LNP173 Rentable Sicherheit

Befreite Daten — Router-Firmware — GCHQ hackt — Ransomware — Apple vs. FBI — Neuer BSI-Chef — Termine

Die Sicherheit steht im Mittelpunkt dieser Woche, sei es die gefühlte Sicherheit von Routern, denen alternative Firmwares untersagt werden oder die Sicherheit von Bürgern und Organisationen denen von Geheimdiensten und kriminellen Banden Malware untergeschoben wird zwecks Ausspähung bzw. Erpressung. Im selben Kontext stellt sich Apple auf die Hinterbeine und verteidigt seinen Widerstand gegen die Lockerung von Sicherheitsmaßnahmen durch die Behörden und das Bundesamt für Sicherheit in der Informationstechnik stellt seinen neuen Präsidenten vor, der mit einer zumindest zweifelhaften Vorgeschichte daherkommt.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Linus.
Linus Neumann
Guten Morgen Tim.
Tim Pritlove
Draußen sind Baumarbeiten. Ich hab's Gefühl, dass uns hier einer absägen möchte.
Linus Neumann
Es sind bestimmt diese fiesen Hacker aus der Metroebene.
Tim Pritlove
Politik Nummer einhundertdreiundsiebzig wie immer am frühst möglichen Morgen euch da gebracht. Ungelogen.
Linus Neumann
Ja. Mhm.
Tim Pritlove
Für mich fühlt sich sehr früh an. Und jetzt sinken die hier einen Baum ab.
Linus Neumann
Das ist unser Baum. Ich hätte den Tim da gleich.
Tim Pritlove
Gleich gleich tragen die uns hier raus.
Linus Neumann
Ich sind knotig dich da dran, damit die dir nicht fällen.
Tim Pritlove
Erst haben sie die Bäume abgesägt und dann und dann kamen sie wegen der Podcaster.
Linus Neumann
Wieder Bäume abgeholt. So. Sollen wir mal eine schöne Nachricht zu Anfang machen?
Tim Pritlove
Ja, das also ich meine, ich habe sowieso so den Eindruck, dass wir ähm so das ein oder andere visionäre, Also, was heißt Visionäre, aber zumindest, also ich finde, das wird immer ganz interessant, wenn man überhaupt über irgendetwas berichtet, was man so am Anfang nur so.
Linus Neumann
Mit Appeln zu tun hat?
Tim Pritlove
Nö, ganz unabhängig davon. Also, dass ähm, wenn ja hier mehrere Themen, äh, heute anstoßen, die schon mal dran waren, und wenn man dann da so eine gewisse äh Kontinuität äh hinbekommt und vielleicht zwischendurch auch ab und zu mal das ein oder andere vorausgesagt hat, was dann so halbwegs so eingetreten ist, wie ich da dann doch schon ein bisschen belohnt.
Linus Neumann
Na, das passiert, wenn man Visionen hat und nicht zum Arzt geht.
Tim Pritlove
Ja, genau. Also ich würde auch nicht zum Arzt gehen mit meinen Visionen. Erstmal würde der Arzt das sowieso nicht verstehen, Die Ärzte heute, weißt du? Die können sich auch nichts mehr vorstellen, ne? Versucht habe darzulegen und so, schaute mich einfach nur an und brauch mich nach meiner Krankenkater und das war's.
Linus Neumann
Und da wird dann alles drauf gespeichert.
Tim Pritlove
Ja, Deutschland zwanzig sechzehn, ordentlich Visionen abladen. Also dachte ich mir, machen wir das einfach hier. Das funktioniert ja zwischendurch ganz gut, Eine der Versionen, die wir hatten, war äh na wie wär's denn, wenn man im Bundestag einfach mal so mit Arbeit zuschießt, bis sie äh selber klein beigeben und einem einfach alles schon vorher freiwillig geben, was man vielleicht noch erfragen könnte. Das ist eigentlich nicht die schlechteste Strategie.
Linus Neumann
Nicht alles, was man erfahren könnte, aber zumindest das mit dem mit dem Gutachten des wissenschaftlichen Dienstes.
Tim Pritlove
Gemacht.
Linus Neumann
Ja äh frag den Bundestag die schöne Initiative, von ähm ja wer da alles drin hängt, frag den Staat, wo hinterher die Open Knolle Foundation steckt und Abgeordnetenwatch und hast du alle nicht gesehen, haben ja gesagt, okay.
Tim Pritlove
Diese ganze frag den verklagt den und äh mach sie einfach rund. Ich mach sie rund.
Linus Neumann
Geh den Rimmer richtig aufn Sack DE.
Tim Pritlove
Genau. Wir sitzen jetzt hier auf eurer Türschwelle und wir gehen nicht wieder weg. Bis ihr das nicht gefixt habt, Das ist nicht schlecht, Ja, die wollten ja die die Daten des wissenschaftlichen Dienstes haben, der ja nun laut äh Gerichtsbeschluss ja im Prinzip jedem zugänglich gemacht werden sollte, nur so richtig rausrücken wollten sie nicht. Und durch das Portal fragt den Bundestag, wurde das eben jetzt mal wieder automatisiert und ich glaube binnen kürzester Zeit war dann schon die Hälfte aller aller, ähm alle Arbeiten des wissenschaftlichen Dienstes offiziell angefragt und hätten in dem Sinne eben dann eine Einzelbehandlung rausgegeben werden müssen. Was ja dann noch so absurd lief mit, wir schicken euch mal Post und dann dürft ihr das selber scannen. Aber da das halt einfach dann so trotzig vor der Kamera einfach dann auch getan wurde, also das Empfang und ein Skin haben sie dann irgendwann auch eingesehen, dass es vielleicht für sie da auch besser wäre, den Kram einfach mal so raus zu tun?
Linus Neumann
Erstens einfach mal alles so und dann zweitens in Zukunft grundsätzlich. Ja? Ähm das ist eigentlich ganz schön. Also was man an diesem Fall sieht, ist. Wie diese Sachen skalieren und wie quasi auch der Arbeitsaufwand, je nachdem, wer wie viele Informationen hat, sich ändert, ja? Die haben bisher einfach die meisten dieser Gutachten, da wusste man einfach nicht, dass es sie gibt, Deswegen konnte die auch keiner anfragen. In dem Moment, wo man aber wusste, dass es sie gibt, konnte man anfragen. Das heißt, die die Taktik zu sagen, ah, wenn die anfragen, dann halten wir die einfach sechs Monate hin, äh berechnen in irgendeinen bescheuerten Pfennigs-Betrag und sehen zu, dass die, dass wir denen das möglichst dass wir denen möglichst viel Arbeit machen, Das geht halt nur so lange wie, wie die, nämlich die fragt den Staat, Leute, nicht mal eine ganze Menge Fragen stellen können. Und in dem Moment arbeitet halt dieses dieses ähm gegen dich selber, ne.
Tim Pritlove
Ja, soweit ist jetzt wohl gekommen, dass sie eingesehen haben, dass sie so im nächsten Jahr nichts anderes mehr zu tun hätten als diese Anfragen zu bearbeiten und Faxe zu verschicken.
Linus Neumann
Nee, schön, wunderbar, freuen wir uns. Und auch eine eine schöne, ja, äh, muss man sagen, dieses ganze frag den Startteam, ähm, echt immer wieder die haben immer die geilen Ideen und die hauen da echt äh mit schönen mit schönen Strategien, schönen Code, coolen Lösungen kommen kommt von den Leuten immer wieder was Cooles und ich weiß, dass wir die eigentlich jedes Jahr beim Congress haben und sagen, ey, wir können die nicht schon wieder ins Programm nehmen. Die waren letztes, vorletztes und sonst was, das Jahr immer wieder da, aber dann haben sie halt wieder irgendwie sowas cooles gemacht jedes Jahr, da ist also jetzt haben sich eigentlich im Prinzip schon wieder äh für einen dreiunddreißig C3 äh qualifiziert.
Tim Pritlove
Ja, es ist vor allem auch Social Engineering edits best, gepaart aber auch mit so einer technischen, Ähm Eleganz. Also das das gefällt mir einfach daran. Eigentlich am allerbesten und das ist ja, sagen wir mal, jetzt auch nicht unbedingt. Erforderlich hier Meisterwerke der Softwarekunst hinzuschmeißen, sondern es ist ein eher dieses Hinsetzen, ordentlich machen, vor allem tun und hier reden, und dann äh erzählt sowas eben auch schnell Wirkung. So und äh von daher ist das hier einfach bestes Hackergrundverhalten, Sowohl was die Grundskepsis äh gegenüber jeglichem System betrifft, als eben dann auch dieser feine, kleine Weg, einfach rauszufinden, wo es wo ist denn hier sozusagen die, die in Anführungsstrichen Sicherheitslücke, also sozusagen, wo ist denn hier quasi die, die Formalienlücke, die einem eben ermöglicht, am Ende doch das zu bekommen, was man eben haben will. Das ist schon sehr schön und an der Stelle Gratulation ans Team, macht weiter so.
Linus Neumann
An Stefan und Arne.
Tim Pritlove
Genau vor allem, aber nicht nur.
Linus Neumann
Jo, dann ähm.
Tim Pritlove
Aber noch was vorhergesagt.
Linus Neumann
Noch was vergessen? Das war aber einfach. Also die die Vorhersagen waren jetzt beide Rall.
Tim Pritlove
Da war, da waren wir auch genauso spät dran wie alle anderen.
Linus Neumann
Ähm die. EU-Kommission hat ja schon zweitausendvierzehn in der Richtlinie zweitausendvierzehn dreiundfünfzig EU verfügt, dass. WLAN, Geräte, WLAN-Ruter, funkende Geräte, ähm, Dagegen geschützt werden, herstellerseitig dagegen geschützt werden müssen, dass irgendeine andere Firmware da drauf kommt. Mit der Begründung, dass die Geräte ja sonst irgendwie wild rumfunken könnten. Ähm wir hatten auch darüber gesprochen, dass das größtenteils eine ähm eine unsinnige Erwägung ist bei dieser ganzen WLAN-Geschichte, und ähm wir hatten vor allem darüber gesprochen, was das bedeutet für die Freifunk-Community, denn, Freifunk, ähm Firmenware ist natürlich eine eigene, eine eine selbstgeschriebene Open WRT also Open WRT heißt dieses System, wird kompiliert für alle möglichen Arten von Geräten, wird da drauf gespielt und man kann sich halt sage ich mal im im Preisbereich von. Haben wir ziemlich günstigen Geräten, irgendwelchen äh chinesischen ähm, Plastikrutern, äh Plastikwlanmodulen für irgendwie um die zwanzig Euro, bis zu irgendwie, ja, feiner äh Hardware, wie so äh Nanostations oder oder sogar noch teurer. Ähm, solche Geräte eben mit mit einer eigenen Firma bespielen, die dann eben auch eigene Dinge macht. Eigene Features hat und in der Regel äh sicherer ist, von einer lebendigeren Community gepflegt wird und ähm stabiler läuft. Und genau das sollte verhindert werden in den USA gibt's da eine ziemlich ähnlich lautende, Richtlinie. Die sogar explizit sich gegen so Systeme wie Open WRT, DDWRT, Freifunkfirma und solche äh Scherze explizit gewendet hat. Und jetzt gibt es, wurde ein ein Log eines. Einer Person, ähm die in so Mesh Netzwerk äh Kram mitarbeitet, mit einem, TP Link äh Support äh Personal veröffentlicht, TP-Link ist ein ein Hersteller von. Geräten, die, sage ich mal, von der Hardware immer ganz brauchbar sind. Ja, die haben dann vielleicht mal ein bisschen wenig Speicher, aber die haben schon immer so WLAN-Module, die vernünftig funktionieren, ist auch ein USB-Port dran, ähm die sprechen die die flotten Funkprotokolle in der Regel und sind sehr günstig. Und haben, in der Regel fürchterliche also so richtig katastrophal. Ähm mit mit irgendwie Sicherheitslücken und und anderen Problemen, wie zum Beispiel, dass das die Fauld Kennwort für das WLAN irgendwie die letzten so und so viel Zeichen der Mackadresse sind, Also, dass du quasi, du nimmst das Ding in Betrieb und und jeder weiß, das Passwort, weil der.
Tim Pritlove
Natürlich sichtbar ist, auf.
Linus Neumann
Die Adresse eben über Funk sichtbar ist, also so wirklich so katastrophale Fehler ja. Äh ich habe auch noch nie eine TPing-Firmware wirklich gesehen oder im Betrieb genommen. Ich habe immer nur so auf dieses, Login, ne, Admin, Admin, andere Firmenwert rausspielen, Open WRT, also dafür ist die gut So, die, das ist auch stabil, das funktioniert. Man kann da in der Regel stabil eine andere Firma draufmachen. Alles andere ist äh äußerst äußerst alpha und äußerst äh Buggy, Racey und äh hässlich, macht keinen Spaß. Genau dieser Hersteller sagt jetzt ja unsere neuen Produkte werden limitiert sein und in Zukunft werden alle Produkte limitiert sein. Wurde dann gefragt, ob das daran liegt, äh dass diese Beschränkungen äh wegen der, Von der äh US-Regulierung FCC äh nun existieren, sagte der Support Mitarbeiter im Jahr wegen der FC. Machen wir das jetzt? So, also bei TP Link ist es eben einmal eine wirklich eine eine Bedrohung für die Freifunnk-Community, weil die eben, natürlich auch darauf angewiesen ist, billige Geräte zu holen und TP-Link da sehr ähm verbreitet ist. Und eben T-Peeling ist auch das optimale Beispiel, sage ich mal, für, wirklich fürchterliche Software, die dann eben auch nicht in im vernünftigen Zyklus geupdatet wird und die eigentlich einem Kunden nicht zumutbar ist. Also hier haben wir ähm, Paradebeispiel von etwas wird verkauft und äh kann vom Kunden besser gemacht werden. Und der Kunde profitiert äh im Zweifelsfall da davon, dass er eben diese günstigen Preise kaufen äh zu zu diesen günstigen Preisen diese Geräte kaufen kann, und die mit einer der besten erhältlichen, verfügbaren Softwares, ähm flashen kann, diese Geräte. Das soll nun ein Ende haben. Man kann jetzt noch ein bisschen darauf hoffen, dass ähm das DP-Link nicht in der Lage ist, also ich meine.
Tim Pritlove
Wirklich komplett diesen Lockdown wirklich zu machen, ja.
Linus Neumann
Ähm da ein vernünftiges Code-Signing reinzubringen oder dass sie halt, was weiß ich, äh ja, wie auch immer irgendwelche Fehler machen an dieser Angelegenheit. Hoffentlich äh vielleicht sogar absichtlich.
Tim Pritlove
Weil ja am Ende sie.
Linus Neumann
Dieser scheiß Stein gerät jetzt in Roll ins Rollen und das ist ein schlechter Stein.
Tim Pritlove
Ist die Frage, wie wie die da auch vor allem firmenintern darüber nachdenken, ob sie das eigentlich als potenzielle Bedrohung äh ihres Absatzmarktes sehen. Wahrscheinlich sind die Zahlen, die jetzt von solchen Alternativen Fläschereien im Verkauf erzeugt werden, für die nicht wirklich relevant.
Linus Neumann
Das kann sein, ja.
Tim Pritlove
So ein bisschen davon ab, wie die wie die das halt auch selber sehen, aber die haben sich jetzt auch nicht unbedingt besonders hervorgetan als äh Unterstützer einer weltoffenen, Welt und deswegen müssen ihre Geräte jetzt auf den Markt, einfach so gemacht, wie es eigentlich fast alle machen. Die waren jetzt aufgrund ihrer Preise und der Zuschnitte der Features, verhältnismäßig beliebt, aber am Ende ändert sich ja auch nichts. Alle anderen werden jetzt genauso nachziehen. Uns wird auf jeden Fall mindestens erstmal ein Ärgernis sein. Also besonders versierte Techniker werden da sicherlich einen Weg finden, aber das Argument war ja bisher auch immer ruf sie dir, pack sie drauf, haste fertig. So und jetzt ähm stellt sich halt die Frage, wo sollen jetzt Geräte herkommen, weil ihnen das eben nicht mal so eben geht. Eigentlich gibt's keine Quelle dafür mehr, oder? Die ist jetzt abgeschnitten, die Quelle für so Hardware, wo man eben, Mal soeben eine freie Firmenwert drauf packen kann.
Linus Neumann
Es gibt noch also es geht auf den Geräten genauso einfach und es gibt da eine Menge, wo du das machen kannst, aber und ich kann da jetzt auch nicht für die gesamte Frei-Fun-Community sprechen, aber da, wo ich mit Freifunkern zu tun habe, ähm sehe ich viel äh die Peeling rumstehen, die auch den den TP ist ja sagen die Amerikaner ja zu Toilet Paper Und äh da werden dann auch sehr viele Witze über gemacht im äh Umgang mit diesen Geräten. Ich betreibe die auch und ich bin da eigentlich äh Ich würde die jetzt noch ein paar von kaufen, also bevor die.
Tim Pritlove
Solange es sie noch gibt. Ja gut, aber lang, langfristig ist das natürlich jetzt keine Lösung. Da muss man jetzt schauen, ähm ob sich da überhaupt noch irgendwas drehen lässt so.
