Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP174 Die Messwerte waren okay

LNP Spezial zum Thema Staatstrojaner und Gerätesicherheit

Gleich zwei Ereignisse der letzten Zeit verbinden sich zu einer Großwetterlage, die wir in dieser Woche analysieren möchten. Einerseits die Genehmigung des Bundesinnenmininisteriums eines Trojaner-Software, die das BKA entwickelt hat und gerne künftig nicht nur gegen den Terror zum Einsatz bringen möchte. Andererseits der Fall Apple vs. FBI, bei dem die amerikanischen Behörden die Computerfirma in die Knie zwingen möchte, für sie beliebige Hintertürchen in Apples Geräte einzubauen. Darüber sprechen wir mit Frank Rieger und Ul Buermeyer, die sich schon lange mit dem Trojaner-Thema beschäftigen.

https://logbuch-netzpolitik.de/lnp174-die-messwerte-waren-okay
Veröffentlicht am: 29. Februar 2016
Dauer: 1:20:38


Kapitel

  1. Intro 00:00:05.831
  2. Prolog 00:00:26.770
  3. Staatstrojaner 00:00:56.875
  4. Epilog 01:20:03.008

Transkript

Tim Pritlove
0:00:00
Ulf Buermeyer
0:00:55
Tim Pritlove
0:00:56
Frank Rieger
0:01:34
Tim Pritlove
0:01:40
Frank Rieger
0:01:41
Tim Pritlove
0:02:21
Frank Rieger
0:02:24
Tim Pritlove
0:02:32
Frank Rieger
0:02:32
Ulf Buermeyer
0:02:42
Frank Rieger
0:03:36
Tim Pritlove
0:04:58
Frank Rieger
0:05:01
Ulf Buermeyer
0:05:05
Frank Rieger
0:05:18
Ulf Buermeyer
0:05:27
Tim Pritlove
0:06:09
Frank Rieger
0:06:13
Ulf Buermeyer
0:06:14
Tim Pritlove
0:06:16
Ulf Buermeyer
0:06:25
Tim Pritlove
0:07:05
Ulf Buermeyer
0:07:08
Frank Rieger
0:08:02
Tim Pritlove
0:08:52
Frank Rieger
0:08:52
Tim Pritlove
0:09:45
Frank Rieger
0:09:48
Tim Pritlove
0:09:49
Frank Rieger
0:09:52
Tim Pritlove
0:10:26
Ulf Buermeyer
0:10:47
Tim Pritlove
0:10:54
Ulf Buermeyer
0:11:24
Frank Rieger
0:12:20
Ulf Buermeyer
0:12:43
Frank Rieger
0:12:47
Tim Pritlove
0:13:21
Frank Rieger
0:13:24
Ulf Buermeyer
0:13:33
Tim Pritlove
0:13:47
Frank Rieger
0:13:50
Ulf Buermeyer
0:14:48

Der Witz bei diesem Digitastrojaner war, dass der im Grunde Voraussetzungen, die Karlsruhe aufgestellt hatte, zum Einsatz zu Quellen TKÜ eben nicht erfüllt hat, ne? Frank hat gerade hier schon sehr schön beschrieben, dass der technisch nicht beschränkt war auf laufende Kommunikation, sondern das war quasi der Full Take, ne, der konnte alles, der konnte sogar in Dateien hochladen, ne? Der Club hat da ja so einen sehr schönen äh quasi Client geschrieben, ne, mit dem man da irgendwie Excels hochladen und starten konnte. Ja, das hat der Trojaner alles brav gemacht. Also der hat die technischen Grenzen, der Quellen TKI nicht sichergestellt. Aber, und das äh war dann in der politischen Diskussion fast das größere Problem. Der hatte auch Rechtlich keine saubere Grundlage. Denn der ist ja eingesetzt worden im Strafverfahren, das heißt also auf Grundlage der Strafprozessordnung und die Strafprozessordnung kennt aber überhaupt kein äh kein Gesetz um Trojaner einzusetzen. Die kennt halt nur an Gesetz für die normale Telekommunikationsüberwachung, also quasi Handy abhören oder Internetzugang mitschneiden und ähm dieses Gesetz haben die Ermittler aber ähm entgegen der Karlsruher Entscheidung trotzdem genutzt, um eine durchzuführen, also gab es weder eine technische Begrenzung auf laufende Kommunikation, noch gab es eine geeignete Rechtsgrundlage. Und das zieht sich bis heute durch. Äh das ist also einige wenige ähm gibt, die sagen, ist uns Wurscht, ob's ein Spezialgesetz gibt, wenn's irgendein Gesetz gibt das Telekommunikationsüberwachung rechtfertigt, dann setzen wir halt auch gnadenlos Trojaner ein, denn welches Mittel man einsetzt, ja völlig wurscht, Trojaner oder Nicht-Trojaner, Hauptsache lauschen. Und ähm da kommen wir vielleicht gleich nochmal zu, warum das eigentlich so problematisch ist.

Frank Rieger
0:16:19
Tim Pritlove
0:17:28
Frank Rieger
0:17:32
Ulf Buermeyer
0:17:58
Frank Rieger
0:17:59
Ulf Buermeyer
0:18:32

