LNP143 Kopfläuse in der Kita

Vorratsdatenspeicherung — Bundestags braucht neues Netz — Merkel-Handy — Uhrlau im NSA-UA

Die Testabstimmungen in den Regierungsfraktionen zur Vorratsdatenspeicherung liefen ohne größere Überraschungen ab und es ist weiterhin mit einer breiten Zustimmung zu der umstrittenen neuen Regelegung im Bundestag zu rechnen. Allerdings hat sich das Abstimmungsziel in den September verlagert. Die Zeit wird wohl auch benötigt, denn die PC-Infrastruktur des Bundestags ist durch den Angriff von außen offenbar in unklarem Zustand und muss in der Sommerpause überarbeitet werden. Linus berichtet aus dem Notizbuch eines "Cyberkriegers" wie solche Angriffe üblicherweise ablaufen.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Linus.
Linus Neumann
Guten Morgen Tim.
Tim Pritlove
Unser Podcast ist auch so ein bisschen wie Atomenergie, oder?
Linus Neumann
Also wir haben ja Chancen und Risiken und äh die Endlagerung ist eigentlich für die Ewigkeit.
Tim Pritlove
Lokbuchnetzpolitik, Ausgabe Nummer hundertdreiundvierzig, euer Podcast für die Ewigkeit,strahlt beständig immer wieder ins Netz hinein. Unsere Radioaktivität äh ist einfach äh Legion, ja? Undmit mindestens äh einer Million Bäckerei berichten wir euch von den neusten Gesundheitsgefährdenden Maßnahmen unserer,politischen Umgebung.
Linus Neumann
Ja. Ja, schlechte Vergleiche können wir.
Tim Pritlove
Ja, da sind wir richtig ganz vorne mit dabei, ne.Das muss man nicht unbedingt immer der Politik überlassen. Da kann man, da kann der Podcast auch mithalten, ne? Ist doch überhaupt kulturell im Aufstreben, so. Noch haben wir ja diesen noch sind wir ja noch voll auf der Halbkurve, ne? Ist ja gerade, also ist ja immer noch hip.
Linus Neumann
Also ich du kannst ja ruhig zugeben, Tim, dass du die Podcast-Dokratie äh anstrebst.
Tim Pritlove
Genau.
Linus Neumann
Herrschaft der Podcaster der oder den Timismus.
Tim Pritlove
Planet der Podcasts.
Linus Neumann
Ja, also wenn mit dem, ne, mit dem nächsten Release von Pot Love wird das alles.
Tim Pritlove
Wieder.So sieht's aus.
Linus Neumann
Vorratsdatenspeicherung haben wir.
Tim Pritlove
Du meinst gleich einsteigen? Ja nee.
Linus Neumann
Ich weiß nicht, fällt dir noch was ein? Nee, mir fällt auch nichts mehr ein. Doch. Ähm.
Tim Pritlove
Gibt's jetzt.
Linus Neumann
Erstmal ein bisschen später. Ähm also es gab die,Fraktionen haben jetzt irgendwie die CDU, CSU Fraktion haben haben einstimmig ihre Zustimmung beschlossen,so irgendwie so vor Abstimmung oder was, ne? Die SPD-Fraktion hat äh.Auch die Zustimmung beschlossen, allerdings achtunddreißig von hundertdreiundneunzig Leuten dagegen. Das sind immerhin zwanzig Prozent unter den,Mitgliedern des Bundestages, die in dieser Fraktionsabstimmung dagegen gestimmt haben.
Tim Pritlove
Also wir sprechen jetzt von einerTestabstimmung immer innerhalb der Fraktion. Das ist so ein bisschen der Lackmustest, um zu schauen, ob denn auch wirklich die Reihen geschlossen sind und äh bei der CDU, CSU ist das äh wie zu erwarten war, wie nicht ja, nicht anders zu erwarten war,problemlos und bei der SPDist es nicht problemlos, aber ich würde sagen, mit zwanzig Prozent können die noch ganz gut leben.
Linus Neumann
Ja, also das das reicht dann. Ähm,bis jetzt haben wir achtunddreißig, die dagegen sind,brauchen aber äh hundertneunzig,SPD-Abgeordnete, die dagegen sind, denn vier SPD-Abgeordnete reichen der CDU-CSU-Fraktion,um äh die ganze Sache hinter sich zu bringen.
Tim Pritlove
Also zumindest um es faktisch zu beschließen. Ich denke, wenn.
Linus Neumann
Ja, im Bundestag.
Tim Pritlove
Wenn diese Abstimmung,tatsächlich so laufen würde, dass irgendwie hundertneunundachtzig SPD-Leute dagegen sind, was sie nicht wird, aber,wäre, dann wäre eigentlich der Koalitionsfrieden schon am Wackeln,nicht, dass die da somit sind. Wobei das wäre wahrscheinlich das Beste, was die SPD machen könnte. Sie würden sozusagen ihren Koalitionsvertrag einhalten und wenn dann äh ein Jahr später das Verfassungsgericht kommt und den ganzen Grab wieder kassiert und sagt, sag mal, Leutehabt ihr eigentlich das letzte Mal nicht zugehört, äh dann können sie zumindest sagen, naja, wir waren ja ein bisschen dagegen.
Linus Neumann
Ähm elf,elf Landesverbände der SPD haben inzwischen einen Beschluss gegen die Vorratsdatensprechung, also da gibt's dann so,Landesverbandsbeschluss und wir sind jetzt dagegen. Es gibt äh wie wir ja alle wissen, ich habe das weiß das übrigens nicht. Ähm,Also es gibt sechzehn Bundesländer, ich habe nochmal.
Tim Pritlove
Ich kann ich kann sogar die Hauptstädte.
Linus Neumann
Eher an die, also ich kriege die sechzehn Bundesländer nicht hin und ähm also ich habe die Frage mal, glaube ich, aus Versehen richtig beantwortet in ähm.An der Uni irgendwie, als wir da äh irgendwie in der ersten Woche haben die nochmal so einen, so einen Test gemacht, einfach um,also die waren quasi ja bald so ein Einstellungstest zu entwickeln ne? Und dann haben die halt einfach alle Studierenden am Anfang diesen Test nehmen lassenum am Ende zu gucken, wie schnell und wie gut haben die am Ende ihr Diplom abgeund dann koralierst du das mit den einzelnen Fragen und dann kannst du halt irgendwann einen einen Test,äh hast du eine Testbatterie, die den Studiumserfolg vorher sagt? Ähm,Da war eine der Frage halt so eine der Fragen halt zu den Bundesländern. Da habe ich halt die gezählt, die die mir eingefallen sind plus geschätzt wie viele ich wahrscheinlich nicht kenne,und bin auf die richtige Zahl gekommen.So Elfen, wie wie schlecht ist meine Bildung? Okay, noch mal ein paar Prozent drauf und da hatte ich die richtige Antwort.
Tim Pritlove
Na, nicht schlecht.
Linus Neumann
Aber genau, also genau, jetzt haben jetzt hast du elf Landesverbände der SPD. Essechzehn, die haben einen Beschluss dagegen. Jetzt gibt's einen Parteikonvent,Den hatten wir ja auch schon angekündigt. Der ist dann, glaube ich, sogar schon nächste Woche. Der zwanzigste ist glaube ich,was ich da im Kopf habe, aber kann auch sein, dass ich da falsch liege. Ähm ich bin ja nicht so drin in der SPD.Ähm und zwar gibt's aber da wurde jetzt also das das Antragsbuch zur zum Parteikonvent zweitausendfünfzehn von der Antragskommission veröffentlicht.In diesem Antragsbuch. Wir hatten da schon mal so ein Parteikonvent. Äh da haben wir auch vor ein paar Jahren darüber berichtet. Ähm.Da sind also alle Anträge drin gesammelt und Empfehlungen wieder mit umgegangen werden soll. Geil, oder? Parteikonvent wird gesagt, hier sind die äh hier sind die Anträge und wir sagen euch auch schon mal, wie man dazu abstimmt.Und ähm von diesem von diesem,Antragsbuch, das äh einhundertfünfzehn Seiten umfasst, sind vierunddreißig Seiten, also so ja fast fünfundzwanzig Prozent widmen sich der Vorratsdatenspeicherung. Und da sind also,fünfundzwanzig Anträge dagegen,in diesem Antragsbuch, ja, von allen möglichen Vereinigungen. Und ähm am am Ende steht dann eben äh.Äh Antragskommission hat den SPD Parteivorstand gebeten.Erstens auf dem Konvent über die Vorratsdatenspeicherung zu reden. Zweitens ein Antrag,die Vorratsdatenspeicherung einzubringen, der dem Gesetz gleicht. Und drittens, die fünfundzwanzig Anträge gegen die Vorratsdatenspeicherung abzulehnen.
Tim Pritlove
Das macht die Antragskommission.
Linus Neumann
Ja ja, die haben das äh die empfehlen jetzt also, die empfehlen.
Tim Pritlove
War das nicht beim letzten Mal genauso? Oder redest du jetzt von dem letzten Fall?
Linus Neumann
Beim nee, nee, das war jetzt dieses Mal und ich glaube, beim letzten Mal, das ist jetzt schon wieder, ich glaube, das ist jetzt zwei Jahre her, aber da ging es ja um genau auch das, die Position der SPD zu Vorwartsspeicher. Und ich glaube, da da war der große Kampf, das überhaupt drüber geredet werden würde, dadurch ist das damals so hoch geschwapptaber das ist, glaube ich, mindestens ein, zwei Jahre her, da müssten wir jetzt nochmal äh in unser, auf unserer eigenen Seite googeln und sich selber googelt man nicht, deswegen können wir das jetzt nicht beantworten.
Tim Pritlove
Man googelt sich nicht.
Linus Neumann
Weiß ich nicht, ist auch egal, aber.Auch hier dieses Mal wieder SPD Parteikonvent, dass es wirklich gelebte äh Demokratie.Da weiß man, was man hatwie dann auch so die Meinungsbildung in so 'ne innerhalb einer Partei dann da zum Tragen kommt, wie man als Landesverband auf Bundesebene oder als einzelnes Mitglied da richtig schön mitgestalten kann bei den Genossen, äh wird da wieder schön gezeigt.Und wir haben aber einen sehr schönen Kommentar vor äh in den,äh in den Kommentaren gehabt zur letzten Sendung von Thomas aus Hannover, der sagt,Koalitionsvertrag war die ähm dieBegründung für die Vorratsdatenspeicherungdadurch verhindern wir Strafzahlungen an die EU, weil wir die Richtlinie nicht umsetzen. Also die haben im Koalitionsvertrag nur mit der Richtlinie argumentiert,die es jetzt eigentlich hinfällig, das heißt, im Prinzip könnte die SPD auch sagen, ja, nee, also Koalitionsvertrag äh schön und gut, aber das ähm.
Tim Pritlove
Ja, ja, also,Wenn man's mal genau nimmt, die Formulierung ist natürlich tricky, ne?Es ist ja nicht so, dass sie sagen wir wollen die Vorratsdatenspeicherung einführen,Damit wir, ja, also das ist der Grund,wir haben ja da die Strafzahlung, wir müssen ja. Das kann man zwar so lesen,Aber genau genommen sagt diese Formulierung, dass nicht zwingend aus. Sondern es ist nur so, ach ja und übrigens, außerdem verhindern wir damit auch noch Strafzahlungen.
Linus Neumann
Richtig. So denke ich, ist das auch zu verstehen. Das stimmt schon. Ähm.
Tim Pritlove
Kann man ihn aber durchaus nochmal unter die Nase binden.
Linus Neumann
Es fand jetzt äh die erste Lesung statt im Parlament jetzt so zum,äh zu es gibt ja dann so dritte drei Lesungen oder so, ne, in der ersten Lesung war jetzt nicht wirklich Neues. Da waren dann halt irgendwie haben alle ihre Reden gehalten, aus der SPD äh natürlich nur Vorratsdatenspeicherungsbefürworter, CDU CSU natürlich auch, dann Grüne und Linke dagegenwie das so läuft.Waren dann also, ne, wurden einfach nochmal die Argumente vorgetragen, wie das eben so ist,in den Bundestagsdebatten und Bundestagslesungen.Und beschlossen,soll jetzt im September. Das ist neu, ursprünglich haben sie ja echt versucht das hier innerhalb kürzester Zeit reinzu.Ähm reinzudrücken so und September ist ja auch immer noch kürzester Zeit, aber so da kennt man jetzt wirklich die genaue die genaue Zeitlinie. Ähm,Interessant finde ich viel eher, wie viele Prominente Gegner es jetzt allein in der letzten Woche sich dagegen ausgesprochen haben. Ähm.
Tim Pritlove
Und nicht prominente.
Linus Neumann
Und nicht prominente, zum Beispiel Andrea Voss Off,äh das ist die äh Bundesdatenschutz äh Beauftragte.
Tim Pritlove
Da muss man schon immer drauf hinweisen, dass die Nachfolgerung von von äh Peter Schar,schon fast ähm na ja, ich will's jetzt nicht überhöhen, aber doch schon so einen gewissen.Also eine gewisse Popularität erlangt hat in seiner Rolle. Also er hat es wirklich geschafft, dieses Amt ähm.So auszufüllen, dass die Wahrnehmung überdurchschnittlich war. Dafür wie wie wenig,durchgreif und und und tatsächlich Einfluss macht äh dieser Posten hat,Davon ist Andreahimmelweit entfernt, aber zumindest äh hat sie's geschafft, mal nachzudenken in der Zeit. Das finde ich ja auch schon mal ganz bemerkenswert, weil sie ist ja als Befürworterin der Vorratsdatenspeicherung in diesen Job gekommen.
Linus Neumann
Ja, Tim, du musst das ja, wir dürfen ja nicht immer nur äh über die Leute fluchen, ne. Du weißt ja, äh fordern und fördern und Andrea Foshoff hat jetzt gesagt, sie äh siehält diese Vorratsdatenspeicherung für äh Verfassungswidrigund sie wieder äh sie widerspräche,Urteilen von Bundesverfassungsgericht und EuGH,hat sie eine schöne Stellungnahme formuliert und ähm hat hat, das ist auch nicht das erste Mal, wo sie Missfallen äußert,ja? Das ist schon mal äh.
Tim Pritlove
Immerhin verzichtet sie ja freiwillig auf eine zweite Amtszeit damit.
Linus Neumann
Ja, das ist mein Einsatz hier, so so wollen wir das.
Tim Pritlove
Das muss man schon mal anerkennen, also es äh ne?
Linus Neumann
So, dann haben wir die gibt's eine einen Entschluss beim evangelischen Kirchentag. Äh ich weiß nicht genau, was das ist oder was das soll, aber das ist auch was ähwas Schönes. Ähm Kirchen haben ja in Deutschland also verhältnismäßig viel zu sagen. Der,hat mich hier in letzter Zeit äh voll bombardiert mit Stellungnahmen, auch alle äh gegen die Vorratsdatenspeicherung, die.Äh kritisieren, also auch die Maßnahme für äh Verfassung, als verfassungswidrig und interessieren sich natürlich auch, wer soll das,Zahlen und dann gibt's ein äh Gutachten des wissenschaftlichen.
Tim Pritlove
Also Eco, wir sagen's ruhig nochmal dazu, ne, Verband der äh Internet,Provider mal ganz grob formuliert. Und da ist natürlich diese ganze Gelddiskussion schon immer eins der Kernargumente gewesen aus der Wirtschaft heraus gegen die Vorratsdatenspeicherung und das Thema ist auch noch nicht vom Tisch.
Linus Neumann
Ja, sie haben dann auch noch, also die sind da echt die,Hintergrundpapier, Fakt Sheet, Analyse,Stellungnahme, äh eine Veranstaltung machen sie, glaube ich, äh auch noch irgendwie in der nächsten Woche. ÄhmAlso die, die sind ja jetzt die drehen da jetzt richtig schön an ihrem an ihrem Lobbyrat.Genau, ein politisches Forum richten Sie aus mit klarer politischer Ausrichtung. Also die, die sind da äh mutig und, und tätig und das ist ja auch schön, wenn man,Leute an seiner Seite hat, die äh auch noch mit Geld ausgestattet sind. Aber ist wirklich spannende finde ich ähm der wissenschaftliche Dienst des Bundestages hat mehrere verfassungsrechtliche Bedenken,Sagt also die Regelung zu Daten, Verwendung, Löschung und Weitergabe erfüllen nicht die Vorgaben des,Verfassungsgerichtähm also Vorgaben des Bundesverfassungsgerichts, das finde ich auch schön, dass äh so ein Urteil ja,Urteil, in dem die Vorratsdatenspeicherung als äh Grundgesetz widrig,abgeurteilt wurde, sind die, das ist jetzt schon inzwischen in der normalen Sprachregelung die Vorgaben des Bundesverfassungsgerichts, ne? Ähm nämlich die Anleitung, die Vorratsdatenspeicherung jetzt, wie muss man sie neu aufsetzen?Ähm ebenfalls gäbe es Unklarheiten bei der Regelung zur Weitergabe der Vorratsdatenandere Behörden, für andere Zwecken, Zweckedie Benachrichtigungspflicht im Falle einer Abhörmaßnahme,nicht hinreichend umgesetzt, das finde ich ganz interessant. Wir hatten das vor einiger Zeit schon mal auch in der Sendung besprochen, wenn,der Tim jetzt, wenn Tims Telefon abgehört wird, dann im Rahmen einer,seines äh seiner freilichen Grundrechte nach Grundgesetz, Artikel zehn, da muss er später darüber informiert werden. Ähm.Also Benachrichtigungspflicht bei einer,Überwachungsmaßnahme, die eben dann nicht äh,ihrem Ziel geführt hat. Und wir hatten dann auch in den Hörerkommentaren den Hinweis,diese Benachrichtigung häufig nicht stattfindet mit der Begründung, dass es ja noch eine,gebe, dass nämlich,nur weil man jetzt irgendwie eine Person irgendwie ein paar Monate voll überwacht hat, heißt das ja nicht, äh dass sie unschuldig ist, ne.Und äh deswegen äh werden dann häufig diese Benachrichtigungen nicht äh,durchgeführt. Grundsätzlich sind sie aber äh dazu verpflichtet, das zu tun. Und das ist jetzt hier in diesem Fall natürlich, ne? Ähm.Hier werden ja jetzt nun mal also zumindest momentan gilt ja noch,die allgemeine Übereinkunft, das vermutlich vermutlich,größere Teil, wenn oder wenn also zumindest ein,der überwachten Bürger in diesem Land,eventuell vielleicht doch unschuldig sein könnten.