Linus Neumann
Das ist äh Scheißen. Ja.
Tim Pritlove
Nicht schön. Ja. Wir prangern das an. Wir haben schon lange nichts mehr angeprangert. Das prangern wir jetzt echt an.
Linus Neumann
Also man muss, wir müssen irgendwie gegen diese Regulierung vorgehen. In den in den USA gibt's auch schon eine Aktion und wir müssen gucken, wie wir das in Deutschland äh auch irgendwie hinkriegen, da noch gegen vorzugehen. Ich äh sehe da äh Na ja, ist jetzt so, kann ja nicht alles selber machen, aber ich hoffe halt, dass diese, dass die Open WRT, DDWT, frei von Community da groß genug, stark genug und vernetzt genug ist, um diesen dicken Stein jetzt noch irgendwie aus dem Weg zu räumen ja
Tim Pritlove
Nun denn, schauen wir nach äh England, da ist ja gerade einiges los.
Linus Neumann
Ja, der war jetzt, also.
Tim Pritlove
Die wollen ja nicht mehr mit uns.
Linus Neumann
Die Briten.
Tim Pritlove
Die versteht keiner.
Linus Neumann
Ich verstehe dit nicht. Ich verstehe wirklich nicht. Ja, also das gab's ja, auch das haben wir längere Zeit ähm begleitet, eine Klage des CCC zusammen mit. Euer Privacy International und anderen ähm Gruppierungen gegen die Praktiken des ähm, des GCH ähm, Government Communications Headquarter ist das, glaube ich, ne? Ja. Der.
Tim Pritlove
Genau, die britische NSA.
Linus Neumann
Die britische NSA, ähm die so Sachen macht, wie, Mikrofone und Kameras von gehackten Geräten verwenden, um Leute zu beobachten und zu belauschen, Dokumente von ihren Computern, Clown, also Trojaner auf ihren Rechnern oder Telefon installieren ähm. Mitm Key-Locker, Passwörter-Clown, die Geräte eben fragen, wo sie gerade denn sind, über das GPS, also im Prinzip einmal alles, was man mit so einem, mitm halbwegs stabilen Trojaner äh hinbekommt. Und sie dürfen das, egal, äh ob das Ziel sich in Großbritannien oder im Ausland befindet. Also einmal alles, sie haben wirklich uneingeschränktes äh Hacking Recht bekommen, von dem Investor-Hutory Power Stripional, welches die einzige Justizbehörde im Vereinigten Königreich ist, die ähm, Beschwerden über Geheimdienste überhaupt bearbeitet und wir hatten ja, glaube ich, schon vor vielen Sendungen festgestellt, dass die auch bei denen im Hause ansässig ist oder irgendwie nebenan oder ist der Nachbar klein in der hässlichen Nachbar, die teilen sich die Kantine so ungefähr. Ähm, Denn es gab am Anfang irgendwie, Also sie sie sagen so, ja, es gab eine eine Menge ernsthafter Fragen, die äh aufgerufen wurden, aber schließlich sei die Balance zwischen Privatsphäre der Menschen. Und den Bedürfnissen der Geheimdienste gewahrt geblieben, in allem, was sie machen. Es gibt nämlich ein Equipment Interferenz Code, eine Art Hacking Richtlinie, die sich die britische Regierung gegeben hat. Ähm und außerdem gäbe es ja eben dieses Investigutory Powers Bill, also die, die das Gesetz dazu, aus dem eben doch auch das Investor hervorgeht. Ähm und der. Der ähm dieser also diese neue Investor soll, Noch in diesem Jahr verabschiedet werden und noch mehr anlasslose Massenüberwachung dem genehmigen. Und so ungefähr sagt das äh sagt das IPT dann eben, naja komm, also ey das waren schon ernsthafte Fragen, aber wir haben jetzt festgestellt, die die Interessen sind da ausgewogen und in Zukunft werden die ja sogar noch mehr dürfen. Insofern geht schon alles klar.
Tim Pritlove
Was wollt ihr eigentlich?
Linus Neumann
Das ist sehr ärgerlich. Sie sagen, schon heute ist es legal, was sie machen und ist auch mit der europäischen Menschenrechtskonvention vereinbar. Wir werden sehen, äh wie die Gruppe, die dagegen klagte jetzt darauf reagiert, ähm. Da müsste man, müssen wir uns mal wieder mit Konstanze unterhalten, Konstanze kurz vorm Computerclub, ja die da auch äh er weiß, wie da jetzt die rechtlichen Möglichkeiten sind, also ob man in Großbritannien kann man gegen dieses Urteil jetzt sicherlich nicht mehr vorgehen, aber ich weiß eben nicht, ob das IPT die notwendige Instanz ist, um über äh Vereinbarkeit mit der europäischen Menschenrechtskonvention zu urteilen. Also wir müssen auch nochmal mit Konstanze darüber sprechen.
Tim Pritlove
Also Öffentlichkeitssatz hat's auf jeden Fall erzeugt. Ob's ähm ja, eine Öffentlichkeit war, die jetzt irgendwas verändert. Da muss man sich, glaube ich, äh wenig Illusionen machen.
Linus Neumann
Tja, dann haben wir. Ähm grade eine eine interessante, interessante öffentliche Debatte über. Und ich weiß nicht genau, ob wir darüber überhaupt schon hier in meinem Logbuch gesprochen haben, weil dann will ich mal grob erklären, wie das funktioniert.
Tim Pritlove
Ähm ja ich glaube nicht so direkt.
Linus Neumann
Also, Grund, Grundeinführung. Heißt ja Lösegeld. Und ähm, diese diese neue Entwicklung bei der Myware ist eigentlich sehr interessant, unter äh Gesichtspunkten einerseits, was man für, Neue Angriffsmodelle sieht und entwickelt und ähm auch wie sich, sage ich mal, ökonomische Gefüge dahinter ergeben. Und wie da eine größere ja fast könnte man sagen organisierte Kriminalität entsteht in diesen Geschäftsbereich dieser Erpressung, Was macht? Ähm in der Regel läuft das so ab, man kriegt also einen kriegt einen E-Mail-Anhang Im Moment sehe ich das sehr viel so äh bitte äh bitte wir müssen sie finden sie unsere zweite Mahnung im Anhang. Bitte überweisen sie den Betrag sofort, sonst müssen wir Magengebühren erheben. Und dann ist irgendein ähm entweder ein PDF oder einen Doc äh oder sonstwas angehängt, in dem dann eben äh ein Skript äh ist oder ein Explode drin ist, die dann eben eine Myware auf dem Rechner zum Laufen bringen.
Tim Pritlove
Man tritt sich halt einfach die Software irgendwie ein.
Linus Neumann
In der Regel aber dadurch, dass man ähm, eine Datei aus äh nicht vertrauenswürdiger Quelle öffnet und das eben häufig so wie ich das bis in den bisherigen Fällen gesehen habe, eben irgendwelche E-Mail-Anhänger. So, was macht diese Major? Diese Myware geht los und sagt, okay. Ich bin jetzt, ich habe jetzt ausgelöst und ich gehe jetzt ähm ich mache mich jetzt auf den Weg, und versuche Dateien mit bestimmten Änderungen mit mit bestimmten Endungen. Also. Punkt dog X. Ja, Word-Dateien. Punkt äh XLS, X, Excel-Dateien, PDF-Dateien, JPEG Bilder, ja, da trifft man die Leute hart. Und ich nehme all diese Dateien. Verschlüssele die. Und ich verschlüsse die. Den Verschlüsselungskram, lassen wir jetzt mal grob außen vor. So, dass man am Ende ein bestimmtes Passwort braucht, um sie wieder zu entschlüsseln. Und dieses Passwort, bevor ich anfange, die Dateien zu verschlüsseln, generiere ich das lokal bei mir, auf dem Rechner des Opfers und schicke das über das Internet zu meinem zu meinem Command in Control Server, ja? Der quasi dann das Passwort gesammelt hat, der weiß das, ich weiß es nicht mehr und fange an, die Dateien zu verschlüsseln. Nimmt man also so ein äh äh asymmetrisches Verschlüsselungsverfahren, dann funktioniert das. Das heißt, das Wissen, ich kann jetzt die Dateien verschlüsseln, habe aber auf dem Rechner äh nicht mehr, das Passwort, um sie wieder zu entschlüsseln. Und dann geht der Trojaner ans, die ans Werk und verschlüsselt die ganzen Dateien, Und wenn sie dann fertig ist, dann sagt sie Bescheid. Ihrem Opfer, entweder geht da ein Fenster auf oder sie hinterlässt einfach in jedem Ordner so ein ähm. Textdatei, ne, die dir da variiert die äh der Style, der Programmierstyle ähm und sagt auf jeden Fall, ja, also deine Dateien sind jetzt übrigens alle verschlüsselt. Und wenn du die wieder haben möchtest, zahlst du bitte was weiß ich, ein, zwei Bitcoin, an folgende Adresse, unter dem Transaktionsbegriff so und so. Und die Preise sind dann irgendwie sowas zwischen dreihundert und fünfhundert Dollar. Äh ist da gerade äh so die übliche Hausnummer, von der man so liest?
Tim Pritlove
Ja, im Prinzip ist es so ein bisschen vergleichbar mit Entführung oder ähm also so so eine Datenentführung. Und. Außerdem hat das natürlich interessante, äh Auswirkungen, glaube ich, auch auf die Art und Weise, wie man den den Wert und die Sicherheit der eigenen Systeme überhaupt bewertet. Weil was ja hier im Prinzip, deutlich gemacht wird durch die kriminellen ist, welche Bedeutung diese, Daten haben. So und in dem Moment, wo man eben schlecht vorbereitet ist und das sind immer die meisten Leute, in dem sie irgendwie keine ordentlichen Backups äh vorweisen können, wo die einfach nur sagen können, so hier mich nicht hier euer Scheiß, wir machen die Kiste platt spielen, Backup fing gestern ein und und Ruhe äh bei vielen Organisationen, die zwar extrem, mittlerweile von Computern abhängig sind und von Daten.
Linus Neumann
Also ich würde da ich würde Organisation will ich noch gar nicht so weit gehen. Also erstmal möchte ich an der Stelle eine Episode von Radio Lab ähm empfehlen, Die ist äh sehr schön, wo also eine äh Privatperson, ich glaube, das sind die Mutter einer Redakteurin, äh äh sich so ein Ding eingetreten hat. Ja Und da wird da wird sehr schön geschildert, wie diese in der Regel diese unbedarfte Person. Was sie überhaupt für Schwierigkeiten hat ähm. An Bitcoins zu kommen. Also das, sie hatte, ich glaube, der Trojaner bei bei dieser Person hieß Star Code. Es gibt eben auch viele verschiedene. Und bei denen war das so, die haben gesagt, ja, du musst das bis dann und dann bezahlt haben. Und dieser Countdown lief auch tatsächlich und sie hat dann äh das irgendwie und dann war Wochenende dabei und dann wo kriegt sie jetzt die Bitcoins her? Und wenn du jetzt zu so einem Bitcoin Exchange gehst, dann muss ja erstmal Geld dahin überweisen und dann dauert das, So und solange bis du das Geld auch wirklich kriegst und wenn du jetzt ernsthaft. In der Bitcoin-Transaktion machen möchtest, dann musst du dir, sage ich mal, ist der der naheliegende Weg dir das Bitcoin Tool runterzuladen, das braucht aber im Moment erstmal die Blockchain, ist irgendwie bei sechzig Gigabyte oder so. Die muss ja erstmal runterladen. Ähm, Klar, es gibt da nur noch andere Möglichkeiten, aber die muss man ja auch erstmal alle finden. Ja, das heißt, es ist für eine Person, die jetzt mit diesen ganzen Cyber Crime oder so und Darknet und Crazy Hacking, nichts zu tun hat eine sehr große Herausforderung bei dieser Frage. Ich will das nicht spoilern, aber es wird dann auch noch sehr spannend. Also die tritt dann auch in in Austausch mit den Angreifern, weil und da kommt das, was ich da also ökonomisch daran so interessant finde, äh von aus ökonomischen Ernährung daran so interessant findet, Die Angreifer wollen ja nicht deine Dateien kaputt machen. Die wollen das Geld haben. Und ähm, in das führt zu verschiedenen interessanten Entwicklungen. Und zwar gab es vor einigen Monaten mal die Meldung, dass äh es quasi Service gab. Da ist also eine Gruppe hingerade, hat gesagt, pass auf, du kannst dir quasi, du kannst den bei uns kostenfrei lizensieren, kriegst den von uns. Wir machen auch, dass Inkasso für dich, wir machen die komplette wir machen das ja behalten aber zwanzig Prozent. Echt krass ist, ne? Also du hast diese Software, dass, Diese Dinger verschießt du natürlich im im Schrotschuss-Prinzip, ja? Und ähm, wenn du dann eben in der Blockchain den den Eingang auf das angegebene Bitcoin äh Konto verzeichnest, äh dann gibst du eben den Schlüssel raus. Ja, das ist das kannst ja alles automatisieren. Dieses das Krasse an dem Ding ist, du kannst diesen kompletten Prozess automatisieren. Für irgendwelche Leute, die sagen, ey ich habe aber bezahlt oder äh hier der Bedingen funktioniert nicht und das haben die auch. Die sind sehr bemüht um ihren Ruf. Denn es, ja, natürlich, weil wenn ihr Ruf in den Keller geht, dann zahlen die Leute nicht mehr. Und da gab's mal irgendwie so einen Fall von einem der falsch programmiert war und irgendwie in diese Welt da draußen entlassen wurde und, Es gibt natürlich viele verschiedene Wege dieses diesen, am Ende zu generieren, mit dem du wieder alles entschlüsseln kannst. Ja, also wenn ich das machen würde, würde ich halt, was weiß ich, ein asymmetrisches äh Keeper erstellen. Und dann gibst du dem privaten Schlüssel möglichst zufälliges Passwort oder du generierst das halt aus irgendwelchen Systemparametern, aber da hast du natürlich das Risiko, dass die sich vielleicht ändern oder so. Und übermittelst das. So und da gibt's ähm, Interessante Entwicklung. Das natürlich nicht ganz so einfach, wenn das unbedarfte Personen machen. Da gab's mal einen Krypto Trojaner, da haben welche das halt verkackt, und dazu geführt, dass sie nicht in der Lage waren, die Dateien wirklich wieder zu entschlüsseln, ne? Also wie jemand, der der Leute entführt, äh Lösegeld fordert und die dann abknallt. Ja, das ist natürlich ärgerlich für für die Leute, die ihre Dateien verloren haben und ärgerlich für diejenigen, die sich die Mühe gemacht haben, mit dem die Typen, die das Ding gebaut haben, haben richtig Ärger von der äh Erpresser-Community bekommen, weil sie die Zunft in äh in schlechtes Licht gerückt haben. So und äh es ist echt krass so. Ähm und, ähm ein anderes Beispiel, dieses Tesla Krypthm da waren halt äh irgendwie, sage ich mal, das waren da so die ersten ähm die Die ersten Gehversuche, die haben halt diese ähm die haben das Ding irgendwie nicht ganz dicht gemacht. Das konnte man entweder öffnen oder es gab 'ne es gab 'ne Beziehung zwischen und dem Passwort und da ähm hat letztendlich äh ein Sicherheitsforschungsteam gesagt, ja okay, hier wir haben eine kostenlose Decrypter dafür gebaut, ja die konnten alle verschlüsselten Dateien wiederherstellen. Also auch da gibt es natürlich die Sachen, ne? Baue deine Krypto nicht selber. Du nimmst nimm erfahrene Libraries und so. Also, es ist sehr spannend. Und wie gesagt bis hin zu Service. Aber ich glaube, dieses Serviceding, die haben relativ schnell den Betrieb eingestellt, ähm weil sie gemerkt haben, dass sie sich halt einfach viel zu viel äh Hass irgendwie von Leuten reinholen, wenn dieses Ding halt mal äh richtig los skaliert. Also ein echt spannendes Ding und man muss halt sagen, was macht man? Die sinnvolle, der sinnvolle Schutz gegen so etwas ist natürlich regelmäßige Backups zu machen Diese Trojaner gehen aber natürlich auch los und verschlüsseln alle Dateien, derer sie habhaft werden. Wenn dein Backup-Konzept also irgendwie darauf basiert, äh dass dass du die Backups pusht und die nicht gepullt werden von deinem Rechner, dann kann das sehr gut bedeuten, dass dein äh dass dieser Scheiß Krypto Trojaner dein Backup mitverschlüsselt und dann guckst du natürlich ein bisschen blöd in die Röhre. Und da sind natürlich Evolutionsschritte, die dieser ähm Software jetzt auch mitmacht. Ebenso. Ähm besteht für den, für den Kryptotrojaner kein Grund, nicht auch auf Netzwerk Volumes zuzugreifen, wenn er darauf Zugriff hat, die zu durchsuchen und da Dateien zu verschlüsseln, und jetzt ist äh das gibt's also bestimmt seit so einem Jahr und was macht man, Na ja, das Beste, was man in so einem Fall machen kann, ist zu bezahlen. Ne, also das Beste ist, einen Backup zu haben, Nee, das Beste ist, da niemals drauf zu klicken. So, äh beste ist, nicht dadrauf klicken.
