgegeben wurde, also das ist alles dieser Bereich, der Vertraulichkeit. Und dann als dritte Schutzschutzziel Integrität, dass ich so ein bisschen so definieren würde als das System, macht das und nur das, was von den Programmierern intendiert wurde.

Frank Rieger
0:20:21
Linus Neumann
0:20:28

Genau, ne? Du, der hat keiner dran rumgefummelt, dass ähm die Daten, die du gestern abgelegt hast, sind morgen noch die gleichen und insbesondere beim, bei deinem ganzen Bootstrapping, wenn das System hochfährt, wird nicht noch irgendeine Funktion hinzugeladen, die beispielsweise jetzt weitere Funktionen hinzufügt, die du die du nicht haben möchtest. Und diese drei Ziele zu erreichen. Ist leider fürchterlich schwer. Insbesondere wenn du dann noch einen aktiven Angreifer hast, der nicht nur ähm der also Schwachstellen nicht nur passiv ausnutzt, sondern vielleicht auch, aktiv versucht sich dieses Systemes zu bemächtigen. Und das ist das, was eigentlich die IT Seite, Ja, weiß ich nicht, wie viel Jahrzehnten Leute Informationssicherheit überhaupt versuchen, aber es beschäftigt die DIT seit seit so vielen. Jahren. Und meine etwas. Vorsichtige Teesitze, der wir später nochmal kommen werden ist theoretisch wäre das ja alles möglich, aber wir haben eigentlich einfach nur das also nur das kleine Problem, dass wir es nie hinkriegen. Und dazu wurden wir ähm das Problem ist natürlich mit der fortschreitenden Digitalisierung so groß geworden, dass. Jetzt der Gesetzgeber eben sagt, okay, da müssen, da müssen wir doch mal was machen. Und zwar nicht zum ersten Mal. Hacking einfach zu verbiegen, wandern die ersten Bemühungen zweitausendsieben, zweitausendacht. Ähm. Paar Jahre später ähm waren dann. So bewahren wir zum Beispiel mal als CC im Ausschuss äh digitale Agenda. Das war zweitausendvierzehn, wenn ich das jetzt richtig sehe, da war damals ich und ich habe eine Stellungnahme, vertreten. Da haben wir, glaube ich, alle dran rumgeschrieben. Da waren auch irgendwie du Konstanze, Erdgeist, ein bisschen dran beschäftigt und das war jetzt auch nicht das erste Mal, dass diese Forderungen des CCC vertreten wurden. Die sind nämlich im Prinzip immer gleich. Nämlich, dass wir sagen. Wir müssen irgendwie, wenn der Gesetzgeber da irgendwie oder die Regierung da irgendwie wirken möchte. Da muss erstmal die Qualität der Software erhöht werden und das Vertrauen ins Software erhöht werden. Also haben wir gesagt ähm soft die Software, der wir vertrauen, die muss ohnehin Open Source sein. Weil wenn sie es nicht ist, dann können wir ihr nicht vertrauen. Du hast gerade schon einen zweiten wichtigen Punkt gesagt. Open Force reicht noch nicht mal, sondern du willst auch, Reproduct Bills haben. Ist immer so schwer auszusprechen äh meine Güte jetzt.

Frank Rieger
0:23:16
Linus Neumann
0:23:17
Frank Rieger
0:23:21
Linus Neumann
0:23:23
Frank Rieger
0:24:11
Linus Neumann
0:24:22
Frank Rieger
0:24:53
Linus Neumann
0:24:57
Frank Rieger
0:25:15
Linus Neumann
0:25:18
Frank Rieger
0:25:19
Linus Neumann
0:25:24

Das war ein Riesending und ich weiß, dass wir da jahrelang drüber gesprochen hatten, bis sie dann irgendwann bereit waren, mal auf den Kongress äh dann Talk drüber zu halten. Also wer sich für dieses Problem interessiert, kann da äh reinblicken. Wir haben damals gesagt, okay, Open Source ist sowieso schon mal eine Grundvorsorussetzung reproduzierbares. Es gibt Bauer. Gehört noch dazu und dann natürlich, wenn wir in diesem Open Source steckt ja auch drin. Öffentliche Gelder öffentlich verfügbarer Code, dann wollen wir wenigstens auch. Hier eine Qualitätssicherung feststellen, da haben wir, glaube ich, gesagt, okay, Outdits, Backbound Tees, ne, die klassischen Maßnahmen, um diesen Code ähm. In seiner Qualität zu steigern, zum Beispiel, dass mal jemand durchgrippt und sich anschaut, wie viele unsichere äh Speicherzugriffe sich da drin befinden und die mal sauber aussortiert, Wir haben dann gesagt, okay, eigentlich wenn es hier um, kritische Infrastrukturen geht, dann wollen wir das dezentral haben, dezentral deshalb, weil Dezentralität, die die Resilienz des Systemes hoffentlich ein bisschen steigert und Ende zu Ende Verschlüsselung, weil das eben. Einzig sinnvolle bekannte Methode ist, um Vertraulichkeit so sicherzustellen, dass sie nicht an zentraler Stelle gebrochen werden kann. Und dann wo die letzte Forderung etwas politischer, aber ich denke auch da haben wir echt nochmal gezeigt wohin dass wir wissen wohin die Reise geht, nämlich wir wollen eine unabhängige und evidenzbasierte Sicherheits und Geheimdienstpolitik.

Frank Rieger
0:27:01
Linus Neumann
0:27:10
Frank Rieger
0:27:18

Ja, wobei da halt also sollte man vielleicht nochmal kurz ausholen, so eine der Grundlagen, wieso wir in Deutschland, bisher relativ wenig Stress damit haben, Verschlüsselung zu machen, dass das halt die gültigen äh Eckpunkte deutscher Kryptopolitik, die noch aus den Neunzigern stammen, von der Bundesregierung halt äh und sogar vom Innenministerium wieder bekräftigt wurden. Äh man also gesagt hat, okay, die äh der Staat, ist prinzipiell Führverschlüsselung als wesentlicher Baustein von IT-Sicherheit, weil letzten Endes ist Verschlüsselung. Somit das einzige, was wir noch haben in der IT-Sicherheit, was man hinterher noch drauf slappen kann, was halt irgendwie tatsächlich die äh ähm. Sicherheit so ein bisschen verbessert und die äh diese Eckpunkte deutscher Kryptopolitik sind. So ein bisschen der zentrale Verteidigungsanker gegen alle Versuche zu sagen, wir wollen Hintertüren haben oder wir wollen KISGO haben oder ähnliche Dinge so und das heißt also die haben halt nicht Gesetzesrang, das ist halt, quasi so eine politische Absichtserklärung. Die ja deswegen halt nur so bedingt verlässlich ist, so also ich hätte hier eigentlich ganz gerne im Grundgesetz. Ne, also halt äh wir haben allerdings auch immerhin äh verschiedene Orthos-Bundesverfassungsgerichts in denen das Recht auf digitale Selbstverteidigung. Bestätigt ist. Also wo man halt sagt, okay äh der digitale Raum hat halt gewisse Unsicherheiten und der. Bürger muss und darf Maßnahmen ergreifen. Da ging's zwar in in den Staatstreuern erurteilen. Wo sozusagen nochmal gesagt wurde, okay, auch wenn du irgendwas dagegen tust, dass du tronisiert wirst, ist es dein gutes Recht, weil das sind halt allgemeine gute Handlungsweisen der IT-Sicherheit äh deine Systeme zu härten.

Linus Neumann
0:29:10
Frank Rieger
0:29:18

Na das sind also das Kernurteil ist äh von zweitausendacht, in dem das Bundesverfassungsgericht äh das Grundrecht auf die Vertraulichkeit und Digität informationstechnischer Systeme, festgeschrieben hat und gesagt hat, okay, also äh prinzipiell gibt's erstmal ein Grundrecht, was natürlich wiederum auch eingeschränkt werden kann äh wo man sagt, okay, also das äh. Staatliche Infiltration von Sechnischen System, mit den Nutzer überwacht und Speicher mir ausgelesen werden können, das verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für überragend wichtiges Recht rechtsgut bestehen. Also Leib und Leben äh frei der Person oder Grundstück der Existenz und so weiter, ne? Ähm! Und die ähm. Dieses dieser Grundsatz sagt aber eben auch, dass die äh, Anwendung von Trojanern halt nicht leichtfüßig passieren darf, so. Leider ist in diesem Urteil dann halt ein einschränkender Paragraph drinnen, also ein einschränkender Absatz, der halt sagt, okay, wenn's nur um Telefonabhören geht, dann ist das schon okay, also dann kann man halt also mit einem beschränkten Trojaner, die so Quellen, Telekommunikationsüberfahrungstrojaner da den könnte man anders regeln so und das ist halt das was wir jetzt gerade haben so der Zustand, dass also die Behörden noch immer damit kämpfen halt ihre zu bekommen, dass sie alle Plattformen trainieren können. Die Anwendung wird natürlich immer schön daheim gehalten, das heißt also es noch relativ wenig darüber bekannt, dass tatsächlich jetzt nach den äh, damals hieß der die Bude Digitask, genau Digitals, Trojanern, die damals verwendet wurden, die halt so eher so aus der My First Trojaner Ecke waren, was irgendwie so die Software anging, äh dass jetzt halt so nach und nach. Entweder Eigenentwicklung oder halt von den üblichen äh Diktaturzulieferern gebaute äh Trojaner halt irgendwie bei den Behörden eingesetzt werden sollen.

