WEBVTT NOTE Podcast: Logbuch:Netzpolitik Episode: LNP174 Die Messwerte waren okay Publishing Date: 2016-02-29T21:34:59+01:00 Podcast URL: https://logbuch-netzpolitik.de Episode URL: https://logbuch-netzpolitik.de/lnp174-die-messwerte-waren-okay 00:00:00.005 --> 00:00:05.732 Guten Morgen Linus. Oh nein, nicht schon wieder. 00:00:27.053 --> 00:00:35.699 Logbuch Netzpolitik Nummer einhundertvierundsiebzig und ähm tja heute ohne Linus, der ist äh 00:00:35.621 --> 00:00:47.813 irgendwie weg. Aber ich bin ja nicht alleine hier und ähm habe Verstärkung reingeholt ins Studio. Äh nämlich mit Frank, Frank Rieger, hallo und Ulf, Ulf Biermeier. 00:00:48.180 --> 00:00:55.926 Ihr wart ja beide schon mal da, also irgendwie in der Sendung irgendwie. Wenn du auch noch nicht in der Mitte eben warst, wie ich gerade selber erst festgestellt habe, Ulf. 00:00:55.626 --> 00:00:56.659 Hab's ja gefunden. 00:00:56.978 --> 00:01:08.749 Also ähm heute machen wir mal keine News Sendung, auch wenn's eigentlich um um News geht, aber halt nur um eine. Ähm und zwar geht's um tja. 00:01:09.044 --> 00:01:22.720 Die den den oder die Staats äh Trojaner beziehungsweise die ganze Trojaner Problematik, die ja nun grade mal wieder frisch auf den äh Tisch geworfen wurde. 00:01:23.081 --> 00:01:35.147 Es äh wurde bekannt, ich weiß gar nicht, gibt's schon irgendeine offizielle Statement dazu, aber es wurde sozusagen äh bekannt, dass das BKA nun selber an einem Trojaner arbeitet sozusagen. 00:01:34.847 --> 00:01:40.976 Dass sie dran arbeiten ist schon eine Weile klar jetzt, äh was sie jetzt äh was jetzt gab, war sozusagen die Fertigstellungsmeldung, also. 00:01:40.676 --> 00:01:41.727 Die Genehmigung. 00:01:41.427 --> 00:01:48.229 Die Nähe, weil der, also das BKA hat ja, das war eine ewige Geschichte, also nachdem die erste Generation Staatstrojaner 00:01:48.121 --> 00:01:57.501 ja vom Bundesverfassungsgericht abgeschossen wurde, hat das BKA gesagt, ja gut, dann fangen wir jetzt mal an und dann suchten die auf Reise nach Entwicklern, irgendwie war Hesse Jobs und irgendwie. 00:01:57.994 --> 00:02:01.226 Also quasi schon eine eigene Kategorie bei Heise irgendwie 00:02:01.221 --> 00:02:11.123 sich darüber lustig zu machen und hat auch da irgendwie immer wieder drauf rumgehauen, ähm dass die äh das BKA halt da irgendwie gewisse Entwicklungsprobleme hat und also nicht aus den kommt 00:02:11.112 --> 00:02:21.477 und sie halt auch keine Leute finden, die in der Lage sind, da halt ihre Schadsoftware zu entwickeln. Insofern ist jetzt schon klein wenig überraschend, dass sie es tatsächlich geschafft haben jetzt also irgendwas zu haben, was sie wohl denken, einsetzen zu können. 00:02:21.423 --> 00:02:26.344 Zumindest geht das Gerücht, dass sie das geschafft haben, was da nun wirklich bei rausgekommen ist, was. 00:02:24.308 --> 00:02:31.939 Wenn nicht, ähm die, also die, die Meldung selber ähm war von Verglücke in Deutschland. 00:02:32.203 --> 00:02:33.267 Das gebracht. 00:02:32.967 --> 00:02:41.896 Genau. Und äh dann gab's aber eine Bestätigung in der Bundespressekonferenz. Das ist tatsächlich sozusagen äh im Wesentlichen offiziell geworden. 00:02:42.227 --> 00:02:47.045 Ja, der Sprecher des des Innenministeriums hat dazu ziemlich ausführlich Stellung genommen 00:02:46.974 --> 00:02:56.287 Er hat nämlich gesagt, dass es irgendeine Software fertiggestellt worden und das BMI hat grundsätzlich auch den Einsatz genehmigt ähm und zugleich. 00:02:56.618 --> 00:03:10.294 Wurde aber kein Wort darüber verloren, was denn eigentlich an Prüfungen gelaufen ist, ne? Wir wissen's also nicht. Es wurde ganz lustig, es wurde so gemurmelt, die Datenschutzbeauftragte hätte das geprüft. Daraufhin dachte natürlich jeder, die Bundesdatenschutzbeauftragte 00:03:10.241 --> 00:03:12.007 und da allerdings. 00:03:12.308 --> 00:03:22.703 Gab's denn Presseanfragen? Und ähm die Bundesdatenschutzbeauftragte hat dementiert den Bundestrojaner geprüft zu haben. Stellt sich raus, die hat ähm nur diese besondere Leistungsbeschreibung geprüft, also quasi den, 00:03:22.704 --> 00:03:34.343 Plan, ja, das soll, aber was denn da jetzt tatsächlich gebastelt worden ist, hat sie nicht geprüft. Und das finde ich schon mal sehr lustig, so ein bisschen so, als wenn man ein Haus baut und den Bauplan sich anguckt, aber keine Bauabnahme macht und einfach hofft, 00:03:34.193 --> 00:03:36.127 dass da kein Schmuck getrieben worden ist. 00:03:36.561 --> 00:03:45.724 Komplexen Schadsoftware wie ein Trojaner ja auch eher unwahrscheinlich ist, dass man da sich komplett an den Bauplan halten konnte, insbesondere 00:03:45.592 --> 00:03:59.659 natürlich auch anfordernd drin standen, die halt extrem schwer zu erfüllen sind. Also mal vielleicht noch kurz noch so ein bisschen zurückgehen auf die, was was tut denn so ein Hörner, was kann der denn? Und da gibt's halt so eine so eine künstliche Unterscheidung, ähm die oft das Urteil des Verfassungsgerichts 00:03:59.551 --> 00:04:10.848 Stück weit zurückgeht. Dass sie das Verfassungsgericht gesagt hat, okay, wir haben halt einen einen Grundrecht auf die Integrität äh und Vertraulichkeit informationstechnischer Systeme und die 00:04:10.734 --> 00:04:15.481 dem Staat halt relativ hohe Hürden für die Infiltration setzen und. 00:04:15.638 --> 00:04:23.894 Da wurde halt Trojaner gedacht als ein ein Schadsoftware die halt im Wesentlichen alles kann, was halt so eine Schadsoftware technisch 00:04:23.882 --> 00:04:33.670 möglich macht, nämlich halt falls auslesen, ähm auch falsch schreiben, ähm sämtliche Kommunikation mitlesen, Keyboard äh ja auslesen, 00:04:33.755 --> 00:04:43.639 Audio mithören und so weiter. Und da haben die äh die Strafverfolgung haben wir dann halt gesagt, naja, was wir eigentlich primär brauchen, ist ja, 00:04:43.646 --> 00:04:54.660 nicht so richtig so ein voller Trojaner, sondern so ein halber Trojaner, der eigentlich nur Telekommunikation mitlesen kann und haben dann diese diese lustige Kategorie des sogenannten Quellenüberwachungstrojaners 00:04:54.630 --> 00:04:58.716 erfunden, also die Quellen TKÜ, also Quellentele, Kommunikationsüberwachung. 00:04:58.783 --> 00:05:01.228 Gibt's diesen Begriff erst seitdem. 00:05:01.060 --> 00:05:06.089 Den gibt's seit im Vorfeld dieses Urteils eigentlich, ne? Also so viel, so viel länger gibt's. 00:05:05.789 --> 00:05:18.943 Zweitausendsechs oder so, ist ja zum ersten Mal aufgepoppt. Ganz genau, das ähm aber diese Unterscheidung ist in der Tat äh wie Frank sagt, äh so richtig klar erst geworden durch die Entscheidung aus Karlsruhe, ne? Und ähm und das Problem dabei. 00:05:18.643 --> 00:05:27.433 Erklärst du nochmal kurz wie also dieser dieser Insel in diesem Urteil, was die die Quellenkommunikation ist, der ist ja so merkwürdig, ne? Also der wenn du den liest, denkst du, ist so ein so ein Fremdkörper in diesem Ort. 00:05:27.133 --> 00:05:33.737 Ist ja auch gedanklich ein Fremdkörper und ich finde auch die zentrale Schwäche dieser Entscheidung, also Surprise, Surprise hat 00:05:33.605 --> 00:05:42.168 die Trojanerentscheidung aus Karlsruhe ja deutlich weniger bewirkt an Rechtsstaatlichkeit als wir, denke ich, gehofft haben, einfach wegen dieses Insatz. Und zwar ist es so, wie Frank schon sagt, 00:05:41.952 --> 00:05:48.964 Also eigentlich ist die Entscheidung, denke ich, sehr vernünftig, weil strenge Anforderungen gestellt werden an den Trojanereinsatz. Und dann allerdings 00:05:48.832 --> 00:06:00.790 gibt's diesen Einschub, der im Wesentlichen sagt, wenn so ein Trojaner nicht den ganzen Rechner ausspäht, sondern ausschließlich laufende Kommunikation, laufende Kommunikation, dann soll 00:06:00.628 --> 00:06:09.900 der Trojanereinsatz gar kein Eingriff sein in das neue Grundrecht. Das Computergrundrecht, ne, also das Grundrecht auf Integrität und Vertraulichkeit und Formationstechnischer Systeme. 00:06:09.600 --> 00:06:13.685 Weil er sich ja sozusagen nur um die Kommunikation kümmert und den Rest nicht. 00:06:13.421 --> 00:06:15.770 In Ruhe lässt, genau. So so die Theorie, ne. Also. 00:06:14.323 --> 00:06:17.098 So theoretisch, so eine Theorie, genau. Und wir. 00:06:16.798 --> 00:06:25.259 Welches Urteil hast du dich jetzt äh gerade bezogen, also was war das erste Urteil des Bundesverfassungsgerichtes, dass diesen Bereich überhaupt äh berührt hat? 00:06:25.013 --> 00:06:34.194 Das ist ein Verfahren äh aus dem Jahr zweitausendsieben, da ging's um eine gesetzliche Genehmigung im Verfassungsschutzgesetz Nordrhein-Westfalen und da gab's so eine Art Blanko-Check 00:06:33.990 --> 00:06:41.387 aller möglichen Ermittlungsinstrumente, unter anderem von Trojanern und da hat das Bundesverfassungsgericht im Februar zweitausendacht 00:06:41.261 --> 00:06:50.923 die sogenannte Onlinedurchsuchungsentscheidung verkündet und diese Norm aus dem Verfassungsschutzgesetz NRW für verfassungswidrig erklärt und bei der Gelegenheit eben 00:06:50.732 --> 00:06:57.305 das neue Grundrecht in Anführungsstrichen erfunden, also aus dem Grundgesetz abgeleitet von dem wir gerade Sprachen. Das nennt man so 00:06:57.113 --> 00:07:05.652 informiert das Computergrundrecht und der volle Name ist Grundrecht auf Integrität und Vertraulichkeit, Informationstechnischer Systeme. Und ähm. 00:07:05.352 --> 00:07:08.957 Klage, die von äh Bettina Winsemann. 00:07:08.657 --> 00:07:10.381 Glaube, genau, gehört Twister, ne? 00:07:10.183 --> 00:07:24.214 War da mit dabei, aber auch die äh die äh die, ich sage mal, das äh Grundrechtsteam der FDP, ja, Gerhard Baum, Burkhard Hirsch und so, die waren auch am Start äh und ich glaube, noch ein paar andere, ich meine auch die humanistische Union war dabei, also es war eine ziemlich breite Koalition damals schon 00:07:24.004 --> 00:07:36.406 Hat ja auch sehr schnell entschieden, also innerhalb nicht mal eines Jahres, wenn ich's richtig weiß. Naja und ähm der Witz ist dabei, aber diese, dass dieses Grundrecht eben eigentlich zwei Dimensionen hat, also Integrität und Vertraulichkeit. Integrität, also dass das 00:07:36.178 --> 00:07:45.462 nicht mehr manipuliert wird das System und Vertraulichkeit, dass keine Daten abfließen. Und nun gibt's da diese diese Sonderregel, dass wenn nur laufende Kommunikationen abfließt, 00:07:45.240 --> 00:08:03.285 gucken wir mal nicht so genau hin bei der Integrität, ne? Denn die ist natürlich genauso verletzt, egal was ein Trojaner letztlich darf äh und schauen nur mal hin, wenn nur laufende Kommunikationen abgeleitet wird, dann finden wir das mit der Vertraulichkeit auch nicht so schlimm. Also ich finde das nicht so wahnsinnig überzeugend, aber so hat Karlsruhe eben entschieden und das ist die eigentliche Hintertür in dieser Entscheidung. 00:08:02.991 --> 00:08:12.202 Also was man äh also wenn man sich halt auch so die die mündliche Verhandlung dazu anguckt und auch die die Urteilsbegründung und so, dann ist die ja schon, also macht 00:08:12.046 --> 00:08:25.608 hat man so den Eindruck, die haben sich halt wirklich intensiv Gedanken darum gemacht, ne, also dass also auch im Detail nachgefragt und halt auch im Detail die ähm die einzelnen Probleme abgewogen, angefangen vom Targeting, also wie weiß man, dass man den richtigen Computer erwischt mit dem Trojaner, überm 00:08:25.447 --> 00:08:29.935 äh Schäden, also was passiert, wenn man so eine Schadsoftware in so einen Rechner rein tut 00:08:29.749 --> 00:08:43.720 ist dir denn noch zuverlässig so, welche Probleme können entstehen, wenn man den falschen Rechner erwischt und die die äh Schadsoftware nicht stabil ist und so. Also halt wirklich eine eine sehr tiefgehende Sache, wo sie dann am Ende zu kommen, so okay, in der Abwägung von den Grundrechten und so weiter 00:08:43.672 --> 00:08:52.457 sagen wir okay, nur wenn's wirklich um die Wurst geht, also wenn halt irgendwie man also wirklich aller schwerste Straftaten hat so und es keine anderen Möglichkeiten gibt. 00:08:52.157 --> 00:08:53.178 Farmverzug. 