Tim Pritlove
Das ist so.
Linus Neumann
Noch kann man, noch ist das eine These, die man in der Öffentlichkeit wagen kann.
Tim Pritlove
Also ich bin heute Morgen hier nochmal früh raus zum Bäcker, ja? Und habe mir einen Kaffee geholt.Und eine Menge verdächtiger Fressen gesehen. Ich weiß nicht, ob sich das so halten lässt.
Linus Neumann
Ja, also im Moment ich mein gut in deiner Wohngegend, Tim.
Tim Pritlove
Auch da gilt die Unschuldsvermutung.
Linus Neumann
Es ist ja alles voll mit Wirtschaftsverbrechern da, wo du wohnst, ey.
Tim Pritlove
Arbeitsverweigerer, Podcaster.
Linus Neumann
Ne? Es ist es ist unklar, wie wie man dieser Benachrichtigungspflicht um äh nachkommen möchte, wenn man ähm wenn man einfach die gesamte Bevölkerung ansatzlos überwacht. Ähm.Und dann sagen sie, gibt's einen unzureichenden Schutz von Berufsgeheimnisträgern, denn deren Daten werden ja trotzdem gesammelt.Und nur die Abfrage dieser Daten wird ja dann äh nicht möglich,wird ja dann irgendwie eventuell verhindert oder nicht, ja?Und ähm außerdem sagen sie, es fehlt dann die ähm,von Berufsgeheimnisträgern abgehende Beschränkung des Personenkreises, der zum Gegenstand der Maßnahme wird, sowie eineEinschränkung auf schwerste Straftaten. Also diese Berufsgeheimnisträger werden trotzdem erfasst, dann gibt's ja eigentlich noch einen Kreis, mit dem sie kommunizieren. Wie ist das, wenn die wiederum damit kommunizieren? Und wieist überhaupt die Beschränkung die die des Abgreifen der Vorratsdaten,schwerste Straftaten.Eingeschränkt und dann sagen sie außerdem, und das finde ich ganz positiv,Wenn irgendetwas davon europarechtswidrig ist,Da scheiden sich allerdings jetzt die Geister, könnte es sein, dass es wieder das gesamte Gesetz gefährdet, denn diese Europaurteile äh oder die äh,die EuGH-Urteile zur rechts gültig oder rechtswidrigkeit ähm von.Solchen Gesetzen gelten ja immer auf das gesamte Gesetz, das heißt, die hauen dir das gesamte Gesetz vom Tisch und dann musst du wieder ein neues schreiben, dann kannst du halt dann sagen, dass du erfüllst die Vorgaben,des Gesetzes in deinem dritten Anlauf, ja?
Tim Pritlove
Ja.
Linus Neumann
Also finde ich ganz schön, dass äh selbst der wissenschaftliche Dienst des Bundestages hier dann äh warnt und verfassungsrechtliche Bedenken äußert. Ähm.Das ist natürlich schön, weil das ist im Prinzip Arbeit, die sie für uns tun, äh denn an an den Sachen, vor denen sie jetzt warnen, können dann die von uns äh gestellten verfassungsrechtler ähm direkt ansetzen.Bei ihrer äh nächsten Verfassungsbeschwerde gegen dieses Gesetz, die ja auf jeden Fall kommen wird.
Tim Pritlove
Wird es zumindest doch beruhigend, dass diese Gutachter äh sich,solchen Aussagen überhaupt noch hinreißen lassen, also dass sie sozusagen da,Blatt vor den Mund nehmen und einfach da eine trockene Analyse machen. Wie ist ja eigentlich auch ihre Aufgabe sein sollte, äh vielleicht ist das schon ein bisschen beunruhigend, dass ich das bemerkenswert finde, dass dem noch so ist, aber ja, umso besser.
Linus Neumann
Ja, diese, das sind halt Dienstleister, ne, die haben ja auch dem Gutenberg die die Doktorarbeit da äh zugeliefert, ne, da kannst du halt bestellen, was du haben willst, dann kriegst du das.Halt, ne, die haben da halt Dienstleistungsbewusstsein. Ähm.Aber was ich ja nochmal ganz schön einen Punkt finde, also wenn man sich jetzt mal so die allgemeine Nachrichtenlage heute anschaut, die wir jetzt im weiteren Verlauf natürlich noch behandeln werden.Wie ist das denn mit den mit den Daten? Sind die denn eigentlich sicher? Bei den,wo sie jetzt gesammelt werden sollen, also ich meine, wenn man sich den Bundes äh Bundes,Bundestrojaner sei jetzt schon Bundestagstrojanisierungsfall grade anschaut, zu dem wir auch noch,dann weiß man OK in in der Obhut des,DSI oder der Bundesregierung oder den, den sie schützenden Institutionen wären solche Daten nicht besonders sicher.Aber auch der ähm auch den Providern,billig das äh billig die Bundesregierung ja keine besondere Kompetenz in der IT-Sicherheit zu. Deswegen hat sie ja jetzt gestern, am Freitag, das IT-Sicherheitsgesetz beschlossen.Das war mal eine Überleitung, ja.
Tim Pritlove
Wie.
Linus Neumann
Heute Morgen beim Frühstück überlegt, aber,jetzt glaub ich hat man so den die war glaub ich zu lang. Aber OK ich hab's jetzt mal versucht 'ne Überleitung ohne dich zu machen. Möchtest du eine bessere machen Tim?
Tim Pritlove
Ist ja jetzt eh vorbei. Ich äh versuche da, das wieder bei den späteren Kapiteln rauszuholen.
Linus Neumann
Wird dir nicht schwerfallen, diese Überleitung zu toppen.IT-Sicherheitsgesetz wurde beschlossen, das Einzige, was sich nochmal geändert hat im Vergleich zu vorher.Ist äh verpflichtende Sicherheitsstandards auch für Bundesbehörden.Ich hatte ja dazu eine Stellungnahme verfasst, davon gibt's auch 'ne Zusammenfassung und von meinen kleinen Ausführungen im.Dem Bundestagsausschuss in den Innenausschuss äh gibt's auch eine Videoaufzeichnung, habe ich auch nochmal verlinkt. Ähm,Wir haben da hauptsächlich kritisiert, dass sich dieses Gesetz ja nun wirklich wenig um den äh,Endnutzerschutz bemüht, sondern hauptsächlich geht's ja so um Meldepflichten und,äh sicher verbindliche Sicherheitsstandards, die man sich selber vorschreiben soll.Das heißt, da gibt's eine schöne eine Steigerung der Bürokratie, statt jetzt wirklich mal eine proaktive Erhöhung der Sicherheit, also Maßnahmen, die wirklich auf technischer Ebene wirken würden.Ähm dadurch, dass die Betreiber von diesen Infrastrukturen sich ihre Sicherheitsmaßnahmen und Sicherheitsstandards am Ende selber schreibenbeziehungsweise selber vorschlagen können, äh wird meines Erachtens,Chance verpasst, da wirklich mal äh nennenswerte Sprünge zu machen.Wir haben außerdem nach wie vor in dem dumm beschlossenen Gesetz äh,Schwächung des Datenschutzes, weil man jetzt zu allen möglichen Anlässen auf ungen äh genannt oder zum Anlass der Fehler,ähm der Fehlerbehebung und Erkennung von Störungen ähm langfristig also ohne Zeitbeschränkungen, alle möglichen Daten sammeln kann. Ähm.Also die Bestands- und die Verkehrsdaten seiner Kunden, das sind, wie ich auch schon mehrmals ausgeführt habe, die Daten, die dann nachher von der Abmahnindustrie abgegriffen werden, weil sie ja ohnehin da sind.Und ähm wir haben dann natürlich noch das Vertrauensproblem mit demBSI, das irgendwie gleichzeitig an Staatstrojanern mitentwickelt und jetzt irgendwie wissen,Angriffe haben möchte, die in Deutschland stattfinden. Davon unbeeindruckt äh wurde dieses Gesetz nun von dergroßen Koalition beschlossen, was wieder nicht überraschend ist, weil die große Koalition ja sowieso alles beschließen kann, was sie möchte und das nun auch getan hat, Kraft ihres Amtes.
Tim Pritlove
Tja, was haben wir nun davon? Von dieser Abstimmung. Also von dieser Wahl, ist wirklich frustrierend. Also man sieht man mal, wo man hinkommt, wenn wenn irgendwie zwei Drittel Regierungen sind und.Der Rest ist so unter Ferner liefen.
Linus Neumann
Es ist keine, das ist keine besonders schöne ähm,Situation, ne? Also,dieses Gesetz wird jetzt zumindest die IT-Sicherheit wahrscheinlich nicht unbedingt verringern, außer, dass halt irgendwie mehr Daten sammeln dürfen ähm und die halt dann irgendwie wieder von ausländischen Geheimdiensten abgegriffen werden. Aber ähm.So jetzt irgendwie wirklich zu sagen, dass er, also da ist jetzt nix drin, was irgendwie nennenswert geeignet ist und das erkennen die irgendwie auch selber an, ja? Also sie müssen halt jetzt mal was tun und so eine Politik äh kommt jetzt halt irgendwie durch, ja. Ist ein bisschen ähBedauerlich alles eigentlich.
Tim Pritlove
Gut, ist also erstmal beschlossen.
Linus Neumann
Ja, ist jetzt beschlossen, ähm dann,wird's jetzt noch so ein bisschen Umsetzung geben, also wenn ich das Recht entsinne war, dass bis jetzt noch, also die, die wirklichen Details müssen ja dann,per Verordnung gemacht werden. Also wer zum Beispiel jetzt kritische Infrastruktur ist und wer nicht, steht ja nicht in dem Gesetz drin, sondern wird vom.Innenministerium bestimmt. Ähm,dann müssen sie sich irgendwie ihre Sicherheitsstandards schreiben, dann müssen sie ihre ähm Alarmierungskontakte bereitstellen. Also da muss jetzt erstmal in den Betroffenen ähm.Kritischen Infrastrukturen nochmal viel Bürokratie erledigt werden. Dann müssen die Verbände irgendwann ihre,Sicherheitsstandards vorschlagen, da müssen die vom BSI abgesegnet werden. Also bis jetzt mal irgendwann so ein Sicherheitsstandard in in die Welt gesetzt wird, würde ich oder,in Kraft tritt, würde ich jetzt mal eher so schätzen, einem eher zwei Jahre.Also so ein dreiviertel Jahr oder ein Jahr bis sie den vorgeschlagen haben, dann wird er geprüft, dann wird er umgesetzt, beziehungsweise meine These ist ja, der ist schon längst umgesetzt zu dem Zeitpunkt, wo das,SI ihn dann irgendwann absegnet, weil die nix Neues vorschlagen.Ähm ja und dann.Ja, dann wird das halt irgendwie so passieren, ne. Dann dann kriegen wir irgendwann Lageberichte. Uns wurden ja jetzt Lageberichte versprochen. Das war äh glaube ich wirklich einer der peinlichsten Momente. Also dasin der in der Anhörung, da war ja auch der Herr Hange vom BSI, der dann also,darauf verwies, dass jetzt irgendwie zweitausendvierzehn erstmalig ein Lagebericht ähm,veröffentlicht wurde vom BSI und mittels der Meldungen, die man ja dann,Dank des IT-Sicherheitsgesetzes bekommt, will man jetzt noch äh die die.Die Öffentlichkeit beziehungsweise die Unternehmen in in den Genuss weiterer Lageberichte äh kommen lassen. Und in meiner Stellungnahme äh zitiere ich, glaube ich, die BSI-Lageberichte seit zweitausendzehn oder sowas.Zweitausendneun, also zweitausendneun, zweitausendelf, zweitausenddreizehn,Bundesamt für Sicherheit in der Formationstechnik, die Lage der IT-Sicherheit in Deutschland, ja? Also seit zweitausendneun herausgegeben, was der eigene Präsident nicht oder wusste der nicht, ich habe ihn ja darauf hingewiesen, vielleicht weiß er's jetzt.
Tim Pritlove
Michael Hanne, Präsident des BS.
Linus Neumann
Okay, ich meine, der ist jetzt auch wirklich in einer ähm in einer, also in einer,unschönen Situation, ne? Seine Behörde hat keinen besonders guten Ruf, der muss sich andauernd verteidigen, mal für,für Inkompetenz, mal für für irgendwelche Kooperationen mit den mit den Nachrichtendiensten.Oder mit der mit der Polizei ähm.Ist, glaube ich, auch nicht mehr der jüngste. Ich glaube, der blickt jetzt schon so ein bisschen in Richtung ähm.Richtung Fire.
Tim Pritlove
Fünfundsechzig.
Linus Neumann
Ja, aber also müsste der dann nicht, das ist doch ein ganz normaler Beamter, der muss doch dann bald in den Ruhestand gehen oder.
Tim Pritlove
Kann schon sein, kann schon sein.Muss jetzt auch nichts mehr, der muss jetzt auch nichts mehr reißen, meinst du.
Linus Neumann
Ich glaube, der will echt auch langsam seine Ruhe haben. Ich will jetzt auch nicht, ich würde auch nicht mit ihm tauschen wollen, ne? Also ich bin nicht scharf auf seinen Posten. Ähm.Aber man muss auch natürlich da die Grenzen sehen. So, der hat natürlich, wenn,das Gesetz hat jemand anders geschrieben, nicht er und ähm wenn ähm dann irgendwie jemand zu ihm kommt und sagt, hier ähm.Was brauchst du, was braucht ihr denn, damit ihr mal damit ihr hier mal wiederperformt und dann sagt er natürlich, ja, die, die Unternehmen wollen nicht mit uns zusammenarbeiten und wir haben keine Ahnung, also wird halt ins Gesetz geschrieben müssen mit dem BSI zusammenarbeiten und wenn das BSI keine Ahnung hat, dann müssen eben da die dann machen wir halt jetzt eine Berichtspflicht. Insofernja, also jeder beackert halt sein eigenes Feld und das BSI eben. Das BSI eben seines und ähm ja,Da kann er auch nichts für. Ich weiß nicht, ob ich besser äh ob ich den Laden in irgendeiner Form besser dastehen lassen könnte als er.
Tim Pritlove
Na ja, auf jeden Fall wär's eigentlich ganz angemessen, die neuen Sicherheitsstandards dann äh mal frühzeitig einzuführen, denn äh demnächst steht ja so ein ja, so ein äh ins HausWir kennen das alle, manchmal also manchmal hat man sich einfach so sein Setup so dermaßen in Grund und Boden äh gefahren, dass man einfach überhaupt nicht mehr durchblickt und irgendwie ist alles kacke und keine Ahnung, was da alles noch im Netz hängt.Ja und dann äh nimmt man die CD, ne, schiebt die da so rein in den Computer und dann.
Linus Neumann
Installiert zwei zwanzigtausend Computer neu.
Tim Pritlove
Genau so, von von Floppidis am besten noch so wie früher, ja, so mit so einem ganz,äh floppy Disc stapeln, die man dann so alle fünf Minuten wechseln muss.Das steht äh offensichtlich demBundestag äh bevor denn aus dieser Situation wollen wir am Anfang überhaupt nicht klar war, was äh passiert ist, ist jetzt eine Situation äh entstanden, wo man, wo eigentlich wo immer noch nicht so richtig klar ist, was eigentlich passiert ist, aber man ist sich zumindest sicher, dass irgendwas passiert ist und dass die einzige Möglichkeit, das Ganzeauf Vordermann zu bringen, darin besteht alles neu zu machen,dass ähm ja, dass es jetzt halt die Situation im Bundestagsnetz, mir ist nicht,ganz klar, vielleicht kannst du da ein bisschen dicht drauf äh schütten, ob man weiß, was eigentlich jetzt alles komplett betroffen ist und in welcher Form.
Linus Neumann
Also in den letzten Wochen haben wir ja noch unter so ein bisschen Informationsmangel gelitten. Es gab relativ ähm wenig äh öffentliche Informationen über oder belastbare, öffentliche Informationen über diesenTrojanerangriff im Bundestagsnetz. Es gab.Allerdings relativ viele Spekulationen. Dazu gehört dann auch die Meldung der letzten Woche so ja,brauchen komplett neues Computernetz, wir können das alles rauswerfenund äh und neu kaufen, ja? Das war irgendwie eine Spiegel Onlinemeldung. Dazu komme ich gleich nochmal. Ähm wir wissen jetzt auch ein bisschen mehr.Über darüber, was da jetzt wirklich genau los ist. Aber vorher möchte ich mal so ein bisschen die Stellungnahmen der letzten Woche äh Revue passieren lassen. Da haben wir nochmal den Herrn Hangel, der korrekt feststellt, hundert Prozent äh sichere System,gibt es nicht.
Tim Pritlove
Der Klassiker, super.
Linus Neumann
