LNP095 Unerwünschte Nacktheit

GCHQ schaut Webcams — KiPo — Internetzensur — Kampagne gegen Adblocker — RSA — Hochschule Karlsruhe macht sich lächerlich

Linus ist weiterhin nicht im Lande und bietet breiten Raum für Spekulationen ob er sich in einer Höhle versteckt hält. Dafür springt in dieser Woche Peter Piksa ein, der in gewohnter Manier die Themen der Wochen gesammelt und hat vorstellt. Wir sprechen über den WebCam-Wahn der GCHQ, verschiedene Vorfälle rund um KiPo (aka Abbildungen von Kindesmißbrauch), mögliche Hoffnungen auf eine Reduktion von Internetsperren im Iran und dem zweifelhaften Verhältnis deutscher Internetunternehmen zu Sicherheit. Wir schließen ab mit dem Lacher des Monats: der Hochschule Karlsruhe.

avatar
Tim Pritlove
avatar
Peter Piksa

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Peter.
Peter Piksa
Guten Morgen Tim.
Tim Pritlove
Ausgabe von Lokbuch Netzpolitik und äh wie schon, angekündigt und angedroht, äh auch in dieser Ausgabe kein äh Linus, aber wir haben uns mal wieder um sinnvollen Ersatz bemüht und ja Gleich nochmal hinterher. Hallo Peter.
Peter Piksa
Ja, hallo Tim.
Tim Pritlove
Genau, ich begrüße Peter Peter Pixa, äh aus dem tiefen Westen, das Langenfeld, wenn ich das richtig äh erinnere, genau in RWE und ja äh wir sind ja schon länger äh Lose über das Netz äh so im letzten politischen Diskurs verbunden würde ich mal sagen, Weil du dich da ja auch intensiv mit auseinandersetzt.
Peter Piksa
Kann man so sagen.
Tim Pritlove
Genau. Vielleicht kannst du ja mal kurz kurz äh äh dich nochmal so aus deiner eigenen Perspektive äh vorstellen, wie du so dich da verankert siehst.
Peter Piksa
Ach so, ich bin achtundzwanzig Jahre alt, komme, wie gesagt, aus äh Nordrhein-Westfalen, meine persönliche Politisierung fing eigentlich wie bei vielen auch äh damals mit dieser äh Netzsperrengeschichte um äh Zäsursula an. Da ging das eigentlich alles so ziemlich äh los. Ja und seitdem bin ich halt entsprechend dran geblieben, weil es ja da doch immer wieder erheiterndes gibt, mit dem wir uns da beschäftigen müssen, Schrägstrich dürfen.
Tim Pritlove
Erheiterndes in Anführungsstrichen, ne?
Peter Piksa
In Anführung spreche ich ihnen, ja.
Tim Pritlove
Genau, er hat dann das in Anführungsstrichen, hast du ja auch äh eine Weile, ich glaube, das ist jetzt so ein bisschen zurückgefahren äh in diesem CDU Watch DE Block, reingebracht äh und ich glaube, du warst auch mal bei bei Metrolaut äh im Podcast auch schon mal zu Gast, da kam das auch schon mal ein bisschen ausführlicher zur Sprache.
Peter Piksa
Richtig, Ja, das ist, wie du schon sagst, ein bisschen abgeflaut in letzter Zeit, aufgrund äh beruflicher Einspannung und ja, man muss auch ganz ehrlich sagen, ich bin da auch so ein bisschen ähm ja, wie soll man sagen, abgestumpft, weil das wiederholt sich halt auch, alles. Also man sieht da so eine schöne Parallele, sowohl zwischen der äh netzpolitischen Timeline als auch so der CDU Watch Timeline. Man kann eigentlich immer wieder sehen, ja, das wiederholt sich. Du hast heute einen, der kommt mit netzsperren, dann hast du in drei Wochen wieder eine Cockpit-Netzsperren und in ein paar Wochen später hast du wieder einen, der kommt mit Netzsperren. Das Gleiche hast du mit der Vorratsdatenspeicherung im Blick auf netzpolitische Vorgänge. So und wenn du hingegen dann äh CDU dir anguckst, ja dann hast du heute einen äh Korruptionsfall, dann äh drei Wochen später wieder ein Korruptionsfall und das dreht sich halt alles. Und man hat so den Eindruck, wir drehen uns irgendwie im Kreise. Ja, also es wiederholt sich halt einfach alles.
Tim Pritlove
Ich glaube, das ist gar nicht mal nur so jetzt so eine äh netzpolitische äh äh Konstante, sondern einfach generell eine politische Konstante und das auch diese, ich glaube, was einer auch so ein bisschen überrascht, gerade wenn man früh äh also nicht früh eigentlich, also wenn man noch frisch, dabei ist sozusagen, sich mit dem Themenfeld auseinanderzusetzen, dass man noch gar nicht so richtig überblickt, welche Halbwärtszeit manche Themen so haben können. Ja, also man ist sogar äh jetzt ein bisschen schwierig da ähm Beispiele zu greifen, aber wenn man sich jetzt mal nur anschaut wie jetzt unser Verhältnis ist, sagen wir mal so so Themen wie äh Homosexualität in der Gesellschaft und so weiter. Wie das vor fuffzig Jahren war, wie das heute ist, ja? Da sind die Unterschiede so enorm, Ja, in der gesellschaftlichen Wahrnehmung und entsprechend haben sie sich auch in der Politischen äh Diskussion auch extrem verändert, ja. Trotzdem wirst du auch da immer wieder das Thema noch äh hochkommen sehen und jetzt haben wir das irgendwie mit Russland, jetzt haben wir das äh, auch in anderen Ländern, zumal als auch sehr viel mehr diese internationale Agenda eine Rolle spielt und das merkt man ja auch im Netzpolitischen Raum, also Was früher nur eine lokale, nationale äh Diskussion war, wird jetzt in zunehmenden Maße auch eine internationale Diskussion und dadurch kommen halt auch andere Wertvorstellungen immer wieder mit äh in den Raum und auch immer wieder in eine nationale Diskussion rein, weil die sich, wieder triggern.
Peter Piksa
Gegenseitige Interessengruppen, die dann äh, ihre, ihre Dinge da auf einen gemeinsamen großen Tisch bringen, ne? Und wie du schon sagtest, das war vorher halt alles mehr äh auf äh innerhalb der Landesgrenzen beschränkt, äh wohingegen allein schon durch das Internet halt viele jetzt sagen, na okay Wir müssen jetzt auch mit dem dealen, was die anderen da gerade von uns wollen oder nicht wollen. Ist schon richtig.
Tim Pritlove
Ja, wir werden äh auch noch ein paar ähnliche Wiedergänge heute im Programm haben, aber jetzt gibt's ja äh glaube ich zum Auftakt erstmal noch mal ein bisschen was äh neues, nicht mehr so ganz neu in der äh Ja, in den Nachrichtenlandschaft, weil wir jetzt recht spät drauf eingehen, aber hier haben wir es ja noch nicht erwähnt, äh Neuigkeiten von unseren Freunden, den Geheimdiensten.
Peter Piksa
Ja, diesmal äh in Gestalt des äh britischen der in Kooperation mit der der amerikanischen NSA mal eben Millionen Yahoo Webcam Standbilder abgegriffen hat. Die haben dort ein Programm, das nennt sich Optik Nerw, zu deutsch etwa Sehnerv, und ähm also ausweislich der Dokumente, die der geschätzte Herr Snowden uns da präsentiert hat, äh fing dieses Programm zweitausendundacht an, also wurde zweitausendundacht in Betrieb genommen. Es ist nicht so ganz klar, äh ob das Programm eigentlich noch immer läuft, zumindest ähm nach meinem äh Wissensstand gibt es. Infos, dass es zweitausendzwölf wohl noch betrieben wurde. Aber ähm die Berichterstattung zu dem Thema, wendet sich eigentlich hauptsächlich den Jahren zweitausendacht, zweitausendneun und zweitausendundzehn zu. So, was ist passiert? Also die haben entsprechend. Ähm Yahoo-Nutzer, die äh mit Webcams arbeiten, mal eben abfotografiert. Das heißt, die haben alle fünf Minuten ein Standbild sich von der Webcam äh des Benutzers gezogen und auf ihren äh Rechenzentren gespeichert. Äh wir wissen ausweislich der Dokumente, dass alleine zweitausendundacht, während eines Zeitraums von sechs Monaten eins Komma acht Millionen Menschen davon betroffen gewesen sind, Genaue Zahlen, wie viele das jetzt insgesamt in dem Zeitraum wurde, wo dieses Ding in Betrieb gewesen ist oder vielleicht noch immer ist, ähm geben die Snowden dogs da an der Stelle, erstmal nicht bekannt.
Tim Pritlove
Aber das hatte doch jetzt spezifisch was mit Yahoo zu tun. Also war das jetzt eine Yah-Hu-Software, die da äh angegriffen wurde oder war das quasi nur äh über Yahoo Zugang gehackte Rechner?
Peter Piksa
Also so wie ich das verstanden habe, haben die sich da entsprechend der ähm der der ähm Leitungen bemächtigt, Wir wissen ja schon aus äh vorhergehenden nichts, dass die ja da im Grunde genommen die ganzen Unterseekabel angezapft haben. Und so wie ich es verstanden habe, haben die entsprechend von dort aus die Daten abgefischt, kann aber auch sein, dass sie da entsprechend irgendwas spezielles softwaremäßiges äh speziell für Yahoo eingesetzt haben, aber das habe ich, also geht jetzt wahlweise aus den Dokumenten nicht hervor oder ich habe das äh überlesen. Ähm lustig sind auf jeden Fall die äh. Ja, die die Reaktionen, die das Ganze so hervorruft, äh sehr lustig fand ich an der Stelle, Yahoo selbst, Yahoo zeigt sich empört, von dem Programm überhaupt nichts gewusst haben und schimpft, Zitat, äh ey hole new level of violation of hour User's privacy Also zu deutsch etwa, das ist eine ein ganz neues Level äh bei dem bei bei den Attacken gegen die ähm Privatsphäre der Benutzer. Ähm, Ich finde das ein bisschen lustig. Deswegen, weil äh ausweislich der Snowden-Dokumente. Yahu seit bereits, äh ich glaube, zwölften März. Auf jeden Fall war's März zweitausendundacht. Ähm Zielobjekt beziehungsweise Kooperationspartner bei einem anderen äh Ausspähprogramm ist, nämlich Prissen, Das wäre aber so das erste Release der Snowden äh Dokumente. Wir erinnern uns, Logbuch Netzpolitik berichtete ausführlichst, Ja, also es könnte natürlich sein, dass Yahuda halt so ein bisschen Empörung heuchelt, genauso gut könnte es natürlich aber auch sein, dass dass die halt wirklich nichts davon wussten, weil wir wissen halt entsprechend auch, dass die Geheimdienste, äh obwohl sie ähm, Zumindest die NSA, ne, obwohl die NSA ja per Gesetz amerikanische äh Anbieter dazu äh verpflichten kann Daten rauszurücken. Und obwohl sie ja genau das gemacht haben, Haben Sie zusätzlich auch noch, zumindest bei Google, äh ja, nochmal einen Beipass gelegt, wenn man so will, ne? Also die haben halt einmal die die gesetzliche Grundlage dafür, äh also zum Zugriff auf die Datensicht äh äh klar gemacht, haben dann darauf zugegriffen, ja und parallel dann nochmal äh eine Seitenstraße aufgemacht, wo sie dann äh nicht gesetzlich darauf zugegriffen haben. So und das äh da kann man also dann annehmen, möglicherweise äh, wird das Gleiche hier auch gemacht, aber nichts Genaueres weiß man.
Tim Pritlove
Ja. Äh es gab ja auch dann äh jetzt auf dem Kongress diese äh League, wo ja auch Yahoo ein Beispiel äh dafür war für diese Techniken, dass sie sich ja quasi auf den Rautern und Switches des äh Internets, der installieren und dann eben Abfragen, zum Beispiel auf Yahoo, nicht ausschließlich Yaru äh abgefangen haben, dann aus ihren eigenen Netzen schneller beantwortet haben, sodass quasi so ein in dem Mittelattacke äh stattfand und darüber dann Chartcode äh zum Übernehmen der Rechner äh hat eingeschleust werden können, wobei das eigentlich so in diese Targetit äh äh Abteilung fällt, also zielgerichtet, mehr oder weniger zielgerichtetes äh attackieren einzelner ähm Zielpersonen, wobei man jetzt auch wiederum nicht weiß, wie groß die Zielmasse so ist. Vielleicht haben sie halt einfach gesagt, naja, also wer eine Webcam benutzt, äh kann kein guter Mensch sein. Und äh dann gehen wir noch mal lieber gleich rein. Tatsache ist, sie haben jetzt eine ganze Menge Daten äh gesammelt. Schön viele Fotos von äh unbedarften Leuten, die so für ihren Rechner sitzen und vor allem halt mit anderen Leuten kommunizieren Na ja und was machen die Leute so, wenn sie so vor ihrer Webcam äh sitzen?
Peter Piksa
Ja, wie wie wir ja äh wissen, wird ja gerade auch ähm werden ja Webcams gerade auch so zur sexuellen Belustigung eingesetzt. Äh.