00:08:52.878 --> 00:09:02.114 Nee, nicht mal Gefahrenverzog, sondern halt so schon so eine sehr tiefgehende, so nach dem Motto, da müssen mindestens drei Richter draufgucken und ähm also jedenfalls eine relativ, 00:09:02.180 --> 00:09:09.823 umfängliche Abwägung, die eigentlich schon so ein bisschen in die Richtung geht von von den höchsten Abwägungen, die wir so haben in Deutschland in in bei Ermittlungs äh 00:09:09.685 --> 00:09:21.295 nämlich halt äh verwanzen, also Wohnraumwanzen, da ist das eh nicht, deswegen werden die auch nur sehr selten eingesetzt, ne? Da haben wir halt eigentlich alle gesagt, okay, so in der Gesamtabwägung ist das eigentlich ein relativ weises Urteil, weil 00:09:21.265 --> 00:09:27.352 man sagt, okay, man will ihnen dieses Mittel nicht vollständig verbauen, aber man will's halt so schwer machen, dass sie's wirklich nur selten einsetzen. 00:09:27.406 --> 00:09:35.181 Und dann steht da so mittendrin so also wirklich so 'ne Stelle die logisch irgendwie kaum passt steht dieser eine Absatz 00:09:35.134 --> 00:09:37.861 Quellentelekommunikationsüberwachung, ne? Und die 00:09:37.838 --> 00:09:46.244 mich bis heute frage wie äh unter welchen Umständen ist denn der da so reingeraten und der liest sich halt total Lastminute so, also das ist halt so ein. 00:09:45.944 --> 00:09:49.133 Der, der sozusagen sagt, es sei denn, man beschränkt sich. 00:09:48.883 --> 00:09:50.180 Auf die Telekommunikation. 00:09:49.930 --> 00:09:52.271 Auf auf das und dann ist das alles nicht so schlimm. 00:09:52.452 --> 00:10:01.802 Und das Hauptproblem dabei ist halt, dass die ähm also wenn man sich die Technik anguckt, dann ist halt so ein Quellentelekommunikationsüberwachungstrojaner, ist eigentlich eine Raumwanze. 00:10:02.451 --> 00:10:06.134 Ne, also der nimmt halt Raumakustik auf. 00:10:06.423 --> 00:10:12.480 Aber nur dann, so die Ermittler, wenn äh telefoniert wird. Also wenn der Scup benutzt zum Beispiel. 00:10:12.919 --> 00:10:27.226 Ne, das heißt also, die sozusagen eine ja, bedingungsabhängige Raumwanze. So und wenn wir uns halt angucken, was so zum Beispiel bei diesem Digital-Strojaner der Fall war, die konnten halt nicht mal zuverlässig sagen, welche Software da gerade lief. So, also das war halt jetzt auch nicht, also. 00:10:26.926 --> 00:10:31.553 Ist ja auch nicht so, dass das Betriebssystem einem das jetzt einfach mal so ohne weiteres darlegen würde, beziehungsweise 00:10:31.391 --> 00:10:39.472 es könnte das vielleicht dann tun, wenn sich so ein Trojaner halt äh hauptamtlich anmeldet als hallo, ich bin der Trojaner 00:10:39.437 --> 00:10:47.338 mir doch mal bitte mit, wann ich abhören äh kann, so als wäre das so ein so eine Art Systemdienst. Ich glaube, so so wird das irgendwie auch gesehen teilweise. 00:10:47.038 --> 00:10:54.429 Naja gut, ich meine, der digitales Trojaner hatte ja äh eine ganze Reihe von Features, über die man eher schmunzeln kann, also weil die äh weil das Bundesverfassungsgericht. 00:10:54.129 --> 00:10:54.910 Warte mal kurz, 00:10:55.006 --> 00:11:08.406 Damit wir zeitig mal das äh auch klarkriegen. Also wir hatten jetzt sozusagen die Vorgeschichte Onlinedurchsuchung, die Entscheidung, da fiel sozusagen diese ganze Einschränkung von elektronischer Verwanzung äh mit an mit dem Urteil, eben mit dieser, 00:11:08.443 --> 00:11:22.738 Quellenthek online Kommunikation, Ausnahme und äh jetzt ist ein bisschen Zeit vergangen und dann hatten wir zweitausendelf den Fall, dass eben von einem weiteren Staatstrojaner äh Kenntnis erhalten wurde. 00:11:22.967 --> 00:11:24.805 Welches Falles. 00:11:24.505 --> 00:11:33.981 Genau, ein, ein letztes äh Sätzchen müssen wir noch einschieben zu dem Karlsruher Urteil, weil das gleich wieder wichtig wird. Und zwar ähm das Stichwort Grenzen. Also, 00:11:33.987 --> 00:11:44.851 wie gesagt, ist in der die Quellen-TKÖ, sondern Ausnahme von dem Grundrecht, gilt nur für laufende Kommunikation und sie, dass diese Ausnahme auch eingehalten wird, muss sichergestellt werden. Das steht in der Entscheidung 00:11:44.659 --> 00:11:52.429 ausdrücklich drin und zwar durch technische Maßnahmen und auch durch rechtliche Maßnahmen. Das hat Karlsruhe ausdrücklich entschieden. Also es reicht nicht einfach nur das 00:11:52.297 --> 00:11:55.607 dass tatsächlich nur laufende Kommunikation mitgeschnitten wird 00:11:55.392 --> 00:12:13.382 sondern ähm technisch und rechtlich muss die Maßnahme, die da durchgeführt werden soll, auch tatsächlich beschränkt werden auf laufende Kommunikation und das ist in der Tat der Clou, ähm du hast es gerade schon angeschnitten, der nächste Trojaner, der hochpoppte, war nämlich zweitausendelf, der sogenannte Digitalstrojaner auch bekannt geworden als Bayern Trojaner 00:12:13.154 --> 00:12:20.203 oder unter dem Stichwort o'zapft ist, denn der ist ja dem CCC zugespielt worden und dann ausführlich analysiert worden, Frank. 00:12:20.221 --> 00:12:26.855 Genau, da haben wir halt von einem Anwalt eines Betroffenen ähm zuerst mal eine Anfrage bekommen so ähm. 00:12:27.210 --> 00:12:41.048 Würdet ihr denn mal gucken wollen. Ähm und das ging dann halt auch weiter. Also wir haben dann halt äh noch einen zweiten Anwalt gefunden, der halt irgendwie einen ähnlichen Fall hat und die hatten halt denen waren halt Sachen aufgefallen, dass die halt tausende von Screenshots in den Akten hatten. Ne, also da waren halt. 00:12:41.163 --> 00:12:44.125 Screenshots von Chats, so von Chat-Kommunikation. 00:12:43.825 --> 00:12:46.318 Fünfzigtausend an der Zahl. Ja, eine ganze CD vor. 00:12:47.310 --> 00:12:51.600 Ne, also dann haben die sich halt gefragt, ja so, wie geht denn das so? Und dann haben wir dann. 00:12:51.739 --> 00:12:58.817 Hat so weiter gedauert und hin und her und so und am Ende hatten wir halt eine Festplatte von ähm von einem von den Betroffenen und dann noch von einem anderen Betroffenen 00:12:58.805 --> 00:13:11.682 mit der Maßgabe, dass wir die halt analysieren können und dort auch publizieren können, aber halt natürlich die Platten halt den Betroffenen gehören. Und ähm was da halt drauf war, war halt dann eben dieser dieser sogenannte Bayern Trojaner. 00:13:12.710 --> 00:13:22.294 Von Digitalsquare ähm und der ähm na ja, also die die Qualität dieses Trojaners ist halt schon so eher so ein Praktikantenjob so, ne. 00:13:21.994 --> 00:13:25.455 Also digital ist es ein deutsches Unternehmen. Genau. Gewesen. 00:13:24.158 --> 00:13:36.223 Genau, die halt früher, was hatten die gemacht, die hatten irgendwie so Probleme, dass sie irgendwie andere Behördensoftware gemacht haben und dann da rausgeflogen sind wegen irgendwie schattiger Geschichten und so. Da ach so, ah ja, sogar. 00:13:33.946 --> 00:13:47.418 Ja, wegen Bestechung. Ja, ja, die hatten die hatten so schmutzige Deals mit dem Zollkriminalamt gemacht. Ich glaube, in Köln sitzt das. Und da sind auch Leute verurteilt worden wegen Bestechung oder Bestechlichkeit. Das ist genau und daraufhin waren die so ein bisschen auf dem Abstellgleis, soweit ich mich erinnere. 00:13:47.629 --> 00:13:50.879 Reuter-Affäre. So heißt das. 00:13:50.784 --> 00:14:03.895 Naja gut und die ähm ja und dieser Digitastrojaner, der konnte halt eigentlich alles, also das war halt so ein äh also ja ziemlich zusammengeschustert, hat die Daten über Proxiserver in den USA übertragen, auch sehr heikel. 00:14:04.190 --> 00:14:11.971 Unverschlüsselt genug und war halt von außen explodbar, das heißt also, wenn konnte halt also tatsächlich den den Trojaner selber nochmal 00:14:11.846 --> 00:14:21.568 als äh Einfallstor benutzen in den infizierten Rechner. Also war halt quasi die maximale Möglichkeit, dass es halt so. Und 00:14:21.526 --> 00:14:29.572 ähm daraufhin denke ich mal, ist dann halt auch der äh dieser ganze Fahrplan, den es BKA schon nach dem äh, 00:14:29.644 --> 00:14:39.403 Verfassungsgerichtsurteil hatte, dass sie sagten, okay, wir brauchen aber trotzdem Trojaner und wir müssen jetzt da mal ran und so auch nochmal drastisch verzögert worden, ne? Deswegen haben die jetzt halt auch so lange gebraucht, weil die halt, 00:14:39.481 --> 00:14:48.633 ähm wissen, dass wann immer sie jetzt diesen Trojaner einsetzen, die Wahrscheinlichkeit groß ist, dass er am Ende gefunden und analysiert wird und dann das ganze Theater noch mal von vorne losgeht, so, ne. 00:14:48.459 --> 00:14:51.415 Der Witz bei diesem Digitastrojaner war, dass der im Grunde 00:14:51.319 --> 00:15:05.957 Voraussetzungen, die Karlsruhe aufgestellt hatte, zum Einsatz zu Quellen TKÜ eben nicht erfüllt hat, ne? Frank hat gerade hier schon sehr schön beschrieben, dass der technisch nicht beschränkt war auf laufende Kommunikation, sondern das war quasi der Full Take, ne, der konnte alles, der konnte sogar in 00:15:05.699 --> 00:15:15.577 Dateien hochladen, ne? Der Club hat da ja so einen sehr schönen äh quasi Client geschrieben, ne, mit dem man da irgendwie Excels hochladen und starten konnte. Ja, das hat der Trojaner alles brav gemacht. Also der hat die 00:15:15.385 --> 00:15:25.348 technischen Grenzen, der Quellen TKI nicht sichergestellt. Aber, und das äh war dann in der politischen Diskussion fast das größere Problem. Der hatte auch Rechtlich keine saubere Grundlage. 00:15:25.168 --> 00:15:42.480 Denn der ist ja eingesetzt worden im Strafverfahren, das heißt also auf Grundlage der Strafprozessordnung und die Strafprozessordnung kennt aber überhaupt kein äh kein Gesetz um Trojaner einzusetzen. Die kennt halt nur an Gesetz für die normale Telekommunikationsüberwachung, also quasi Handy abhören oder Internetzugang mitschneiden 00:15:42.318 --> 00:15:50.298 und ähm dieses Gesetz haben die Ermittler aber ähm entgegen der Karlsruher Entscheidung trotzdem genutzt, um eine 00:15:50.202 --> 00:15:56.607 durchzuführen, also gab es weder eine technische Begrenzung auf laufende Kommunikation, noch gab es eine geeignete Rechtsgrundlage. 00:15:56.776 --> 00:16:05.909 Und das zieht sich bis heute durch. Äh das ist also einige wenige ähm gibt, die sagen, ist uns Wurscht, ob's ein Spezialgesetz gibt, wenn's irgendein Gesetz gibt 00:16:05.705 --> 00:16:15.518 das Telekommunikationsüberwachung rechtfertigt, dann setzen wir halt auch gnadenlos Trojaner ein, denn welches Mittel man einsetzt, ja völlig wurscht, Trojaner oder Nicht-Trojaner, Hauptsache lauschen. 00:16:15.650 --> 00:16:19.964 Und ähm da kommen wir vielleicht gleich nochmal zu, warum das eigentlich so problematisch ist. 00:16:19.670 --> 00:16:29.074 Ne, also diese diese Ermittlerkreativität, die ja dann doch immer wieder da durchschlägt so, äh die zeigte sich ja eigentlich in diesem gesamten Verfahren auch, ne? Also das ist also der. 00:16:29.189 --> 00:16:34.981 Die dann halt doch 'ne relativ großzügige Interpretation der Strafprozessordnung an den Tag legen, um 00:16:34.964 --> 00:16:43.520 ähm ja gut, ich meine, man kann's ja in gewisser Art und Weise verstehen, ja. Sie wollen halt zum Ziel kommen, sie wollen halt irgendwie äh Leute überführen so 00:16:43.478 --> 00:16:48.285 in dem Fall, den sie da hatten, äh also was so die bekannt gewordenen Fälle angeht 00:16:48.196 --> 00:16:59.420 war das ja halt auch eher so Pillepalle, ja irgendwelche Anabolika-Schmuggler oder sowas, ja also so irgendwie nichts wo du jetzt irgendwie sagst, okay da kann man mal die große Chor des Rechtsstaats auspacken. Auch anders zum Ziel gekommen und 00:16:59.390 --> 00:17:08.974 die diese aber diese Art zu denken so und dann halt auch so beleidigte Leberwurst zu sein so nach dem Motto jetzt habt ihr dieses Spielzeug weggenommen, wie sollen wir denn jetzt unseren Job machen? 00:17:08.837 --> 00:17:21.011 Die wir im Nachhinein dann auch immer wieder zu zu merken so, ne? Also so die also auch gerade so BKA Vertreter oder auch für den LKAs auf der Bühne war oder ein Kind von mir geredet hat, kam auch immer wieder so eine gewisse 00:17:20.951 --> 00:17:28.834 angepault halt dabei rüber so ein irgendwie so ja irgendwie ihr hindert uns daran irgendwie die bösen Jungs zu fangen so irgendwie. 