Aber jetzt, jetzt kommt's halt, jetzt kommt, es wird halt wirklich witzig. Es geht jetzt darum, also wir wissen so viel. Es gibt Trojanerinfektionen im Netz des Bundestages. Es gibt offenbar,anhaltende Schwierigkeiten, die aus dem Netz vollständig rauszubekommen.
Tim Pritlove
Mhm.
Linus Neumann
Und eigentlich zuständig ist der Verfassungsschutz,denn der Verfassungsschutz, in dessen Aufgabenbereich fällt ja die Spionage abwehren,Und wenn du Trojaner im Bundestagsnetz hast, die da schon zwanzig Gigabyte rausgetragen haben, dann könnte man von Spionagesprechen. Klar, da müsste jetzt nochmal ein Anfangsverdacht her, dann müsste der Generalbundes der Generalprüfanwalt ermitteln und dann irgendwie nach einem Jahr sagen, es gibtKein Anfangsverdacht, aber grundsätzlich, wenn zwanzig Gigabyte, wenn ein,Trojaner zwanzig Gigabyte aus deinem Bundestagsnetz rausschaufeln,man meinen, dass das eventuell mit Spionage zu tun haben könnte.Wenn das so wäre, dann hätte da halt der Bundesverfassungsschutz äh äh sich drum zu kümmern.Aber die Oppositionsparteien, allen voran die Linkspartei, sagen natürlich,Der Verfassungsschutz, den wollen wir hier nicht drin haben. Verständlich, weil ja die Billingspartei,meisten ihrer Mitglieder so von dem Verfassungsschutz beobachtet werden, ja?Und ähm außerdem man natürlich eine Exekutiv,nicht in der Legislative rumpfuschen haben möchte.Ähm entsprechend sagt dann auch Armin Schuster von der CDU, äh ja, dass äh dass man sich dann aber lieber von einem fremden Geheimdienst ausspionieren lässt, äh kann natürlich auch nicht sein. Also,Ich fand das nur sehr witzig, das halt so. Hallo, wir kommen vom Verfassungsschutz und wir würden gerne ihren Rechner mal anschauen, wir haben gehört, da sind Trojaner drauf und dann sitzt da so die Linkspartei Leute so, äh wollt ihr uns verarschen?
Tim Pritlove
Ja, ist wirklich absurd, ne? Ist auch schön zu sehen, wie äh das Misstrauen da äh innerhalb der,Gremien unseres Systems da schon so stark angewachsen ist, dass da eine Kollaboration auch überhaupt undenkbar ist, ne? Na gut, was Geheimdienste betrifft sicherlich auch sehr angemessen.
Linus Neumann
Es gibt jetzt auch zwei Theorien oder es gibt zwei kolportierte Geschichten, wie man überhaupt darauf aufmerksam geworden ist,Die eine ist das also eine Mitarbeiterin,oder Abgeordnete des Bundestages äh unregelmäßigkeiten an ihrem Computer festgestellt und diese gemeldet hat.Die andere ist, dass es einen Hinweis vom Verfassungsschutz gab, der festgestellt hätte, dass es eben,dieser Trojaner zu bekannten gibt. Das sind so die beidendie ich auf der einen Seite, wenn ich das mit dem Verfassungsschutz, auf der anderen höre ich das mit der mit den Mitarbeitern Slash Abgeordnetenich weiß jetzt nicht genau, welche von beiden war es, deswegen erzähle ich einfach mal beide, um auf jeden Fall eine falsche Geschichte erzählt zu haben,vielleicht sogar zwei falsche, wer weiß?
Tim Pritlove
Ja. Und?
Linus Neumann
In meinen Notizen habe ich jetzt noch so zwei andere Zitate, die ich noch gerne loswerden möchte, bevor ich endlich mich dem Thema vernünftig,also mir geht's noch kurz darum, wie wie Kapital geschlagen wird, ne, also BSI in der Verteidigung.Oppositionsparlamentarier gegen dagegen, dass der Verfassungsschutz reinkommt.Am Ende hat jetzt den Auftrag bekommen, die Karlsruher Firma BFK. Ähm dazu komme ich später. Ähm,der äh Herr Münch, der äh vom BKA, der Nachfolger von Zirke, sagte dann, ja,Das Problem ist ja hier, ist der, der Bundestag hat seine eigene Bundestagspolizei,erst, wenn die das BKA ruft, können wir da endlich rein,das hat sich zum Glück oder wird sich jetzt durch das IT-Gesetz, IT-Sicherheitsgesetz ändern, denn da.Soll auch die Kompetenz des BKA ausgedehnt werden auf ähm Angriffe auf Bundeseinrichtungen. Insofern äh macht der dann nochmal Wind äh aus dieser Nummer.Und dann hatten wir den guten Herrn Maaßen vom Verfassungsschutz, äh der sagt, ja äh es gab ja Jahre, in denen Atomkraft in Deutschland als saubere Technik galt,Damals hat niemand die Nebenwirkungen dieser Technologie wahrgenommen.Die gleiche Gefahr drohe heute bei der Technologie des Cyberraumes. Und er,schaut also mit große beobachtet, mit großer Trauer, wie unbekümmert das Internet von der Bevölkerung wahrgenommen werde.Von anderen Seiten für Spionage, Sabotage und Propaganda benutzt werde. Das Internet ist Realität,anderes und anders als bei der Atomkraft gibt es auch keinAusstieg aus dieser Technik mehr. Also eher äh warnt, äh im Allgemeinen vor dem Internet.Jetzt kommen wir endlich zu dem zu dem technischen Teil, denn wir haben jetzt auch ein bisschenkleines bisschen technisches Wissen erlangt. Und zwar.Wie gesagt, die Karlsruher Firma BFK ist da jetzt reingegangen, die machen schon länger solche Forensik Aufgaben, haben da auch einen ganz guten äh haben da auf jeden Fall Erfahrung in diesem Bereich und,es sieht danach aus, dass der dort verwendete Trojaner äh mit dem Tool Kit Mimic,gebaut wurde. Das äh gibt's auf GIT-Up, habe ich auch mal verlinkt, also wer,nächsten Trojaner bauen möchte, das ist halt so ein so ein Tool Kit, wo halt so ein paar einfach,Angriffssachen schon mal mit drin stehen, wo man sich halt leichter,eigenen Trojaner bauen kann. Und jetzt gab's die Meldung, dass auf vierzehn Rechnern.Software gefunden worden wäre, beziehungsweise bei vierzehn RechnernDatenabfluss registriert wird. Das wird war also in den Berichten nicht klar, äh ob das jetzt auf auf diese wie das jetzt genauauf die einzelnen Rechner zutrifft. Und der Geschäftsführer von BFK sagt,dass man da jetzt zwanzigtausend Rechner wegschmeißen muss.Äh ist Unsinn.Man kann die irgendwie im Zweifelsfall neu installieren und dann hat man hat man die Sache hinter sich so und er sagt auch, dass er schon Schlimmeres gesehen hat, bei anderen Unternehmen, die irgendwie äh größer infiltriert waren.Na ja, ähm aber er fühlt sich also, als sei er äh dieser Sache her,Einfallstor wird momentan öffentlich kolportiert, dass das per E-Mail stattgefunden hat, also ein ähm dieser Trojaner an mindestens zwei Rechner imim Deutschen Bundestag gesendet wurde.Und dann eben diese äh die Rechner dieser Opfer, die dann den,einen Link oder einen Anhang in dieser E-Mail geöffnet haben,infiltriert hat und dann eben angefangen hat sichauszuweiten. So macht man das auch mit einem Trojaner. Also das Schöne ist ja, wenn du dann einmal in dieser Trusted Zone drin bist, hinter diesen ganzen äh Virenscannern, E-Mail-Servern und Firewalls und einKanal zu deinem Trojaner hast, dann kannst du dich natürlich sehr schön,erstmal ausweiten und anfangen, andere.Rechner zu infizieren und dann eben auch andere Schwachstellen,ja, also welche, die lokal gehen und so weiter. Dann.Das haben auch die Angreifer getan und haben dann letztendlich,was in den Medien beschrieben wird als Administratorrechte für die gesamte IT-Infrastruktur erlangt,ich gehe davon aus, dass sie meinen, dass sie den,den Win Windows Domain Admin haben.Also dass sie ähm kann sich das so vorstellen, so ein so ein, so ein.Netz aus vielen Windows-Rechnern. Das wirdPrinzip dann zentral gemanaged, wer in größeren Unternehmen arbeitet, der weiß auch, dass er sich mit seinem Rechner immeran einer Domäne anmelden muss, ja? Teilweise ist das sogar so weit, dass die Rechner sich nicht anschalten oder dass man sich nicht einloggen kann, wenn der Rechner nicht eine,Verbindung zu diesem Domänenserver hat, die kann er zum Beispiel über einen VPN haben oder eben teilweise auch nur, wenn er sich in diesem Heimnetz befindet.Und diese ähm.Dieser Domänen-Administrator kontrolliert zum Beispiel dann auch die die Sicherheitseinstellungen der einzelnen Rechner,der einzelnen Nutzer, ja, also,meldest dich halt quasi mit deinen Nutzer, kannst dich mit deinen Nutzerrechten auf jedem einzelnen Rechner anmelden,und kriegst dann immer deine eingeschränkten Normalnutzerrechte, ähm wenn du aber irgendwie Administratorrechte hast, dann kannst du dich an jedem Rechner als,Administrator anmelden, also lokaler Administrator, das heißt, der Mitarbeiter kommt zu dir, geht an deinen Rechner, meldet sich an, sagt hier, ich bin der Admin, ich kann jetzt hier einen Druckertreiber installieren oder was,und das wird alles zentral in diesem Domänen-Service,Directory gemanaged. Ich ich höre daraus, dass sie darauf Zugang haben.Und dadurch können sie natürlich dann auch beliebige andere Accounts übernehmen. Häufig ist da dann auch der,E-Mail drangeknotet, weiß ich aber nicht, ob's in dem ob's in den Bundestag so ist,aber letztendlich, wenn du, wenn du erstmal.So Administratorrechte Hass gibt es eigentlich nichts mehr, was sich davon abhält, deinen Zugriff entweder,im Rahmen deiner Rechte oder im Rahmen von Angriffen, die dadurch möglich werden, auszubauen. Und ähm das scheint hier,passiert zu sein.
Tim Pritlove
Ja, das ist so, halte auch das klassische ähm Problem, ne, also was leicht zu administrieren ist, bietet auch gleich große Angriffsvektoren und wenn die halt einmal ausgenutzt worden sind, dannist es eben auch sehr schwierig, dem wieder Herr zu werden. Man fragt sich natürlich auch ininwiefern halt hier frühzeitig für äh lockigen Maßnahmen gesorgt wurde. Also wenn man jetzt so im Nachhinein versucht,zu vollziehen, müssten natürlich möglichst viele administrative Schritte auch so mitgelockt werden, damit man eben nachträglich sehen kann, okay, in dem Moment, wo hier einmal ein Trojaner als äh wilder Admin unterwegs war, dass man zumindest mal sieht, was was äh wurde denn eigentlich tatsächlich getan von diesem Accountvielleicht nicht von irgendeinem unserer Mitarbeiter gemacht wurde.
Linus Neumann
Genau und gleichzeitig möchte sich aber der äh Trojaner ja ähm verstecken.Und ich habe dann mal äh mir das Telefon zur Hand genommen und habe mal ein ähm,einen ehemaligen Cyberkrieger äh angerufenUnd zwar ist das eine Person, die selbstverständlich anonym bleiben möchte,und die so ungefähr zehn Jahreim Dienste des Militärs, Offensivoperationen durchgeführt hat, also genau das,getan hat, worunter jetzt der äh genau solche,Operationen durchgeführt hat, worunter jetzt der der Bundestag leidet.Und ich habe dann mal so gefragt, ja sag mal wieWie habt ihr das denn gemacht? Und ähm ich gebe jetzt mal so ein bisschen seine äh Maßnahmen wieder. Wie gesagt, das Land bleibt auch ungenannt. Eine ein Militär irgendwo auf dieser Welt. Ähm der hat gesagt, ja, alsoEr hat ihre erste Maßnahme war immer in einem Zielland, die,ähm Telkos zu hacken, also die Telefonie, Infrastruktur,-Betreiber, ja? Also in in unserem Fall wäre das jetzt dann da dann die die Deutsche Telekom oder so.Ähm wobei ich jetzt genau sagen möchte, also das ist jetzt jemand, der das so erzählt, wie er das gemacht hat,in einem anderen Land und ich behaupte jetzt nicht, dass die Deutsche Telekom gehackt worden wäre. Ah, die haben also erstmal die die die Telefoniebetreiber in ihre unter ihre Kontrolle gebracht und,waren dann hauptsächlich erstmal damit beschäftigt ähm aufzuräumen und die ähm die anderen ähm Hacker zu verjagen.Meistens irgendwelche, also er hat gesagt, das wären bei ihnen dann irgendwelche rumänischen äh ähm,äh hier ähm Händler gewesen oder so, diese die halt irgendwie Bandbreite brauchen,Und ähm sie haben also dann in der Regel ähm,Also erstmal Sicherheitslücken entfernt und andere rausgeworfen, die halt auch auf diesem System sich schon getummelt hatten.Was meine These äh bestätigt, dass die beste, der beste Scan, ob dein, ob ein Rechner gehackt wurde im Unternehmensnetzwerk ist, zu gucken, ob die,Kiste gepatcht ist. Ja, also wenn wenn auf einmal Sicherheitslücken,sind, dann kannst du davon ausgehen, dass da ein Hacker drauf ist, weil ähm,der natürlich als allererstes versucht andere rauszuhalten, ja?Grund, warum sie die rausgehalten haben, war aber, dass die zu auffällig waren,und hat gesagt, ihm ist sie halt auf den Sack gegangen, dass immer wieder irgendwelche äh Kleinkriminellen da drauf sind, dass ihre Kisten dann, was weiß ich, ein paar Gigabyte, äh Raubkopien haben verteilen lassendas den Telkos aufgefallen ist und die dann die Kisten neu installiert haben und dann mussten sie wieder von vorne anfangen und sich da neu reinhängen.
Tim Pritlove
Das ist geil. Das ist wirklich cool. Das heißt, wenn du wenn du dir erstmal einen richtigen Hacker eingetreten hast, dann sind die Kisten jetzt erstmal sicher.Halt leider schon explodiert.
Linus Neumann
Also der Typ hat gesagt, ähm also der weiß, in welchem Bereich ich arbeite.Und hat gesagt, na ja, du machst ja auch Telko Sicherheit.Und er halt auch, ja? Äh weil er halt eben die seine Kissen, die er geordnt hat, abdichtet gegen andere Angreifer, insofern hat er gesagt, wir haben im Prinzip dasselbe gemacht und ähm,Ja, denn ähm also,und der Angriff dahin war aber dann also natürlich so über über E-Mails oder sonst was, ne, da hat man halt dann versucht zu fischen oder sonstwa,Also als allererster Schritt,Du kontrollierst die Telkos, äh passt auf, dass das demnächst passiert, dass die in Ordnung sind,keine anderen Geheimdienste da reinkommen und so. Und dann wartest du einfach auf,ähm.Den nächsten Zero-Day, den entweder dein äh deine Geheimdiensteinkaufsabteilung kauft oder den du einfach im Internet äh dir googelst, wenn mal wieder irgendwas auf Fuld Discer gelandet ist.Ähm dann brauchst du ungefähr einen Tag um,Zero Day, ich soll ja Begriffe erklären, Zero Day eine,bisher öffentlich Unbekannte und in äh den.Der Wildbahn aufzufindenden Systemen noch nicht gepatchte Sicherheitslücke.Besonders interessiert waren sie natürlich so in äh Drivebike Exploits, also Möglichkeiten,es ermöglichen nur durch das besuchen einer Webseite.Einen Rechner zu infizieren, also beliebte Einfallstore, da natürlich,Flash Player, ähm wo man sowas eigentlich fast monatlich findet.Ähm oder äh so PDFs waren auch lange Zeit sehr gut geeignet, ist ein bisschen weniger geworden. Ähm,andere Möglichkeiten irgendwie aus dem Browser rauszuklettern. Und äh auf dem System Code auszuführen.Und dann haben sie das in der Regel mit einer haben sie halt diesen äh diesen Zero-Day mit einer sehr kleinen verbunden, das war dann einfach nur ihr Infektionstool. Das macht erst mal,Das ist jetzt erstmal noch gar kein Trojaner, sondern das listet sich erstmal nur auf dem auf dem befallenen System ein. Und was sie dann gemacht haben ist, äh das fand ich dann sehr spannend.Sie haben dannähm den DNS-Server ihres des Telkos, den sie geordnt haben, einfach für beliebte Seiten,zum Beispiel was weiß ich, Google oder Jaho oder äh irgendwelche in dem Zielland dann eben beliebte Seiten,ähm so umgeleitet, dass sie noch einen kleinen Teil Code mit in die Seite reingeschrieben haben,eben dann mit diesem Zero-Day und mit der mit ihrer kleinen Payload, die die Zielsysteme dann infiziert.Und das haben sie für kurze Zeit gemacht, dann hat's natürlich sofort zigtausend ähm Infektionen, sie waren sogar noch so elegant zu gucken, dass esdass das dieser Code nur dann eingebettet wurde wenn das Zielsystem auch verwundbar war ja damit du nicht irgendwie mit anderen Browsern auf einmal Vergleiche machst oder so dass es relativ unentdeckt bleibt.Und dann ähm hast du also eine größere Menge Menschen,infiziert. So, da hast du aber noch nicht deine Zielperson infiziert. Du willst ja wahrscheinlich, du willst ja Regierungsmitarbeiter oder sonstwas haben und dann haben sie die nächsten Monate erstmal damit zugebracht, auszusortieren.Und ähm die die Guten kamen quasi so,wie heißt das, die Guten ins Töpfchen, die schlechten ins Tröpfchen, ne,denen war das so, die Guten kamen also ins Spionagetöpfchen,die schlechten ähm haben sie natürlich trotzdem infiziert gelassen,und dann nachher um halt für andere Maßnahmen die zu gebrauchen, so oder sonst was, ja? Also wenn du mal einmal ein System geordnt hast, dann äh wirfst du das jetzt nicht einfach wieder weg. Ähm.Und ihre Trojaner haben dann erstmal oder diese ersten Infektionspakete, die schlafen dann erstmal ziemlich viel. Also die machen erstmal gar nichts. Die sind ja dann erstmal eingenistet und dann wollen die ja möglichst nicht auf sich aufmerksam machen. Und dann hat er gesagt, das allererste,Also wenn der dann irgendwann mal meint, was machen zu müssen.Ist, das erste äh eine Pornoseite zu besuchen.Weil das so ungefähr das unauffälligste ist, was du in so einem Netz machen kannst.