Tim Pritlove
Ja. Der der Uni-Direktionalen, wie auch der Direktionalen.
Peter Piksa
Sowohl als auch. Ja, stellt sich raus, ähm. Einige der abgegriffenen Bilder sind's äh sexueller Natur. Lacher in diesem Zusammenhang, ähm aus den Dokumenten geht hervor. Darf ich nochmal zitieren, an Fortschritt liegen, Webcam ja Überraschung, konnte doch keiner wissen, dass die Leute da ihre Geschlechtsteile zeigen. Ja Ja und wie hoch ist der Anteil so? Auch da äh geben die ähm Dokumente Aufschluss. Webcam Image Image harvestet bei GCHQ Contains, an die Seierbletti. Ja, stellt sich raus, zwischen drei und elf Prozent der gespeicherten Webcam-Milder. Ja, sind halt Brüste.
Tim Pritlove
Andy. Das ist ja auch eine sehr schöne ja.
Peter Piksa
Ja. Ja, hätte man uns doch gewarnt, hätten die Leute uns doch gesagt, dass die Leute da nackt vor ihren Notebooks sitzen?
Tim Pritlove
Ja, könnten die Leute mal bitte wünschenswerte äh Nacktheit äh.
Peter Piksa
Ja
Tim Pritlove
Nicht wünschenswert Nacktheit. Oh weia. Ja, Also es ist immer wieder interessant, welche Dimensionen das hier alles äh äh noch annimmt und das auch offensichtlich keinerlei wie soll ich sagen? Also es gibt da auch keinerlei nennenswerte Zurückhaltung. So.
Peter Piksa
Ja, na ja, na ja, es gibt so diese diese Feigenblattzurückhaltung, wie wir ja wissen, dürfen die Geheimdienste ja normalerweise nicht die ähm die Bürger des eigenen Landes ausspähen. Und wie wir ja auch ja ja, wie wir ja auch gelernt haben, äh gibt es ja dann diesen äh runden Tisch, äh wo dann beispielsweise diese die sogenannten Five Eyes sich dann zusammensetzen, wo dann halt die ähm, Amerikaner sagen, ach Mensch, so ein Mist aber auch, wir dürfen hier unsere unsere Amerikaner gar nicht ausspielen. Äh, Ja und dann fragt man halt mal die äh Kollegen äh aus dem aus den anderen äh Mitgliedsstaaten von diesem äh runden Tisch. Sagt mal, Habt ihr nicht zufällig Daten über Amerikaner? Ja und dann sagen die Briten, ja Mensch, ja klar, ja so ein Zufall. Ja und dann wird dann halt einmal Five gemacht, wenn man das so will. Ja ähm Interessanterweise ist es aber so, dass ähm also ich habe aus dem Guardian gelesen äh äh dortraus erfahren, dass dieses äh diese wir schnüffeln mal nicht bei unseren eigenen Bürgern Beschränkungen, äh speziell bei dem, also dem britischen Geheimdienst, gar nicht greift. Das heißt, die dürfen per Gesetz auch ihre eigenen Leute äh äh ausspähen. Was mir persönlich jetzt neu war aber das darf man natürlich im Zuge dieser ganzen Geschichte hier nicht außer Acht lassen. Ich meine, die hätten so oder so äh nicht die technische Möglichkeit gehabt, ähm die die eigenen Leute, nicht mit zu erfassen.
Tim Pritlove
Ja, weil das klassische Problem ist, woher sollst du wissen, hinter welcher IP-Adresse jetzt wirklich ein Bürger äh steckt oder nicht?
Peter Piksa
Ja, also, also das haben die wirklich selber gesagt, ne? Also die haben, das war äh Aussage von von GCH Q Leuten, nee äh hätten wir selber gar nicht irgendwie identifizieren können. Das ist ja auch nachvollziehbar, ne? Also selbst wenn du sagst, äh guck mal, ich habe jetzt hier zwei Gesprächspartner und die die sitzen halt irgendwie beide hinter äh IP-Adressen, die äh Großbritannien zugeordnet sind, ja, dann heißt das ja noch lange nicht, dass das, dass das Briten sind. Das können ja äh Tim und Peter sein, die gerade Urlaub äh in Großbritannien machen. Und ja, es sind ja keine Briten, also ja, ich weiß nicht genau, mit welcher.
Tim Pritlove
Ich bin ja Brite, also von daher fällt das jetzt raus, aber es äh spielt auch keine Rolle in dem Zusammenhang.
Peter Piksa
Ja, aber du bist du bist du bist dann in dem Schleppnetz mit drin, weil du unterhältst dich ja mit einem potenziellen Terroristen.
Tim Pritlove
Das stimmt. Laufend übrigens.
Peter Piksa
Laufend, laufend, also dem Tim müssen wir eigentlich direkt mal hier ein Kommando rüberschicken.
Tim Pritlove
Ist ein Wunder, dass sie noch nicht verboten wurde.
Peter Piksa
Ja.
Tim Pritlove
Ja, ach, das ist alles so dramatisch. Also, vor allem, also ich weiß noch, wie das früher. So als wir so mit Chaos-Radio angefangen haben, ja? Wie das immer so. Immer diese potenziellen Horrors hinaus, ja, so wenn man sich da so als Techniker damit auseinandersetzt und man versteht so ein wenig die die innere Logik von Computern, ja und wie gleichgültig diesen Maschinen das ist, äh in welche Richtung sie jetzt welche Daten kopieren, Ja, ist halt eine Kamera und ob die Kamera das nun auf dem Bildschirm anzeigt oder auf irgendjemand anderes äh äh Server hochlädt, so, das ist der, der Maschine egal und es erfordert einfach nur, dass entsprechenden Zugriffs und natürlich auch der entsprechenden kriminellen Energie. Und damals konnte man sich das irgendwie alles immer noch nicht so richtig vorstellen, auch wenn man sich das technisch alles so vorstellen konnte. Und es ginge auch schon vor zehn, fünfzehn Jahren immer so dieses Mythos rum, die Dienste können das Mikrofon in deinem Telefon einschalten und dann alles mithören, was du gerade redest, auch wenn du gerade kein Phone Call hast. Und wir immer so, ah, na ja, irgendwie technisch ist das denkbar, aber es gibt da keine Anhaltspunkte. Genauso war natürlich auch bei Webcams so äh man schnell im Aluhutbereich, wenn Leute Webcams einfach auch so mechanisch, abgeklebt haben oder zumindest ein Stück Pappe dadrüber gemacht haben. Wo man sagen kann, wieso, du hast doch da eine grüne Lampe, die leuchtet, wenn das Ding an ist, Ja? Wir wissen mittlerweile auch das kann ne, also nicht wirklich als Garantie äh dienen und vor allem stellt man jetzt fest, dass einfach auch diese kriminelle Energie, So würde ich das nennen, äh das dann eben auch einfach zu nutzen, wenn es da ist, einfach da ist und ähm ja. Von daher ist da eigentlich auch jede ähm, wie soll ich sagen, Befürchtungen auch, richtig am Platz.
Peter Piksa
Ja, ich glaube vor allen Dingen auch mit Blick darauf ähm, wie man solche äh Fälle beziehungsweise solche ähm ja Gedankengänge, muss man sagen. Äh vor zehn, fünfzehn Jahren äh noch bewertet hat und wie man sie heute bewertet. Das ist ein fundamentaler Shift in der in der in der Bewertung solcher Vorgänge. Ähm und ich glaube, dieser Shift begründet sich. Durch die, ja, zum einen sicherlich durch die Berichterstattung der letzten äh Monate und Jahre. Weil man halt auch sicherlich einfach gesehen hat, ja also man muss ja sagen, diese Berichterstattung desillusioniert einen doch sehr, Ja, wenn man vielleicht vor zehn, fünfzehn Jahren noch gesagt hat, ja, nee, komm, selbst wenn sie die technische Möglichkeit äh hätten oder haben, äh werden sie's nicht tun, weil man einfach nicht angenommen hat, dass sie es tun, weil es einfach moralisch, sicherlich so krass verwerflich ist, da ein anderer Leute Schlafzimmer reinzugucken oder sich da Standbilder von, weiß ich nicht, masturbierenden Teenagern äh abzugreifen. Oder eben die, die äh Telefone anderer Leute abzuhören. Inzwischen hat man aber gelernt, ja doch die machen es.
Tim Pritlove
Ja, man fragt sich.
Peter Piksa
Die moralischen Hürden sind da eben nicht mehr die Blockade.
Tim Pritlove
Ja, man fragt sich, was sozusagen die nächsten äh äh Eigenschaften der Computer sind, die zur äh Abhörmaßnahmen so.
Peter Piksa
Ja du also ich würde mich ja äh ich will jetzt hier auch nicht in äh große Verschwörungstheorien äh abgleiten, aber ich persönlich würde mich nach den aktuellen Stand der Dinge überhaupt nicht wundern, wenn es da in ein paar Monaten äh eine Meldung gibt, dass äh diverse Geheimdienste eben genau das äh betreiben, was du gerade gesagt hast, dass eben das das Mikrofon von deinem Tablet, von deinem äh Schlauch, von abgegriffen wird und halt mal. Um Terroristen ausfindig zu machen.
Tim Pritlove
Da gab es schon die passenden Berichte.
Peter Piksa
Das gab es schon, dann ist das an mir vorbeigegangen.
Tim Pritlove
Jetzt grad keine Quelle für, aber das äh ist sozusagen schon durch so. Also im Prinzip sind alle, alle Horrorszenarien irgendwie durch.
Peter Piksa
Ja. Aber man muss natürlich auch sagen, äh im Lichte aller Horrorszenarien und dort ist das ja vorhin auch schon angesprochen. Er wurde da so die die Beschränkungen sind. Es gibt natürlich äh auch Beschränkungen und so auch in dem Fall da möchte ich auch nochmal kurz drauf eingehen. Ähm. Man muss ja, man muss ja fast schon sagen, das ist ja äh quasi Überwachung mit menschlichem Antlitz. An dies an dieser.
Tim Pritlove
Was soll er des Wortes?
Peter Piksa
Hör einfach. Mit menschlichem Antennen, mit nackt menschlichem Antlitz. Nein, aber man muss ja feststellen, also sie waren ja gütig, ne. Sie haben ja nur alle fünf Minuten abgegriffen.
Tim Pritlove
Ja. Ach so, na dann.
Peter Piksa
Ne, na dann. Ja und es stellt sich natürlich die Frage, ja warum denn nur alle fünf Minuten? Ah ja, auch da haben wir ein schönes Zitat. Und das ist wirklich äh der Schenkelklopfer an an der Stelle, Filme für meinen Geschmack. Zitat, Partys also wir wir haben wir haben ja wir haben zwar abgegriffen aber wir haben nur alle fünf Minuten abgegriffen um.
Tim Pritlove
Damit die Menschenrechte gewahrt sind.
Peter Piksa
Ganz genau.
Tim Pritlove
Ah, verstehe.
Peter Piksa
Menschenrechte gewahrt sind. Also so ein so was muss man sich mal reintun.
Tim Pritlove
Das ist so nach dem Motto, ne, wir wir haben ihn ja nicht permanent gefoltert, sondern nur alle fünf Minuten, um die Menschenrechte zu wahren.
Peter Piksa
Ja, ja. Ja, wir haben beim Waterboarding doch mal alle halbe Stunde mal ein bisschen durchatmen lassen. Wusstest denn ihr Problem hier? Schauen sie mal, wie menschenfreundlich wir hier sind. Ist eine Filantrophie, was wir hier betreiben.
Tim Pritlove
Ja, ich vermute mal, sie hätten hätten einfach mehr nicht speichern können, so viel Daten, wie sie irgendwie.
Peter Piksa
Ja, ja, ja, außerdem Servers. Also auch da äh technische.
Tim Pritlove
Wobei mich das jetzt ehrlich gesagt, bisschen wundert bei dem äh Maß an Traffic, den sie da äh generell absaugen, dass sie dann ausgerechnet mit Webcam-Fotos da so ein Problem haben. Da müssen sie ja wirklich schon unglaubliche Mengen äh abgeholt haben. Gibt's da eigentlich irgendwelche Zahlen in diesen Dokumenten? Wie viele, eins Komma acht Millionen Menschen seien betroffen, aber das klingt ja jetzt nicht so viel.
Peter Piksa
Ja, Moment, Moment, man muss es ja nochmal äh multiplizieren. Weil diese eins Komma acht Millionen Menschen, die da betroffen sind, das ist die, die erstrecken sich ja nur über einen Zeitraum von sechs Monaten im Jahre zweitausendundacht Also genauere Daten sind ja dort nicht verfügbar und wir, wie wir bereits gelernt haben, ähm wurde Optik Nerw. In einem Zeitraum von zweitausendundacht bis mindestens zweitausendundzehn betrieben. Und, Es gibt Hinweise darauf, dass es wohl zweitausendundzwölf noch aktiv betrieben wurde. So dass man also sagen könnte, wahrscheinlich beginnend äh mit zweitausendacht bis zu zweitausendundzwölf. Und was darüber hinaus geschehen ist, naja, darüber lässt sich halt äh eigentlich nur spekulieren.
Tim Pritlove
Ja gut, komme ich jetzt so in mein mein Überschlagsrechnung immer noch nicht auf so superdramatische Zahlen, aber das äh ist natürlich jetzt auch ein bisschen bewusst, das auszurechnen, wenn man's nicht.
Peter Piksa
Na aber findest du nicht, dass jeder einzelne davon äh einer zu viel ist?