00:17:28.534 --> 00:17:32.488 Vielleicht auch wirklich vorhaben so, also. 00:17:32.416 --> 00:17:38.755 Klar plus der Punkt ist halt, also ich meine diese als wir diesen, diesen Trojaner hatten und dann die. 00:17:39.345 --> 00:17:52.750 Veröffentlichung klar war und äh das Timing auch klar war, ähm da haben wir ja dann natürlich probiert zu sagen, okay wir wir versuchen uns halt irgendwie fair zu verhalten und haben halt dem Innenministerium bisher Bescheid gesagt, ne? Also wir haben ja Bescheid gesagt, so pass auf 00:17:52.709 --> 00:17:58.501 Ist jetzt Freitag ähm so ähm Montag kommt irgendwie die die Publikation. Ich glaube, ist auf dem Montag. 00:17:58.201 --> 00:18:00.010 Nee, Sonntag, das war die die FAZ am Sonntag. 00:17:59.710 --> 00:18:07.016 Am Sonntag, genau. Ja, sie haben, glaube ich, Freitag, Donnerstag oder Freitag Bescheid gesagt, dass ihr das hier Zeit hatten, die Trojaner abzuschalten, so, ne? Ähm. 00:18:07.311 --> 00:18:11.817 Auch da war das schon so ein also so eine 00:18:11.806 --> 00:18:26.341 so eine Attitüde so wie ja wie ihr dringt hier in unseren hochherrschaftlichen Bereich ein, ja? So ein so ein wie könnt ihr nur so, ne? Also so eine so nicht mal, also die hatten nicht im geringsten irgendwie so einen Scheiß jetzt habt ihr uns erwischt. Ding so, sondern eher so ein so eine, 00:18:26.396 --> 00:18:32.344 wie was was wagt ihr euch hier irgendwie in in in diesen Sphären irgendwie herumzutreiben, Attitude, ja. 00:18:32.098 --> 00:18:41.502 Ja und das ist nämlich, das ist nämlich wirklich eine interessante Mentalität. Also ich persönlich äh habe überhaupt kein Problem damit, ähm wenn Ermittler sagen, wir müssen Verbrecher fangen. Das ist deren Job, ne? 00:18:42.001 --> 00:18:47.307 Ganz ehrlich, ich bin auch ganz froh, wenn die so einen gewissen Jagdinstinkt haben, wenn man sich mal anguckt, wie die Polizei bezahlt wird, also, 00:18:47.367 --> 00:18:57.144 Geld kann man's nicht machen. Da da man muss da schon mit Überzeugung dahinterstehen. Das finde ich eigentlich sogar sympathisch, sonst funktioniert's ja nicht. Das Problem ist eben nur, ähm man kann das Recht nicht schützen, indem man das Recht. 00:18:57.757 --> 00:19:11.746 Das ist das alte Problem in einem Rechtsstaat, ne? Es gibt eben bestimmte Spielregeln für die Polizei, für die Justiz, für die Geheimdienste und die müssen eingehalten werden, sonst geht im Grunde alles den Bach runter, ja? Wenn also selbst die Polizei, wenn die Gesetzeshüter sich nicht mehr ans Gesetz halten, was ist denn dann eigentlich noch sicher? 00:19:11.812 --> 00:19:22.772 Und dann hat auch zum Beispiel das Parlament keine Kontrolle mehr, ne? Das muss man ganz klar sagen. Das äh das Parlament regiert ja im Wesentlichen über Gesetze und wenn die nicht mehr eingehalten werden, dann haben wir alle nichts mehr zu sagen. Da macht die Polizei zum Beispiel, was sie will, 00:19:22.851 --> 00:19:29.803 Und das ist auch so mein Problem, das ich habe mit diesem Trojaner-Einsatz ohne geeignete Rechtsgrundlage. Also ich verstehe schon, wie Frank auch sagt 00:19:29.659 --> 00:19:41.647 dass die gerne Trojaner einsetzen wollen, aber das wollen sie dann eben sauber machen und Rechtsgrundlagen gibt's dazu eben bislang nur im BKA-Gesetz und auch nur für die präventive Terrorismusabwehr, eben gerade nicht 00:19:41.503 --> 00:19:50.540 für normale Strafermittlungen. Wenn man das will, dann soll der Bundestag das eben einführen. Aber der Witz ist ja, dass nach dem Karlsruher Urteil ähm der Bundestag durchaus 00:19:50.499 --> 00:19:55.750 spezielle Gesetze geschaffen hat, aber eben nur für das Bundeskriminalamt zur Terrorismus 00:19:55.672 --> 00:20:04.223 der Bundestag hat sich also bewusst entschieden, nur zwei ganz bestimmte Gesetze zu schaffen für Onlinedurchsuchung und Quellen-Ticker für das BKA zur Terrorismusabwehr. 00:20:04.055 --> 00:20:14.240 Das normale Strafverfahren hat der Bundestag das nicht geregelt und zwar im Bewusstsein dessen, was Karlsruhe gesagt hat. Und das kann doch nur bedeuten, der Gesetzgeber will eben nicht, dass das im Strafverfahren eingesetzt wird und 00:20:14.217 --> 00:20:22.100 das muss man dann eben auch einhalten als Ermittler. Also für mich ist das einigermaßen unfassbar, dass jetzt ein Trojaner, wie das BMI sagt, ähm doch wieder im Strafverfahren eingesetzt. 00:20:22.010 --> 00:20:35.650 Also zumal halt das große Problem, also der damals, dass die ähm der Trojaner im im für die Terrorabwehr zugelassen wurde, ähm hat ja auch durchaus einen rechtstrogmatischen Hintergrund, nämlich dass halt ähm in dem Fall, wo man halt einen. 00:20:35.849 --> 00:20:48.233 Trojaner auf so einen Rechner aufbringt, ist halt die Beweisintegrität dieses Systems ja irgendwie hochgradig fragwürdig, ne? Also du kannst ja nicht mehr sagen, nachdem du halt angefangen hast, da falls rauf zu spielen, also wenn man normale Computerforen sich macht so, dann 00:20:48.162 --> 00:20:55.895 wenn du halt Beweissicherung machst auf den digitalen Gerät, dann ist das allerletzte was du tun willst ist irgendein Wald auf diesem Gerät verändern 00:20:55.805 --> 00:21:04.794 Ne, also weil du dann kannst du eigentlich nur noch so bedingte Aussagen darüber treffen, äh was jetzt auf diesem Gerät drauf war. Also und ähm halt, wenn da so ein Trojaner drauf ist. 00:21:04.494 --> 00:21:07.613 Ein bisschen wie mit einer offene Chipstüte auf den Tatort kommen so, ne? 00:21:07.313 --> 00:21:15.659 Ja genau, so halt so mal mit dreckigen, dreckigen Botten und offener Chipstüte da lang laufen und irgendwie seine Haarschuppen verteilen, ja. Und die ähm und diese 00:21:15.605 --> 00:21:29.432 Diese Integrität ähm des Beweismittels ist ja fürs Strafverfahren relativ wichtig. So, wir haben ja in Deutschland halt zwar eine relativ Lachse, äh Struktur der Beweiswürdigung, das heißt, der Richter kann im wesentlichen würdigen, was er will. Aber trotzdem ist natürlich so, dass in dem Augenblick, wo ich jetzt 00:21:29.294 --> 00:21:39.172 Verteidigen müsste, der halt ein kindoralisierten Rechner hat und ist da zum Beispiel immer Anwesenheit von bestimmten Falls auf diesem Rechner geht. So, dann wäre natürlich das allererste, was die tun, wo du diesen Trojan auseinandernehmen. 00:21:39.521 --> 00:21:53.179 Oder mich darauf berufen, Entschuldigung, offensichtlich hat, hat dieser Computer Sicherheitslücken, weil sonst wäre der mit dem Trojaner gar nicht drauf gekommen. Äh keine Ahnung, wie diese Fallzahl drauf gekommen sind. Ne, also ist halt eine offensichtliche Verteidigung, die tatsächlich auch schon ein paar Mal benutzt wurde. 00:21:53.799 --> 00:22:02.794 In dem Fall ging's dann halt um Rechner, die ähm kriminell troanisiert wurden. Und die äh deswegen ist halt die die Verwendung im Strafverfahren, wo man Beweise. 00:22:02.951 --> 00:22:16.765 Gerichtsfest sichern muss, äh mit so einem Trainer natürlich massiv schwierig und das war auch einer der Hintergründe, warum sie erstmal gesagt haben, okay, na gut, wir brauchen uns für die Terrorabwehr, wo es halt vielleicht nicht unbedingt direkt um Strafverfahren geht, sondern um Verhinderung von Straftaten und vorhinein, äh wo es, 00:22:16.766 --> 00:22:18.388 die Anforderungen halt doch nicht so groß. 00:22:18.118 --> 00:22:29.011 So ein bisschen der digitale V-Mann, ne, so äh man schleust das sozusagen in dieses System ein und am Ende äh kann man das System gar nicht mehr bewerten, weil es schon komplett unterwandert ist und man gar nicht mehr weiß, was von. 00:22:28.958 --> 00:22:31.157 Ja, das ist das ist eben genau das Problem, nicht. 00:22:30.863 --> 00:22:32.190 Eingeschleust wurden. 00:22:31.890 --> 00:22:41.090 Das ist auch der Grund, weswegen diese Unterscheidung Trojanereinsatz quasi im großen Stil online durchsuchen und Quellenticker, Iso problematisch ist, weil eben die Integrität des Systems 00:22:40.886 --> 00:22:50.368 durch jeden Trojaner ja im Prinzip gleichermaßen beeinträchtigt ist, ne? Drin ist drin, ja? Ähm das kann man allenfalls dann einfangen, wenn die Software 00:22:50.158 --> 00:23:01.340 im Detail geprüft ist. Also wenn man wirklich ganz genau weiß, was für ein ist da eingespielt worden, wenn das signiert ist und wenn die Quelltexte von irgendeiner unabhängigen Stelle überprüft worden sind, ne? Wir wissen alle, wie schwer das überhaupt ist, 00:23:01.142 --> 00:23:17.300 Software darauf hinzuprüfen, was sie nicht kann, ne? Man kann natürlich gucken, was macht die denn da eigentlich, aber welche Easter noch versteckt sind ähm das ist von außen eben so, sagen wir jedenfalls äh alle ITler und das ist, glaube ich, auch die Position des Clubs seit ewigen Zeiten. Das ist von außen eben einfach nicht sicherzustellen. 00:23:17.072 --> 00:23:25.413 Und wenn man das sicherstellen will, gibt's eigentlich nur Quelltextprüfungen äh und bauen äh und signieren unter kontrollierten Bedingungen. Alles andere ist letztlich Voodoo. 00:23:25.191 --> 00:23:35.153 Und selbst dann hast du halt ein Problem. Es gibt ja diesen schönen, vielleicht kannst du ja noch an die Links tun, den anderen C-Contest. Kennst du den? Das ist ein ein Wettbewerb, der äh darum. 00:23:35.280 --> 00:23:39.991 Darum der Hände genau. 00:23:40.117 --> 00:23:48.980 Da geht es darum den eine also Software zu schreiben die eine bestimmte Aufgabe erfüllt ohne dass man das Code ansieht. 00:23:49.533 --> 00:23:51.198 Ne? Und ähm, 00:23:51.276 --> 00:24:04.922 Also das äh wenn man da halt so reinguckt so was was da halt so geht, dann denkst du dir so, naja also Gott, South Code ordet gegen Leute, die nicht wollen, dass ihr South geordnet wird, ist halt äh auch eine echt schwierige Sache so. Und ähm, 00:24:04.935 --> 00:24:12.283 Also damit kann man halt auch relativ schön zeigen so mit den mit den mit den Gewinnern von den Contesten. Ähm wie, 00:24:12.380 --> 00:24:26.711 Also wie schwierig ist es halt eben diese Aussage zu treffen, dass man halt mit Sicherheit sagen kann, äh was dieser Trojaner tatsächlich jetzt tut oder nicht tut oder ob er nicht doch noch eine versteckte Nachladefunktion hat, die du halt über irgendeiner äh irgendeinen 00:24:26.700 --> 00:24:31.278 Eine legale Funktion zum Beispiel aktivierst. Ja und das ist halt eine ähm 00:24:31.164 --> 00:24:45.802 eine Schwierigkeit, die auch nicht weggehen wird, so und wo man halt nur sagen kann, okay, man kann halt mit hohem Aufwand und irgendwie viel Mühe und viele Augen gucken drauf, äh denen die Wahrscheinlichkeit, dass sowas da drin ist, halt reduzieren. So, aber man kann's das nicht 00:24:45.712 --> 00:24:48.368 kannst du heute nicht absolut sicherstellen. 00:24:48.074 --> 00:24:53.578 Kann man nicht, ne? Aber trotzdem denke ich ähm wir hatten das Stichwort hier eben auch schon mal ähm. 00:24:53.999 --> 00:25:00.344 Trojanern, glaube ich, eine der zentralen Fragen eigentlich die Vertrauenswürdigkeit des Einsatzes, ne? Wir haben eben schon gesagt 00:25:00.176 --> 00:25:12.001 im Prinzip ist drin erstmal drin, wenn man auf dem Rechner ist, wenn man da irgendwelche Software fernsteuern kann, dann kann man prinzipiell so ziemlich alles machen auf dem System und deswegen ist die Frage, wie fängt man diese, 00:25:12.026 --> 00:25:19.176 unbeschränkten Möglichkeiten eigentlich wieder ein. Und ich denke, äh irgendeine Form äh den Trojaner wirklich effizient zu kontrollieren, ist, 00:25:19.267 --> 00:25:30.762 ist einfach zwingend erforderlich in einem Rechtsstaat, damit man eben dieses Vertrauen herstellen kann. Ich meine, die Sicherheitsbehörden haben zweitausendelf mit dem Bayern Trojaner, jedenfalls bei mir, erhebliches Vertrauen verspielt, denn 00:25:30.546 --> 00:25:36.278 auch da, das darf man ja nicht vergessen, gab es ja Ermittlungsrichterliche Anordnungen und es wurde immer hoch und heilig versprochen, 00:25:36.062 --> 00:25:44.607 machen hier nur Quellenticker über und was dann tatsächlich passiert ist, ähm war eben eine komplette Onlinedurchsuchung. Das muss man einfach so deutlich sagen. Das heißt also, da wurde ein 00:25:44.427 --> 00:25:54.317 Bürger oder wurden es waren ja mehrere Trojanereinsätze, also mehrere Bürger mit verfassungswidrigen Mitteln ausgespäht, nicht? Das ist in einem Rechtsstaat so ziemlich der Gau. Und ähm und insofern muss man sagen, was das 00:25:54.258 --> 00:25:58.115 blinde Vertrauen angeht, nachdem unter die Polizei wird sich schon ans Gesetz halten 00:25:57.917 --> 00:26:12.759 ähm damit kommt man jedenfalls auf diesem Gerichtsgebiet, denke ich, nicht weiter und ähm das ist jetzt nicht mal nur unbedingt der Tatsache geschuldet, dass die alle äh quasi böse Jungs wären, im Gegenteil, es ist eben auch vieles einfach Graubereich, nicht was ist denn eigentlich laufende Kommunikation, wir hatten eben schon das Stichwort, 00:26:12.778 --> 00:26:20.283 Screenshots, ja? Ähm da wurde dann damals argumentiert, naja, wenn ich mit einem Screenshot äh ein Chatfenster. 