Ja und das ist nämlich, das ist nämlich wirklich eine interessante Mentalität. Also ich persönlich äh habe überhaupt kein Problem damit, ähm wenn Ermittler sagen, wir müssen Verbrecher fangen. Das ist deren Job, ne? Ganz ehrlich, ich bin auch ganz froh, wenn die so einen gewissen Jagdinstinkt haben, wenn man sich mal anguckt, wie die Polizei bezahlt wird, also, Geld kann man's nicht machen. Da da man muss da schon mit Überzeugung dahinterstehen. Das finde ich eigentlich sogar sympathisch, sonst funktioniert's ja nicht. Das Problem ist eben nur, ähm man kann das Recht nicht schützen, indem man das Recht. Das ist das alte Problem in einem Rechtsstaat, ne? Es gibt eben bestimmte Spielregeln für die Polizei, für die Justiz, für die Geheimdienste und die müssen eingehalten werden, sonst geht im Grunde alles den Bach runter, ja? Wenn also selbst die Polizei, wenn die Gesetzeshüter sich nicht mehr ans Gesetz halten, was ist denn dann eigentlich noch sicher? Und dann hat auch zum Beispiel das Parlament keine Kontrolle mehr, ne? Das muss man ganz klar sagen. Das äh das Parlament regiert ja im Wesentlichen über Gesetze und wenn die nicht mehr eingehalten werden, dann haben wir alle nichts mehr zu sagen. Da macht die Polizei zum Beispiel, was sie will, Und das ist auch so mein Problem, das ich habe mit diesem Trojaner-Einsatz ohne geeignete Rechtsgrundlage. Also ich verstehe schon, wie Frank auch sagt dass die gerne Trojaner einsetzen wollen, aber das wollen sie dann eben sauber machen und Rechtsgrundlagen gibt's dazu eben bislang nur im BKA-Gesetz und auch nur für die präventive Terrorismusabwehr, eben gerade nicht für normale Strafermittlungen. Wenn man das will, dann soll der Bundestag das eben einführen. Aber der Witz ist ja, dass nach dem Karlsruher Urteil ähm der Bundestag durchaus spezielle Gesetze geschaffen hat, aber eben nur für das Bundeskriminalamt zur Terrorismus der Bundestag hat sich also bewusst entschieden, nur zwei ganz bestimmte Gesetze zu schaffen für Onlinedurchsuchung und Quellen-Ticker für das BKA zur Terrorismusabwehr. Das normale Strafverfahren hat der Bundestag das nicht geregelt und zwar im Bewusstsein dessen, was Karlsruhe gesagt hat. Und das kann doch nur bedeuten, der Gesetzgeber will eben nicht, dass das im Strafverfahren eingesetzt wird und das muss man dann eben auch einhalten als Ermittler. Also für mich ist das einigermaßen unfassbar, dass jetzt ein Trojaner, wie das BMI sagt, ähm doch wieder im Strafverfahren eingesetzt.

Frank Rieger
0:20:22
Tim Pritlove
0:21:04
Frank Rieger
0:21:07

Ja genau, so halt so mal mit dreckigen, dreckigen Botten und offener Chipstüte da lang laufen und irgendwie seine Haarschuppen verteilen, ja. Und die ähm und diese Diese Integrität ähm des Beweismittels ist ja fürs Strafverfahren relativ wichtig. So, wir haben ja in Deutschland halt zwar eine relativ Lachse, äh Struktur der Beweiswürdigung, das heißt, der Richter kann im wesentlichen würdigen, was er will. Aber trotzdem ist natürlich so, dass in dem Augenblick, wo ich jetzt Verteidigen müsste, der halt ein kindoralisierten Rechner hat und ist da zum Beispiel immer Anwesenheit von bestimmten Falls auf diesem Rechner geht. So, dann wäre natürlich das allererste, was die tun, wo du diesen Trojan auseinandernehmen. Oder mich darauf berufen, Entschuldigung, offensichtlich hat, hat dieser Computer Sicherheitslücken, weil sonst wäre der mit dem Trojaner gar nicht drauf gekommen. Äh keine Ahnung, wie diese Fallzahl drauf gekommen sind. Ne, also ist halt eine offensichtliche Verteidigung, die tatsächlich auch schon ein paar Mal benutzt wurde. In dem Fall ging's dann halt um Rechner, die ähm kriminell troanisiert wurden. Und die äh deswegen ist halt die die Verwendung im Strafverfahren, wo man Beweise. Gerichtsfest sichern muss, äh mit so einem Trainer natürlich massiv schwierig und das war auch einer der Hintergründe, warum sie erstmal gesagt haben, okay, na gut, wir brauchen uns für die Terrorabwehr, wo es halt vielleicht nicht unbedingt direkt um Strafverfahren geht, sondern um Verhinderung von Straftaten und vorhinein, äh wo es, die Anforderungen halt doch nicht so groß.

Tim Pritlove
0:22:18
Ulf Buermeyer
0:22:28
Tim Pritlove
0:22:30
Ulf Buermeyer
0:22:31
Frank Rieger
0:23:25
Ulf Buermeyer
0:24:48

Kann man nicht, ne? Aber trotzdem denke ich ähm wir hatten das Stichwort hier eben auch schon mal ähm. Trojanern, glaube ich, eine der zentralen Fragen eigentlich die Vertrauenswürdigkeit des Einsatzes, ne? Wir haben eben schon gesagt im Prinzip ist drin erstmal drin, wenn man auf dem Rechner ist, wenn man da irgendwelche Software fernsteuern kann, dann kann man prinzipiell so ziemlich alles machen auf dem System und deswegen ist die Frage, wie fängt man diese, unbeschränkten Möglichkeiten eigentlich wieder ein. Und ich denke, äh irgendeine Form äh den Trojaner wirklich effizient zu kontrollieren, ist, ist einfach zwingend erforderlich in einem Rechtsstaat, damit man eben dieses Vertrauen herstellen kann. Ich meine, die Sicherheitsbehörden haben zweitausendelf mit dem Bayern Trojaner, jedenfalls bei mir, erhebliches Vertrauen verspielt, denn auch da, das darf man ja nicht vergessen, gab es ja Ermittlungsrichterliche Anordnungen und es wurde immer hoch und heilig versprochen, machen hier nur Quellenticker über und was dann tatsächlich passiert ist, ähm war eben eine komplette Onlinedurchsuchung. Das muss man einfach so deutlich sagen. Das heißt also, da wurde ein Bürger oder wurden es waren ja mehrere Trojanereinsätze, also mehrere Bürger mit verfassungswidrigen Mitteln ausgespäht, nicht? Das ist in einem Rechtsstaat so ziemlich der Gau. Und ähm und insofern muss man sagen, was das blinde Vertrauen angeht, nachdem unter die Polizei wird sich schon ans Gesetz halten ähm damit kommt man jedenfalls auf diesem Gerichtsgebiet, denke ich, nicht weiter und ähm das ist jetzt nicht mal nur unbedingt der Tatsache geschuldet, dass die alle äh quasi böse Jungs wären, im Gegenteil, es ist eben auch vieles einfach Graubereich, nicht was ist denn eigentlich laufende Kommunikation, wir hatten eben schon das Stichwort, Screenshots, ja? Ähm da wurde dann damals argumentiert, naja, wenn ich mit einem Screenshot äh ein Chatfenster. Bilde, dann ist das ja schließlich die Abbildung laufender Kommunikation, also darf ich das, ne? Und dabei wurde ausgeblendet, dass auf dem Bildschirm natürlich mehr zu sehen ist als nur das Chatfenster und außerdem sehe ich natürlich dann auch, was jemand in seinem Chatfenster gerade, was aber möglicherweise noch gar nicht über die Leitung geht, hängt so ein bisschen von der Chatsoftware ab, ne? Aber möglicherweise muss ich ja nochmal unterdrücken. Das heißt also, das ist grade noch keine laufende Kommunikation bis dahinter gedrückt worden ist. Und insofern ist es einfach schon mal gar nicht so einfach zu definieren, was ist eigentlich laufende Kommunikation und das möchte ich eigentlich jetzt ähm auch nicht irgendwelchen Polizeibeamten überlassen und zwar einfach deswegen, weil die verständlicherweise und ja auch irgendwie erwünschter Weise so einen gewissen Jagdtrieb haben, ne? Und dann im Zweifel eben die Grenzen der laufenden Kommunikation äh auch gerne mal überschreiten. Oder ein anderes Beispiel ist, ähm PGP, ja, also verschlüsselte E-Mails, da weiß man ja, wenn man die, wenn man da auf Senden drückt, dann gibt's im Grunde passieren zweierlei. Erstmal wird die E-Mail verschlüsselt, lokal und dann gibt's eine verschlüsselte Version und erst die geht über die Leitung. Ehrlich ist. Ähm ist Gegenstand der laufenden Kommunikation nur die verschlüsselte E-Mail, Aber äh da mache ich mir keine Illusionen. Selbstverständlich werden die Ermittler im Zweifel ähm schon einen Schritt vorher ansetzen, bevor da irgendwie kommuniziert wird, werden die natürlich die E-Mail die dann ins GPG oder ins reingeschoben wird äh mitschneiden wollen, obwohl das streng genommen eben gerade keine laufende Kommunikation ist, ne? Die werden halt argumentieren, das verschlüsseln und das Absenden, das ist doch irgendwie ein Vorgang und das ist alles laufende Kommunikation, aber wenn man ehrlich ist, das ist gerade keine laufende Kommunikation. Wirklich kommuniziert wird, nur die verschlüsselte E-Mail und ich kann mir beim besten Willen nicht vorstellen, dass das die Polizei freiwillig einhalten wird.