Tim Pritlove
Was? Warum?
Linus Neumann
Und weil's weil's dann natürlich also drei Gründe, erstens das Feld in so einem Monitoring-System nicht auf, die Leute besuchen andauernd Pornseiten. Zweiten.Zweitens, zweitens.
Tim Pritlove
Von welchen Leuten ist hier die Rede jetzt? Von so beliebige Firma oder äh schon sowas wie sowas wie Bundestag?
Linus Neumann
Was auch immer halt grade deren Ziel war, ne? Also da darüber hatte mir natürlich nix erzählt. Er hat nur ähm.
Tim Pritlove
Okay, also auch egal, was es ist, die Pornseite passt immer.
Linus Neumann
Genau. Das allererste, was diese Infektions, also das das kleine Infektions,ne? Kleines Teil, winzig, schmal, einfach nur erstmal einbetten,und irgendwann dann sich zu seinem Kommandanten-Control-Server zurück zu verbind,Das Erste, was es macht, ist erstmal eine Pornoseite aufrufen. Erstens, weil fällt nicht auf,Zweitens, weil wenn es auffällt, sieht's nicht nach nach äh aus, sondern nach irgendwie äh irgendeiner kleinen Billobande oder irgendwie so eine äh irgend so einÄh Trojaner halt, den man sich halt auch mal irgendwie einfangen kann.Und drittens, durch diesen Zugriff konnten sie relativ viel über die Infrastruktur,erfahren, in der sie gerade sind. Denn wenn die Pornoseiten gesperrt sind, weißt du schon mal, aha,du bist im es gibt einen Content-Blogger, ja?Hat das hat der Trojaner eben also erstmal so durch solche,scheinbarsimplen Maßnahmen, unauffällige Maßnahmen. Ach so und ein weiterer Grund, warum Pornoseite du bist auf diesem äh Webporten Ports unterwegs, ne? Achtzig oder vier vier drei, auf denen sowieso der meiste Traffic ist. Unddu jetzt irgendwelche anderen öffnest oder auf anderen Port sprichst, ähm läufst du natürlich Gefahr äh in so einem Netzwerk sofort irgendwelche Alarm äh Alarm auszulösen, ne?Und Firewall-Regeln zu verletzen oder sonstwas. Und ähm.Dann hat der Trojaner weiß oder dieses kleine Infektionstool weiß dann irgendwann okay, so sieht's hier aus und entscheidet sich dann für den,wahrscheinlich unauffälligsten und sichersten Weg.Zu seinem Command in Control Server eine Verbindung aufzunehmen. Commanding Control Server ist das, also ich ich habe ja meinen Trojaner jetzt irgendwie auf diesem Zielsystem, aber irgendwohin muss der ja nun mal zurückverbinden, um Fragen zu stellen.Irgendwohin muss der ja mal ähm die Daten, ähm die er dann gesammelt hat.Ähm hinschicken, irgendwoher muss der seine Updates bekommen, irgendwoher muss der seine Befehle bekommen, was er jetzt tun soll und so weiter. Also es muss immer zwangsläufig einen Command in Control-Server geben. Ähm,Und die Frage ist natürlich, wie verbindest du zu dem hin? Und das ist natürlich auch immer so eines der größten ähm,Probleme, wenn du so einen Trojaner hast. Vor allem wenn, sage ich mal, dein Trojaner jetzt irgendwie,ich hab da letzte Mal so 'n Witz drüber gemacht, wenn der nach China funkt, dann weiß es sind die AmerikanerAlso wenn der in ein anderes Land funkt, dann fällt das halt unter Umständen auf. Ähm also haben die gesagt, dass als allererstes haben sie natürlich sowieso erstmal in dem Land selber.Ähm Server,oder gemietet und diese als Kommandanten-Control-Server genommen,weil wenn du dann quasi deinen Command in Control-Traffic über HTP im,nationalen Bereich machst. So, dann bist du einfach in dem Bereich, der am absolut ähm.Sage ich mal, harmlosesten erscheint und gleichzeitig am absolut schwierigsten irgendwie zu kontrollieren und zu filtern und zu durchsuchen ist.Also Server.
Tim Pritlove
Ist ja dann im im äh im Schengen-Netz.
Linus Neumann
Genau, hast du Schengenrouting? Schengen-Commanding-Control.
Tim Pritlove
Total sicher.
Linus Neumann
Genau und das waren aber dann natürlich nur Proxis und irgendwann schaffst du's dann halt über irgendwelche Kanäle irgendwie wieder zu dir, ja? Ähm.So, das heißt, die Command and Control, hauptsächlich durch irgendwie was etwas, was aussieht wie Web und ähm.Was äh was irgendwie äh.Im im möglichsten noch im eigenen Land ist, weil die großen Monitoring-Systeme, die dann so Unternehmensnetze und sowas haben, äh sie sagen natürlich so, okay, in welcheRichtung gehen hier die Verbindungen und ins eigene Land ist natürlich immer die Kategorie, die sie am besten finden. Oder oder die sie am beruhigensten finden.Und ähm dann hatten sie halt relativ langsame Kommunikation eben durch so HTTP Request, wo der Trojaner halt quasi im Post dann seine Antwort gibt und im Gat dann gesagt kriegt, was er machen soll. Und da haben sie dann ähm entsprechende,oder überhaupt mal erst entsprechende Trojaner dann rübergebracht,Da haben sie auch, ähm also der, mit dem ich jetzt gesprochen habe, auch ähm,Standards genommen ja? Und sagte irgendwie so, warum sollten wir das nicht benutzen,dat reicht völlig aus. Ähm teilweise sogar irgendwie einfache Net Cat äh Skripts, also Netcat, ein Standardtool in Unix, mit dem man,oder Pakete senden und empfangen kann, Ports öffnen kann und so.Haben sich dann da relativ einfache Kommunikation gemacht,sind ähnlich vorgegangen, wie dieser Trojaner, der jetzt hier ähm die Rolle spielt, nämlich ähm,dass sie,und PowerPoint-Dokumenten gesucht haben und eine Liste der Dateien zurück nach Hause gefunkt haben und der nächste Befehl war dann ebenso die Bestellung, ne? Gebt mir mal Datei eins, fünf, sechs und sieben,Haben sie die zurückgeschickt und ähm in der Regel war dann wieder der Befehl ähm Schlaf versucht zu fix zu machen. Ähm,Außerdem hat er natürlich verschiedene Rückkanäle, also diese HTTP-Sachen und dann noch, sage ich mal, etwas mutigere Kanäle, die man dann probieren kann, äh wenn,HTTP-Kanal gesperrt ist oder,wenn alle Seiten gesperrt sind, die der potentiell als Kommander Control-Server aufrufen kann und so weiter. Dann gab's für für gehacktes Server, fand ich noch sehr witzig. Da hatten sie einfach ein ähm haben sie aufauf UDP, auf äh auf kleine Pakete gewartet.Und äh mit denen man quasi den Trojaner zum Erwachen bringen konnte und dann haben sie einfach,aufgemacht, wo sie dann einfach Befehle empfangen haben. Das heißt,Server schlummert die ganze Zeit rum, wartet auf ein geheimes Signal von dir. Ähmdass ihn zum Erwachen bringt und öffnet dir dann auf einem Port,eine Rutsche, mit der du ihn dann administrieren kannst.
Tim Pritlove
Ist das denn so oder ist das dann irgendwie auch noch verschlüsselt üblicherweise?
Linus Neumann
Da er sagt er jetzt mit gemacht er hat gesagt einfache X-Ohr Verschlüsselung weil er wollte da jetzt nicht irgendwie noch 'ne Zertifikate drüber legen.
Tim Pritlove
Also einfach so eine so eine Verschleierung, dass jetzt sowas nicht sofort auf den ersten Blick auffällt, sondern nur so.
Linus Neumann
Genau, er hat einfach irgendeinen X Ohr mit reingenommen in dem Befehl, den er halt über Netcat prinzipiell unverschlüsse,hingeschickt hat. Nur damit halt, wenn's mal einer sieht, die nicht sofort sehen, was da los ist.
Tim Pritlove
Für die ähm binärunfähigen unter euch äh X-Or ist halt einfach so das um umklappen lassen von den den Bits in im Datenstrom und.Wenn man's einmal so macht und dann nochmal so macht, dann hat man wieder das, was man vorher hat.
Linus Neumann
Genau, also das kann man eigentlich ganz einfach erklären. Du hast zwei Datenströme, die gehen irgendwie null, eins, null, eins, null, eins, null, eins,zweite Datenstrom geht hier auch irgendwie, eins, eins, eins, eins, null, eins, eins, null, eins, eins, eins, eins, eins, null. Und das X-Ohr heißt, wenn beide gleich sind,dann ist mein verschlüsselter Datenstrom eins,wenn beide nicht, wenn die beiden nicht gleich sind, ist mein verschlüsselter Datenstrom null. Und,du musst jetzt quasi ein, wenn du einen der beiden Datenströme kennst, kannst du das zurückschalten. Du lachst, habe ich's jetzt falschrum erklärt?
Tim Pritlove
Aber das war nicht die einfache Erklärung, aber ist egal.
Linus Neumann
Total einfach.
Tim Pritlove
Ja, ja. Mhm.
Linus Neumann
Okay, also wenn du den einen.Wenn du den einen Datenstrom kennst.Kannst du aus dem Ergebnis des X-Ors halt sehen, okay, dass der andere Datenstrom hatte an der Stelle den gleichen Wert oder einen anderen,es gibt nur zwei Werte, die sind null und eins und deswegen kann's halt so. Ja. Ich hab's aber zumindest versucht zu erklären.
Tim Pritlove
Ist schon okay, ist.
Linus Neumann
So. Und das, was er dann erzählt hat, um jetzt mal, den habe ich ja schon genug erzählt, wie wie sie so vorgehen, also was ich sehr schön fand, ist, dass sie eben,entgegen meiner ähm eigentlichen Erwartung eben nicht besonders krasse Selbstentwicklungen hatten,sondern wirklich sich von so an Feld, Wald und Wiesen Trojaner Tool Kids bedient haben,Und der eigentliche Teil, den sie immer nur brauchten, war ähm.War halt eine eine Einfallslücke, die man eben aufm Schwarzmarkt kaufen kann. Ähm,und dann eben natürlich alle aktuellen Virenscanner, um um ihre um ihre Myware halt zu prüfen, ob die von den Virenscannern irgendwie erkannt wird, wurde sie natürlich nicht. Ähmzumal sie natürlich auch dann dieses Infektionstool, wenn das erstmal den Trojaner nachgeladen hat, dann vernichtet sich das natürlich auch wieder selbst, weil es sich nicht mehr braucht und äh man natürlich nicht möchte, dass dieser schöne, wichtige,Teil der eigentliche wichtige Infektionsteil ähm in von Fremden wirklich äh entdeckt wird.So und dann habe ich natürlich auch mit ihm darüber gesprochen, okay, dann bist du da irgendwie drin,was machst du denn, wenn du entdeckt wirst, ja. So und,da sagte er halt, ja das Problem ist natürlich, was die haben. Du hast natürlich bei denen, sagen wir mal, wenn jetzt nicht,Denke immer an Unternehmen, ja, oder in irgendwelchen Organisationen. Bei den unwichtigen Leuten, ja, die hast du natürlich auch trojanisiert, aber bei denen machst du nix,den schläfst du einfach nur die ganze Zeit, weil du interessierst dich ja gar nicht für den Scheiß,benutzt, weil höchstens mal um andere in dem in deinem Netzwerk anzugreifen,und einfach, wie, wie ich schon sagte, so, man schmeißt ja nichts weg, wenn du einmal eine Kiste geordnet hast. Ähm.Und wenn jetzt bei den, bei den wichtigen wirst du aber natürlich ein bisschen auffälliger, weil du ja irgendwann musst du ja irgendwie die Datenmengen da rauskratzen. Und wenn dann irgendwann jemand,Verdächtig wird, dann kriegst du das relativ schnell mit, weil du dich zum Beispiel alarmieren lässt, wenn auf dem Rechner ähm,klassische Tools verwendet werden, mit denen man so Anfangsverdachten nachgeht. Einer ist zum Beispiel äh so,Tools, ja, dass du halt guckst, okay, hm, hier ist so eine Systemdatei, die wird geladen, die ist auch völlig in Ordnung. Ähm,Jetzt will ich aber mal gucken, ob das auch wirklich die ist, die auf der Microsoft Windows CD mitgeliefert wird.Und da gibt's halt dann eine Prüfsumme, MD fünf. Und dann guckst du halt, ist die, ist diese Datei die gleiche, wie ich erwartet habe. So. Und einer der einfachsten äh Tools, einer der einfachsten Tricks ist natürlich, du patscht das MD fünf, sodass es, wenn dass du halt eine,das eigentliche Integrity Prüftool so stellst, dass es für alle Dateien, die du ähm.Verändert hast oder die bösartig sind, die ähm Prüfungen zurückliefert, die der Prüfende eben auch erwarten würde,Okay, aber das sind alles äh Tricks, der, der, weiß ich, wahrscheinlich achtziger Jahre schon gewesen.Und das hast du halt auch bei jedem Roadkit Bausatz eigentlich schon so mit drin.Aber er hat gesagt, okay, in der Regel, selbst wenn mal jemand was entdeckt hat, was selten genug vorkam, dann haben sie angefangen einzelne Kisten irgendwie zu formatieren oder soaber solange du noch einen Fuß in der Tür hast und sei es irgendwie der was weiß ich,der Rechner vom Praktikanten, ja? Kannst du dann ja immer in mühseliger,aber langsam wieder deine, deine Infektionen ausbauen, ja? Du kannst,Angriffstools nachladen, weil du ja immer noch auf deinen Schläfern was was hast. Und er sagte also, dieses Schlafenist eben das äh das Wunderschöne, was dieses Entfernen so schwierig macht.Wenn ähm.Um jetzt quasi den schlafenden Teil wirklich zu erkennen, musst du eben eine sehr, sehr ausgiebige Forensik deines äh eines betroffenen Systemes machen, da genau drauf schauen und genau gucken,Und da kommen wir jetzt langsam zu dem Punkt, dass nämlich gesagt wird, es ist einfacher und besser und sicherer, wenn wir den ganzen Scheiß einfach einmal neu installieren und alles platt machen.
Tim Pritlove
Kopfläuse in der Kita Linus.
Linus Neumann
Muss man da auch alle Kinder umbringen oder was?
Tim Pritlove
Nee, aber ich meine, du hast natürlich dasselbe Problem, wenn du nicht irgendwie alle Leute bei allen Kindern irgendwie entfernt bekommen hast, so, dann äh äh werden die sich immer wieder ausbreiten und die sind halt auch ziemlich schwierig äh zu finden. Manman kann schon mal äh alle Eltern dazu auffordern, mal regelmäßig durch die Haare zu gehen und das machen sie dann auch, aber du findest natürlich auch nicht unbedingt jede Lause, wenn du halt sicher sein willst, dann musst du halt wirklich mal entweder alle Kinder äh äh ein passendes Shampoo äh äh packenja? Beziehungsweise sollte das irgendwie nicht verfügbar sein,irgendeinen Zusammenbruch unserer öffentlichen Ordnung. Äh da hilft dann halt auch einfach nur noch der Rasierer,Also das ist sozusagen in etwa das, was dem,bevor steht, dass jetzt hier sozusagen alle Mitglieder der Digital des digitalen Bundestags,mal zum Glatzenscheren.Berufen werden.
Linus Neumann
Ich gebe zu, das war ein besserer Vergleich als äh als der, als meiner, wie ich das X-Or erklärt habe, aber ich möchte zusagen, ich möchte noch sagen.Es ist sogar noch.Geht halt dann in dem Fall noch sogar nur um die Eier von den Läusen, ne? Läuse sind ja wahrscheinlich keine Säugetiere, also vermute ich, die legen Eier.