Tim Pritlove
Computer benutzen.
Linus Neumann
Nee, kannst du ja trotzdem benutzen, aber nicht, also wenn irgendwie die Buxtehude Energy GmbH die dritte Mahnung schickt, nee, die ersten beiden nicht erhalten habt und noch nie ein Business mit denen hattet, dann ist die Rechnung in der Regel nicht zu öffnen. Ja, die wird dann in Müll getan, wenn äh also da nicht draufklicken. Dann, wenn ihr schon, wenn ihr unbedingt draufklicken wollt, macht ihr vorher einen Backup. Und wenn ihr keinen Backup habt und draufgeklickt habt und die Dateien verschlüsselt sind, dann zahlt ihr die fünfhundert Euro. Weil. Ist äußerst unwahrscheinlich ist, dass ihr diese Verschlüsse in Dateien entschlüsseln werdet, ähm ohne den Kiez zu haben, Diese Anfängerfehler, die machen halt Anfänger und inzwischen ist das ein Modell, wo Leute dran sind, die damit ordentlich Geld verdienen wollen. Und die sind, wie gesagt, die haben auch ein entsprechendes Servicebewusstsein. Das heißt, mit denen kann man arbeiten und so empfiehlt das FBI höchstpersönlich, wenn ihr euch so ein Ding eintretet, fünfhundert Euro, um alle Dateien wiederzubekommen, das Angebot macht euch kein anderer. Ja äh es stimmt. Jemand, der jemand, der in der Lage wäre, dir dir diese Dateien zurückzuholen, wenn es dort einen Fehler gibt, der kostet locker das Doppelte am Tag, und kann dir keinen Erfolgsaussicht versprechen. Das heißt, da hast du ähm. Du hast keine andere Option. Ähm das Bundesamt für Sicherheit in der Informationstechnik sieht das anders. Deren öffentliche Empfehlung ist nicht zu zahlen und zu hoffen, dass irgendwann das Ding geknackt wird, die bescheuertste Empfehlung der Welt ist. Ach so nee, du sollst auch noch zur Polizei gehen und die Leute anzeigen, ja? Also ich äh ganz ehrlich, Ich hänge ja an bestimmten Dateien, die ich habe, hänge ich sehr. Deswegen mache ich da auch viele Backups von und verteile die so Erdnuss, äh Eichhörnchen mäßig so. Ähm. Und Verschlüsse, die lieber selber, so dass. So, aber ähm. Echt ein interessantes Phänomen und natürlich auch ein ziemlich perfides Geschäftsmodell. So, wird verteilt nach Schrotschussprinzip, weil du brauchst ähm, muss einfach Unmengen an den Dingern irgendwie rausballern, damit du einen Deppen findest, der da drauf klickt und damit du ein E-Mail-Postfach findest, wo das nicht eh schon vom Spam raussortiert wird und so weiter. Ähm. Und jetzt gab's Fälle von einem Krankenhaus in Neuss, eins in Los Angeles und eins in Ahlbeck oder so. Wo so Kryptotrojaner in der Krankenhaus-IT aufgeschlagen sind. Und das war natürlich sehr ungünstig für diese Krankenhäuser. Ja, das heißt, äh du du bist da, du bist ja der Krankenhausverwaltung oder so oder, und.
Tim Pritlove
Nein, nicht nur in der Verwaltung, also überhaupt, alles, was halt irgendwie äh die IT in irgendeiner Form unterstützt, das können ja auch genauso gut Rechner sein, die in der Analyse und so weiter.
Linus Neumann
Ich will jetzt mal hoffen, dass die Krankenhäuser da Sicherheitskonzepte haben, die solche Sachen voneinander trennen. Ich spekuliere, dass sie es nicht tun, aber da diese Krankenhäuser jetzt eh schon öffentlich sehr am Pranger stehen, ähm möchte ich da jetzt ihn nicht noch weiter äh mit Spekulation und Unterstellung was sagen.
Tim Pritlove
Ich will auch jetzt gar nicht spekulieren, aber es ist natürlich klar, dass dass jetzt diese Software auch nicht einen Unterschied macht, sagen.
Linus Neumann
Meine Hypothese ist.
Tim Pritlove
Was auch immer die infiltriert bekommt, kriegt die infiltriert.
Linus Neumann
Wo drauf die wo wo sie drankommt, macht sie weg. Und äh gerade im Krankenhaus hast du natürlich auch weitreichende äh der Zeitzug oder sehr viele Dateien, wenn da ein Rechner Zugriff auf Dateien hat, dann sind das automatisch sehr viele. Und ähm natürlich bei der Verwaltung von Patientendaten über mehrere Räume und Abteilungen eines Krankenhauses hast du Netzwerk Volumes. Wenn der, wenn der Kryptotrojaner die in die Finger kriegt, dann macht er halt das gesamte Netzwerk platt. Ähm das Krankenhaus in Los Angeles hat ähm fünfzehntausend Euro äh in Bitcoins bezahlt, Um diese ganzen verschlüsselten Dateien wieder frei zu kriegen. Und das klingt jetzt übel, Aber mal ganz ehrlich, für den Security-Breach sind fünfzehn K am unteren untersten Ende der Skala, Wenn du mal überlegst, welcher welcher potentielle Schaden dem Krankenhaus auf an anderer Stelle gegenüber gestanden hätte. Und für fünfzehntausend Euro, also man kann jetzt davon ausgehen, das heißt, die.
Tim Pritlove
Mal zum Fall des Datenverlustes, weil man eben keinen Bikini bekommt, ja, es ist überhaupt.
Linus Neumann
Also kannst du ungefähr und kannst ungefähr davon ausgehen, wenn das jetzt fünfzehntausend Euro sind. Kryptotrojaner nimmt in der Regel fünfhundert Dollar, setzen wir da mal Parität, dann waren das eben, dreißig Rechner. Und wenn die jetzt da alle irgendwie durchmarschiert sind, dann haben die eben mit unterschiedlichen Schlüsseldateien äh Verschlüsse, also dreißig Rechner wieder herstellen, Dateien von denen wieder herstellen, ungewisser Ausgang, ob du sie entschlüsseln kannst, die Krankenhaus-IT hätte vermutlich sogar äh die Backups gehabt, das würde ich den jetzt wahrscheinlich noch unterstellen.
Tim Pritlove
Aber auch das kostet ja eine Menge Zeit.
Linus Neumann
Aber auch das kostet eine Menge Zeit, ja. Allein die Betriebsunterbrechung, dreißig Rechner in so einem Krankenhaus, die nicht funktionieren und äh Dateiwiederherstellung einspielen, alter Backups, unter Umständen Verlust von zwei, drei Tagen Arbeit, weil deine Backups nicht so oft gemacht werden alles über fünfzehntausend Euro.
Tim Pritlove
Wobei du natürlich die Kisten danach trotzdem irgendwie bürsten musst und äh.
Linus Neumann
Natürlich, aber äh dem Krankenhaus ist natürlich an der Wiederherstellung eines betriebsbereiten Zustandes gelegen.
Tim Pritlove
Ja gut, ich meine, im Idealfall kann natürlich auch ein äh gut gemachtes Backup an der Stelle äh noch sehr viel schneller den den Betrieb wiederherstellen. Nur und darauf wollte ich auch vorhin schon hinaus. Auf diesen Fall sind sie nicht vorbereitet und ich glaube, was auch diese zeigt, ist welche Bedeutung, Daten. Und Daten verarbeitende Systeme mittlerweile haben. Einfach jetzt nur als als betriebswirtschaftlicher Wert gemessen da dran, was es kostet wenn's nicht da ist. So, ja. Und man konnte sich das ja früher nicht vorstellen. Das ist ja nicht so, dass jetzt einfach äh plopp macht und auf einmal äh verschwindet irgend so ein Industrieroboter aus den äh Fertigungshallen von VW. Ja und dann liegt da ein so ein Zettel, wenn sie ihren Industrieroboter wieder haben, zahlen sie fünfhundert Euro. Ja Und dann äh zahlst du fünfhundert Euro in irgend so ein Briefkasten und plopp ist auf einmal dieser Industrieroboter wieder da. Das war ja nicht möglich. Aber genau das ist halt jetzt möglich, weil es steht dann zwar vielleicht noch, aber, macht eben auch nicht sehr viel anderes und kostet dann äh pro Minute irgendwie fünfhundert Euro, wenn er äh nicht läuft, wenn nicht noch mehr. Und ja, an der Stelle ist halt eine IT-Infrastruktur, die jetzt äh Teil des Produktionsprozesses ist oder Teil des sonstigen Arbeitsflohs, wie jetzt bei den äh Krankenhäusern, im Prinzip gar nicht hoch genug zu bewerten. Also wenn man dann mal versucht, dem dem wirklich einen Geldwert sozusagen zuzuordnen pro Minute und Verfügbarkeit et cetera äh ändert sich glaube ich so ein bisschen auch die Sicht auf den Wert eines solchen Systems und damit natürlich auch auf die ähm, Aufwand, der sich lohnt, um eine Absicherung für ein Fall X vorzunehmen, weil der ist immer noch zu niedrig.
Linus Neumann
Genau und da da kommt natürlich jetzt die ökonomische äh Betrachtungsweise mit rein, weil im Moment ist diese ganze Wear Geschichte eben im, Im Zeitalter des Schrotschussprinzips. Ja? Diese Krankenhäuser waren keine gezielten Angriffsopfer. Ist meine Vermutung.
Tim Pritlove
Beifangen. Mhm.
Linus Neumann
Das war Beifang einer sehr viel größer angelegten guten Kampagne unter Umständen äh haben da Mitarbeiter äh eben vielleicht sogar, was weiß ich, privat E-Mails gelesen oder so, ja, aber okay, das ist jetzt von meiner Seite Spekulation, dass in diesem einen Krankenhaus so viele Maschinen befallen wurden, könnten Hinweis darauf sein, dass es vielleicht auch tatsächlich ein gezielter Angriff auf auf dieses Krankenhaus war. Wenn das Zeitalter der gezielten Angriffe kommt. Und die ähm die äh die Infektionsraten werden naturgemäß abnehmen, also es werden immer weniger Leute oder irgendwann werden immer weniger Leute auf Krypto Trojaner reinfallen und das wird für die Krypto Trojaner Erpresser ähm den Druck hochziehen mehr Geld, Pro Freigabe zu, erwirtschaften, viel mehr Geld als fünfhundert werden sie nicht bekommen von Privatpersonen, weil die sich das einfach unter Umständen gar nicht leisten können. Das heißt, dann werden sie, Wie ist es für sie ökonomisch richtig, sich sage ich mal ins Premiumkundensegment zu wagen und eben produzierende Betriebe, Krankenhausbetriebe, Infrastrukturen anzugreifen, wo ähm sie im Prinzip, oder Tagesbetriebsunterbrechungspreis, aufrufen können und dann eben auch die Preise individuell anzupassen. Im Moment scheinen die noch relativ indifferent zu sein, Das wird sich jetzt ändern. Da bin ich mir relativ sicher. Interessant für die deutschen Fälle ist, dass das wohl unter IT-Sicherheitsgesetz meldepflicht fallen wird. Weil das ist genau das, ne? Du musst einen Fall so, ne, einen Vorfall der geeignet gewesen wäre, dein äh Betrieb nachhaltig zu stören. Da ist Meldepflicht gegeben. Ähm ursprünglich ja glaube ich in dem Fall noch, wenn es, er hätte sein können, dann ja noch ähm, quasi anonym, das hat sich für diese Kliniken jetzt erledigt, weil's eh schon öffentlich ist. Aber man sieht quasi auch da, wie, Wie statisch und unsinnig im Prinzip dieses IT-Sicherheitsgesetz ist. Weil alles, was es hier braucht für für diese Sicherheits, Für diesen Sicherheitsvorfall ist jemand, der die falschen Anhang öffnet und auf die Warnung wegklickt so ungefähr, ja? Und äh diese Trojaner brauchen auch keine besonderen Systemprivilegien oder so, sondern die führen halt einfach aus den verschlüsseln Dateien. Also ne, das ist eine eine Nutzer ähm, Nutzerhandlungen. Die wollen ja auch nur Dateien des Nutzers äh verschlüsseln. Ja, da übrigens einfach nur Optimierung du willst erstens nicht das System zerschießen und du willst halt auch vor allem auch nur Dateien verschlüsseln, die wehtun. Also diese ganzen Systemdateien und so, kommen drauf geschissen. Ah, du nimmst dir halt das Werk des Nutzers, was er auf dieser Maschine hat. Und die wahren Probleme liegen eben an anderer Stelle als etwas, wo man per Gesetz irgendwo reingehen kann oder wo eine Meldepflicht etwas ausrichten kann. Ja, klar, also die die Meldepflicht an das äh Bundesamt für Sicherheit in der Informationstechnik hatten sehr viel geringeren Information sehr viel geringere Informationsreichweite als jetzt das über diese Fälle berichtet wird und gesagt wird hier. Ne, klickst du nicht auf die Rechnung. Und nächste Mal, beim nächsten Mal ist es eben was anderes, ne. Ja, spannend. Ich finde, ich finde diese Krypto Trojaner echt äh interessant, weil sie eben auch so perfide und gemein ist und äh ökonomisch äh so schön abgewogen.
Tim Pritlove
Mir fällt ja immer wieder ein so schöner Begriff ein aus ähm aus der Bankenwelt damals. Ähm, Er ist jetzt schon ein bisschen länger her, das Ding gehört habe. Ich weiß auch gar nicht, wie gut der etabliert ist, aber damals fiel der irgendwie verhältnismäßig oft. Nämlich bei der, Wie viel Aufwand man jetzt auf die Absicherung eines bestimmten Prozesses macht, also da ist jetzt Banktransaktionen oder so etwas, ja, also was auch immer zu Zangen zu sichern ist, dass eben die. Rechnungs äh die aufgestellt wird, die letztlich belegt, wie viel Geld auf ähm ja auf Security gelegt wird. Schlicht und ergreifend, äh dem Schema rentable Sicherheit. Und renntable Sicherheit ist halt ein ganz einfaches Plus-Minus-Spiel. Ja, was würde es mich jetzt kosten, das hier irgendwie zu sichern und was äh äh kann ich potenziell für einen Schaden nehmen, wenn das irgendwie ungesichert ist und äh kaputt geht, Und dahaben sich dann halt viele gesagt, so das lohnt sich halt nicht. Und da muss da jetzt einer fünf Tage dran arbeiten und so. Also überhaupt generell so diese ganzen Sicherungen von Kreditkartennummern von Kunden et cetera. Also das war, sagen wir mal, der Begriff bezog sich damals primär vor allem sozusagen auf die Unsicherheit der Zahlungs äh Systeme als solche, ne? Ja was was sollen wir da jetzt hier groß Verschlüsselungen und Chips einbauen? Das kostet doch alles nur ein Höllengeld und so. Und äh die paar Fälle, jetzt auftreten, das, das haben wir einfach mit in der Kalkulation mit drin.
Linus Neumann
Finde ich aber, finde ich, unter Umständen sogar die richtige Erwägung.
Tim Pritlove
Ja, sicherlich nur.
Linus Neumann
Solange sie dieses Risiko tragen. Ist zum Beispiel beim Online-Banking so.
Tim Pritlove
Ja und solange vor allem dieses Risiko irgendwie abschätzbar ist, aber das wird ja jetzt, sagen wir mal, durch diese äh Geschichte einfach, was willst du da jetzt sozusagen äh als Kalkulationsbasis legen? Ist gerade im Zweifel einfach immer noch mehr Lösegeld verfolgt äh verlangt werden. Und äh an der Stelle bricht das Modell einfach auseinander. Weil einfach diese Rentabilität, du kannst da einfach keinen ähm nennenswerten, sinnvollen Betrag äh auf den Tisch legen der jetzt das hier vielleicht kosten kann. Es kann halt alles kosten. Es kann am Ende dich auch das ganze Unternehmen kosten. Je nachdem, wie groß dein Unternehmen ist. Also ich meine es gibt gibt bestimmt genug Firmen, ich will jetzt gar nicht mit irgendwelchen Beispielen herkommen, da wird's sicherlich jedem irgendwie was einfallen, wo er jemanden kennt, die sich gar nicht darüber im Klaren sind, dass wenn jetzt ihre aktiv laufenden Computersysteme von heute auf morgen alle vollständig ausfallen würden, dass sie wahrscheinlich so in ihrem Business mit Reaktionszeiten, Vertrags äh vertraglichen Zusicherungen, bestimmte Dienstleistungen innerhalb einer gewissen Zeit erbringen zu können, dass so eine Woche Ausfall die schlicht und ergreifend ruiniert und sie dann einfach gar nichts dagegen machen können. Sie aber, sagen wir mal, dieses Sicherheitsproblem ähm Rhansonher oder überhaupt so Lösegeld äh in Bezug auf wir gefährden doch mal hier deinen äh Betrieb, einfach gar nicht auf der Rechnung steht und dass man einfach diese zehn vierzehn Rechner, die da rumstehen Na ja, läuft ja und die Wahrscheinlichkeit, dass jetzt alle gleichzeitig kaputt gehen, ist relativ gering. Ja, von sich aus schon einmal so eine Attacke im Netz und es gehen halt alle vierzehn aus. Und äh dann ist vorbei mit dem schönen Business. Das ist äh.