Tim Pritlove
Nein, schon, aber nicht für die Server, also das äh äh klar. Also moralisch ist das auf jeden Fall ein Problem. Technisch äh sehe ich nicht so große Probleme. Ja.
Peter Piksa
Ja, aber äh die werden da sicherlich, gerade auch, was die technischen Ausstattung angeht, ähm nochmal ein wenig ihre Server und Kapazitäten aufrüsten, denn wir haben auch einen Ausblick in dieser äh Webcam-Standbilder ab. Der Ausblick besteht darin, dass auch Webcams von Spielekonsolen. Total dufte findet.
Tim Pritlove
Das stand in den Dokumenten.
Peter Piksa
Also Microsoft macht ja mit seiner Xbox dieses Kinect Ding. Weiß nicht, ob du das kennst. Ich selber kenne das nur so vom Namen und ähm ja.
Tim Pritlove
Klar, da wird er halt so mit einem Infrarotstrahler äh so diffuse Punkte in den Raum reingestrahlt und dadurch lassen sich dann halt äh dreidimensional die Bewegungen träcken.
Peter Piksa
Und das finden die total dufte. Und die haben ähm darauf äh da geben die entsprechend die die äh Snowden-Dokumente äh, Hinweise darauf, dass die sich doch damit beschäftigen, welche Möglichkeiten man da hätte, wenn man denn diese Kinect-Kameras mal ein wenig abgreifen würde oder halt generell die ähm, Sensorik von Spielekonsolen, dass das natürlich nur auf Spielekonsolen oder beziehungsweise vielmehr, dass es sich nicht nur auf Spielekonsolen beschränken wird, ähm das denke ich, können wir uns auch alle an einer Hand ausrechnen. Aber das zeigt doch den Mindset, der da äh zu Grunde liegt. Also sie wollen halt wirklich, jeden Sensor, den so irgendwie in die Finger bekommen können.
Tim Pritlove
Klar, ich meine, so aus, aus geheimdienst Logik ist natürlich so eine Kinect. Äh insofern äh noch viel interessanter, weil man eben nicht nur äh Fotos oder oder eben keine Fotosprogramm war, sondern normale Kamera durfte da ja auch noch mit eingebaut sein. Ich besitze auch selber keine äh Xbox und oute mich jetzt hier wieder als totaler äh Unwissender. Auf jeden Fall, die Kinect selber äh hat ja den Vorteil, dass sie ein richtiger Bewegungs äh Wälder ist plus dreidimensionale äh Daten, ne und dabei auch äh na ja Unsichtbar ist nicht so ganz richtig, also wenn man's halt äh einen Raum, also wenn man den Verdacht hegt, dass hier äh äh eine Kinect im Spiel ist, dann kann man natürlich mit Infrarotsensoren äh das relativ schnell überprüfen Aber wenn man nur so ab und zu mal anschaltet und guckt und so, dann ähm naja, sollte das auch nicht so gut auffindbar sein. Aber es ist halt auf jeden Fall klar, jedes Gerät, was irgendwie mit dem Internet verbunden ist und irgendeine äh Innen in den Raum gehende Sensorik hat, sei es ein Mikrofon, sei es so etwas wie Kinekt oder eben auch nur eine ganz normale Kamera, kann potenziell natürlich auch äh übernommen werden. In dem Moment, wo sich, Sicherheitslücke äh bietet und die letzten Tage waren ja voll mit ähm Sicherheitslücken der, äh eigentlich war alles seit zweitausendfünf komplett offen. So, ja. Ähm na ja. Ja, gute Fehl und so weiter, also äh auch das Lager weitgehen, all das lässt einen gar nicht mehr daran zweifeln, dass diese Einbruchsoptionen auch durchaus zur Verfügung standen. Bei der Xbox wissen wir es jetzt nicht genau, aber das spielt ja letztlich auch keine Rolle, ob man das weiß.
Peter Piksa
Ja, zumal äh zumal zumal sich ja streckenweise eigentlich auch diese diese Thematik mit Schwachstellen gar nicht mal so unbedingt stellt, denn wie wir ja wissen, äh können die der Daten ja auch habhaft werden, nehmen sie einfach beim Provider anklopfen gehen. Also, ne.
Tim Pritlove
Na gut, schließen wir den äh Teil vielleicht mal ähm ab hier, ne, haben wir, glaube ich, alles zugesagt, oder?
Peter Piksa
Ja, ich denke.
Tim Pritlove
Ja, schauen wir mal.
Peter Piksa
Was da noch kommen wird, aber im Großen und Ganzen wär's das erstmal für den Bereich.
Tim Pritlove
Gut, schauen wir nach äh Deutschland und andere äh Länder unser Lieblingsthema ähm, oder auch. Darstellung von Kindesmissbrauch. Äh je nachdem, wie man das jetzt so genau benennen kann in den einzelnen Fällen. Das spielt natürlich wieder eine Rolle. Da gab's zum Beispiel ein schönes Update in diesem Fall.
Peter Piksa
Ja, wir machen, wir machen die Grätsche, äh, Deutschland aber wir bleiben auch in Großbritannien. Ähm fangen wir mal mit Deutschland an. Ähm ja, stellt sich raus, eben im Zusammenhang äh dieser ganzen Geschichte, äh der ja. Also Hintergrund war ja folgender. Es gab ja da dort diese Liste. Ähm Ich glaube, achthundert ähm Personen waren dort drauf gelistet, die entsprechendes äh äh strafbewährtes aber auch nicht unbedingt strafbewährtes ähm Material mit Kindesmissbrauchsdarstellung bezogen haben und ähm der ähm SPD-Politiker äh Sebastian ähm war ja dort mit drauf. Dann gab es riesen Furore und ja wie sich nun herausstellte. Der Herr nicht der einzige nennenswerte Kandidat auf dieser Liste, sondern auch ein, hoher hochrangiger BKA-Beamter aus der Abteilung schwere und organisierte Kriminalität stand auf der besagten Kundenliste. Ja, also, ist natürlich so ein bisschen mein Fakt, das Ganze, weil man sich denkt, hey, äh BKA, also das sind jetzt unbedingt nicht unbedingt die, wo man wo man erwarten sollte, also das sind ja Leute, die machen ja Strafverfolgung, und wenn die dann auf einmal im Besitz solcher äh Dokumente sind, hm also so solchen Materials muss man ja sagen und es kommt ja noch erschwerend hinzu, dass die äh die das Material, was er sich bezogen hat, also der BK-Beamte, Das war ähm tatsächlich äh das waren tatsächlich Kindesmissbrauchsdarstellungen. Also da gab's auch keinerlei äh Interpretationsspielraum mehr mit Kategorie A, also Kategorie eins oder Kategorie zwei, sondern das war wirklich ähm mal hartes Material. Ist aber alles nicht so wild, denn ob gleich strafrechtlich relevantes Material bezogen wurde, kam es zu keinem Prozess.
Tim Pritlove
Wurde einfach nur so entlassen. Und, der äh quasi wo relativ klar war oder zumindest keine konkreten Anhaltspunkte gab, da das ist strafbares Material, ist zumindest nach unserer aktuellen Gesetzeslage. Der wurde dann schon mal öffentlich äh hingerichtet durch, sprechende Indiskussion. Äh was, glaube ich, in dem Zusammenhang auch noch ganz interessant war, ist, dass ja auch dieser BKA Beamte, äh also dieser, Also dass der Zeitpunkt, wo das quasi intern, Klar war und kommuniziert wurde, dass er davon betroffen wurde und dann auch ging, äh zu einem Zeitpunkt stattfand, der deutlich vor dem Zeitpunkt lag, von dem das BKA eigentlich meinte, was wo sie diese Daten wirklich aktiv ausgewertet hätten.
Peter Piksa
Ja, da bin ich jetzt, muss ich gestehen, nicht so ganz hundertprozentig äh im Bilde. Ähm.
Tim Pritlove
Das ist zumindest so der Stand der Debatte, wie sich das am Ende dann äh äußert, wenn wir dann sehen.
Peter Piksa
Ja Jedenfalls, also ein Prozess hat halt nicht stattgefunden, ähm der Beschuldigte BKA-Beamte akzeptierte einen Strafbefehl. Ja und ist dann mit äh einer Strafe zwischen zehn und zwanzigtausend Euro, ja, auch quasi aus der Sache rauszukommen. Äh lustiger Hinweis noch ähm auf Spiegel Online gab's dann äh, in dem betreffenden Bericht. Wir werden ihn auch nochmal verlinken, den Hinweis darauf, dass dann ja eigentlich recht leise der Abschied äh stattgefunden hat. Da gab's ja kein großes Tamtam, sondern man hat halt einfach gesagt, ja, scheidet halt aus, irgendwelchen Gründen halt aus. So gab's dann eine Meldung auf dem Schwarzen, auf dem digitalen schwarzen Brett im Internet. Und ja, das war's dann halt. So schnell kommt man da quasi aus der Schusslinie, wenn man.
Tim Pritlove
Was, glaube ich, nochmal ganz wertvoll wäre, in dem Zusammenhang ist der Begriff strafbefehl. Ich glaube, das ist auch nicht unbedingt jetzt jedem so klar, ne. Also ein Strafbefehl ist so quasi das äh vereinfachte Verfahren ja? Äh um leichte Kriminalität äh in den Griff zu bekommen, dass man da halt nicht immer die Gerichte äh äh groß mit beschäftigen muss und Staatsanwaltschaft, so nach dem Motto, na hier, was weiß ich, drei Gramm Haschisch äh passt schon hier Strafbefehl fertig äh aus vorbei, so.
Peter Piksa
Ja, es wird wohl, soweit ich das weiß, hauptsächlich äh dazu genutzt, um halt ähm ohne viele Aufsehen Also sag mal, nicht unbedingt hauptsächlich um äh um einen äh Vorgang ohne viel Aufsehen äh ähm über die Bühne zu bekommen, sondern das äh das ist eigentlich mehr so ja Randprodukte. Also es geht in erster Linie geht's darum zwar eine rechtskräftige Verurteilung durchzuführen, aber halt keine großartigen Hauptverhandlungen und solche Dinge zu machen, ne? Und das hat dann wiederum zur Folge, dass dann na ja, das Ganze halt ziemlich unter dem Radar der Öffentlichkeit läuft und ja, äh nicht so viel Aufsehens äh gemacht wird, beziehungsweise nicht so viel Aufsehens gemacht werden kann.
Tim Pritlove
Ja, aber normalerweise sind das halt so Geldstrafen und Verkehrs äh äh Delikte und ähm, da ist jetzt, sagen wir mal, der hier vorliegende Sachverhalt so normalerweise eigentlich auch nicht mit abgedeckt. Also.
Peter Piksa
Würde eigentlich nicht davon ausgehen, dass man äh bei dem Besitz von Kindesmissbrauchsdarstellungen mit mit so einer Geschichte hier durchkommt auf diesem Wege zumindest nicht.
Tim Pritlove
Ja. Ja, aber Deutschland ist da nicht äh das einzige Land mit entsprechenden.
Peter Piksa
Nein, wir kommen zurück nach Großbritannien. Ähm, wie wir ja auch äh gelernt haben, gibt es in Großbritannien Pornofilter. Und ähm einer der Köpfe, hinter dieser, hinter dieser Porno äh Filtergesetzgebung ist der ähm Tory äh Advisor, also Berater kann man sagen, Patrick, Rock und Patrick Rock ähm, also, bei dem wurden entsprechende Kindesmissbrauchsdarstellungen gefunden. Und der wird sich jetzt höchstwahrscheinlich bald vor Gericht äh rechtfertigen müssen und verteidigen müssen. Also festgenommen wurde er bereits. Was natürlich auch nochmal so ein interessantes Schlaglicht auf diese ganze Geschichte äh wirft, also man stellt fest, Also wenn wenn man mal so in der Retrospektive die Diskussion äh bei der Einführung von solchen Web-Filtern oder oder Netzsperren Revue passieren lässt, dann stellt man ja eigentlich immer wieder fest, na ja, die Argumentation ist, wir müssen irgendwie, sicherstellen, dass äh Kindesmissbrauchsdarstellung äh übers Internet nicht propagiert werden äh oder halt na ja, also eigentlich ist es wahlweise Kindesmissbrauchsdarstellung oder Terrorismus in äh einigen wenigen Fällen eigentlich auch der Jugendschutz. Aber das sind so die beiden Hauptpunkte. Und na ja, was man halt sehen kann, ist, dass, gerade diejenigen, die dann irgendso am lautesten äh rufen, hey, hey, wegsperren und alles super, das sind dann irgendwie die, bei denen am Ende des Tages sich herausstellt, dass die so ein Material besitzen.
Tim Pritlove
Also ist das jetzt schon ist das jetzt schon bewiesen, also ist er da jetzt schon verurteilt oder äh.
Peter Piksa
Na ja, also nein.
Tim Pritlove
Erstmal äh unter diesen Vorwürfen festgenommen worden.
Peter Piksa
Es jetzt zunächst einmal unter diesen Vorwürfen festgenommen worden. Es soll wohl aber dieses Material auch bei ihm äh tatsächlich gefunden worden sein. Ähm wie dann jetzt äh der Prozess in dem Zusammenhang ausgeht, das steht jetzt erstmal noch in den Sternen. Ähm was auch so ein bisschen merkwürdig ist. Also wenn ich mir mal die ähm die Meldung äh beim beim Independence äh durchlese, die ist äh gestern, also am Mittwoch, den vierten dritten veröffentlicht worden Ähm sie schreiben jedoch, dass die Festnahme, ich glaube, am dreizehnten März äh Quatsch dreizehnten Februar, bereits stattgefunden hat.