Linus Neumann
0:31:34
Frank Rieger
0:32:37
Linus Neumann
0:32:39
Frank Rieger
0:33:20
Linus Neumann
0:33:36
Frank Rieger
0:33:37

Ding kannst du eine Raumwande draus machen, ne? Also es war halt irgendwie kurz, also diese das halt auch weiterhin so ein Problem mit diesen äh. So hatte Quellenticket, Utrojanern, die also eine angeblich beschränkte Funktion haben. Wenn man das Mikrofon auf dem Endgerät anmacht äh dann ist das Ding hier erstmal eine Raumwand zu. Und ein Raumwanzen hängen in Deutschland, also wirklich sehr, sehr hohe rechtliche Anforderungen. Also ist halt ein äh es war damals halt die, das Gesetze wegen dem Sabine Lotthäuser Schnarrenberger zurückgetreten ist und die Also tatsächlich einen Raum zu verwanzen, ist so, die strafprozessuale Maßnahme, die halt irgendwie am eigentlich am schwierigsten durchzubekommen ist. Äh eine Telefonüberwachung hingegen wird irgendwie wöchentlich hundertfach durchgestempelt von den Richtern. Und der technische Unterschied, zwischen dieser Raumüberwachung und einer Telefonüberwachung sind halt zwei Zellen Kot, nämlich die zu gucken, ob gerade eine Telefonie-Software aktiv einen Call hat oder nicht, ne? Und äh wann das Zufall das ich hinbekommt oder nicht. Keine Ahnung wahrscheinlich eher nicht. So also ich meine weil letzten Endes geht's ja darum was denn die straffe Volksbehörden da tun. Und, dieses Problem ist halt, also wir haben's halt in den damals in dem Verfahren auch gebracht, wir waren der Gutachter äh beziehungsweise Sachverständige und äh aber. Das hat nicht verfangen leider, also tatsächlich diese der Glaube darin, die werden das schon richtig machen und da wird halt schon nichts passieren und die werden sicher Treu einer bauen, die wirklich nur dann das Mikrofon anmachen, wenn tatsächlich ein aktiver Call läuft. Der hat sich da halt leider verfestigt so.

Linus Neumann
0:35:24
Frank Rieger
0:36:26

Also warum erzählen wir diese Trojanergeschichte? Weil ähm die dieses Spannungsfeld. Zwischen der Verantwortung des Staates für eine, soweit Daseinsvorsorge, also für die Sicherheit einer Bürger. Sich auch auf die IT-Sicherheit erstreckt, und für so einen Trojaner, beziehungsweise Benutzung von solchen Trojanern, ist es ungemein praktisch, wenn man Sicherheitslücken hat, die noch nicht gepatcht sind. So, das heißt also die Auslieferung dieser Trojaner, also eine der Möglichkeiten dazu ist, eben den Explorts zu benutzen und dann halt die entsprechenden Systeme zu infizieren, am besten aus der Ferne, weil da hat man am wenigsten Arbeit. So und da ist der Stahl natürlich jetzt in so einer Bedrohung, nämlich, wie soll denn eigentlich die Abwägung passieren zwischen der Start-Weiß von eurer Sicherheitslücke. Und er hätte sie gerne noch eine Weile offen gelassen, weil damit halt entweder geheimdienstliche oder strafverfolgte Operationen offen. Und eigentlich ist dieser Konflikt nicht wirklich auflösbar. Die Amerikaner haben dazu versucht, so eine, Möglichkeit zu bauen, die nennen sie Security, wo eine Robility Equitys Proces, die beim Review der ersten Version halt äh sich als ähm eher, na ja, nicht so richtig toll, herausgestellt hat, wenig überraschend, weil die Geheimdienste einfach gesagt haben, so na ja, da tun wir halt nur die Backs rein, von denen wir wissen, dass sie ohnehin verbrannt sind und die Sachen, die halt wirklich äh Die Gurke wirklich großen Keulen sind da reden wir halt nicht drüber, wo dann halt so was wie Tunnel Bluebay rauskam, ne? Also erinnert's euch dunkel, der Exploid von der NSA, der dann halt irgendwie relativ zügig dazu führte, dass wir die größten und verheerendsten Mehrwertkampagnen überhaupt in der Geschichte bis wir hatten, wo halt.

Linus Neumann
0:38:14
Frank Rieger
0:38:16
Linus Neumann
0:38:23
Frank Rieger
0:38:28

Genau und das waren halt ein Exploid, auf dem die NSA jahrelang gesessen hat und äh der halt gegen quasi alle Windungsversionen funktioniert und. Ja, wenn sie da nicht drauf gesessen hätten und halt irgendwie den äh äh den an Microsoft gemeldet hätten zum Patchen und zwar nicht erst als klar war, dass es liegt, sondern so, als sie ihn gefunden haben. Wer hat sowas wie schlicht nicht passiert. Das hat man relativ gute Illustration davon, das ist also eigentlich für so einen Staat nicht wirklich eine Option ist, äh so Explorthourting. Zu machen und hört die eher sich da so Stockpaides hinzulegen. Jedenfalls nicht, wenn er versucht ehrlich zu spielen. So die Amis interessiert sie natürlich nicht, weil die treffen diese Abwiegung halt irgendwie in der Regel hat zugunsten der Geheimdienste in Deutschland, es läuft diese Diskussion gerade intensiv und die wird halt auch im Kontext, dieses IT-Sicherheitsgesetz zwei neu geführt, weil, da drin eher auch definiert wird, dass ähm zum Beispiel das BSI halt als äh zuständige Behörde auch federführend bei der Meldung von IT-Sicherheitslücken ist, ne? Also wo halt man sagt, okay, wenn man dem Staat halt sein will, hier lieber Stadt, hier gibt's 'ne Sicherheitslücke, weil man halt grade kein Bock hat, sich mit dem Hersteller auseinanderzusetzen, weil, äh dort äh in der Regel halt irgendwie nicht unbedingt nett ist, wenn der Hersteller halt nicht so gut drauf ist dann wäre der schon ganz schön, wenn man eine vertrauenswürdige staatliche Behörde hätte, wo man hingehen könnte und sagen könnte, hier liebes BSI, hier ist die Sicherheitslücke und hier ist es irgendwie die Sachen, die reproduzieren und dann sagt das BSI Dankeschön, gebt einem vielleicht noch ein bisschen Geld dafür und kümmert sich drum, dass der Kram gefixt, wäre eigentlich wohl ich eigentlich von meinem Staat erwarten, dass es so einen Service gib.

