Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de
Frank Rieger und Linus Neumann diskutieren das IT-Sicherheitsgesetz "2.0"
Der Chaos Computer Club begleitet seit jeher das Handeln der Bundesregierung im Bereich der IT-Sicherheit mal wohlwollend, meist aber kritisch. CCC-Sprecher Frank Rieger und Linus Neumann blicken zurück auf relevante Gesetzesvorschläge der vergangenen Jahre, grenzen das Themenfeld ein, und bewerten den kürzlich von netzpolitik.org veröffentlichten Entwurf für ein IT-Sicherheitsgesetz "2.0"
https://logbuch-netzpolitik.de/lnp296-it-sicherheit-per-gesetz
Veröffentlicht am: 15. April 2019
Dauer: 2:14:01
Im Bereich der IT-Sicherheit. Wir wollen uns, heute mal nur mit den Bemühungen des Staates auseinandersetzen, das mit der IT-Sicherheit irgendwie zu lösen oder irgendwie in den Griff zu bekommen und dabei irgendwie so insbesondere auch in, Positionen der Rolle des Chaos-Computerclubs in dem Bereich über, die Jahre. Deswegen habe ich mir heute, habe ich mich heute eingeladen zu zu Frank Rieger. Sprecher des Chaos-Computerclubs, Autor, Buches Cyber Award zusammen mit Constance Kurz, Aussprecherin des Chaos-Computerclubs und ich, Linus Neumann als äh, Podcast dabei, Logbuch Netzpolitik und auch regelmäßig in öffentlichen Äußerungen für den Chaos-Computerclub. Verbunden, das heißt wir bleiben so ein bisschen heute in der Familie.
Stimmt aber der wäre auch nur Chaos-Computerclub gewesen. Und äh Tim spreche ich dann morgen wieder. Wir werden mal schauen in welcher Reihenfolge wir die Sendung dann veröffentlichen. Das machen wir mal bis hin nach thematischer, Dringlichkeit, deswegen sage ich jetzt auch gar keine Sendungsnummer hierzu, weil ich nicht genau weiß, ob ich nicht die Sendung mit Tim davor veröffentliche, obwohl sie danach ist, Das Ganze bleibt so ein bisschen äh äh innerhalb des Chaos-Computerclubs, wie man hört. Und es liegt, glaube ich, so ein bisschen daran, dass wir das als Fachgespräch führen wollen. Wir haben in TV Fachgespräche warum man Fachleute und ich habe keine anderen gefunden äh.
Ja, ist auch ein bisschen schwierig, weil diese äh Schnittmenge von IT-Sicherheit und Juristerei, ist halt äh auch nicht so einfaches Feld, insbesondere, weil wir da halt ja auch schon eine mehr als zehn Jahre lange Geschichte von Stümperei auf staatlicher Seite, insbesondere was die Gesetze angeht, haben und wir uns immer wieder damit auseinandersetzen mussten äh zwangsläufig, sondern es fing halt schon zweitausendsieben an äh mit den Hackertour Paragraphen, insbesondere im Paragraph zweihundertzwei C Strafgesetzbuch. Der äh in der gesamten Szene von Leuten, die sich mit IT-Sicherheit beschäftigen und die halt irgendwie explods äh, Schwachstellen suchen, äh doch für erhebliche Beunruhigungen gesorgt hat, weil zum ersten Mal, Programme, also Software illegalisiert hat, explizit, nämlich äh in dem Augenblick, wo sie, dazu verwendet werden können äh ja IT-Sicherheitsprobleme auszunutzen werden sie. Prinzipiell unter diesen Fernsehprinzbällen, unter diesen Paragraphen.
Müssen wir nochmal nachlesen, aber entscheidend ist es unter dem. Wenn ich das richtig in Erinnerung habe, wir können die Paragraphen ja auch nochmal verlinken, dass das Ausspähen von Daten illegalisiert wird, aber das Entscheidende war zum Vorbereiten oder Beihelfen, dazu gehört auch überhaupt das in Umlauf bringen von Tools, die dazu geeignet sind.
Genau, also es war halt so der der jetzt, ich hab's wieder bei so einem der zwohundertzwo Ausspielen von Daten und der zweihundertzwo B-Abfang von Daten, die gibt's halt schon länger Also die sind halt schon sozusagen die traditionellen Hacking-Paragraphen. Äh und der zwohundertzwo C war dann die Ergänzung um ums Werkzeug äh und. Der ist halt ziemlich schwammig formuliert, ne? Also das ist halt so eine so eine typische Formulierung, wo man sich als, So mal normaler Hacker schon so ein bisschen wundert, ob man jetzt auch damit gemeint ist und deswegen äh sind halt ein paar Sicherheitsforscher damals was Bundesverfassungsgericht gezogen, zweitausendneun gab's denn eine Klageablehnung, äh die eigentlich sehr umfangreich war. Äh wir verlinken hier auch in dem Shownotes, äh die erläutert, so ein bisschen die juristische Interpretation auch im Kontext des äh der Gesetzesbegründung und legt quasi fest, dass es, am Ende nur einen Zuschlagparagraph ist. Also das halt der Paragraph zwohundertzwo C nicht, für sich benutzt werden kann, sondern nur wenn die klare, kriminelle Intention belegbar ist ne, das heißt also, wenn du sozusagen in normal dummen Fall, du hast halt baust halt irgendwie die einen einen neuen Exploid und äh äh parallel dazu, chattest du auf einem unverschlüsselten System darüber, dass du jetzt gerade den neuen Expo gebaut hast, um deine Bank anzugreifen, dann äh würde der zwohundertzwo C greifen. Für sagen wir mal so Standardwerkzeuge sagen wir so Mieterspläue oder was auch immer oder Dinge die du halt mit dir führst auf deinem Computer, um die, IT-Sicherheit im Rahmen deiner deines Berufs oder deiner Forschungstätigkeit von Systemen zu prüfen ohne kriminelle Intention kann laut diesem dieser Begründungsverfassungsgerichts der zwohundertzwo C eben nicht angewendet werden. Und das halt so eine, so eine Einschränkung, die so ein bisschen schwierig zu verstehen ist, weil dieser Paragraph halt so, der liest sich so wie ich bin gemeint, aber halt diese dieser, also ab äh zu dem äh in der Ablehnungsbegrundung Verfassungsgericht ähm ja ab Abstand sechzig, ne? Also ist halt, so danach muss das Programm mit der Absicht entwickelt oder modifiziert worden sein, es zur Begehung der genannten Straftaten einzusetzen. Diese Absicht muss sich für eine objektiv manifestiert haben, ne? Also das ist sozusagen die. Die Einschränkung dafür.
Genau. Das ist halt so ein so ein ungewöhnlicher Fall quasi von Rechtssetzungen durch äh durch Klageablehnung ist, äh aber äh so ein das halt so ein muss man halt so wissen, so ein bisschen zum zum Hintergrund dieser Geschichte, dass sie halt also erstmal versucht haben. Also die ursprüngliche Intention dieses Gesetzes war ganz klar zu versuchen halt den das ja Umgehen mit Werkzeugen zum Ausnutzen von Sicherheitslücken äh oder auch zum Finden von Sicherheitslücken einzuschränken. Also da gab's auch Diskussionen über Lizenzen und so im Kram, ne? Also, dass man halt so eine Hackinglizenz bräuchte und so das ist dann aber.
Indem er, Erstens Passwörter oder sonstige Sicherungscodes, die zu den die den Zugang zu Daten, Paragraph zweihundertzwei A, Absatz zwei ermöglichen oder Computerprogramme, deren Zweck, die Begehung einer solchen Tat ist, herstellt oder sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe, bestraft. Ich finde das ich habe gerade noch so einen leichten Schreck bekommen, weil ist natürlich schon jetzt irgendwie, Also Passwörter kriegst du halt schon relativ einfach, ne?
Also der Punkt ist halt dieser also. Eigentlich verstößt diese Formulierung dieses Paragraphen gegen Bestimmtheitsgrundsatz. Also der Bestimmheitsgrundsatz sagt eigentlich, dass du halt einen äh Gesetze nicht so formulieren darfst, dass du sie halt äh beliebig interpretieren kannst und, also damals haben wir juristisch auch ein bisschen was dazu gelernt, nämlich, dass halt die äh Begründung des Gesetzes, also die Erläuterung des Gesetzes, in der deutschen News Podenz halt mit herangezogen wird und in dieser Erläuterung dieses Gesetzes sind halt diese Einschränkungen drinnen, die jetzt aber dann durch die Abhängung vom Bundesverfassungsgericht halt nochmal so ein bisschen stärker manifestiert wurden, und deswegen also ist halt so ein aber was wir da halt sehen, deswegen ist auch so ein bisschen erzählen ist. Dass dieser Versuch in diesem gesamten Bereich zu agieren mit möglichst unbestimmt formulierten Gesetzen. Nach dem Motto, wir wissen ja nicht, was kommt. Wir können das ja alles nicht so genau beschreiben. Deswegen formulieren wir es mal möglichst weit und dann gucken wir mal, was das Verfassungsgericht dazu sagt. Der hat sich seitdem tatsächlich ungebrochen fortgesetzt. Also auch die die neueren Sachen, zu denen wir gleich kommen, sind halt präzise halt an in dieser Denk äh Denkart formuliert.
Ja. Ach so. Ich, so Vorträge oder so, sage ich halt immer, wenn ich über IT-Sicherheit rede, so. Also wir ehrlich wären als Branche, IT-Security, müssten wir eigentlich die weiße Fahne essen. Ja, also weil ich meine, wir haben halt die Situation, dass die die Technik, die wir gerade verwenden, ist halt leider schlecht. Also das was da draußen ausgerollt ist, ist in der Regel halt kaum sicherbar. Auch die Snackold Tools, die man halt sich noch dazu installieren kann und ich meine selbst Suman Tech, also der führende Snack-Eul-Hersteller sagt, wir sehen nur fünfzig Prozent der Mehrwerte. Weil der Rest ist halt irgendwie so schnell modifiziert, dass wir nicht mit den Updates hinterherkommen, Custom oder unsere Juristiken versagen. Ich meine, muss wir vorstellen, wenn Sicherheitsprodukt ist quasi wie ein Schloss, Wenn du das mal übertragen willst, was in der Hälfte der Fälle halt irgendwie einfach auf ist, wenn ein totaler Klinker. Also so wir haben halt irgendwie ja eine Situation, wo wir glaube ich, schneller, mehr schlechte Software schaffen als, Alterssoftware fix und so. Also wenn man sich so anguckt, zum Beispiel gerade die Briten haben diesen ihren Report zu AVI veröffentlicht. Können vielleicht auch nochmal verlinken. Wo die, also als Kontext zu dieser Diskussion, weil die auch gerade diese IT-Sicherheitsdiskussion grade sehr treibt so, also so, also wir haben ja immer gesagt, irgendwie Backdoors ist ein Problem. Und jetzt sind wir so ein bisschen überrascht davon, dass natürlich die Amis diesen äh aus eigener intimer Kenntnis, der der Vorgehensweisen jetzt halt den Chinesen unterstellen, dass überall Vectors einbauen und die Briten haben dann halt mal reingeguckt, also die haben halt seit fünf Jahren so ein Outlet-Projekt mit laufen. Und dieser Report liest sich halt so wie. Ist halt genauso scheiße wie überall. Ja, also wir haben halt irgendwie so Sachen wie, tausende unsichere mit dem Copy und Strink Copy äh Geschichten einfach bei offensichtlich haben die nur durchgegrippt durch den Source. Kein Repreducer Bebilds heißt also du weißt nicht welche Bande, welches Beinerie gerade auf deinem Roter ist aus welchen Source es gebaut wurde, kannst du nicht sagen.
Das liegt bei bei Huawei, aber insbesondere daran, also ich habe ja öfter mal mit den Geräten zu tun gehabt. Das liegt ein bisschen daran, dass die ähm sehr schnell auf Kundenwünsche reagieren. Und, dir im Prinzip jeder einzelne Kunde von Huawei, kriegt sein Custom Bild, ja? Die die Positoris sind entweder sehr, sehr viele Brunches, oder sehr, sehr viele Report-Sutories. Ich fürchte sogar letzteres und ähm.
Halt sehr schnell so, ne? Schnell heißt halt auch mit der mit der heißen Nadel gestrickt, aber wenn du. Also aus Kundensicht fällt das immer sehr gut auf, ne? Kunde in dem Fall mobile äh die Betreiber mobiler Netzwerke, die dann zum Beispiel sagen, ja, wir möchten folgendes Feature, haben mit dem nächsten Rollout und dann sagt, wo haben wir ja kein Problem. Und die anderen sagen, dieses Feature ist bei uns in der in der.
Nee und, Weil das Interessante daran war dann halt wir waren auch so Mechanismen beschrieben, die man irgendwie so kennt, ja? Dann haben die offenbar mal so eine IT-Sicherheitsinitiative gehabt und haben sich halt eine sichere äh Stream-Copyment Copy Funktionen äh reingemacht. Also halt Alias und die dann halt dummerweise dann aber bei dem Bild den sie untersucht haben haben sie dann das Secure auf insecu gemappt. Weil irgendwas offenbar nicht funktionierte. So, dann hörst du natürlich irgendwie, na ja und was soll ich sagen? Das ist überall anders genauso.
Ne, du hast du hast so viele Fehler im Source Code, die du ja kennst, wenn du jemanden qualifizierten, der nach suchen lässt, dass du ähm dass du jetzt nicht mehr sowas machen musst, wie wir, wie Hardcorden da jetzt mal eben Passwort oder wir machen irgendwelch, Chebolit-Funktion, die dir gut geben oder so.
Hast du regelmäßig äh sowas wie User nehmen Sisco, Passwortisco auf irgendein. Ob's Kuchen, Port nochmal als SSH-Laufen und kriegst es halt auch nicht raus. Ähm ich würde, jetzt sind wir wahrscheinlich so ein bisschen zu. In unseren Bereich gekommen. Ähm ich würde gerne nochmal grob erklären, was ist überhaupt IT-Sicherheit und warum, warum spielt das so eine große Rolle. Wir haben jetzt ähm im Prinzip einfache Sachen gefunden, wo man wo man programmierfehler, findet, also unsicheres Programmieren sind im Prinzip ungeschützte Funktionen, die sich je nachdem in welchem Kontext die passieren einfacher oder schwieriger dazu ausnutzen lassen, das System zu übernehmen. Ähm, aber eigentlich haben wir mit der mit der Sicherheit von Computern schon so eine neue Art von, Problemklasse gefunden, weil das Besondere am Computer ist ja, dass er universell programmierbar ist. Das ist eigentlich die große, die große Idee an Computer oder das das ist das, warum Computer so viel besonderer sind als alles andere. Du kannst den Dingern, beibringen, was du möchtest. Und das war das, warum der Computer so viel besser ist, als wir hier jetzt gerade eine an der Wand hängen, eine Gitarre. Du wirst der Gitarre nicht mehr beibringen, Saxophon zu spielen.
Gitarre, sagst du frisch spielen. Und genauso kann der Computer eben. Äh weitere Funktionen haben, wie führe doch mal die Tastatur, die auch der Tatatur gedrück. Befehle nochmal ab über das Internet an einen Server in Russland oder in China oder in den USA. Ähm, das heißt wir haben jetzt auf einmal so 'ne neue Problemklasse von Geräten die wir, Ich meine, wirft die meisten Geräte, mit denen wir arbeiten, verstehen wir nicht. Jetzt haben wir aber auch noch welche, die wir. Erstens nur nicht verstehen, sondern die zweitens auch noch universelle Funktionen haben können. Und diese universellen Funktionen können, so kompliziert oder unkompliziert sein, wie sie wollen. Und so gibt's dann einen ganz neuen Problembereich, in dem wir beide im Prinzip beruflich tätig sind und das ist der der IT-Sicherheit, der im Prinzip darauf beruht, zu sagen, okay, wir haben. Ganz grob drei Schutzziele für Systeme und Daten, Verfügbarkeit, Integrität, Vertraulichkeit, Verfügbarkeit heißt, okay, wenn das System weg ist, sind die Daten weg, können wir nicht damit arbeiten, ist relativ einfach, Vertraulichkeit, ähm. In also naiv interpretiert heißt die Daten dürfen nur uns zugänglich sein, wenn man jetzt aber mal so ein größeres Management reingeht, ist im Prinzip die Daten dürfen nur den Nutzern, Rollen und Systemen zugänglich sein, bei denen wir das wollen, wenn wir jetzt ein größeres Unternehmen oder ein größeres Mobilfunknetz anschaut, dann hast du im Prinzip für ein spezifisches Datum oder System. Ein relativ komplexes Rollenkonzept, mit welcher, welcher äh welcher Person und welches System, welche Berechtigung, hat zum Zugriff auf welche Daten. Mit zum Mobilfunknetz, da gibt's eine zentrale Instanz, die, Zum Beispiel regelt, wer sich in dieses Mobilfunknetz unter welchen Bedingungen einbuchen darf und unter welchen Bedingungen nicht die gleiche Instanz weiß, aber auch welche Person sich gerade oder welcher Subscriber sich gerade wohl mobilfunknetz befindet, weiß zum Beispiel, aber auch mit welchen Schlüssel, gerade Verschlüsselt wird, wenn mit dieser mit diesem Substriber gesprochen wird. Alles drei Da. Die in unterschiedlichen Kontexten relativ komplexen unterschiedlichen Rechten unterliegen, sodass. Ne, dieser Kiel ist sehr kompliziert, weil damit oder sehr kritisch, weil damit wird äh die Kommunikation verschlüsselt, für den gelten streckenweise andere Anforderungen, wie die, wie für die Information wo in unserem Netz befindet sich der Subscriber jetzt gerade, weil diese Information brauchst du unter Umständen auch, um sowas wie eine SMS zuzustellen oder einen ähm. Oder einen äh Anruf durchzuleiten, Und interessanterweise genau da sind ja auch die klassischen schönen Angriffe in den Mobilfunknetzen, die sich dann über zwei G drei G vier G manifestiert haben. Das ist dann eben. Corner Cases gab, wo man dann das äh doch mal fragen konnte, ey, kannst du dem Klima ganz kurz geben und der dann rausgegeben wurde, also das ist alles dieser Bereich, der Vertraulichkeit. Und dann als dritte Schutzschutzziel Integrität, dass ich so ein bisschen so definieren würde als das System, macht das und nur das, was von den Programmierern intendiert wurde.