Linus Neumann
Vor allem hast du dann keinen Rechner mehr, auf dem du Bitcoins installieren kannst. Aber wie gesagt, also das stimmt schon, das wissen aber da also mit, Der Hack beendet dein Business, bin ich irgendwie inzwischen vorsichtig geworden, weil es zwei mir da einfallen in der vergangenen Zeit, bei denen das eigentlich die die richtige Konsequenz hätte sein müssen. Sony Pitchers. Ähm, und ähm dieses Ding hatten wir, glaube ich, auch ausführlich behandelt. Die waren zu einem Ausmaß gehackt, da wo man davon ausgehen müsste, dass sie jetzt erledigt sind.
Tim Pritlove
Ja gut, aber das waren ja nur nee, aber das waren ja nur Leaks. Das war ja sozusagen hier, wir haben.
Linus Neumann
Da war auch die komplette IT äh mussten sie neu aufsetzen, aber du hast Recht, nur liegst, ja ja.
Tim Pritlove
In Image, Marketing äh Problem, aber in dem Moment, wo sagen wir, dann äh deine Operations einfach konkret im Eimer sind, da kannst du dann halt einfach nichts mehr machen. Und die Operation sind halt in zunehmenden Maße einfach digital. Ich meine.
Linus Neumann
Da ist eben das Gleiche, also da muss ich zumindest sagen, also da ja irgendwie, ne, ähm da appelliere ich ja oder da vertraue ich dem ehrbaren Kaufmann, weil der der Trojaner möchte ja nicht, dass du aus dem Geschäft gehst. Der möchte, dass du bezahlst. Unter Umständen will der mal für eine Marketingkampagne vielleicht mal die ein oder andere GmbH GmbH im Jahr äh platzen lassen, damit er weiter in den Nachrichten ist. Aber im Gros der Fälle möchtet er, dass du bezahlst. Und nicht, dass du äh kaputt gehst.
Tim Pritlove
Ja gut, aber die Software macht ja keine Unterschiede äh beim Businessmodell. In dem Moment so lange, also, Derzeit zumindest wohl, wo halt einfach nur ähm breit gestreut wird. In dem Moment, wo man jetzt gezielt angreift und, und, und, und jedes ähm Opfer potenziell sozusagen auch nochmal abwegt, was hat das denn das jetzt hier für Auswirkungen und ja, müssen wir da vielleicht selber noch irgendwelche äh Notfallsysteme einbauen, um uns das nicht hier äh komplett zu versauen? Das, das ist vielleicht das, was vor uns liegt, aber Ich kenne einfach genug Unternehmen, ich will sie nicht anfangen mit irgendwelchen Beispielen, jeder kann sich da was äh vorstellen, Dienstleister, die einfach in so einem täglichen Rhythmus äh drin sind, die einfach in null Komma nix allen ihren Verpflichtungen nicht mehr nachkommen und jegliche Unterstützung von Banken oder was weiß ich, verlieren wenn, wenn sie sich einfach selbst äh innerhalb kürzester Zeit da einfach so aus dem äh Aktivitätsfeld rausnehmen und.
Linus Neumann
Anderes anderer Punkt hier bei dieser Trojaner in in Krankenhäusern ist. Ähm. Das seit noch durch eine andere Sache, Außergewöhnlich ist, im Haufen, im, im, im Bereich der Schadsoftware, denn macht sich bemerkbar, Ähm ich habe hier jetzt letztens eine Pressemitteilung der Initiative Botfrei bekommen, die mit einer von meiner also mit die mit einer aus meiner Sicht nicht vollständig wissenschaftlich haltbaren Erhebungsmethode. Zu dem Ergebnis kommen ähm, Also bottfrei DE ist das. Äh zu dem Ergebnis kommen, dass achtunddreißig Prozent der Rechner, ähm von einem Bot befallen sind. Also Bot heißt dein Computer ist im Prinzip. Fernsteuerbar und gehört zu einem sogenannten, einer großen Menge an Rechnern, die die gleiche, die die gleiche Schadsoftware ertragen und aus der Ferne kontrolliert werden können. Zum Beispiel ähm musste er irgendwie diese Unmengen an Spam verschicken. Ja, da kannst du halt ein ähm, Äh kannst du halt dann irgendwie einem Bot Netz sagen, die Aufgabe über ein Botnett verteilen. Ja, so oder du machst ein Serviceangriff, dann brauchst du sehr viele äh Endpunkte im Computer im im Internet, von denen aus du dein Ziel angreifst. So. Auch das äh machst du halt übern, übern Wort Net Ja, ist auch ein sehr interessantes äh Geschäftsmodell. Äh da ist es eher so, dass man das eine Seite, Dafür sorgt, dass groß zu machen und dieses Botnett dann wiederum Stunden oder sonst was weiß, an andere vermietet, Kosten noch nicht mal so viel. Und. Das jetzt in so einem Krankenhaus mal jemanden auf eine E-Mail-Anhang klickt, das wird nicht das erste Mal gewesen sein. Ähm Es wird aber das offenbar war es jetzt das erste Mal, dass es ein Krypto Trojaner war oder sogar nur das erste Mal, dass es auch an die Presse durchgestochen wurde, weil vielleicht in anderen Fällen jemand sagt, Fuck und die IT sagt, oh Mann, ey peinlich, hier Schlag in Nacken wir stellen das jetzt wieder her und kehren die Sache unter den Teppich. Wir wollen nicht, dass unsere Klinik in in Medien steht, als wurde gehackt, Wir wollen hier äh hier in Chirurgie machen und nicht äh nicht äh Hacking. Und deswegen kannst du dir ungefähr vorstellen, wie durchgeod wahrscheinlich die ganzen Krankenhäuser und sonstigen IT-Infrastrukturen sind von Mywed, die nicht mal eben auf sich aufmerksam macht.
Tim Pritlove
Hm, na ja.
Linus Neumann
Also dieses Feld der IT-Sicherheit ist ähm.
Tim Pritlove
Ein Wachstumsmarkt.
Linus Neumann
Es ist äh ja, es bringt mich um den Schlaf.
Tim Pritlove
Es ist wirklich schlimm. Vor allem ist die Frage, was ist die Antwort dadrauf, ne? Also nicht nur.
Linus Neumann
Antwort dadrauf ist, die Secure Endclave. Ich möchte zum nächsten Thema Tim.
Tim Pritlove
Okay. Was ist die Antwort auf unsichere Computer, die äh nicht von Netzen übernommen werden sollen? Genau.
Linus Neumann
Ein weiteres spannendes Thema, da freut der Tim sich schon die ganze Zeit drauf. Bestimmt ist was mit Apple. Ähm.
Tim Pritlove
Ähm.
Linus Neumann
Also, was ist geschehen? Es war in äh es begab sich zu der Zeit vor einigen Jahren oder wann das war.
Tim Pritlove
Zweiter Dezember zwanzig fuffzehn ist noch nicht so lange her.
Linus Neumann
Ah, guck mal, noch nicht so lange her. Ähm der erste größere äh, oder ein der schwerste islamische Terrorakt in den USA seit dem elften September zweitausendeins. Ähm, Saint Berner Dino, äh wo zwei Attentäter, vierzehn Menschen getötet und einundzwanzig verletzt haben.
Tim Pritlove
Also wohlgemerkt nicht der größte Terroranschlag, sondern der größte Terroranschlag und der Beteiligung von islamisch gläubigen Menschen.
Linus Neumann
Die haben zwischendurch flippt ja auch immer mal eine Amerikaner.
Tim Pritlove
Also da werden wir fast jeden Tag, wenn irgendwelche äh äh Menschen da erschossen, auch mal größere Gruppen, egal.
Linus Neumann
So, zwei Attentäter und wie das in den USA üblich ist, am Ende beide natürlich auch tot. Ähm und jetzt haben die äh haben möchte das FBI aber natürlich diesen diesen Fall untersuchen. Und hat ähm. Von den Attentätern, ein oder mehrere iPhones und, würde gerne auf die Inhalte, ich sage jetzt mal, ein iPhone auf, auf den Inhalt dieses iPhones zugreifen. IPhone fünf C. Jetzt liegt das Telefon vor dem FBI und hat einen numerischen Past Code. Beim iPhone fünf C kann man davon ausgehen, dass der ähm vier Stellen hat.
Tim Pritlove
Oder sechs.
Linus Neumann
Ich weiß, ist das H ist das softwarebedingt, dass die auf Sechs gegangen sind oder ist das Hardware bedingt?
Tim Pritlove
Ja, also wenn mit es war vierstellig, man wird nicht gezwungen es zu machen, aber wenn du jetzt heute ein neues System aufsetzt, einen neuen Passquote eingibst, dann ab jetzt ist es sechs, genau seit.
Linus Neumann
So und jetzt ähm hat Apple ja eine sehr schöne Funktion, nämlich die nennt sich Orto E-Race, Du nimmst dieses Telefon in die Hand, ähm wenn du zehnmal den äh den den das Ding falsch eingegeben hast, ist das Ding erledigt.
Tim Pritlove
Also man kann das so konfigurieren. Mhm.
Linus Neumann
Ich erklär's gleich nochmal im im Detail. Damit das nicht irgendjemand macht, während du im Restaurant auf Toilette bist und dein Handy auf dem Tisch hast, liegen lassen, fängt der nach dem siebten oder achten Mal an, zu zwingen, zu warten. Erst fünf Minuten, dann fünfzehn, dann eine Stunde und dann zuletzt vierundzwanzig oder so. Ähm um dir Gelegenheit zu geben, auszunüchtern und det vielleicht doch nochmal richtig einzugeben. So. Ähm. Mit anderen Worten. Wenn das FBI keinen Anhaltspunkt hat, was dieser was dieser ist und kein anderer zu dem Telefon hat, hat sie zehn Versuche und wenn sie die wenn die vorbei sind hat sie haben sie alle Chancen vertan das zu entschlüsseln.
Tim Pritlove
Also zumindest müssen sie damit rechnen, dass denen so ist. Weil das zeigt, dass Telefon ja nicht an.
Linus Neumann
Doch das sagt er dir nach dem sechsten oder siebten Mal fängt er ja an zu warten. Und dann sagt er dir auch, ey ey reiß dich zusammen, sonst lösche ich das hier, Also ich habe da ich habe mal irgendwann versucht ein iPhone so zu löschen in einer Ewigkeiten gedauert und dann hat sich das Sperrt sich halt vollständig, macht gar nichts mehr fürn für den ganzen Tag zuletzt oder so. So, jetzt. Ähm schreibt, äh dass äh schreibt das sagt Apple, also, Jetzt kommen wir erstmal zu, wie funktioniert das technisch? Auf einem modernen iPhone. Hier äh liegt ein iPhone 6S, hat so einen Fingerprint-Sensor und so weiter, da ist das Sicherheitsmodell so, dass die Inhalte auf dem Ding generell verschlüsselt sind. Das heißt, das Ding hat eigentlich eine äh. Und der Key für diese. Ist in einem Teil des Telefons, der sich Securor Enclave nennt. Das ist ein quasi getrennter, ausgewiesener Hardware-Teil des Systems. Der ähm, Ein Speicher, der sich nicht auslesen lässt und ähm sehr eigens abgeschottet ist ähm aus der Erwägung heraus, dass er nicht ähm angreifbar sein soll von auf dem Telefon selber läuft. So, das heißt, die die Securitla regelt die Authentication.
Tim Pritlove
So ein bisschen vergleichbar zu dem Chip in deiner in einer Chipkarte, eine EC-Karte. Da stehen halt Daten so drauf, die man einfach lesen kann. Aber wenn man halt den Pin haben will, dann muss man eben da in eine digitale Transaktion mit diesem Prozessor eintreten, der einfach sein Geheimnis nur über ein Protokoll bereitstellt und die aber nicht als solches auslesen kann. Und ähm vor allem ist damit eben verhindert, wenn man jetzt nur eine Software auf dem Gerät hat, die in der Lage ist, mal in den Speicher zu gucken, dass ihr das erstmal gar nicht hilft, weil da liegt dieser Kiew nicht.
Linus Neumann
Und, Der wichtige Teil ist bei der Bankkarte, wie oft du den PIN falsch eingegeben hast, merkt sich die Karte selber. Ähm. Es gibt da verschiedene äh es gibt dann technische Angriffe dafür, der Kater einfach den Strom wegzunehmen, bevor sie es sich merkt, dass jedenfall falsch einmal falsch eingegeben hast, aber die Karte zählt mit, nicht der Automat. Der Automat kann also auch nicht, Den ähm den den Key dieser Karte löschen, sondern es kann nur die Karte selber und sie macht es, wenn du dreimal falsch eingegeben hast. So, Also in dem in unserem iPhone ist so eine Secure Endlave, ein eine abgetrenntes, sehr simples, technisches System. Und wenn das eben zehn Mal gefragt wurde und es war zehnmal falsch, dann löscht es einfach seinen Inhalt. Und dann kannst du, äh kannst du diesen Schlüssel eben nicht mehr wiederbekommen und dann ist dieses iPhone auch vollständig geplättet. Ähm ist auch aus aus anderen Erwägungen elegant, weil wenn man sich überlegt, dass hier dieses iPhone hat, was weiß ich, vierundsechzig Gigabyte Speicher. Wenn du jetzt auslöst und das Telefon sagt, ha ha, jetzt lösche ich aber alles, dann müsste das irgendwie vierundsechzig Gigabyte äh auf seinen Flash schreiben, damit ist das erstmal eine Stunde beschäftigt.
Tim Pritlove
So ein bisschen wie floppy das formatieren in den Achtzigern.
Linus Neumann
Genau, also man hat einfach nur einen Schlüssel, der es in Millisekunden gelöscht und dann ist der weg. Ähm.
Tim Pritlove
Das war auch schon immer so mein iPhone.
Linus Neumann
Nee, ich glaube.
Tim Pritlove
Immer im Sinne von seit.
Linus Neumann
IOS vier oder fünf oder so was.
Tim Pritlove
Sehr früh, ja.
Linus Neumann
So, jetzt müssen wir einen kleinen Schritt zurückgehen. Ähm, Jetzt haben wir so grob die Secure Endplay behandelt, also da sind nur die wichtigsten, nur die wichtigsten Schlüssel drin und da ist dann, Das Betriebssystem des Telefons selber spricht also ein Protokoll mit der Secure Endlave zum Beispiel auch wenn jetzt habe ich irgendwie gesehen bei Amazon oder oder irgendwie so, kann ich jetzt auch mit dem Fingerabdruck nicht authentifizieren oder bei bei so einem prompt oder so.
Tim Pritlove
Die äh ist auch dort abgelegt.
Linus Neumann
Da spricht dann eben das äh sprich die App ein Protokoll, das heißt die die App schickt ähm ein, Zufallszahl und das aktuelle Datum oder so dahin und sagt, hier lass mal authentifizieren und die Secure Endlave antwortet, indem sie quasi diese Zufallszeit, die wir mitgeschickt hast, signiert und sagt, jo ich habe hier gerade geprüft, dass der Fingerabdruck da war. Zufallszahl deshalb, damit du nicht einmal die Antwort von der Secure NC nehmen kannst und sie äh immer wiederverwenden kannst.
Tim Pritlove
Ein sogenannter Replay-Attacke.
Linus Neumann
Genau, eine Replay-Attacke will's natürlich nicht haben. So, Und deswegen verlässt auch, was ja auch schon immer Apples Zusicherung war, der Fingerabdruck, nicht die Secure Endlave, weil die einfach gar nicht ähm, die Funktion hat, zumindest nicht die Funktion spezifiziert hat, den Fingerabdruck rauszugeben. Das ist ähm, Schon eine ziemlich coole ähm Architektur, die sie da haben. Bei dem iPhone ähm fünf C ist das nochmal ein ein bisschen anders, weil. Es teilweise irgendwann, also bis zu einem bestimmten, bis zu einer bestimmten Generation iPhones und ich glaube, das war nach dem fünf C war die Funktion, lösche nach zehn Mal. Umgesetzt im iOS Teil. Bei den neuen Geräten ist die Funktion lösche nach zehn Mal umgesetzt in der Secure.
Tim Pritlove
Also genau, also das äh ist ein Kabel im Prinzip mit Touch ID, also mit dem iPhone fünf S der Nachfolger äh von diesem fünf C war, also der Fünfer-Generation. Seitdem Seitdem gibt es seitdem werden die so benutzt, ob ob sie vorher nicht vielleicht auch schon gab, es ist ja Teil der CPU, aber eben ein separater Teil.
Linus Neumann