Tim Pritlove
Nissen, ja, genau. Richtig.
Linus Neumann
Und und.Die solange solange du nur so ein Läuseei irgendwo noch in dem in der in der Kita liegen hast, ne, kannst du halt als als Läusehacker immer wieder neu äh zum Angriff ansetzen.
Tim Pritlove
So sieht's aus. Aber das ist schon ganz äh brauchbares Bild, so.
Linus Neumann
Und er sagte also, er sagte halt, er wäre es wäre ihm eigentlich nicht unterge,dass sie jemals irgendwo, wo sie einmal einen Fuß in der Tür hatten, jemals wirklich vollständig wieder rausgekratzt wurden.Das war natürlich ein Gespräch voller ähm voller äh vor die Brust, vor die Brust geklopfe und äh.
Tim Pritlove
Spaß und Erkenntnisse, ja. Was du für Freunde hast auch, ne, hast du für Freunde hastick, Faust.
Linus Neumann
Und und und Angeberei. Ne, man muss ja auch, ne.Ja, ich meine, du willst ja, du willst ja, dass solche Leute deine Freunde sind, du willst ja nicht, dass sie irgendwann.
Tim Pritlove
Genau.
Linus Neumann
So, aber langer Rede, kurzer Sinn, es ist, es ist bei dieser Sache, der Bundestag benötigt ein vollständig neues Computernetz.Ist es sehr ähm.Ist es sehr ähm unsinnig zu sagen, dass jetzt ein,neu kaufen müssen, aber es ist.Wenn man jetzt die beiden Optionen abwischt, wir reinigen zwanzigtausend Rechner,wir machen eine eingehende Forensik und reinigen zwanzigtausend Rechner und so weiter.Ähm dann kann man unter Umständen sagen, das kostet halt so und so viel Geld und gemessen an dem Geld, ist vielleicht das Kaufen von neuen Rechnern, ähmweil die die bestehenden seit seit drei Jahren vielleicht eh schon abgeschrieben sind und nächstes Jahr Neukauf ansteht,eventuell dann die ökonomisch gebotenen Maßnahmen. Sieht aber nicht so aus,würden sie das tun? Die äh BF,G ähm BFK wird jetzt also in Ruhe,da äh rum ihre Forensik zu Ende machen und dann ist ja bald Sommerpause und in der Sommerpause ähm installieren sie dann eben einmal alles neu oder reinigen alles, ja?Da wird man also äh sehen. Ich habe das auch schon mal angesprochen als es um den um den Sony Hack ging. Äh wo ich gesagt habe, na ja, das Problem ist, weißt du, wenn du einmal so tief.Ähm ich hätte jetzt äh einen Begriff aus der aus der Security Sprache benutzt, der an dieser Stelle nicht angemessen ist. Wenn du einmal so tief.Äh wenn du einmal so tief übernommen wurdest.Wenn einmal so um, wenn du einmal so umfassend übernommen wurdest, ja, ist es halt sehr schwierig, wo fängst du an.Das ganze Ding irgendwie wieder nochmal neu aufzubauen, ja? Also ich mein das geht dann halt damit los, wenn du Pech hast,stellst du den Leuten neue Rechner hin und die,die alten Passwörter weiter, ja. Ähm du musst also irgendwie ähm.Da strukturiert drangehen und ähm quasi sagen, okay, dieser Teil ist jetzt,garantiert desinfiziert und der kommt nicht mehr mit dem infizierten Teil in in äh Kontakt und äh so weiter. Also das ist auf jeden Fall eine äh eine scheiß Aufgabe, zumal du eben.Streng genommen, selbst nach Formatieren, der Festplatten und so weiter, nicht wirklich sicher sein kannst, dass du ähm,dass du die Dinger vollständig gereinigt hast, denn es gibt ja auch noch so,Scherze wie das Einnisten in dervon Festplatten, es gibt so Scherze wie das Einlisten im.EFi äh der Rechner. Äh es gibt äh alle möglichen,Dinge, die man noch tun kann, man kann irgendwie die als äh Bad USB bekannt gewordenen gewonnenen Angriffe äh durchführen und sich vielleicht noch auf den USB-Sticks der Mitarbeiter äh irgendwie einnisten.Das heißt so Persistenz zu erlangen ist, wenn man da ähm die Zeit für hat, sich da ein paar Gedanken drüber zu machen. Ähm keine äh so große Schwierigkeit wie,eine Reinigung abzuschließen mit der Sicherheit, dass jetzt keiner mehr drin ist.Und ähm wie gesagt, die Experten in dem Bereich sind die,die Leute, die da jetzt dran sind, die werden das hoffentlich vernünftig machen.Die werden auch ein bessere Einsicht dabei in die Fähigkeiten des Angreifers haben als ich aber ich hatte ja glaube ich schon öfter auch den Hinweis gegeben, dass.Es durchaus taktisch sinnvoll ist, sich immer nur des Angriffs und des Tools zu äh bedienen,ausreicht, um den Angriff durchzuführen, weil man ja immer das Risiko der Entdeckung hat und alles, was entdecktwird, muss man potenziell wegwerfen. Das heißt, selbst wenn ich irgendwie die,übermächtige NSA bin, dann werde ich die die Königsklasse meiner Angriffe auch nurin den Fällen zum zum Einsatz bringen,nichts anderes mehr hilft. Insofern ist es nicht überraschend und trifft halt null Aussage.Dass jetzt hier ein ein vom BFG Geschäftsführer als Feldwald und Wiesn Trojaner tituliertes Tool Kit zum Einsatz gekommen ist, weil das durchaus eben ähm.
Tim Pritlove
Wenn's reicht, warum warum äh ne, warum unbedingt noch mehr äh da machen, ne.
Linus Neumann
Genau, zumal dir dieses weltweit und den schönen Nebeneffekt bietet, dass am Ende jemand an die Presse geht,und das als Feldwald und Wiesentrojaner bezeichnet. Ähm was für dich wiederum ähm als.
Tim Pritlove
Tarnung sein kann, ja. Was mich interessieren würde, ich meine, du hast es ja eben gerade schon äh angesprochen in Bezug auf das,einnisten, äh da gibt es viele Möglichkeiten, insbebesondere in der Hardware selber, das heißt, selbst das komplette neu formatieren. Ähm ja, also das Abrasieren der äh der Haare könnte unter Umständen äh äh nicht ausreichen, wenn sichquasi da die äh Viren schon in der haut eingenistet haben,Hältst du das für ein wahrscheinliches Szenario und was hilft da eigentlich gegen?
Linus Neumann
Also da da kann ich jetzt nur spekulieren, ob ob dieser Angreifer das jetzt gemacht haben.
Tim Pritlove
Nee, klar, das ist mir klar, aber hältst du das grundsätzlich für einen für denkbar äh und würdest du auch aus der Perspektive eines Sicherheitsberaters äh so war's jetzt schon gleich mit prüfen wollen.
Linus Neumann
Das Problem ist, das kannst du ja schwer prüfen, ne? Also du kannst halt ähm,du kannst bei den bei den bei zum Beispiel kannst du halt eine auf den auf den Stick schreiben eine neue,Aber du kannst nicht die alte, so einfach auslesen,Das heißt, du kannst jetzt auch nicht prüfen, ob ein USB-Stick mit Bad USB infiziert ist. Wer sich mit Batty USB dann besonders klug anstellt, macht einfach diese,ähm äh ähm manipuliert sogar noch die Update-Routine, nimmt also das neue Firmwareupdate,entgegen, sagt wunderbar, ich bin jetzt, ich habe das jetzt gerade installiert, ist alles super, ich bin jetzt wieder mit der äh Standard ähm ausgestattet, aber dann weißt du ja trotzdem nicht, ob,die Rückmeldung, die du bekommst, ähm richtig ist, ne?Aber ich glaube meine mein Eindruck ist eigentlich, dass diese,höherklassigen Angriffe, also die diese komplexeren und äh wie jetzt was weiß ich, Badus,oder äh von Festplatten infizieren, eher welche sind, die.Äußerst selten zum Einsatz kommen, weil es eben in der Regel was anderes reicht, ja, also wenn mein Gesprächspartner da eben sagt, ja, natürlich haben die öfter mal äh versucht, das Netz zu reinigen, weil wenn wir irgendwie zu unvorsichtig waren, aber es hates hat niemals jemand geschafft, uns da vollständig rauszubekommen, dann ähm ist es natürlich.Warum solltest du dann irgendwie sowas machen wie dich in irgendwelche Festplatten reinfräsen oder oder irgendwelche US,Sticks äh angreifen, ja.
Tim Pritlove
Ausgehen kann, dass man wieder reinkommt.
Linus Neumann
Ja, vor allem hast du ja nach dem, na, wenn du dir mal erstmal so ein paar Monate dadrin warst, hast du auch so viel Wissen über die, über die,Mitarbeiter oder Personen, die du da überwacht hast, dass du wahrscheinlich allein anhand dieses Wissens wieder eine eine Infektion hinbekommst, ja? Sei es äh dass du irgendwie,E-Mail-Passwort nicht geändert, dann schickst du halt nochmal klickst du dich in irgendeine Kommunikation ein und manipulierst ein Attach mit einer E-Mail,oder also wenn du einmal drin bist, dann findest du halt auch immer wieder Mittel und Wege. Und meine,mein Eindruck ist eher, dass so diese höher oder diese komplexeren, höherklassigen Angriffe.Eher nicht die Hauptbedrohung sind, weil wie wir hier sehen, du mit mit offenbar einem,einer infizierten E-Mail und einem Trojanertour Kit von Gitthup und ein paar Tagen äh Fleiß und Spucke. Ist offensichtlich schaffst du ähm.In Ruhe zu arbeiten. Und was ich gerade nur kurz angesprochen hatte mit diesen heißt ja, dass du auch jeden einzelnen dieser Rechner auch wieder übernehmen kannst, ne? Das heißt,macht halt diese auf und dann hast du im Prinzip eine Kommandozeile,dem einzelnen Rechner, von wo aus du dann auch ganz in Ruhe wieder anfangen kannst, andere zu hacken.
Tim Pritlove
Aber im Prinzip riecht es schon so ein bisschen danach, dass wirklich jeder einzelne Rechner mal komplett äh neue Software mindestens erhalten müsse, je nachdem welche ähm Ansichten man so äh gewinnt nach der Analyse in Bezug auf eine mögliche Hardware-Infektionund vielleicht muss man auch äh das ganze Netz auf eine ganz andere Art und Weise umstellen. Ich meine, gerade dieses Szenario mit, wenn man erstmal drin ist,schreit ja auch so ein bisschen nach einer weiteren Isolation, einzelner Systembereiche, keine Ahnung, wiefern, dass da bei der Bundestag schon der Fall war, aber wenn man jetzt grundsätzlich nur so eindieses äh entweder ich bin jetzt außerhalb des Bundestagsnetzes oder ich bin drin, wenn man sowas hat, dann müsste man unter Umständen halt darüber nachdenken, ähm ja, einzelne Häuser, Segmente, Etagen oder vielleicht sogar Räume äh auf eine Art und Weise voneinander zu isolieren, als würde man von außen kommen,quasi dann eine Neuinfektion, zumindest spürbar erschweren würde, oder?
Linus Neumann
Ja so so die graue Theorie in ähm,in der Praxis sind diese ganzen rechte Konzepte und ähm.Also wer jetzt welches welches Zugriffsrecht irgendwo hat und äh wer wovon separiert werden soll und so ähm.Wie sagt man so schön, organisch gewachsen. Das heißt, du hast danach, nach ein paar Jahren einfach so viel äh Kuddelmuddel drin,und der kann dir dann am Ende auch keiner mehr sagen, was, was soll, ja? Und die böse Erfahrung, irgendjemanden mal recht äh irgendwo wegzunehmen und dann steht ein Tag der Betriebsstill. Die haben alle schon mal gemacht, deswegen wird's eher, bleiben die Rechte eher bestehen. Und.
Tim Pritlove
Meinte jetzt nicht so sehr Rechte von Leuten, ne.
Linus Neumann
Ganz kurz oder eben auch Ausnahmeregelung und so,Das ist eigentlich der Punkt, warum ich sagen würde, so komplett neu machen, bietet da nochmal den den zusätzlichen.Vorteil, dass du das dann eben nochmal aus der Erfahrung,die du im Betrieb hast, einfach nochmal vereinfachen und,verbessern kannst, die gesamte Architektur. Und ähm deswegen ist das schon glaube ich.Sinnvoll, wenn man sagt, okay, wir machen alles platt und alles neu.Weil du da auch nochmal bei der Gelegenheit halt auch so ein bisschen äh historisch gewachsene Kraut und Rüben irgendwie äh loswerden kannst. Ähm.
Tim Pritlove
Vielleicht sollte man das sogar in jeder Sommerpause machen.
Linus Neumann
Ja ich bin da jetzt auch also ne,es kommt jetzt auch auf diesen Einzelfall an. Ich meine, wenn das jetzt die die Oberexperten sind und die die sich,irgendwie zum Beispiel so was nicht zum ersten Mal machen und dann zum Beispiel natürlich auch relativ einfach, denke mal, die werden einfach Festplatten aus infizierten Systemen rausnehmen,die mit mit ähmSystem vergleichen, auch vom gleichen Patchlevel, wo sie wissen, die sind nicht infiziert und dann können sie vielleicht auch mit einer sehr großen Sicherheit sagen, okay, der Trojaner ähm ist,lässt sich auf folgenden Wegen vollständig entfernen. Und wir finden nichts mehr in diesem System, ähm was irgendwo,ein eine weitere Infektion zulässt, denn im Prinzip musst du ja nur,nur einmal die komplette Bootchain durchgehen, ja, was nicht,irgendwie aktiviert wird, kann auch nicht der Trojaner sein,Also der der Trojaner will immer irgendwo in in der Boot-Kette mit drin hängen. Und äh halt als also Bootkette jetzt bis.Bildschirm ist da und du kannst den Startknopf drucken oder was auch immer jetzt Windows acht hat. Ähm das heißt, beim,ich meine irgendwie mal kurz beim Start äh geöffnet werden im Autostartordner ähm,eben, was die, die üblichere Variante ist, sich eben innormalen Systemdiensten mit einnisten und davon irgendwie wegforken oder so,das ist schon grundsätzlich theoretisch möglich, dass äh einmal vollständig durchzuchecken.Ich halte das nur für eventuell sogar die größere Arbeit,an dessen, an deren Ende du immer noch so ein bisschen Ungewissheit hast, ne?
Tim Pritlove
Zweite Nachfrage nochmal, jetzt haben wir ja gerade den den Widerstand der äh Linkspartei ähm,auch gehört so in Bezug jetzt auf den Verfassungsschutz und die damit verbundene ähmProblematiken, aber grundsätzlich hast du natürlich ohnehin im Bundestag auch das Problem,den auf den Rechnern gespeicherten Daten, die ja im Prinzip die Arbeit der Fraktion und damit,natürlich auch die damit verbundenen Strategien und Geheimnisse äh der Fraktion und Mitarbeiter beinhalten,Ich habe jetzt überhaupt gar keine Ahnung, wie eigentlich die Datensicherung et cetera und äh sicher,Dellung äh des nicht Zugriffs auf diese Daten äh geregelt ist, aber das ist natürlich auchbei so einer Sicherheitsüberprüfung nochmal ein Extraproblem, ne? Wenn jetzt sozusagen hier alle Festplatten aus allen Rechnern analysiert werden sollen.
Linus Neumann
Ja, ich.
Tim Pritlove
Denkst du dazu?
Linus Neumann
Ich denke, dass solche also ich Vermutungen, solche Probleme werden dann durch solche,Sicherheitsüberprüfung und so gelöst.
Tim Pritlove
Nee, ich meine, die die Sicherheitsüberprüfung selber ist ja in dem Moment das,weil jetzt kommen ja da irgendwie alle an und sagen hier mal irgendwie eure Fraktionsrechner.
Linus Neumann
Sicherheitsüberprüfung der jeweiligen Mitarbeiter, die Zugriff auf den Rechner bekommen. Also so wie ein ne, diese Hintergrund,Backgroundchecks, die ich kenne mich damit leider nicht so gut aus, aber ähm ich weiß von der Anne Rot, die er als Referentin im,ähm im NSA-Untersuchungsausschuss arbeitet, mit der wir übrigens ein sehr schönes Chaos-Radio gemacht haben. Das könnte man.
Tim Pritlove
Das haben wir noch gar nicht erwähnt.
Linus Neumann
Noch nicht erwähnt und nicht verlinkt. Sehr schönes Chaos-Radio mit Andre Meister, Anne Roth, Moderator Markus Richter und ein paar äh Sidekick Witzen von mir. Ähm Chaosradio zweihundertzwölf, glaube ich, oder?
Tim Pritlove
Mhm. Was von Snowden übrig blieb.
Linus Neumann