Linus Neumann
0:40:15
Frank Rieger
0:40:20
Linus Neumann
0:40:21
Frank Rieger
0:40:28
Linus Neumann
0:41:04
Frank Rieger
0:41:10
Linus Neumann
0:42:25
Frank Rieger
0:43:41
Linus Neumann
0:43:43

Ja, es ist auch eine, ich glaube, die Produktion von äh Schokolade ist auch irgendwie zwei Wochen ausgefallen, weil irgendeine Produktionsstätte von Milka oder Rittersport oder also Nestle oder sowas äh befallen war. Also wir sind da wirklich herrschaft an der Katastrophe vorbeigeschossen und. Das war zu einem Zeitpunkt, wo die Schwachstelle schon seit zwei Monaten bekannt war und seit einem Monat gefixt oder, ja? Das heißt, da haben wir nur einen Vorgeschmack auf das Risiko bekommen, was in dem Fall die NSA über Jahre eingegangen ist. Denn hätte, wäre das passiert. Unter Ausnutzung dieser Schwachstelle zu einem Zeitpunkt, wo noch nicht die Patches von Microsoft dann irgendwann bestand, äh, äh, bereitgestanden hätten, dann hätte es nicht nur die erwischt, die aufgrund von komplexer IT-Nachlässigkeiten oder, oder, oder. Ihre Systeme noch nicht gepatcht hatten, sondern dann hätte es die, hätte es alle getroffen, die noch nicht weil es gar keine Pätsche gab, Patches gab, das heißt auch immer noch diese schwersten Fälle wan immer noch nur ein geringer Ausblick auf das Risiko, ein Vorgeschmack, auf das Risiko, dem wir eigentlich über Jahre ausgesetzt waren. Der offizielle Stand ist glaube ich die Schwachstelle hat über elf Jahre bestanden und es gab zumindest von der NSA Anhaltspunkte, dass sie sie über fünf Jahre kannten. Immer so ein bisschen der der Unterschied zwischen die Schwachstelle kann ja theoretisch. Ich glaub die älteste Schwachstelle bei Behebung war sowas wie, fünfundzwanzig Jahre alt. Als sie dann irgendwann mal jemand gefunden und gemeldet hat. Ähm das heißt also auf fünfundzwanzig Jahre hatten wir einen nicht klaren Zustand, ob diese Schwachstelle nicht vielleicht irgendjemandem schon bekannt war. Und das ist halt das, was weshalb ich es, Ich persönlich ist immer für notwendig halte, Schwachstellen bei Bekanntwerden zu melden, auf das alle, die der Schwachstelle ausgesetzt sind, ähm, davor geschützt sind und ich gehe dafür bei grundsätzlich davon aus, dass mit diesem alle immer mehr. Unbescholtene Bürgerinnen und Bürger und Anwender und staatliche Institutionen gemeint sind als potenzielle Kriminelle, sodass ich persönlich zu dem zu dem zu dem Schluss komme, dass eigentlich es immer falsch ist, eine Schwachstelle zurückzuhalten.

Frank Rieger
0:46:09
Linus Neumann
0:46:48
Frank Rieger
0:48:20
Linus Neumann
0:48:23
Frank Rieger
0:48:24
Linus Neumann
0:49:21
Frank Rieger
0:49:26
Linus Neumann
0:49:29
Frank Rieger
0:49:34
Linus Neumann
0:50:15
Frank Rieger
0:50:22
Linus Neumann
0:50:23
Frank Rieger
0:51:20
Linus Neumann
0:51:21
Frank Rieger
0:51:26
Linus Neumann
0:52:37
Frank Rieger
0:52:47
Linus Neumann
0:52:48

Genau und also nur um das historisch kurz erwähnt zu haben. Es gibt ja bereits ein IT-Sicherheitsgesetz, das ist glaube ich zweitausendfünfzehn wurde das herabgelassen ähm da haben wir auch als CTC damals eine Stellungnahme zu gehabt, die, ich dann im Ausschuss vertreten habe, das war dann der Innenausschuss wahrscheinlich. Ähm wo wir, uns darüber Gedanken gemacht haben. Da soll's so ein bisschen, sollte es ein bisschen darum gehen, ähm, Das war das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme hatte aber spezifischen Fokus auf sogenannte kritische Infrastrukturen. Und da haben wir dran kritisiert erstens äh fehlende Ansätze zum Endnutzerschutz, Das Gesetz bezog sich eben nur auf kritische Infrastrukturen. Es ging nicht darum, Nutzerinnen und Nutzer zu schützen, ähm. Das waren sehr bürokratielastiges Gesetz, da sind die sind die Unternehmen streckenweise heute noch mit beschäftigt. Die Anforderungen zu erfüllen, weil es um sehr viel ja ähm, Mindestanforderungen protokollieren ähm, Sicherheitskonzepte schreiben, ging's um Sicherheitsmanagement. Ich nenne IT-Sicherheitsmanagement so ein bisschen sowas wie äh eigentlich Management ist immer, Die Verantwortung tragen, und dafür sorgen, dass man nicht zur Verantwortung gezogen wird. Das ist im Prinzip Management. Im Bereich der IT-Sicherheit zumindest. Also möglichst viele Häkchen irgendwohin machen, damit wenn dann mal äh die äh Scheiße in den Ventilator fliegt, dass man dann möglichst sagen kann, ich habe aber alles gemacht, was was. Gut und billig und gesetzlich vorgeschrieben ist, sodass man mir hier keine Fahrlässigkeit unterstellen kann, so dass ich eine nicht wirklich in der Haftung bin und nicht wirklich zur Verantwortung gezwungen werden kann.

Frank Rieger
0:54:33

Also daraus erwachsenes hört man auch eine Sache, die für die Zukunft durchaus wichtig wird. Und zwar wurde da, in der implementierung dessen äh einen Vorschlag von uns aufgenommen, wo wir gesagt haben, okay, äh es ist halt schwierig, den. IT-Sicherheitsstaat zu zertifizieren, weil du kaum in der Lage bist zu sagen, okay, wir haben jetzt irgendwie dieses Thema gründlich angeguckt, dann ist es aber mindestens drei Monate her oder vier Monate her, in der Realität eher drei Jahre, so man hat so die typischen, keine Ahnung, IT-Sicherheitszertifizierung nimmt. Und in dem Augenblick ist jetzt das Thema eigentlich schon durch, da braucht man eigentlich nicht weiter drüber reden, weil halt in der Zwischenzeit neue Explotechniken entwickelt wurden und so weiter. Da sind wir unser Forscher zu sagen, okay, lassen sie es mal dynamisch machen, also halt eine, Leute aus den einzelnen Branchen zusammenholen, die sich hinsetzen und drüber reden, was, die IT-Sicherheitsmindeststandards in ihrer Branche sind, also welche Softwareversionen äh von Onki Curnals und äh verwendeten Librarys, irgendwie prozedurale Kirchungen und so weiter. Und daraus ist dann halt für diesen Bereich kritische Infrastrukturen. Äh sind halt die sogenannten branchenspezifischen Sicherheitsstandards geworden, also kurz B drei S. Und die sind halt nach so einem genau dieser Idee aufgesetzt. So das funktioniert halt alles noch nicht so richtig gut, weil sich halt erst noch dran gewöhnen müssen und das bürokratische Setup davon halt an einigen Stellen irgendwie falsch inzentiviert ist so, aber grundsätzlich ist es halt aus unserer Sicht der richtige Ansatz zu sagen so okay, wir brauchen halt eine Möglichkeit für jemanden, der halt irgendwie so ein IT-System betreibt. Sicherzustellen, dass er die Mindestanforderungen erfüllt und die müssen halt branchenspezifisch sein. Das heißt also, dass nicht nur für kritische Infrastrukturen sondern eigentlich quasi so für alles und in diese Richtung zu gehen, da wäre natürlich das BSI halt auch der richtige Ansprechpartner für, also der richtige Personal richtig aufgestellt und so weiter und auch zuständig, nur ist halt diese Unabhängigkeit dabei halt so ein bisschen ja diese nicht gegebene Unabhängigkeit so ein bisschen im Weg.

Linus Neumann
0:56:39
Frank Rieger
0:57:43
Linus Neumann
0:58:41

Ähm genau, ich glaube aus dem IT-Sicherheitsgesetz wurde dann so ein bisschen was, Also das letzte, was ich davon gehört habe, war glaube ich so im letzten Jahr noch, dass einige Branchen eben Schwierigkeiten hatten, die Standards einzureichen und zu erfüllen. Aber es war halt so ein, es war am Ende ein großer Verwaltungsakt, da ist jetzt nicht da fehlte es irgendwie an an den großen Sprüngen, die man vielleicht hätte erhoffen. Ähm es gab ja noch ein paar Kritik an Datenschutzschwächung und das äh BSI-Problem haben wir gerade schon öfter besprochen. Jetzt also, Vier Jahre später. Ziemlich genau auf einen aufs Jahr, auf den Monat genau vier Jahre später soll also das IT-Sicherheitsgesetz zwei Punkt null kommen, wo es jetzt also eine neue. Eine neue Ausrechnung gibt, auch einen neuen Innenminister, unter dem das Ganze stattfinden soll und der Referentenentwurf ist jetzt vor wenigen Tagen von Netzpolitik Org veröffentlicht worden in paar Sendungen vorher, haben wir schon mal über die Eckpunkte gesprochen, die das äh die irgendwie auftauchten. Ähm, wo im Prinzip schon mal so ein bisschen der. Man man merkte, es war so ein bisschen der der erste Test, ne? Die Eckpunkte wurden schon mal so veröffentlicht, um mal zu gucken, wo springt denn die Presse drauf? Wo gibt's die Kritik? Da waren natürlich auch einige Punkte drin, die ja geeignet waren, uns zu ärgern und zu provozieren. Und das äh, Die wurden ja dann auch von im Logbuch schon mal angesprochen. Wir wollen aber jetzt ein bisschen spezifisch auf den. Auf den Referenten Rentenentwurf, den Referentenentwurf ähm eingehen, denn da sind.