Ich glaube aber erst ab A sieben oder so. Aber okay, jetzt kommen wir jetzt fangen wir wieder an zu zu technisch zu werden, aber ist auf jeden Fall ein sehr ähm gelungenes ähm Sicherheitssystem in dieser Form, Ja und jetzt hat das FBI also dieses Telefon vor sich liegen und das FBI sagt nun Apple ihr könnt, Bei älteren Betriebssystemen wie diesem fünf C. Die. Ähm äh ihr könnt bei älteren Geräten als diesen fünf C die unverschlüsselten Inhalte ähm, bei bei Passwort oder codegeschützten Telefon problemlos rausholen und habe das auch in der Vergangenheit getan, wenn wir euch darum gebeten haben. Da quasi in diesem in dieser Klage des FBI drin, und ihr könnt es auch jetzt noch. Und wir möchten bitte, dass ihr ähm. Eine die dieses deaktiviert. Sodass wir unendlich viele Versuche haben, Wir möchten, dass wir diese Versuche ausführen können über ein USB-Kabel, Bluetooth oder Wifi, aber nicht über den manuellen Schirm, weil sonst kriegt unser Praktikant irgendwie, Tennisarm?
Tim Pritlove
Roboter bauen, ja. Soll's auch schon mal gegeben haben.
Linus Neumann
Und wir möchten, dass ihr alle Delays ausbaut, die über ähm das Niveau der der Zeit gehen, die, die, die, die, die, die Software und die Hardware wirklich brauchen. Irgendwie, weiß ich nicht, achtzig Millisekunden oder so, ist das, was das Gerät wirklich braucht. Und wenn es dann eben irgendwann sagt, jetzt brauche ich aber eine Stunde, dann äh ist das eben ein gezieltes Delay, also ein Radelimit, um solche Broot-Force-Attacken zu verhindern. Das sagt das FBI will es von FBI und sagt, äh sagt das FBI will es von Apple und sagt, diese diese. Software sei Bitte anders Device gebunden, was wir euch nennen. Und ihr könnt es auch gerne bei euch selber auf dem Campus machen, sodass wir nicht mit dieser mit dieser Firmware nachher abhauen. Ähm, und du kannst. Muss man auch sagen, ähm so ein iPhone halt, also wenn das jetzt vor mir lege, du kannst ein Softwareupdate tatsächlich machen über diesen DFU-Modus, drückst irgendwie zehn Sekunden lang beide und hältst dein Horn gedrückt oder sowas. Ähm. Und jetzt ist aber die Frage, bei den neueren Modellen müsstest du ja die Secure auch updaten.
Tim Pritlove
Also DFU steht für Device Firmenware Upgrade. Mhm.
Linus Neumann
Äh Update, ja. Ähm wenn. Also um diese Funktionalität auszubauen bei einem modernen bei einem neuen Telefon jetzt hier sechs mit Fingerabdruck oder so, müsstest du nicht nur ein iOS Update machen. Sondern insbesondere ein ähm Secure Endlave Update. Und jetzt war natürlich die Spekulation, äh wieso kann Apple das überhaupt? Ja, das heißt, sie offenbar könnte Apple, FBI unterstellt ja das Apple, das könnte Tim Cook gibt in einem öffentlichen Brief sogar zu, dass er das, dass sie das könnten. Ähm sagt aber, sie machen's nicht. Und zwar könnte Apple, also offenbar sind oft die Securitla signiert. Und darum geht's denen eigentlich, nämlich du das FBI nicht ein ein Update für die Secure Endlave machen kann, sondern nur Apple. Und Apple hat den Signing Key dafür, Warum glaube ich und weiß ich und sage ich, dass es die Security geupdatet werden kann, Apple war mit einem weiteren Fall in den Medien, hat dafür richtig Ärger bekommen. Oder steht dann gerade nicht so heldenhaft da wie in diesem anderen Fall, der aber genau das gleiche Sicherheitssystem betrifft und das ist die Debatte um den Fehler dreiundfünfzig, der jetzt äh ganz groß äh die Runde gemacht hat. Worum ging es da? Kunde, was weiß ich, drückt zu feste auf den Home-Button, macht den kaputt Homebutton funktioniert nicht mehr. Home Button ist der Runde unten am iPhone. Wo der Fingerabdrucksensor drin ist. So, geht zu Apple und sagt hier kaputt. Apple sagt ja ho, ho, ho, äh wir haben gar keine Termine für dich. Das machen die anderen Schweine.
Tim Pritlove
Ja, ja, ich weiß. Beziehungsweise äh Garantie abgelaufen lala.
Linus Neumann
So genau, dann also dann kriegst du irgendwann bleibst du mal nachts lange auf, versuchst dir irgendwie so einen Termin zu ergattern oder kaufst einen Termin bei irgendeinem kriminellen Termin, Händler oder sowas und schaffst es tatsächlich, gibt's sieht man ja auch, einen Termin bei Apple zu bekommen, Völlig unmöglich, aber gesetzt den Fall. So. Die Antwort, die du bekämst, wäre, das kostet, weiß ich nicht, so viel wie drei neue iPhones oder sowas, ne? Dieser typischen Reparaturkosten. Also gehst du zu dem äh Thirt-Party-Reperateur deiner Wahl, der diesen Knopf, der irgendwie zwei Euro neunzig kostet, ähm, bestellt und dir für acht Euro neunzig verkauft und für, weiß nicht, für vierzig Euro da reinklemmt, ja? Da hast du eine nicht autorisierte Reparatur deines Telefons vorgenommen, hattest aber den Vorteil, dass A jemand Zeit hatte, um die Reparatur tatsächlich durchzuführen? B das Telefon wieder funktioniert mit einer Einschränkung. Touch ID ist weg. Weil Apple sich natürlich gegen ähm, Die Manipulation des Touch-ID-Sensors wehren möchte. Und das ist sehr gut, dass sie das tun, weil einer der möglichen Angriffe wäre ja auch, ja, es ist in den Fingerabdrücken ist natürlich viele Introphie, aber noch nicht so viel. Ähm einer möglichen Angriffe wäre, du ziehst diesen Fingerabdrucksensor ab, steckst einen anderen dran und machst quasi so ein Blut vors Angriff auf den Fingerabdrucksensor, ja, sind das da irgendwie komische andere Signale hin oder sowas? Und deswegen sagen sie, okay, die Secure Endlave erkennt im Prinzip, ob an ihr Hardware mäßig manipuliert wurde. Und jetzt sind sie auf die Domi-Idee gekommen, Funktionalität danach nicht oder den Schutz danach nach dem Einbau eines solchen manipulierten nicht Original von Apple eingebauten Fingerabdrucksensors. Weiterhin zu funktionieren haben sie dem Gerät, genommen. Nee, sorry, also sie haben ein Softwareupdate geschoben und danach hat die Secure Anglay erkannt, dass sie einen kaputten oder einen nicht autorisierten Knopf aus dubioser Quelle hat und hat dann die Arbeit verweigert und diese Geräte sind nicht mehr angegangen, sondern haben gesagt, Fehler dreiundfünfzig, herzlichen Glückwunsch, du hast nun ein äh Paperwate. Ja, kannst du irgendwie auf Papier legen, fliegt dann nicht weg, ist auch eine coole Funktion, vielleicht nicht die zu deren Zweck oder das Telefon gekauft hast, aber, Das ist die einzig verbleibende Funktion. Oder ein Türke vielleicht bei manchen Wohnungen, so. Und hat den Leuten quasi remote diese Telefone geblickt, gab einen riesigen Aufstand, Ähm und wie gesagt, ich finde eigentlich so eine Hardware Interity Protection keine unkluge Maßnahme, aber die quasi nachher mit dem Update da reinzuschicken, ist natürlich ein Problem, weil du weil die Kunden ja funktionierende Telefone hatten und Apple, die denen wahrscheinlich wissentlich remote kaputt gemacht hat. Gab einen Riesenaufstand, vor allem, weil es eben in diesem Zusammenhang, weil es nachher gemacht wurde.
Tim Pritlove
Und nicht gleich während der Reparatur.
Linus Neumann
Nicht gleich schon immer so war, eben keine äh nicht als äh Hardware-Integritätsschutzmaßnahme öffentlich erklärt werden kann, sondern eben als eine bösartige Maßnahme gegen Party, Reparaturen, von Geräten, die man sonst gar nicht reparieren kann, weil man keinen Termin kriegt in dem Scheiß Apple Store.
Tim Pritlove
Ähm ich hatte gerade einen diese Woche.
Linus Neumann
Ja, aber weißt du, ich. Werde ich den Leuten öfter erklären muss, ne, das ist auch soweit. Dann sagen die, ja, kommst du Mittwoch zehn Uhr. Ich arbeite tagsüber. Völlig verrückt. Lassen wir das mit diesem Apple. Die Geschichte ist noch nicht zu Ende. Die erzähle ich, wenn es zu Ende ist.
Tim Pritlove
Ja. Welche Geschichte ist jetzt nicht zu Ende? Deine jetzt.
Linus Neumann
Apple Store.
Tim Pritlove
Apple Store, nee, nee.
Linus Neumann
Mit dem Apple Store. Also äh ist wirklich eine Katastrophe. Ähm die man muss halt immer so sehen. Peak Apple zeichnet sich gerade dadurch aus, dass diese Dinger so viel kaputt gehen, dass du noch nicht mal mehr einen Termin kriegst, um die reparieren zu können. So viel zur Qualität bei Apple. So, aber okay, Error dreiundfünfzig, Apple hat dieses, hat diese Sperre wieder ausgebaut und das sind beides Updates, die äh das iOS betreffen und die Secure Englave. Also Apple ist in der Lage, ein solches Update zu machen. Weigert sich aber nun ähm, Tim Cook schreibt, ähm in einem öffentlichen Brief, die FBI auf die iPhone Operating System, Circum Vanting Several Importan Security Features, Also Apple sagt nein. Und das, obwohl, ja, muss man auch sagen, in diesem in dieser äh in diesem Urteil quasi ja schon drinsteht, ähm. Die weiß kann bei äh die Firmware kann auf das Spezifische, die an das an den an das spezifische Device gebunden sein und es ist in Ordnung, wenn das Telefon bei Apple bleibt, damit das FBI damit nicht abmarschiert. Das heißt, Tim guckt, lehnt sich hier sehr weit aus dem Fenster und das ist natürlich schön. Nothabene, In der Vergangenheit haben sie es getan. Das ist, denke ich, auch der interessante und wichtige Punkt hier. Sie haben dem FBI routinemäßig bei solchen bei genau solchen Eingriffen geholfen und sagen jetzt, sie werden es nicht. Mehr tun. Das ist eine und das noch dazu im bei einem ähm, Bei einem Fall, wo es um einen Terrorakt geht, ähm wo natürlich.
Tim Pritlove
Islamischer.
Linus Neumann
Der amerikanischen. Der Donald Trump ähm alle Sympathie beim FBI ist. Ja, also dass er Tim Cook ist hier, das ist wirklich ein ein äh Bold-Move, und ich weiß nicht genau, wie gut ähm. Apple sich dagegen, also es kann sein, dass es dass sie irgendwann halt höchstrichterlich dazu verdonnert werden, dieses iPhone zu anlocken. Ähm das wird also jetzt mit Anwälten weitergehen. Ähm aber es ist es ist schön zu sehen, wie weit Apple sich da aus dem Fenster gelehnt hat. Natürlich gibt's jetzt irgendwie die Verschwörungstheoretiker, die dann irgendwie sagen, ja, das hat ein großes Theaterstück, was das FBI jetzt äh als Marketingkampagne zusammen mit dem mit dem mit Apple durchführt und am Ende machen sie das Telefon doch auf. Da wäre ich vorsichtig, also ins, ich meine, dieser Tim Cook hat seine komplette Glaubwürdigkeit und die des wertvollsten Unternehmens der Welt, in die Waagschale geworfen. In einem Fall, wo die öffentliche Wahrnehmung relativ bitter gegen ihn, zustehen droht. Entsprechend kriegt er natürlich jetzt auch tatsächlich Unterstützung von natürlich wie ACIO, ähm, Äh Electronic hier Foundation. Sogar äh irgendwie Google und Facebook und so stellen sich da jetzt langsam hinter. Äh das ist jetzt echt der.
Tim Pritlove
Sehr langsam, ja.
Linus Neumann
Das ist jetzt echt der Showdown zwischen den den IT-Großunternehmen oder dem IT-Großunternehmen, was äh Kundendatensicherheit ernst nimmt, oder ernst nehmen will? Und ähm dem FBI, beziehungsweise dem Staat. Das ist echt, das ist, das wird jetzt eine der wichtigsten rechtlichen Auseinandersetzungen der Dekade. So, das ist ein richtig dickes Ding. Und gleichzeitig kann man eben, wenn Apple diese Feuerprobe besteht, ja, dann ähm. Dann kann man da sollte man darauf vertrauen, weil ich nicht glaube, dass es, Dass man den Tim Cook noch mit irgendeinem dramatischeren Fall als diesem. Islamischer Terror, islamistischer Terror, sorry. Ähm.
Tim Pritlove
In Kalifornien.
Linus Neumann
In Kalifornien einen krasseren Fall wird man dem nicht servieren können, um ihn unter um ihn öffentlich unter Druck zu setzen, die Sicherheit der Geräte aus äh auseinanderzusetzen. Gleichzeitig ähm, hat der Mann offenbar äh keine Leichen mehr im Keller oder. Leichen im Keller, die er gewillt ist jetzt im Rahmen dieses Falles auch rauszuholen. Aber der, der, der, der, der führt jetzt halt ein ein historischen Kampf. Und jetzt, wenn wir Pech haben, verliert er den auch.
Tim Pritlove
Ja, also, steigerungsfähig äh wäre das noch, wir würden nochmal ein paar Szenarien einfallen, wo sie sozusagen noch mehr unter Druck äh geraten äh könnten, weil wie du schon sagtest, die Attentäter sind äh tot der Fall ist sozusagen als solcher vorbei Ja, wenn man jetzt mal so mehr Twenty Four mäßig darüber nachdenkt, dann äh man sich natürlich so ein Szenario vorstellen mit hier ist ein Telefon und auf diesem Telefon sind äh Informationen und wenn diese Informationen innerhalb von achtundvierzig Stunden nicht vorliegen, dann passiert X, Kinder sterben und weißt du? Kitas werden äh in die Luft gejagt, jetzt, so, ne, also das steigerungsfähig ist das sicherlich noch, davon unabhängig stimme ich dir äh zu, ich meine es hält auch sozusagen nicht nichts Neues, also Tim Cook ähm hat jetzt schon seit, na, ungefähr, seit einem Jahr, eine relativ öffentliche Debatte angestoßen und im Prinzip sich äh eigentlich auch am laufenden Meter wiederholt, auch mehrfach darauf hingewiesen, dass ja äh andere Eigenschaften ihres Betriebssystems dahingehend entwickelt haben, dass sie eben vor allem. Überhaupt nicht mehr an diese Informationen herankommen können. Wir hatten das hier auch glaube ich schon ein paar Mal äh besprochen so mit iMessage und dieser Geräte spezifischen Verschlüsselung. Das hat alles nochmal eine andere Dimension in dem Moment, wo die Cloud-Stores, in dem Fall halt i-Cloud äh dazukommen. Weil da ist das dann eben nicht im Gerät, aber sie fahren das jetzt hier, glaube ich, einfach auch exemplarisch als großes Ding, weil, es eben auch den gesamten Widerstand von äh das Silicon Valley gegenüber, den Aktivitäten der äh Behörden Sicherheitsdienste et cetera und Geheimdienste im besonderen natürlich auch äh ja präsentiert. Also das ist sozusagen ihr, Gegen eine Verschärfung und sie sind ja auch generell dagegen und zwar aus zwei Gründen. Erstens, Das kann man anders sehen, aber ich nehme ihm das äh voll ab. Sie haben halt einfach diese einzigartige äh Kundenorientierung. Sie sagen halt einfach, unser Geld kommt von unseren Kunden und die haben wir zu schützen, so. Und das andere ist natürlich auch eine, Darüber hinaus äh gehende freiheitliche Sicht der Dinge, die sie ja äh Tim Cook ganz klar vertritt das halt einfach auch diesen ganzen Überwachungsmoment mit selbst wenig abgewinnen kann. Und äh Entschuldigung und natürlich, das muss ich noch hinzufügen. Das ist für diese gesamte Branche natürlich auch ein finanzieller Aspekt ist, weil sie verlieren im Rahmen dieser ganzen NSA-Debatte in den letzten Jahren natürlich viel Vertrauen auf der einen Seite eben auch konkret äh Kunden. Cloud werden das jetzt hier gerade mit Dropbox und so weiter. Letzte Woche, nicht wahr? Die also jetzt alle reagieren müssen und das ist ja letzten Endes nichts anderes als eine Folge der ganzen Snowdengeschichte.
Linus Neumann