Genau, ne? Du, der hat keiner dran rumgefummelt, dass ähm die Daten, die du gestern abgelegt hast, sind morgen noch die gleichen und insbesondere beim, bei deinem ganzen Bootstrapping, wenn das System hochfährt, wird nicht noch irgendeine Funktion hinzugeladen, die beispielsweise jetzt weitere Funktionen hinzufügt, die du die du nicht haben möchtest. Und diese drei Ziele zu erreichen. Ist leider fürchterlich schwer. Insbesondere wenn du dann noch einen aktiven Angreifer hast, der nicht nur ähm der also Schwachstellen nicht nur passiv ausnutzt, sondern vielleicht auch, aktiv versucht sich dieses Systemes zu bemächtigen. Und das ist das, was eigentlich die IT Seite, Ja, weiß ich nicht, wie viel Jahrzehnten Leute Informationssicherheit überhaupt versuchen, aber es beschäftigt die DIT seit seit so vielen. Jahren. Und meine etwas. Vorsichtige Teesitze, der wir später nochmal kommen werden ist theoretisch wäre das ja alles möglich, aber wir haben eigentlich einfach nur das also nur das kleine Problem, dass wir es nie hinkriegen. Und dazu wurden wir ähm das Problem ist natürlich mit der fortschreitenden Digitalisierung so groß geworden, dass. Jetzt der Gesetzgeber eben sagt, okay, da müssen, da müssen wir doch mal was machen. Und zwar nicht zum ersten Mal. Hacking einfach zu verbiegen, wandern die ersten Bemühungen zweitausendsieben, zweitausendacht. Ähm. Paar Jahre später ähm waren dann. So bewahren wir zum Beispiel mal als CC im Ausschuss äh digitale Agenda. Das war zweitausendvierzehn, wenn ich das jetzt richtig sehe, da war damals ich und ich habe eine Stellungnahme, vertreten. Da haben wir, glaube ich, alle dran rumgeschrieben. Da waren auch irgendwie du Konstanze, Erdgeist, ein bisschen dran beschäftigt und das war jetzt auch nicht das erste Mal, dass diese Forderungen des CCC vertreten wurden. Die sind nämlich im Prinzip immer gleich. Nämlich, dass wir sagen. Wir müssen irgendwie, wenn der Gesetzgeber da irgendwie oder die Regierung da irgendwie wirken möchte. Da muss erstmal die Qualität der Software erhöht werden und das Vertrauen ins Software erhöht werden. Also haben wir gesagt ähm soft die Software, der wir vertrauen, die muss ohnehin Open Source sein. Weil wenn sie es nicht ist, dann können wir ihr nicht vertrauen. Du hast gerade schon einen zweiten wichtigen Punkt gesagt. Open Force reicht noch nicht mal, sondern du willst auch, Reproduct Bills haben. Ist immer so schwer auszusprechen äh meine Güte jetzt.
Reproduzierbares Gebastel. Ähm das heißt du möchtest nicht nur, dass der Quelltext. Aus dem die Software stammt für dich einsehbar ist, sondern du möchtest auch beweisbar. Haben, dass die Software, die du bekommst aus diesem Quelltext stammt. Dummerweise, das klingt wie ein triviales Problem, ist aber leider echt kompliziert, weil, im Prozess des Bilds, wenn du jetzt ein beliebiges Report-Sutori von mir aus, irgendwo auscheckst und sagst Konfigur make make in Store und oder ne Make Install machst du noch gar nicht, du machst nur, Konfigurmak, guckst dir die Binaries an, die dabei rauskommen, saß dann Make-Clean und machst nochmal Make, dann hast du andere Beine. Weil irgendwie.
Und das ist irgendwie echt ein ärgerlicher Prozess, der letztendlich dazu führt, wenn du naiv einfach nur Hashes vergleichen würdest, kriegst du jedes Mal bei jedem Bild eine andere Software. Das heißt, Open Source ist für dich quasi. Schon egal wenn du wenn dir jetzt dein Hersteller liefert und sagt, ja hier, das habe ich aus dem Source Code gebaut, den ich dir gezeigt habe und du sagst, ja wie, bei mir kommt aber was anderes raus und der sagt, ja, mach nochmal, siehst du, kommt wieder was anderes raus, kommt immer was anderes raus, Yolo, die Pläumer, ja ähm.
So ist die ärgerliche Normalität und wahrscheinlich also es gibt relativ wenige Softwareprojekte die. Dass wir das gelöst haben, also das jetzt von Huiway zu verlangen ist, also das Christoph bei Cisco oder sonst der Christoph wahrscheinlich echt nirgendwo Torbrowser, kriegst du's vielleicht inzwischen? Ich weiß, dass ich damit.
Das war ein Riesending und ich weiß, dass wir da jahrelang drüber gesprochen hatten, bis sie dann irgendwann bereit waren, mal auf den Kongress äh dann Talk drüber zu halten. Also wer sich für dieses Problem interessiert, kann da äh reinblicken. Wir haben damals gesagt, okay, Open Source ist sowieso schon mal eine Grundvorsorussetzung reproduzierbares. Es gibt Bauer. Gehört noch dazu und dann natürlich, wenn wir in diesem Open Source steckt ja auch drin. Öffentliche Gelder öffentlich verfügbarer Code, dann wollen wir wenigstens auch. Hier eine Qualitätssicherung feststellen, da haben wir, glaube ich, gesagt, okay, Outdits, Backbound Tees, ne, die klassischen Maßnahmen, um diesen Code ähm. In seiner Qualität zu steigern, zum Beispiel, dass mal jemand durchgrippt und sich anschaut, wie viele unsichere äh Speicherzugriffe sich da drin befinden und die mal sauber aussortiert, Wir haben dann gesagt, okay, eigentlich wenn es hier um, kritische Infrastrukturen geht, dann wollen wir das dezentral haben, dezentral deshalb, weil Dezentralität, die die Resilienz des Systemes hoffentlich ein bisschen steigert und Ende zu Ende Verschlüsselung, weil das eben. Einzig sinnvolle bekannte Methode ist, um Vertraulichkeit so sicherzustellen, dass sie nicht an zentraler Stelle gebrochen werden kann. Und dann wo die letzte Forderung etwas politischer, aber ich denke auch da haben wir echt nochmal gezeigt wohin dass wir wissen wohin die Reise geht, nämlich wir wollen eine unabhängige und evidenzbasierte Sicherheits und Geheimdienstpolitik.
Ja, wobei da halt also sollte man vielleicht nochmal kurz ausholen, so eine der Grundlagen, wieso wir in Deutschland, bisher relativ wenig Stress damit haben, Verschlüsselung zu machen, dass das halt die gültigen äh Eckpunkte deutscher Kryptopolitik, die noch aus den Neunzigern stammen, von der Bundesregierung halt äh und sogar vom Innenministerium wieder bekräftigt wurden. Äh man also gesagt hat, okay, die äh der Staat, ist prinzipiell Führverschlüsselung als wesentlicher Baustein von IT-Sicherheit, weil letzten Endes ist Verschlüsselung. Somit das einzige, was wir noch haben in der IT-Sicherheit, was man hinterher noch drauf slappen kann, was halt irgendwie tatsächlich die äh ähm. Sicherheit so ein bisschen verbessert und die äh diese Eckpunkte deutscher Kryptopolitik sind. So ein bisschen der zentrale Verteidigungsanker gegen alle Versuche zu sagen, wir wollen Hintertüren haben oder wir wollen KISGO haben oder ähnliche Dinge so und das heißt also die haben halt nicht Gesetzesrang, das ist halt, quasi so eine politische Absichtserklärung. Die ja deswegen halt nur so bedingt verlässlich ist, so also ich hätte hier eigentlich ganz gerne im Grundgesetz. Ne, also halt äh wir haben allerdings auch immerhin äh verschiedene Orthos-Bundesverfassungsgerichts in denen das Recht auf digitale Selbstverteidigung. Bestätigt ist. Also wo man halt sagt, okay äh der digitale Raum hat halt gewisse Unsicherheiten und der. Bürger muss und darf Maßnahmen ergreifen. Da ging's zwar in in den Staatstreuern erurteilen. Wo sozusagen nochmal gesagt wurde, okay, auch wenn du irgendwas dagegen tust, dass du tronisiert wirst, ist es dein gutes Recht, weil das sind halt allgemeine gute Handlungsweisen der IT-Sicherheit äh deine Systeme zu härten.
Na das sind also das Kernurteil ist äh von zweitausendacht, in dem das Bundesverfassungsgericht äh das Grundrecht auf die Vertraulichkeit und Digität informationstechnischer Systeme, festgeschrieben hat und gesagt hat, okay, also äh prinzipiell gibt's erstmal ein Grundrecht, was natürlich wiederum auch eingeschränkt werden kann äh wo man sagt, okay, also das äh. Staatliche Infiltration von Sechnischen System, mit den Nutzer überwacht und Speicher mir ausgelesen werden können, das verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für überragend wichtiges Recht rechtsgut bestehen. Also Leib und Leben äh frei der Person oder Grundstück der Existenz und so weiter, ne? Ähm! Und die ähm. Dieses dieser Grundsatz sagt aber eben auch, dass die äh, Anwendung von Trojanern halt nicht leichtfüßig passieren darf, so. Leider ist in diesem Urteil dann halt ein einschränkender Paragraph drinnen, also ein einschränkender Absatz, der halt sagt, okay, wenn's nur um Telefonabhören geht, dann ist das schon okay, also dann kann man halt also mit einem beschränkten Trojaner, die so Quellen, Telekommunikationsüberfahrungstrojaner da den könnte man anders regeln so und das ist halt das was wir jetzt gerade haben so der Zustand, dass also die Behörden noch immer damit kämpfen halt ihre zu bekommen, dass sie alle Plattformen trainieren können. Die Anwendung wird natürlich immer schön daheim gehalten, das heißt also es noch relativ wenig darüber bekannt, dass tatsächlich jetzt nach den äh, damals hieß der die Bude Digitask, genau Digitals, Trojanern, die damals verwendet wurden, die halt so eher so aus der My First Trojaner Ecke waren, was irgendwie so die Software anging, äh dass jetzt halt so nach und nach. Entweder Eigenentwicklung oder halt von den üblichen äh Diktaturzulieferern gebaute äh Trojaner halt irgendwie bei den Behörden eingesetzt werden sollen.
Ich würde jetzt gerne auch auf die Gefahr, dass wir ein bisschen zu weit und zu grundsätzlich wären, aber wenn wir das Thema schon so ansprechen, würde ich echt nochmal gerne auf diese Digitasknummer kommen, weil das für mich immer noch so die coolste Aktion des CC ever, war. Ähm du hast das gerade schon angesprochen, die in diesem Urteil, zur zum Grundrecht auf Vertraulichkeit und Integration informationstechnischer Systeme kam es im Prinzip zu so einer, Fiktion oder zu so einer gesetzlichen Trennung, die sich heute bis heute hält und das ist die Trennung von Online-Durchsuchung wäre also irgendwie so eine Meterbreta auf deinem Rechner, LS äh Copy Everything so, ne und dann der Quellen-TKÜ zu sagen nur Kommunikationsprozesse dürfen abgehört werden und dann auch die Annäherung. Online-Durchsuchung wäre sowas wie Grundsatz äh tatsächlich wäre angegliedert an Hausdurchsuchungen und Quellen TKÜ wäre angegliedert rechtlich an. Na ja, Richter hat gesagt, dürfen abhören.
Und dann gab es eben diese diese Versuche, das war das muss zweitausendzehn, zweitausendelf gewesen sein, ne? Ozapft ist. Das war, da gab's dann also die ersten die ersten zaghaften Versuche, die. A und des Zolls ähm einen Trojaner zu bauen, der das tut. Der also den Computer, infiziert, denn das der Zielperson und dann versucht ihr nur beim Kommunizieren zuzuschauen und die Versuche, die die Versuche waren, voll cool. Wir machen das Mikrofon an und wir machen Screenshots während E-Mails geschrieben werden. Das war so ungefähr die die Herangehensweise des des Digitals Trojaners. Oder tausche ich mich da.
Ding kannst du eine Raumwande draus machen, ne? Also es war halt irgendwie kurz, also diese das halt auch weiterhin so ein Problem mit diesen äh. So hatte Quellenticket, Utrojanern, die also eine angeblich beschränkte Funktion haben. Wenn man das Mikrofon auf dem Endgerät anmacht äh dann ist das Ding hier erstmal eine Raumwand zu. Und ein Raumwanzen hängen in Deutschland, also wirklich sehr, sehr hohe rechtliche Anforderungen. Also ist halt ein äh es war damals halt die, das Gesetze wegen dem Sabine Lotthäuser Schnarrenberger zurückgetreten ist und die Also tatsächlich einen Raum zu verwanzen, ist so, die strafprozessuale Maßnahme, die halt irgendwie am eigentlich am schwierigsten durchzubekommen ist. Äh eine Telefonüberwachung hingegen wird irgendwie wöchentlich hundertfach durchgestempelt von den Richtern. Und der technische Unterschied, zwischen dieser Raumüberwachung und einer Telefonüberwachung sind halt zwei Zellen Kot, nämlich die zu gucken, ob gerade eine Telefonie-Software aktiv einen Call hat oder nicht, ne? Und äh wann das Zufall das ich hinbekommt oder nicht. Keine Ahnung wahrscheinlich eher nicht. So also ich meine weil letzten Endes geht's ja darum was denn die straffe Volksbehörden da tun. Und, dieses Problem ist halt, also wir haben's halt in den damals in dem Verfahren auch gebracht, wir waren der Gutachter äh beziehungsweise Sachverständige und äh aber. Das hat nicht verfangen leider, also tatsächlich diese der Glaube darin, die werden das schon richtig machen und da wird halt schon nichts passieren und die werden sicher Treu einer bauen, die wirklich nur dann das Mikrofon anmachen, wenn tatsächlich ein aktiver Call läuft. Der hat sich da halt leider verfestigt so.
Und das ähm also das Ergebnis war der CC ist über Spenden aus laufenden Strafrechtsverfahren, aus laufenden Strafverfahren oder abgeschlossenen Strafverfahren weiß ich überhaupt nicht, eigentlich auch völlig unerheblich auf irgendwie an Datenträger gekommen, die mit solchen Trojanern infiziert waren und hat sich dann hingesetzt und die mal auseinander genommen und geguckt, wie funktionieren die? Was machen die? Es gab eh in den fraglichen Strafverfahren dann schon durch irgendwie hunderte Seiten Screenshots grob sehr starken Grund zum Zweifel, dass diese Software sich an den engen rechtlichen Rahmen halten würde und das Ding wurde halt komplett aufgemacht. Ähm ein Command im Control Server dafür geschrieben, der dem Ding einfach beliebige Funktionen unterspielte über diese Modulfunktion und damit wurde gezeigt, dass dieser dieser Anlauf eines Staatstrianer zu schreiben, eben absolut in keiner Form rechtlich.