Frank Rieger
1:00:30
Linus Neumann
1:00:31
Frank Rieger
1:00:32

Also die die Genese dieses Antisicherheitsgesetzes zwei null ist so ein bisschen das. Äh nach dem äh Regierungswechsel des Inministermeerprimärheit mit Ausländerrausgesetzen beschäftigt war. Und äh andere Themen eigentlich so ein bisschen unter den Tisch gefallen sind. Also funktioniert ja immer so, dass wir den Fachabteilungen werden halt irgendwie Entwürfe halt irgendwie zusammengebaut äh was Demokratie theoretisch auch schon ein bisschen schwierig ist, dass also die Mysterien die Exkurtive sich die Entwürfe schreibt nach denen sie ihre Gesetze haben will, finde ich persönlich irgendwie eigentlich falsch, eigentlich sollte das tatsächlich aus dem Parlament kommen, aber gut. Ähm, jedenfalls sie schreiben halt dann da so Papiere und Studien und Analysen und versuchen die Probleme rauszufinden machen dann da halt so Entwürfe. Und die haben dann irgendwann den Status eines Referentenentwurfs. Da nun aber das Innenministerium hat das letzte Jahr halt irgendwie primär halt mit anderen Dingen beschäftigt war, also halt dann die Finalisierung des Entwurfs und die die Einreichung halt in den äh äh in die Fraktionen und so. Ähm. Kam da so ein gewisser Stau zustande und deswegen ist halt dieses IT-Seats-Gesetz zwei null, der zumindest der Referentenentwurf so eine gewisse Sammelkiste, wo wie alle, Fachabteilungen, die halt irgendwie irgendwas mit IT zu tun hatten, und mit öffentlicher Sicherheit an wie ihre Wunschliste halt reintun. Und deswegen ist die halt auch so krass. Also deswegen sind da halt so viele Sachen drin, die halt äh, wo man eigentlich sagen würde, okay, es geht ja gar nicht so, also ein, also eine der krassesten Sachen ist halt dieser Passwortparagraph. Ähm, vorsieht, dass wenn jemand verdächtig wird, eine schwere Straftat oder eine Straftat mittels Telekommunikation begangen zu haben, also quasi alles äh sollen Behörden dessen Accounts übernehmen können, und der Verdächtige soll dazu verpflichtet werden seine Passworte rauszugeben äh und ja denen halt den Zugang zu ermöglichen so, ne.

Linus Neumann
1:02:35
Frank Rieger
1:03:45
Linus Neumann
1:05:11
Frank Rieger
1:06:21
Linus Neumann
1:07:00

Was ich, was ich spannend an dem Ding finde ist, ich werde ja auch nicht müde, Polizeiarbeit auch mal zu loben. Und. Der Darknet Marktplatz, der in Deutschland irgendwie eine Rolle in den letzten Jahren gespielt hat, war äh Deutschland im Depo-App. Ähm das Ding, worüber die Waffe gehandelt wurde. Mensch, die der Mensch gekauft hat, der in München diese äh Schießerei äh veranstaltet hat. Einige, Anhaltspunkte dafür, dass das ein rechtsgerichteter Terrorist war, deswegen ist es ein verwirrter Einzeltäter in der öffentlichen Darstellung. Ähm Der Typ hat diese Waffe gekauft über den Marktplatz Deutschland in Deep-Web. Dort hat die Polizei dann den Händler, erkannt, hat bei dem einen Testkauf gemacht, hat den bei diesem Verkauf festgenommen, also relativ einfach, relativ, eigentlich. Jo, wir wollen Knarre kaufen, zeig mal. Ah ja, übrigens hier verhaftet tschüss. Ja, wunderschön, zeigt auch ein bisschen die Grenzen des Darknet Handels, weil am Ende müssen ja Transaktionen. Von Waren stattfinden und am Ende müssen auch die Bitcoins wieder in sage ich mal stabilere Währungen getauscht werden, die ähm. Ne, wo also auch am Ende äh häufig eine einen Link zu einer mit zu einer verfolgbaren Identität bestehen. Dann sind sie hingegangen und haben gesagt, okay, wer betreibt denn diesen Marktplatz? Und den haben sie ja auch dranbekommen, ein äh junger Mann, von dem behauptet wird, er würde in Karlsruhe äh leben, der jetzt sich auch vor Gericht wiederfindet wegen Beihilfe. Und der hat sich der ähm also den haben sie. Über verschiedene Recherchen irgendwie bekommen, insbesondere aber darüber ähm in der Beihilfe verschuldig befunden, weil er die einzelnen Transaktionen und. Händlerprofile in seinem Marktplatz, den er da unterhält, selber äh geprüft und freigegeben hat. Der hat im Prinzip so eine Art äh Escrowe, Service für die Transaktion gemacht und hat überhaupt irgendwie seit jeder einzelne jedes einzelne Angebot freigeschaltet und damit war er auch. Oft also noch ist er nicht verurteilt, aber deswegen daher wird argumentiert, dass er der Beihilfe schuldig war in diesem Waffenhandel. Und ich vermute, dass sie damit, wenn sich erweisen wird, dass er jetzt schuldig ist, äh relativ gute Karten haben, dadurch, dass sie ihn eingeloggt im Backen zu seinem. Marktplatz dort verhaftet haben zu Hause wird er wird die Verteidigung Schwierigkeiten haben? Ich würde jetzt mal vorsichtig sagen, dass das eben echt auch mal eine Erfolgsgeschichte ist. Der Polizei.

Frank Rieger
1:09:50
Linus Neumann
1:10:33
Frank Rieger
1:10:53
Linus Neumann
1:10:57
Frank Rieger
1:11:11
Linus Neumann
1:11:12
Frank Rieger
1:11:22
Linus Neumann
1:11:58
Frank Rieger
1:12:16
Linus Neumann
1:12:56

Kein deren Support Line ungefähr so ist, wenn du Probleme hast, helfen wir dir. Ansonsten geben wir das Geld zurück, weil da also es genau Augen auf beim VPN-Kauf. Ähm wir haben auch im im unserem Vortrag Thorsten und ich da ein bisschen über das Thema VPN Anbieter gesprochen. In dem Vortrag. Äh du kannst alles machen, du darfst, kannst alles hacken, du darfst dich nur nicht erwischen lassen. Ähm. Genau, das ach so der, der zweite Punkt, danke Kriminalisierung, den ich noch kurz anbringen wollte. Ähm ist wenn. Der Verdacht, dass du Darknet Infrastruktur betreibst. Zum äh für irgendwelche illegalen Späße. Und unter diesen Paragraphen, ich meine Der Verdacht würde bei mir aufgrund meiner Telefonleitung auch sehr schnell entstehen, weil ich relativ viel Tor-Traffic habe. Ähm sodass ich bei der ersten Suche nach wer würde denn irgendwie da reinfallen? Hier Dagn und hinten hin Service zu betreiben, wäre ich sofort dabei. Außerdem habe ich inzwischen mache ich jetzt nicht mehr so viel, Tornotes betrieben. Das sind, diese Server, die auf meinen Namen registriert sind, die sehr viel Traffic machen, die von all außen, also aussehen, als würden sie hin Services anbieten. Das heißt, so Anfangsverdacht bei mir äh für den Betrieb von hinten Services wäre gegeben. Und dann gibt's direkt den gesamten Mantel, ne? Dann gibt's äh die gesamte Aktionsrahmen, Telefon abhören, Computerhacken und so weiter, weil eben dieses der der Betrieb einer solchen Plattform zu eine hohe Strafe ist und so ein großes Problem, das mir dann entsprechend die ganzen die ganzen Maßnahmen, der gesamte Maßnahmenkatalog für mich in Frage käme. Und deswegen ist das so problematisch, auch wenn man beim ersten Lesen sagt, na ja, hier klar, so jemanden wie der Deutschland im Deep Web da betreibt, das sollte, unter Strafe stehen, wenn da Waffen gehandelt werden, klar da muss das unter Strafe stehen aber genau deswegen steht er schon nach dem alten Gesetz gerade vor, vom Kader und darf sich da ihr äh vor vor Gericht und darf sich darf sich da verantworten, weil es eben auch nach geltendem Recht ähm problematisch ist. Und wir haben bisher wenig ähm, sage ich mal, illegale Darknet-Infrastrukturen, die nicht unter das aktuelle äh Strafgesetz fallen würden.