Tim Pritlove
Also mit anderen Worten, das Ding ist jetzt knapp zwei Wochen unterm Deckel gehalten worden.
Peter Piksa
Ja, es ist genau, die haben das wohl irgendwie zwei, drei Wochen im Giftschrank gehalten und jetzt kommt das irgendwie so raus. Hm, nichts Genaues weiß man da, aber das ist zunächst mal so die der Stand der Dinge.
Tim Pritlove
Wäre jetzt wahrscheinlich auch alles nicht so interessant, wenn dieser Patrick Rock nicht selber dafür äh eingetreten wäre, entsprechende Zensurfilter zu installieren.
Peter Piksa
Ja, aber auch da zeigt sich halt wieder mal das, also das das bringt halt einfach nichts. Ja, weil offensichtlich ist der Mann ja trotzdem irgendwie in der Lage gewesen, das Material äh äh sich zu besorgen. Gut, ob der das jetzt übers Internet gemacht hat, das weiß man nicht, ne? Das müssen wir erstmal schauen, ähm aber letzten Endes äh konnte er sich dieses Material halt verschaffen. So.
Tim Pritlove
Ja, ich würde vor allem auch sagen, dass die Leute, die jetzt immer da am lautesten danach schreien und immer mit der äh mit ihrer eigenen Integrität dafür äh werben diese Integrität äh nicht unbedingt äh auch immer so ohne weiteres nachweisen können.
Peter Piksa
Ja, ja, ich muss persönlich sagen, ich wäre da vorsichtig mit, mit, mit, äh, also, finde ich ein bisschen weit aus dem Fenster heraus gelehnt, aber, was definitiv, also was ich auf jeden Fall äh aus persönlicher Sicht unterschreiben würde, wäre, dass man gerade bei den Menschen doch mal ähm genau hingucken sollte. Ja, weil wir ich meine, das wissen wir ja auch. Das ist ein sehr emotionales Thema für viele und, Na ja, wie Politiker halt so ticken, das wissen wir auch. Ne, man versucht natürlich als Politiker immer dort äh zu punkten, wo ähm ja wo man am meisten abgreifen kann und, Ja, wer würde sich schon irgendwie öffentlich irgendwie für also pro Kindesmissbrauchsdarstellung äußern, ne? Macht natürlich keinen Sinn, das macht keiner. Und ähm ja in diesem Zusammenhang ist es natürlich ja, nur logisch, äh dass Politiker. Vorzugsweise ähm Law and Order, einnehmen, wenn es da entsprechend um die Bekämpfung solchen Materials geht, ne? Und dass da der der äh gesunde Menschenverstand nicht unbedingt mmh die Triebfeder hinter den Gedanken ist, das äh haben wir ja spätestens seit Zensursular gelernt und, wie wir sehen, äh ist das ja bei der bei der Pornfilter ähm Gesetzgebung in Großbritannien ja auch nicht anders, ne. Also das ist halt auch immer wieder so ein so eine weitere Iteration von es wiederholt sich irgendwie alles wie die Zombies, die kommen dann doch irgendwie immer wieder. Selbst wenn man glaubt, man hat's normal irgendwie erfolgreich bekämpft, dann äh kommt es ja dann doch immer wieder. Und wir hatten ja in Deutschland kürzlich auch so einen Fall, dass das war für mich persönlich so einer der neuen äh neuen Tiefpunkte. Ähm den die Union da aufgestellt hat. Es war ein ähm, ich glaube CSU-Abgeordneter, der ähm da sich irgendwie geäußert hat, von wegen, ja, äh es gäbe irgendwie kein Grundrecht auf äh auf Kinderpornografie. Gerade mal selber den Zusammenhang nochmal rausgucken, raussuchen, was hat der Zusammenhang gewesen ist, aber das das war also wirklich äh komplett daneben. Also wer der sich schon so äußert, der der macht eigentlich nur kindlich, dass er irgendwie diese ganze Debatte. Tal missverstanden hat und ja, als wenn in erster Linie hat ja niemand es käme ja auch niemand auf die Idee, Grundrecht auf Kindesmissbrauchsdarstellung oder auf den Bezugs, auf den Bezug von Kindesmissbrauchsdarstellungen zu äußern, also wirklich komplett daneben, ne? Aber das zeigt halt, da wird halt gerne mal gepoltert, weil ist halt ein emotionales Thema, da kann man mal schön auf die Kacke hauen Ja, in der Hoffnung, dass man da ähm politischen Zuspruch ähm vom Wählerfolg abgreift. Das ist da so die Logik.
Tim Pritlove
Schauen wir mal auf ein äh äh anderes Zensur äh äh Thema. So Ganz weit vorne ist ja immer der äh Iran gewesen, was so ähm des äh den Zugriff auf bestimmte Dienste betrifft, vor allem so Twitter und äh Facebook, ähm äh also allein schon deren Nutzung war grundsätzlich äh verdächtig. Halle, genau. Das Halal-Internet. Aber jetzt gibt's Meldungen, dass ich da was tun soll.
Peter Piksa
Ja, Irans Kultusminister Ali Djanati sagte Irans Regierung äh wolle die Internetzensur Gesetze Zitat anpassen, aktualisieren. Es klingt so ein bisschen nach dem, aus Deutschland gewohnten Neusprech äh hinsichtlich haben harmonisieren. Ist ja bei uns ein gerne verwendeter Begriff.
Tim Pritlove
Oh ja.
Peter Piksa
Und ähm na ja, also man muss sagen, wenn man sich mal diese Meldung hier anguckt, geht der Tenor eigentlich doch recht klar in Richtung Zensur zurückfahren. Ähm so wurde zum Beispiel halt gesagt, na ja, also erstmal äh sie tragen halt so ein bisschen Einsicht vor sich her Äh dem sie halt gesagt haben, also das mit der Internetzensur, das funktioniert so richtig ja doch nicht, weil wir stellen fest sehr viele Menschen arbeiten halt mit VPN Zugängen und verschaffen sich auf dem Wege halt trotzdem unzensierten ähm Zugang zum Internet, ähm eben Facebook, eben Twitter und was es da sonst noch so an, angeboten gibt. Ähm und man hat die Parallele gezogen zu Menschen, die auf ihrem Balkon Satellitenschüsseln. Installiert haben und um sich dort entsprechend ausländisches TV-Programm anzusehen, Das ist nämlich nach dem äh nach den aktuellen Gesetzen ebenfalls eine Straftat. Und ähm. Kultusminister äußerte sich dazu, dass. Das eigentlich also schlicht absurd und ja, also es ist absurd und sollte revidiert werden, äh so etwas strafrechtlich zu verfolgen, ich habe interpretiere das Ganze so als würden äh solche Vorgänge zur Zeit auch gar nicht strafrechtlich äh verfolgt werden. Und nehme dann insofern ähm ja wohlwollend zur Kenntnis, äh dass man da jetzt entsprechend Absichtsbekundungen ähm preisgibt. Die da entsprechend die die Zensur zurückfahren wollen, aber äh auch wir weisen darauf hin und so tat auch Reise online schon der Iran prüft ja auch schon seit Oktober zweitausendunddreizehn, inwieweit der Zugang zu Facebook und Twitter generell wiederhergestellt werden kann. Also äh naja, seit Oktober zweitausenddreizehn sind ja jetzt auch schon, auch schon äh rund ein halbes Jahr irgendwie äh ins Land gegangen und so richtig was passiert, ist da auch nicht, ne. Also ich bin da ein bisschen zwiegespalten. Auf der einen Seite wohlwollend, auf der anderen Seite.
Tim Pritlove
Ja, ich meine, ist die Frage, was man da jetzt reinliest, ne? Man könnte halt sagen, okay, sie kommen langsam äh sozusagen zur Besinnung und versuchen, äh nicht weiter zu äh verhindern, was sich nicht verhindern lässt. So, ja, also Ob das nun allerdings äh die Intention hat, äh sich mit seinen Bürgern besser zu stellen, ja? Oder einfach nur die äh das Abhören dieser Aktivitäten zu vereinfachen. In dem Moment, wo sie alle zwingen, VPNs zu verwenden, äh ist es zwar nicht unmöglich, aber technisch natürlich sehr viel aufwendiger, den den Zugang da in irgendeiner Form mitzuverfolgen ja? Weil man jetzt erstmal bei also man müsste sozusagen jedes VPN als solches, Und dann auch noch brechen können. Das ist zwar durchaus denkbar, dass äh zumindeste VPN-Zugänge so nicht so sicher sind, wie sie immer äh erscheinen. Aber es ist auf jeden Fall natürlich eine sehr individuelle Geschichte und von daher eben nicht so äh ohne Weiteres in in in Massen zu machen, als wenn man einfach den Zugang wieder freilegt und sagt, naja Gott, hier nimmt doch einfach das HTTPS, was sowieso seit zweitausendfünf im Eimer ist, äh dann da können wir uns dann einfach mal bequem äh dazwischen schnorcheln und äh wunderbar. Ich versuche, das ist jetzt so ein bisschen ähm, bisschen böse äh von mir, aber ist ja jetzt auch nicht so, dass wir äh sowas nicht schon an anderer Stelle gehört hätten. Und ich habe auch so ein bisschen gerade den Eindruck, dass alle so ein wenig darüber nachdenken, äh wie sie denn bitte jetzt die technischen Fähigkeiten der NSA zumindest irgendwie in etwa nachefen können, jetzt wo schon so viel. Generelles Problem dieser ganzen Affäre, ja, dass dass sie eigentlich jetzt wunderbar äh äh gezeigt haben, ähm wo sie A keine Skrupel haben und B, wo's aber auch überhaupt technische Möglichkeiten gibt, beziehungsweise überhaupt auch erstmal technische Lösungen für bestimmte Abhöransätze auch bekannt geworden sind, wo sich jetzt alle denken so, ah, hm, wäre noch gar nicht drauf gekommen und so und so schwierig ist das ja nun auch nicht. Ähm, und, Keine Ahnung, was hier dahinter steht, sollte äh das jetzt hier alles Blödsinn und Quatsch sein und der Iran äh kriegt auf einmal wieder ein positives Verhältnis äh zu seinen Bürgern und äh kriegt ein Verständnis von offener Kommunikation und sieht das auf einmal als segensreich an. Wenn allein mir fehlt so ein bisschen der Glaube.
Peter Piksa
Ja, ich persönlich mag da auch nicht äh unbedingt daran glauben und äh ich glaube, der Gedanke, den du gerade da ausgewalzt hast, der ist ja der letzten Veröffentlichung jetzt einfach komplett naheliegend. Also wer diese wer diesen Gedanken unterschlägt.
Tim Pritlove
Handelt fahrlässig.
Peter Piksa
Handelt Fahrlässig ganz genau, weil es ist es denkt halt natürlich, aus Sicht so einem so einem Geheimdienst oder äh generellen äh äh Interessenträgern, die da entsprechend anderer Leute äh Verbindungen abgreifen wollen, einfach schlicht die Transaktionskosten. Ähm wenn entsprechend die ähm, ähm Verschlüsselung oder oder VPN da nicht im Einsatz sind. Das ist einfach ein Kalkül, was man ähm bei so einer Beurteilung einfach mal äh ja, mit bedenken muss.
Tim Pritlove
Genau, aber vielleicht äh vielleicht liegen wir ja auch falsch und äh hier sind wirklich nur die besten Intentionen am Start, denn äh die besten Intentionen scheint ja auch äh United äh Internet äh gehabt zu haben, als sie äh ihren Benutzern äh hilfreiche Sicherheitshinweise in ihren Internet eingeblendet haben, ja? Man sorgt sich ja heutzutage bei deutschen Unternehmen doch äh sehr nachhaltig äh äh um seine Kunden neuerdings, Ja und.
Peter Piksa
In Germany, made in Germany.
Tim Pritlove
Das war das war jetzt wirklich auch einer der der totalen Brüller, da dachte ich auch irgendwie sag mal Leute, geht's noch? Also, was ist passiert? GMX und Web DE beide, ne? Haben so auf ihren Webseiten, also wenn man sich quasi bei GMX und Web DE einloggt, äh Code im HTML gehabt, der eben AdBlocker erkennt, Sprich, man versucht so etwas wie Werbung einzublenden, stellt fest, man, dass das nicht auf der Seite landet und äh reagiert dann entsprechend. Und äh ja, was stand dann da drauf?
Peter Piksa
Das ist einfach nur super. Also auf dieser Leiste äh kam dann die Meldung, die Sicherheit ihres Rechners wird durch einen Add-On eingeschränkt. Versehen mit dem Knopf, Sicherheit wieder herstellen.
Tim Pritlove
Was passierte dann eigentlich, wenn man da drauf.
Peter Piksa
Ja, also alle Benutzer, die dort draufgedrückt haben, ähm bekam eine Seite präsentiert, so eine so eine Hinweisseite. Auf der es da hieß, ja sie sie haben Artblocker installiert, also diese Art Blocker sind ja für den Browser und die die wurden das ist so super als Bad On bezeichnet.