Also warum erzählen wir diese Trojanergeschichte? Weil ähm die dieses Spannungsfeld. Zwischen der Verantwortung des Staates für eine, soweit Daseinsvorsorge, also für die Sicherheit einer Bürger. Sich auch auf die IT-Sicherheit erstreckt, und für so einen Trojaner, beziehungsweise Benutzung von solchen Trojanern, ist es ungemein praktisch, wenn man Sicherheitslücken hat, die noch nicht gepatcht sind. So, das heißt also die Auslieferung dieser Trojaner, also eine der Möglichkeiten dazu ist, eben den Explorts zu benutzen und dann halt die entsprechenden Systeme zu infizieren, am besten aus der Ferne, weil da hat man am wenigsten Arbeit. So und da ist der Stahl natürlich jetzt in so einer Bedrohung, nämlich, wie soll denn eigentlich die Abwägung passieren zwischen der Start-Weiß von eurer Sicherheitslücke. Und er hätte sie gerne noch eine Weile offen gelassen, weil damit halt entweder geheimdienstliche oder strafverfolgte Operationen offen. Und eigentlich ist dieser Konflikt nicht wirklich auflösbar. Die Amerikaner haben dazu versucht, so eine, Möglichkeit zu bauen, die nennen sie Security, wo eine Robility Equitys Proces, die beim Review der ersten Version halt äh sich als ähm eher, na ja, nicht so richtig toll, herausgestellt hat, wenig überraschend, weil die Geheimdienste einfach gesagt haben, so na ja, da tun wir halt nur die Backs rein, von denen wir wissen, dass sie ohnehin verbrannt sind und die Sachen, die halt wirklich äh Die Gurke wirklich großen Keulen sind da reden wir halt nicht drüber, wo dann halt so was wie Tunnel Bluebay rauskam, ne? Also erinnert's euch dunkel, der Exploid von der NSA, der dann halt irgendwie relativ zügig dazu führte, dass wir die größten und verheerendsten Mehrwertkampagnen überhaupt in der Geschichte bis wir hatten, wo halt.
Genau und das waren halt ein Exploid, auf dem die NSA jahrelang gesessen hat und äh der halt gegen quasi alle Windungsversionen funktioniert und. Ja, wenn sie da nicht drauf gesessen hätten und halt irgendwie den äh äh den an Microsoft gemeldet hätten zum Patchen und zwar nicht erst als klar war, dass es liegt, sondern so, als sie ihn gefunden haben. Wer hat sowas wie schlicht nicht passiert. Das hat man relativ gute Illustration davon, das ist also eigentlich für so einen Staat nicht wirklich eine Option ist, äh so Explorthourting. Zu machen und hört die eher sich da so Stockpaides hinzulegen. Jedenfalls nicht, wenn er versucht ehrlich zu spielen. So die Amis interessiert sie natürlich nicht, weil die treffen diese Abwiegung halt irgendwie in der Regel hat zugunsten der Geheimdienste in Deutschland, es läuft diese Diskussion gerade intensiv und die wird halt auch im Kontext, dieses IT-Sicherheitsgesetz zwei neu geführt, weil, da drin eher auch definiert wird, dass ähm zum Beispiel das BSI halt als äh zuständige Behörde auch federführend bei der Meldung von IT-Sicherheitslücken ist, ne? Also wo halt man sagt, okay, wenn man dem Staat halt sein will, hier lieber Stadt, hier gibt's 'ne Sicherheitslücke, weil man halt grade kein Bock hat, sich mit dem Hersteller auseinanderzusetzen, weil, äh dort äh in der Regel halt irgendwie nicht unbedingt nett ist, wenn der Hersteller halt nicht so gut drauf ist dann wäre der schon ganz schön, wenn man eine vertrauenswürdige staatliche Behörde hätte, wo man hingehen könnte und sagen könnte, hier liebes BSI, hier ist die Sicherheitslücke und hier ist es irgendwie die Sachen, die reproduzieren und dann sagt das BSI Dankeschön, gebt einem vielleicht noch ein bisschen Geld dafür und kümmert sich drum, dass der Kram gefixt, wäre eigentlich wohl ich eigentlich von meinem Staat erwarten, dass es so einen Service gib.
Und äh also so aus meiner Sicht wäre halt ideal, wenn es sowas wie ein unabhängiges BSI gäbe, was halt ein staatliches Buckpointy-Programm, fährt mit dem, wo man halt einfach guten Gewissen zahlt, sich als Lücken melden kann. Nun ist das BSE aber dem Innenministerium unterstellt. Das heißt also die. Ähm die Diskussion darum, wie denn das BSI jetzt äh mit so gemeldeten Sicherheitslücken umgeht und ob es dann halt auch Zugriff von Strafverfahren, Geheimdiensten auf die Sicherheitslücken gi. Die bestimmten Teil dieser Diskussionen, dieses IT-Sicherheitsgesetz, weil da unter anderem halt diese Meldepflichten drinnen stehen.
Ich würde das noch nicht mal so sagen, weil die. Die Leute, die im BSI arbeiten, wissen natürlich, dass es halt eine absolut bescheuerte Idee ist, die irgendwie zu verpflichten, mit den Strafverfolgern zu kooperieren, was irgendwie äh so Sicherheitslücken angeht, weil. In dem Augenblick wusste auch nur einen dokumentierten Fall gibt, wo eine Sicherheitslücke ans BSI gemeldet wurde, die dann halt von äh von einem Geheimdienst und Strafverfolger verwendet wird. Und sei es auch nur zufällig, dass äh selbst wenn's Paradise Covery wäre. Ist das BSI als Meldestelle als vertrauenswürdige äh Ansprechinstanz erledigt, niemand wurde mehr äh der halt irgendwie so auch nur hartweg bei Trance ist, wurde, die mir irgendwie sichere Sicherheitslücken geben. Dieser Konflikt, hat halt auch die die Diskussion halt jetzt um dieses IT-Sicherzusgesetz zwei null mitbestimmt, so dass man sagt, okay, eigentlich sollen wir, wird es BSI aufgewertet, als als diese Instanz aber andererseits, wenn da halt irgendwie Leute im Innenministerium darüber diskutieren, dass sie ja dann auch den Strafverfolgern helfen müssen mit ihren Wissen und ihren, ihren Fähigkeiten, dann äh redet halt niemand mehr mit denen, ne? Also dann sagt man halt, okay, dann kann ich auch gleich irgendwie zu irgendwie Serodium gehen und für irgendwie mein Backhalt noch Geld mitnehmen, so, ne?
Stimmt. Also der der macht das macht das PSI dann nicht das das konkurrenzfähige Angebot. Ich würde nur kurz, um nochmal darüber zu sprechen, was wir da für ein Risiko drohen einzugehen, immer wenn Menschen. Egal ob also ob staatlich oder sonst was, Schwachstellen offenlassen. Ähm, Wenn eine Schwachstelle gemeldet wird und nicht gefixt wird, dann heißt das, die ist in allen betroffenen Systemen noch weiter vorhanden. Ähm, wenn wir nun die Abwägung treffen, zu sagen, okay, zur Bekämpfung des Kampfs gegen Arbeitslosigkeit oder Terror oder was auch immer äh wollen wir diese Schwachstelle verfügen, um einige wenige. Zu hacken. Dann bedeutet das immer noch, dass wir alle anderen unbescholtenen Bürger, die die gleiche Software verwenden, dieser Schwachstelle ausgesetzt lassen. Und. Was man bei den und ja eben nicht vergessen darf ist diese wirklich desaströsen Schadenfälle. Mehr äh Brauerei, sage ich schon. Rederei. Ähm wer es wäre noch schlimmer gewesen.
Ja, es ist auch eine, ich glaube, die Produktion von äh Schokolade ist auch irgendwie zwei Wochen ausgefallen, weil irgendeine Produktionsstätte von Milka oder Rittersport oder also Nestle oder sowas äh befallen war. Also wir sind da wirklich herrschaft an der Katastrophe vorbeigeschossen und. Das war zu einem Zeitpunkt, wo die Schwachstelle schon seit zwei Monaten bekannt war und seit einem Monat gefixt oder, ja? Das heißt, da haben wir nur einen Vorgeschmack auf das Risiko bekommen, was in dem Fall die NSA über Jahre eingegangen ist. Denn hätte, wäre das passiert. Unter Ausnutzung dieser Schwachstelle zu einem Zeitpunkt, wo noch nicht die Patches von Microsoft dann irgendwann bestand, äh, äh, bereitgestanden hätten, dann hätte es nicht nur die erwischt, die aufgrund von komplexer IT-Nachlässigkeiten oder, oder, oder. Ihre Systeme noch nicht gepatcht hatten, sondern dann hätte es die, hätte es alle getroffen, die noch nicht weil es gar keine Pätsche gab, Patches gab, das heißt auch immer noch diese schwersten Fälle wan immer noch nur ein geringer Ausblick auf das Risiko, ein Vorgeschmack, auf das Risiko, dem wir eigentlich über Jahre ausgesetzt waren. Der offizielle Stand ist glaube ich die Schwachstelle hat über elf Jahre bestanden und es gab zumindest von der NSA Anhaltspunkte, dass sie sie über fünf Jahre kannten. Immer so ein bisschen der der Unterschied zwischen die Schwachstelle kann ja theoretisch. Ich glaub die älteste Schwachstelle bei Behebung war sowas wie, fünfundzwanzig Jahre alt. Als sie dann irgendwann mal jemand gefunden und gemeldet hat. Ähm das heißt also auf fünfundzwanzig Jahre hatten wir einen nicht klaren Zustand, ob diese Schwachstelle nicht vielleicht irgendjemandem schon bekannt war. Und das ist halt das, was weshalb ich es, Ich persönlich ist immer für notwendig halte, Schwachstellen bei Bekanntwerden zu melden, auf das alle, die der Schwachstelle ausgesetzt sind, ähm, davor geschützt sind und ich gehe dafür bei grundsätzlich davon aus, dass mit diesem alle immer mehr. Unbescholtene Bürgerinnen und Bürger und Anwender und staatliche Institutionen gemeint sind als potenzielle Kriminelle, sodass ich persönlich zu dem zu dem zu dem Schluss komme, dass eigentlich es immer falsch ist, eine Schwachstelle zurückzuhalten.
Also ich meine, die was wir gerade sehen ist, dass ist eine äh. Ja, so eine so eine gewisse Wiederbelebung von gibt, weil viele Leute völlig angefressen davon sind, dass äh die Zusammenarbeit mit den Herstellern, den Betroffenen. Sich halt häufig genug sehr zäh oder sehr bürokratisch oder auch juristisch unangenehm gestaltet und halt immer mehr Leute sagen, na ja Gott dann poste ich halt einfach den Profokonzept. Auf einer Mailing-Mist, da gibt's in der Melling Messe heißt Fulda Sclorder äh und sagt halt, na ja, dann euer Problem nicht mein Problem, ne?
Und man sieht ja, also jüngstes Beispiel, was wir hier äh ausführlich behandelt haben, diese Reaktion von Vivi, bei denen ja eine quasi beziehungsweise Disclowser stattgefunden hat, weil, Thorsten und Martin freundlich waren. Das Ergebnis ist sie äh sieht sie ziehen dich hin, sie verschleppen das fixen. Ähm veröffentlichen mit der Veröffentlichung, sind sie vorbereitet und diskreditieren dich noch al. Sicherheitsforscher und äh sagen halt auf die Weise Dankeschön im Prinzip also eine da wird ja auch gezeigt, dass also jeder, der bei bei Vivi nochmal draufhauen möchte und es gibt ja, Eventuell dann noch die eine oder andere Schwachstelle, ähm der wird das jetzt nicht nochmal Koordinate machen, sondern das wird sich im Zweifelsfall auf Full Discloger finden. Und da muss man sich natürlich wieder anhören lassen, ah hey, da habt ihr aber jetzt die ganzen Menschen in Gefahr gebracht, die noch die dort äh die die Software da noch äh oder die ihre Daten diesen Idioten anvertraut haben. Ja aber wenn du dir halt, wenn du dir anschaust, wie die versucht haben, eben Thorsten und Martin in in Misskredit zu bringen, dann verstehst du auch, dass die ähm dass dass der zweite oder dritte Hacker, der da nochmal vorbeigeht, sich eben auch sagen wird so, hör mal, wenn ich so oder so, in der Tonne lande, um mich von euch Miss in Misskredit bringen lassen soll, dann kann er besser auf Full Discloger posten. Und dann haben wir alle nochmal ein bisschen Spaß.
Also insofern wäre halt also um sozusagen den Bogen nochmal kurz zurückzuschlagen. Insofern wäre es halt gut, wenn's halt so eine so eine. Unabhängige Institutionen gäbe, die halt irgendwie einfach neutraler Backbound die Programme auslobt, und quasi hat sowas was so Rodium oder ähnliche äh äh die halt für die Geheimdienste Explods aufkaufen. Eigentlich müsste der Staat sagen, okay, wir spielen einfach mit, aber wir machen's für die Guten, wir halten nichts zurück, so. Und es wäre auch nicht mal fürchterlich teuer, ne? Also das hört ja irgendwie, wenn das im Vergleich zu den potenziellen Schadensvolumina siehst. Ist selbst wenn man ein Expert für eine Million ankaufs ankaufst, der halt irgendwie nehmen wir mal an ein paar hunderttausend Router betrifft. Dann hast du keine Ahnung, einen Euro fünfzig pro Router für die Absicherung. Ist im Vergleich zu allen Folgekosten, die entstehen können, was den Rotheim Bottnetz wird, ein lächerlicher Betrag.
Und ich meine und mal ganz ehrlich, also sag mal so ein, so ein Explored gegen halt so eine Plasterrouter-Serie, der wurde nicht für eine Million übern Tisch gehen, der würde für fünfzehntausend oder zwanzigtausend über den Tisch gehen so, ne? Und heißt also, dann werden's wenige Cent. Äh das das nicht passiert, hat er zwei Gründe. Zum einen vertraut niemand dem Staa. Weil hört und wie diese Auflösung des Konfliktes von staatlichen Export Hoting Versus irgendwie staatlicher Daseinsvorsorge nicht passiert. Und zum anderen. Wildet offenbar niemand wirklich angehen. So alle sind irgendwie offenbar ganz happy mit diesem unklaren Status Quo, weit genug Arbeitsplätze schafft oder keine Ahnung, also.
Wenn der öffentliche Rechtliche Stelle, die die dann auch mit mit ähm, mit 'nem entsprechenden Hebel ausgestattet ist zu den Herstellern zu gehen und zu sagen, nee, pass mal auf, nichts diskutieren jetzt hier, nichts in der Öffentlichkeit, Forscher diskreditieren, nichts mit ähm Krisenmanager irgendwo losschicken, sondern fixen. Und zwar, bitte Asab, sonst haben wir hier noch ganz andere Hebel, ne? So also im Prinzip so ein Project Zero mit ähm, mit mit einer richtig harten Gesicht letztlichen, mit einem ordentlichen gesetzlichen Hebel dran. Und dann könntest du noch sowas machen wie okay, wir wir zahlen für Winobilitys irgendwie Geld. Und dann könntest du noch sowas machen, wie was weiß ich. Drei Remote Code Execution in einem Jahr gemeldet, gibt äh hier Bundesverdienstkreuz oder so, ne? Kannst du auf einer stationär Zerodium Challenge coin, die ich zu Hause rumfliegen habe.
Also wie gesagt, ich also Gegebenheit, die man staatlichen Machtstrukturen. Wir diskutieren ja schon eine ganze Weile zum Beispiel darum, ob man das BSI zu einer unabhängigen Bundesbehörde machen sollte. Fände ich glaube ich da so neu erfinden von öffentlich-rechtlich gut. Also sozusagen sagen ist eine Organisation, die ist öffentlich, sie dient der Öffentlichkeit aber sie ist nicht der Staat. Ne, also wo man halt sagt, okay, ähm. Die äh der Konflikt mit dem Staat ist möglicherweise nicht auflösbar, aber es gibt ja noch genügend andere Organisationsformen, die. Entweder vom Staat finanziert sind oder halt irgendwie aus äh keine Ahnung Industrieumlage oder was auch immer finanziert sind. Bei denen halt die Unabhängigkeit so aufgebaut ist, dass man halt eben dadurch, dass man nicht die Bundesinnenministerium nachgeordnet ist, so 'ne Funktion realisiert. Und aus meiner Sicht wäre eigentlich das BSI in so 'ner personellen Ausstellung, da durchaus gut für geeignet, weil da arbeiten auch gute Leute, aber die diese Unterordnung und das Innenministerium äh, Na ja, die sorgt halt dafür, dass das Vertrauen halt im Zweifel nicht also gerade bei Sicherheitsforschern halt gerade nicht unbedingt gegeben ist, ne.