Frank Rieger
1:15:24

Also die ich glaube was was man da halt sehen muss ist dass die die Angst. Da die Kontrolle zu verlieren groß ist. Also die haben halt offensichtlich Sorge, dass sie. Da halt einen wie so immer so schon sagen, rechtsfreien Raum haben, ja. Den's de facto nicht gibt, weil die die Straftaten an sich, also irgendwie was aber passiert an illegalen Sachen äh sind ja schon illegal. Aber äh die fürchten halt, dass sie halt da äh ja. Der hat parallel Gesellschaften im digitalen Raum entstehen. Und ganz ehrlich. Wenn ich so Sachen mache wie die da gerade mit Artikel dreizehn und was sie da sonst noch so bringen? Würde ich mir darum auch Sorgen machen, weil genau das wird nämlich passieren. Ne, also es wird vollkommen klar, dass also die. Die parallelen Infrastrukturen, die halt nicht mehr irgendwie so ohne Weiteres mit Google zu finden sind, werden da definitiv wachsen, so so wie je mehr Verfolgungsdruck, die halt für harmloses Zeug halt machen. Dass du mehr Willen sind die Leute zu sagen, okay, na dann suche ich mir halt andere Mittel und Wege so, ne? Das ist halt auch so eine so eine Eskalationsspirale, die denen auch sehr schwer zu vermitteln ist, zu sagen, okay, Status Quo schon irgendwie völlig unhaltbar findet und versuchen wollt jetzt irgendwie auch noch Tornotbetreiber zu kriminalisieren. Radikalisieren die sich halt auch, also dann denken die sich Sachen aus, ist jetzt nicht so, dass die technologische Entwicklung da abgeschlossen ist, im Gegenteil, ich meine Tor ist mit dem, was wir momentan haben, nicht Stand der Technik, was irgendwie Anonymisierungssysteme angeht, wenn man's halt wirklich ernsthaft betreiben würde, dann wurde man darüber keine Videos klicken können und auch kein äh ja keine, irgendwie abrufen, sondern dann wäre es halt ein System, bei dem halt auch irgendwie keine Timing-Chorelation mehr geht und so weiter. Aber das haben wir gerade noch nicht, weil. Der momentane Bedarf halt von Tor und Altopie abgedeckt. Wenn du jetzt anfangen wolltest wirklich zu kriminalisieren, dann entschafft ihr damit eine Grundlage für. Die nächste Generation Systeme, wo es denn wirklich auch keine technischen Möglichkeiten mehr gibt, die zu finden.

Linus Neumann
1:17:47
Frank Rieger
1:17:49
Linus Neumann
1:18:16
Frank Rieger
1:18:26
Linus Neumann
1:18:41
Frank Rieger
1:19:19
Linus Neumann
1:19:26
Frank Rieger
1:19:28
Linus Neumann
1:20:07
Frank Rieger
1:20:15
Linus Neumann
1:21:40
Frank Rieger
1:22:48
Linus Neumann
1:22:49
Frank Rieger
1:23:06
Linus Neumann
1:23:09
Frank Rieger
1:24:03
Linus Neumann
1:25:26
Frank Rieger
1:26:10
Linus Neumann
1:26:14
Frank Rieger
1:27:35
Linus Neumann
1:28:52
Frank Rieger
1:28:54
Linus Neumann
1:28:59
Frank Rieger
1:29:04
Linus Neumann
1:29:46
Frank Rieger
1:31:19
Linus Neumann
1:31:21
Frank Rieger
1:31:55
Linus Neumann
1:32:26
Frank Rieger
1:32:32
Linus Neumann
1:32:58
Frank Rieger
1:33:02

Naja oder wie auch immer, ja oder sie und dann stellt sich plötzlich raus, dass äh BMI, beziehungsweise BMI nachgeordnete Behörden benutzen halt irgendwie die diese Sicherheitslücke, um halt irgendwie Leute abzuhören und das BSI will's gerne patchen, die findet dann die Entscheidung statt. Also das ist halt so ein so ein Ding, wo Okay, an ganz vielen Punkten muss das BSI raus aus der äh Verantwortung des Innenministeriums und weg von den Straferfolgsbehörden, Also noch viel deutlicher wird es halt bei diesem ganzen Thema Hackpack oder auch äh Anführungszeichen aktive Cyberverteidigung wo es äh darum, geht, also das Beispiel, was ihr halt in diesem für dieses, diese Gesetzentwürfe äh da diskutieren. Primär Übernahme von Bodnet Host, also was halt darum geht, dass man halt irgendwie, wenn's halt ein Whatnopp gibt und da gibt's halt äh Commerz in Kontrollhaus, dass man die legal übernehmen darf. So und da, aber die Definitionsfrage, so was ist denn jetzt halt sind denn halt Systeme, die man da übernehmen können dürfen soll. Äh zählt dazu zum Beispiel halt auch irgendwie ein Darknet Mark Place, wo man zwar nicht weiß, wo er steht, aber der halt eine Sicherheitslücke hat, die halt durch diesen Service-Explort da ist und solche Sachen da fängt's halt an, richtig schwammig zu werden. So und da, bin ich, ehre dagegen, weil es halt irgendwie eine so eine ziemliche Büchse, eine Pandora, die man da öffnet und ähm insbesondere halt mit einem BSI, was halt nicht unabhängig ist, wo man sagt, okay, die kann man sich wirklich nur um IT-Sicherheit bin ich da also kein großer Freund von.

Linus Neumann
1:34:36
Frank Rieger
1:35:55
Linus Neumann
1:36:27
Frank Rieger
1:36:48
Linus Neumann
1:38:26
Frank Rieger
1:39:07
Linus Neumann
1:39:09

Verschiedene Juristiken, verschiedene äh gibt's ja immer so diesen Begriff Bullit-Proof Hoster, die wahrscheinlich erstmal unregelmäßig E-Mails lesen und sehr zögerlich äh reagieren und jetzt auch nicht unter Direktor ähm, unter direkter Weisung des oder Einflussbereichs, Juristik des Innenministeriums oder der Strafpolizei Strafverfolgungsbehörden in Deutschland stehen und die vielleicht auch, sage ich mal, darin erfahren sind, Inhalte zu veröffentlichen, wo es äh interessierte Parteien gibt, die dieser Veröffentlichung entgegenstehen wollen Das war schon, also, Das war nicht irgendwie so, guckt mal hier, ich habe das auf äh auf irgendwo gepostet, wo es schnell wieder weg ist, ne, sondern das die waren danach ausgewählt, dass das ist wirklich und es hat Das war erfolgreich, das hat nämlich teilweise wirklich Wochen. Wir sagen wirklich raus waren. In der Zeit hatten die ähm andere schon wieder irgendwo anders hochgeladen, sodass das ähm ja also, Das ist ein Punkt, den der da wirklich zum Leid dieser Person auch beigetragen hat, insbesondere persönliche Daten und so. So, was wird daraus, äh was wird daraus formuliert? Ich glaube, das ist einmal der, Artikel drei Paragraph fünfzehn B Pflichten der Diensterbringer stellt der Dienst der Anbieter fest, das rechtswidrig erlangte personenbezogene Daten oder Geschäftsgeheimnisse über seinen Dienst dritten, unrechtmäßig zur Kenntnis gegeben oder veröffentlicht werden, so hat er unverzüglich das Bundeskriminalamt zu unterrichten. Ne? Also du musst das nicht.