00:26:20.391 --> 00:26:34.085 Bilde, dann ist das ja schließlich die Abbildung laufender Kommunikation, also darf ich das, ne? Und dabei wurde ausgeblendet, dass auf dem Bildschirm natürlich mehr zu sehen ist als nur das Chatfenster und außerdem sehe ich natürlich dann auch, was jemand in seinem Chatfenster gerade, 00:26:34.104 --> 00:26:49.180 was aber möglicherweise noch gar nicht über die Leitung geht, hängt so ein bisschen von der Chatsoftware ab, ne? Aber möglicherweise muss ich ja nochmal unterdrücken. Das heißt also, das ist grade noch keine laufende Kommunikation bis dahinter gedrückt worden ist. Und insofern ist es einfach schon mal gar nicht so einfach zu definieren, was ist eigentlich laufende Kommunikation und das möchte ich 00:26:48.976 --> 00:26:56.049 eigentlich jetzt ähm auch nicht irgendwelchen Polizeibeamten überlassen und zwar einfach deswegen, weil die verständlicherweise und ja auch 00:26:55.917 --> 00:27:05.146 irgendwie erwünschter Weise so einen gewissen Jagdtrieb haben, ne? Und dann im Zweifel eben die Grenzen der laufenden Kommunikation äh auch gerne mal überschreiten. Oder ein anderes Beispiel ist, ähm 00:27:04.990 --> 00:27:16.299 PGP, ja, also verschlüsselte E-Mails, da weiß man ja, wenn man die, wenn man da auf Senden drückt, dann gibt's im Grunde passieren zweierlei. Erstmal wird die E-Mail verschlüsselt, lokal und dann gibt's eine verschlüsselte Version und erst die geht über die Leitung. 00:27:16.414 --> 00:27:22.512 Ehrlich ist. Ähm ist Gegenstand der laufenden Kommunikation nur die verschlüsselte E-Mail, 00:27:22.519 --> 00:27:32.470 Aber äh da mache ich mir keine Illusionen. Selbstverständlich werden die Ermittler im Zweifel ähm schon einen Schritt vorher ansetzen, bevor da irgendwie kommuniziert wird, werden die natürlich die E-Mail 00:27:32.230 --> 00:27:50.845 die dann ins GPG oder ins reingeschoben wird äh mitschneiden wollen, obwohl das streng genommen eben gerade keine laufende Kommunikation ist, ne? Die werden halt argumentieren, das verschlüsseln und das Absenden, das ist doch irgendwie ein Vorgang und das ist alles laufende Kommunikation, aber wenn man ehrlich ist, das ist gerade keine laufende Kommunikation. Wirklich kommuniziert wird, nur die verschlüsselte E-Mail 00:27:50.696 --> 00:27:54.865 und ich kann mir beim besten Willen nicht vorstellen, dass das die Polizei freiwillig einhalten wird. 00:27:55.497 --> 00:28:06.577 Du hast gesagt, dass jetzt die aktuellen Ziele sind jetzt nicht nur im Ausnahmefall, sondern auch bei normalen Strafverfahren äh zum Einsatz gebracht zu werden, die Trojaner. 00:28:06.277 --> 00:28:08.470 So sagt es das BMI, genau. Wir hatten. 00:28:08.170 --> 00:28:10.789 Ohne ohne tatsächliche Rechtsgrundlage muss man dazu sagen. 00:28:10.489 --> 00:28:17.279 Genau, also das, das ist zum Beispiel mal wieder, das muss man auch mal deutlich sagen, ein Verdienst von Netzpolitik, nicht, die die Presse hat im Großen und Ganzen 00:28:17.141 --> 00:28:26.070 entweder gar nicht nachgehakt oder einfach kommentarlos abgedruckt, was der BMI-Sprecher gesagt hat. Netzpolitik hat mal nachgehakt und hat einfach mal gefragt, liebe Leute, was ist denn jetzt eigentlich. 00:28:25.993 --> 00:28:27.090 Politik Punkt org. 00:28:27.495 --> 00:28:29.015 Also Markus und seine Leute, 00:28:29.051 --> 00:28:40.132 Netzpolitik Punkt org, die haben mal genauer nachgehakt und haben gefragt na ja auf welcher Rechtsgrundlage soll denn eigentlich der Trojaner zum Einsatz kommen? Wir haben eben schon gesagt, richtig saubere Rechtsgrundlage gibt's nur im BKA-Gesetz, ne, Terrorabwehr. 00:28:39.904 --> 00:28:47.174 Das steht natürlich in der Antwort des BMI auch drin. Daneben aber sagt das BMI, der Trojaner soll eingesetzt werden im Strafverfahren, 00:28:47.259 --> 00:28:59.853 Wie gesagt, ohne Rechtsgrundlage und außerdem auch von den Geheimdiensten, wo es eben auch keine Rechtsgrundlagen gibt, jedenfalls keine spezifische für den Trojanereinsatz, ne. Ähm die wollen das im Grunde überall einsetzen, wo im Gesetz irgendwas von Telekommunikationsüberwachung steht, 00:28:59.962 --> 00:29:02.984 ähm und dabei völlig ausblenden, dass das 00:29:02.919 --> 00:29:18.548 eben keine normale Telekommunikationsüberwachung ist, sondern ein Trojanereinsatz, aber das steht in der Anfahrt sogar ausdrücklich drin, ein Trojaner ist nach BMI einfach nur eine spezielle Form der Telekommunikationsüberwachung und das dabei Rechner eben mit Schadsoftware infiziert werden, wird komplett ausgeblendet. Das finde ich schon äh 00:29:18.338 --> 00:29:23.776 Also gerade im Licht der Bundesverfassungsgerichtsentscheidung und im Lichte des Bayern Trojaners Skandals ein starkes Stück. 00:29:23.824 --> 00:29:28.595 Was ja auch äh kritisiert wurde, äh unter anderem von Gerhard Baum. 00:29:28.710 --> 00:29:43.119 Ist, dass jetzt vor allem das ganze jetzt durchgezogen wird, obwohl im April nochmal eine neue Entscheidung in dieser Thematik ansteht. Was was für eine Entscheidung steht da konkret an? 00:29:43.306 --> 00:29:52.427 Sie haben ja gerade gesagt, es gibt eigentlich nur zwei klare Grundlagen bislang für den Trojanereinsatz. Das sind eben diese beiden Paragraphen zwanzig K und zwanzig L im BKA-Gesetz. 00:29:52.223 --> 00:30:02.606 Und ähm eine ganze Reihe von Paragrafen, unter anderem diese beiden aus dem BKA-Gesetz sind schon seit vielen Jahren bei dem Bundesverfassungsgericht wieder angegriffen. Da gibt's auch eine Verfassungsbeschwerde von 00:30:02.372 --> 00:30:04.733 Baum und Hirsch und noch ein paar anderen Leuten 00:30:04.523 --> 00:30:16.529 und da war im vergangenen Juli eine mündliche Verhandlung da war für den Club Konstanze kurz als Sachverständiger geladen, ich war da für Amnesty International und Netzpolitik Punkt org als Sachverständiger geladen 00:30:16.391 --> 00:30:24.978 Und in dieser Verhandlung ging es um ganz vieles. Das war ein ganzer Tag mitten, wo ganz viele Aspekte des BKA-Gesetzes durchleuchtet wurden. Unter anderem 00:30:24.870 --> 00:30:30.446 aber auch diese beiden Normen zum Trojanereinsatz. Und ähm das war vor allem deswegen so lustig, 00:30:30.543 --> 00:30:41.064 weil die auch als Experten geladen hatten, den Ermittlungsrichter des Amtsgerichts Wiesbaden ja, der also dort zuständig ist, Wiesbaden war, dass BKA dort seinen Sitz hat, ähm um Trojanereinsätze anzuordnen 00:30:40.957 --> 00:30:47.404 ja? Äh also nicht etwa irgendwie in drei Richtergremium, Landgericht irgendwie sonst was. Nein, der Amtsrichter, der sonst eben 00:30:47.284 --> 00:30:54.356 irgendwie Wohnungsdurchsuchung anordnet und Blutentnahmen, der Amtsrichter macht dann eben mal Trojaner-Einsätze 00:30:54.255 --> 00:31:04.199 man muss sagen, das war ein sehr engagierter Kollege, aber der hat mal so ein bisschen Einblick gegeben, wie das eigentlich läuft, wenn da so ein Trojaner eingesetzt werden soll. Und da sagte dann so, naja, da kam dieser Antrag. 00:31:04.404 --> 00:31:11.662 Und äh ja, Trojanereinsatz hatten wir auch noch nichts von gehört vorher, da haben wir das mal gegoogelt, worum geht's denn da eigentlich? Und dann haben wir mal ins Gesetz. 00:31:11.873 --> 00:31:16.139 Und ja, da steht ja auch relativ wenig drin, wie das genau laufen soll 00:31:15.929 --> 00:31:27.496 Und dann hat er also ganz offen zugegeben, er hat sich da im Wesentlichen mit seinen Amtsrichterkollegen in der Kaffeerunde beraten, wie so ein Trojanereinsatz rechtsstaatlich ablaufen sollte. Und dann hat er im Grunde Kraft seiner eigenen Kreativität sich mal überlegt, 00:31:27.527 --> 00:31:37.027 müsste man das machen? Und hat da irgendwie so einen, ich glaube, sechsseitigen Beschluss geschrieben. Und ich mein, Respekt, ja, dass er sich so viel Mühe gegeben hat, das ist im Zweifel ja überdurchschnittlich viel Mühe 00:31:36.913 --> 00:31:40.626 aber auf der anderen Seite kann das ja nicht wahr sein, ja, dass da irgendwie ein Amtsrichter, der 00:31:40.530 --> 00:31:53.461 Offensichtlich von der Technik völlig überfordert ist, ähm dann so kreativ werden muss und sich überlegen muss, was sind eigentlich die Spielregeln für den Trojanereinsatz, weil der Gesetzgeber dazu eben keine Spielregeln geschrieben hat? Das kann ja nicht wahr sein. Und ähm das war auch sehr deutlich. 00:31:53.913 --> 00:31:57.067 Dass die Richterinnen und Richter des ersten Senats völlig schockiert waren 00:31:56.881 --> 00:32:16.206 Also als die hörten, wie so ein Trojaner in der Praxis von der Leine gelassen wird, da konnte man entsetzen bis Panik auf den Gesichtern sehen und ähm man weiß nie, was das Bundesverfassungsgericht entscheidet. Aber ich würde damit rechnen, dass sie den Gesetzgeber da nochmal zum Nacharbeiten verpflichten und sagen, wenn schon Trojaner, dann muss der Gesetzgeber auch klare Spielregeln schreiben 00:32:16.014 --> 00:32:23.417 was die Quellen angeht, muss eben in diesen Spielregeln auch drin stehen, wie die Beschränkung auf die laufende Kommunikation eigentlich sichergestellt werden kann. 00:32:23.459 --> 00:32:29.300 Hat eigentlich dieser Amtszüchter in der Verhandlung da durchblicken lassen, dass das Urteil von irgendwie zur Onlinedurchsuchung kannte. 00:32:29.661 --> 00:32:43.781 Davon war nicht die Rede. Nein, aber davon gehe ich aus, der war der war motiviert. Das war jetzt, das war wirklich jetzt nicht irgendwie äh der war ja nicht irgendwie am pfuschen oder so. Der war halt einfach nur völlig überfordert mit der Frage und ja. Auf der anderen Seite, wenn er sagt, wir haben's gegoogelt, das spricht jetzt nicht dafür, dass er das Urteil kannte. 00:32:43.506 --> 00:32:51.095 Ja, also deswegen, also vielleicht hat er das Urteil dabei gefunden, dann hat er wahrscheinlich dadrin gesehen, Köln TKI schon okay und dann hat er angefangen, kreativ zu werden. 00:32:50.837 --> 00:32:56.893 Ich weiß nicht, ob ich Ihnen das die Entscheidung von der er sprach, betraf interessanterweise, aber auch so eine Art volle Onlinedurchsuchung, ne? Das war also jetzt 00:32:56.846 --> 00:33:10.257 wirklich Terrorabwehr, Onlinedurchsuchung nicht Querenticker, wie was von der er da berichtete. Aber trotzdem, also das äh der Kern ist ja äh Trojaner einsetzen ohne gesetzliche Spielregeln und der Amtsrichter überliegt sich da irgendwas, das das kann's irgendwie nicht sein. 00:33:10.396 --> 00:33:22.294 Aber das ist jetzt sozusagen die äh Situation. Das äh BKA hat jetzt offenbar einen Trojaner, über dessen technische Qualität man nicht viel äh sagen. Bestenfalls äh etwas munkeln äh kann. 00:33:22.703 --> 00:33:37.599 Der dann äh vielleicht in irgendeiner Form Maßnahmen, äh also wo Maßnahmen ergriffen worden im Design des Codes, der das Desaster, dieses Digitastrojaners irgendwie vergessen machen soll, kann man sich nicht so leicht vorstellen, aber, 00:33:37.605 --> 00:33:39.233 Nehmen wir das jetzt einfach mal so äh hin. 00:33:39.203 --> 00:33:51.972 Ich meine, es gab ja, es gab ja zwischendurch auch noch so Meldungen, dass halt zum Beispiel das ähm äh BSI Bundeslandversicherung Informationstechnik ähm herangezogen wurde, um an diesem Trainer mitzuarbeiten, ähm spezifisch hat denn als Politik der aufgedeckt, 00:33:52.039 --> 00:33:57.825 ähm äh an dem äh mehr Kryptofunktion, also dass die halt sozusagen gefragt wurden, ob die. 00:33:58.150 --> 00:34:06.815 Funktion zum Daten nach Hause schicken, ob die hinreichend Kryptographisch abgesichert authentifiziert ist und wo aber. 00:34:07.302 --> 00:34:20.017 Bis zumindest das von dem wir wissen so, ähm in anderen Fällen ist es halt aber auch schon so, dass es gerade das Innenministerium zum Beispiel sehr stark darauf gedrungen hat, dass da auch die anderen Leute, also in die Mehrwertabwehrabteilung beim BSI, die ja darüber große Erfahrung verfügt. 