Übrig bleibt, genau,Anne musste auf jeden Fall auch diese eine derartige Sicherheitsprüfung über sich ergehen lassen,dann irgendwie alle möglichen Geheimdienst äh Erkenntnisse über sie,zusammengetragen wurden, ob man ihr denn mit dieser Sache trauen kann und ob sie eben Zugriff,auf diese geheimen,oder Verschlusssache und sonst was Dokumente bekommen kann. Da gibt's ja dann wiederum diese verschiedenen Stufen der Geheimhaltung und so weiter und so fort und dafür kriegst du dann halt irgendwann eine,Eine Clearins, die hat sie dann am Ende einer eines langen, schmerzhaften Prozesses auch bekommen und meine Vermutung ist, dass ein,Forensikmitarbeiter, der in Bundeseinrichtungen international oder vermutlich international motivierte Spionage.Aufklären soll, eine derartige auch hinter sich haben muss. Das kann ich aber nicht genau sagen, aber da dieses,BFG einladen ist, mit dem das BSI schon ähm.Öfter und länger zusammenarbeitet, würde ich einfach mal vermuten, dass die entsprechende äh Mitarbeiter haben.Nochmal der Hinweis, ja, hoffentlich jetzt trennen so. Ich hab's hoffentlich klar gemacht, was gesicherte öffentliche Erkenntnisse ist und was Anekdoten sind, die ich irgendwann irgendwo mal gehört habe.
Tim Pritlove
Gut, nachdem etwas längeren äh Segment können wir dann, glaube ich, aufs nächste Thema äh oder die nächsten beiden Themen äh vorstoßen, die glaube ich etwas weniger opulent ausfallen werden.
Linus Neumann
Ich ich höre eine leise Kritik.
Tim Pritlove
Nee, ist keine Kritik,aber du weißt ja, äh die Zeit nach hinten ist heute etwas äh begrenz,müssen noch Veranstaltungen vorbereitet werden. Aber kommen wir doch mal zu unserem äh Generalprüfanwalt.
Linus Neumann
Ja, der Generalprüfanwalt, den Titel hat er übrigens von der äh Renate Künast bekommender Generalprüfanwalt ist ja zuständig wenn irgendwo anfangs Verdacht besteht den zu prüfen und er ist jetzt zu dem Ergebnis gekommenausspielen unter Freunden.
Tim Pritlove
Das gibt. Was.
Linus Neumann
Geht doch! Geht doch, er geht! Er geht. Ja, denn ähm.Die mutmaßliche äh das mutmaßliche Abhören von Angela Merkels Mobiltelefon,mit den Mitteln des Strafprozessrechts nichts gerichtsfest zu beweisen. Einziges Indiz.Ist ein vom Spiegel, Verzeihung, vorm Spiegel, veröffentlichte Auszug aus einem NSA-Dokument, der offenbar ein NSA-Silektor.Zur Bundeskanzlerin äh wiedergibt. Ähm die Nummer hat er also feststellen können, ist die Richtige,aber es gäbe verschiedene Interpretationen dieses Dokuments, die möglich sind. Und in einem solchen Fall muss er.Entweder nachweisen, dass ähm andere Interpretationen dieses Dokuments ähm,ausgeschlossen werden können aufgrund anderer Beweise. Oder er muss den Vermut die vermutete Interpretation des Dokumentes nachweisen. Ähm auch in anderen Dokumenten hat er keine gerichtsfesten Nachweise,feststellen können.Und deshalb ähm stellt er jetzt seine Ermittlungen ein,äh und eine Befragung von AdWords Snowden lehnt er aber ab.Weil AdWords Norden bislang ja nicht den Anschein erweckt habe über eigene Wahrnehmung oder Kenntnisse zur Ausspähung des Merkelhandys zur Verfügung.Und deswegen braucht er den nicht ähm braucht er den nicht zu befragen, weil er jetzt nicht den Eindruck hat, dass der da was wistern.Hach, ey, weißt du, ich also in verschiedenen,seines Lebens wird man ja dann doch auch mal irgendwie äh.Dann vielleicht irgendwie so ein Ermittlungsbeamter, dass man vielleicht was wüsste, ne,relativ schnell äh mit dem Schreiben mit ihr mit ihrem Kuli dabei und schicken irgendwelche Einladungen, ob man sich mal unterhalten könnte oder so, ne. Also aber,so dieses, ja, erweckt jetzt nicht den Eindruck davon, was wissen zu können, das äh ist, glaube ich, relativ.Unüblich in so Ermittlungsverfahren. Aber ich meine, der ähm Herr Range ist ja ein erfahrener Kriminologe.Insofern äh würde ich vermuten, dass der, dass der da schon eine sehr gute Intuition hat, was das Einschätzen der Kenntnisse von,NSA, äh ehemaligen NSA-Agenten angeht, die irgendwie in so viele Daten daraus gekratzt haben, dass sie zwei Jahre damit die Welt beschäftigen können. Das ist schon, da kann der Herr Range schon gutes.Gutes Bauchgefühl sicherlich dann entwickeln. Was so deren Kenntnisstand ist.
Tim Pritlove
Na ja und ich meine, ist ja auch vielleicht ganz praktisch, so ein Generalprüfanwalt, falls man mal irgendwas was weiß ich, vielleicht müssen wir ja auch mal irgendwas prüfen,könnte man da vielleicht einfach anrufen, so.
Linus Neumann
Das ist ja äh andererseits ähm.Also seine Argumentation ist ähm.So tragisch wie vermutlich korrekt. Ja, also ich meine.Wenn er jetzt über dieses eine Dokument hinaus nichts findet, dann ist äh die.Die Authentizität des Dokumentes erstmal in Frage zu stellen, das ist jetzt das war ja auch so ein sehr komisches Dokument. Das war nicht irgendwie, da war jetzt nicht irgendwie ein NSA-Siegel drauf oder so, sondern das war ja eher so eine Abschrift oder eine Kopie oder so ein Arbeitsauftrag, aber das war jetzt nicht so deroffiziell NSA hier und Obama hat unterschrieben. Ähm allerdings wurde jetzt die Authentizität des Dokumentes auch.Nicht von den Amerikanern in irgendeiner Form in Frage gestellt. Ähm.Dann ähm ist es ja seit längerer Zeit eben,möglich äh Mobilfunk abhören, rein passiv zu betreiben.Ähm also zumindest im im GSM-Bereich gibt's da ja äh die hinreichend bekannten Demonstrationen. Hm,Das wäre also dann ein Eingriff, der im Prinzip ohne äußerlich feststellbare äh Beweise,möglich ist, dann gäbe es halt noch natürlich die Benutzung eines, die ich in diesem Fall halt für eher unwahrscheinlich halte, weil du dann einfach auch die ganze Zeit hinter der Merkel her fahren müsstest. Ähm das wäre,zum Zeitpunkt des Einsatzes nachweisbar, ähm wenn man,halt genau darauf schaut, da gibt's also Systeme, die ähm Unregelmäßigkeiten.In der in den Funkzellen,einen umgeben feststellen, das gibt's in stationär oder auch als App diese App ähm,hatte ich glaube ich auch schon mal erwähnt, wurde von dem,von dem Team, in dem ich auch tätig bin letztes Jahr auf dem,einunddreißig C3 vorgestellt, hat aber natürlich auch ihre technischen Limitationen. Das heißt, auch da würdest du jetzt dies weit davon entfernt jetzt irgendwie einen gerichtsfesten Beweis zu erbringen,und insofern.Glaube ich schon, dass dass du in dem Fall ähm am Ende nichts anderes machen kannst, als das Verfahren an Mangel, an Beweisen einstellen,Es sei denn, äh du unterhältst dich mit AdWords Snowden und der gibt dir einen Beweis, ja?
Tim Pritlove
Hm. Ciao. Na ja.Trotzdem hat das jetzt nicht sonderlich so den Eindruck gemacht, als wären sie jetzt besonders erpicht dadrauf gewesen, das Ganze zu überprüfen.
Linus Neumann
Nein, sie haben das ja auch gut getimed jetzt so. Ich meine, war G7-Giepfel, ne, der an dem Obama morgens ein Bier gegeben und einen Tag später ein paar Tage später halt die Ermittlungen eingestellt und so, ne? Sind ja auch um dietransatlantische äh Freundschaft da sehr erpicht, das ist ja auch wichtig.Ich meine, würdest du dich mit den USA anlegen wollen?
Tim Pritlove
Ich? Nee, niemals.
Linus Neumann
So und dann hatten wir äh als letztes hatten wir dann noch den Herrn Urlaub im BND Untersuchungsausschuss. Der Herr Urlaub war von Dezember zweitausendfünf,bis Dezember zweitausendelf Präsident des BN,davor war er von neunzehnhundertneunundneunzig bis zweitausendfünf,Geheimdienstkoordinator im Kanzleramt und davor ab neunzehnhundertachtundneunzig Vertreter dieses,Koordinators. Ähm außerdem, das steht in der in der Wikipedia. Ähm,SPD-Mitglied,und seit Anfang Februar zweitausendzwölf freiberuflich als Berater für die Deutsche Bank tätig, also jemand, der mit Stolz auf seine Karriere zurückblicken kann und vieles im Leben erreicht hat.Und der war also jetzt im äh im BND Untersuchungsausschuss und wurde dann da gefragt äh befragt zu den Selektoren und ähm heiße Online hat den Artikel äh sehr schöneingeleitet mit den Worten,viele Erinnerungslücken plagten den ehemaligen,BND-Präsidenten Ernst Urlaub bei seiner Aussage vor dem NSA-Ausschuss. Der arme Mann, ja.
Tim Pritlove
Mensch, och Gottchen. Was soll hier Leute auch immer mitmachen müssen.
Linus Neumann
Sehr schön formuliert von Stefan Krempel. Entsprechend sieht man auch, dass der Mann da jetzt nicht viel äh Spannendes erzählt hat, aber.Er sagte also zu diesen Selektoren und der Spionage in und gegen Europa. Ja, das wäre jetzt so nicht so das Thema gewesen vor dem Snowdenenthüllung. Sie bewegen sich ja heute in einer anderen Bewusstseinslandschaft,damals gab es andere Prioritäten.Er kann sich auch nicht genau an diese Selektorensache erinnern, aber er hat wohl mal was den Unterlagen entnommen mit diesen Selektoren. Die bemängelten Selektoren selbst habe er aber nicht gesehen und,Ja, also sagt dann so, ja, das Suchprofil der NSA mag ja jetzt heute für Sie interessant sein, für mich war es,nicht. Und er sagt, das hätte ihn jetzt nicht erreicht und er ähm.Wäre jetzt auch nicht so unbedingt. Äh wer sich nicht sicher ob, ja,jetzt überhaupt irgendwie jemals auf seinem Tisch war oder so, dass äh ist da irgendwie so stattgefunden.Allerdings.Sagt er, er sei schon zweitausendsechs vom Leiter der Abteilung technischer Aufklärung.Über allgemeine Unstimmigkeiten bei den NSA Selektoren undder Wirtschaftsspionage in Kenntnis gesetzt worden. Zweitausendsechs, das ist, würde ich sagen, eine,selbstbelastende Aussage, die auch den vorhergetroffenen Aussagen widerspricht,und dann kommt der schöne Teil daraufhin habe es einen Prozess, der,unter Beteiligung von äh de Maizire gegeben,Also sehr schön. Ähm ich ich hatte vor einigen Folgen ja mal darüber gesprochen, wie ist das in der Bürokratie mit der Verantwortung,die wird immer von unten nach oben hochgereicht und dann ist dann landet sie irgendwann entweder beim beim BND-Präsidenten oder beim,Beim Innenminister und der BND-Präsident reicht's jetzt so in beide Richtungen wieder von sich weg. Sagt zu einerseits, das ist nicht zu mir durchgedrungen.Drüber geredet, also der ist auf jeden Fall so in beide Richtungen aus der, aus der Linie, wenn man ihm jetzt da glaubt. Hm, da wurde er noch zum,Thema Alkohol befragt. Ähm wir erinnern uns äh diedas Lauschen am Telekomkabeln zusammen mit den äh USA. Ähm da habe er jetzt leider nur sehr, sehr äh begrenzte ErinnerungenAber er erinnere sich, dass es da durchaus Sorge und Debatten wegen der politischen Verwicklung gab, dass sie sich also damals gesorgt haben, dass das in der Politik wahrscheinlich nicht gut aufgefasst werden würde, was sie da machen. Hat er,Zurecht Sorge gehabt ähm und dann wurde er noch befragt zu dem,zur äh Dezix äh Angriffen auf den Dezex oder diese diese.Ähm.In zwei in in den zwei Sitzungen voranliegenden Sitzungen in der Sitzung vor ein paar Wochen von dem äh Dezix-Betreiber ausgeführten.Äh Aktion des BND am Dezix. Äh und zudem,zu einer Kooperation mit der CIA beim Angriff oder bei der Kooperation mit einem Düsseldorfer Provider sei er sich auch jetzt nicht ganz sicher,ob er da jemals von wüsste und er sei sich aber auch nicht sicher,der BND-Präsident alle vergleichbaren abgeschirmten Projekte genehmigen müsse,Also auch da wieder so, ja, ja, da habe ich nicht unbedingt, da ist mein Kopf nicht in der Schlinge, da,mir erstmal den den Absatz, dass ich das hätte unterschreiben müssen oder dass ich dafür die Verantwortung trage.Und zuletzt wurde er dann noch zu den Metadaten für Ex,exterritoriale Tötungen befragt, also wir erinnern uns, ähm dass es,um die Ortung, weltweite Ortung von äh Menschen geht äh zu deren Tötung die USA dann einen fliegenden Roboter auf den Weg schicken,und siehe so, aus dem Himmel dann töten ob denn da ähm,quasi Zielkoordinaten, sprich GPS Koordinaten oder sinnvolle Daten, die zur Lokalisation von Personengeführt haben angefallen sind, da sei er aber sich jetzt nichtäh das hätten sie aber nicht gemacht, dass sie solche Daten bereitgestellt haben. Allerdings,sagte er dann, dass Satelliten abhören in Bad Aibling ähm sehr genaue Profile über den Auf,Ort einer Person ermöglichen, ja? Und ähm.Das ist ja so das das Problem wird oder wir jetzt schon mehrere,den USA nicht so liebe Personen getötet wurden und also,Franken sich da rum ja immer Spekulationen, bei einigen wurde es dann bestätigt, bei anderen nicht, dass man also,durch die Benutzung eines Satellitentelefones, da fallen eben auf dem unverschlüsselten Teil, wird dann eben die Telefonnummer gesendet und daraufder dann irgendwie auch Lokalisationsparameter, damit der Satellit dann irgendwie besser zielen kann und sound wenn du die abhörst, kannst du eben herausfinden, wo sich äh,Satellitentelefon gerade befindet. Und das macht der BND in Bad Aiblingund ähm,diese Information teilen sie eben auch und so scheint es ähm mit der NSA. Allerdings ob das jetzt irgendwie da jemals zu einer Tötung geführt haben würde, da hat er irgendwie nichts zu zu sagen.
Tim Pritlove
Ja schön fand ich auch noch seine Anmerkung zur äh im Kontext von Alconal. Äh vorher, das ist ja irgendwie, dass er das.Herangehen an solches Kabel, das erstmalige Herangehen an ein solches Kabel als politischen Risikofaktor äh einschätzungja auch vor allem die europäischen Partner das ja gegebenenfalls als problematisch ansehen können. Es ist immer wieder auch schön, wie sie so langsam durchblicken lassen, dass sie sich eigentlich sehr wohl der ähmwie soll ich sagen, die Gefährlichkeit,der politischen Gefährlichkeit äh all dieser ganzen Operationen eigentlich sehr wohl bewusst sind, aber es nichtsdestotrotz,trotzdem tun.
Linus Neumann
So ist es. Immer wieder immer wieder interessant diese Aussagen. Leider,glaube ich nicht so wirklich. Äh ich bin mal gespannt, inwiefern, dass er irgendwann nochmal verwertbar sein wird. Ähm am Ende dieses äh NSA-Untersuchungsausschusses wird ja dann auch so einAbschlussbericht stehen und ähm vermutlich dem Ausschussbericht beigefügt ähm eine Reihe an Sondervoten, der,Opposition. Ich bin mal gespannt, wie das dann alles äh zur.Welches Bild oder welche Geschichte wir am Ende aus all diesen Aussagen geschrieben bekommen werden.
Tim Pritlove
Linus, ich glaube, das war's dann für diese Woche, oder?
Linus Neumann
Genau der Dank gilt dem Christopher,und ähm allen, die in den Kommentaren zur letzten Sendung viele interessante Vorschläge, für ähm den,den Ausbau des Logbuch Netzpolitikismus in der Welt äh beizu äh voranzuführenWir haben das mit großer Freude zur Kenntnis genommen und da sind einige sehr schöne Ideen bei, über die wir uns ein paar Gedanken machen werden.
Tim Pritlove
Genau, äh könnt ihr auch weiterhin euch äh dazu auslassen. Wir nehmen das auf jeden Fall alles zur Kenntnis, auch wenn wir das jetzt hier aus verständlichen Gründen nicht alles nochmal breit kauen wollen, aber jamal darüber äh rüber und äh machen uns natürlich auch so unsere eigenen Gedanken und äh bereiten uns hier auch für die Sommersaison,vorNicht wahr? Linus, Camp und so weiter.
Linus Neumann
Camp. Ja, ich habe schon eine Mütze gekauft wegen der Sonne und so.
Tim Pritlove
Okay, super. Das ist gut. Also ihr seht, wir sind vorbereitet. Ähm ja und auch ihr solltet euch äh vorbereiten, nämlich für den Aufschlag der nächsten Sendung, die bestimmt bald kommen wird. Und äh bis dahin sagen wir tschüss.
Linus Neumann
Ciao, ciao.