Frank Rieger
1:40:43
Linus Neumann
1:40:44

Das ist eine Mitteilungspflicht. Ähm zweitens äh Pflicht äh Paragraph hundertneun B, ähm unter Artikel zwei Telekommunikationsgesetz, stellt der Erbringer öffentlich zugänglicher Telekoalitionsdienste fest, das sei Dienste rechtwidrig, rechtswidrigen Weitergabe, oder Veröffentlichung rechtswidrig erlangter Daten genutzt wird, sollte der unverzüglich des Momentes das Gleiche. Moment habe ich, ich hatte doch noch ein. Zwei? Nee, also offenbar einmal TKG, aber wo war denn die Löschung? Ich habe offenbar den falschen. Ach doch, steht doch da drüber. Also er muss es melden, und er muss diese Daten dann eben auch löschen. Interessanterweise äh weiß ich aus einem aktuellen Fall, dass die, Anbieter, dass tatsächlich auch nicht dürfen. Also die dürfen äh aktuell nicht löschen ohne Anordnung. Liegen zurecht, liegen zureichende tatsächliche Anhaltspunkte für eine unrechtmäßige Erlangen der Verbreitung oder Verbreitung personenbezogener Daten oder Daten die Geschäftsgeheimnissen Geschäftsgeheimnisse beinhalten vor, so ist der Zugang zu diesen Daten durch den Diensterbringer im Sinne des Absatzes eins zu sperren Betroffene Nutzer sind zu benachrichtigen, sofern der Betroffene, sofern der betroffene Nutzer nach seiner Benachrichtigung innerhalb angemessener Frist widerspricht, hat der Dienstagbringer die Daten zu löschen. Zuständigen Stellen und so weiter. Also jetzt eine proaktive Löschung ähm wahrscheinlich rechtswidrig erlangter Personenbezogener Daten. Und da ärgert mich ehrlich gesagt nur dran. Oder Daten, die Geschäftsgeheimnisse beinhalten.

Frank Rieger
1:42:24
Linus Neumann
1:42:56
Frank Rieger
1:43:16
Linus Neumann
1:43:19
Frank Rieger
1:43:47
Linus Neumann
1:44:11
Frank Rieger
1:44:13

Äh also gut plus Mitarbeiter, ja. Äh die. Also sagen wir mal so aus der CDU CSU Fraktion gab's halt irgendwie keine Fragen, die irgendwie, sich mit den kritischen Problemen beschäftigen aus der anderen Fraktion schon, also auch aus der SPD. Die, Ausschusssitzungen gibt's ein Video von, haben wir auch verlink. Also kann man sich heute nochmal angucken, nicht irgendwann wird's wahrscheinlich auch ein Wortprotokoll geben, glaube ich, was ich aber nicht ganz genau. Aber jedenfalls Video ist ganz okay. Und, da war es halt eigentlich auch so, dass also eigentlich durchweg alle Sachverständigen bis auf den äh Chef des BSI äh Herr Schönbaum äh. Eher sehr kritisch gegenüber weiten Teilen dieses IT-Sicherheitsgesetzentwurfes waren. Also was halt tatsächlich passierte war, eigentlich sollte es um die Entwürfe der Opposition gehen, aber da dann nun halt die, die Referentenentwurf er auf dem Tisch lag, drehte sich Diskussion natürlich darum, weil es halt der Entwurf war, der nun diskutiert wird, dass die Oppositionsvorschläge verabschiedet werden, steht nicht zu erwarten, so deswegen drehte sich die Diskussion dann halt dahin. Und. Es wurde halt klar, dass die Probleme, die wir jetzt gerade angesprochen haben, sind halt nicht nur die Probleme, die wir so sehen. Also auch irgendwie äh äh hier Klaus Landefall, zum Beispiel vom Eco ähm und andere Sachverständige sahen halt genau dieselben Probleme. Gab halt noch so eine ganze Zusatzdiskussion, ähm die sich primär darum drehte, wer ist denn nun eigentlich zuständig für das ganze Cyber in den deutschen Behörden, da hat halt der das war deswegen hab ich von der Stunde Verantwortung, dass er so dessen Spielfeld wo er zu versuchen rauszukriegen. Wer jetzt da eigentlich was macht so. Der ist halt, also mit dem haben wir auch unsere Differenzen, was jetzt irgendwie so der ist halt der Meinung, dass der Staat halt so ein Exploid Security wohl eine Bilities Assessment Programm braucht und äh das halt notwendig ist für die Aufgaben von BND und Co und Bundeswehr. Äh da haben wir halt ein bisschen, aber war jetzt so der Beurteilung dessen, dass halt irgendwie diese ganzen, Behörden sich da irgendwann selber Personalpool prügeln und wenig auf die Reihe bekommen. Und die Zuständigkeit im Krisenfall halt auch völlig unklar ist, ist halt dann so ein muss dann so ein riesiger Konferenzraum sein, wo dann alle fünfunddreißig Akteure, die in Deutschland Cyber machen an einem Tisch sitzen. Also es wird bestimmt sehr unterhaltsam.

Linus Neumann
1:46:42
Frank Rieger
1:46:51
Linus Neumann
1:48:07
Frank Rieger
1:48:11
Linus Neumann
1:48:13
Frank Rieger
1:49:07
Linus Neumann
1:49:49
Frank Rieger
1:49:53
Linus Neumann
1:49:54
Frank Rieger
1:50:03
Linus Neumann
1:50:05
Frank Rieger
1:50:55
Linus Neumann
1:51:02
Frank Rieger
1:52:35

Also äh aus meiner Sicht haben die da halt einen. Das klare Gefühl, dass ihnen gerade die Fülle davon schwimmen. Also, dass sie halt eine. Äh Situationen raufziehen sehen, wo die Abhängigkeit von IT-Systemen so groß ist, dass sie. Ohne halt nichts mehr funktioniert und dass die dass man halt was tun muss und das ist halt so eine diese. Naja, diese langjährigen Bürokraten, die halt für solche Sachen zuständig sind. Die sind halt auch in gewisser Art und Weise halt so Kontrollmaximalisten. Und äh ich hatte das damals irgendwie im ähm, in Villa Store beschrieben hat, so diesen dieses Mindset so von die sehen halt alle möglichen Bedrohungen heraufziehen so irgendwie von irgendwie Klimawandel über VIT Security, Flüchtlingswellen und so weiter und so fort. Ähm und, haben das dringende Bedürfnis mehr Kontrollmechanismen zu haben, mehr Möglichkeiten zum Eingriff, mehr. Machtmittel, die sie halt benutzen können, um den Status quo aufrechtzuerhalten. Und, Daraus resultiert also das hat dieses Mindset, was dahinter steht. Man sieht's auch relativ deutlich in diesen Gesetzen, so dass halt also der alles was jetzt neu ist, eine hohe Dynamik entfaltet und wo halt klar ist, das haltet wie möglicherweise eher so ein bisschen grau oder darg, wollen die halt möglichst irgendwie versuchen halt irgendwie die Löcher am Damm noch irgendwie so zu stopfen so und daraus resultiert halt dieses äh dieses Gesetz auch mit diesem Darkner kriminalisieren und irgendwie, möglichst alles löschen können, Terror Upload fügt, also also dieses ganze, die wollen jetzt halt dieses wilde Internet, was es eigentlich auch schon nicht mehr gibt so, aber noch die letzten Reste davon wollen die halt möglichst auch noch aus trocknen so umhalt und wie das alles schön ordentlich zu haben, sondern so daraus zu sortieren dann so Sachen wie in Österreich, gerade diese Nummer mit äh dem Gesetz, was da gerade durchgeht.

Linus Neumann
1:54:34

Oh

Frank Rieger
1:54:35
Linus Neumann
1:54:41
Frank Rieger
1:54:45

Genau. So, heißt halt also damit wäre halt irgendwie anonymes Posten halt irgendwie in in Österreich halt erledigt so. Und das sind halt das halt dieses Mindset was die haben. Also dieses wollen die Kontrolle haben. Natürlich macht sie dann halt auch fertig, dass halt irgendwie bestimmte Ausländer so möchte halt irgendwie mit solchen Methoden auch Virtus spielen. Ne, also die halt, Desinformationskampagnen, machen die natürlich halt nervös, weil sie halt irgendwie an den Kern von Demokratie gehen, aber dafür, um das dann halt zu verhindern, schaffen sie dann halt erstmal, habt die Demokratie ab, indem sie Meinungsäußerungen und so weiter und sofort schwieriger machen so. Und dieses. Also dieses Tote aus Angst vor dem Feind Dingen zieht sich halt durch dieses gesamte äh dieses gesamte Werk und wir denken, dass dass man da halt eher einen anderen Ansatz fahren sollte, also dass halt die. Die Methoden, wie man mit diesem IT Security-Problem angeht, nicht, Homepage und an den Symptomen sein sollte, sondern halt einen Herangehen an die grundlegenden Probleme. Äh und dat dauert zwar relativ lange, bis man damit fertig ist, wenn man halt einfach große Teile der Software neu schreiben muss zum Beispiel. Ähm, und äh. Ausbildung verbessern muss, dafür sorgen muss, äh hat die auch in der Anhörung gefordert, zu sagen, niemand sollte in Deutschland mehr programmieren lernen, egal ob bei einer Schule oder Hochschule oder in der Ausbildung oder sonst irgendwo, ohne zu lernen, wie man sicher programmiert, Ja, ist ja auch nicht so schwer. Sollte irgendwie ein Handwerk wie jedes andere auch, sondern man programmieren lernt, kann man gleich von Anfang an lernen, wie man sich ja programmiert. Der Aufwand ist nicht so groß, Man sollte es halt einfach verpflichtend machen und und des entsprechenden Ausbildungsmaterial zur Verfügung stellen.