Tim Pritlove
0:27:55
Ulf Buermeyer
0:28:06
Frank Rieger
0:28:08
Ulf Buermeyer
0:28:10
Tim Pritlove
0:28:25
Ulf Buermeyer
0:28:27
Tim Pritlove
0:29:23
Ulf Buermeyer
0:29:43

Sie haben ja gerade gesagt, es gibt eigentlich nur zwei klare Grundlagen bislang für den Trojanereinsatz. Das sind eben diese beiden Paragraphen zwanzig K und zwanzig L im BKA-Gesetz. Und ähm eine ganze Reihe von Paragrafen, unter anderem diese beiden aus dem BKA-Gesetz sind schon seit vielen Jahren bei dem Bundesverfassungsgericht wieder angegriffen. Da gibt's auch eine Verfassungsbeschwerde von Baum und Hirsch und noch ein paar anderen Leuten und da war im vergangenen Juli eine mündliche Verhandlung da war für den Club Konstanze kurz als Sachverständiger geladen, ich war da für Amnesty International und Netzpolitik Punkt org als Sachverständiger geladen Und in dieser Verhandlung ging es um ganz vieles. Das war ein ganzer Tag mitten, wo ganz viele Aspekte des BKA-Gesetzes durchleuchtet wurden. Unter anderem aber auch diese beiden Normen zum Trojanereinsatz. Und ähm das war vor allem deswegen so lustig, weil die auch als Experten geladen hatten, den Ermittlungsrichter des Amtsgerichts Wiesbaden ja, der also dort zuständig ist, Wiesbaden war, dass BKA dort seinen Sitz hat, ähm um Trojanereinsätze anzuordnen ja? Äh also nicht etwa irgendwie in drei Richtergremium, Landgericht irgendwie sonst was. Nein, der Amtsrichter, der sonst eben irgendwie Wohnungsdurchsuchung anordnet und Blutentnahmen, der Amtsrichter macht dann eben mal Trojaner-Einsätze man muss sagen, das war ein sehr engagierter Kollege, aber der hat mal so ein bisschen Einblick gegeben, wie das eigentlich läuft, wenn da so ein Trojaner eingesetzt werden soll. Und da sagte dann so, naja, da kam dieser Antrag. Und äh ja, Trojanereinsatz hatten wir auch noch nichts von gehört vorher, da haben wir das mal gegoogelt, worum geht's denn da eigentlich? Und dann haben wir mal ins Gesetz. Und ja, da steht ja auch relativ wenig drin, wie das genau laufen soll Und dann hat er also ganz offen zugegeben, er hat sich da im Wesentlichen mit seinen Amtsrichterkollegen in der Kaffeerunde beraten, wie so ein Trojanereinsatz rechtsstaatlich ablaufen sollte. Und dann hat er im Grunde Kraft seiner eigenen Kreativität sich mal überlegt, müsste man das machen? Und hat da irgendwie so einen, ich glaube, sechsseitigen Beschluss geschrieben. Und ich mein, Respekt, ja, dass er sich so viel Mühe gegeben hat, das ist im Zweifel ja überdurchschnittlich viel Mühe aber auf der anderen Seite kann das ja nicht wahr sein, ja, dass da irgendwie ein Amtsrichter, der Offensichtlich von der Technik völlig überfordert ist, ähm dann so kreativ werden muss und sich überlegen muss, was sind eigentlich die Spielregeln für den Trojanereinsatz, weil der Gesetzgeber dazu eben keine Spielregeln geschrieben hat? Das kann ja nicht wahr sein. Und ähm das war auch sehr deutlich. Dass die Richterinnen und Richter des ersten Senats völlig schockiert waren Also als die hörten, wie so ein Trojaner in der Praxis von der Leine gelassen wird, da konnte man entsetzen bis Panik auf den Gesichtern sehen und ähm man weiß nie, was das Bundesverfassungsgericht entscheidet. Aber ich würde damit rechnen, dass sie den Gesetzgeber da nochmal zum Nacharbeiten verpflichten und sagen, wenn schon Trojaner, dann muss der Gesetzgeber auch klare Spielregeln schreiben was die Quellen angeht, muss eben in diesen Spielregeln auch drin stehen, wie die Beschränkung auf die laufende Kommunikation eigentlich sichergestellt werden kann.