00:34:20.263 --> 00:34:26.705 Dass die da halt mit reingeknechtet werden sollte, also um dafür zu sorgen, dass halt dieser Trojaner halt irgendwie möglichst. 00:34:26.843 --> 00:34:37.990 Diese Computerinfizieren kann. Und das bringt dann halt natürlich auch noch so einen Aspekt da rein, ähm der immer wieder gerne übersehen wird, nämlich, dass der Staat tatsächlich dann im Business ist. 00:34:38.201 --> 00:34:50.200 Ne, das heißt, also der Staat braucht halt Sicherheitslücken, um Computer zu infizieren. Der Staat äh muss diese Software testen gegen Antivirus-Software, gegen moderne Betriebssysteme, um sicherzustellen, dass sie dagegen funktioniert. 00:34:50.105 --> 00:34:57.898 So und ähm wenn wir uns halt so angucken, wieso halt die Entwicklung ist in über aktuellem Betriebssystem, insbesondere bei Mobilgeräten. 00:34:58.012 --> 00:35:12.944 Dann wird das halt auch ziemlich schnell ein interessantes Spiel infizieren will mit einem Trojaner, das ist halt schon irgendwie kein, also nicht so einfach so. Da muss man halt schon irgendwie Geld auf den Tisch legen für Sicherheitslücken, beziehungsweise diese Sicherheitslücken entwickeln. Und eigentlich. 00:35:13.065 --> 00:35:16.268 Wäre er der Staat und insbesondere auch das BSI. 00:35:16.412 --> 00:35:26.922 In der Rolle zu sagen, okay, sobald wir Kenntnis von so einer Sicherheitslücke haben, sobald wir wissen, dass da so eine Sicherheitslücke ist, ist der erste Anruf natürlich erstmal zum Hersteller, um die Sicherheitslücke gefixt zu bekommen, weil davon sind wir alle betroffen. 00:35:27.295 --> 00:35:34.109 Und jede ungefixte Sicherheitslücke, von der wir wissen, die halt eine Truanisierung ermöglicht, ist halt eine große Sicherheitslücke. Das ist halt eine Sicherheit nicht so ein 00:35:34.097 --> 00:35:45.255 sondern ist dann halt entweder eine eine große Sicherheitslücke oder eine also eine Kette aus verschiedenen Explods, die es halt ermöglicht, so ein so ein zum Beispiel so ein. 00:35:45.454 --> 00:35:57.063 IPad oder was auch immer zu infizieren und äh wenn so eine Lücke da draußen rumfliegt, dann finden die halt auch andere Leute. Ja und das hat äh dass der Staat halt in diesen Interessenskonflikt kommt, zu sagen, okay, ich muss jetzt. 00:35:57.226 --> 00:36:03.325 Eigentliche aus der aus der Daseinsfürsorge abgeleitete Pflicht dem Bürger, 00:36:03.415 --> 00:36:14.561 Helfen seiner IT-Security in den Griff zu bekommen und irgendwie die Sicherheitslücken zu schließen. Mit meinem Interesse als Staat halt irgendwie in die Computer von Verdächtigen einzudringen, irgendwie ins Verhältnis bringen. Ist eigentlich 00:36:14.472 --> 00:36:19.381 rechtlich auch eine relativ unauflösbarer Konflikt, ne? Also ich meine, da gibt's auch nicht wirklich andere 00:36:19.291 --> 00:36:26.982 Beispiele für wo sowas entsteht, ne. Also so tatsächlich Sicherheitslücken in in Kauf genommen werden. Ist es bei Schlössern und Alarmanlagen eigentlich. 00:36:27.259 --> 00:36:38.982 Also jedenfalls wüsste ich nicht, dass die quasi bewusst schwach gemacht werden, denn ganz ehrlich, wenn wenn man für eine Wohnung einen Durchsuchungsbeschluss hat, dann ruft man halt einen Schlüsseldienst und wenn's gar nicht anders geht, dann kommt das SEK mit der fünfzig Kilogramm 00:36:38.851 --> 00:36:45.460 und äh rennt die Tür ein, ne? Also das ist ähm das ist da gibt's in der Tat keine Parallele, dass man hofft, dass 00:36:45.208 --> 00:37:03.265 dass es irgendwelche Sicherheitslücken gibt, die sonst schon keiner finden wird und die so quasi in der Hinterhand hält, um die mal staatlicherseits einsetzen zu können. Also ganz interessant in dem Kontext, wo du jetzt sagst, Eiweiß Explods, ne, ähm es gab natürlich in der Tat auch schon mal iOS Trojaner, wenn ich weiß, von Finn Fischer oder so, das ist mal äh von von so einem kanadischen Institut auch äh analysiert worden. 00:37:03.584 --> 00:37:05.963 Und äh die hatten sich diese 00:37:05.801 --> 00:37:15.295 ad hoc Distribution, die normalerweise von Developern eingesetzt wird, um um Beta-Version zu verteilen, zunutze gemacht. Da muss man dann zwar so ein paar Warnungen wegklicken 00:37:15.116 --> 00:37:20.067 aber ähm das ging früher so, dass man dann später nicht mehr sah, dass diese Software tatsächlich auf dem 00:37:19.905 --> 00:37:35.240 ist, das geht heute aber so einfach nicht mehr. Also da hat Apple nämlich nachgearbeitet. Äh man muss da regelmäßig bestätigen und die entsprechende App wird mit so einem kleinen orangefarbenen Punkt gekennzeichnet. Ähm also dieser Distributionsweg, der ja keinen Export erfordert hat, der dürfte so ohne weiteres wohl nicht mehr funktionieren. 00:37:35.053 --> 00:37:44.433 Und ähm ich weiß nicht, wie es gehen soll. Also ich habe gerüchteweise gehört, dass iOS trotzdem äh ins Visier genommen werden soll, aber da weiß ich persönlich nicht, wie es ohne Export gehen soll. 00:37:44.211 --> 00:37:51.061 Ja, ich meine, irgendwas geht halt immer, wenn du halt spätestens, wenn das Telefon halt physisch eine Hand hast, dann hast du halt ähm. 00:37:51.344 --> 00:38:03.211 Meistens irgendwie Möglichkeiten, aber es wird halt schon verdammt hart. So und also insbesondere, wenn jetzt halt diese diese Apple FBI-Diskussion da noch mit reinholen, ähm dann ist halt klar absehbar, dass halt die 00:38:03.068 --> 00:38:11.216 ähm die Hürde zum einen bringen, auf einigermaßen gut gesicherte IT-Systeme ähm wird halt schon hoch, das heißt nicht, dass es nicht geht 00:38:11.084 --> 00:38:17.471 also ganz klar ist immer nur 'ne Frage des Willens aber es wird halt schon problematisch und die. 00:38:17.358 --> 00:38:29.417 Bevor wir äh da vielleicht reingehen, äh wollte ich noch mal kurz äh halb zusammenfassen und nochmal nachfragen. Also das BSI war, das BSI konkret bei diesem Digitals äh 00:38:29.310 --> 00:38:31.809 Trojaner involviert war es nicht. 00:38:31.551 --> 00:38:32.614 Bei dem neuen jetzt. 00:38:32.735 --> 00:38:37.734 Jetzt sind sie drin, aber mehr in so einer beratenden Funktion oder wie äh soll man das. 00:38:37.434 --> 00:38:44.644 Ist halt unklar, ne? Also die Akten, die Netzpolitik Octa halt befreit hat, sagen halt nur, dass sie involviert waren, was das BSI vorher bestritten hatte. 00:38:45.083 --> 00:38:52.216 Ähm und die äh was die sagen, ist halt irgendwie, dass sie nur drin involviert waren, halt die Kryptofunktion zu prüfen, 00:38:52.228 --> 00:39:01.157 Also hat zu prüfen, dass die Kommunikation nach Hause identifiziert ist und dass halt die ähm die Kontrollstruktur, also wie man halt auf diesen Trojaner Befehle gibt 00:39:01.133 --> 00:39:14.696 die halt äh ordentlich verschwinden, autifiziert ist. So, das sind wir so und da könnte man halt in in weiter Interpretationen des der Aufgaben des BSI sagen, na gut, dafür sind sie halt zuständig, sicherstellen, dass irgendwie staatlicher IT-Kram halt irgendwie gesichert ist, also zumindest. 00:39:14.552 --> 00:39:18.487 Authentifiziert ist, aber angesichts dessen, dass halt 00:39:18.386 --> 00:39:32.729 ja eigentlich so der die Linie des BSI war ja so halt BSI für Bürger, wir machen kümmern uns um eure IT und wir warnen euch, wenn eure E-Mail-Adresse in irgendwelchen Forrungen geteilt wird und so. Also diese ganzen Geschichten, sowohl sie halt eigentlich sagen, okay 00:39:32.537 --> 00:39:34.411 möchten eigentlich dein Freund sein, wir möchten, 00:39:34.430 --> 00:39:47.830 dir einen Vertrauensbehörde sein, wenn's um IT-Security geht und auch per Gesetz ja Sinn für Unternehmen, ne, also die müssen ja melden nach dem neuen IT-Sicherheitsgesetz, wenn sich halt schwere Angriffe hatten, dann müssten sie auch ans BSI mailen. Und dann so eine Behörde 00:39:47.692 --> 00:39:56.807 dazu zu bringen, ähm ja, quasi in staatlicher Influtrationssoftware zu machen und da halt irgendwie zu helfen, ist natürlich, also, 00:39:56.838 --> 00:40:06.229 exempliziert halt diesen, diesen Konflikt so zwischen eigentlich hat der Staat ja halt eine Fürsorgepflicht und auf der anderen Seite ist er dann plötzlich im Mehrwert Business mit all seinen Institutionen so. 00:40:06.638 --> 00:40:19.720 Das ist so ein bisschen als als äh man stelle sich mal jetzt vor, bei so einem viel benutzten Sicherheitsschloss, ja, was so äh jedes zweite deutsche Haus äh dann in der Hintertür sozusagen eingebaut hat, ja, würde man so eine grundsätzliche 00:40:19.576 --> 00:40:29.172 Schwäche finden, aber man würde sozusagen nicht davor warnen, äh weil, könnte ja sein, dass man bei einem dieser äh fünf Millionen Häuser mal. 00:40:29.749 --> 00:40:35.229 Rein muss oder will, so ja und äh lässt es deswegen offen und im Prinzip ist das ja eigentlich ein, 00:40:35.314 --> 00:40:41.154 ein Kernkonflikt, also es ist ja sozusagen also in meiner Sicht der Dinge zumindest 00:40:41.112 --> 00:40:49.302 widerspricht es einfach der Politik, die das BSI an der Stelle eigentlich führen müsste, also nicht nur, dass sie da nicht involviert sein sollten, sondern eigentlich müsste die 00:40:49.261 --> 00:40:57.360 pure Existenz eigentlich einer einer solchen Geschichte, äh bei denen die Alarmglocken äh läuten lassen und sagen, äh hör mal, wir können ja nicht 00:40:57.181 --> 00:41:12.107 Teil des äh Schwarzmarktes äh werden und dann noch dafür sorgen, dass sozusagen noch mehr Leute sich da drauf, das Interesse ist ohnehin da, das wissen wir aber, äh da sich sich da sozusagen auch noch zum Komplizen zu machen, ist ja 00:41:12.071 --> 00:41:13.110 auch schon problematisch. 00:41:12.810 --> 00:41:18.963 Es ist in der Tat problematisch, ne? Wo, aber man muss dann noch wiederum dazu sagen, dass ja dieser konkrete Trojaner 00:41:18.789 --> 00:41:37.182 jetzt eben soweit man weiß, jedenfalls von niemandem geprüft worden ist, nicht? Also auch das BSI war, soweit ich das jedenfalls verfolgt habe, war sie die Konzeptionierung eingebunden, das ist eben diese sogenannte besondere Leistungsbeschreibung, was im Wesentlichen in der der äh die technischen Spezifikationen des Trojaners sind und auch so die die Funktionsbeschreibung. 00:41:37.009 --> 00:41:47.969 Aber ähm quasi die Software, ja, Quellcode oder Balanry hat, soweit ich das weiß, jedenfalls noch niemand geprüft. Ich habe gerüchteweise gehört, dass äh ein TÜV da eingebunden worden sein soll. 00:41:48.300 --> 00:41:56.340 Insofern nicht ganz äh unproblematisch ist, als der TÜV äh ja formal privat rechtlich ist. Das sind ja privatrechtliche Vereine, äh die 00:41:56.334 --> 00:42:01.201 Staat mit dem Business äh Autos prüfen zum Beispiel beliehen worden sind, nicht? Aber. 00:42:00.901 --> 00:42:07.096 Na die hatten doch, aber die hatten doch bei dem anderen Turner, also fährt ja da zweiglasig, die haben ja noch an diesem Fin Fischer Trojaner, 00:42:07.150 --> 00:42:11.507 auch noch weiter basteln lassen. Das heißt also, die haben halt der dieser Firma Gamma, 00:42:11.585 --> 00:42:18.200 die hatte auch schon damals im in dem Kontext bekannt wurde, dass deren Trojaner an, 00:42:18.231 --> 00:42:30.699 Ägypten zum Beispiel geliefert worden, als ägyptische Regime. Und die haben ja vom BKA so ein, also sie haben ja erst so einen Test, so einen Test machen lassen und dann haben sie diesen Trojaner prüfen lassen, ja von CSC. 00:42:31.259 --> 00:42:42.195 Ne, also hat eine NSA-Zulieferer aus den USA, der halt auch eine deutsche äh hat und ähm also hat so eine große IT-Consulting-Bude, die halt auch Services macht. Und 00:42:42.153 --> 00:42:51.370 die halt einen sehr tiefen Hintergrund in diesem ganzen NSA-Überwachungsbusiness haben und in Deutschland aber halt ähm viel in Behördensoftware machen 00:42:51.305 --> 00:42:56.304 und die haben äh ja also den Auftrag bekommen zu prüfen, ob dieser. 