Ungefähr also so so formuliert er das natürlich dann auch, ne? Er sagt dann so also erstens sagt er, dass, Die Regierung nahe legt, es wäre möglich, dass nur spezifisch für ein Telefon zu machen und auch nur einmal zu benutzen, aber das stimmt einfach nicht. Wenn diese Technik einmal gebaut wird, könnte sie immer wieder verwendet werden und auf jede Anzahl von Geräten und das wird natürlich dann auch gemacht werden. Ähm sagte, es wäre in der physikalischen Welt wäre das das Äquivalent eines Masterkies für alle Türen. Ähm. Keiner würde das akzeptabel finden. Dann sagt er, wir werden hier gefragt, unsere eigenen Nutzer zu hacken, und Jahrzehnte der Security des des Sicherheitsfortschritts, zum Schutz unserer Customer zu unterwandern, die gleichen Ingenieure, die ähm das iPhone über die vielen Jahre immer sicherer gemacht haben, Würden jetzt ähm. Von der Regierung gezwungen werden, äh das aktiv zu schwächen. Und ähm er bringt, glaube ich, auch noch, ich weiß nicht, ob er es war oder an anderen Stellen natürlich auch das Argument eingebracht wurde. Wenn wir das jetzt einmal für die Amerikaner machen, dann weißt du, dass demnächst äh in anderen Ländern, äh die auch kommen werden, mit mit den gleichen Urteilen, ja? Ähm. Tja, also es wird ein es wird ein ein schöner Kampf werden. Eine interessante Sightnote ist, John Mc Effe hat sich auch noch dazu geäußert.
Tim Pritlove
Oh Mann.
Linus Neumann
Also äh äh heißt das schon Mac Effy oder heißt der? Ich weiß es noch nicht mal. Mac Effy, der der alte McFi, John McAffy. Ähm.
Tim Pritlove
Der Namensgeber der entsprechenden Virus äh Suite und ähm zwischenzeitlich mal in Mittelamerika in etwas äh gesuchterer Mann gewesen. Der ist jetzt wieder geschafft hat nach Amerika zu fliehen, jetzt irgendwie weiterhin Dany mäßig äh auf die große macht.
Linus Neumann
Also der er ist es ist ein. Es ist ein äh also ich glaube, ich habe jetzt ungefähr erklärt, was das Problem ist. Die Person, die diesen Key kennen, sind tot. Äh die die diese Zahlenkombination kennen, mit der man das iPhone offen macht. Und äh John Mc Effi sagt jetzt also, ja, ähm, Er würde das äh iPhone kostenlos entsperren für das FBI. Mit seinem Team. Als FBI solle sein äh solle sein Angebot annehmen, dann bräuchten sie nämlich Apple nicht nach einer für das Produkt fragen und alles wäre gut. Er sagt, wenn Apple jetzt gebaut wird äh gezwungen wird, eine für die für das iPhone zu bauen, dann wäre das das der Anfang vom Ende von Amerika und er wird es lösen in er sagt. Also er wird mit Social Engineering Techniken innerhalb von drei Wochen dieses iPhone anlocken.
Tim Pritlove
Totenbefragung oder was? Mhm.
Linus Neumann
Ja? Äh mit einer Totenbefragung, ja und uns hat dann mit, Also mit allen Gebotenen Respekt äh für Tim Cook und Apple. Äh ich arbeite mit dem mit dem mit einem Team der besten Hackern der Welt. Sie gehen regelmäßig zur Defon-Konferenz in Las Vegas, und sind Legenden in ihren lokalen Hacking-Gruppen, wie zum Beispiel Heck Miami. Sie sind Wunderkinder mit Talenten, die die jene von von Normalsterblichen, die die das Verständnis von Normalsterblichen übersteigen. Ungefähr fünfundsiebzig Prozent davon sind Social Engineers. Die anderen sind Hardcoreders. Ist auch interessant, äh was für eine ich würde meinen Schuh essen, in der Nähe, wenn wir diese verschlüssel nicht äh brechen. Das ist ein, Purer und einfacher Fakt. Ich finde das so gerne sehen. Also entweder, ich, also es ist einfach, es ist so ein Stuss, es ist so ein Stuss, ja. Ähm.
Tim Pritlove
Wie will er denn das machen? Social Engineering Methoden, ja.
Linus Neumann
Ich weiß es nicht, was der sich der ist einfach, Der hat sich, also der ist halt durch. Der ist halt durch, ja. Social Engineering macht er. Der guckt dem Toten über die Schulter, während er den eingibt, locker. Drei Wochen lang und dann Hatan. Es ist einfach Unsinn. Es ist Un, Also es.
Tim Pritlove
Mikrofil ist Engineering ist das.
Linus Neumann
Es ist unsäglich, dass im Prinzip äh dass dass Medien dann so so offenkundig dämlichen Äußerungen dann auch noch zu einer zu einer Marketingöffentlichkeit äh äh verhelfen.
Tim Pritlove
Ja, so sind sie.
Linus Neumann
Aber lustig ist sie allemal, insofern. Ja, so, kommen wir zum nächsten Thema.
Tim Pritlove
Ähm da war mal wieder der NSA Untersuchungsausschuss tätig.
Linus Neumann
Real, inhaltlich war, habe ich den jetzt noch gar nicht so aufgearbeitet, aber es geht um die Eskalation. In das äh in der Frage, was der Untersuchungsauftrag ist. Denn äh das gehört nicht zum Untersuchungsgegenstand, ist einer der am häufigsten ausgesprochenen Sätze im NSA Untersuchungsausschuss, und diesen möchten Grüne und Linke nicht mehr hören. Wir hatten das auch schon äh öfter mal behandelt. Ähm. Als der August zweitausenddreizehn ähm. Bundestagswahlkampf war, schien die Bundesregierung sich ja eher so ein bisschen äh darzustellen mit ja wir haben damit nichts zu tun, wir verhandeln jetzt in Abkommen. Das war ja quasi so hat dieser NSA Untersuchungsausschuss ja mal angefangen mit diesem Stand. Und es hat sich schon vieles von dem, was die äh was da von Seiten der Bundesregierung behauptet wurde und vieles von dem, was über die Geheimdienste behauptet wurde, als falsch herausgestellt und deswegen, Möchte die Opposition nun den Untersuchungsgegenstand des NSA Untersuchungsausschusses erweitern in Richtung von. Erstens Selektoren, die gegen deutsche und europäische Interessen verstoßen. Gerne wissen, wie weit hat der BND Selektoren Telekommunikationsmerkmale und Suchbegriffe gesteuert, die gegen Deutsche und europäische Interessen verschlossen, also ne? Welche Schuld, welche Verantwortung lag da beim BND? Zweitens, die Erfassung von Routineverkehren. Wo hat der BND noch, außer bei den Operationen Alconal und Glow Talk Routineverkehre erfasst, verarbeitet und ausgeleitet und wurden diese Daten mit den Geheimdiensten der Staaten geteilt. Drittens, die Einbindung ins weltweite Spionagenetz, Der BND Teil des Global Reach Ansatzes der NSA durch Zusammenarbeit von Geheimdiensten eine weltweite Überwachung zu ermöglichen. Inwiefern hat der BND Daten zugeliefert, Den Abgriff von Daten unterstützt und ermöglicht. Also hier diese gesamte Geschichte, ne, wie arbeiten die zusammen? Da kommen so Fragen auf, wie. Der BND, und Verfassungsschutz experimentieren da irgendwie mit Ex-Kiescore rum und bezahlen das mit Daten. Welche Daten sind denn das und so weiter? Und das sind eben genau die Fragen, wo es dann immer heißt, nicht Untersuchungsgegenstand. Und das möchten Sie jetzt einfach mal brechen. Und viertens, Informationspflichten, wer wusste wann, was? Hat die Bundesregierung in umfassenden und zutreffenden Maßöffentlichkeit, Parlament und Kontrollgremium informiert oder wurden, den Kontrollgremien und der Öffentlichkeit Informationen vorenthalten. Auch das ist ja eben die Sache, immer wieder bezeichnet als hm der Pudding, den Konstantin von Notz an die Wand nageln möchte. War's, ne? Was kann dieser Untersuchungsausschuss äh herausfinden über, das Verhalten, die über die Verstrickung der deutschen Geheimdienste, denn, Wenn wir mal ehrlich sind, nur dort kann der äh Untersuchungsausschuss auch wirklich Änderungen herbeiführen, ja? Wenn dieser Untersuchungsausschuss irgendwann zu Ende geht und sagt, jo, folgendes, äh die äh die NSA war war nicht korrekt. So, Ja, gut. Dann haben wir einen haben wir einen dicken Meter Papier. Äh wichtig ist, äh eben Aussagen darüber zu treffen, was in Deutschland geändert werden kann. Und da spielen natürlich die Verstrickungen der deutschen Geheimdienste eine große Rolle. Ähm wir haben da hier ein spannendes Kräfteverhältnis, denn. Eine Minderheit kann ja einen Untersuchungsausschuss einsetzen. Das heißt, wenn ähm, dieser Untersuchungsauftrag nicht erweitert wird, dann setzen sie einfach einen weiteren Untersuchungsausschuss ein. Und da kann sie ja dann auch den Gegenstand definieren.
Tim Pritlove
Voll stehen. Ja.
Linus Neumann
Vollständig. Insofern ähm sollte sie sich die Frage stellen lassen, ob sie nicht auch von einem laufenden Untersuchungsgegenstand erweitern kann. Weil sie ohnehin darauf hinwirken kann, dass es eine Untersuchungsausschuss geben kann. Und Ströbele hat da noch so gesagt, na ja, also das mit dem Ausschussvorsitz geht ja auch immer rein um, und ähm im Moment können sie sich ja glücklich schätzen, dass sie immerhin noch einen CDU Mann im Vorsitz haben, Aber wie gesagt, Ausschussvorsitz geht drei um Martin Delius von der Piratenpartei kann ein Lied von singen. Da waren die Piraten dran, äh konnten halt äh die, diese, diese gesamte ähm BER Geschichte aufkrempeln haben sich wahrscheinlich einige gedacht, ah wunderbar, da setzen wir den Delius hin, der hat nichts auf dem Kasten, äh der der, der kriegt die Sache nicht aufn äh auf die Reihe und jetzt ist er da seit Jahren ein Stachel im Fleisch. Das wäre sicherlich ein anderer Untersuchungsausschussverlauf. Wenn da jetzt was weiß ich, Konstantin von Notz oder Ströbele den Vorsitz hätten und es dann auch noch um die deutschen Spionage-Aktivitäten geht. Insofern glaube ich, dass dieser ähm.
Tim Pritlove
Als nächstes dran im Bundestag.
Linus Neumann
Nee, also das, ich glaube nicht, dass das wirklich streng nach Größenverteilung geht, aber es ist klar, dass äh immer mal wieder äh aus den unterschiedlichen Fraktionen jemand dran ist. Ich kenne ja die genauen Gepflogenheiten nicht, aber das geht, quasi die die sorgen dafür, dass die Last auch gleich oder die Last und Ehre äh da gleich über die Fraktion verteilt werden. Ja, bin ich also mal gespannt. Da kommt also jetzt ein bisschen ähm.
Tim Pritlove
Vor allem ist mal klar formuliert worden, was jetzt eigentlich genau äh übernommen werden soll und ja, dieser Antrag ist jetzt bei wem gestellt worden, beim.
Linus Neumann
Mein Verständnis wäre, dass das natürlich erstmal innerhalb des Untersuchungsausschusses gestellt werden muss.
Tim Pritlove
Okay.
Linus Neumann
Äh Moment, ich schaue mal, es kann natürlich auch sein, ich nee, das ist ein Antrag an den Deutschen Bundestag.
Tim Pritlove
Eine Präsidium wahrscheinlich, oder?
Linus Neumann
Nähe an den Deutschen Bundestag, der Bundestag solle wolle beschließen, Und da steht dann drin, wir erweitern. Also klar, ne, den Untersuchungskante macht ja auch Sinn. Natürlich kannst du nicht irgendwie einen Untersuchungsausschuss einrufen und der definiert sich dann seinen Auftrag selber. Insofern, klar, muss ein solcher Antrag an den, gehen war ja der der Bundestag den Untersuchungsausschuss mandatiert.
Tim Pritlove
Ja, nachvollziehbar. Schauen wir mal, was dabei äh rauskommt. Gibt's noch neue Personalien? Neues Personal für äh das Neuland.
Linus Neumann
Ja, ähm das Bundesamt für Sicherheit in der Informationstechnik hat jetzt einen neuen Chef. Ähm. Wer Logbuch Netzpolitik äh schon ein bisschen länger hört oder vielleicht auch mal so meine Vorträge oder ähm Äußerungen im Bereich der IT-Sicherheit äh gehört hat. Also ich habe ja ähm ein, zwei Vorträge auf CCC Veranstaltungen darüber gehalten und war ein paar Mal auch im Bundestag als Sachverständiger zu solchen Sachen. Ähm. Weiß, dass das äh ich und der CCC da relativ kritisch gegenüber der der Detailausgestaltung des BSI sind, während wir aber insgesamt der Ansicht natürlich sind, dass das eine sehr wichtige, Institution ist und auch in weltweit relativ einzigartige Institution ist, dass wir im Bundesamt für Sicherheit in der Informationstechnik haben. Unsere Hauptkritik ist natürlich, dass dieses dem Innenministerium untersteht und nicht frei von Interessenkonflikten ist erweiterte Kritik, die sich daraus ergibt ist eben, dass einerseits äh Standards definiert werden dort, die ähm mitunter einfach, Offensichtlich zugunsten eines Regierungszugriffes äh manipuliert sind und teilweise, dass da eben Initiativen und Standards entstehen, die äh schon sehr nach Wirtschaftsförderung riechen. Das ist so die zusammengefasste Kritik an ähm Initiativen des BSI natürlich nicht zu vergessen, dass sie eben auch an der Entwicklung eines Staatstrojaners beteiligt waren, was natürlich dann schon ein sehr, sehr großer Vertrauensbruch. Insgesamt jedoch, ja, finden wir das WSI eben, finden wir gut, dass es das gibt und möchten eigentlich auch, dass es das weiterhin gibt, wir würden's uns halt nur vollständig unabhängig wünschen, So, jetzt war das BSI bisher immer eher eine technische, Ja, ich sage mal, ein Punkt, technischer Kompetenz, der dann irgendwie nochmal eben in der Diskussion mit dem äh mit dem, übergeordneten Bundesinnenministerium vielleicht ein bisschen gelenkt wurde, aber die vorherigen BSI-Chefs, vier Stück gab's bisher waren, Physiker, Mathematiker, Kryptologen, also Leute, die aus der Technik kommen, die technischen Sachverstand äh da äh vereint haben. Und der neue BSI-Chef Arne Schönbaum, der jetzt am achtzehnten äh Februar gestern seinen Dienst angetreten hat. Ähm ist eher so ein betriebswirtschaftler und Lobbyist. Ähm.
Tim Pritlove
Der ehemalige Vorsitzende des Vereins Cybersicherheitsrat Deutschland EV.
Linus Neumann
Nicht zu verwechseln mit dem nationalen Cyber Sicherheitsrat, Also der der Cyber-Sicherheitsrat ist ein ein Verein, der Unternehmen, Behörden und politischer Entscheidungsträger im Bereich Cybersicherheit beraten, und im Kampf gegen die Cyber-Kriminalität stärken möchte. Ja, das war also der Cyber-Sicherheitsrat und der wurde irgendwie gegründet nach dem nationalen Cyber-Sicherheitsrat und im Bundesinnenministerium war man nicht besonders happy, äh dass er da irgendwie einen Konflikt, äh dass er da Namenskonflikt ähm ähm, hervorgebracht hat. Ähm. Er ist Sohn eines ehemaligen Bundeswehrgenerals, nämlich Jörg Schon, Schönbomben, der irgendwie in der Berliner CDU äh seine Geschichte hat. War eine Zeit lang bei EADS als Manager. EADS European wir Systems, European Airbus Defence Systems oder was?
Tim Pritlove
Oder mal was heißt das?
Linus Neumann