Frank Rieger
0:32:23
Ulf Buermeyer
0:32:29
Frank Rieger
0:32:43
Ulf Buermeyer
0:32:50
Tim Pritlove
0:33:10
Frank Rieger
0:33:39

Ich meine, es gab ja, es gab ja zwischendurch auch noch so Meldungen, dass halt zum Beispiel das ähm äh BSI Bundeslandversicherung Informationstechnik ähm herangezogen wurde, um an diesem Trainer mitzuarbeiten, ähm spezifisch hat denn als Politik der aufgedeckt, ähm äh an dem äh mehr Kryptofunktion, also dass die halt sozusagen gefragt wurden, ob die. Funktion zum Daten nach Hause schicken, ob die hinreichend Kryptographisch abgesichert authentifiziert ist und wo aber. Bis zumindest das von dem wir wissen so, ähm in anderen Fällen ist es halt aber auch schon so, dass es gerade das Innenministerium zum Beispiel sehr stark darauf gedrungen hat, dass da auch die anderen Leute, also in die Mehrwertabwehrabteilung beim BSI, die ja darüber große Erfahrung verfügt. Dass die da halt mit reingeknechtet werden sollte, also um dafür zu sorgen, dass halt dieser Trojaner halt irgendwie möglichst. Diese Computerinfizieren kann. Und das bringt dann halt natürlich auch noch so einen Aspekt da rein, ähm der immer wieder gerne übersehen wird, nämlich, dass der Staat tatsächlich dann im Business ist. Ne, das heißt, also der Staat braucht halt Sicherheitslücken, um Computer zu infizieren. Der Staat äh muss diese Software testen gegen Antivirus-Software, gegen moderne Betriebssysteme, um sicherzustellen, dass sie dagegen funktioniert. So und ähm wenn wir uns halt so angucken, wieso halt die Entwicklung ist in über aktuellem Betriebssystem, insbesondere bei Mobilgeräten. Dann wird das halt auch ziemlich schnell ein interessantes Spiel infizieren will mit einem Trojaner, das ist halt schon irgendwie kein, also nicht so einfach so. Da muss man halt schon irgendwie Geld auf den Tisch legen für Sicherheitslücken, beziehungsweise diese Sicherheitslücken entwickeln. Und eigentlich. Wäre er der Staat und insbesondere auch das BSI. In der Rolle zu sagen, okay, sobald wir Kenntnis von so einer Sicherheitslücke haben, sobald wir wissen, dass da so eine Sicherheitslücke ist, ist der erste Anruf natürlich erstmal zum Hersteller, um die Sicherheitslücke gefixt zu bekommen, weil davon sind wir alle betroffen. Und jede ungefixte Sicherheitslücke, von der wir wissen, die halt eine Truanisierung ermöglicht, ist halt eine große Sicherheitslücke. Das ist halt eine Sicherheit nicht so ein sondern ist dann halt entweder eine eine große Sicherheitslücke oder eine also eine Kette aus verschiedenen Explods, die es halt ermöglicht, so ein so ein zum Beispiel so ein. IPad oder was auch immer zu infizieren und äh wenn so eine Lücke da draußen rumfliegt, dann finden die halt auch andere Leute. Ja und das hat äh dass der Staat halt in diesen Interessenskonflikt kommt, zu sagen, okay, ich muss jetzt. Eigentliche aus der aus der Daseinsfürsorge abgeleitete Pflicht dem Bürger, Helfen seiner IT-Security in den Griff zu bekommen und irgendwie die Sicherheitslücken zu schließen. Mit meinem Interesse als Staat halt irgendwie in die Computer von Verdächtigen einzudringen, irgendwie ins Verhältnis bringen. Ist eigentlich rechtlich auch eine relativ unauflösbarer Konflikt, ne? Also ich meine, da gibt's auch nicht wirklich andere Beispiele für wo sowas entsteht, ne. Also so tatsächlich Sicherheitslücken in in Kauf genommen werden. Ist es bei Schlössern und Alarmanlagen eigentlich.

Ulf Buermeyer
0:36:27

Also jedenfalls wüsste ich nicht, dass die quasi bewusst schwach gemacht werden, denn ganz ehrlich, wenn wenn man für eine Wohnung einen Durchsuchungsbeschluss hat, dann ruft man halt einen Schlüsseldienst und wenn's gar nicht anders geht, dann kommt das SEK mit der fünfzig Kilogramm und äh rennt die Tür ein, ne? Also das ist ähm das ist da gibt's in der Tat keine Parallele, dass man hofft, dass dass es irgendwelche Sicherheitslücken gibt, die sonst schon keiner finden wird und die so quasi in der Hinterhand hält, um die mal staatlicherseits einsetzen zu können. Also ganz interessant in dem Kontext, wo du jetzt sagst, Eiweiß Explods, ne, ähm es gab natürlich in der Tat auch schon mal iOS Trojaner, wenn ich weiß, von Finn Fischer oder so, das ist mal äh von von so einem kanadischen Institut auch äh analysiert worden. Und äh die hatten sich diese ad hoc Distribution, die normalerweise von Developern eingesetzt wird, um um Beta-Version zu verteilen, zunutze gemacht. Da muss man dann zwar so ein paar Warnungen wegklicken aber ähm das ging früher so, dass man dann später nicht mehr sah, dass diese Software tatsächlich auf dem ist, das geht heute aber so einfach nicht mehr. Also da hat Apple nämlich nachgearbeitet. Äh man muss da regelmäßig bestätigen und die entsprechende App wird mit so einem kleinen orangefarbenen Punkt gekennzeichnet. Ähm also dieser Distributionsweg, der ja keinen Export erfordert hat, der dürfte so ohne weiteres wohl nicht mehr funktionieren. Und ähm ich weiß nicht, wie es gehen soll. Also ich habe gerüchteweise gehört, dass iOS trotzdem äh ins Visier genommen werden soll, aber da weiß ich persönlich nicht, wie es ohne Export gehen soll.