Verwandte Episoden

Shownotes

Vorratsdatenspeicherung vorabgestimmt

IT-Sicherheitsgesetz beschlossen

Braucht der Bundestag ein komplett neues Computernetz?

CHPKGTaWcAA-BFw

Generalprüfanwalt stellt Ermittlungen in Sachen Merkel-Handy ein

Uhrlau im BND-Untersuchungssausschuss

44 Gedanken zu „LNP143 Kopfläuse in der Kita

  1. Hardware wegwerfen macht schon Sinn, wenn man bedenkt das die Mikrokontroller darin auch infiziert sein könnten. Es muss ja nur ein USB-Stick der intern verwendet wird infiziert sein, und dann wo anders eingesteckt worden sein. Ausserdem die Firmware der Festplatten: http://www.heise.de/security/meldung/Equation-Group-Hoechstentwickelte-Hacker-der-Welt-infizieren-u-a-Festplatten-Firmware-2550779.html

    Könnte man vieleicht schon alles beseitigen, wird vermutlich nur mehr kosten als das Zeug zu beseitigen. Zumal Büro-PCs ja auch keine teuren Gaming-PCs sind.

    • Na die Sendung hat das ja IMHO gut betrachtet. Wenn eh demnächst ne neue Charge PCs gekauft werden müsste, dann wäre es wahrscheinlich sinnvoll das vorzuzuziehen und auf die Desinfektion zu verzichten.