Tim Pritlove
Oh
Peter Piksa
Ja? Und ähm ja, wie wie die Meldung schon äh, investiert sagt man ja hier Sicherheit wieder oder intuiniert, Sicherheit wieder herstellen. Das heißt also, man sagt diese, diese AdOns oder bad uns, äh würden also die Sicherheit einschränken, so dass also. Die Empfehlung, die einzig naheliegende Empfehlung und Handlungsoption sein kann, bitte einmal entfernen. Ähm. Macht den ganzen Vorgang so ein bisschen aus meiner Sicht sehr fischi. Ähm weil man sich natürlich mal vor Augen äh vor Augen führen muss, dass äh United äh Internet da mit Methoden arbeitet, die man eigentlich mehr so aus äh, von den Leuten kennt, die, verbreiten und äh versuchen, auf mit solchen Methoden irgendwie die die Rechner von ähm nichtsahnenden Menschen dazu kompromittieren, äh indem man eben unter anderem, versucht die Browserleisten also falsche Browserleisten, unterzujubeln, ne? Weil dies dahinter ist natürlich okay, wenn mein Browser mir hier so eine Meldung gibt, ja und mein Browser ist ja das Ding, dem ich vertraue. Dann wird das schon Hand und Fuß haben. So und so kam es also dann äh dazu, dass ähm laut Reise sollen wohl doch recht viele Benutzer sich über diesen Vorgang geärgert haben und da ähm, Eine Angstkampagne zur Absicherung der eigenen Werbemaßnahmen dahinter vermutet haben. Ähm was aus meiner Sicht plausibel klingt, ähm denn zum einen halte ich diese diese Meldung und das das Gebaren äh von Seiten äh United Internet dafür sehr fragwürdig, sodass ich dem der Aussage Angstkampagne also doch durchaus zustimmen würde. Ähm und zum anderen ist natürlich auch grade der Aspekt der Werbemaßnahmen oder oder Werbeeinnahmen spielt da glaube ich eine ganz entscheidende Rolle. Äh sowohl GMX als auch Web DE schalten natürlich äh Werbung auf ihrer Webseite. Und äh finanzieren damit äh entsprechend auch ihre Dienste. Und die haben natürlich ein vitales Interesse daran, dass die Menschen, äh die da ihre Seiten aufsuchen, ähm möglichst viele Werbungen zu sehen bekommen, und na ja, da ist es halt nur naheliegend zu sagen, ja, also hier dieser Werbeblocker, der gefällt uns aber mal gar nicht. So, ähm ist aber. Gar nicht so schlimm, also Jörg Lammers, der Sprecher der Eins und Eins Internet AG, die wohl auch Mitglied ist bei United Internet. Ähm wie ist halt diese äh diese Beschimpfung von wegen Angstkampagne zurück? Dem äh mit dem Vermerk, ich finde die Unterstellung, wir würden täuschen, geht zu weit. Ja, kann man mal so auf sich wirken lassen? Ähm ja, einfach mal sacken lassen und mal selber drüber nachdenken. Ich glaube, äh. Ja, gut. Äh, wird aber noch eine Runde amüsanter das Ganze, weil ähm wie heiße halt auch schreibt, ähm kurioserweise gehört das äh von Webdee als potenzielles Bad on bezeichnete Programm AdBlockplus. Den Vertragspartnern von United Internet. Ja? Also das heißt. United Internet macht einen Werbedeal mit dem äh mit dem Programm AdBlockplus. Also mit diesem Browser-Plug-in. Plus Artblockpluss ist ein Werbeblocker. So und die haben also in Vergangenheit schon einen äh Werbevertrag mit denen gemacht. Wir wissen AdBlock Plus ähm sagt zwar prinzipiell, okay, wir sperren halt alle Werbung. Hat dann aber mit einigen Anbietern ähm trotzdem nochmal Verträge laufen, die dann besagen, eure Werbung lassen wir trotzdem durch. So und United Internet ist wohl einer dieser Vertragspartner von von AdBlock Plus.
Tim Pritlove
Mhm. Hatten wir ja auch hier vor einigen Ausgaben diesen.
Peter Piksa
Wir auch vor einigen Ausgaben, genau. Weiß grad nicht, welche Folge das war, aber das lässt sich ja suchen. Ähm und jetzt kommt es jetzt trägt es sich also zu, dass obwohl äh United Internet äh mit AdBlock Plus vertraglich gebunden ist. Sie trotzdem das Plugin von denen blocken. Beziehungsweise die Benutzer auffordern, das Plug-in zu installieren.
Tim Pritlove
Ja gut, das überrascht mich jetzt nicht, weil sie sind natürlich ohne AdBok plus immer noch besser dran, weil da können sie halt einfach einblenden, was sie wollen, zumal sie ja eben für diesen Janus Dienstag von da müssen sie ja dann quasi nochmal dafür zahlen, dass sie dann eben durchgehalten werden. Also apropo Plus. Äh das ist ja auch, sagen wir mal, im Zentrum dieser Kritik äh gewesen und die besteht ja immer noch äh schafft's ja mit dem Versprechen, einem Werbung vom Hals zu erhalten und damit auch potenzielle Sicherheitsprobleme im Übrigen, ja, also ist ja nochmal ein ganz anderer Aspekt, dass ich eigentlich tendenziell solche AdBlocker durchaus auch verwende, um sich einfach so potenziellen Surpatikcode erstmal zu ersparen. Ähm. Dass die ja im Prinzip diesen dann gewonnenen Kanal von so zu viel, tausend, hundert, tausend Millionen Usern. Ich weiß nicht, wie viel Leute das benutzen dann quasi hintenrum wieder verkaufen, ja? So so ein bisschen so wie ein Beispiel aus der Netzneutralität, ja? So wir übernehmen jetzt hier den Bildschirm quasi und äh verkaufen das dann hinter hintenrum weiter, auch an der Stelle äh ja hat das sozusagen einen Einfluss auf die Offenheit und die Firmen ergeben sich quasi so ein bisschen äh ja, ne, so ein bisschen wie Schutzgeld äh Erpressung, so rüber, ne? So hier äh ja äh schönes Werbeprogramm haben sie da äh wäre schade, wenn dem da was äh passieren sollte, und ähm das ist schon äh alles ein bisschen skurril. Na ja gut, da haben wir schon äh ausführlich drüber äh diskutiert hier beim Abend nachgeschaut in äh Lokbuchnetzpolitik, Ausgabe siebzig äh mit dem schönen Titel loben und Strafen.
Peter Piksa
Loben und strafen. Ja, äh DE wurde ja auch gestraft, wo wir auch schon wieder ähm bei dem wären, was dann danach passiert ist. Man hat sich natürlich dann Gedanken darüber gemacht, äh inwieweit das denn hat und Fuß hat, was die Benutzer da so schimpfen. Und ähm hat dann. In in unermesslicher Gnade ist man dann hingegangen und hat gesagt, okay, also wir wir schreiben jetzt mal von Web DE da. Von Gamings davor, sodass also dem Benutzer gegenüber kenntlich gemacht wird, hey, dieser Hinweis kommt nicht von deinem Browser, sondern das ist eine Ansage, die machen wir, die macht Webde, die macht GMX DE. Was aus meiner Sicht eigentlich bloß das äh Mindestmaß an praktizierter Schadensbegrenzung bei gleichzeitigem Versuch der Gesichtswahrung ist. Also ich muss sagen, ich finde das Ganze irgendwie absurd und peinlich, aber na ja.
Tim Pritlove
Ja, das ist vor allem auch äh. Einfach was es auch wieder sehr schön äh zeigt in meinen Augen ist, dass einfach in dem Moment, wo man solche kostenlosen Dienste an äh bietet, ja, und quasi also die die zugänglich Machung dieser Dienste äh primär über so einen kostenlosen Dienst macht, also man kann da ja auch Geld bezahlen, so ist es ja nicht. Ich weiß nicht, ob dann äh dieser Hinweis nicht äh erschienen wäre. Das äh zieht sich jetzt meiner Kenntnis, aber ich gehe mal davon aus, dass der Großteil der User dort eben kostenlose E-Mail-Accounts äh vorhält. Das ist natürlich in dem Moment, wo die Firma ein Interesse hat, dann ihr Geld wieder also, zwangsläufig natürlich auch hat. Ja, also dann quasi über Werbung, versucht das Ganze zu refinanzieren, sie dann eigentlich gegen ihren Kunden arbeiten muss. So und das zeigt es an der Stelle. Und dann geht halt so ein Marketing oder so ein Werbeabteilung, wer auch immer da jetzt die treibende Kraft war. Den geht dann halt einfach ähm so ein bisschen die Pferde durch. Und der Laden ist an sich in seiner Struktur nicht in der Lage, da richtig abzuwägen. Ich meine, das ist jetzt einfach auch ein Fehler innerhalb ihrer Firmenstruktur, dass da einfach. Ne, Leute einfach zu viel Einfluss haben, aber es überrascht auch nicht, weil es natürlich die Leute sind, die das Geld reinbringen. Und in jeder, in jedem Unternehmen, zwangsläufig, da wo's Geld reinkommt, da.
Peter Piksa
Die haben halt was zu sagen.
Tim Pritlove
Die haben halt was, zu sagen und da äh die bestimmen dann letzten Endes eben auch den Lauf der Dinge und das ist dann eben das, was man selber als Kunde immer wieder abwägen muss in dem Moment, wo man halt nicht wirklich der Kunde äh ist, läuft man immer wieder in solche Probleme. Gut, das mag jetzt vielleicht nicht ähm, Der größte Scam aller Zeiten sein, aber ich finde, sowas gehört sich nicht, insbesondere vor dem Hintergrund, dass einfach, wenn sie sich wirklich über ihre Sicherheit Gedanken machen, dann sollten sie sich mal lieber darüber Gedanken machen, äh wie sie ihre Zugänge zu ihren Maildiensten und Webseiten et cetera entsprechend absichern. Das hatten wir ja jetzt hier auch schon, das Ganze Debatte, und die Problematik der unverschlüsselten äh E-Mail-Übertragung und Zugänge. Da ist auf jeden Fall noch genug Arbeit zu leisten und darauf könnten sie sich, meiner Meinung nach, mal konzentrieren.
Peter Piksa
Wobei man ja lobend erwähnen muss, dass sie da ja inzwischen doch tätig geworden sind. Also bis zu dem ähm Bullshit made in Germany Vortrag auf dem dreißig C drei äh vom Linus Neumann. Ähm war ja nichts geschehen. Und anschließend dann doch. Also das fand ich persönlich recht interessant. Der Vortrag selber auf dem dreißig C drei äh war ja doch äh proppenvoll und ähm auch im im Nachgang wurde doch sehr stark darüber berichtet. Also ich kann mich zum Beispiel noch daran erinnern ähm heiße und Zeit online hatten sogar das Video mit eingebunden, dass man sich auf YouTube ja ansehen konnte. Und ähm die Klick äh Zahlen auf dem Video sind ja doch beträchtlich. Und, Interessanterweise dauerte das dann auch nicht mehr lange, dass die dann hingegangen sind und gesagt haben, ja, okay, also wir äh wir machen das jetzt, Wir machen jetzt hier äh verschlüsselte Zugänge zu unseren zu unseren Postfächern und alles gut, Es hatte so ein bisschen den Eindruck, als ähm.
Tim Pritlove
Ja, das sagen sie, dass sie das tun, aber haben sie's schon getan?
Peter Piksa
Als hätte der Tritt gesessen. Na ja, also ich weiß zum Beispiel T Online ähm wird jetzt Ende März ähm nicht also nicht verschlüsselt authentifizierten äh Login zum Postfach komplett äh nicht mehr erlauben.
Tim Pritlove
Ja gut, das äh ist ein Ankündigung. Ja, also äh das.
Peter Piksa
Aber glaubst du, glaubst du, dass sie, dass sie nach dem Traral, was sie jetzt gemacht haben? Ich meine, die haben ja wirklich ähm du musst ja mal vor Augen halten, wenn du als Tier Onlinekunde ähm dein ähm Postfach abrufst. Und du machst das ohne aktivierte ähm Verschlüsselung. Kriegst du 'ne Mail, die besagt hallo lieber Benutzer, du machst das hier grade ohne Verschlüsselung und das wird jetzt ab Ende März nicht mehr funktionieren. Und das geht ja dann doch an recht viele Menschen raus. Glaubst du oder hältst du das für plausibel, dass die, Nach all dem Trara, was sie gemacht haben, dann doch noch ein äh Rückzieher machen.
Tim Pritlove