Frank Rieger
0:37:44
Tim Pritlove
0:38:17
Frank Rieger
0:38:31
Tim Pritlove
0:38:32
Frank Rieger
0:38:37

Ist halt unklar, ne? Also die Akten, die Netzpolitik Octa halt befreit hat, sagen halt nur, dass sie involviert waren, was das BSI vorher bestritten hatte. Ähm und die äh was die sagen, ist halt irgendwie, dass sie nur drin involviert waren, halt die Kryptofunktion zu prüfen, Also hat zu prüfen, dass die Kommunikation nach Hause identifiziert ist und dass halt die ähm die Kontrollstruktur, also wie man halt auf diesen Trojaner Befehle gibt die halt äh ordentlich verschwinden, autifiziert ist. So, das sind wir so und da könnte man halt in in weiter Interpretationen des der Aufgaben des BSI sagen, na gut, dafür sind sie halt zuständig, sicherstellen, dass irgendwie staatlicher IT-Kram halt irgendwie gesichert ist, also zumindest. Authentifiziert ist, aber angesichts dessen, dass halt ja eigentlich so der die Linie des BSI war ja so halt BSI für Bürger, wir machen kümmern uns um eure IT und wir warnen euch, wenn eure E-Mail-Adresse in irgendwelchen Forrungen geteilt wird und so. Also diese ganzen Geschichten, sowohl sie halt eigentlich sagen, okay möchten eigentlich dein Freund sein, wir möchten, dir einen Vertrauensbehörde sein, wenn's um IT-Security geht und auch per Gesetz ja Sinn für Unternehmen, ne, also die müssen ja melden nach dem neuen IT-Sicherheitsgesetz, wenn sich halt schwere Angriffe hatten, dann müssten sie auch ans BSI mailen. Und dann so eine Behörde dazu zu bringen, ähm ja, quasi in staatlicher Influtrationssoftware zu machen und da halt irgendwie zu helfen, ist natürlich, also, exempliziert halt diesen, diesen Konflikt so zwischen eigentlich hat der Staat ja halt eine Fürsorgepflicht und auf der anderen Seite ist er dann plötzlich im Mehrwert Business mit all seinen Institutionen so.

Tim Pritlove
0:40:06
Ulf Buermeyer
0:41:12
Frank Rieger
0:42:00

Na die hatten doch, aber die hatten doch bei dem anderen Turner, also fährt ja da zweiglasig, die haben ja noch an diesem Fin Fischer Trojaner, auch noch weiter basteln lassen. Das heißt also, die haben halt der dieser Firma Gamma, die hatte auch schon damals im in dem Kontext bekannt wurde, dass deren Trojaner an, Ägypten zum Beispiel geliefert worden, als ägyptische Regime. Und die haben ja vom BKA so ein, also sie haben ja erst so einen Test, so einen Test machen lassen und dann haben sie diesen Trojaner prüfen lassen, ja von CSC. Ne, also hat eine NSA-Zulieferer aus den USA, der halt auch eine deutsche äh hat und ähm also hat so eine große IT-Consulting-Bude, die halt auch Services macht. Und die halt einen sehr tiefen Hintergrund in diesem ganzen NSA-Überwachungsbusiness haben und in Deutschland aber halt ähm viel in Behördensoftware machen und die haben äh ja also den Auftrag bekommen zu prüfen, ob dieser. Digitast, äh dieser dieser Finfischer Trojaner mit der Leistungsbeschreibung übereinstimmt. Ne, das heißt also, die sollten sozusagen eine, einen Penntest machen, wo sie geprüft, also prüfen, ob diese äh also ob da sozusagen äh die Einforderungen eingehalten wurden. Und genau das. Bei diesem Zweifel auch passiert sein. Das heißt, wenn sich irgendjemand genommen haben, der bereit war, das zu tun und haben denen die Anforderungsbeschreibung auf den Tisch gelegt und dies auch für öffnen Tisch gelegt und sagt, hier prüft man schon. So und. Das ist natürlich auch ein so eine Frage, wo. Wenn das dann irgendwie natürlich zu Gerichtsprozessen kommt, dann werden die sich halt genau wie damals die Banken immer sagen, so ja nee, bei uns ist alles sicher, wenn die sich halt da hinstellen und sagen, ja, wir haben's prüfen lassen Gutachten in dem steht halt irgendwie die Anforderung, die Leistungsbeschreibungen wurden eingehalten. Alles schön legal hier, ne? Also die werden natürlich einen Teufel tun, äh da irgendwie einem Betroffenen oder Angeklagten halt irgendwie Zugang irgendwie zucursen oder oder Beine rezugeben oder zu irgendwas anderem als vielleicht den Protokollen, die aus ihrer Software rausfallen, ne.

Tim Pritlove
0:43:56
Frank Rieger
0:44:00
Tim Pritlove
0:44:01
Ulf Buermeyer
0:44:04
Tim Pritlove
0:44:05
Frank Rieger
0:44:06
Tim Pritlove
0:44:45
Frank Rieger
0:44:46
Tim Pritlove
0:44:51
Ulf Buermeyer
0:44:54
Tim Pritlove
0:45:39
Frank Rieger
0:46:39
Tim Pritlove
0:46:40

Wiederholen wir uns jetzt wahrscheinlich dann oder ich mich. Ähm ich fand jetzt besonders auch interessant die Frage. Inwiefern, also in USA wird natürlich dann eben auch gleich über argumentiert, das lässt sich natürlich jetzt so ohne weiteres auf unser Rechtssystem nicht übertragen, aber so die äh Fragestellung zum Beispiel. Kann eine Firma überhaupt dazu gezwungen werden, eine bestimmte Software. Zu schreiben auf Wunsch äh des FBIs. Ja, es geht ja, du hast ja vorhin diese fünfzig, Kilohammer, den man dann halt einsetzt, äh sozusagen, ne, um die Tür aufzukriegen. Im Prinzip fordert jetzt das FBI, weil sie sich das selber nicht herstellen können, weil das eben einfach alles nur noch im Zugriff von Apple ist in letzter äh Konsequenz. Fordert sie quasi das äh Erschaffen dieses digitalen fünfzig Kilo Hammers ähm um halt dieses Telefon öffnen zu können. So und äh man merkt auch, dass das eine sehr politische Debatte ist, weil. Man sich den Fall anschaut, der ist irgendwie weitgehend aufgeklärt, es gab da andere private Telefone, die explizit zerstört wurden und wo aber auch schon die ganze Call Historie äh durchgegangen wurde. Also man weiß mit wem dieses Telefon äh telefoniert hat. Das sind ja alles wiederum Daten, die man vom Telefon Provider äh problemlos bekommen konnte und auch bekommen hat Jetzt geht's sozusagen nur noch um eine aktualisierte Information dieses Telefons, weil selbst von dem ja alle sechs Wochen sechs Wochen altes Backup vorliegt Trotzdem wird er eben mit harten Bandagen äh gekämpft und jetzt äh, eröffnet das sozusagen diese ganze Vektor-Debatte, weil ja Apple auch selber sich auf die Hinterbeine stellt und sagt Wir wollen auch überhaupt gar keine äh Pektor einbauen, weil wir das eben auch schon im Trojaner Fall hatten. In dem Moment, wo wir diese Tür einbauen, sehr viel wahrscheinlicher von anderen für ganz andere Dinge genutzt als eben für diese verhältnismäßig seltenen Fälle. Was hast du denn da so ähm.