Genau und also nur um das historisch kurz erwähnt zu haben. Es gibt ja bereits ein IT-Sicherheitsgesetz, das ist glaube ich zweitausendfünfzehn wurde das herabgelassen ähm da haben wir auch als CTC damals eine Stellungnahme zu gehabt, die, ich dann im Ausschuss vertreten habe, das war dann der Innenausschuss wahrscheinlich. Ähm wo wir, uns darüber Gedanken gemacht haben. Da soll's so ein bisschen, sollte es ein bisschen darum gehen, ähm, Das war das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme hatte aber spezifischen Fokus auf sogenannte kritische Infrastrukturen. Und da haben wir dran kritisiert erstens äh fehlende Ansätze zum Endnutzerschutz, Das Gesetz bezog sich eben nur auf kritische Infrastrukturen. Es ging nicht darum, Nutzerinnen und Nutzer zu schützen, ähm. Das waren sehr bürokratielastiges Gesetz, da sind die sind die Unternehmen streckenweise heute noch mit beschäftigt. Die Anforderungen zu erfüllen, weil es um sehr viel ja ähm, Mindestanforderungen protokollieren ähm, Sicherheitskonzepte schreiben, ging's um Sicherheitsmanagement. Ich nenne IT-Sicherheitsmanagement so ein bisschen sowas wie äh eigentlich Management ist immer, Die Verantwortung tragen, und dafür sorgen, dass man nicht zur Verantwortung gezogen wird. Das ist im Prinzip Management. Im Bereich der IT-Sicherheit zumindest. Also möglichst viele Häkchen irgendwohin machen, damit wenn dann mal äh die äh Scheiße in den Ventilator fliegt, dass man dann möglichst sagen kann, ich habe aber alles gemacht, was was. Gut und billig und gesetzlich vorgeschrieben ist, sodass man mir hier keine Fahrlässigkeit unterstellen kann, so dass ich eine nicht wirklich in der Haftung bin und nicht wirklich zur Verantwortung gezwungen werden kann.
Also daraus erwachsenes hört man auch eine Sache, die für die Zukunft durchaus wichtig wird. Und zwar wurde da, in der implementierung dessen äh einen Vorschlag von uns aufgenommen, wo wir gesagt haben, okay, äh es ist halt schwierig, den. IT-Sicherheitsstaat zu zertifizieren, weil du kaum in der Lage bist zu sagen, okay, wir haben jetzt irgendwie dieses Thema gründlich angeguckt, dann ist es aber mindestens drei Monate her oder vier Monate her, in der Realität eher drei Jahre, so man hat so die typischen, keine Ahnung, IT-Sicherheitszertifizierung nimmt. Und in dem Augenblick ist jetzt das Thema eigentlich schon durch, da braucht man eigentlich nicht weiter drüber reden, weil halt in der Zwischenzeit neue Explotechniken entwickelt wurden und so weiter. Da sind wir unser Forscher zu sagen, okay, lassen sie es mal dynamisch machen, also halt eine, Leute aus den einzelnen Branchen zusammenholen, die sich hinsetzen und drüber reden, was, die IT-Sicherheitsmindeststandards in ihrer Branche sind, also welche Softwareversionen äh von Onki Curnals und äh verwendeten Librarys, irgendwie prozedurale Kirchungen und so weiter. Und daraus ist dann halt für diesen Bereich kritische Infrastrukturen. Äh sind halt die sogenannten branchenspezifischen Sicherheitsstandards geworden, also kurz B drei S. Und die sind halt nach so einem genau dieser Idee aufgesetzt. So das funktioniert halt alles noch nicht so richtig gut, weil sich halt erst noch dran gewöhnen müssen und das bürokratische Setup davon halt an einigen Stellen irgendwie falsch inzentiviert ist so, aber grundsätzlich ist es halt aus unserer Sicht der richtige Ansatz zu sagen so okay, wir brauchen halt eine Möglichkeit für jemanden, der halt irgendwie so ein IT-System betreibt. Sicherzustellen, dass er die Mindestanforderungen erfüllt und die müssen halt branchenspezifisch sein. Das heißt also, dass nicht nur für kritische Infrastrukturen sondern eigentlich quasi so für alles und in diese Richtung zu gehen, da wäre natürlich das BSI halt auch der richtige Ansprechpartner für, also der richtige Personal richtig aufgestellt und so weiter und auch zuständig, nur ist halt diese Unabhängigkeit dabei halt so ein bisschen ja diese nicht gegebene Unabhängigkeit so ein bisschen im Weg.
Ich würde da noch ein bisschen drüber hinausgehen. Also dynamisch bedeutet einmal klar also Sicherheitsstandards können nicht statisch sein, weil IT-Sicherheit eben viel mehr ein Prozess ist als ein Zustand. Ähm wenn. Wir haben jetzt sehr viel über Schwachstellen gesprochen. Schwachstellen werden gefunden. Schwachstellen werden beseitigt, das heißt, die Systeme müssen auf dem aktuellen Stand gehalten werden. Ist also eigentlich eine Zertifizierung im herkömmlichen Sinne, in die einen Zustand betrifft ist in dem Bereich also, Im Prinzip nicht zielführend, weil du viel eher den Prozess haben möchtest, ja? Also die Schwachstelle zu. Die Schwachstelle nicht zu haben, ist ja nur ein Teil deiner IT-Sicherheit. Der weitere Teil ist zu erkennen, was also darauf zu reagieren, wenn sie festgestellt wird und wenn sie ausgenutzt wird, dafür zu sorgen, dass der Schaden gering bleibt. Ähm, Also eine Wiederherstellung, Erkennung und Sonstiges. Ähm. Ich fand allerdings bei diesem IT-Sicherheitsgesetz eins ein bisschen das Problem, wenn da die Branche sich ihre Sicherheitsstandards selber schreibt und Strafen dafür bekommt, wenn sie die nicht einhält.
Deswegen braucht man da halt irgendwie nicht nur die Branche, sondern halt irgendwie ähm also, Unser Vorschlag war zu sagen halt so, da müssen dann halt irgendwie auch Leute aus dem BSI sein, die halt von den entsprechenden Fachabteilungen sind, und hört irgendwie zum Beispiel halt die aktuellen Trends halt bei Meri und so weiter kennen halt aus den Sirts die halt mit den aktuellen Vorfällen zu tun haben. Viele Industrien haben ja mittlerweile eine äh Computer Merchandis Bandszentren wo halt die Information über die Vorfälle in dieser Industrie so ein bisschen zusammenlaufen äh und natürlich halt irgendwie Leute aus aus der Hacke Community und aus den äh äh akademischen äh Forschungsbereichen, die sich um die spezifischen Themen kümmern, sodass man da halt nicht nur so eine die Branche selber sagt, okay, zwo sechser Körner sind su weil haben wir alle und irgendwie äh. Open ist es Evelson irgendwie irgendwie kleineren äh eins null, kann man eigentlich auch noch prima verwenden, weil haben wir ja auch alle. So soll natürlich nicht laufen, ne.
Ähm genau, ich glaube aus dem IT-Sicherheitsgesetz wurde dann so ein bisschen was, Also das letzte, was ich davon gehört habe, war glaube ich so im letzten Jahr noch, dass einige Branchen eben Schwierigkeiten hatten, die Standards einzureichen und zu erfüllen. Aber es war halt so ein, es war am Ende ein großer Verwaltungsakt, da ist jetzt nicht da fehlte es irgendwie an an den großen Sprüngen, die man vielleicht hätte erhoffen. Ähm es gab ja noch ein paar Kritik an Datenschutzschwächung und das äh BSI-Problem haben wir gerade schon öfter besprochen. Jetzt also, Vier Jahre später. Ziemlich genau auf einen aufs Jahr, auf den Monat genau vier Jahre später soll also das IT-Sicherheitsgesetz zwei Punkt null kommen, wo es jetzt also eine neue. Eine neue Ausrechnung gibt, auch einen neuen Innenminister, unter dem das Ganze stattfinden soll und der Referentenentwurf ist jetzt vor wenigen Tagen von Netzpolitik Org veröffentlicht worden in paar Sendungen vorher, haben wir schon mal über die Eckpunkte gesprochen, die das äh die irgendwie auftauchten. Ähm, wo im Prinzip schon mal so ein bisschen der. Man man merkte, es war so ein bisschen der der erste Test, ne? Die Eckpunkte wurden schon mal so veröffentlicht, um mal zu gucken, wo springt denn die Presse drauf? Wo gibt's die Kritik? Da waren natürlich auch einige Punkte drin, die ja geeignet waren, uns zu ärgern und zu provozieren. Und das äh, Die wurden ja dann auch von im Logbuch schon mal angesprochen. Wir wollen aber jetzt ein bisschen spezifisch auf den. Auf den Referenten Rentenentwurf, den Referentenentwurf ähm eingehen, denn da sind.
Also die die Genese dieses Antisicherheitsgesetzes zwei null ist so ein bisschen das. Äh nach dem äh Regierungswechsel des Inministermeerprimärheit mit Ausländerrausgesetzen beschäftigt war. Und äh andere Themen eigentlich so ein bisschen unter den Tisch gefallen sind. Also funktioniert ja immer so, dass wir den Fachabteilungen werden halt irgendwie Entwürfe halt irgendwie zusammengebaut äh was Demokratie theoretisch auch schon ein bisschen schwierig ist, dass also die Mysterien die Exkurtive sich die Entwürfe schreibt nach denen sie ihre Gesetze haben will, finde ich persönlich irgendwie eigentlich falsch, eigentlich sollte das tatsächlich aus dem Parlament kommen, aber gut. Ähm, jedenfalls sie schreiben halt dann da so Papiere und Studien und Analysen und versuchen die Probleme rauszufinden machen dann da halt so Entwürfe. Und die haben dann irgendwann den Status eines Referentenentwurfs. Da nun aber das Innenministerium hat das letzte Jahr halt irgendwie primär halt mit anderen Dingen beschäftigt war, also halt dann die Finalisierung des Entwurfs und die die Einreichung halt in den äh äh in die Fraktionen und so. Ähm. Kam da so ein gewisser Stau zustande und deswegen ist halt dieses IT-Seats-Gesetz zwei null, der zumindest der Referentenentwurf so eine gewisse Sammelkiste, wo wie alle, Fachabteilungen, die halt irgendwie irgendwas mit IT zu tun hatten, und mit öffentlicher Sicherheit an wie ihre Wunschliste halt reintun. Und deswegen ist die halt auch so krass. Also deswegen sind da halt so viele Sachen drin, die halt äh, wo man eigentlich sagen würde, okay, es geht ja gar nicht so, also ein, also eine der krassesten Sachen ist halt dieser Passwortparagraph. Ähm, vorsieht, dass wenn jemand verdächtig wird, eine schwere Straftat oder eine Straftat mittels Telekommunikation begangen zu haben, also quasi alles äh sollen Behörden dessen Accounts übernehmen können, und der Verdächtige soll dazu verpflichtet werden seine Passworte rauszugeben äh und ja denen halt den Zugang zu ermöglichen so, ne.
Spezifisch formuliert, auch gegen den Willen des Inhabers auf Nutzerkonten oder Funktionen, die ein Anbieter eines Telekommunikations oder Telemediendienstsystem verdächtigen zur Verfügung stellt, mittels derer der Verdächtige im Rahmen der Nutzung des Telekommunikations- und Telemediendienstes eine dauerhafte virtuelle Identität unterhält, zugreifen. Die Formulierungen sind immer sehr komplex, deswegen versuchen wir die, versuchen wir den, die Bedeutung zu ähm. Zu erfassen, aber das ist natürlich echt äh, Absatz, also gilt entsprechend mit der Maßgabe, dass die Zugangsdaten auch herauszugeben sind, wenn sie geeignet sind, eine Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit herbeizuführen. Ähm. Jedoch dürfen die äh durch Nutzung der Zuwachsdanken gewonnen Erkenntnisse in einem Strafverfahren oder ein Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Verdächtigen. Äh verwendet werden. Nur mit Zustimmung verwendet werden. Also. Eine Situation, die wir eigentlich seit jeher gefürchtet haben, ne.
Und die ähm es geht halt noch weiter, ne? Also dann haben wir halt sowas wie ähm. Äh Legitimierung des von Staatstrainereinsatz gegen Hacker. Äh das ist halt irgendwie auch so eine äh relativ äh. Deutliche Ansage, so dass sie halt wieder äh, ja machen können und was sie wollen, dann äh Darknet Kriminalisierung, also halt die äh Teile des Entwurfs aus dem Bundesrat, äh wo es darum ging, dass der Betrieb äh von, anonymisierungssystem dann strafbar sein soll, wenn es halt irgendwie eine kriminelle Nutzung gibt, Ja, also jetzt nicht mal irgendwie, dass sie, wenn sie spezifisch dafür gebaut wurden, sondern wenn es eine kriminelle Nutzung überhaupt gibt. Die dann strafbar sein sollen, was also da hatten wir, analog zu dem, was wir halt vorhin diskutiert haben mit den, mit dem Hackertour Paragraph zwohundertzwo C äh haben sie da halt eine, unmöglich weite Formulierungen gewählt und auch in der Begründung nicht eingeschränkt. Sie haben quasi gesagt, ja also wenn wir so ein System sehen. Dann sehen wir schon, ob's kriminell ist. Ne, also das ist halt so der der Standard, also mitnichten einer wie wie beim Verfassungsgericht formuliert halt irgendwie hart belegte, kriminelle Intention, sondern mehr so, na ja, so äh wenn wir's sehen, dann werden wir es schon wissen.
Die Formulierung will ich tatsächlich nochmal kurz zitieren. Äh wer dr, internetbasierte Leistung zugänglich macht, deren Zweck oder Tätigkeit darauf ausgerichtet, Die Begehung von rechtswidrigen Taten zu ermöglichen, zu fördern oder zu erleichtern, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft, wenn die Taten nicht in anderen Vorschriften mit schwerer Strafe bedroht wird äh bedroht ist. Die Strafe darf nicht schwerer sein als, die für die Tat im Sinne von Absatz eins angedrohte Strafe. Mit Freiheitsstrafe von sechs Monaten bis zu zehn Jahren wird bestraft, wer die Tat gewerbsmäßig oder als Mitglied einer Bande, die sich so fortgesetzten Beziehung von Straftaten im Sinne dieser Vorschrift verbunden hat, begeht. Äh gilt nicht Verhandlungen äh für Handlungen. Wenn die Begehung von Straftaten nur einem Zweck oder eine Tätigkeit von untergeordneter Bedeutung dasteht oder. Handlungen ausschließlich der Erfüllung rechtsmäßiger dienstlicher oder beruflicher Pflichten dienen. Der Hintergrund davon ist im Prinzip, ja, Darksnet Marktplätze.
Also das ist halt eines der der Dinge, die um die es ihnen da geht, sind. Ihre Vorstellung von die von Medienberichten über Dark and Marktplätze geprägt ist. So und halt irgendwie so ein bisschen auch deren äh. Was sie halt so unter Strafverfolgungserfahrung haben, ne? Das heißt also man merkt halt so, dass sie. Versuchen das möglichst weit zu fassen und möglichst schwammig zu formulieren, weil sie Angst haben, wenn sie es halt zu eng formulieren, dass es dann halt äh äh ja das Internet spielt oder so, ne?
Was ich, was ich spannend an dem Ding finde ist, ich werde ja auch nicht müde, Polizeiarbeit auch mal zu loben. Und. Der Darknet Marktplatz, der in Deutschland irgendwie eine Rolle in den letzten Jahren gespielt hat, war äh Deutschland im Depo-App. Ähm das Ding, worüber die Waffe gehandelt wurde. Mensch, die der Mensch gekauft hat, der in München diese äh Schießerei äh veranstaltet hat. Einige, Anhaltspunkte dafür, dass das ein rechtsgerichteter Terrorist war, deswegen ist es ein verwirrter Einzeltäter in der öffentlichen Darstellung. Ähm Der Typ hat diese Waffe gekauft über den Marktplatz Deutschland in Deep-Web. Dort hat die Polizei dann den Händler, erkannt, hat bei dem einen Testkauf gemacht, hat den bei diesem Verkauf festgenommen, also relativ einfach, relativ, eigentlich. Jo, wir wollen Knarre kaufen, zeig mal. Ah ja, übrigens hier verhaftet tschüss. Ja, wunderschön, zeigt auch ein bisschen die Grenzen des Darknet Handels, weil am Ende müssen ja Transaktionen. Von Waren stattfinden und am Ende müssen auch die Bitcoins wieder in sage ich mal stabilere Währungen getauscht werden, die ähm. Ne, wo also auch am Ende äh häufig eine einen Link zu einer mit zu einer verfolgbaren Identität bestehen. Dann sind sie hingegangen und haben gesagt, okay, wer betreibt denn diesen Marktplatz? Und den haben sie ja auch dranbekommen, ein äh junger Mann, von dem behauptet wird, er würde in Karlsruhe äh leben, der jetzt sich auch vor Gericht wiederfindet wegen Beihilfe. Und der hat sich der ähm also den haben sie. Über verschiedene Recherchen irgendwie bekommen, insbesondere aber darüber ähm in der Beihilfe verschuldig befunden, weil er die einzelnen Transaktionen und. Händlerprofile in seinem Marktplatz, den er da unterhält, selber äh geprüft und freigegeben hat. Der hat im Prinzip so eine Art äh Escrowe, Service für die Transaktion gemacht und hat überhaupt irgendwie seit jeder einzelne jedes einzelne Angebot freigeschaltet und damit war er auch. Oft also noch ist er nicht verurteilt, aber deswegen daher wird argumentiert, dass er der Beihilfe schuldig war in diesem Waffenhandel. Und ich vermute, dass sie damit, wenn sich erweisen wird, dass er jetzt schuldig ist, äh relativ gute Karten haben, dadurch, dass sie ihn eingeloggt im Backen zu seinem. Marktplatz dort verhaftet haben zu Hause wird er wird die Verteidigung Schwierigkeiten haben? Ich würde jetzt mal vorsichtig sagen, dass das eben echt auch mal eine Erfolgsgeschichte ist. Der Polizei.