Ja was heißt ein Rückzieher? Es hat auch äh also ich meine, es gibt äh gibt hier noch einen anderen schönen äh Artikel, den man jetzt so noch nicht auf der Liste hatten, aber der mir jetzt gerade gestern äh vor die Nase kam, äh gab's halt so 'n Test von Web-Hoster, das geht jetzt noch 'n bisschen weiter als nur E-Mail-Service, aber da ist ja auch Eins und Eins und so weiter auch, äh, mit vertreten. Ja? Dass ihr einfach äh bis heute äh allen äh Webspace äh FDP-Zugänge anbieten So und teilweise äh bei den kleineren Ostern noch nicht mal überhaupt verschlüsselte Alternativen bieten, Ja, das heißt, man kann nicht äh äh es FDP machen oder FDP äh Setra. Ähm und das, wo sie es tun, teilweise solche abenteuerlich kurzen Schlüsselängen, also so tausendvierundzwanzig Bitkies und so weiter, also einfach, was auch technisch outdated ist, so, ne. Ich habe auch so äh die letzten Wochen äh mal ähm häufiger äh angefangen ähm. Webseiten so auf ihre SSL Qualität hin zu äh testen. Es gibt ja hier solche ähm SSL, äh Laptop com. Hier zum Beispiel so ein SSL-Test, wenn man die mal auf so Webseiten äh abwirft, ja, die dann halt da mal gucken, ja, welche Kryptoverfahren werden denn bei euch hier im Handshake tatsächlich unterstützt, welche Kryptoverfahren gehen denn hier? Habt ihr überhaupt das neueste TLS? Also nur weil da HTTPS dran steht. Ja Entspricht es noch nicht allen Regeln der Kunst und teilweise sind die einfach so viele Jahre hinterher, beziehungsweise zeigen auch einfach, dass dieses ganze äh wir haben auch für Sicherheit zu sorgen und wir sind hier äh in der Pflicht, weil wir eben das technische Angebot machen, dass es einfach, Selbst wenn es in der Technik- und Adminabteilung äh angekommen ist, ist irgendwie halt äh so an der Marketingabteilung irgendwie nicht äh vorbeischafft. Und das ist da ist einfach meiner Meinung nach noch ein großer Weg zu gehen und nur weil jetzt Dinge eingeführt werden, die sie schon seit zehn Jahren äh machen sollten, finde ich, braucht man jetzt nicht gleich aufhören, auf sie einzuschlagen.
Peter Piksa
Nee, das nicht, das nicht, aber man muss ja loben und strafen.
Tim Pritlove
Genau, haben wir jetzt hier mitgemacht.
Peter Piksa
Haben wir hiermit gemacht. Äh, Ich habe da aus aus eigener Geschichte auch nochmal so eine Anekdote. Ähm auch ich habe ja ähm ein ein Anbieter für für E-Mail und auch für Webspace und ja ich habe dann auch mal bei denen nachgefragt. Wie das denn eigentlich ausschaut mit Anmeldung? Äh, gesicherte Anmeldung an den Mails selber. Ja und dann hieß es dann zunächst, ja, mhm, nee, äh, also sie müssen, sie müssen das ausschalten. Also du musst dir vorstellen, ich habe mich an den Support bei denen gewandt, nachdem ich da äh also die die äh verschlüsselte Authentifizierung bei in meinem äh Mailclint eingestellt habe und stellte halt fest, es klappt nicht. Und dachte zunächst, oh, ich habe da irgendwas falsch gemacht. Habe da mal die Supportnummer bei denen gewählt, Techniker dranbekommen, ihnen den Fall geschildert und der sagte dann, ja dann müssen sie das ausstellen. Woraufhin ich dann entgegnete, ähm nee, nee, also sie haben mich, glaube ich, falsch verstanden. Ich ich will ja verschlüsseln. Das ist ja ein Intention dessen, was ich hier mache. Ach, ach so. Ja. Ja nee, das geht nicht. Sagte ich. Also, das heißt also, Net bietet, der Anbieter ist. Das heißt also, NETB-Kunden müssen das hinnehmen, dass äh jeder äh Anmeldevorgang unverschlüsselt, und somit den Aktivitäten anderer Leute ja quasi dafür brach liegt, dann merkte man so richtig, wie bei dem Kollegen so ein bisschen im, im Kopf die äh die Räder rasselten. Dann kam ein kurzes, leises Ja und daraufhin fragte ich dann, na und wie finden sie das? Immer wieder Schweigen im Walde. Ja, nicht so gut. Ja und jetzt frag dich, ja schicken Sie mal eine Anfrage. Schicken sie mal eine Anfrage an Netbeat. Dann habe ich da noch gemacht, den Fall geschildert und ähm also dann entsponnt sich wirklich ein ein Dialog ähm. War gar nicht so unglaublich lange, aber der hat es doch dann tatsächlich in sich, weil zunächst sagte man mir, ja, also wir arbeiten daran, das das wird jetzt bald gemacht. Ähm beziehungsweise nein, also erstmal hatte ich die Abfrage geschickt und dann kam, glaube zwei oder drei Wochen gar nichts. Also wirklich komplett nichts, Und nach zwei, drei Wochen frage ich dann nochmal nach und da kam dann ein Einzeiler zurück, äh wo es hieß, ja, ja, wir äh wir arbeiten daran. Ähm, okay, Das ist jetzt alles, ähm was ihr mir in dem Zusammenhang zu zu berichten äh äh glaubt. Ich sage, wie wie ist denn da der Stand der Dinge, zu wann ist denn da mit Besserung zu rechnen? Ja, äh könne man noch nicht sagen. Und jetzt kommt's. Dann hatte man mir aber gesagt, Ja, also, wir haben doch alle unsere Kunden darauf hingewiesen, dass man für sein Postfach doch bitte ein starkes Passwort wählen sollte. Und und sie haben ja äh äh also wenn ihnen, also jetzt, Halt dich fest. Die haben mir geschrieben, wenn ihnen also Sicherheit so wichtig ist, warum haben sie das denn, warum haben sie denn ihr Passwort dann noch nicht geändert? Und dann dann knallt sie mir in der E-Mail, die sie mir geschrieben hat, mein, mein, mein Passwort im Klartext rein. Also wenn ihnen.
Tim Pritlove
Mein Gott.
Peter Piksa
Du, ich dachte, ich falle vom Stuhl. Also wenn ihnen das so wichtig ist, warum haben sie denn ihr Passwort noch nicht geändert, wie ich sehen kann, ist ihr Passwort noch immer und dann zack, zack, zack, das Passwort im Klartext. Ich habe ich habe die, weißt du, Timmy, ich saß so vor dieser E-Mail. Lehnte mich erstmal in meinem Stuhl zurück und dachte mir so, okay, was machst du jetzt? Also ich habe dir dann gesagt, hören sie mal, junge Dame, Inzwischen hatte ich damit mit einer Dame zu tun. Jetzt so, ich will ihn ja persönlich nicht zu nahe treten, aber ähm ihnen ist schon klar, dass sie gerade irgendwie kenntlich gemacht haben, dass äh, die Passwörter möglicherweise aller ihrer Kunden bei ihnen im System irgendwie im Klartext vorliegen oder zumindest aber in einer Art und Weise vorliegen, dass man daraus auf das auf das Klartext Passwort schließen kann. Im Übrigen haben sie mir das mein Passwort gerade im Klartext per Mail verschickt. Was auch nochmal lustig ist, weil sie ja ganz am Anfang, das habe ich, das habe ich gerade äh leider unterschlagen zu äh ähm unterschlagen. Ganz am Anfang haben sie ja gesagt, hm. Sie können ja stattdessen äh PGP benutzen. Also um das um das eigentliche Problem, könnte man ja, ließe sich erlösen mit PGP, aber worauf ich dann entgegnet habe, also mir geht's um die Transportwegverschlüsselung, den Anmeldevorgang zum Mailserver und nicht um die Inhaltsverschlüsselung. Also man merkt, da ist, wie du schon richtig festgestellt hast, doch einiges im Argen, also grade auch was die, was das Verständnis angeht. Und ja, auch den den Umgang mit solchen Dingen. Ja und Ende vom Lied war, äh ich hatte der dann halt also mich darüber beklagt, dass das dass die ja offensichtlich da die Passwörter im Klartext speichern und äh hm, Ja, dann kam eine Mail zurück. Alle arbeiten an der äh an der Transportwegverschlüsselung werden eingestellt.
Tim Pritlove
Oh, super, ich, ich vermute mal, du bist ja jetzt nicht mehr Kunde.
Peter Piksa
Ich bin momentan tatsächlich bin ich immer noch Kunde, äh aber ähm na ja. Ich werde da, ja.
Tim Pritlove
Ich hab da jetzt mal so im Hintergrund mal kurz diesen SSL-Checker auch mal auf D E angeworfen und wie du dir sicherlich denken kannst, ist es also äh das Tier ist einfach ein ein fettes, rotes F ja, also so A, das ist so das, was man eigentlich erzielen will, aber hier äh wird irgendwie einfach nichts äh und unterstützt. Also noch alte SSL-Versionen, alle Bekannten, äh Angriffsszenarien sind möglich, kein kein Tee ist, eins, zwei, et cetera, kein einfach nichts äh tonnenweise äh.
Peter Piksa
Da weiß man, was man hat.
Tim Pritlove
Ja genau, dann machen wir hier mal einen schönen Link mit äh artschaft dot org und dann schauen wir mal, ob weiter, wie sich äh das Unternehmen künftig äh das so vorstellt mit der Sicherheit. Na gut.
Peter Piksa
Also ich persönlich würde ja, ich würde ich würde ja sagen, okay, ist scheiße gelaufen. Wenn sie zumindest. Glaubhaft darstellen könnten, dass sie an dem Problem arbeiten. Ja, also wenn ich dort mit Menschen zu tun hätte, die die sagen, Herr Pixer, wir haben das Problem, sie haben Recht.
Tim Pritlove
Ja, tut uns leid, ist uns nicht aufgefallen.
Peter Piksa
Scheiße und wir wir arbeiten dran. Wir wollen das jetzt wirklich verbessern und auch wirklich dir glaubhaft versichern können, dass sie da was tun, ja? Aber wenn ich dann sehe, zunächst heißt es, ja, wir arbeiten dran. Und dann äh heißt das, ja äh nutzt doch PGP, was das eigentliche Problem gar nicht adressiert, ja. Und und dann heißt es, ändere dein Passwort und ich der Dame sage, selbst wenn ich das Passwort ändern würde, ist die Transportwegverschlüsselung noch immer nicht dargestellt. Also selbst wenn ich hier ein Passwort, einen Sieben-Kilometer langes Passwort wählen würde, ja, dann ist das trotzdem, sofort mitzuschneiden. Das das bringt überhaupt gar nichts. Äh also.
Tim Pritlove
Ja. Aber dann noch aber dennoch die Passwörter auch noch im Klartext zu speichern. Ich meine, da hört's dann wirklich einfach mal.
Peter Piksa
Ja und und so und so so äh doof sein, dass dem Kunden auch noch zu zeigen, dass man das tut. Na ja, das ist also wirklich.
Tim Pritlove
Ja unglaublich. Gut, lass uns weitermachen ähm was haben wir denn noch schönes.
Peter Piksa
Wir kommen aus meinem persönlichen Boulevard zur zum Weltboulevard, beziehungsweise, ja, doch kann man sagen, Welt-Boulevard. Wir haben da zwei schöne Meldungen mal aufgegriffen. Es gab eine ähm RS RSA äh Security Konferenz. Bei der ähm ein der, der RSA-Bus ja aufgetreten ist und gesagt hat, ja ich sehe, Leute, was wollt ihr denn eigentlich? Ja, natürlich arbeiten wir mit der NSA zusammen, ist doch schon irgendwie seit zehn Jahren bekannt. Aber das eigentlich Interessante an diesem Vorgang ist, dass dann ein hohes Tier von Microsoft, nämlich Scott Charni, der dort äh Chef von Microsofts äh äh Sicherheitsabteilung äh, Trust worty. Trust worthy Computing ist, ähm sich seit dieser Veranstaltung wie folgt zitieren lassen muss. Es gibt keine Hintertüren in unseren Produkten. Das wäre wirtschaftlicher Selbstmord. Ich sage mal so, die interessierte Weltöffentlichkeit nimmt dieses Statement zum vierundzwanzigsten Februar zweitausendundvierzehn zu Protokoll, dir wir werden gegebenenfalls zu einem späteren Zeitpunkt noch einmal daran erinnern.
Tim Pritlove
Ja, aber eine ist aber RSA macht da auch jetzt keinen besonders guten Eindruck. Ich meine, es steht immer noch dieser Vorwurf im Raum, dass sie äh sich dafür hätten bezahlen lassen von der NSA. Da unsichere äh Krypto in die Welt zu setzen. Dazu hat er sich.
Peter Piksa
Millionen, glaube ich, ne?
Tim Pritlove
Was habe ich gerade gesagt?
Peter Piksa
Zehn Millionen waren das, glaube ich, die sie dafür gekriegt haben.
Tim Pritlove
Ja, habe ich gerade eine Zahl gesagt. Ich weiß.
Peter Piksa
Nee, aber ich habe das nur eingefügt.
Tim Pritlove
Ja, ja genau, zehn Millionen. Und ja. Dazu haben sie sich aber jetzt nicht geäußert, ne? Und hat Microsoft sich zu diesem NSA Krieg geäußert, daher haben sie sich zu geäußert, ne?
Peter Piksa
Ja ging daraus aber jetzt auch nicht wirklich viel mehr draus hervor, aus.
Tim Pritlove
War so nach dem Motto, wenn wir eine geheime Hintertür reinmachen, glauben sie, dass äh wird das dann wirklich NSA-Key nennen? Glauben wir Microsoft, dass sie eine Dummheit begehen würden?
Peter Piksa