00:42:56.623 --> 00:43:03.467 Digitast, äh dieser dieser Finfischer Trojaner mit der Leistungsbeschreibung übereinstimmt. Ne, das heißt also, die sollten sozusagen eine, 00:43:03.570 --> 00:43:12.522 einen Penntest machen, wo sie geprüft, also prüfen, ob diese äh also ob da sozusagen äh die Einforderungen eingehalten wurden. Und genau das. 00:43:12.793 --> 00:43:23.843 Bei diesem Zweifel auch passiert sein. Das heißt, wenn sich irgendjemand genommen haben, der bereit war, das zu tun und haben denen die Anforderungsbeschreibung auf den Tisch gelegt und dies auch für öffnen Tisch gelegt und sagt, hier prüft man schon. So und. 00:43:24.746 --> 00:43:27.515 Das ist natürlich auch ein so eine Frage, wo. 00:43:27.834 --> 00:43:36.583 Wenn das dann irgendwie natürlich zu Gerichtsprozessen kommt, dann werden die sich halt genau wie damals die Banken immer sagen, so ja nee, bei uns ist alles sicher, wenn die sich halt da hinstellen und sagen, ja, wir haben's prüfen lassen 00:43:36.445 --> 00:43:45.915 Gutachten in dem steht halt irgendwie die Anforderung, die Leistungsbeschreibungen wurden eingehalten. Alles schön legal hier, ne? Also die werden natürlich einen Teufel tun, 00:43:45.958 --> 00:43:56.611 äh da irgendwie einem Betroffenen oder Angeklagten halt irgendwie Zugang irgendwie zucursen oder oder Beine rezugeben oder zu irgendwas anderem als vielleicht den Protokollen, die aus ihrer Software rausfallen, ne. 00:43:56.588 --> 00:44:01.578 Das ist so ein bisschen wie mit dem Abgasskandal jetzt auch, ne, ist ja auch alles geprüft worden, aber halt auf Basis. 00:44:00.451 --> 00:44:02.170 Ja, klar. 00:44:01.950 --> 00:44:04.667 Sehr schwammigen äh Vorgaben. 00:44:04.417 --> 00:44:05.823 Die Messwerte waren okay, ne. 00:44:05.765 --> 00:44:07.229 Es war alles richtig. 00:44:06.929 --> 00:44:12.012 Und bei diesem dieses BSI-Problem ist halt insofern auch wesentlich, weil ähm 00:44:11.904 --> 00:44:22.769 schon seit vielen Jahren von das BSI heute eine unabhängige Behörde wird, also dass wir sagen, okay, der ähm um halt solche Vorfälle zu vermeiden, muss es halt aus der vor allem aus dem Verantwortungsbereich des Innenministeriums raus 00:44:22.733 --> 00:44:31.079 momentan das BSI halt gerne dem Innenministerium nachgeordnete Behörde. Heißt, die sind halt auch weisungsempfänger. Und tatsächlich war wohl diese äh 00:44:30.977 --> 00:44:42.677 Diese Geschichte mit dem mit der Arbeit im Trojaner war halt einfach eine Weisung. Die konnten halt nicht anders, ne? Also die wurden dann halt einfach dazu verdonnert. Und ähm damit sowas nicht vorkommt, nochmal vorkommt, äh wäre es halt sehr sinnvoll, da dem 00:44:42.653 --> 00:44:45.603 dem BSI halt eine eine deutlich unabhängige Rolle zu geben. 00:44:45.681 --> 00:44:47.291 Wo würdest du es denn einsortieren? 00:44:46.991 --> 00:44:51.780 Äh wie äh Datenschutzbeauftragte als unabhängige Bundesbehörde. Mit halt entsprechenden. 00:44:51.480 --> 00:44:54.436 Gar kein Ministerium unterstellt. 00:44:54.262 --> 00:44:58.751 Also zumindest keiner inhaltlichen Fachaufsicht, ne, wenn überhaupt deine Rechtsaufsicht, wenn überhaupt, ja? 00:44:58.625 --> 00:45:09.597 Also ich meine, es gibt ja solche Konstruktionen und die Bundesbeauftragte für Datenschutz und Informationsfreiheit ist ja inzwischen nachdem da äh Europa immer wieder Nachbesserungen gefordert hat, auch unabhängig geworden. 00:45:12.007 --> 00:45:12.884 Also das ist eine 00:45:12.662 --> 00:45:27.180 Vorgabe des europäischen Rechts schon die alte Datenschutzrichtlinie fordert, dass die nationalen Datenschutzaufsichtsbehörden äh eben unabhängig sind und das heißt also insbesondere nicht in irgendeine Weisungsstruktur eines Ministeriums eingebunden. Das war ähm der Bundesdatenschutzbeauftragte leider noch nicht 00:45:26.946 --> 00:45:38.663 lange Zeit nicht, aber ähm nachdem dann die Kommission einigermaßen Druck gemacht hat, äh hat's im vergangenen Jahr eine Novelle des ähm des Bundesdatenschutzgesetzes gegeben und seitdem ist diese Behörde tatsächlich unabhängig geworden. 00:45:39.415 --> 00:45:42.593 Jetzt ist ja diese ganze Debatte 00:45:42.407 --> 00:46:00.560 doppelt aktuell, nicht nur jetzt durch diese Meldung, dass der Trojaner, der neue Trojaner im Anmarsch ist, in welchem Zustand er sich auch immer befinden mag, sondern du hast ja eben auch schon anklingen lassen. Wir hatten das ja auch äh letzte Woche bei Lokbuch Netzpolitik schon debattiert, die jetzt frisch aufgeflammte Debatte rund um äh Apple und das FBI. 00:46:01.474 --> 00:46:10.331 Um es nochmal kurz ähm anzureißen ähm gibt's sozusagen die Aufforderung des FBI an Apple 00:46:10.193 --> 00:46:23.569 doch bitte eine spezielle Software bereitzustellen, weil sie halt in dieses eine Telefon nicht mehr hereinkommen und Apple stellt sich jetzt auf die Hinterbeine und sagt, nee, det äh wollen wir jetzt äh nicht und ist auch bereit, das wirklich bis zum höchsten 00:46:23.449 --> 00:46:29.584 Gericht durchzufechten, an deren Entschlossenheit kann man, glaub ich, kaum zweifeln. 00:46:29.722 --> 00:46:39.307 Einige sehr interessante Fragen, die diese ganze Debatte aufwirft, die für meinen Geschmack hier tief mit rein reicht. Ich glaube, du hast jetzt, ich habe da eine Kolumne jetzt nicht gelesen, du hast eine FAZ, was jetzt an diesem. 00:46:39.007 --> 00:46:40.460 Am Wochenende genau. 00:46:40.209 --> 00:46:48.452 Wiederholen wir uns jetzt wahrscheinlich dann oder ich mich. Ähm ich fand jetzt besonders auch interessant die Frage. 00:46:49.036 --> 00:46:59.239 Inwiefern, also in USA wird natürlich dann eben auch gleich über argumentiert, das lässt sich natürlich jetzt so ohne weiteres auf unser Rechtssystem nicht übertragen, aber so die äh Fragestellung zum Beispiel. 00:46:59.786 --> 00:47:05.380 Kann eine Firma überhaupt dazu gezwungen werden, eine bestimmte Software. 00:47:05.543 --> 00:47:10.704 Zu schreiben auf Wunsch äh des FBIs. Ja, es geht ja, du hast ja vorhin diese fünfzig, 00:47:10.710 --> 00:47:28.058 Kilohammer, den man dann halt einsetzt, äh sozusagen, ne, um die Tür aufzukriegen. Im Prinzip fordert jetzt das FBI, weil sie sich das selber nicht herstellen können, weil das eben einfach alles nur noch im Zugriff von Apple ist in letzter äh Konsequenz. Fordert sie quasi das äh Erschaffen dieses digitalen fünfzig Kilo Hammers 00:47:27.902 --> 00:47:36.441 ähm um halt dieses Telefon öffnen zu können. So und äh man merkt auch, dass das eine sehr politische Debatte ist, weil. 00:47:36.538 --> 00:47:44.175 Man sich den Fall anschaut, der ist irgendwie weitgehend aufgeklärt, es gab da andere private Telefone, die explizit zerstört 00:47:44.097 --> 00:47:56.721 wurden und wo aber auch schon die ganze Call Historie äh durchgegangen wurde. Also man weiß mit wem dieses Telefon äh telefoniert hat. Das sind ja alles wiederum Daten, die man vom Telefon Provider äh 00:47:56.626 --> 00:47:59.287 problemlos bekommen konnte und auch bekommen hat 00:47:59.156 --> 00:48:08.235 Jetzt geht's sozusagen nur noch um eine aktualisierte Information dieses Telefons, weil selbst von dem ja alle sechs Wochen sechs Wochen altes Backup vorliegt 00:48:08.157 --> 00:48:14.340 Trotzdem wird er eben mit harten Bandagen äh gekämpft und jetzt äh, 00:48:14.413 --> 00:48:20.043 eröffnet das sozusagen diese ganze Vektor-Debatte, weil ja Apple auch selber sich auf die Hinterbeine stellt und sagt 00:48:19.893 --> 00:48:28.059 Wir wollen auch überhaupt gar keine äh Pektor einbauen, weil wir das eben auch schon im Trojaner Fall hatten. In dem Moment, wo wir diese Tür einbauen, 00:48:28.131 --> 00:48:37.421 sehr viel wahrscheinlicher von anderen für ganz andere Dinge genutzt als eben für diese verhältnismäßig seltenen Fälle. Was hast du denn da so ähm. 00:48:37.291 --> 00:48:46.098 Also ne, also wenn im deutschen Rechtssystem ist es halt durchaus ein bisschen anders, ne? Also da gibt's halt dieses dieses nachdem das FBI da vorgeht, ähm das ist ja eine. 00:48:45.798 --> 00:48:48.346 Gehen will von von siebzehnhundertneunundachtzig. 00:48:48.046 --> 00:49:02.226 Ja, das ist halt ist halt eine sehr, das ist eine sehr ist eine sehr interessante äh rechtliche Konstruktion, wenn man sich das mal anguckt. Und zwar ist der der Ursprung dessen, wann königliche Edikte im alten England und da konnte halt irgendwie der König sagen, du da, du machst jetzt das. 00:49:02.960 --> 00:49:03.861 Es war ein. 00:49:04.264 --> 00:49:13.283 Ne, das heißt also, der König konnte halt einfach sagen, so, du bist Subjekt der Krone, du gehst jetzt mal da hin und machst das. So und also konnte sozusagen jeden, jede Person, 00:49:13.308 --> 00:49:19.436 anweisen, irgendwas zu tun. Und das haben die dann in ihr Rechtssystem übertragen, dass also ein Gericht. 00:49:19.701 --> 00:49:28.498 Sozusagen den quasi beliebige Person, die irgendwie mit dem Verfahren zu tun haben, also die jetzt nicht dem Verfahren vollständig fernstehen. 00:49:29.118 --> 00:49:40.396 Dinge tun, also die anweisen können, äh Dinge zu tun, die halt dem Verfahren dienlich sind. Ne, also was weiß ich, irgendwie. Du machst jetzt mal diese Tür auf, damit wir dieses Ding in Augenschein nehmen können, was auch immer. 00:49:40.715 --> 00:49:45.918 In der, also deswegen ist dieses Ding von siebzehn neunundachtzig und deswegen, also ist das so alt und. 00:49:45.618 --> 00:49:52.528 Also im Prinzip die Einschränkungen der ersten Verfassung, also man hatte dann mal eine, aber man hat noch dazu geschrieben, na ja, aber äh manchmal gilt's nicht. 00:49:52.228 --> 00:49:55.563 Nicht ja, nicht nur, sondern aber so in der, in der Historie 00:49:55.389 --> 00:50:10.520 wurde es dann immer weiter eingeschränkt, ne? Also da entstand dann sowas, was bei uns halt die Strafprozessordnung ist. So eine Strafprozessordnung steht drinne halt, hier ist die Liste der Dinge, die Ermittler tun dürfen, um halt irgendwie an Informationen zu gelangen und das ist ja im amerikanischen Rechtssystem viel mehr und durcheinander und aus 00:50:10.412 --> 00:50:11.475 Geschichte und. 00:50:11.175 --> 00:50:16.058 Und diese und diese sagenumwobenen Emenmente kamen sozusagen dazu, die das halt erweitert haben und. 00:50:15.826 --> 00:50:17.646 Ja oder vielmehr eingeschränkt haben. 00:50:17.396 --> 00:50:19.978 Genau, also die den Zugriff des Staates eigentlich. 00:50:20.110 --> 00:50:32.092 Nachdem nachdem das FBI da vorgehen möchte, sagt halt, ist halt so ein quasi so eine Generalklausel, ne, also ist so ein äh so, so als wenn dann bei uns im Gesetz drin stehen würde, so und alles andere, was nützlich ist, so, ne? 00:50:31.792 --> 00:50:43.984 Man muss schon sehen, das ist natürlich, es klingt jetzt erstmal total uferlos, allerdings ähm dürfen die Gerichte eben nicht alles anordnen, sondern immer nur quasi Maßnahmen an Orten als Annex zu einer Anordnung, die 00:50:43.894 --> 00:50:46.165 sie auf irgendeiner anderen Grundlage getroffen haben. Also, 00:50:46.184 --> 00:51:00.563 beispielsweise wenn ohnehin schon eine Anordnung in der Welt ist zu einer Telefonüberwachung, dann kann man auf der Grundlage des Acts eine Telefonfirma verpflichten, noch ein ein Leitungsbündel zur Verfügung zu stellen, damit diese TKÜ-Daten ausgeleitet 00:51:00.540 --> 00:51:01.903 Das ist ein Beispiel. Oder 00:51:01.819 --> 00:51:15.784 kann, wenn man ohnehin ähm schon eine äh eine ein Hearing anordnet, also eine Anhörung von irgendeinem Beschuldigten, dann kann man damit ähm die Polizei zwingen, den vorzuführen, also quasi eine Ataxidienst zu machen. Also das heißt, es geht immer um kleinere Annex, 00:51:15.880 --> 00:51:30.446 Aufgaben im Rahmen einer größeren Anordnung, die auf irgendeiner anderen Grundlage schon passiert ist. Und ähm die Argumentation des FBI ist jetzt hier, wir haben ja schon einen Beschluss, dass dieses iPhone ausgelesen werden kann und deswegen hat Apple ja auch schon die Daten aus der iCloud geliefert und 00:51:30.212 --> 00:51:39.592 Und weil wir ja dieses Telefon auslesen, deswegen macht jetzt mal nochmal bitte die Kleinigkeit, dass ihr uns ein ein spezielles iOS liefert, ähm bei dem eben die Zahl der Tasten 00:51:39.376 --> 00:51:48.431 äh der, der Versuche äh auf ein unendlich gesetzt ist, äh um ein neues Passwort auszuprobieren. Unter anderem, es gibt eine ganze Reihe von Funktionen, die das FBI gerne hätte 00:51:48.288 --> 00:51:51.261 Aber ähm ich denke mal, schon allein diese Beschreibung. 