Na ja, weil du halt irgendwie genügend Personal hast und äh da halt irgendwie auch eine. Das auch hinrecht zeitnah einsetzen kannst, dann schaffst du halt sowas auch, ne? Aber also die das hat so ein so ein gewisser Kernpunkt, ne, dass die ganz viele von diesen Maßnahmen, die sie sich da gestatten wollen, also unter anderem halt auch irgendwie Staatstrainer gegen Hacker einsetzen zu dürfen. Ist dem geschuldet, dass sie sagen, so, wir haben nicht genug Personal für die Anzahl der Fälle. Deswegen brauchen wir die den größeren Hebel, die Rationalisierung, die äh Zeitersparnis, die durch äh relativ mächtige technische Eingriffswerkzeuge kommt.
Ich mich stören bei dieser Darknet Kriminalisierung noch zwei andere Sachen. Erstens, In der Formulierung steht eigentlich nichts davon drin, dass das Darknet oder sonstiges ist, ja? Das heißt, es geht im Prinzip nur Internetdienste zu Begehung von Straftaten. Äh, das kann man sehr viel weiter fassen als irgendwie Deutschland im Depo-App.
So, ich muss da noch ein Bitt loswerden. Ich habe neulich gelernt, dass äh es gibt ja ganz viele so kommerzielle VPN-Anbieter, ne? Und ich habe neulich mit jemandem gesprochen aus der Branche und der meinte so ganz trockener, ja. Weißt du, so ein VPN für zehn äh Euro im Monat? Kannst du eigentlich nicht wirtschaftlich betreiben. So, also wenn's unter zehn Euro kostet, kannst du eigentlich sagen. Die Wahrscheinlichkeit, dass der Anbieter die Daten verwertet, ziemlich groß, wenn er denn noch eine Telefonhotline hat. Weil das schafft er dann halt einfach wirtschaftlich schlicht nicht mehr. So und tatsächlich.
Also das ist halt so eine tatsächlich so ein, so ein Punkt, den man halt verdenken sollte, wo man halt seinen VBN Anbieter auswählt, interessanterweise gehören ganz viele irgendwie so ungefähr demselben Firmenkongremerat und dieses Firmenkonglomerat. Hat dann halt auch wohl offenbar noch so 'ne Datenhandels wo man halt also die die geklickten URLs zusammen mit dem Kreditkartenprofil irgendwie also den Realdaten aus der Kreditkarte, mit der man bezahlt hat, verlinkt bekommt so, das ist halt äh, ja offensichtlich funktioniert ein Teil der Branche äh so. Also da sollte man sich dann schon lieber VBN Anbieter auswählen, die entweder teurer sind, also es nicht nötig haben oder äh politische Gründe haben, VPN zu betreiben.
Kein deren Support Line ungefähr so ist, wenn du Probleme hast, helfen wir dir. Ansonsten geben wir das Geld zurück, weil da also es genau Augen auf beim VPN-Kauf. Ähm wir haben auch im im unserem Vortrag Thorsten und ich da ein bisschen über das Thema VPN Anbieter gesprochen. In dem Vortrag. Äh du kannst alles machen, du darfst, kannst alles hacken, du darfst dich nur nicht erwischen lassen. Ähm. Genau, das ach so der, der zweite Punkt, danke Kriminalisierung, den ich noch kurz anbringen wollte. Ähm ist wenn. Der Verdacht, dass du Darknet Infrastruktur betreibst. Zum äh für irgendwelche illegalen Späße. Und unter diesen Paragraphen, ich meine Der Verdacht würde bei mir aufgrund meiner Telefonleitung auch sehr schnell entstehen, weil ich relativ viel Tor-Traffic habe. Ähm sodass ich bei der ersten Suche nach wer würde denn irgendwie da reinfallen? Hier Dagn und hinten hin Service zu betreiben, wäre ich sofort dabei. Außerdem habe ich inzwischen mache ich jetzt nicht mehr so viel, Tornotes betrieben. Das sind, diese Server, die auf meinen Namen registriert sind, die sehr viel Traffic machen, die von all außen, also aussehen, als würden sie hin Services anbieten. Das heißt, so Anfangsverdacht bei mir äh für den Betrieb von hinten Services wäre gegeben. Und dann gibt's direkt den gesamten Mantel, ne? Dann gibt's äh die gesamte Aktionsrahmen, Telefon abhören, Computerhacken und so weiter, weil eben dieses der der Betrieb einer solchen Plattform zu eine hohe Strafe ist und so ein großes Problem, das mir dann entsprechend die ganzen die ganzen Maßnahmen, der gesamte Maßnahmenkatalog für mich in Frage käme. Und deswegen ist das so problematisch, auch wenn man beim ersten Lesen sagt, na ja, hier klar, so jemanden wie der Deutschland im Deep Web da betreibt, das sollte, unter Strafe stehen, wenn da Waffen gehandelt werden, klar da muss das unter Strafe stehen aber genau deswegen steht er schon nach dem alten Gesetz gerade vor, vom Kader und darf sich da ihr äh vor vor Gericht und darf sich darf sich da verantworten, weil es eben auch nach geltendem Recht ähm problematisch ist. Und wir haben bisher wenig ähm, sage ich mal, illegale Darknet-Infrastrukturen, die nicht unter das aktuelle äh Strafgesetz fallen würden.
Also die ich glaube was was man da halt sehen muss ist dass die die Angst. Da die Kontrolle zu verlieren groß ist. Also die haben halt offensichtlich Sorge, dass sie. Da halt einen wie so immer so schon sagen, rechtsfreien Raum haben, ja. Den's de facto nicht gibt, weil die die Straftaten an sich, also irgendwie was aber passiert an illegalen Sachen äh sind ja schon illegal. Aber äh die fürchten halt, dass sie halt da äh ja. Der hat parallel Gesellschaften im digitalen Raum entstehen. Und ganz ehrlich. Wenn ich so Sachen mache wie die da gerade mit Artikel dreizehn und was sie da sonst noch so bringen? Würde ich mir darum auch Sorgen machen, weil genau das wird nämlich passieren. Ne, also es wird vollkommen klar, dass also die. Die parallelen Infrastrukturen, die halt nicht mehr irgendwie so ohne Weiteres mit Google zu finden sind, werden da definitiv wachsen, so so wie je mehr Verfolgungsdruck, die halt für harmloses Zeug halt machen. Dass du mehr Willen sind die Leute zu sagen, okay, na dann suche ich mir halt andere Mittel und Wege so, ne? Das ist halt auch so eine so eine Eskalationsspirale, die denen auch sehr schwer zu vermitteln ist, zu sagen, okay, Status Quo schon irgendwie völlig unhaltbar findet und versuchen wollt jetzt irgendwie auch noch Tornotbetreiber zu kriminalisieren. Radikalisieren die sich halt auch, also dann denken die sich Sachen aus, ist jetzt nicht so, dass die technologische Entwicklung da abgeschlossen ist, im Gegenteil, ich meine Tor ist mit dem, was wir momentan haben, nicht Stand der Technik, was irgendwie Anonymisierungssysteme angeht, wenn man's halt wirklich ernsthaft betreiben würde, dann wurde man darüber keine Videos klicken können und auch kein äh ja keine, irgendwie abrufen, sondern dann wäre es halt ein System, bei dem halt auch irgendwie keine Timing-Chorelation mehr geht und so weiter. Aber das haben wir gerade noch nicht, weil. Der momentane Bedarf halt von Tor und Altopie abgedeckt. Wenn du jetzt anfangen wolltest wirklich zu kriminalisieren, dann entschafft ihr damit eine Grundlage für. Die nächste Generation Systeme, wo es denn wirklich auch keine technischen Möglichkeiten mehr gibt, die zu finden.
Ja, die die Forschung ist daher, die ersten Implementierungen gibt's heute auch schon so wie Katzenpost und Co. Wir sind halt momentan nicht besonders verbreitet, weil halt irgendwie na ja braucht's halt erstmal noch nicht, weil Thomas grad noch gut genug, aber in dem Augenblick, wo halt der Druck da so verschärft wird, dass. Allein der Betrieb der Infrastruktur schon strafbar ist. Heißt es halt, dass dann Systeme kommen werden, wo du halt nicht mal mehr sehen oder wissen kannst, dass Teil einer Infrastruktur ist.
Und dann kannst du, wenn du diesen Bandenparagrapen noch drin hast, eine Bande, die sich der fortgesetzten Begegnung von Straftaten im Sinne dieser Vorschrift verbunden hat, bist du ganz kurz davor irgendwie sowas wie den Zwiebelfreunden zu sagen, hör mal. Ihr habt doch hier ihr betreibt diese gesamte Torinfrastruktur von euren Exit geht's am laufenden Band irgendwas aus. Seit seit vielen Jahren beantwortet ihr jede ähm Anfrage mit nee, sorry, ist eine Anonymisierungsdienst ähm von uns aus sieht das so aus, als hättet ihr euch äh als. Ja, als wärt ihr eine Bande. Da müssen wir nochmal eine Hausdurchsuchung machen. Die letzte ist ja noch nicht so lange her. Oh je. Ähm.
Genau äh nach dem Motto jetzt äh machen wir da mal fünf Jahre draus statt zwei Jahre Mindeststrafe so. Ähm äh Höchststrafe und die ähm. Problem, dabei ist halt, dass die. Abschreckungswirkung von solchen Strafen wissen wir halt, dass es halt wenig bringt. Ne, also das heißt also wenn du halt irgendwie da erwischst du dann halt Kiddies, die. Halt irgendwie mal nicht nachgedacht haben. Also Leute, die sowas kriminell betreiben, ähm die lassen sich irgendwie von dem Unterschied irgendwie zwischen zwei und fünf Jahren sowieso nicht abschrecken und Geheimdienste ohnehin nicht.
Na ja und also tatsächlich es ist dabei halt eben aber auch diese diese, Verschärfung beschränkt sich ja nicht nur auf die äh Erhöhung des Strafmaßes, sondern durch diese Erweiterung, die da halt in diesem Gesamtentwurf drinne sind. Äh also wie sowas halt wie dieser digitale Hausfriedensbruch, ne? Also dieses äh, wer IT-Systeme unbefugt benutzt, das halt irgendwie, na ja, heißt halt quasi, wenn du halt irgendwie durch Sepp läufst und mal irgendwie Standardpassworte ausprobierst, um halt irgendwie zu gucken, ob jemand halt irgendwie ein kaputtes IOT-System hat. Dann soll's halt auch schon strafbar sein. So und damit. Macht man halt auch einen ganzen Teil Forschung kaputt, damit erwischt man eine ganze Menge Leute, die eigentlich Gutes meinen. Und das halt so eine, so ein Ding, wo. Klar sagen muss, was da passiert ist eine. Eher antagonistisches Verhalten oder Verhältnis zu den ganzen Security-Forschern, zur Hackerszene, die halt ja eigentlich guten Willens ist. Um den Preis, dass man halt versucht irgendwie zum gefühlten Kontrollverlust, der da halt irgendwie droht abzubiegen. Aber man tatsächlich macht sich die Leute zu Feinden, die einem dabei helfen könnten halt irgendwie das Problem zu vermeiden.
Ich frage mich auch wirklich, also das die Frage wurde auch schon beantwortet, wenn das Ausspähen von Daten, also. Ich meine, die Paragraphen, die den Bereich Hacking angehen, sind auf jeden Fall alle so formuliert, dass sie im Zweifelsfall mehr abdecken, als sie. Intendiert abdecken sollen. Ähm. Oder begründbar abdecken sollen. Diese Idee digitaler Hausfriedensbruch ist drei Jahre alt, kam irgendwie aus Hessen ähm da wurde diese Idee ja schon diskutiert oder wurde hat die damalige Bundesregierung ja schon gesagt Also wir sehen echt keine Strafbarkeitslücke bei unserem zweihundertzwei C. Wenn du ins wenn du bei strenger Lesart überhaupt für das für das Schreiben eines Hacking Tools schon dran bist, dann sehen wir hier wirklich nicht den das Problem, IT-Systeme auf unbefugt herunter zu, also die Schwelle auf unbefugt herunterzubringen, das das betrifft ja dann irgendwie auch. Ich bin so ein bisschen, ich habe mich immer gefragt, wie kommen die darauf? So was wie in Täter, dass sie sich, dass sie sich um Innentäter sorgen, also der klassische Innentäter in so einem Unternehmen, der jetzt.
Zweihundertzwei haben und Darknet kriminalisiert haben und und und wenn dann noch irgendeiner durchrutscht dann wollen wir noch so ein äh die neue Ennie stehen haben um zu sagen ähm hier dann war es aber immer noch digitaler Hausfriedensfrucht, also die unbefugte Nutzung eines IT-Syst, und da muss er echt langsam vorsichtig sein, wenn du nochmal neben jemandem sitzt und sagst, komm, ich greife mal kurz in deine Tastatur, Bist du ruckzuck? Ähm bist du ruckzuck dran? Jetzt haben wir die ganze Zeit eigentlich nur so, ja Strafverfolgung erleichtern Identitäten übernehmen, Staatstrojan dann eben Strafen erhöhen. Gibt's denn auch irgendwas, wo man sagen könnte, Da werden jetzt zumindest mal Schwachstellen gesenkt oder äh äh Schwachstellen ähm beseitigt oder. Schäden eingeschränkt.
Na ja, es gibt da halt so ein paar Verzweiflungsparagraphen in diesem Entwurf. Äh da geht's unter anderem darum, dass die BSI erlaubt werden soll, aktiv zu scamen und äh im Zweifel, auch äh Firmenwehr, Dates ohne Zustimmung des Besitzers des Gerätes durchzuführen. Also halt äh Installationen Lücken schließender Software aus der Ferne äh vorzunehmen, das muss man vor dem Hintergrund dieser Rauter äh Desastergeschichten sehen. Also diese Pflaster-Rauter, Nummer äh wo halt ein Teil der Telekom-Route als Kollateralschaden bei einer ganz anderen Attacke erwischt wurde. Das hat die halt schon hart getroffen, so weil halt klar war, Das kann halt immer wieder passieren. Wir haben immer mehr ungesicherte IT-Geräte da draußen, die halt auch einfach am am großen, weiten Internet hängen und erreichbar sind, und äh die halt nicht gepatcht werden, weil die Leute, die Dinger besitzen, wissen gar nicht, was patchen eigentlich ist, Also so ist halt wie so der Standard DSL-Router, der halt nicht aus der Ferne gewartet wird, sondern äh, ja oder halt irgendwie Mobiltelefone oder sowas, die wo die Leute einfach keine Ahnung haben, wenn ein Auto Optik aus ist, dann ist halt die Software drauf zum äh Zeitpunkt, wo es gekauft wurde. Und da wollen sie halt das Recht haben, halt irgendwie diese Updates quasi äh per aussuchen von Sicherheitslücken auf diese Geräte drauf zu bringen.
Dazu also du der Telekom Routerausfall. Ich glaube, ich habe selten was erlebt, was die so hochgescheucht hat. Es waren Also ich war zu zwei Anhörungen dazu im Bundestag. Einmal ich glaub Innenausschuss und einmal Verkehrsausschuss, Wir beide waren dann im weiteren Verlauf mit Mirko. Ich weiß nicht, wie viele Male der, also schädliche Vertreter des CC im Innenministerium waren für diese routertechnische Richtlinie Router. Was Sarah davon zu halten ist, haben wir im Jahresrückblick des CCC dann auch nochmal zusammengefasst. Dieses Also letztes Jahr zweitausendachtzehn und zweitausendsiebzehn, denn leider diese gesamte Nummer hat sich ja über zwei Jahre hingezogen oder so, um dann am Ende eine technische Richtlinie zu formulieren. Das nur kurz als.