Äh halte es ja so, Glauben gehört in die Kirche. Ähm will mich da eigentlich mehr ich, also ich will bei solchen Fragen nicht wirklich auf Gläubigkeit angewiesen sein, sondern auf äh Verlässlichkeit. Das heißt, ich möchte prüfen können, was da eigentlich los ist Gut, dass wir kommen dann in so eine Grundsatzdebatte rein, ist der Quelltext verfügbar, ist ja nicht verfügbar, aber ähm Also damit, mit Glaubensfragen zu kommen, das das klingt für mich so wie der letzte Strohhalm, an dem man sich da ergreifen kann, so nach dem Motto, hey, Leute, also, Also das wäre doch wirklich wirtschaftlicher Selbstmord. Das müsst ihr doch auch einsehen, oder? Ich meine, ja klar wäre das äh wirtschaftlicher Selbstmord, aber wenn man das Vertrauen halt. Also Vertrauen ist ja etwas, muss man sich doch erarbeiten. Und äh das gelingt einem, glaube ich, nicht, wenn man halt einfach nur behauptet, sicher zu sein. Und wenn man behauptet, ja mit niemandem zusammenarbeit äh zusammenzuarbeiten, obwohl man noch weiß, dass. Äh Microsoft äh ein Unternehmen ist, was äh US-amerikanischer äh äh unterliegt. Und, Ist doch da entsprechend ähm Gesetze gibt, die einen dazu verpflichten mit den äh Behörden äh zusammenzuarbeiten. Na ja, Aber wie gesagt, wir wir halten dieses ähm denkwürdige Zitat mal. Meißeln das mal in Stein, versehen mit dem aktuellen Datum und wir werden da gegebenenfalls dann in naher oder ferner Zukunft nochmal darauf verweisen.
Tim Pritlove
Ja, kommen wir zum äh Abschlussthema. Da geht's dann mal hier äh um uns äh nahestehende Organisationen konkret den Chaos, Computerclub, Konstanz kurz. Die eigentlich geladen war, wie so häufig äh äh in letzter Zeit mal einen Vortrag äh zu halten und dies am ehrwürdigen Institut der Hochschule Karlsruhe, Aber dazu kam's dann irgendwie nicht.
Peter Piksa
Nicht, weil es kamen zwanzigtausend verschickte Liebesmails dazwischen, Hintergrund ist folgender. Ähm während des dreißig C3, äh der ja in Hamburg stattgefunden hat, äh waren die Benutzer äh ja auch im Stande, sich dort ähm WLAN-Zugang zu holen und es gab auch Internets. Ähm. Stellt sich raus, dass über diesen Zugang ähm Zugriff auf den Mailserver der Hochschule Karlsruhe, stattgefunden hat. So und was ist dann passiert? Also jemand hatte sich dort einen Scherz erlaubt und wie gesagt, zwanzigtausend Liebesmails von Studenten an Studenten, von Studenten an Professoren, von Professoren an Hochschulmitarbeiter und eigentlich jeder mit jedem. Äh verschickt, die dann so äh beinhaltet Nacht. Oh süßer, ich habe dich da irgendwo gesehen und ja, ich habe meine Augen einfach nicht mehr von dir lassen. Äh dein dein Blick, also dein Anblick betörte mich und ja, so Zeugs halt.
Tim Pritlove
Also von Studenten an Professoren heißt, die Mails wurden so verschickt, dass sie sich als legitime Absender äh der Hochschule Ausgaben, also es wurden Mails erzeugt, die tatsächlich äh die original Adressen der Personen, die sie hier versuchten darzustellen, trugen. Und das, weil dieser Mailserver der Hochschule Karlsruhe entsprechend konfiguriert war, das zuzulassen.
Peter Piksa
Misskonfiguriert, kann man sagen. Es gibt ja normalerweise ist es ja so, wenn ich eine Mail verschicken möchte, muss ich ja erstmal bei dem Mails aber anklopfen und ähm Mitbenutzernamer und Passwort sagen, wer ich denn eigentlich bin. Daraufhin prüft dann der Mailserver in seinem Katalog äh ist denn der Benutzer ähm auch tatsächlich, in mein, also einmal habe ich den überhaupt, ist ja bei mir geführt und zweitens ist das äh das Passwort, was er mir gerade präsentiert, auch das Richtige, So, jetzt stellt sich aber raus, die Konfiguration bei dem betreffenden Mailserver äh soll wohl so stattgefunden haben, dass wenn du. Als ähm jemand Also wenn du dich gegenüber dem Mailserver als jemand angemeldet hast, der äh der Student ist oder halt von diesem Mailserver generell verwaltet wird und du an jemanden verschickst, der auch von diesen Mailserver verwaltet wird. Und das ist ja gerade hier der Fall, ne, Student an, Professor, wir sind ja beide vor den Mails selber verwaltet. Ja, dann sagt der Melzer, ach, schönen Tag, ja. Geh doch mal weiter. Brauchst dich gar nicht großartig authentifizieren. So und diese Misskonfiguration wurde also dann hier als Sprungbrett genommen, um ja dann halt mal ein paar Liebesgrüße zu verschicken. Ist doch nett. Eigentlich wurde aber nicht so nett äh wahrgenommen äh die Hochschule sagte dann, ah, das ist aber, also die fand das halt gar nicht lustig. Da gab's dann tumultartige Szenen, Verwerfungen und nee, fand man jetzt nicht so gut, sodass man sich dann am Ende gesagt hat, ja, wir verklagen doch jetzt mal den CCC. Und die äh CCC-Sprecherin äh konstant zu kurz. Die laden wir jetzt mal kurzerhand aus unserem Programm lange Nacht der Mathematik aus.
Tim Pritlove
Geht ja nicht, weil der CC ist ja schuld, weil Leute auf dem dreißig C3 Internet Zugang äh gehabt haben und wie kann man denn wie kann man den Leuten nur Internetzugang geben, dass das dass das Ganze.
Peter Piksa
Ja, aber selbstverständlich, ja. Ja, wie, wie kann man denn? Und dann auch noch ohne Vorratsdatenspeicherung, sodass man nicht herausfinden kann, wer da eigentlich äh seine Finger im Spiel hatte.
Tim Pritlove
Man hat wirklich das Gefühl, die leben so, ich weiß nicht, das ist so ein Verhalten, das war so vor zehn Jahren war das irgendwie so äh opportun so, also opportun war's.
Peter Piksa
Ist das richtige Wort, ja?
Tim Pritlove
Ja, also aber es war auch vor zehn Jahren schon nicht angemessen, aber es war, sagen wir mal üblich, ja? Also es war einfach äh da da fehlte einfach noch das Verständnis gerade jetzt bei Unternehmen, die so das erste Mal ihren Zeh ins äh in den Internetteich reingesteckt haben, denen fehlte einfach das Verständnis zu unterscheiden, wer bedroht mich jetzt hier eigentlich äh wirklich? Inwiefern ist das so mein eigenes Verschulden? An dieser Stelle ist es einfach so, wenn man einen Mailserver. So betreibt, dann muss man sich über sowas einfach nicht wundern. Und Liebesbriefe, das ist, sagen wir mal, nochmal das das geringste Problem was da am Ende dabei rauskommt. Also hier hätte sehr wohl auch Hardcore-Scaming stattfinden können. Hier hätte man wirklich ganz bewusst Identitäten äh äh ausnutzen können, um damit, was weiß ich, für äh ein Verhalten und Vertrauens äh Hindergehung zu begehen. Aber so etwas, was dann auch massenhaft stattfindet, das ist halt einfach mal in der Kategorie Schulstreich äh abzubuchen. Insbesondere vor dem Hintergrund, dass es sich hierbei, wenn ich das richtig sehe, um eine Technische Universität handelt, Ich meine, wir reden ja jetzt hier nicht irgendwie wir reden ja jetzt hier nicht von einem, was weiß ich, Philosophieinstitut oder sowas, ja? Das einfach mal, unfassbar, dass äh eine universiche überhaupt, also in generell egal, was eigentlich für Fakultäten sind, also eine Universität hat sich einfach eine kompetente IT, zu leisten. Punkt. Ja, das ist einfach äh. Ihr seid äh ihr seid die Elite ja, benehmt euch auch entsprechend. Äh bitte, ja.
Peter Piksa
Also äh sie hätten eigentlich die Hochschule Karlsruhe. Aus meiner Sicht hätte eigentlich äh Anlass dem CSC mal äh schön danke zu sagen. Danke dafür, dass ihr uns auf unserer Verkacken hier hingewiesen habt.
Tim Pritlove
Ja gut, es war ja jetzt keine Aktion des CCC. Also es ist ja jetzt auch nicht so, dass der CCC sich jetzt mit diesem Vorgang irgendwie gebrüstet hätte oder gesagt hätte, hey ihr ihr seid ja alle äh doof und riecht nach Lulu, sondern dem CCC war diese ganze.
Peter Piksa
Attackieren, wenn sie schon den CCC attackieren, ja, also wenn wenn sie von vorneherein äh mit dem Gedanken sich tragen, dass das muss der CCC gewesen sein, ja. Äh dann hätten sie ja genauso gut auch sagen können, hey, äh danke, dass ihr uns auf unser Verkacken hingewiesen habt. Äh haben wir nicht gesehen. Äh vielen Dank.
Tim Pritlove
Ja gut, aber ich meine, der CCC war das sowieso nicht, sondern irgendjemand, der auf einer Veranstaltung war, ja. Ich meine, wenn wenn jetzt äh wenn jetzt hier irgendwie das das das WLAN der deutschen Messe AG in Hannover ausgenutzt worden wäre, ja. Äh hätten sie dann fortwährend auch irgendwie die Vertreter äh der deutschen Messe AG ausgeladen, also es ist einfach vollkommen gaga.
Peter Piksa
Das ist ein guter Gedanke, das hätten sie nämlich höchstwahrscheinlich eben nicht gemacht, ja.
Tim Pritlove
Ja, das hätten sie wahrscheinlich nicht gemacht. Also, ich meine, so ein Hackerclub, der taucht natürlich dann auch immer gleich so als äh Feindbild aber im Prinzip ist das halt alles äh nichts anderes als das Ablenkenden der eigenen äh von der eigenen Inkompetenz. Wobei ich hier so das Gefühl habe, dass ihn einfach zu diesem Zeitpunkt auch überhaupt nicht klar war, äh. Wie sehr das wird, ihr eigenes Verschulden wahren und dass sie da einfach mal lieber den Deckel hätten draufstecken sollen und das Problem fixen und nicht weiter drüber reden so. Und äh dann vielleicht äh.
Peter Piksa
Vor allen Dingen, es wirkt auch wie wie also hilfloses mit den Armen in der Luft herumwedeln, dass sie dann die Konstanz zu kurz ausgeladen haben. Ja, was soll denn das?
Tim Pritlove
Ja, das ist äh es wird bestimmt helfen.
Peter Piksa
Ja, ja, ja, das macht den Mails aber sicher.
Tim Pritlove
Total, ja? Also immer wenn immer wenn Konstanze in meiner Umgebung ist und so weiter, dann dann ist einfach sind einfach die Sicherheitsschwankungen so unfassbar.
Peter Piksa
Tanzrad einfach eine eine konstante äh EMP-Welle um sich herum ist.
Tim Pritlove
Aura.
Peter Piksa
Eine IMP Welle. Da geht die Elektronik aus.
Tim Pritlove
Ja. So ist das mit Konstanz so. Also Konstante, du, du, du, du, du, mach das nicht noch mal.
Peter Piksa
Böse Konstanze.
Tim Pritlove
Böse Konstanze.
Peter Piksa
Ja
Tim Pritlove
Peter, ich glaube jetzt äh kommen wir hier ans Ende äh der Show.
Peter Piksa
Wir warten mal auf die nächsten zwanzigtausend verschicken Liebes-Mails. Vielleicht moderiert die dann wieder der Linus mit dir mit.
Tim Pritlove
Genau, vielleicht schickt uns ja mal jemand Liebesmails, mal gucken. Bisher habe ich noch keine bekommen.
Peter Piksa
Ist dir eigentlich mal aufgefallen, dass der Linus äh fehlt, seitdem er sich da mit Bushido-Fans aufgelegt hat? Äh. Ganz, ganz also ich bin ich bin äh ernsthaft ernsthaft besorgt. Ich habe ja, ich habe.
Tim Pritlove
Oh. Ja, ich darf mich dazu nicht äußern.
Peter Piksa
Er fehlt, er fehlt seitdem, äh seitdem er da äh sich mit Bushido-Fans angelegt hat und postete die Tage auf Twitter ein Foto und das sah aus wie als würde er sich in einer Höhle verstecken.
Tim Pritlove
Ja, ich darf mich da nicht weiter zu äußern.
Peter Piksa
Ich hoffe ja äh minus wo auch immer du bist, wenn du uns hörst, du schaffst es.
Tim Pritlove
Wir glauben an dich. Genau, wir schicken dir Liebesbriefe. Mehrere hunderttausend.
Peter Piksa
Schickt Liebesbriefe an an Dinos und flettert Dinos und ja.
Tim Pritlove
Genau. Ja und äh fletter den Peter hier. Danke für äh die große Hilfe hier bei der äh Sendung, hat Spaß gemacht. Vielleicht hören wir uns ja mal wieder und äh nächste Woche denke ich mal, wenn's alles nach Plan äh verläuft und äh Linus aus der Höhle entlassen. Geht's hier wieder im bewährten äh bewährter Konstellation weiter.
Peter Piksa
Ich bin sicher, da freuen die geneigten Hörerinnen sich schon sehr drauf.
Tim Pritlove
Das denke ich auch. Alles klar, dann tschüss, vielen Dank Peter, vielen Dank fürs Zuhören und äh bis bald.
Peter Piksa
Bis dann.