Linus Neumann
1:56:20

Hinzukommen, dass er, dass es ja jetzt modernere Programmiersprachen gibt, die einen auch vor vor vielen ähm vor vielen Fehlern versuchen zu bewahren, ne? Also wenn man irgendwie an die Programmiersprachen denken, die jetzt zumindest versprechen, dass man in der Speicherverwaltung keine äh keine gravierenden Fehler mehr so einfach. Geschrieben kriegt, wenn man sich nicht sehr viel, wenn man sich nicht sehr viel Mühe dafür gibt. Ich sehe das Ding noch, also ich seh's irgendwie. Vor allem wenn man auf den internationalen Vergleich blickt. Ähm sehe ich in Deutschland eigentlich noch eine eine ganze Sache. Also ich find's noch ein, Schritt schlimmer als es sein müsste. Ich habe ja so gesagt, es gibt eigentlich kein fundamentales, praktisch relevantes Problem in der IT-Sicherheit, was mich zumindest theoretisch gelöst wäre, und trotzdem sehen wir überall katastrophale Zustände, ja. Einer der auslösenden Gründe auf jeden Fall, dass es den Leuten einfach nicht beigebracht wird, wie sie sicher programmieren, dass denen nicht, beigebracht wird, wie man wie man Sinnvolles Design macht äh von und auch wie man ein Fred Modeling macht, bevor das Produkt fertig ist. Statt nachher, ja? Und ähm. Was ich noch viel interessanter finde ist, ich habe ja jetzt. Im Prinzip viele Jahre zugebracht in der in der Forschungsgruppe, die sich im Prinzip mit. Komplexen Angriffen auseinandergesetzt hat, die gesucht hat, okay, wenn Verschlüsselung angewendet wird, dann finden wir die Fehler in der Verschlüsselung und nicht die Fehler an den Endpunkten, wo sie jeder andere findet und sich einfach reinheckt. Und ich hab ein bisschen den Eindruck, dass IT-Sicherheit auch in der. In der Forschung, wo sie betrieben werden sollte auf jeden Fall, wo es total richtig ist, aber dass die Forschung im Prinzip der Realität auch schon wieder voraus ist. Ja, wir diskutieren zum Glück und ich finde es nicht falsch. Wir finden, ich finde es richtig, dass wir heute, Post Quantim, Cryptographie diskutieren. Wir diskutieren heute die Lösungen von in zwanzig Jahren, ne? Das ist gut, ist notwendig. Forschung sollte vorangehen. Ähm, In der Realität werden wir aber heute geohnt über Passwort eins, zwei, drei, ungepatchte Systeme und sonstige, das heißt wir während wir, Ich nehme jetzt da auch dich mal mit rein als jemand, der in der Entwicklung von sicheren Systemen ähm und zwar mehreren kritischen Systemen eine. Deine Rolle ist, glaube ich, CTO, ne? Also die entscheidende Rolle spielst ähm während wir die Probleme wirklich. Ganz andere Probleme lösen, passieren diese ganzen Hacks äh im Prinzip, schon auf so einer Basisebene, die da nicht eingehalten wird, ne? Schlechte Passwörter, ungepatschte Systeme, wo es dann nämlich am Ende irgendeinem, Teenager ermöglicht da reinzukommen. Das ist äh war immer die Frage bei diesem Doxing. Ja, wie, wie kann das ein Teenager machen? Wie kann das ein Teenager machen? Also ein Teenager, der noch bei Mama wohnt, wo dann eigentlich meine flapsige Antwort war, ja, der, weil der Internet hat, Wir haben das dafür gebaut, dass jeder Teenager, der bei Mama wohnt, auch daran teilnehmen kann. Aber eigentlich ist das Problem natürlich viel Viel schlimmer, nämlich, dass wir die Basalanforderungen schon nicht erfüllen. Und deswegen können wir noch so viele Hochsicherheitssysteme ähm, versuchen zu entwickeln, wenn am Ende die die Unternehmen geordnet werden und die Privatpersonen geordnet werden, die, die das Basissicherheitsniveau noch nicht mal einhalten. Und dann finde ich geht's noch, geht so eine, eine Nummer weiter, wenn wir uns anschauen, was Deutschland jetzt so für IT-Sicherheitssysteme baut. Beispiel wie Beispiel Telematik, dem Beispiel besonderes elektronisches Anwaltspostfach. Beispiel Notarpostfach. Alles Themen, die wir in Lokbuch Netzpolitik schon äh rauf und runter diskutiert haben, die wir als CCC oder Mitglieder des CCC oder erweitertes Familienumfeld des CC, die offen CC Vortragen alles kaputt gemacht haben, ja? Jetzt stellen wir immer fest ähm, Es wurde. Es wurden diese das Basiswissen der IT-Sicherheit nicht angewendet. Es wurde gegen das, was quasi Forschungsstand und Best Practice ist in der IT-Sicherheit eklatant verstoß.

Frank Rieger
2:00:47
Linus Neumann
2:00:54

Richtig, gegen, es wurde es wurde gegen Basiswissen, ja, nicht irgendwie oh guck mal hier, es braucht ähm, ähm ne, irgendwelche Curus, die dir jetzt da oder oder irgendwelche Russgurus, die dir erklären, warum das jetzt irgendwie noch ein Fehler war, sondern einfach Schwachstellen, die wir bei denen wir nie Probleme hatten, die der Öffentlichkeit auch zu vermitteln und zu erklären, guck mal, da ist die Schwachstelle ja. Eigentlich würdest du also bei einer Schwachstelle in einem nach nach heutigen best Practice gebauten System Die kriegst ja den meisten Leuten gar nicht mehr erklärt. Da können wir dann irgendwie akademische Diskussionen darüber führen, ne? Aber wenn das ist irgendwie so, wie bist du reingekommen? Ja, Passwort, eins, zwei, drei, das kriegen wir allen erklärt, ähm und ich habe da so eine, so eine Meta-Theorie zu. Es gibt im Prinzip so. In diesem ganzen wie Digitalisierung stattfindet. Wenn man jetzt mal extrem extrem pol, China, ja? Extrem pool oder auch andere asiatische Länder. Ganz ganz krass, risikoblind, voll Digitalisierung von allem Gesichtserkennung im öffentlichen Raum. Alles was geht, gib ihm, gib ihm, gib ihm und ähm natürlich auch sogar noch ganz offensichtlich die die Nachteile der Digitalisierung eigentlich gar nicht, Gar nicht als Nachteile sehen, ne? Ähm. Das heißt, da hast du so eine ganz Blindeninnovationsgetriebenes Vorgehen und dem gegenüber würdest du eigentlich sowas sehen in was Deutsche versuchen, ja wir machen das aber sicher und gründlich. Deswegen, man muss nicht immer der Erste sein, der alles digitalisiert, sondern wir machen das dann ordentlich. Und dieses ordentlich kriegt Deutschland eben auch nicht hin.

Frank Rieger
2:02:30

Genau, das hat das hat er sich so ein Problem, weil wir hätten halt die Chance ordentlich zu machen, aber wir verkacken es halt. Also es wird halt einfach nicht richtig durchgezogen, den Vorteil, den wir da haben könnten, auch wirklich auszuspielen, so. Und, Das hat auch so eine der Forderungen, die wir haben ist zusammen. Deutschland braucht halt eine defensive Strategie für den Umgang. Äh mit möglichen Angriffen im digitalen Raum. Wir brauchen halt einen. Herangehen, was sagt, wir setzen auf Verträge und wir setzen auf tatsächlich mehr effektive Sicherheit, und nicht darauf, dass wir halt irgendwie Offensivkapazitäten aufbauen in der Hoffnung, dass wir da irgendjemand abschrecken können, was sowieso nicht funktioniert. Dieses. Also dieses dieses Problem zu verstehen, dass es ein lösbares Problem ist, dass es nur Geld kostet und wenn man sich da mal. Wirklich eine Strategie überlegen wird, die den Namen verdient und nicht in Sammelsorium von Verantwortungsdiffusionen mit äh, Dutzend Behörden, die alle mehr Plan stellen wollen, dann könnte man da sicherlich was tun. So, also das wäre halt, also ich bin jetzt nicht für einen Digitalministerium oder sowas. Es wurde halt auch nicht funktionieren, aber tatsächlich eine, Ressort übergreifender Maßnahmen, um halt die effektive Sicherheit zu erhöhen, indem man halt zum Beispiel mit relativ viel Geld Open Source Software, Auditing und open Source Software neu schreiben, nach sicheren Maßstäben fördert, was dafür sorgt, dass wir über ein paar Jahre hinweg unsere Softwarebasis neu bauen. Wäre zum Beispiel so ein Ding, eine andere Sache, wäre Kennzeichnung von Geräten. Warum kann ich immer noch ein Tablet kaufen irgendwie äh äh wenn ich in in Elektromarkt laufe, was de facto Elektroschrott ist in dem Augenblick, wo ich aus der Tür laufe, weil es für den Herr vom Hersteller keine Updates mehr gibt und ich mich damit nicht mehr ins Internet trauen darf eigentlich?