Genau, also aber wen das nochmal interessiert, dafür aber haben wir im Logbuch öfter gesprochen und im in den Jahresrücken rückblickendes CC. Dann jetzt dieser diese doch spannende Idee, okay, BSI hat Ahnung von einer Schwachstelle ähm, Der Routerhersteller ist längst nicht mehr unter seiner Adresse in Schensen zu erreichen. Ähm Updates gibt's sowieso nicht. Unsere Lösung für das Problem war, zu sagen, okay, erstens Hersteller zum Bereitstellen von Updates verpflichten, zweitens, wenn keine Updates mehr sind, äh Open Source Software erzwingen, ermöglichen das als Standard mit reinbringen, damit sowas dann selber äh wenigstens noch irgendwie weitergepflegt werden kann, denn letztendlich, wenn so eine Kiste, Schwachstellen hat, die nicht mehr gepatcht werden können oder nicht mehr vom Hersteller gepatcht werden, dann hast du als ähm, Endverbraucher zwei Möglichkeiten, entweder du schmeißt das Ding jetzt weg, ökologische Konsequenzen, finanzielle Konsequenzen oder du betreibst es weiter, beides keine brauchbaren Alternativen für dich als Verbraucher. Jetzt geht der, jetzt gehen wir hier hin und sagen, okay. BSI darf aktiv scannen und darf in einem solchen Fall sogar, Integrität deines Systemes verletzen, um es in seiner IT-Sicherheit zu erhöhen. Wie bewerten wir das.
Also ich kann die Verzweiflung verstehen, so aus der Rost diese diese Geschichte entstanden ist und ähm ich. Also wir haben da halt so einen so einen Konflikt zwischen dem Grundsatz, also der Integrität äh und sagen wir mal Sicherstellung von der Funktionsfähigkeit des des Netzes so. Und ich würde, aber tatsächlich eigentlich. Ihr mir vorstellen, ähm dass es, wenn es so eine Ermächtigung gibt, dass die halt wirklich sehr, sehr, sehr sparsam und nach sehr sorgfältiger Prüfung eingesetzt wird und nicht als, Standardmittel. So, also ich kann verstehen, dass man so, so 'ne Keule im Schrank haben will, wenn's halt wirklich um die Wurst geht so, also je mehr abhängiger wir von digitalen Systemen werden, desto klarer ist eigentlich, so 'ne Situation entstehen werden so, also wo du halt dann plötzlich irgendwie eine halbe Million wildgeborene Kühlschränke hast so, und dann stehst du halt eigentlich vor zwei Optionen, entweder kannst du einfach dann sagen, okay, wenn halt. Traffic passiert, nehmen wir mal den einfachen Fall an, kann's halt im Zweifel den DSR-Anschluss zumachen und den Brief schicken und seinen guten Tarif DS-Anschluss geht solange nicht bis ihr System gepatcht haben. Was ja auch schon passiert, die Telekom verschickt ja so Briefe, ne? Also richtig viele sogar.
Ja. Also je nachdem wie viel da was da passiert so. Aber die äh. Eigentlich wäre halt, ist das halt wirklich nur so ein Heftlaster auf ein Heftpflaster geklebt, ja? Also so ein so eine Notfallgeschichte, wo man sagt, okay. Wenn man jetzt sich mal schlimme Fälle überlegt, nehmen wir an, keine Ahnung, Energieversorger oder ähnliche Dinge nehmen wir mal an Smartmeter gegangen und äh es gibt einen Explot in diesen Smartmetern und mit diesen ops genommen, zweihundert Metern könnte man halt irgendwie blinken als in den Stadtteilen spielen. Es gibt sonst keine andere Möglichkeit die upzudaten außer da irgendwie rumzulaufen an die den zu stecken hätte ich Verständnis dafür.
Ich sehe, also solche Fälle, mir sind. Relativ wenige bekannt, wo sowas mal passiert wäre. Ähm der bekannteste Fall in so einem IOT-Bereich ist, glaube ich, der sogenannte Breaker-Bot, der im Prinzip. Ähm also die Schwachstelle, die sich zum Updaten oder zum zum Übernehmen solcher Geräte genutzt äh äh, Geboten hat, genutzt hat, um die wirklich kaputt zu machen. Und äh die Argumentation desjenigen, der das gemacht hat, war oder derjenigen im Prinzip zu sagen, besser das Ding ist kaputt, als dass es jetzt irgendwie noch über Jahrzehnte ein Zombie da sein fristet und hier die Nile of Serviceangriffe zum Schaden anderer macht. Ähm. Relativ seltener, seltener Fall. Das andere, was mir einfällt, ist im Prinzip so eine. Ich weiß nicht, ob das ein Team von Microsoft war, die den Kommanden Control-Server von so einem Botnet benutzt haben und dann, über den Kommanden Control Server, dem Bot net gesagt haben, der Befehl lautet, ihr lieben Bots, desinfiziert euch jetzt alle mal selber und patcht euch. Ja, ich weiß noch nicht mal, ob die auch gepatcht wurden oder ob einfach nur die Infektion, entfernt wurde. Ähm das sind die beiden Fälle, die mir dazu einfallen über. Tatsächlich Jahre, die ich eigentlich IT-Sicherheitsnews die ganze Zeit verfolge und ich sehe es irgendwie nicht den Fall, dass die das vielleicht unterschätze ich da jetzt auch das BSI, dass die in der Lage wären so schnell so spontan solche Probleme zu lösen.
Telekom-Routerausfall, da war einfach die, die neunhunderttausend Router, die der von harten waren, glaube ich, einfach durch Dorst zu dem Zeitpunkt, als sie gesagt haben, okay, jetzt können wir, jetzt kommt jetzt kommt die Telekom, die sehr viel spontaner reagieren kann als das BSI und macht den Port nach außen zu sag den Leuten, startet die Geräte neu, pusht das Firmenwahl-Update und die sind innerhalb von einem Tag dahin gekommen und das war eigentlich hab, waren wir uns alle einig, das war so schnell, dass wir schon fast den Verdacht hatten, dass das dass sie das Update schon liegen hat.
Dass es schon fertig war, ne? Ja, ja. Also. Wie gesagt, ich kann's so ein bisschen verstehen, dass sie so haben wollen so. Äh äh allerdings äh ist es halt so invasiv und äh so risikobehaftet, dass. Ähm ist, ziemlich klar sein sollte, dass es nur so ein absolutes Last Resort Ding ist und also wenn's wirklich um die Wurst geht, dass es keine anderen Mittel gibt, es keine andere Möglichkeit gibt, das Problem zu lösen und der potenzielle Schaden so groß ist, dass man sagt, okay, dann, kann man dieses Risiko vielleicht eingehen so.
Wenn das BSI eine unabhängige Institution wäre. Weil das halt glaube ich auch so mein Problem dabei, das halt um neben mir, also ich nicht genau weiß, wenn die halt irgendwie plötzlich feststellen, dass sie Leute über die Glühlampen abhören können, weil halt man irgendwie äh in die neueste LED Farbwandel, WLAN-Glühbirne halt irgendwie eine neue Firma einspielen kann und dazu fällig noch ein Mikrofon drin ist, Was passiert denn dann, ne?
Naja oder wie auch immer, ja oder sie und dann stellt sich plötzlich raus, dass äh BMI, beziehungsweise BMI nachgeordnete Behörden benutzen halt irgendwie die diese Sicherheitslücke, um halt irgendwie Leute abzuhören und das BSI will's gerne patchen, die findet dann die Entscheidung statt. Also das ist halt so ein so ein Ding, wo Okay, an ganz vielen Punkten muss das BSI raus aus der äh Verantwortung des Innenministeriums und weg von den Straferfolgsbehörden, Also noch viel deutlicher wird es halt bei diesem ganzen Thema Hackpack oder auch äh Anführungszeichen aktive Cyberverteidigung wo es äh darum, geht, also das Beispiel, was ihr halt in diesem für dieses, diese Gesetzentwürfe äh da diskutieren. Primär Übernahme von Bodnet Host, also was halt darum geht, dass man halt irgendwie, wenn's halt ein Whatnopp gibt und da gibt's halt äh Commerz in Kontrollhaus, dass man die legal übernehmen darf. So und da, aber die Definitionsfrage, so was ist denn jetzt halt sind denn halt Systeme, die man da übernehmen können dürfen soll. Äh zählt dazu zum Beispiel halt auch irgendwie ein Darknet Mark Place, wo man zwar nicht weiß, wo er steht, aber der halt eine Sicherheitslücke hat, die halt durch diesen Service-Explort da ist und solche Sachen da fängt's halt an, richtig schwammig zu werden. So und da, bin ich, ehre dagegen, weil es halt irgendwie eine so eine ziemliche Büchse, eine Pandora, die man da öffnet und ähm insbesondere halt mit einem BSI, was halt nicht unabhängig ist, wo man sagt, okay, die kann man sich wirklich nur um IT-Sicherheit bin ich da also kein großer Freund von.
Netzpolitik Org ähm in dem Artikel von Anna Biselli und Andre Meister spricht er davon, dass, Das BSI soll zur Hackerbehörde gemacht werden. Wir wissen, dass äh unsere äh Freunde beim BSI das äh sehr. Sehr ein sehr großes Wort finden, mit dem sie sich auch nicht so wirklich wohlfühlen. Ich kann da auch deren Punkt verstehen, ne? Die sagen natürlich auch, ähm tja, einerseits haben wir hier für die Sicherheit sorgen, andererseits sind uns alle alle Hände gebunden. Wir dürfen noch nicht mal äh irgendwie scanns durchführen, wir dürfen noch nicht mal Leute äh informieren. Das wäre doch jetzt mal irgendwie das Mindeste, wenn wenn ihr euch ihr in dem Sinn sage ich jetzt mal CC, im weitesten Sinne, wenn ihr euch die ganze Zeit eine aktive Rolle des PSI wünscht, Ja und nicht nur zur Verwaltung und und Forschung. Dann müsstet ihr doch da im Prinzip dabei sein. Und natürlich ist es auch skurril, ne? Wenn man jetzt, wenn man bei dem, bei den Scans bleibt und bei irgendwie wo wir gleich nochmal zukommen, Zugriff mit Standardpasswörtern ne, ist natürlich skurril, wenn wir jeden Tag mit mit Showdan und äh sonstigen Scannern arbeiten und das BSI darf sowas nicht machen.
Ja, also ich bin da, wie gesagt, auch an so einem Punkt, wo ich sage, okay, die müssen halt durchaus handlungsfähig sein so. Äh. Allerdings äh wäre meine Bereitschaft, die in Handlungsfähigkeit zuzugestehen, sehr viel größer. Wenn ich mir sicher sein könnte, dass halt die äh nicht nur die Mitarbeiter, die halt sagen, so, wir wollen eigentlich sowieso nichts mit den Straffolgen zu tun haben. Äh das machen, sondern halt auch sowohl die politische, als auch die die Leitungsebene des Hauses genau dieser Ansicht ist. Und wird das halt nicht sichergestellt.
Der hat das halt diese dieser Komplex, der halt äh nach dem Bundestag Doxing da äh eingebaut wurde, weil die. Die suchten halt nach irgendeiner Möglichkeit das nabhaft zu werden, weil was da passiert war, weil das ähm einer oder mehrere Täter äh ihre gesammelten, äh Datenbanken äh gedammt haben, äh als Adventskalender, Das heißt also, dass da äh Informationen aus dem Privatleben von Abgeordneten insbesondere auch Telefonnummern und so weiter dabei waren. Bei einigen auch übernommene Social Media Accounts mit äh So mal relativ intime Details aus ihrem Privatleben, was dann wiederum für Probleme sorgt und dabei gab's also eine große Aufregung und die. Die Probleme, die sich dabei aus der juristischen Sicht des Innenministeriums ergaben, waren halt zwei gestalkt. Zum einen, dass man diese Daten aus dem Netz haben wollte, also halt möglichst irgendwie sicherstellen wollte, dass die von allen Upload-Plattformen, Pace bin, Pace Print Clowns äh, und so weiter und so fort verschwinden, damit halt nicht noch mehr Leute davon Kenntnis erlangen. Äh und zum anderen die Veröffentlichung an sich. War halt oder da gab's eine wahrgenommene Strafbarkeitslücke. So und tatsächlich ist diese, dieser Teil wird halt durchgehen. Also das hört so, dass die Stimmung bei den Abgeordneten halt eines von persönlicher Betroffenheit ist. Das heißt also bei diesem Teil wird's halt quasi keinen Widerstand im Bundestag geben. Das wird so ein.
Muss jetzt auch dazu sagen, also da würde ich auch vorsichtig sagen, zumindest, also das war auch ein Problem. Ich habe das ja, ähm diesen Fall ja relativ genau verfolgt und hab, hat ja auch glaub ich mal angesprochen, dass ich da mit der ein oder anderen betroffenen Person im Austausch war und, wirklich also auf eine gewisse Weise beeindruckend war, ist das diese Daten waren ja von vorne herein auf so vielen unterschiedlichen Seiten gepastet. Also wenn du dir da die, quasi das Inhaltsverzeichnis angeschaut hast, der stand hier dann immer, das gibt bei dem Haus, bei dem Haus, bei dem Haus, bei dem Haus immer so irgendwie fünf Stück äh sofort irgendwie in verschiedenen, also es war ganz klar danach ausgewählt.
Verschiedene Juristiken, verschiedene äh gibt's ja immer so diesen Begriff Bullit-Proof Hoster, die wahrscheinlich erstmal unregelmäßig E-Mails lesen und sehr zögerlich äh reagieren und jetzt auch nicht unter Direktor ähm, unter direkter Weisung des oder Einflussbereichs, Juristik des Innenministeriums oder der Strafpolizei Strafverfolgungsbehörden in Deutschland stehen und die vielleicht auch, sage ich mal, darin erfahren sind, Inhalte zu veröffentlichen, wo es äh interessierte Parteien gibt, die dieser Veröffentlichung entgegenstehen wollen Das war schon, also, Das war nicht irgendwie so, guckt mal hier, ich habe das auf äh auf irgendwo gepostet, wo es schnell wieder weg ist, ne, sondern das die waren danach ausgewählt, dass das ist wirklich und es hat Das war erfolgreich, das hat nämlich teilweise wirklich Wochen. Wir sagen wirklich raus waren. In der Zeit hatten die ähm andere schon wieder irgendwo anders hochgeladen, sodass das ähm ja also, Das ist ein Punkt, den der da wirklich zum Leid dieser Person auch beigetragen hat, insbesondere persönliche Daten und so. So, was wird daraus, äh was wird daraus formuliert? Ich glaube, das ist einmal der, Artikel drei Paragraph fünfzehn B Pflichten der Diensterbringer stellt der Dienst der Anbieter fest, das rechtswidrig erlangte personenbezogene Daten oder Geschäftsgeheimnisse über seinen Dienst dritten, unrechtmäßig zur Kenntnis gegeben oder veröffentlicht werden, so hat er unverzüglich das Bundeskriminalamt zu unterrichten. Ne? Also du musst das nicht.
Das ist eine Mitteilungspflicht. Ähm zweitens äh Pflicht äh Paragraph hundertneun B, ähm unter Artikel zwei Telekommunikationsgesetz, stellt der Erbringer öffentlich zugänglicher Telekoalitionsdienste fest, das sei Dienste rechtwidrig, rechtswidrigen Weitergabe, oder Veröffentlichung rechtswidrig erlangter Daten genutzt wird, sollte der unverzüglich des Momentes das Gleiche. Moment habe ich, ich hatte doch noch ein. Zwei? Nee, also offenbar einmal TKG, aber wo war denn die Löschung? Ich habe offenbar den falschen. Ach doch, steht doch da drüber. Also er muss es melden, und er muss diese Daten dann eben auch löschen. Interessanterweise äh weiß ich aus einem aktuellen Fall, dass die, Anbieter, dass tatsächlich auch nicht dürfen. Also die dürfen äh aktuell nicht löschen ohne Anordnung. Liegen zurecht, liegen zureichende tatsächliche Anhaltspunkte für eine unrechtmäßige Erlangen der Verbreitung oder Verbreitung personenbezogener Daten oder Daten die Geschäftsgeheimnissen Geschäftsgeheimnisse beinhalten vor, so ist der Zugang zu diesen Daten durch den Diensterbringer im Sinne des Absatzes eins zu sperren Betroffene Nutzer sind zu benachrichtigen, sofern der Betroffene, sofern der betroffene Nutzer nach seiner Benachrichtigung innerhalb angemessener Frist widerspricht, hat der Dienstagbringer die Daten zu löschen. Zuständigen Stellen und so weiter. Also jetzt eine proaktive Löschung ähm wahrscheinlich rechtswidrig erlangter Personenbezogener Daten. Und da ärgert mich ehrlich gesagt nur dran. Oder Daten, die Geschäftsgeheimnisse beinhalten.