Verwandte Episoden

Shownotes

GCHQ greift Webcam-Standbilder ab

BKA-Beamter im Besitz von Kindesmißbrauchsdarstellungen

Britischer Porno-Zensurverfechter wg. KiPo festgenommen

Iran will Internetzensur lockern

United-Internet-Kampagne gegen Adblocker

RSA-Boss zur NSA-Zusammenarbeit

Hochschule Karlsruhe stellt Strafanzeige gegen den CCC

36 Gedanken zu „LNP095 Unerwünschte Nacktheit

  1. Details zur Ausladung von Constanze Kurz: http://funkenstrahlen.de/blog/2014/02/14/constanze-kurz-ausgeladen/

    Mittlerweile wurde die Lange Nacht der Mathematik komplett abgesagt.

    Zudem hat die Hochschule klargestellt, dass die Klage nicht gegen den CCC, sondern gegen Unbekannt läuft (den Versender der Mails). Das war im Artikel von KA-News missverständlich ausgedrückt.

    Noch kleiner Hinweis zum Abschluss: Die Hochschule Karlsruhe für Technik und Wirtschaft ist nicht das KIT. Das wird ab und an immer wieder verwechselt (hier im Podcast aber nicht).

  2. Der Webplayer hängt sich mit Chrome bei jedem Podcast wo er eingebunden ist ab einer bestimmten Zeit auf und stoppt. Da hilft leider nur der Download.

  3. Eure Liebesmails Nummer habe ich nicht ganz verstanden. Also Theorie: Es ist möglich Emails von irgendeinem Absender zu schreiben. Dafür ist auch keine Autorisierung nötig. Der Angreifer hat aber die Adressaten von Leuten verwendet von denen die Uni hätte wissen könnnen, dass sie gefälscht sind, weil ja nicht authentifiziert und so die Policy ausgehebelt. Bei 20k Emails gibt es bestimmt eine Policy. Dann ist noch die Frage: Woher wusste der Angreifer die Email-Adressen von 20k Leuten?

    • Ein Mailserver, der eine so große Anzahl an Postfächern hat, sollte nie eine Annahme darüber treffen, welche Server Mails von seiner Domain senden dürfen. Nur wenn Du als Mail-Admin sicher bist, dass wirklich alle User nur Deinen Server zum Versenden nutzen wollen, kannst/darfst/solltest Du Mails von Deiner Domain (wenn von extern kommend) blocken und das per SPF auch anderen Mailservern mitteilen.
      Aber dann kann es auch zu Problemen beim Weiterleiten von Mails ohne Absender-Rewrite kommen.

  4. Fast schon gruselig, wie ähnlich Peters Wortwahl und Duktus dem von Linus ist – ohne jedoch natürlich seine Stimmfarbe.

    Irgendwie uncanney :-D

  5. United Internet hat sich noch einen schönen Fehler geleistet:
    Sie haben in der letzten Woche an ihre Mitglieder eine E-Mail gesendet, in der sie darauf hinweisen, dass sie nun einen „Kulanzfall“ eröffnet haben, weil man seine DE-Mail noch nicht bestellt hat, United Internet diese aber reserviert hätte. Gefolgt von Werbung für DE-Mail, etc.
    Ich weiß nicht, ob es an alle ging, kenne aber einige, die diese Mail auch bekommen haben, die „Stein und Bein“ schwören, nie eine DE-Mail angefragt oder reserviert zu haben.
    Schon blöd, wenn keiner das Produkt haben will, greift man halt zu unfairen Mitteln. Könnte mir vorstellen, dass einige eher weniger bedarfte durchaus darauf reinfallen.

  6. Verbinden wir doch mal Thema 1 und 2
    GCHQ macht Webcambilder, sammelt die und Mitarbeiter müssen die auswerten, also angucken. Darunter sind auch Bilder von nackten Menschen. Auch Jugendliche sind Nutzer von Yahoo und haben Webcams.
    Ergo: Das GCHQ erstellt, veröffentlicht(zeigt es mehreren Mitarbeitern) und besitzt Kipo !
    Das muss nicht stimmen und is weit hergeholt.
    Aber wenn ein paar Tabloids das bringen wäre da (und auch hier) die Hölle los.
    Auch kann mal einer dem Cameron oder dem GCHQ-Obermacker bei einer Pressekonferenz die Fragen stellen: Was tun sie dagegen, dass das GCHQ keine Kipo erstellt, besitzt und veröffentlicht? Was tun sie dagegen, um sicher zu gehen, dass ihre Mitarbeiter nicht Pädophile sind und diese so mit Kipo versorgt werden?
    Das gleiche kann man mit der NSA machen. Kompromitieren wir die Läden doch bis sie schließen!

  7. Beim Thema gesicherte Anmeldung / verschlüsselte Authentifizierung an Mail Server gibt es ein Missverständnis:

    Die „verschlüsselte“ Authentifizierung kann man sehr wohl ausschalten wenn man SSL/TLS als Transportverschlüsselung eingestellt hat, denn das Passwort wird in der SSL/TLS Session übertragen.

    Verschlüsselte Authentifizierungsverfahren sind nur in einer Umgebung mit Authentifizierungsserver (Kerberos / NTLM) interessant.

    Wenn man keinen Authentifizierungsserver benutzt bedeutet „verschlüsselte Authentifizierung“ ein MD5 challenge-response Verfahren https://en.wikipedia.org/wiki/CRAM-MD5 , welches man nicht als sicher betrachten kann.

    http://imgur.com/a/xPMwt

  8. Technischer Hinweis, Tim deine Audiospur hat eine ziemlich starkes Echo und Rauschen. Fällt besonders unangenehm im Auto auf.

  9. Den Scareware-Banner von United Internet kann man wunderbar abstellen, wenn man JavaScript für diese Seite deaktiviert. Zudem habe ich festgestellt, dass GMX sich endlich wieder wie eine Webseite bedienen lässt. (Rechte Maustaste, Links in neuem Tab öffnen usw.)

  10. Zudem möchte ich nochmal extra betonen, dass nur Adblock Plus „erwünschte Werbung“ anbietet. Das Addon Adblock (ohne Plus) ist von einem anderen Hersteller und hat blendet keine bezahlte Werbung ein.

    Interessant ist auch wenn man nach „Adblock“ googelt. Bei G und Bing sind natürlich die Plus varianten ganz oben. Ein Schelm der hier böses vermutet! DuckDuckGo zeigt als erstes die Adblock Variante mit „Official Site“-Tag an.

    • Auch bei Adblock Plus lässt sich diese Verhalten in den Optionen unterbinden, heißt dort „Einige nicht aufdringliche Werbung zulassen“.

  11. Sorry Jungs, aber so wie Ihr den Spam-Angriff geschildert habt, ist der Mailserver vollkommen korrekt konfiguriert und die ganze Häme für die IT völliger Quatsch. Natürlich muss man sich gegenüber einem Mailserver nicht authentifizieren, wenn eben jener Mailserver zuständig für den Adressaten ist. Sonst würden auf der Welt keine Mails zugestellt werden können. Authentifiziert wird nur bei fremden Adressaten (übrigens auch erst seit ein paar Jahren die Regel) um Spammern die Arbeit nicht zu erleichtern. Den zweiten, eigentlich kritischen Punkt, dass man an alle Email-Adressen der Stundenten kommen kann, findet man meines Wissens nach an fast jeder Hochschule in D. Manche haben sogar Webseiten mit durchsuchbaren Adressbüchern.

    So long and Thanks for all the fish.

    • Nicht ganz.

      So wie ich es verstanden habe, liegt/lag das Problem darin, dass sich Gegenüber dem SMTP-Server jeder als Absender von innerhalb der Hochschule ausgeben kann/konnte. Sprich der dann absendende Server fragt nicht nach, ob ich das eigentlich darf. Bei „gewöhnlichen“ SMTP-Servern muss ich erstmal erklären, dass ich auch wirklich ich bin. Eben mit dem Nutzernamen/Passwort. Das entfällt/entfiel bei besagtem Server. Das war/ist die Schwachstelle.

      • Du übersiehst, dass der absende Mailserver auf dem Kongress stand, um die Uni zu spammen und kein ‚gewöhnlicher‘ Mailserver war. Und das was Du als gewöhnlich betrachtest stimmt auch nur für T-Online, GMX, Gmail und Co. Bei jedem normal konfigurierten MTA kannst Du als Absender angeben was Du willst. Das ist keine Sicherheitslücke oder Schwachstelle.

        • Verwenden nicht zumindest die großen Mailanbieter SPF, das diese Art der Absenderfälschung verhindert?

          Und der Mailserver müsste doch erkennen können, dass der Absender vorgibt jemand zu sein, für den man selbst zuständig ist. Eine Mail von a@example.com an b@example.com muss (und sollte) das example.com-Netz nie verlassen. Wenn sich also jemand von außen mit dem example.com-MX verbindet und eine Mail von a@example.com abliefern will, sollte doch klar sein, dass hier was falsch läuft.

          • noe…

            es sei denn, dein mailprovider bietet nur ein webfrontend an…

            aber wenn man mit einem mailclient arbeitet, dann verbindet man sich eigentlich immer mit einer externen ip an den smtp server, und dann dient die authentifizierung mittels username/passwort als verifikation zur autorisierung…

            oder habe ich da was falsch verstanden?

  12. Zu den Liebesmails:

    Hab ich das richtig verstanden, dass von Constanze Kurz eine „constanze EMP-Welle“ ausgeht? Krass. Die hat es echt drauf. :-)

    Noch was anderes: In Karlsruhe ging 1984 die erste E-Mail in Deutschland ein (wenn ich das noch richtig weiß). NIEMAND in Deutschland hat mehr Erfahrung mit E-Mails als die Jungs und Mädels in Karlsruhe!

  13. Zu dem Ki-Po überführten BKA Beamten:
    Nee Tim, der ist nicht „entlassen“.
    Vorgezogener Ruhestand stand in der Presse,
    das bedeutet für mich Beamtenpension.

  14. Ihr kritisiert, dass bei dem E-Mail Provider das Passwort im Klartext vorliegt. Aber dies ist doch zwingend erforderlich, wenn man Challenge-Response Authentifizierungsverfahren wie CRAM-MD5 einsetzen möchte. Vorteil dieses Verfahrens ist hingegen aber doch, dass zur Authentifizierung nie das unverschlüsselte Kennwort (wie z.B. bei den sonst üblichen Verfahren LOGIN und PLAIN) übertragen wird – unabhängig davon ob der Transportweg (vermeintlich) verschlüsselt ist oder nicht.

    Also will man lieber CRAM-MD5 nutzen können und nimmt dafür in Kauf das auf dem Server das Kennwort unverschlüsselt ist oder verzichtet man auf solcher Verfahren und sendet bei jedem Login das unverschlüsselte Kennwort bzw. ein wiederverwendbaren Hash des Kennworts übers Netz?

Schreibe einen Kommentar zu MadManniMan Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.