      Damals 2013 war das auch in Schwerin mit der Verschrottung durchgezogen worden, mir erschien das (damals ™) allerdings etwas übertrieben….vielleicht auch weil ich zu wenig über lowlevel-Malware nachgedacht hatte http://winfuture.de/news,75814.html

  2. Zu dem XOR:
    Das ist sogar eine extrem gute und einfache Methode. Man hat ja auf dem Zielsystem Dateien (von Windows z. B.) die man kennt und also auf beiden kommunizierenden Systemen hat/haben kann.
    Wenn man jetzt kommuniziert kann man diese auf beiden Seiten verfügbaren Dateien zur Verschlüsselung verwenden und zwar weil das große Dateien sind, können diese gleich groß wie die übertragene Botschaft sein.
    Das ist dann das One-Time-Pad und das ist verdammt sicher solange niemand den Schlüsseltext kennt.

    • Ah, ich sehe, du hast Alternativlos gehört.

      Das Problem bei deinem Vorschlag ist: Du musst dir sicher sein, dass die Dateien auf deinem Zielsystem nicht verändert werden, und du brauchst genau so viele potenzielle GB an Daten, wie du potenziell abfischen möchtest.

      Das nächste Windows-Update bereitet dir dann massive Schwierigkeiten (und du hast tausende Clients).
      Deshalb nutzt man Cipherstreams und xor’t die rein.

      • Das One-Time-Pad ist ein alter Hut das hat schon Ross Anderson in „Security Engineering“ erklärt.

        Klar man kann einen Cipherstream verwenden aber also ich vermute zumindest dass man gerade bei so weit verbreiteten Systemen wie Windows viele Daten hat die auf allen Systemen gleich sind, auch das Windowsupdate kann man auf Sender und Empfänger haben das ist ja nicht geheim. Aber klar je nachdem wieviele Daten man senden möchte ist das auch dort unter Umständen zu wenig.

        Egal, weiter so und ja ein neues Alternativlos wäre auch mal was, Du hast doch Verbindungen dorthin … oder mach einen eigenen Podcast mit den ständigen Dauergästen Frank und Fefe.

      • Liebe Crypto-Freunde,

        in dem beschriebenen Fall geht es doch nicht wirklich darum, hochbrisante Geheimnisse vor dem Opfer zu verstecken, von dem man sie klaut. Alles, was man dem Opfer klaut, kennt es doch ohnehin schon.

        Daher braucht man auch keine großartige Crypto, weil es vollständig ausreicht, die Kommunikation ein bisschen zu obfuscaten. Ob ich nun einen String rein-xor-e, oder eine riesige Crypto-Library mit in meinen Trojaner kompiliere, macht keinen Unterschied, wenn die Forensik am Ende den Schlüssel aus meiner Binary heraus popelt.

        Daher die Entschidung für einen popeligen Ansatz, den ihr zwei durch Cryptanalyse genau so wenig knacken würdet, wie AES. Stattdessen würdet ihr in der gefundenen Binary nach dem Schlüssel suchen und ihn finden.

  3. Man müsste mal beim Verfassungsschutz anfragen, ob die schon Ermittlungen wegen der Unterstützung verbotener Spionage gegen den BND aufgenommen haben. Das offizielle Dementi dazu würde ich gerne mal lesen.

    • Aber müsste die Frage nicht eher sein, was ist gerade in Großbritannien los, dass diese Story lanciert wird?

      Ansonsten … … wenn man nicht will, dass die eigenen Spionageaktivitäten bekannt werden, sollte man vielleicht gar nicht erst spionieren.

      :)

        • Gut, vermutlich ist es eine Reaktion auf die Forderungen Snowdens gesellschaftliche Leistung als Whistleblower anzuerkennen, die nach der Verabschiedung des USA Freedom Act wieder lauter wurden, schließlich lässt der sich eindeutig auf seine Enthüllungen zurückführen. Und hier in Deutschland ist der Bedarf an einer Diskreditierung der Quelle nicht geringer.

          Die Argumentationslinie der Bild-Zeitung fällt in sich zusammen sobald man sich klar macht, dass die USA dafür verantwortlich sind, dass Snowden in Moskau hängengeblieben ist. Zeigte sich ja auch direkt danach, was das für eine Kurzschlussreaktion war: Das Beispiel von Morales macht klar, man hätte Snowdens Maschine nach dem Abflug aus Moskau zur Zwischenlandung in einem EU-Land zwingen können, dann wäre er sehr wahrscheinlich ausgeliefert worden. Im drastischsten Fall hätte ihnen jede Route nach Südamerika die Möglichkeit gegeben, die zivile Maschine mit Kampfjägern zur Landung zu zwingen und Snowden dann zu verhaften. So ist er in einem der wenigen Länder gestrandet, das sowohl die Mittel als auch die Motivation hat, ihn langfristig dem Zugriff der USA zu entziehen. Offensichtlich ein taktischer Fehler.

          Snowden hat sicherlich etwas mit dem FSB zu tun, weil die ihn überwachen und abschirmen. Auch möglich, dass er mit ihnen zusammenarbeitet, wobei so wie ihn einschätze wäre das nicht freiwillig, würde ich also nicht gegen halten, aber würde natürlich sein Image beschädigen. Genau deshalb glaube ich allerdings nicht, dass die Russen das tun, Snowden ist als Insider sicherlich wertvoll als Propagandamittel ist er viel wertvoller. Das Ansehen der USA hat schon sehr Schaden genommen. Außerdem hat der FSB ja alle Möglichkeiten, die Linien, die bei Snowden zusammenlaufen, zu den Dokumenten zurückzuverfolgen. Wenn sie die überhaupt wollen. Natürlich würden sie die Dokumente nicht wegwerfen, wenn sie ihnen in den Schoß fallen, aber ob sich die Russen auch die Chinesen usw. um eine Beschaffung bemühen ist nicht unbedingt klar. Aufgrund dieser dünnen Einflüsterungen an die Sunday Times glaube ich das jedenfalls nicht.

  4. Zitat „… und das XOR heißt, wenn beide gleich sind, dann ist mein verschlüsselter Datenstrom 1 und wenn die beiden nicht gleich sind 0. […] Du lachst, hab ich es jetzt falsch rum erklärt?“ (Linus) „Nein, aber das war nicht die einfache Erklärung.“. JoJoJoJoJo… köstlich ^^

    • und das schlimme ist:
      Wenn sie NICHT gleich sind, ist der Wert 1 (wahr), daher heißt es ja auch „exklusives oder“ (exclusive or) und nicht „inklusives gleich“

      Aber das merkt natürlich wieder niemand.

  5. Ich habe mich abermals dabei erwischt, dass ich lächelnd das „Guten Morgen, Linus. Guten Morgen, Tim.“ mitspreche. Danke für dieses ganz wunderbare Format, dass ich stets bewusst und niemals nebenher höre.

  6. Leider hat eine „Kirchentagsresolution“ praktisch keine Bedeutung. Streng genommen handelt es sich hierbei auch nicht um eine Resolution des DEKT, sondern um eine im Rahmen des DEKT verabschiedete Resoltion. Das wiederum bekommt so ziemlich jeder hin, der die Energie aufbringt, mit einer Unterschriftenliste so lange auf den Veranstaltungen herumzurennen, bis die erforderliche Stimmenzahl beisammen ist. Abgesehen davon, dass über irgendeinen Presseverteiler pro Tag ein Stapel mehr oder weniger sinnvoll formulierter „Resolutionen“ rausgeschickt wird, hat die Aktion keine weiteren Konsequenzen. Die evangelische Kirche ist also nicht in irgendeiner Weise verpflichtet, sich mit dem Thema weiter zu beschäftigen oder sich an den Inhalt zu halten.

  7. Die Chaosradio-Folge 212 musste ich mir auch anhören und mich schmerzlich erinnern, warum ich das Chaosradio aus den Podcatcher geworfen hatte. Das Geduld halte ich einfach nicht aus. Musik, Nachrichten, Jingles und Teaser. Ich war so frei die Dudelfunk-Komponenten zu entfernen. Vielleicht kann ich hier auch anderen mit dem Edit eine Freude bereiten:

    https://www.mediafire.com/?xav6k9jk1wvbcn2

  8. Und demnächst in Ihren Medien: Thomas de Maizière fordert sämtliche Kommunikation mit dem Bundestag nur noch über DE-Mail! Weil das so sicher ist…

  9. Ich wuerde mal als interessierter Halblaile vermuten, dass man auch deshalb mal ueber Port 80 oder 443 versucht irgendwas aufzurufen, um zu testen ob das denn geht und wie die Infrastruktur diesbezueglich circa aussieht (Proxies, Filter, usw usf), und ob der Versuch bemerkt wird (ziemlich sicher nicht). Denn falls man von den tief uebernommenen (rotfl) Systemen dann massenweise Daten rausschicken will, wird man auch einen entsprechenden Kanal brauchen, der im besten Falle unverdaechtig sein sollte. Und was liegt da naher als Webtraffic Ports – das gibts wohl ueberall und zwar massenhaft, da fallen ein paar GiB wohl nicht so schnell auf, auch wenn man hier natuerlich in die “falsche“ Richtung sendet und aufpassen sollte, die uebliche Relation zwischen Down- und Upstream des Webtraffics zu wahren.

    Seh ich das richtig? Ich meine, es waere ja wohl relativ verdaechtig, wenn ploetzlich auf irgendwelche obskuren Zielports GiB weise Daten gesendet werden UND das jemand bemerkt und dem nachgeht. Oder? Ich glaube, das wurde nicht angesprochen, oder ich habs ueberhoert, jedenfalls dachte ich mir das beim Zuhoeren!

    Aja, und thumbs up!

    • @arno nym: Linus sagt das im Podcast implizit: „Es gibt nichts unschuldigeres/unauffälliges als nationalen Webtraffic“ aber nicht noch mal so ausführlich, wie du.

  10. Kleiner Korrekturvorschlag zu den Shownotes: Chaosradio: CRE212 Was von Snowden übrig blieb – das CRE sollte wohl CR heißen. Ich war einen Moment lang verwirrt und musste den Link checken.

  11. Danke für die wieder sehr informative Sendung – ich lerne wirklich jedesmal interessantes dazu :-)

    Eine Frage zum Neuaufsetzen oder Reinigen von Rechnern im Netzwerk: Wie sieht es eigenlich mit Daten auf den Servern aus? Da schreibt irgendein Mitarbeiter auf Basis einer zentral abgelegten Wordvorlage ein Sitzungsprotokoll und legt es als doc oder pdf wieder auf dem Server ab…. inkl. der Infektion, die sich auf seinem Rechner schon eingenistet hatte.

    Das Neuaufsetzen der Rechner im Bundestag ist sicher machbar und schneller als eine Reinigung der Rechner – wie aber stellt man sicher, dass die neu aufgesetzten Rechner beim ersten Zugriff auf zentrale Dateien nicht gleich wieder infiziert sind? Kann man die Daten (lokal oder auf dem Server gespeichert) überhaupt alle säubern? So einfach mal eben löschen kann man die Arbeitsdaten und Archive ja auch nicht – bei System und Software ist das unkritisch, lässt sich neu installieren.

    Grüße!

    • und legt es als doc oder pdf wieder auf dem Server ab…. inkl. der Infektion, die sich auf seinem Rechner schon eingenistet hatte.

      Theoretisch möglich, wird aber praktisch nicht gemacht, weil: Wer weiß, wohin die infizierte Datei noch so wandert, und welche Alarme sie auslöst. Wenn man einmal drin ist, ist die Streu-Schuss-Taktik am Ende.

      wie aber stellt man sicher, dass die neu aufgesetzten Rechner beim ersten Zugriff auf zentrale Dateien nicht gleich wieder infiziert sind?

      Sicherstellen kann man das kaum. Aber üblicherweise werden wie gesagt nur recht wenige Dateien infiziert, und der Neuangriff käme eher über noch infizierte Maschinen, oder Schläfer.

      Auszuschließen ist es aber nicht, dass ein Rechner herum seucht. Passt nur nicht zur Taktik gezielter Angriffe.

      Das soll nicht heißen, dass alle Dateien, mit denen der infizierte Rechner in Konktakt war, clean sind, oder dass dein Szenario nicht möglich wäre. Man macht es nur üblicherweise anders, weil das unauffälliger ist.

  12. Da ich leider zu wenig von Security verstehe, wollte ich mal fragen, wie ihr euch einen wirksamen Schutz in so einem Umfeld eines Ministeriums vorstellen würdet, oder ist das einfach praktisch nicht umsetzbar?

    Meine Erfahrung bei größeren Organisationen ist, dass meist aufgrund von Kolloberation der verschiedenen Organisationseinheiten, Hierachien in diesen Einheiten und Zusammenarbeit mit externen Partnern meist kein wirklich gutes Sicherheitskonzept / Eingeschränkte Berechtigungen / Sicherheitszonen etabbliert werden. Also selbst wenn Linux, monitoring, Honeypods und alle Regeln der Kunst eingesetzt werden, stelle ich mir das doch sehr aussichtslos vor, sich gegen einen gezielten Angriff mittels Trojaner zu wehren. Oder liege ich da falsch und das wäre mit gewissen best-practise auch unter solchen Praxisbedingen eine große Organisation zu verteidigen? *grübel*

  13. Danke für den wieder mal sehr informativen Podcast. @Linus: Vor einigen Folgen hattest du über eine vermutete neue Dimension der Standortdatenerfassung gesprochen, u.a. ging es darum, dass durch Datenverbindungen im Gegensatz zu einem reinen Telefonen Smartphones ständig Verbindungen aufbauen und damit tatsächlich lückenlose Bewegungsprofile der gesamten Bevölkerung möglich sind. Du hattest sogar davon gesprochen, dass wenn sich das bewahrheitet, das der Punkt wäre, wo du dich vielleicht sogar ganz von einem Smartphone trennen würdest. Gibt es inzwischen neuere Erkenntnisse, ob diese höhere Dichte der Standorterfassung tatsächlich zutrifft.
    Eine andere Frage ist, was die gesetzlichen Speicherfristen tatsächlich wert sind. Mir ist nicht ganz klar geworden, ob Ermittlungsbehörden und Geheimdienste über ihnen zur Verfügung gestellte Schnittstellen auf die Daten zugreifen können oder nicht. Wenn ja, gibt es niemand der kontrollieren könnte, ob sie nicht einfach alles abschnorcheln und selbst unbegrenzt speichern. Dass Geheimdienste auf Gesetze scheißen ist ja hinlänglich bekannt.

    • Ergänzung zur ersten Frage: Konkret geht es ja wohl v.a. um §113b (4) im Entwurf:

      „Im Fall der Nutzung mobiler Telefondienste sind die Bezeichnungen der Funkzellen zu speichern, die durch den anrufenden und den angerufenen Anschluss bei Beginn der Verbindung genutzt wurden. Bei öffentlich zugänglichen Internetzugangsdiensten ist die Bezeichnung der bei Beginn der Internetverbindung genutzten Funkzelle zu speichern. Zusätzlich sind die Daten zu speichern, aus denen sich die geografische Lage und die Hauptstrahlrichtungen der die jeweilige Funkzelle versorgenden Funkantennen ergeben.“

  14. Tolle Sendung (bin noch nicht ganz durch), wie immer. Und spannende „Geschichten vom (Cyber-)Krieg“. Bitte mehr Naehkaestchengeschichten, oder – falls LNP nicht das richtige Format dafuer ist – mal einen CRE dazu.

    Danke fuer’s Weitermachen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.