Ja. Genau, das war halt auch so genau dieser Punkt, wo man sagt, okay, das heißt also selbst. PDFs von Menuels, von technischen Geräten. Auf denen nur vertraulich steht oder die halt irgendwie Reparaturanleitungen, die halt sonst nur hindern zugänglich sind, die aber es halt zum Beispiel ermöglichen, dass man Geräte repariert und damit länger benutzen kann und damit Umweltsauerei reduziert. Positive Informationsverbreitung, dass die dann wiederum darunter fallen sollen, ne?
Und das ist äh da wäre es schön gewesen, einfach mal schön bei den Personenbezogenen Daten zu bleiben. Da wären wir beim Fall gewesen und dann zack hast du noch Geschäftsgeheimnisse drin. Da sehen wir, dass natürlich der, der Schutz des Individuums in Deutschland jedenfalls nicht höher sein kann als der Schutz des Unternehmens.
So haben wir jetzt erstmal glaube ich vieles besprochen, was in diese. Vernetzpolitik äh Ork veröffentlichten Entwurf zu finden ist. Wie würden wir jetzt mal ein erstes Fazit ziehen? Ich weiß, du hast gerade eben am Montag im welchem Ausschuss warst du? Im Innenausschuss ähm. Da zu den Ideen der Opposition Ausstellung genommen.
Genau, es war halt so ein bisschen ungewöhnliche Anhörung, weil die äh Opposition normalerweise es nicht geschafft hat, einen eigenen Ausschusssitzung irgendwie durchzuboxen, aber haben's in dem Fall halt geschafft, ähm. Die Besetzung von Seiten der Abgeordneten war äußerst sparsam, also es waren immerhin aus jeder Fraktion einer da, aus manchen auch zwei oder drei. Ähm Abgeordnete.
Äh also gut plus Mitarbeiter, ja. Äh die. Also sagen wir mal so aus der CDU CSU Fraktion gab's halt irgendwie keine Fragen, die irgendwie, sich mit den kritischen Problemen beschäftigen aus der anderen Fraktion schon, also auch aus der SPD. Die, Ausschusssitzungen gibt's ein Video von, haben wir auch verlink. Also kann man sich heute nochmal angucken, nicht irgendwann wird's wahrscheinlich auch ein Wortprotokoll geben, glaube ich, was ich aber nicht ganz genau. Aber jedenfalls Video ist ganz okay. Und, da war es halt eigentlich auch so, dass also eigentlich durchweg alle Sachverständigen bis auf den äh Chef des BSI äh Herr Schönbaum äh. Eher sehr kritisch gegenüber weiten Teilen dieses IT-Sicherheitsgesetzentwurfes waren. Also was halt tatsächlich passierte war, eigentlich sollte es um die Entwürfe der Opposition gehen, aber da dann nun halt die, die Referentenentwurf er auf dem Tisch lag, drehte sich Diskussion natürlich darum, weil es halt der Entwurf war, der nun diskutiert wird, dass die Oppositionsvorschläge verabschiedet werden, steht nicht zu erwarten, so deswegen drehte sich die Diskussion dann halt dahin. Und. Es wurde halt klar, dass die Probleme, die wir jetzt gerade angesprochen haben, sind halt nicht nur die Probleme, die wir so sehen. Also auch irgendwie äh äh hier Klaus Landefall, zum Beispiel vom Eco ähm und andere Sachverständige sahen halt genau dieselben Probleme. Gab halt noch so eine ganze Zusatzdiskussion, ähm die sich primär darum drehte, wer ist denn nun eigentlich zuständig für das ganze Cyber in den deutschen Behörden, da hat halt der das war deswegen hab ich von der Stunde Verantwortung, dass er so dessen Spielfeld wo er zu versuchen rauszukriegen. Wer jetzt da eigentlich was macht so. Der ist halt, also mit dem haben wir auch unsere Differenzen, was jetzt irgendwie so der ist halt der Meinung, dass der Staat halt so ein Exploid Security wohl eine Bilities Assessment Programm braucht und äh das halt notwendig ist für die Aufgaben von BND und Co und Bundeswehr. Äh da haben wir halt ein bisschen, aber war jetzt so der Beurteilung dessen, dass halt irgendwie diese ganzen, Behörden sich da irgendwann selber Personalpool prügeln und wenig auf die Reihe bekommen. Und die Zuständigkeit im Krisenfall halt auch völlig unklar ist, ist halt dann so ein muss dann so ein riesiger Konferenzraum sein, wo dann alle fünfunddreißig Akteure, die in Deutschland Cyber machen an einem Tisch sitzen. Also es wird bestimmt sehr unterhaltsam.
Mhm. Und dann auch noch so die völlig ungeklärte Frage nach der Rolle der Bundeswehr, die dann halt so von denen selber so definiert wird, also die haben ja so ein, so ein äh, Kommando äh CNO Kompetenz für Operation hieß es früher, hat glaube ich was mittlerweile Cyberoperationsraum oder so. Äh und die sagen halt ja, na ja, unsere Rolle ist ja nicht so richtig definiert, aber wir würden gerne bei allen wichtigen Sitzungen zu Krisenfällen mit am Tisch sitzen, weil, nicht weiß, ob die Krise soweit eskaliert, dass wir doch tätig werden müssen. Als Bundeswehr mit unseren Cybernetwork Operations. So, also so ist es halt so dann auf der Frage, auf die Frage so attackiert, auf der Grundlage, welcher Doktrin und welcher so Einsatzdoktrien braucht, als ein Militär schon so, ne? Und auf Grundlage, welches Parlamentsbeschluss, ja, damit dem Parlamentsbeschluss klar ist wichtig, aber eins ist doch Trainer, ja, haben wir noch nicht so. Lassen Sie das mal von was anderem reden, Also das ist halt so eine, so ein völliges Verantwortungschaos, der äh der äh, auch mal versucht darzustellen, hier gibt's so eine Übersichtsgrafik, die sollten wir vielleicht noch verlinken, die ist nämlich, die ist nämlich relativ äh relativ äh. Unterhaltsam, weil sie halt auch völlig konfuß ist und äh interessanterweise wie äh dann in der Sitzung angemerkt wurde, nicht mal vollständig.
Oh je, ich muss das Update verlinken, okay? Ja, das ist, also das ist auch wirklich ein, also das ist tatsächlich sehr äh sehr tragisch, ne. Update verlinken. Ähm. Ja. Das äh das übrigens, dass der Arne Schönburm da steht und sagt äh wir brauchen das, das finde ich super. Ähm ist natürlich klar, denn erstens ist davon, viel Teile des Gesetzes betreffen, seine Behörde, insbesondere auch der schöne Absatz über Erfüllungsaufwand, dass beim BSI ist ein Erfüllung Aufwand in Höhe von achthundertvierundsechzig Planstellen ähm notwendig. Also wenn wenn es bei dem Gesetz darum geht, dass er halt achthundertvierundsechzig neue Mitarbeiterinnen bekommt, ist klar, dass er da jetzt äh Schwierigkeiten hat dagegen zu sein. Ähm, andererseits stellt sich natürlich aber auch ernsthaft die Frage, wo will der die denn her haben.
Äh das BSI kriegt tatsächlich Mitarbeiter, äh weil die also zum einen zahlen die relativ gut und die Arbeitsbedingungen sind sehr familienfreundlich. Ähm, ist tatsächlich und da ist man halt auch nicht also in der Regel nicht im Schädigbereich tätig, ne? Also es hat tatsächlich eine andere Sache, als wenn jetzt dann mal der BND hört, Leute sucht, dann müssen die hal schon eher oder Verfassungsschutz oder irgendwie oder zieht es oder so. Die bedienen sich halt primär an der Bundeswehruni, wo sie halt Leute schon mit dem entsprechenden Mindset halt finden und die dann halt irgendwie trainieren, und äh hingegen das BSI findet also gerade bei so Leuten, die halt eher so aus der Akademie kommen und mal was Gutes tun wollen, finden die durchaus Leute.
Ja und äh was ich also das, ne, das gibt's ja einige Indikatoren, erstens, dass alle alle versuchen, Leute anzustellen, Zweitens, dass du irgendwie auf den den äh äh Job äh asozialen Netzwerken am laufenden Band irgendwelchen Spam, kriegst von irgendwelchen Leuten, die einfach nur Suchbegriff äh IT-Sicherheit oder sonstwas hatten. Mit wem du redest, sagt dir, wie schwierig das ist, Leute zu finden. Ähm wenn du ein größeres Unternehmen in dem Bereich anschaust oder, größere Consultancy, die haben inzwischen äh auf Dienstsprache Englisch umgeschaltet und Leute aus aller Welt dort. Also der Fachkräftemangel ist hier enorm und da sehe ich jetzt nicht, dass da achthundertvierundsechzig Stellen sofort besetzt werden, wobei sich dann auch die Frage stellt, ob das alles Fachkräfte sein müssen, können ja auch, also viel wird ja auch Verwaltung sein.
Also das ist irgendwie so. Genau, alle anderen suchen auch. Das ist also irgendwie ein, das ist nicht das eine, das einzige schwarze Loch im Bereich der des IT Security Recruitings, was da gerade, dann aufgehen wird. Ähm also da halten wir fest, diese Verantwortungsdiffusion da mal ein bisschen zu sortieren wäre nicht schlecht und ähm. Dann könnten wir natürlich hoffen, irgendwie, dass da, dass da was passiert, Nun, du hast gerade schon öfter angefangen, so ein bisschen das Ganze einzuordnen. Ich glaube, das sollten wir abschließend nochmal tun. Worum geht es hier überhaupt und woran, hapert es. Also du hast gesagt, na ja, es gibt einmal diese diese Angst vorm Kontrollverlust, die der Staat da jetzt irgendwie hat und die ist ja wahrscheinlich auch noch nicht mal so, so hart unbegründet, ne? Diese Doxingfälle haben das. Haben die Bundesrepublik und ihre für die IT-Sicherheit zuständigen Stellen relativ blamiert. Die Frage sagt mal. Wieso fällt das dieser Adventskalender erst Anfang Januar auf? War für einige sicherlich unangenehm. Ähm. Die verschiedenen Fälle Angriffe auf Bundesregierung, Angriffe auf Bundestag, haben verschiedene Stellen immer wieder mal schlecht aussehen lassen und dass es insgesamt in diesem Cyberbereich, nicht ganz so großartig aussieht, ist glaube ich auch klar.
Also äh aus meiner Sicht haben die da halt einen. Das klare Gefühl, dass ihnen gerade die Fülle davon schwimmen. Also, dass sie halt eine. Äh Situationen raufziehen sehen, wo die Abhängigkeit von IT-Systemen so groß ist, dass sie. Ohne halt nichts mehr funktioniert und dass die dass man halt was tun muss und das ist halt so eine diese. Naja, diese langjährigen Bürokraten, die halt für solche Sachen zuständig sind. Die sind halt auch in gewisser Art und Weise halt so Kontrollmaximalisten. Und äh ich hatte das damals irgendwie im ähm, in Villa Store beschrieben hat, so diesen dieses Mindset so von die sehen halt alle möglichen Bedrohungen heraufziehen so irgendwie von irgendwie Klimawandel über VIT Security, Flüchtlingswellen und so weiter und so fort. Ähm und, haben das dringende Bedürfnis mehr Kontrollmechanismen zu haben, mehr Möglichkeiten zum Eingriff, mehr. Machtmittel, die sie halt benutzen können, um den Status quo aufrechtzuerhalten. Und, Daraus resultiert also das hat dieses Mindset, was dahinter steht. Man sieht's auch relativ deutlich in diesen Gesetzen, so dass halt also der alles was jetzt neu ist, eine hohe Dynamik entfaltet und wo halt klar ist, das haltet wie möglicherweise eher so ein bisschen grau oder darg, wollen die halt möglichst irgendwie versuchen halt irgendwie die Löcher am Damm noch irgendwie so zu stopfen so und daraus resultiert halt dieses äh dieses Gesetz auch mit diesem Darkner kriminalisieren und irgendwie, möglichst alles löschen können, Terror Upload fügt, also also dieses ganze, die wollen jetzt halt dieses wilde Internet, was es eigentlich auch schon nicht mehr gibt so, aber noch die letzten Reste davon wollen die halt möglichst auch noch aus trocknen so umhalt und wie das alles schön ordentlich zu haben, sondern so daraus zu sortieren dann so Sachen wie in Österreich, gerade diese Nummer mit äh dem Gesetz, was da gerade durchgeht.
Genau. So, heißt halt also damit wäre halt irgendwie anonymes Posten halt irgendwie in in Österreich halt erledigt so. Und das sind halt das halt dieses Mindset was die haben. Also dieses wollen die Kontrolle haben. Natürlich macht sie dann halt auch fertig, dass halt irgendwie bestimmte Ausländer so möchte halt irgendwie mit solchen Methoden auch Virtus spielen. Ne, also die halt, Desinformationskampagnen, machen die natürlich halt nervös, weil sie halt irgendwie an den Kern von Demokratie gehen, aber dafür, um das dann halt zu verhindern, schaffen sie dann halt erstmal, habt die Demokratie ab, indem sie Meinungsäußerungen und so weiter und sofort schwieriger machen so. Und dieses. Also dieses Tote aus Angst vor dem Feind Dingen zieht sich halt durch dieses gesamte äh dieses gesamte Werk und wir denken, dass dass man da halt eher einen anderen Ansatz fahren sollte, also dass halt die. Die Methoden, wie man mit diesem IT Security-Problem angeht, nicht, Homepage und an den Symptomen sein sollte, sondern halt einen Herangehen an die grundlegenden Probleme. Äh und dat dauert zwar relativ lange, bis man damit fertig ist, wenn man halt einfach große Teile der Software neu schreiben muss zum Beispiel. Ähm, und äh. Ausbildung verbessern muss, dafür sorgen muss, äh hat die auch in der Anhörung gefordert, zu sagen, niemand sollte in Deutschland mehr programmieren lernen, egal ob bei einer Schule oder Hochschule oder in der Ausbildung oder sonst irgendwo, ohne zu lernen, wie man sicher programmiert, Ja, ist ja auch nicht so schwer. Sollte irgendwie ein Handwerk wie jedes andere auch, sondern man programmieren lernt, kann man gleich von Anfang an lernen, wie man sich ja programmiert. Der Aufwand ist nicht so groß, Man sollte es halt einfach verpflichtend machen und und des entsprechenden Ausbildungsmaterial zur Verfügung stellen.