00:51:51.364 --> 00:52:00.425 Deutlich, dass es hier eben gerade nicht um eine klitzekleine Annecks Maßnahme geht im Kontext einer größeren Maßnahme, sondern im Gegenteil, das was hier auf Grundlage des Acts gefordert wird, ist 00:52:00.390 --> 00:52:12.660 eigentlich ähm wesentlich mehr als das bloße rausrücken von Telefondaten, es soll ja eben eine Spezialversion von iOS geschrieben werden und die sollen zum Beispiel noch nicht mal geflasht werden auf das Telefon, wie ja normalerweise das der Fall ist, sondern die soll komplett im Rahmen laufen. 00:52:12.462 --> 00:52:17.275 Ja, das heißt also Apple soll im Grunde von null an eine Spezialfilmware 00:52:17.173 --> 00:52:32.622 für dieses iPhone, wo man dann eben ähm nicht mehr begrenzt ist in der Zahl der Versuche, irgendwelche irgendwelche Passwörter durchzuprobieren. Das ist schon ein starkes Stück. Und ähm also jenseits der ganzen Verfassungsrechtlichen Fragen äh denke ich mal, dürfte da auch der Rahmen dieses Act 00:52:32.442 --> 00:52:34.166 äh deutlich gesprengt sein. 00:52:34.377 --> 00:52:38.877 Der er ohnehin, äh soweit ich das verstanden habe, äh insofern schon 00:52:38.691 --> 00:52:48.210 gesprengt ist, weil es ja eigentlich ein spezifisches Gesetz gibt, was dieses gesamte auch regelt in den USA, der sogenannte Communications, 00:52:48.288 --> 00:52:58.701 so und der ist halt noch aus der Clinton Bill Clinton äh error und ähm den ignoriert sozusagen das FBI, weil sich darin nämlich 00:52:58.533 --> 00:53:03.779 äh so eine Allritz äh macht mal, was wir wollen. Äh Klausel eben gar nicht findet. 00:53:03.479 --> 00:53:10.521 Nee, das Kalender war ja eine spezifische, also eine also eine spezifische gesetzliche Fassung, um halt irgendwie so den Wildwuchs, der da schon. 00:53:10.654 --> 00:53:14.836 In den USA bestand halt irgendwie so ein bisschen einzuschränken und 00:53:14.704 --> 00:53:27.695 aber auch den Strafverfolgern deutlich mehr Befugnisse zu geben und hat eben die Telekommunikationsfirmen halt so an der Grenze zur äh Liberalisierung des Telekommunikationsmarktes vorher gab, gab's die Notwendigkeit ja nicht, da gab's ja nur 00:53:27.533 --> 00:53:36.366 und als dann die Liberalisierung kam wollten sie halt damit halt die sozusagen diese Verpflichtung ja in Gesetz gießen so. 00:53:36.679 --> 00:53:44.797 Interessant daran ist halt eben die die Frage so wie weit muss denn eigentlich so 'ne Firma entgegenkommen. 00:53:45.338 --> 00:53:55.066 Wie weit haben wir als Gesellschaft eigentlich das Vertrauen, dass die halt damit kein Schindluder treiben. Und das ist halt so ein bisschen so, wo ich auch so mit meinem Artikel hinten drauf hinaus wollte, zu sagen, so okay. 00:53:55.217 --> 00:54:04.777 Wenn die sich halt die ganze Zeit irgendwie ordentlich benommen hätten, ne, also wenn die halt, also wenn FBI und die Geheimdienste halt die ganze Zeit irgendwie so agiert hätten, dass wir hinterher sagen würden, okay 00:54:04.633 --> 00:54:12.300 zwar oder so, mal hier oder da was raus, was sie gemacht haben, aber in der Gesamtschau finden wir das jetzt eigentlich nicht weiter tragisch, ne, also wenn die 00:54:12.120 --> 00:54:17.132 den Geist der Grundrechte atmen würden und halt irgendwie da so vorsichtig vorgehen würden 00:54:17.114 --> 00:54:31.367 dann würden wir darüber auch nicht wirklich diskutieren. Also dann würden wir sagen, so naja gut, Apple, mach mal, ne. So ist halt äh wenn sie's jetzt wirklich nur einmal wollen und sie haben's in der Vergangenheit auch immer nur eine kleine Handvoll von Fällen, wenn's wirklich um die Wurst ging gemacht so. Aber dem ist ja nicht so. Ne, also es war ja, ist ja so, dass wir 00:54:31.313 --> 00:54:39.684 aus dem Snowdenenthüllung und aus vielen anderen Enthüllungen, die danach kamen, wissen, ähm dass die Strafverfolgungsbehörden und die Geheimdienste insbesondere 00:54:39.546 --> 00:54:45.969 ja halt uferlos agieren, das heißt also, dass die halt immer, wenn sie den kleinen Finger kriegen, die ganze Hand nehmen und insbesondere halt die 00:54:45.808 --> 00:54:59.021 mehr dieses Programm, das Erste, was ja in dem NSS-Skandal hoch kam, war ja de facto die Ausnutzung von Zugängen, die für die Strafverfolgungsbehörden zu Computersystemen von großen Kommunikationsfirmen gelegt 00:54:58.853 --> 00:55:07.878 wurden durch die NSA. Ne, das heißt also diese diese ganze ist doch nur für Strafverfolgung wird doch nur selten verwendet. Theorie funktioniert halt überhaupt nicht mehr. 00:55:07.903 --> 00:55:12.217 In der Vergangenheit ihm diese Grenzüberschreitungen gab und immer noch gibt 00:55:12.151 --> 00:55:20.611 Es ist ja so, dass diese dieses ganze Konstrukt von wir können diesen Behörden schon vertrauen, weil die machen halt nur ihren Job und nicht viel darüber hinaus 00:55:20.546 --> 00:55:29.926 einfach nicht mehr. Und daraus resultiert halt eben auch in den USA halt ja diese die Intensität dieser Diskussion, dass Leute verstehen, okay, dieses Telefon, da ist halt alles drin 00:55:29.878 --> 00:55:40.784 Ne, also dieses Telefon ist halt irgendwie Teil meines ausgelagerten Gehirns. Wir sind halt eigentlich alle schon Cyborgs. So, wir holen hundertmal am Tag dieses Telefon aus der Tasche und gucken da drauf und wickeln unser gesamtes Leben darüber ab. 00:55:40.484 --> 00:55:46.995 Und vor allem auch mittlerweile in zunehmenden Maße Informationen, deren wir uns selber überhaupt nicht mehr bewusst sind durch Sensoren und. 00:55:46.776 --> 00:55:51.228 Genau, also ich meine, also nehmen wir mal halt irgendwie Health Kit, ja, so also, 00:55:51.276 --> 00:55:58.288 dann die Kombination mit deiner Uhr und dein Telefon weiß im Zweifel mehr über dich und dein deinen körperlichen Zustand als du selber, ja? 00:55:58.854 --> 00:56:03.949 Ähm das sind halt also diese diese Totalität der der Lebensspuren, die da drinne sind 00:56:03.835 --> 00:56:16.286 Unterlagen einsehen ne? Aber 00:56:16.202 --> 00:56:22.998 bei weitem nicht geht, aber Weitem nicht so weit, wie wenn du halt in dein Telefon guckst. Gibt's eigentlich noch sowas wie eine Tagebuchaufnahme im deutschen Recht? 00:56:22.698 --> 00:56:28.274 Ja, es gibt diese Tagebuchausnahme grundsätzlich schon, aber die ist nirgendwo so richtig gesetzlich geregelt 00:56:28.154 --> 00:56:36.590 Und deswegen äh ist das Bundesverfassungsgericht auch an dieser Stelle auf seine Lieblingstheorie äh verfallen, nämlich es kommt drauf an. Man muss abwägen, ja 00:56:36.542 --> 00:56:44.967 Das heißt also, wenn es jetzt irgendwie um Schwarzfahren geht, wird man im Zweifel das Tagebuch nicht auswerten dürfen, wenn's um einen Mordvorwurf geht, wird's im Zweifel gehen. 00:56:44.877 --> 00:56:49.408 Okay. Also gut, das ließe sich sozusagen nicht als Analogie heranziehen jetzt. 00:56:49.113 --> 00:56:54.545 Nicht so wirklich. Es ist einfach im deutschen Recht gibt es ja praktisch keine harten Regeln. Das muss man immer sehen. Das 00:56:54.474 --> 00:57:08.132 Bundesverfassungsgericht zieht sich fast immer auf Verhältnismäßigkeit zurück und das heißt dann immer, es wird irgendwie abgewogen. Und der Nachteil dabei ist, äh dass das Ergebnis eben vorher nicht klar ist und gerade im Strafverfahren führt das Abwägen fast immer dazu, dass es irgendwie doch geht. 00:57:08.360 --> 00:57:09.706 Das ist das Problem. Also. 00:57:09.462 --> 00:57:15.613 Aber so eine Verpflichtung wie jetzt das FBI bei Apple anstrebt, wir nach deutschem Recht eigentlich nicht wirklich möglich, ne? 00:57:15.331 --> 00:57:23.900 Ich denke nicht, da habe ich mich auch schon ähm habe ich schon lange drüber nachgedacht. Ich denke nicht, dass das gehen würde, einfach äh weil es in einem spezifischen Gesetz fehlt, nicht? Das ist ja schon in der 00:57:23.846 --> 00:57:34.926 eine sehr intensive Maßnahme, intensiver Grundrechtseingriff und da ähm würde man wohl die Onlinedurchsuchungsentscheidungen heranziehen und sagen ähm dafür braucht es eine spezifische gesetzliche. 00:57:34.626 --> 00:57:43.237 Nee, aber auch Leute, die die also die Heranziehung der Firma als Hilfspolizist in diesem Fall ähm wäre ja schon durchaus äh problematisch, ne? 00:57:42.949 --> 00:57:46.746 Genau und da gibt's also jedenfalls soweit ich weiß, kein Gesetz, äh dass das regeln würde. 00:57:46.446 --> 00:57:52.527 Also die der einzige Analogie, die mir so gekommen war, war irgendwie diese Abfrage von damals von Kreditkartendaten. 00:57:52.870 --> 00:58:00.357 Wo die Staatsanwaltschaft ja am Ende damit durchgekommen ist, zu sagen, so wir hätten gerne nach einem bestimmten Muster von Daten gefragt. Na also quasi. 00:57:59.071 --> 00:58:02.261 Mhm. Dieses Rastern, was damals bei Mikado passiert ist. 00:58:01.072 --> 00:58:15.968 Quasi genau, ja, genau. Damit sind sie am Ende durchgekommen, bizarrerweise. Ähm aber das war ja sozusagen so die die das äußere Limit von ähm die Firma muss Informationsverarbeitung für uns machen, also für die Strafverfolger machen, ne. 00:58:15.800 --> 00:58:22.819 Ja und da war die Argumentation ja auch ähm, dass man auf jeden Fall quasi alle Transaktionen hätte beschlagnahmen können. 00:58:22.519 --> 00:58:27.451 Das ist der schonendere Eingriff, dass man halt nur die beschlagnahmt hat, die halt irgendwie ein Muster aufweisen, ja. 00:58:27.200 --> 00:58:35.065 Und das macht ja auch Sinn. Aber ich finde, ich finde das jedenfalls sehr spannend, nochmal einmal ähm eben das so ein bisschen zusammenzufassen, was eigentlich die Apple-Argumentation ist 00:58:34.867 --> 00:58:44.998 das ist ja im Grunde ein doppelter Dammbruch, ne? Es geht also zum einen natürlich darum, wenn man jetzt diese Technik schafft, um spezifisch ein iPhone zu knacken, dass dann natürlich das Risiko besteht, dass diese Technik 00:58:44.770 --> 00:58:49.980 noch in anderen Fällen eingesetzt wird, also entweder weil das liegt oder wenn Apple da. 00:58:50.287 --> 00:59:01.601 Dass dann jedenfalls, wenn man weiß, diese Software gibt es ja, die Anforderungen kommen werden, die wir einzusetzen, also diese konkrete Lösung in anderen Fällen einzusetzen. Das ist dann quasi der technische Dammbruch, ja, wenn man also einmal 00:59:01.379 --> 00:59:13.962 diesen ähm diese Technologie geschaffen hat, dass dann auch die Anforderungen größer werden. Und das zweite wäre im Grunde der rechtliche Darmbruch, ne? Wenn also einmal klar ist, mit dem kann man eben viel mehr machen, als reine Anneks-Maßnahmen. 00:59:13.752 --> 00:59:23.414 Dann gibt's in der Tat kaum noch eine Grenze. Da sagt Tim, guck auch völlig zurecht, ja was ist denn dann eigentlich noch die Grenze, die verhindert, dass das FBI in einem anderen Fall, 00:59:23.474 --> 00:59:38.046 verpflichtet, eine Spezialversion von iOS zu schaffen und auf einem Telefon zu installieren, die im Grunde so eine Art ständige Raumüberwachung ähm durchführt oder die ständig die Position ans FBI-Funk oder, oder, oder, ne. Also da äh das ist die Argumentation 00:59:37.818 --> 00:59:40.876 das quasi ein rechtlicher Dammbruch droht 00:59:40.727 --> 00:59:49.229 Und ich finde das auch total plausibel ehrlich gesagt. Also ich bin nun eben kein amerikanischer Jurist, aber ich sehe da in der Tat dann nicht mehr in den kategorialen Unterschied, ne. Wenn man gezwungen werden kann, alles Mögliche 00:59:49.001 --> 00:59:55.707 neu zu implementieren was es bislang noch nicht gibt dann wäre so was sicherlich im Zweifel auch wieder die kleinere Maßnahme. 00:59:56.032 --> 01:00:00.448 Plus obendrein natürlich, dass es dann halt ja nicht nur um die USA geht, ne? Also ist halt ja die. 01:00:00.562 --> 01:00:13.974 Ähm also die große Sorge, die Apple ja da hat, ist, dass wenn sie halt jetzt vor dem FBI einknicken, das natürlich als nächstes die Chinesen und die inneren die Saudis um die Ecke kommen äh und sagen, okay, wenn ihr für FBI das bezahlt, für implementieren könnt, dann hätten wir das halt eben auch gerne. 01:00:13.957 --> 01:00:17.309 Schönen Apple Store haben sie da in Shanghai. Das wäre doch schade, wenn dem was zuschließt. 