European Nordic Defence and Space Company. Ja, also äh Rüstungsrüstungsindustrie? Ja, auch Raumfahrt, und war eben jetzt so die letzten Jahre unterwegs in mit seinem Cybersicherheitsrat als Lobbyist, der Rüstungs- und IT-Wirtschaft, das IT-Sicherheitsgesetz hat er als zu lasch kritisiert, er wollte mehr Geld und mehr Kompetenzen für das BSI haben? Also so ein typischer, also da ist sage ich mal, es gibt in dieser ganzen IT-Sicherheitsgeschichte einen relativ großen. Eine große will man's jetzt glaubens oder Wirtschaftsschule nennen, die sich dafür aussprechen ähm quasi zentrale, Regierungskompetenz über dieses Thema zu erheben, ne? Daten dort daten zentral zu sammeln, die Verteidigung zentral zu regeln, Sicherheitsexperten, zentral zu regeln und. Dieses gesamte Feld der IT-Sicherheit quasi nach militärischen ähm Prinzipien äh auch zu strukturieren. Und äh da ist er äh ein großer Freund von, weiterhin Mitglied im Förderkreis her, Lobbyverband der Rüstungswirtschaft und in der Deutschen Gesellschaft für Wehrtechnik, ne? Also so ein so ein ja, so ein Rüstungstyp, ja. Und ähm momentan im äh Vorstand eines IT-Security-Beratungsunternehmens. Nun, wie gesagt, die Wirtschaftsförderungsmaßnahmen des BSI haben wir ja schon oft genug kritisiert. Und mit dieser neuen Ausrichtung, mit dieser äh, dieser Person wird da eben ein ein relativ anderer Cyberwind wehen, ja? Nämlich eben der einer. Ja, zentralisierten, militärischen und wirtschaftsnahen Ausrichtung, die wir im Übrigen aus den USA kennen, Da ist genau ein derartiger äh Zeitgeist herrscht da in diesem ganzen äh IT-Sicherheits- und Cyber, Bereich. Äh, Nationale Kompetenzen gebündelt werden, wo äh Staat und Militär die zentralen Auftraggeber in diesem Bereich sind, diesen Markt ähm, unterhalten. Und das heißt natürlich, wenn sie ihn unterhalten und finanzieren, heißt das natürlich auch, dass sie seine Ausrichtung bestimmen, ne? Also, wenn's keine anderen Auftraggeber gibt, dann äh unterwirft sich der gesamte Markt den Interessen dieses einen Auftraggebers. Und äh aus dieser äh strategischen Schule kommt eben auch der, konstant zu kurz wird mit der Äußerung dass vorgehaltener Hand als Cyber Clown verspottet wird. Ähm also es gibt grobe äh grobe Zweifel an der an der Unabhängigkeit und Eignung dieser Person, die eben in derartigen wirtschaftlichen äh Hintergrund hat, um dann gegen Gewicht zu zu haben, muss ich natürlich auch sagen, man möchte natürlich auch Leute mit Erfahrung in diesem Bereich haben, Also man möchte eben natürlich technischen, technischen Kompetenz, Und äh so haben. Das heißt, jemand, der in der IT-Sicherheit arbeitet, disqualifiziert sich nicht grundsätzlich, Aber ähm jemand, der eben seit Jahren da lobbyistisch tätig ist und eben da auf politische Ausrichtungen nach konventionellem militärischen und wirtschaftsnahen äh Prinzipien. Drängt, wird im Zweifelsfall da einen ganz anderen Wind wehen lassen in diesem BSi und da kann man um die weitere also für die Unabhängigkeit dieser Behörde ist da jetzt wahrscheinlich kein entscheidender Schritt getan worden.
Tim Pritlove
Also zumindest ist es nicht so, dass jetzt hier irgendjemand berufen worden wäre, der in der äh gesamten Szene einen besonderen äh Ruf genießt und irgendwie ausgleichend und von allen Seiten als äh halbwegs identisch kompetent ähm angesehen wird, sondern, man bedient sich hier wie soll ich sagen, gesellschaftlicher Quellen, wie wir das jetzt auch schon äh gesehen haben mit äh Dieter Gorni und äh, ja also wo einfach Leute aus aus Bereichen geholt werden, die nicht unbedingt, politische Bereiche sind im eigentlichen Sinne, sondern einfach sehr stark von Interessenvertretung geprägt sind. So und von, Also sozusagen der der Vertretung der Interessen einiger weniger geprägt ist. Gut, letztlich muss man sehen, was jetzt äh hierbei rauskommt. Jedem muss auch die Gelegenheit gegeben, äh äh werden so eine Rolle auch anzunehmen. Gab's auch sicherlich äh Gegenspiele, Gegenspiel gegen Beispiele, wo Leute, Rolle angenommen haben und dann irgendwie ganz anders aufgetreten sind, als man das vielleicht erwartet hat. Das zeichnet sich jetzt hier vielleicht für uns nicht unbedingt ab, aber, Kann man da immer noch.
Linus Neumann
Deswegen würde ich das jetzt ich. Ich würde das Pferd jetzt nicht aufsatteln vonseiten, ja, der äh der ist in diesen Vereinen, der wird zu deren Gunsten handeln, aufgrund von Seilschaften. Ich denke, das Kanzler allein schon, darüber festmachen, die Vereine, in denen er sich da so engagiert hat und so. Die stehen eben für ein gewisses Mindset. Und dieses Mindset wird dieser Mann haben, Und das wird er auch in sein in dieser Position vertreten und deswegen ist er auch eine politische Entscheidung, ihn in diese Stelle äh zu heben. Ich halte das jetzt nicht für die ähm für die beste Entscheidung, aber ich bin da auch äh gespannt wie es weitergeht.
Tim Pritlove
So
Linus Neumann
Ein Nachsatz noch, Nächste Woche wird ja dann jetzt auch hier über über die Cyber-Militär und so im Bundestag nochmal diskutiert werden oder irgend so im Ausschuss. Das sind eben, das ist das, was ich meine. So, das ist hier eine, das ist eine eine grundlegende politische Ausrichtung, die hier gerade stattfindet, eben auf, ne, Kampf im, In diesem gesamten Cyber-Wirtschaftsnähe ähm militärische Nähe und so, das äh dieser Wind weht jetzt in dieser in dieser in in diesem Bereich und den hatten wir ähm lange Zeit in Deutschland so nicht. Ähm in in einem so ausgeprägten, Bereich. Ja, also wir hatten einen BSI, das eben auch, was weiß ich, für die Bürger Sachen gemacht hat, wo technische Kompetenz, die haben äh, immer wieder äh Security-Forschungen in Auftrag gegeben oder selber durchgeführt, die Probleme der nächsten Jahre oder Jahrzehnte betreffen sollten, die auch für die Öffentlichkeit äh relevant waren. Da war eben, sage ich mal, relativ eine relativ nüchterne, technische. Ähm Ausrichtung gegeben. Man kann sich mal anschauen, äh wie ähm Michael Hanne äh eben zum Beispiel auch, reagiert, wenn er mit den Vorwürfen konfrontiert mit dem Vorwurf konfrontiert wird, eben bei diesem Staatstrojaner beraten zu haben. Da siehst du einen Techniker, der sagt, ja, aber hey, hallo, ich meine, äh ne, Ich habe die Kompetenz, ich wurde da gebeten, von Mai so und das mache ich.
Tim Pritlove
Also Michael Hangel war der der jetzt abgelöste, genau das schalten der Präsident von ja.
Linus Neumann
Da würde, da könnte ich mir vorstellen, dass da ein Arne Schönwurm mit einer ganz anderen, mit einer ganz, mit einem ganz anderen Mindset drangeht und wahrscheinlich sagt den ganzen Trojaner baue ich mit meinen Homies.
Tim Pritlove
Genau, alle Social Engineers, das kriegen die richtig gut hin. So, Musik oder was?
Linus Neumann
Wenn du möchtest.
Tim Pritlove
Ja, na dann.
Linus Neumann
Ja, jetzt haben wir uns gar nicht darauf geeinigt, wer anfängt, deswegen mache ich das einfach mal.
Tim Pritlove
Ja, mach mal, mach mal, mach mal.
Linus Neumann
Vom sechsundzwanzigsten bis achtundzwanzigsten Februar ist Heck im Pott ausverkauft.
Tim Pritlove
Sorry und es ist auch.
Linus Neumann
Seit Monaten.
Tim Pritlove
Ja, seit seit Dezember schon vorm Kongress ist es irgendwie ausverkauf. Ja, findet statt, viel Spaß. Äh wir sind nicht dabei.
Linus Neumann
Wir können leider nicht. Elfter und zwölfter März könnte tatsächlich mal ganz interessant werden in Berlin. Ähm.
Tim Pritlove
Da geht's nämlich ins Berliner Kongresszentrum, das ist sicherlich dem einen oder anderen äh Hörer und Hören äh bekannt, weil das ja auch mal der Ort war, wo der Kongress stattgefunden hat. Mittlerweile muss man da, glaube ich, sogar schon drauf hinweisen. Äh dort findet eine Veranstaltung statt, unter dem Titel Challenge Power. Ähm es handelt sich dabei um das CIG-Symposium, Dazu das besser verorten als ich.
Linus Neumann
Ja äh, Es hat zum Ziel eine einzigartige und mächtige Koalition von Individuen zusammenzubringen mit dem einzigen Ziel, die Freiheit des Internets und der Demokratie zu verteidigen kleines kleine Aufgabe, machen wir nebenbei, elfter zwölfter im BCC. Es gibt da eine ganze, eine ganze Reihe ähm Interessanter äh Namen, die da stehen, Jacob Eppelbaum, Julian Assange, Markus Beckedal, äh, Bernd Fix, John Götz, äh Sarah Harrison, Saymar Hirsch, also da kommen einmal alle, auch Juice Rap News, das finde ich irgendwie richtig geil.
Tim Pritlove
Zumindest ein Teil davon, ja.
Linus Neumann
Ja und äh machen da halt äh so eine Veranstaltung vom Center Investigativ Journalism. Das wird sicherlich ganz interessant. Ähm.
Tim Pritlove
Elfter bis zwölfter März.
Linus Neumann
Elfter bis zwölfter März. Gleichzeitig ähm, findet in Mannheim das Mannheim Forum statt. Ich glaube auch am elften und zwölften oder am zwölften und dreizehnten. Ich auf jeden Fall bin äh kurz am zwölften dort mit einem kleinen Vortrag.
Tim Pritlove
Was ist das? Forum.
Linus Neumann
Musik ist gleich zu Ende. Äh genau, das Mannheim Forum äh wird von ähm, Ich glaube von der von der Studierendenschaft der Mannheimer Universität ausgerichtet und die machen da irgendwie einmal im Jahr so irgendwie richtig dick einen auf Konferenz und laden da irgendwie groß ein und irgendwie äh.
Tim Pritlove
Also Schnittchen und Panels.
Linus Neumann
Schnittchen und Panels, aber irgendwie kannst du ja mal gucken. Klick mal auf äh. Da äh da sind da irgendwie da da kommen schon spannende Personen hin, so. Forum zwanzig sechzehn kannst du ja mal gucken.
Tim Pritlove
Na ja, du bist ja auch dabei, ne?
Linus Neumann
Programm, komm mal auf Programm.
Tim Pritlove
Ich gebe auf Programm. So, Musikzimmer äh raus, weil wir ja jetzt hier auch äh schon im Prinzip.
Linus Neumann
Also ich glaube, das ist ist kostenlos und das ist bestimmt für die Mannheimer ganz interessant, äh Doktor hier, Doktor Norbert Lammert, kommt hin, ne? Und sonst, weiß ich jetzt nicht. Also, es wird sicherlich ganz interessant hier.
Tim Pritlove
Stehst du da auch drauf.
Linus Neumann
Ja, grüß dich. Vielleicht haben Sie mich auch noch nicht hingeschrieben.
Tim Pritlove
Wieso bist du jetzt auf einem Panel?
Linus Neumann
Ja, weil der über künstliche Intelligenz reden kann und ich nicht.
Tim Pritlove
Ach so. Warum eigentlich nicht?
Linus Neumann
Ich habe ja mit meiner eigenen genug zu tun.
Tim Pritlove
Hier hab ich mal du bist da am was hast du? Ah Samstag, ne? Ah ja hier, Neumann.
Linus Neumann
Am Samstag bin ich da, ja. Neun Uhr morgens.
Tim Pritlove
Geil. Samstag neun Uhr morgens. Gratuliere.
Linus Neumann
Oh, oh, oh, oh, oh, jetzt. Bittere Welt morgens um neun, ey. Ich dachte, ich kriege da irgendwie Primetime oder so was.
Tim Pritlove
Vielleicht ist das für die ja auch Primetime. Ist wahrscheinlich der einzige Zeitraum, wo wirklich alle da sind.
Linus Neumann
Oder alle am am Schnittchen stand. Na ja, wer weiß.
Tim Pritlove
Steht hier stand, der macht dann da halt danach auf, ne. Das ist der Prime Times Slot.
Linus Neumann
Nächste Woche ist auch noch Internet-Freedom-Festival in Valencia oder nächste Woche? Übernächste Woche. Ja, wir sind, sind noch sind noch ein paar ganz schöne Sachen. Da werde ich jetzt auch mal wieder ein bisschen unterwegs sein. Müssen wir mal gucken, Fanpodcasten und so. Jetzt haben wir ja so ein bisschen ausgefasert hier mit dieser ganzen Termingeschichte, ne?
Tim Pritlove
Ja, können wir ja dann einfach zum.
Linus Neumann
Zum Dank übergehen.
Tim Pritlove
Zum Ende, zum Abschluss, zum Abrunden, dem Epilog. Das, was.
Linus Neumann
Zum Epilog, den ich immer wieder fälschlicherweise Prolog nenne, weil es ja quasi der Prolog zur nächsten Sendung ist.
Tim Pritlove
Oh, so denkst du darüber nach.
Linus Neumann
Jetzt inzwischen. Ich hab ja, ich hab ja zu danken, hab ich auch schon öffentlich gemacht, aber ja sehr, sehr cool zu danken. Ähm Erich Möchel hat mich beschenkt. Ja, hat er. Fand ich, fand ich sehr schön. Das äh und zwar ein äh Roman von ihm mit Widmung. Ja und also eine äh QLS-Karte. Kennst du die? QL oder ich glaube, die heißen nur QLS. Die die äh Amateurfunker sich gegenseitig zuschicken um sich zu bestätigen, dass sie äh ne miteinander gesprochen haben und dann sammelst du als Funker eben diese diese Karten, weil ne, guck mal, da habe ich hier mit mit, Mit dem Russen telefoniert oder äh äh gefunkt und dann durch den Poststempel und so hast du natürlich dann auch so ein äh Beleg, ne, dass, Kommunikationspartner dort war und äh das ist so das das Feature so sammeln dann die äh Amateurfunker.
Tim Pritlove
So ein bisschen wie Hörerpost, ne? So ein bisschen, ja. Hm.
Linus Neumann
So ein bisschen, ja und Erich äh hat das Ding eine Widmung auf Latein geschrieben, Super geil. Adelinum Haxorium Mirabelisium, Es ist sogar technisch äh äh lateinisch glaube ich korrekt, grammatikalisch korrekt.
Tim Pritlove
Ein bisschen, ich meine, äh ich habe leider kein Latein gehabt, aber für exzellente Heckereien.
Linus Neumann
Äh für Linus den den wunderbaren, den, den wunderbaren Hacker, der Licht bringt in die Stadt Berlin.
Tim Pritlove
Dicker aufgetragen, aber ich schließe mich dem an, die Lust. Du bringst Licht in die, nicht nur Licht.
Linus Neumann
Ja äh echt ich bin da echt stolz drauf. Das hat mich sehr gefreut.
Tim Pritlove
Nicht nur in die Stadt Berlin.
Linus Neumann
Erich möchte für diejenigen, die ihn nicht kennen, pfui ähm schämt euch? Nein, äh Erich möchte, wir haben ihn, glaube ich, hier in der Sendung schon öfter äh erwähnt und gelobt.
Tim Pritlove
Verschiedenen Vorträgen, die auf dem Kongress gemacht hat, aber vor allem äh ist Erich halt äh bekannt als einer der äh, Journalisten äh aus Österreich, die einfach diese ganze Überwachungs, diesen gesamten Überwachungskomplex schon seit, Ich weiß gar nicht, wie lange begleiten? Zehn, fünfzehn, zwanzig Jahre, also im Prinzip schon immer. Und äh auch nach wie vor immer wieder interessante Ausgrabungen vornimmt, besonders sich natürlich auch in Österreich umschaut. Ich glaube, wir hatten das mal hier mit dieser äh ganzen Peilerei der NSA in in Wien und so weiter, die also Abhörstrecken und so weiter, die von ihm, wurden und hat äh über die Jahre jetzt auf dem Kongress verschiedene interessante Vorträge äh gehalten, ne, immer auch sehr äh dialektschwer, unterhaltsam. Ähm auf jeden Fall ähm, sehen sie uns hörenswert und äh natürlich auch lesenswert. Hat früher bei der Future Zone gearbeitet, damals als das noch kein verkaufter Brand war, sondern eben Teil des ORFs und sagen wir mal so ein bisschen, wer nicht will, das ist gar nicht mit irgendwas vergleichen, aber sagen wir mal, eine eine digitale Publikation, die sich eben sehr den Freiheitsthemen ähm.
Linus Neumann
Und der Netzpolitik.
Tim Pritlove
Und der Netzpolitik gewinnt mit.
Linus Neumann
Vor, das war doch wahrscheinlich sogar das erste in deutscher Sprache.
Tim Pritlove
Ähm ja, also ein Stück weit würde ich's da auch zu Tel Lepolis noch sehen, aber sicherlich nicht mit dieser starken äh Ausrichtung und Fokussierung und schon gar nicht äh vehement.
Linus Neumann
Ich muss mal gucken, wann.
Tim Pritlove
Einen festen Reaktionsteam. Also das äh.
Linus Neumann
Oh ja, schön. Neunzehnhundertacht oh, neunzehnhundertsechsundneunzig. Okay, krass, ja, dann ist das äh sogar noch früher als Future Zone gewesen. Future Zone äh.
Tim Pritlove
Oder was?
Linus Neumann
Wusste ich nicht, dass es schon so alt ist.
Tim Pritlove
Gibt's schon lange. Das ist aber mal auch so, denke ich mal, alles äh so ein bisschen eine ähnliche Schule. Ich meine, Telepoli ist ja heiser und auch heiser, äh ist ja nur so ein Verlag, wie wir ja wissen. Dem um um weht da ein ähnliches Karma, Ja, das sind einfach äh die Leute, die das betrieben haben, aber Erich hat's halt außerordentlich äh erfolgreich und äh auch mal sehr unterhaltsam.
Linus Neumann
Mehrere Auszeichnungen als Investigativjournalist, Sport Off Advisers von Privacy International, die wir ja gerade auch erwähnt haben mal eben noch nebenbei äh die Quintessenz mitbegründet, den den österreichischen Netzverein. Ja, ich habe da, ist schon, da bin ich jetzt stolz. Ja, bin ich stolz.
Tim Pritlove
Ja, während der Linus hier vor stolz äh zerfliest, ähm, An mir euch ähm zu grüßen und zu danken fürs äh Zuhören hier bei Logbuch Netzpolitik. Wir schleichen uns jetzt wieder davon und sind äh dann nächste Woche vielleicht wieder bei euch. Bis bald, tschüss.