Hinzukommen, dass er, dass es ja jetzt modernere Programmiersprachen gibt, die einen auch vor vor vielen ähm vor vielen Fehlern versuchen zu bewahren, ne? Also wenn man irgendwie an die Programmiersprachen denken, die jetzt zumindest versprechen, dass man in der Speicherverwaltung keine äh keine gravierenden Fehler mehr so einfach. Geschrieben kriegt, wenn man sich nicht sehr viel, wenn man sich nicht sehr viel Mühe dafür gibt. Ich sehe das Ding noch, also ich seh's irgendwie. Vor allem wenn man auf den internationalen Vergleich blickt. Ähm sehe ich in Deutschland eigentlich noch eine eine ganze Sache. Also ich find's noch ein, Schritt schlimmer als es sein müsste. Ich habe ja so gesagt, es gibt eigentlich kein fundamentales, praktisch relevantes Problem in der IT-Sicherheit, was mich zumindest theoretisch gelöst wäre, und trotzdem sehen wir überall katastrophale Zustände, ja. Einer der auslösenden Gründe auf jeden Fall, dass es den Leuten einfach nicht beigebracht wird, wie sie sicher programmieren, dass denen nicht, beigebracht wird, wie man wie man Sinnvolles Design macht äh von und auch wie man ein Fred Modeling macht, bevor das Produkt fertig ist. Statt nachher, ja? Und ähm. Was ich noch viel interessanter finde ist, ich habe ja jetzt. Im Prinzip viele Jahre zugebracht in der in der Forschungsgruppe, die sich im Prinzip mit. Komplexen Angriffen auseinandergesetzt hat, die gesucht hat, okay, wenn Verschlüsselung angewendet wird, dann finden wir die Fehler in der Verschlüsselung und nicht die Fehler an den Endpunkten, wo sie jeder andere findet und sich einfach reinheckt. Und ich hab ein bisschen den Eindruck, dass IT-Sicherheit auch in der. In der Forschung, wo sie betrieben werden sollte auf jeden Fall, wo es total richtig ist, aber dass die Forschung im Prinzip der Realität auch schon wieder voraus ist. Ja, wir diskutieren zum Glück und ich finde es nicht falsch. Wir finden, ich finde es richtig, dass wir heute, Post Quantim, Cryptographie diskutieren. Wir diskutieren heute die Lösungen von in zwanzig Jahren, ne? Das ist gut, ist notwendig. Forschung sollte vorangehen. Ähm, In der Realität werden wir aber heute geohnt über Passwort eins, zwei, drei, ungepatchte Systeme und sonstige, das heißt wir während wir, Ich nehme jetzt da auch dich mal mit rein als jemand, der in der Entwicklung von sicheren Systemen ähm und zwar mehreren kritischen Systemen eine. Deine Rolle ist, glaube ich, CTO, ne? Also die entscheidende Rolle spielst ähm während wir die Probleme wirklich. Ganz andere Probleme lösen, passieren diese ganzen Hacks äh im Prinzip, schon auf so einer Basisebene, die da nicht eingehalten wird, ne? Schlechte Passwörter, ungepatschte Systeme, wo es dann nämlich am Ende irgendeinem, Teenager ermöglicht da reinzukommen. Das ist äh war immer die Frage bei diesem Doxing. Ja, wie, wie kann das ein Teenager machen? Wie kann das ein Teenager machen? Also ein Teenager, der noch bei Mama wohnt, wo dann eigentlich meine flapsige Antwort war, ja, der, weil der Internet hat, Wir haben das dafür gebaut, dass jeder Teenager, der bei Mama wohnt, auch daran teilnehmen kann. Aber eigentlich ist das Problem natürlich viel Viel schlimmer, nämlich, dass wir die Basalanforderungen schon nicht erfüllen. Und deswegen können wir noch so viele Hochsicherheitssysteme ähm, versuchen zu entwickeln, wenn am Ende die die Unternehmen geordnet werden und die Privatpersonen geordnet werden, die, die das Basissicherheitsniveau noch nicht mal einhalten. Und dann finde ich geht's noch, geht so eine, eine Nummer weiter, wenn wir uns anschauen, was Deutschland jetzt so für IT-Sicherheitssysteme baut. Beispiel wie Beispiel Telematik, dem Beispiel besonderes elektronisches Anwaltspostfach. Beispiel Notarpostfach. Alles Themen, die wir in Lokbuch Netzpolitik schon äh rauf und runter diskutiert haben, die wir als CCC oder Mitglieder des CCC oder erweitertes Familienumfeld des CC, die offen CC Vortragen alles kaputt gemacht haben, ja? Jetzt stellen wir immer fest ähm, Es wurde. Es wurden diese das Basiswissen der IT-Sicherheit nicht angewendet. Es wurde gegen das, was quasi Forschungsstand und Best Practice ist in der IT-Sicherheit eklatant verstoß.
Richtig, gegen, es wurde es wurde gegen Basiswissen, ja, nicht irgendwie oh guck mal hier, es braucht ähm, ähm ne, irgendwelche Curus, die dir jetzt da oder oder irgendwelche Russgurus, die dir erklären, warum das jetzt irgendwie noch ein Fehler war, sondern einfach Schwachstellen, die wir bei denen wir nie Probleme hatten, die der Öffentlichkeit auch zu vermitteln und zu erklären, guck mal, da ist die Schwachstelle ja. Eigentlich würdest du also bei einer Schwachstelle in einem nach nach heutigen best Practice gebauten System Die kriegst ja den meisten Leuten gar nicht mehr erklärt. Da können wir dann irgendwie akademische Diskussionen darüber führen, ne? Aber wenn das ist irgendwie so, wie bist du reingekommen? Ja, Passwort, eins, zwei, drei, das kriegen wir allen erklärt, ähm und ich habe da so eine, so eine Meta-Theorie zu. Es gibt im Prinzip so. In diesem ganzen wie Digitalisierung stattfindet. Wenn man jetzt mal extrem extrem pol, China, ja? Extrem pool oder auch andere asiatische Länder. Ganz ganz krass, risikoblind, voll Digitalisierung von allem Gesichtserkennung im öffentlichen Raum. Alles was geht, gib ihm, gib ihm, gib ihm und ähm natürlich auch sogar noch ganz offensichtlich die die Nachteile der Digitalisierung eigentlich gar nicht, Gar nicht als Nachteile sehen, ne? Ähm. Das heißt, da hast du so eine ganz Blindeninnovationsgetriebenes Vorgehen und dem gegenüber würdest du eigentlich sowas sehen in was Deutsche versuchen, ja wir machen das aber sicher und gründlich. Deswegen, man muss nicht immer der Erste sein, der alles digitalisiert, sondern wir machen das dann ordentlich. Und dieses ordentlich kriegt Deutschland eben auch nicht hin.
Genau, das hat das hat er sich so ein Problem, weil wir hätten halt die Chance ordentlich zu machen, aber wir verkacken es halt. Also es wird halt einfach nicht richtig durchgezogen, den Vorteil, den wir da haben könnten, auch wirklich auszuspielen, so. Und, Das hat auch so eine der Forderungen, die wir haben ist zusammen. Deutschland braucht halt eine defensive Strategie für den Umgang. Äh mit möglichen Angriffen im digitalen Raum. Wir brauchen halt einen. Herangehen, was sagt, wir setzen auf Verträge und wir setzen auf tatsächlich mehr effektive Sicherheit, und nicht darauf, dass wir halt irgendwie Offensivkapazitäten aufbauen in der Hoffnung, dass wir da irgendjemand abschrecken können, was sowieso nicht funktioniert. Dieses. Also dieses dieses Problem zu verstehen, dass es ein lösbares Problem ist, dass es nur Geld kostet und wenn man sich da mal. Wirklich eine Strategie überlegen wird, die den Namen verdient und nicht in Sammelsorium von Verantwortungsdiffusionen mit äh, Dutzend Behörden, die alle mehr Plan stellen wollen, dann könnte man da sicherlich was tun. So, also das wäre halt, also ich bin jetzt nicht für einen Digitalministerium oder sowas. Es wurde halt auch nicht funktionieren, aber tatsächlich eine, Ressort übergreifender Maßnahmen, um halt die effektive Sicherheit zu erhöhen, indem man halt zum Beispiel mit relativ viel Geld Open Source Software, Auditing und open Source Software neu schreiben, nach sicheren Maßstäben fördert, was dafür sorgt, dass wir über ein paar Jahre hinweg unsere Softwarebasis neu bauen. Wäre zum Beispiel so ein Ding, eine andere Sache, wäre Kennzeichnung von Geräten. Warum kann ich immer noch ein Tablet kaufen irgendwie äh äh wenn ich in in Elektromarkt laufe, was de facto Elektroschrott ist in dem Augenblick, wo ich aus der Tür laufe, weil es für den Herr vom Hersteller keine Updates mehr gibt und ich mich damit nicht mehr ins Internet trauen darf eigentlich?
Genau, also eine Kennzeichnungspflicht, ne, so statt halt wie Böse Roter TA, wo wir halt irgendwie am Ende mit einer freiwilligen, möglichen Selbstverpflichtung für so diese Update-Geschichten, daher kommen, die du aber auch folgenlos halt nicht beachtet werden kann äh und es äh letzten Endes nicht mal eine Verpflichtung dazu gab zu sagen, okay, wenn du halt, auf den Router eine sichere, nämlich Open Source äh Firma wie Open Werte installieren willst, dafür, hast du kein Recht darauf, obwohl's eigentlich dein Router ist? Das war halt super enttäuschend. Das haben wir den BSI dann aber auch intensiv und mehrfach gesagt und auch den Leuten im BMI, dass diese Router TA Nummer aus unserer Sicht genau so war, wie es nicht hätte laufen sollen, weil die sich halt komplett haben, einbuttern lassen äh von den den Kabelnetzlobbyisten, und also auch teilweise in den Sitzungen halt Sachen gelaufen sind, wo man sich fragte, wer jetzt hier eigentlich die Moderation hat und deshalb so 'ne, so ein Vorgehen, was halt zeigt, wie man's genau nicht machen sollte. Trotzdem interessanterweise ein Satz dazu noch, sieht es BSI diese Router TR als Erfolg. Bizarre Weise.
Das ist genau das, da wollte ich nämlich noch kurz zu setzen zu sagen, das ist genauso diese äh wenn du gerade zuschaust, wie in den letzten viertel Jahrhundert, ja, sich dein gesamtes Land digitalisiert, dann kannst du IT-Sicherheit, nicht als Kompromiss sehen. Ähm und diese einfach mal kompromisslos an eine Sache ranzugehen und IT-Sicherheit kompromisslos zu sehen, das fehlt mir in all diesen Debatten. Weil ich gerade, ich habe ja gesagt, so dieses, also es gibt im Prinzip dieses Innovationsgetriebene und dem gegenüber gibt's diesen Stabilitätsgedank. Und dieser Stabilitätsgedanke, den finde ich ja auch sehr gut, denn ähm nur ein, also ne, nur wenn man diese, Systeme mit Bedacht baut und ordentlich baut, dann können die auch ne irgendwie vielleicht mal paar Jahre halten, so und das das ist auch das, wo wir hin müssen. Was wir aber hin, was, in Deutschland eigentlich der, also der Nachteil von Stabilität wäre quasi diese Trägheit, ja? In Deutschland haben wir aber im Prinzip die beiden Nachteile, kombiniert. Also Innovationsinnovation Nachteil, ähm! Unsicherheit, ja? Stabilität, Nachteilträger, wir haben aber träge Unsicherheit. Wir haben also wir haben keins von, wir haben nirgendwo den Vorteil, wir haben alle Nachteile dieser Digitalisierung kriegen wir voll zu so den den Hals runter und die Vorteile kriegen wir noch nicht einmal äh genossen. Und ich glaube tatsächlich. Dass ähm die Probleme in der IT-Sicherheit in diesem Beispiel ähm Telematik, DML, Bea und so weiter. Was wir da sehen, ist. Schwachstellen, die dort gefunden werden, die sind in der Regel kannst du ganz klar sagen, das ist der Kompromiss, der eingegangen wurde, weshalb sich dort diese Schwachstelle befindet Hier ist die ähm so und dann hast du weiterhin sind diese Systeme durch diese Kompromisse unglaublich komplex. Komplexität ist schon immer der Gegner von IT-Sicherheit gewesen, sodass ich äh irgendwann mal gesagt habe, das fand ich sehr klug. Äh Komplexität ist im Prinzip, fehlpraktizierte, falsch praktizierte Stabilität Und das ist so ein bisschen das deutsche, das deutsche Ingenieurwesen, um jetzt nochmal noch größere Partners aufzumachen, ist jetzt so die Sachen so komplex zu bauen, dass man sagte, da kann jetzt nichts mehr schiefgehen so. Das haben wir so komplex gebaut, das kann doch nicht mal mir jemand verstehen Und genau da glaube ich geht auch IT-Sicherheit eben den Bach runter. Bei.
Beispiel kannst jedes Beispiel nehmen, ne? Äh insbesondere jetzt hier Telematik, die mir äh Notarpostfach und so. Ja, das muss aber dann noch mit dem IT-System funktionieren und das wieder das Ding. Longtale Legacy und so weiter, da jeder der IT-Sicherheit macht, jeder der Pantest macht guckt sich ein System an und sagt, erklär mal bitte, wo wir jetzt komplex oder gibt's hier irgendwelche Legissy Downgrades, das ist das, was du noch vier Stunden beim Kunden anfangst, zu machen, da findest du die ersten Schwachstellen. Und diese gesamten deutschen Systeme sind Voll davon, die ganzen Deutschen Herangehensweisen sind von, ja, aber dann können wir unsere Legacy-Systeme nicht mehr unterstützen oder dann können wir hier im Moment mal, dann wird das ja zusichern, dann kann man das auf einmal nicht mehr abhören. Wir haben ja hier eine äh Vorgabe einer Abhörst, Demail, ja? Und all das, also du findest diese gesamte all das, was wir an der Router TR diskutieren, oder oder kritisiert, nämlich dieses das wird diskutiert, da wird. Kompromittiert, wollte ich schon sagen, da wird erst ein Kompromiss gemacht und dann wird's kompromittiert. Deswegen sind diese beiden Begriffe wahrscheinlich auch so nah beieinander. Das fehlt mir und dieses in diesem IT-Sicherheitsgesetz, das war das, was ich beim IT-Sicherheitsgesetz eins kritisiere, äh kritisiert habe und ich glaube, diesen Kritikpunkt würde ich auch beim IT-Sicherheitsgesetz zwei sagen, da wird wieder nichts. Keine erkennbaren mutigen Schritte in eine Richtung gegangen am Status quo etwas zu ändern.
Also letzten Endes, was halt passieren müsste, wären halt ein bisschen größere Würfe, die den. Genau diesen Status Quo langfristig auch ändern. Ne? Also dazu gehört zum Beispiel sowas wie äh die Erarbeitung von Ausbildungsmaterial. Ne, das ist halt irgendwie, Warum haben wir in Deutschland kein Open Source für frei verfügbares Ausbildungsmaterial, für Informatikunterricht? Für die gängigen Programmiersprachen, die da irgendwie üblich sind in denen es halt die Module gibt, wie man sicher programmiert und zwar grundsätzlich von Anfang an mit der Erklärung dazu. Und irgendwie in dem Augenblick, wo man Leuten mal zeigt, wie ein Buffer Oberflow-Explort zum Beispiel funktioniert. Oder mit Steck Exploid oder so, also entweder einfache Sachen, dann verstehen die plötzlich auch. Warum es wichtig ist, darauf zu achten und halt irgendwie einfach, Zum Beispiel Programmiersprache zu nehmen, indem einem sowas nicht passieren kann. Ja, also geht ja auch so, ne? Und die äh also wenn ich da zum Beispiel halt so Wissenschaftler sehe, halt dann einfach irgendwie weil sie's nicht anders gelernt haben da halt mit Cerumfuchteln, und da halt so irgendwie Pointer und einem Copy Höhlen haben, wo man denkt so, Japan, das System sollte besser nirgendwo, wo irgendwie auch nur entfernt, Internetrelle ist. Äh, Warum denn, ja? Also muss ja nicht sein, geht ja auch einfacher und besser. Na ja, jedenfalls diese. Diese diese grundsätzliche Raniere zusammen, man versucht es halt äh mal im großen Wurf zu lösen, fehlt halt, dieses Gesetz ist halt ein Rumdokter an Symptomen äh was parallel dafür sorgt, dass die Leute, die helfen könnten, das Problem zu lösen, äh nämlich die Hacker-Komödie und der die Security Research Community unnötig. Ja muss man sagen zu Feinden gemacht werden, ne? Also weil ganz viele dieser Dinge sind halt grundsätzlich, gehen halt nicht okay. So, die da drin stehen und das. Wird halt eher fürs Gegenteil sein. Es wird halt nicht viel mehr IT-Sicherheit sorgen.
Tja, ich denke damit sind wir ähm so langsam am Ende unserer Bewertung. Ich danke dir für die Zeit, die du dir genommen hast. Ich merke auch, dass es langsam hängen wird und wir beide noch ein bisschen arbeiten müssen und ähm, Ich hoffe, dass, das für dass es uns gelungen ist das Thema ein bisschen auch näher zu bringen, weil es ja immer so ein bisschen bei bei IT-Sicherheit, ich hab das, ich hab häufig so den Eindruck, ne, bei Ärzten gibt's irgendwie die. Die Halbgötter in weiß und bei Hackern ist so ein bisschen so die Halbgötter in schwarz, ne? Das das wenig verstanden wird was die tun. Und ich bleibe eigentlich bei der äh bei der Ansicht, dass. Möglich ist, sicherer zu werden und es schön wäre, wenn wir da irgendwie hinkämen und es wäre wirklich toll, wenn wir ein IT-Sicherheitsgesetz hätten, was äh Anreize in diese Richtung auch geben würde.
Vielleicht ändert sich noch was am Referententwurf. Immerhin, ich fand das ganz toll, dass du da bei der das dass diese Anhörung mal ein bisschen vorher war und das war auch ein bisschen der Grund, warum ich äh dich gebeten habe, dass wir nochmal eine Logbuch Spezial quasi zu dem Thema machen, weil wir sonst sehr häufig die Erfahrung gemacht haben im Prinzip, am fertigen den fertigen Entwurf im Ausschuss nochmal einmal kritisieren zu dürfen und uns da selten die Ehre zu Teil geworden ist, dass da nochmal irgendwas daran geändert wurde, mit.