Frank Rieger
0:48:37
Tim Pritlove
0:48:45
Frank Rieger
0:48:48
Tim Pritlove
0:49:45
Frank Rieger
0:49:52
Tim Pritlove
0:50:11
Frank Rieger
0:50:15
Tim Pritlove
0:50:17
Frank Rieger
0:50:20
Ulf Buermeyer
0:50:31

Man muss schon sehen, das ist natürlich, es klingt jetzt erstmal total uferlos, allerdings ähm dürfen die Gerichte eben nicht alles anordnen, sondern immer nur quasi Maßnahmen an Orten als Annex zu einer Anordnung, die sie auf irgendeiner anderen Grundlage getroffen haben. Also, beispielsweise wenn ohnehin schon eine Anordnung in der Welt ist zu einer Telefonüberwachung, dann kann man auf der Grundlage des Acts eine Telefonfirma verpflichten, noch ein ein Leitungsbündel zur Verfügung zu stellen, damit diese TKÜ-Daten ausgeleitet Das ist ein Beispiel. Oder kann, wenn man ohnehin ähm schon eine äh eine ein Hearing anordnet, also eine Anhörung von irgendeinem Beschuldigten, dann kann man damit ähm die Polizei zwingen, den vorzuführen, also quasi eine Ataxidienst zu machen. Also das heißt, es geht immer um kleinere Annex, Aufgaben im Rahmen einer größeren Anordnung, die auf irgendeiner anderen Grundlage schon passiert ist. Und ähm die Argumentation des FBI ist jetzt hier, wir haben ja schon einen Beschluss, dass dieses iPhone ausgelesen werden kann und deswegen hat Apple ja auch schon die Daten aus der iCloud geliefert und Und weil wir ja dieses Telefon auslesen, deswegen macht jetzt mal nochmal bitte die Kleinigkeit, dass ihr uns ein ein spezielles iOS liefert, ähm bei dem eben die Zahl der Tasten äh der, der Versuche äh auf ein unendlich gesetzt ist, äh um ein neues Passwort auszuprobieren. Unter anderem, es gibt eine ganze Reihe von Funktionen, die das FBI gerne hätte Aber ähm ich denke mal, schon allein diese Beschreibung. Deutlich, dass es hier eben gerade nicht um eine klitzekleine Annecks Maßnahme geht im Kontext einer größeren Maßnahme, sondern im Gegenteil, das was hier auf Grundlage des Acts gefordert wird, ist eigentlich ähm wesentlich mehr als das bloße rausrücken von Telefondaten, es soll ja eben eine Spezialversion von iOS geschrieben werden und die sollen zum Beispiel noch nicht mal geflasht werden auf das Telefon, wie ja normalerweise das der Fall ist, sondern die soll komplett im Rahmen laufen. Ja, das heißt also Apple soll im Grunde von null an eine Spezialfilmware für dieses iPhone, wo man dann eben ähm nicht mehr begrenzt ist in der Zahl der Versuche, irgendwelche irgendwelche Passwörter durchzuprobieren. Das ist schon ein starkes Stück. Und ähm also jenseits der ganzen Verfassungsrechtlichen Fragen äh denke ich mal, dürfte da auch der Rahmen dieses Act äh deutlich gesprengt sein.

Tim Pritlove
0:52:34
Frank Rieger
0:53:03

Nee, das Kalender war ja eine spezifische, also eine also eine spezifische gesetzliche Fassung, um halt irgendwie so den Wildwuchs, der da schon. In den USA bestand halt irgendwie so ein bisschen einzuschränken und aber auch den Strafverfolgern deutlich mehr Befugnisse zu geben und hat eben die Telekommunikationsfirmen halt so an der Grenze zur äh Liberalisierung des Telekommunikationsmarktes vorher gab, gab's die Notwendigkeit ja nicht, da gab's ja nur und als dann die Liberalisierung kam wollten sie halt damit halt die sozusagen diese Verpflichtung ja in Gesetz gießen so. Interessant daran ist halt eben die die Frage so wie weit muss denn eigentlich so 'ne Firma entgegenkommen. Wie weit haben wir als Gesellschaft eigentlich das Vertrauen, dass die halt damit kein Schindluder treiben. Und das ist halt so ein bisschen so, wo ich auch so mit meinem Artikel hinten drauf hinaus wollte, zu sagen, so okay. Wenn die sich halt die ganze Zeit irgendwie ordentlich benommen hätten, ne, also wenn die halt, also wenn FBI und die Geheimdienste halt die ganze Zeit irgendwie so agiert hätten, dass wir hinterher sagen würden, okay zwar oder so, mal hier oder da was raus, was sie gemacht haben, aber in der Gesamtschau finden wir das jetzt eigentlich nicht weiter tragisch, ne, also wenn die den Geist der Grundrechte atmen würden und halt irgendwie da so vorsichtig vorgehen würden dann würden wir darüber auch nicht wirklich diskutieren. Also dann würden wir sagen, so naja gut, Apple, mach mal, ne. So ist halt äh wenn sie's jetzt wirklich nur einmal wollen und sie haben's in der Vergangenheit auch immer nur eine kleine Handvoll von Fällen, wenn's wirklich um die Wurst ging gemacht so. Aber dem ist ja nicht so. Ne, also es war ja, ist ja so, dass wir aus dem Snowdenenthüllung und aus vielen anderen Enthüllungen, die danach kamen, wissen, ähm dass die Strafverfolgungsbehörden und die Geheimdienste insbesondere ja halt uferlos agieren, das heißt also, dass die halt immer, wenn sie den kleinen Finger kriegen, die ganze Hand nehmen und insbesondere halt die mehr dieses Programm, das Erste, was ja in dem NSS-Skandal hoch kam, war ja de facto die Ausnutzung von Zugängen, die für die Strafverfolgungsbehörden zu Computersystemen von großen Kommunikationsfirmen gelegt wurden durch die NSA. Ne, das heißt also diese diese ganze ist doch nur für Strafverfolgung wird doch nur selten verwendet. Theorie funktioniert halt überhaupt nicht mehr. In der Vergangenheit ihm diese Grenzüberschreitungen gab und immer noch gibt Es ist ja so, dass diese dieses ganze Konstrukt von wir können diesen Behörden schon vertrauen, weil die machen halt nur ihren Job und nicht viel darüber hinaus einfach nicht mehr. Und daraus resultiert halt eben auch in den USA halt ja diese die Intensität dieser Diskussion, dass Leute verstehen, okay, dieses Telefon, da ist halt alles drin Ne, also dieses Telefon ist halt irgendwie Teil meines ausgelagerten Gehirns. Wir sind halt eigentlich alle schon Cyborgs. So, wir holen hundertmal am Tag dieses Telefon aus der Tasche und gucken da drauf und wickeln unser gesamtes Leben darüber ab.