Verwandte Episoden

Shownotes

Erfolg für FragDenBundestag

Offene Router-Firmwares

GCHQ-Hacker werden hacken

Ransomware

Apple vs. FBI

NSA-UA: Erweiterung des Untersuchungsauftrages?

Neuer BSI-Chef

Termine

Epilog

28 Gedanken zu „LNP173 Rentable Sicherheit

  1. Wenn man mehrmals Untersuchungsausschuss sagt/hört, wird man zu Assoziationen inspirier(r)t: Untersuchungsausschuss, Untersuchungsausschluss, Untersuchung aus Stuss.

    Wie hoch ist eigtl. der Ausschuss (i.S. Ergebnis einer Fehlproduktion) bei der Untersuchung?

  2. Zu dem Apple/FBI-Thema und weil sie sich jetzt im Gegensatz zu früher weigern das Telefon zu öffnen: das hat scheinbar formale Gründe für das anstehende Gerichtsverfahren.

    In den früheren Fällen ging das Öffnen ohne Einbau einer Backdoor in iOS und konnte vor Gericht quasi als „Laborservice“ behandelt werden, wo der Labormitarbeiter nur bezeugen muß, wie er an die Daten herankam. Im aktuellen Fall scheint das FBI die Dinge aber wohl so drehen zu wollen, dass Apple eine Art „Gerät“ zum Öffnen des iPhones zur Verfügung stellen muß (vgl. Messgerät für Atemalkohol). Die Funktionsweise eines solchen Gerätes muss aber umfassend dokumentiert/nachgewiesen werden und allen möglichen Parteien zur Verfügung gestellt werden. D.h. sie müssten eine Backdoor bauen, könnten diese aber nicht geheim halten.

    In länglich erklärt steht das hier in diesem Blog:
    http://www.zdziarski.com/blog/?p=5645

  3. Sehr schönes Applebashing von Linus. Es ist auch schön, Linus über Mobile Security reden zu hören. Man merkt, er kennt sich aus(nahmsweise aus) ;)

  4. Also ich finde es ja ok, wenn Apple bei einem third-party Homebutton kein TouchID mehr benutzen möchte. Das kann man aus Sicherheitserwägungen definitiv rechtfertigen. Aber man könnte diese Honebutton ja auch einfach als Homebutton benutzen. Denn ich wüsste nicht wo die Sicherheit gefährdet ist, wenn der Benutzer mit einem third-party Homebutton zurück auf den Homescreen geht.

  5. Apple verweigert die Reparatur übrigens auch bei nicht sicherheitsrelevanten Dingen wie einem Display. Nur gut wenn der nächste autorisierte Reparateur 80km entfernt sitzt und man am Tag drauf in den Urlaub fährt.

    Mich würde mal interessieren wie es mit dem Sicherheitskonzept bei den Androiden aussieht.

  6. Im Kapitel über die Ransomware, wurde kurz angemerkt, dass die „pullen“ eine nützliche Backup-Strategie sein könnte. Was meint ihr damit genau? Systemlaufwerk ausbauen und aus einem anderem System heraus die Dateien (oder das ganze Laufwerk) sichern?

    Wäre „pushen“ demnach jedes Backup (Time Machine, Backblaze, Arq, CrashPlan etc.), das aus dem zu schützenden System heraus gestartet wird?

    Ich frage für Verwandte und den Osterbesuch ;-) Vielen Dank für die stets gut verdaulichen Abrissen über die Nachrichtenlage!

    • „Pullen“ im Sinne von „Backup-System verbindet sich mit zu sicherndem System und behält die Kontrolle über die Daten“. Funktioniert typischerweise mit einem Agenten auf dem zu sichernden System, und einem zentralen Backup-Server. In diesem Setup ist das nicht besonders „Consumer-freundlich“: Erfordert extra-Hardware und zumindest mittelmäßiges Know-how. Schließlich will man ja nicht alle Welt Backups von seinem System machen lassen. Allerdings kann ein bösartiger Agent auf dem zu sichernden System nicht unbedingt Backupsätze löschen.

      Offline-Backups funktionieren eigentlich auch so, nur dass der Zeitpunkt des Backups vom Client (lokalen Agenten) festgelegt wird. Allerdings ist die Software für Backblaze und CrashPlan wohl in der Lage, remote Datensätze löschen zu lassen. Eine Malware müsste „nur“ dieses Interface benutzen (was möglicherweise komplizierter ist).

      TimeMachine dagegen ist ein rein lokales Backup: Die Festplatte (oder das NAS-Share) wird lokal gemounted, der Backup-Prozess hat die volle Kontrolle über alle Backups. Läßt sich einfach mit Bordmitteln zerstören. (Aber Zerstören ist keine Kunst.)

  7. Ich bin technisch absoluter Laie und höre gerade deswegen seit nunmehr ein paar Jahren (da war LNP noch in seinen 30ern) eurern Podcast. Ich würde trotzdem behaupten, dass ich im Vergleich zu meinem Umfeld ein vertieftes Verständnis (dank euch, dem CCC, fefe) von Problemen der Netzpolitik und betreffender Technik habe, aber bei dem Teil über Apple und das FBI rauchte mir echt der Kopf bzw. es blieben am Ende Fragezeichen zurück. Das Ganze in einem Absatz:
    „Herzlich Glückwunsch, du hast nun ein paperweight […] man hat den Leuten quasi remote diese Telefone gebrickt, gab n riesigen Aufstand und wie gesagt, ich finde eigentlich so ne hardware integraty protection keine unkluge Maßnahme…“
    Vorher gings um (Signing) Keys (wofür genau?), custom software/firmware, devices, Bruteforce-Attacken, delays, rate limit, auto erase (wurde erklärt), danach noch um Third-Party-Reparaturen. Jetzt habe ich Glück, dass mir englisch nicht fremd ist, aber es war – gelinde gesagt – schwer zu folgen, was auch an der Geschwindigkeit lag. Mehr deutsch hätte der Materie gut getan. Und vielleicht eine kleine Einweisung ins iPhone, denn ich kenne ungelogen niemanden, der so ein Gerät besitzt und habe mich auch nie dafür interessiert, was das Gerät jetzt für Tasten hat und welche Funktionen die haben. Homebutton?! Such a thing exists?! Ich habe Samstag auf Party 10 Leute kennen gelernt und alle packten – inkl mir – ihre Feature Phones aus, alle Mitte/Ende 20, deutsche Großstadt.
    Ich glaube, wir mit unseren Altgeräten sind eure Zielgruppe und an der hat Linus nicht inhaltlich sondern wortwörtlich vorbei geredet. Denn irgendwann sind unsere Bosch-, Siemens- und Nokia-Devices vollends bricks und dann wäre es nicht schlecht zu wissen, ob das FBI jetzt backdoors hat oder Apple „nur“ remote-Zugriff und welches Ausmaß an Unsicherheit für den customer sich hinter den tollen englischen Wörtern verbirgt.

    In diesem Sinne, auf ein Neues : )

  8. Wäre der Linux Mint Hack eine Nachricht bei euch wert?

    Viele Linuxer tun ja immer so als beträfe sie das Thema Sicherheit kaum.

    Und wer sich jetzt am Samstag das Linux Mint Image heruntergeladen hat und damit ein System aufsetzt, wird teil eines Botnetzes.

  9. Ransomware ist schmutzigster Schmutz. Kein Aspekt dieser amoralischen Unternehmung verdient irgendeine Art von Anerkennung, teils weil alles, was technisch interessant ist, die Arbeit anderer Leute ist, teil weil es moralisch kompromittiert ist. Ein Support-Forum für Kryptotrojaner-Opfer ist „adding insult to injury“.

    Leider wird die Situation nicht besser, weil man sich immer weniger effektiv gegen Malware schützen kann. Und durch das erstmal einfach funktionierende Malware-„Geschäftsmodell“ wird Ransomware zudem der „superbug“ der Malware.

    Schlechte Zeiten voraus.

  10. vielleicht müssen Firmen etc. die sich ransomware einfangen das einfach als ziemlich günstigen Pentest betrachten, für Privatpersonen natürlich ein relativ teurer Pentest, aber auch noch im Rahmen wenn man was daraus lernt.

    • Die wr-841 wirst du auch noch gebraucht günstig bekommen. Alternativ geht auch ein Raspberry mit etwas weniger Datendurchsatz. ist aber auch bisl kompakter und muß nicht seine Firmware gegen Manipulation schützen ;-)

  11. Beim Thema Ransomware, oder generell Malware über Mail habe ich mich gefragt, ob es nicht möglich wäre, die E-Mail Clients generell zu Sandboxen zu machen und es damit deutlich zu erschweren, dass Anhänge überhaupt auf das „wirkliche“ System zugreifen können.
    Ist das Quatsch, oder muss ich jetzt Programmieren lernen?

    • Den Anhang öffnest du in den meisten Fällen nicht mit dem E-Mail-Client, sondern mit Word, Acrobat, Firefox oder sonstigen.

      Dein Ansatz zu Ende gedacht findet sich zum Beispiel bei QubesOS (und sehr ähnlich bei Subgraph OS) wo versucht wird, alle Applikationen oder gefährlichen Aktionen in separierten Wegwerf-VMs auszuführen.

  12. Nochmal an Linus eine technische Nachfrage:

    Kann Apple auch bei den aktuellen Telefonen noch irgendwie das Device aufmachen? Anscheinend kann Apple ja die Enclave auch bei den neuen Devices Updaten. Klingt für mich als Laien dann so als könnten sie Grundsätzlich jedes Device aufschließen. Die älteren einfach durch abschalten des AutoErase, die neuen dann einfach Enclave „patchen“.

    Vielen Dank

  13. Ich glaube, dass ihr falsch liegt, was diese iPhone-Sache angeht. Wir sollten hoffen, dass Apple gezwungen wird, das iPhone aufzumachen und dass sie darauf reagieren, indem in neuen iPhones Firmware-Updates der secure enclave unmöglich sein werden (per Fuse-Bit oder so). Das wäre nämlich ein echter Sicherheitsgewinn.
    Wenn es jetzt einer schafft an den Signierschlüssel für die Updates zu kommen, kann er beliebig iPhone aufmachen.

Schreibe einen Kommentar zu Linus Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.