Linus Neumann
2:04:20
Frank Rieger
2:04:27
Linus Neumann
2:05:37
Frank Rieger
2:05:39
Linus Neumann
2:05:43
Frank Rieger
2:05:44
Linus Neumann
2:05:45

Das ist genau das, da wollte ich nämlich noch kurz zu setzen zu sagen, das ist genauso diese äh wenn du gerade zuschaust, wie in den letzten viertel Jahrhundert, ja, sich dein gesamtes Land digitalisiert, dann kannst du IT-Sicherheit, nicht als Kompromiss sehen. Ähm und diese einfach mal kompromisslos an eine Sache ranzugehen und IT-Sicherheit kompromisslos zu sehen, das fehlt mir in all diesen Debatten. Weil ich gerade, ich habe ja gesagt, so dieses, also es gibt im Prinzip dieses Innovationsgetriebene und dem gegenüber gibt's diesen Stabilitätsgedank. Und dieser Stabilitätsgedanke, den finde ich ja auch sehr gut, denn ähm nur ein, also ne, nur wenn man diese, Systeme mit Bedacht baut und ordentlich baut, dann können die auch ne irgendwie vielleicht mal paar Jahre halten, so und das das ist auch das, wo wir hin müssen. Was wir aber hin, was, in Deutschland eigentlich der, also der Nachteil von Stabilität wäre quasi diese Trägheit, ja? In Deutschland haben wir aber im Prinzip die beiden Nachteile, kombiniert. Also Innovationsinnovation Nachteil, ähm! Unsicherheit, ja? Stabilität, Nachteilträger, wir haben aber träge Unsicherheit. Wir haben also wir haben keins von, wir haben nirgendwo den Vorteil, wir haben alle Nachteile dieser Digitalisierung kriegen wir voll zu so den den Hals runter und die Vorteile kriegen wir noch nicht einmal äh genossen. Und ich glaube tatsächlich. Dass ähm die Probleme in der IT-Sicherheit in diesem Beispiel ähm Telematik, DML, Bea und so weiter. Was wir da sehen, ist. Schwachstellen, die dort gefunden werden, die sind in der Regel kannst du ganz klar sagen, das ist der Kompromiss, der eingegangen wurde, weshalb sich dort diese Schwachstelle befindet Hier ist die ähm so und dann hast du weiterhin sind diese Systeme durch diese Kompromisse unglaublich komplex. Komplexität ist schon immer der Gegner von IT-Sicherheit gewesen, sodass ich äh irgendwann mal gesagt habe, das fand ich sehr klug. Äh Komplexität ist im Prinzip, fehlpraktizierte, falsch praktizierte Stabilität Und das ist so ein bisschen das deutsche, das deutsche Ingenieurwesen, um jetzt nochmal noch größere Partners aufzumachen, ist jetzt so die Sachen so komplex zu bauen, dass man sagte, da kann jetzt nichts mehr schiefgehen so. Das haben wir so komplex gebaut, das kann doch nicht mal mir jemand verstehen Und genau da glaube ich geht auch IT-Sicherheit eben den Bach runter. Bei.

Frank Rieger
2:08:11
Linus Neumann
2:08:13

Beispiel kannst jedes Beispiel nehmen, ne? Äh insbesondere jetzt hier Telematik, die mir äh Notarpostfach und so. Ja, das muss aber dann noch mit dem IT-System funktionieren und das wieder das Ding. Longtale Legacy und so weiter, da jeder der IT-Sicherheit macht, jeder der Pantest macht guckt sich ein System an und sagt, erklär mal bitte, wo wir jetzt komplex oder gibt's hier irgendwelche Legissy Downgrades, das ist das, was du noch vier Stunden beim Kunden anfangst, zu machen, da findest du die ersten Schwachstellen. Und diese gesamten deutschen Systeme sind Voll davon, die ganzen Deutschen Herangehensweisen sind von, ja, aber dann können wir unsere Legacy-Systeme nicht mehr unterstützen oder dann können wir hier im Moment mal, dann wird das ja zusichern, dann kann man das auf einmal nicht mehr abhören. Wir haben ja hier eine äh Vorgabe einer Abhörst, Demail, ja? Und all das, also du findest diese gesamte all das, was wir an der Router TR diskutieren, oder oder kritisiert, nämlich dieses das wird diskutiert, da wird. Kompromittiert, wollte ich schon sagen, da wird erst ein Kompromiss gemacht und dann wird's kompromittiert. Deswegen sind diese beiden Begriffe wahrscheinlich auch so nah beieinander. Das fehlt mir und dieses in diesem IT-Sicherheitsgesetz, das war das, was ich beim IT-Sicherheitsgesetz eins kritisiere, äh kritisiert habe und ich glaube, diesen Kritikpunkt würde ich auch beim IT-Sicherheitsgesetz zwei sagen, da wird wieder nichts. Keine erkennbaren mutigen Schritte in eine Richtung gegangen am Status quo etwas zu ändern.

Frank Rieger
2:09:40

Also letzten Endes, was halt passieren müsste, wären halt ein bisschen größere Würfe, die den. Genau diesen Status Quo langfristig auch ändern. Ne? Also dazu gehört zum Beispiel sowas wie äh die Erarbeitung von Ausbildungsmaterial. Ne, das ist halt irgendwie, Warum haben wir in Deutschland kein Open Source für frei verfügbares Ausbildungsmaterial, für Informatikunterricht? Für die gängigen Programmiersprachen, die da irgendwie üblich sind in denen es halt die Module gibt, wie man sicher programmiert und zwar grundsätzlich von Anfang an mit der Erklärung dazu. Und irgendwie in dem Augenblick, wo man Leuten mal zeigt, wie ein Buffer Oberflow-Explort zum Beispiel funktioniert. Oder mit Steck Exploid oder so, also entweder einfache Sachen, dann verstehen die plötzlich auch. Warum es wichtig ist, darauf zu achten und halt irgendwie einfach, Zum Beispiel Programmiersprache zu nehmen, indem einem sowas nicht passieren kann. Ja, also geht ja auch so, ne? Und die äh also wenn ich da zum Beispiel halt so Wissenschaftler sehe, halt dann einfach irgendwie weil sie's nicht anders gelernt haben da halt mit Cerumfuchteln, und da halt so irgendwie Pointer und einem Copy Höhlen haben, wo man denkt so, Japan, das System sollte besser nirgendwo, wo irgendwie auch nur entfernt, Internetrelle ist. Äh, Warum denn, ja? Also muss ja nicht sein, geht ja auch einfacher und besser. Na ja, jedenfalls diese. Diese diese grundsätzliche Raniere zusammen, man versucht es halt äh mal im großen Wurf zu lösen, fehlt halt, dieses Gesetz ist halt ein Rumdokter an Symptomen äh was parallel dafür sorgt, dass die Leute, die helfen könnten, das Problem zu lösen, äh nämlich die Hacker-Komödie und der die Security Research Community unnötig. Ja muss man sagen zu Feinden gemacht werden, ne? Also weil ganz viele dieser Dinge sind halt grundsätzlich, gehen halt nicht okay. So, die da drin stehen und das. Wird halt eher fürs Gegenteil sein. Es wird halt nicht viel mehr IT-Sicherheit sorgen.

Linus Neumann
2:11:39
Frank Rieger
2:12:44
Linus Neumann
2:12:50
Frank Rieger
2:13:22
Linus Neumann
2:13:37
Frank Rieger
2:13:42
Linus Neumann
2:13:51