Tim Pritlove
0:55:40
Frank Rieger
0:55:46
Ulf Buermeyer
0:56:22
Frank Rieger
0:56:44
Ulf Buermeyer
0:56:49
Frank Rieger
0:57:09
Ulf Buermeyer
0:57:15
Frank Rieger
0:57:34
Ulf Buermeyer
0:57:42
Frank Rieger
0:57:46
Ulf Buermeyer
0:57:59
Frank Rieger
0:58:01
Ulf Buermeyer
0:58:15
Frank Rieger
0:58:22
Ulf Buermeyer
0:58:27

Und das macht ja auch Sinn. Aber ich finde, ich finde das jedenfalls sehr spannend, nochmal einmal ähm eben das so ein bisschen zusammenzufassen, was eigentlich die Apple-Argumentation ist das ist ja im Grunde ein doppelter Dammbruch, ne? Es geht also zum einen natürlich darum, wenn man jetzt diese Technik schafft, um spezifisch ein iPhone zu knacken, dass dann natürlich das Risiko besteht, dass diese Technik noch in anderen Fällen eingesetzt wird, also entweder weil das liegt oder wenn Apple da. Dass dann jedenfalls, wenn man weiß, diese Software gibt es ja, die Anforderungen kommen werden, die wir einzusetzen, also diese konkrete Lösung in anderen Fällen einzusetzen. Das ist dann quasi der technische Dammbruch, ja, wenn man also einmal diesen ähm diese Technologie geschaffen hat, dass dann auch die Anforderungen größer werden. Und das zweite wäre im Grunde der rechtliche Darmbruch, ne? Wenn also einmal klar ist, mit dem kann man eben viel mehr machen, als reine Anneks-Maßnahmen. Dann gibt's in der Tat kaum noch eine Grenze. Da sagt Tim, guck auch völlig zurecht, ja was ist denn dann eigentlich noch die Grenze, die verhindert, dass das FBI in einem anderen Fall, verpflichtet, eine Spezialversion von iOS zu schaffen und auf einem Telefon zu installieren, die im Grunde so eine Art ständige Raumüberwachung ähm durchführt oder die ständig die Position ans FBI-Funk oder, oder, oder, ne. Also da äh das ist die Argumentation das quasi ein rechtlicher Dammbruch droht Und ich finde das auch total plausibel ehrlich gesagt. Also ich bin nun eben kein amerikanischer Jurist, aber ich sehe da in der Tat dann nicht mehr in den kategorialen Unterschied, ne. Wenn man gezwungen werden kann, alles Mögliche neu zu implementieren was es bislang noch nicht gibt dann wäre so was sicherlich im Zweifel auch wieder die kleinere Maßnahme.

Frank Rieger
0:59:56
Ulf Buermeyer
1:00:13
Tim Pritlove
1:00:18
Ulf Buermeyer
1:00:47
Tim Pritlove
1:00:54
Frank Rieger
1:01:41

Also die ähm äh also man so die großen deutschen Muster, also jetzt und die Telekommunikationsunternehmen äh, sind da halt natürlich äh massiv interessiert, ne, also die verfolgen auch diese diese rechtliche Auseinandersetzung beim sättigen, weil die natürlich sehr intensiv. Ähm Zum einen, weil sie natürlich sagen, okay, in dem Augenblick, wo halt zum Beispiel Microsoft den Fall verliert, der noch ansteht, äh wo sie versuchen zu verhindern, dass. Die ähm amerikanischen Behörden ohne weiteres Zugang auch zu Cloud-Daten, die in Europa, in Irland zum Beispiel stehen, bekommt. In dem Augenblick freut sich natürlich die Telekom, weil sie dann sagt, okay, na ja, dann ähm müsst ihr halt zu uns kommen, ne, also müsste halt zu einem europäischen Unternehmen kommen und die haben halt dementsprechend auch schon Vorkehrungen getroffen, also die haben halt ähm mit Microsoft so einen Deal gemacht, dass halt Microsoft Cloud-Infrastruktur halt auf Telekom-Infrastruktur läuft unter Telekom Management, aber quasi mit technischen Parametern von Microsoft. Das heißt also, die haben für den falschen vorgebaut, für die ist natürlich ein einen unverhoffter, unverhoffter Gelegenheit. Große Teil des nicht-amerikanischen Marktes abzuräumen. Und was halt die ähm äh sag mal, die Software-Industrie angeht, ähm. Also die meisten Leute, mit denen ich darüber gesprochen habe, die da unterwegs sind, also es gibt ja doch noch eine Menge Softwareentwickler in in Deutschland so, die schütten halt alle mit dem Kopf und sagen so, wie, was, wie, wie, wie kommen die auf die Idee, eigentlich nur 'ne Firma dazu verpflichten zu wollen, halt da bestimmte Dinge zu implementieren, die es halt vorher nicht gab und ähm so ein allgemeine Gefühl da ist halt eher so, na ja gut, also wenn ihr da rein wollt und halt irgendwelche Tricks und irgendwelche habt, um es tun, dann bist du zwar unschön, aber dann ist das halt so. Also dann ist das halt irgendwie Bestandteil des normalen Wettrüstens so, ähm also ja, wird halt zugemacht, wenn's irgendwie äh ansonsten, naja, ähm aber halt irgendwie den die Firmen halt zum Hilfspolizisten werden zu lassen, ähm trifft halt auf universelle Ablehnungen. Also da ist halt irgendwie niemand irgendwie auch nur Willens irgendwie einen Finger krumm zu machen so.

Ulf Buermeyer
1:03:43
Frank Rieger
1:04:35
Tim Pritlove
1:04:53
Frank Rieger
1:04:56
Tim Pritlove
1:04:58
Frank Rieger
1:05:03
Tim Pritlove
1:05:18
Frank Rieger
1:05:21
Ulf Buermeyer
1:05:41
Tim Pritlove
1:06:30
Frank Rieger
1:06:43
Tim Pritlove
1:06:51
Ulf Buermeyer
1:06:55
Tim Pritlove
1:06:57
Ulf Buermeyer
1:06:57
Frank Rieger
1:07:09
Ulf Buermeyer
1:08:21
Frank Rieger
1:08:23
Ulf Buermeyer
1:08:25
Frank Rieger
1:08:28
Ulf Buermeyer
1:08:35
Frank Rieger
1:08:37
Ulf Buermeyer
1:09:03
Frank Rieger
1:09:05
Ulf Buermeyer
1:09:31
Frank Rieger
1:09:48
Ulf Buermeyer
1:10:24
Tim Pritlove
1:10:37
Frank Rieger
1:11:12
Ulf Buermeyer
1:11:21
Frank Rieger
1:11:24
Tim Pritlove
1:11:41
Frank Rieger
1:11:48
Ulf Buermeyer
1:12:03
Frank Rieger
1:12:56
Ulf Buermeyer
1:12:58
Tim Pritlove
1:13:00
Frank Rieger
1:13:12
Tim Pritlove
1:13:16
Ulf Buermeyer
1:13:23
Tim Pritlove
1:13:27
Frank Rieger
1:13:28

Nee, also das es stimmt nicht ganz. Also tatsächlich ist es so, dass halt die ähm ja zumindest die Security-Firmen ähm sehen, dieses Problem halt schon, also insbesondere halt, dass auch die und im Gesichtspunkt Vertrauen Ja, also dass halt irgendwie Vertrauen deutscher IT Produkte, wenn halt solche Trojaner-Dinger unterwegs sind oder gar wenn es halt irgendwie Gesetze gäbe, die sich halt zu Hintertüren zwingen könnten, halt beschädigt wird. Ähm es gibt ja, was irgendwie so die Verschlüsselung angeht ähm ja die Ansage vom Investor, dass man da halt was tun muss mit dem klaren Unterton, das ist halt nicht im Verschlüsselungsregulierung geht, sondern halt eben um äh einfacheren Zugang oder einfachere Verwendung von Trojaner zum Umgehen von Krypto Das heißt, diese Diskussion ähm wird halt auch sicherlich die Industrie dabei betreffen. Äh also insbesondere halt auch die, die äh die Frage halt insbesondere, welche Kooperationszwänge, ähm so Firmen unterworfen werden, was halt die ähm die Infiltration in den Rechner angeht. Also es können die zum Beispiel gezwungen werden, so ein Trojaner in ein Softwareupdate einzubauen. Kritische Frage, ne. Ähm äh die Diskussion wurde auf jeden Fall noch kommen und die wird natürlich umso härter werden, je besser halt die IT-Sicherheit so im Generellen der der Geräte wird. Und ähm da werden dann natürlich die Serviceanbieter halt schon. Also das wird halt schon interessant werden und die haben natürlich kein Interesse daran, ne? Also weil nehmen wir mal an, halt die Telekom würde verpflichtet zu sagen, äh wir verpflichtet äh bei so einer Trojanerfiltration zu helfen, weil.

Ulf Buermeyer
1:14:53
Tim Pritlove
1:14:56
Frank Rieger
1:15:02
Tim Pritlove
1:15:04
Frank Rieger
1:15:36

Genau und darum, das ist halt eben der der Kern des Problems, weil wo halt auch die. Sage mal so, die ganzen Zulieferer, die halt irgendwie in diesem IT-Bereich unterwegs sind, halt auch sagen, so ja, ah, fallen wir eigentlich nichts mit zu tun haben, ne? Also, ist eigentlich nicht, nicht unser, also wir wollen halt nicht da zum Hilfspolizisten gemacht werden, sondern wir wollen halt so sichere wie möglich Geräte ausliefern. Ähm weil letzten Endes ist es halt auch so, dass. Wenn die Leute anfangen, Angst davor haben, Softwareupdates einzuspielen oder Softwareupdates auf Auto zu lassen, ne, so automatisches Softwareupdate zuzulassen, weil es zum Beispiel die erste Infiltration über so ein Softwareupdate gab, Ne, also das wäre die logische nächste Konsequenz, aber wenn halt irgendwie klar wird, irgendwie die Infiltration fand statt über ein Softwareupdate, dann schalten plötzlich viele Leute ihre Softwareupdates ab und dann haben die halt ein richtiges Sicherheitsproblem, weil sie halt die die Sicherheitslücken nicht mehr zeitnah gefixt bekommen. Das heißt also diese diese Vertrauensfrage, die Frage, wie weit geht der Starter, wie weit ähm hängt der sich da aus dem Fenster? Auch was irgendwie den erzwungener oder erbetende Kooperation von Unternehmen angeht. Ist halt von zentraler Bedeutung für die allgemeine IT-Security. So und da geht's dann halt eben um hunderttausende oder Millionen von Geräten, nicht um ein oder zwei. Und dementsprechend ist halt diese Prioritätensetzung zu sagen, okay wir wollen nehmen große Sicherheitslücken bei auf vielen Geräten in Kauf, um halt so ein paar Strafverfolger in das Leben leichter zu machen. Die wird dann halt einfach nicht mehr gehen. Also die wird halt einfach vielleicht so zwei, drei Mal ausprobiert werden und dann irgendwann ist halt klar, so kann man halt nicht mehr denken so, weil dazu sind die Probleme, die wir im Allgemeinen, Antisemite-Bereich haben, halt viel zu groß.

Tim Pritlove
1:17:06
Frank Rieger
1:17:48
Tim Pritlove
1:19:00
Frank Rieger
1:19:02
Tim Pritlove
1:19:09
Ulf Buermeyer
1:19:23
Frank Rieger
1:19:44
Ulf Buermeyer
1:19:48
Tim Pritlove
1:19:52
Frank Rieger
1:20:20
Tim Pritlove
1:20:21

Ja

Ulf Buermeyer
1:20:23
Tim Pritlove
1:20:24