01:00:18.295 --> 01:00:29.844 Ich äh frage mich auch immer, das ist sehr interessant zu sehen, wie jetzt auch diese Konfliktlinien in den USA so zwischen Silicon Valley, also dem digital geprägten äh äh Bereich, im Business Bereich 01:00:29.724 --> 01:00:40.853 und eben sagen wir mal der, der, der anderen Küste sozusagen dem, dem politischen Bereich, äh, läuft, mit grundsätzlich unterschiedlichen Auffassungen, ich glaube, Silicon Valley ist auch schon ein bisschen länger gepisst, eben wegen 01:00:40.727 --> 01:00:47.787 und was weiß ich, was ihnen das alles schon für Deals äh verhagelt hat, insbesondere in Europa. 01:00:47.487 --> 01:00:54.674 Also Cloud Services in den USA gelten ja einfach als systematisch unsicher, ne? Wenn du wenn du nicht quasi klein machst. 01:00:54.987 --> 01:00:55.575 Genau. 01:00:55.852 --> 01:01:08.296 Und ähm sie haben ja jetzt auch gesehen, hier mit äh Safehaber und so weiter. Das ist jetzt alles gefallen und das kann man im Wesentlichen ja auch alles genau auf die äh Snowdengeschichte zurückführen. Ich frage mich halt jetzt, wie ähm. 01:01:08.760 --> 01:01:16.571 Die deutsche Industrie äh sieht. Ich meine, Computerindustrie haben wir jetzt nicht mehr so äh richtig viel. So, wir haben vor allem nicht diesen direkten Vergleich mit 01:01:16.373 --> 01:01:23.992 Smartphone-Hersteller, die Rolle haben wir nun schon lange äh abgegeben, aber wenn ich mal überlege, ähm jetzt im Bereich Serverbetrieb 01:01:23.824 --> 01:01:42.266 ähm ist das ja in gewisser Hinsicht auch zu vergleichen, weil natürlich auch ein Server, der jetzt irgendwo bei Dollar Hoster im äh Reck steht und genauso meine Daten vorhält und im Prinzip genauso angreifbar wäre, selbst wenn ich da technische Maßnahmen vornehme, dann entsteht ja im Prinzip eine ähnliche Situation. 01:01:41.983 --> 01:01:51.021 Also die ähm äh also man so die großen deutschen Muster, also jetzt und die Telekommunikationsunternehmen äh, 01:01:51.093 --> 01:02:00.833 sind da halt natürlich äh massiv interessiert, ne, also die verfolgen auch diese diese rechtliche Auseinandersetzung beim sättigen, weil die natürlich sehr intensiv. Ähm 01:02:00.828 --> 01:02:08.982 Zum einen, weil sie natürlich sagen, okay, in dem Augenblick, wo halt zum Beispiel Microsoft den Fall verliert, der noch ansteht, äh wo sie versuchen zu verhindern, dass. 01:02:09.090 --> 01:02:22.569 Die ähm amerikanischen Behörden ohne weiteres Zugang auch zu Cloud-Daten, die in Europa, in Irland zum Beispiel stehen, bekommt. In dem Augenblick freut sich natürlich die Telekom, weil sie dann sagt, okay, na ja, dann ähm 01:02:22.551 --> 01:02:34.515 müsst ihr halt zu uns kommen, ne, also müsste halt zu einem europäischen Unternehmen kommen und die haben halt dementsprechend auch schon Vorkehrungen getroffen, also die haben halt ähm mit Microsoft so einen Deal gemacht, dass halt Microsoft Cloud-Infrastruktur halt auf Telekom-Infrastruktur läuft 01:02:34.437 --> 01:02:41.749 unter Telekom Management, aber quasi mit technischen Parametern von Microsoft. Das heißt also, die haben für den falschen vorgebaut, für die ist natürlich ein 01:02:41.696 --> 01:02:44.892 einen unverhoffter, unverhoffter Gelegenheit. 01:02:45.470 --> 01:02:53.978 Große Teil des nicht-amerikanischen Marktes abzuräumen. Und was halt die ähm äh sag mal, die Software-Industrie angeht, ähm. 01:02:54.164 --> 01:03:07.300 Also die meisten Leute, mit denen ich darüber gesprochen habe, die da unterwegs sind, also es gibt ja doch noch eine Menge Softwareentwickler in in Deutschland so, die schütten halt alle mit dem Kopf und sagen so, wie, was, wie, wie, wie kommen die auf die Idee, eigentlich nur 01:03:07.186 --> 01:03:12.912 'ne Firma dazu verpflichten zu wollen, halt da bestimmte Dinge zu implementieren, die es halt vorher nicht gab 01:03:12.811 --> 01:03:20.105 und ähm so ein allgemeine Gefühl da ist halt eher so, na ja gut, also wenn ihr da rein wollt und halt irgendwelche Tricks und irgendwelche habt, um es 01:03:20.052 --> 01:03:26.583 tun, dann bist du zwar unschön, aber dann ist das halt so. Also dann ist das halt irgendwie Bestandteil des normalen Wettrüstens so, 01:03:26.583 --> 01:03:30.573 ähm also ja, wird halt zugemacht, wenn's irgendwie äh 01:03:30.520 --> 01:03:43.895 ansonsten, naja, ähm aber halt irgendwie den die Firmen halt zum Hilfspolizisten werden zu lassen, ähm trifft halt auf universelle Ablehnungen. Also da ist halt irgendwie niemand irgendwie auch nur Willens irgendwie einen Finger krumm zu machen so. 01:03:43.595 --> 01:03:55.901 Das finde ich ein interessantes Argument ähm da wurde nämlich gerade auch ausführlich darüber diskutiert in einem Podcast, den ich regelmäßig höre, sind amerikanische Podcast äh Call Intuition. Ich weiß nicht, ob da der ein oder andere von euch kennt. 01:03:56.100 --> 01:04:04.999 Sehr schön. Und die beiden haben sich nämlich die Frage gestellt, jetzt stellen wir uns mal vor, Apple verliert den Fall, kann denn dann eigentlich Apple seine Mitarbeiter zwingen? 01:04:04.777 --> 01:04:16.200 Ja, wenn jetzt also die Mitarbeiter einfach sagen, ähm also die das Core-Team sagt, nee, das halten wir für verfassungswidrig, das geht gegen unser Gewissen, wir machen das einfach nicht, muss Apple, die dann alle rausschmeißen oder so. Ich meine, 01:04:15.972 --> 01:04:35.411 letztlich sind es ja alles auch noch freie Individuen, ne? Und ich meine klar bei Apple herrscht sicherlich 'ne relativ strikte Firmenkultur, wo glaub ich jetzt nicht so wahnsinnig viel diskutiert wird nach allem was man hört, aber ich kann mir schon vorstellen, dass auch da Apple wiederum an Grenzen stößt, wenn die Leute einfach aus Gewissensgründen die Mitwirkung an einer solchen Software verweigern. 01:04:35.436 --> 01:04:48.463 Ja, gut, ich meine, die haben ja ähm also die typischerweise werden halt die solche Anordnungen ambilant ja mit Strafanzrohungen verbunden. Das letzte Fall war, glaube ich, hier oder so, die da so nach. 01:04:48.896 --> 01:04:53.811 Glaube vierhundertfünfzigtausend oder so was pro Tag oder pro Monat oder so zahlen sollten, also hatte. 01:04:53.511 --> 01:04:57.991 Strafandrohung an wen? An das an Apple. Aber wenn die Entwickler sagen. 01:04:56.113 --> 01:04:58.702 Aber wenn die Entwickler sagen. 01:04:58.452 --> 01:05:03.660 Ich mache jetzt mal zwei Jahre mal was anderes. High and Fire, ich äh habe hier eh so einen Vertrag, wo ich jederzeit gehen kann. 01:05:03.360 --> 01:05:12.150 Zumal halt zumal halt die Anzahl der Entwickler, die so eine, also dieses dieses spezifische Problem, also halt eben die ähm dieses wegmachen der der Prüfung 01:05:12.055 --> 01:05:18.484 ähm da ging der Quote wird halt nicht so von so vielen Leuten bearbeitet werden, ne? Das werden halt irgendeine kleine Handvoll. 01:05:18.184 --> 01:05:22.198 Gibt's auch nicht so viele Leute, die man mal soeben dazu kaufen kann, die in so ein Team reinpassen. 01:05:21.916 --> 01:05:31.109 Naja, zumal ähm, also ich meine, was was Apple dann natürlich halt tun könnte, wäre halt zu sagen, naja gut, dann haben wir jetzt verloren fürs fünf C. Ähm, tut uns leid. 01:05:31.025 --> 01:05:41.559 So war halt eh eine Billiglinie, an der wir nichts verdient haben, dann bauen wir's halt jetzt spezifisch für dieses fünf C äh und nageln halt alles, was danach ist, so dermaßen gnadenlos zu, dass es einfach keine technische Möglichkeit mehr dazu gibt. 01:05:41.259 --> 01:05:45.717 Das ist nämlich der finde ich die entscheidende Botschaft dieses Falls. Ähm 01:05:45.561 --> 01:05:59.472 Einfach Softwarelösungen zu entwickeln oder meinetwegen auch Hardware-Lösungen, wo eben in der Tat keine backDorme existiert, soweit wir das wissen, ne. Und ich meine, was Apple angeht, die sind ja in der Krypto ziemlich gut, also weit wir jedenfalls wissen, ist die App Store Krypto bis heute nicht gebrochen, auch, 01:05:59.544 --> 01:06:09.363 eigentliche Softwaresignierungskrypto ist nicht gebrochen, klar, man kann euch einen einbauen und die ganze ähm die ganze Signierung abschalten, ne, aber die Krypto als solche ist ja anscheinend stabil 01:06:09.159 --> 01:06:21.345 und ähm sie haben ja in die neueren iPhone Modelle auch schon quasi ein Hardware-Modul eingebaut, das ist eine ganz eigene Firma hat und dafür die Codeprüfung, also die Eingabe von Passwörtern oder die Prüfung von eingegebenen Passwörtern zuständig ist 01:06:21.285 --> 01:06:30.599 und ähm wenn das in dem fünf C schon vorhanden wäre, gibt es ja jedenfalls einige IOS-Security-Leute, die sagen, dann wäre diese Möglichkeit, die das FBI jetzt verlangt, gar nicht mehr möglich. 01:06:30.299 --> 01:06:43.500 Ähm das ist noch so ein bisschen unklar, also konkret, das fünf C hat das noch nicht. Das ist sozusagen das, was mit dieser sechser Reihe erst dazukam, dieses Secure äh also Entschuldigung, alles was mit dem Limitatch-ID hat, ist was zu tun, ne. 01:06:43.200 --> 01:06:51.547 Tata, die haben sie die Secure in Kleefeld so weit hochgerüstet, dass sie halt den, den Authentifizierungsvorgang mit in die Secure, also in den den Hardwarebasierten Teil. 01:06:51.247 --> 01:06:55.512 Aber sie können immer noch die Software der der Firmware selber ändern. So. 01:06:55.302 --> 01:06:57.313 Sie können die Flaschen, aber dann sollen an. 01:06:57.370 --> 01:06:58.649 Gerät direkt angeschlossen ist. 01:06:57.690 --> 01:07:09.399 Gelöscht werden, ne? Das ist das ist eben genau die Frage, das ist nicht offiziell klar, aber ähm so in der Security-Community heißt es immer, dass die Sequenz tatsächlich die Schlüssel löscht, wenn sie geflasht wird. 01:07:09.171 --> 01:07:23.563 Also der ähm das wäre halt eigentlich auch der die logische Konsequenz von äh von dem Design. Ne, also wenn man so auf dieses Design guckt, dann ist es halt eben so angelegt, dass halt der ähm äh also normale US-Updates halt eben nicht zu einem. 01:07:23.708 --> 01:07:33.995 Zu einer kompletten Löschung des Systems führen, aber halt einen äh wenn du halt den äh die Firmenware, die Security-Firmware Flash, dass dann halt die, die Keys dabei mit, also zumindest die. 01:07:34.308 --> 01:07:40.923 Mit draufgehen, äh wäre halt so die logische Konsequenz. Und wenn selbst, wenn's jetzt noch nicht so ist. 01:07:41.266 --> 01:07:55.597 Ist halt also der Pfad für Apple ist eigentlich vollkommen klar. Die Security-Design, so wie es angelegt ist, halt die möglichst viele Funktionen, möglichst kleine Hardwarekomponenten reinziehen, dafür zu sorgen, dass du dann halt da wirklich nur noch mal im Elektronikroskop rankommst, wenn du es wirklich musst 01:07:55.453 --> 01:08:04.088 ist halt so angelegt, ne? Und und ist halt tatsächlich eben auch eine Sache, die wo Apple halt im Zweifel dann sagen wird, so, naja. 01:08:04.960 --> 01:08:07.459 Es ist ja nicht so, dass es keinen anderen Weg gäbe. 01:08:07.970 --> 01:08:21.472 Also man kann ja immer noch hingehen und halt den Chip aufschleifen und halt irgendwie die ähm den Kita rauspopeln. Ist zwar richtig doll schwierig und richtig doll teuer und vielleicht gibt's auch nur zwei Laps auf diesem Planeten, die es können oder drei. Äh aber es ist nicht so, dass es keinen Weg gibt. 01:08:21.503 --> 01:08:24.006 Also schlägt sich der Schlüssel auch in Hardware nieder. 01:08:23.756 --> 01:08:25.660 Ja, den kannst du auslesen, das geht schon. 01:08:25.765 --> 01:08:29.536 Okay, sind es nicht einfach nur irgendwie Ladungszustände in irgendeinem. 01:08:28.431 --> 01:08:34.818 Na der der muss ja irgendwie auch da bleiben, wenn der ähm äh wenn die Batterie alle ist. 01:08:35.113 --> 01:08:37.721 Ach, das heißt der Premier wird quasi reingebrannt tatsächlich. 01:08:37.421 --> 01:08:39.998 Der wird halt in eine in One-Way-Flash. 01:08:40.353 --> 01:08:53.182 Ja? Also man kann die, also man kann solche Kies halt schon auslesen, ist nun die, die Geschichte der äh Chipkartenanalyse, hatte dir lang und recht gezeigt, es ist halt nur mittlerweile richtig schwierig, weil die die Strukturgrößen, die die da verwenden, sind halt sehr klein 01:08:53.074 --> 01:09:00.393 die werden auch Antitemper Mechanismen da eingebaut haben, die halt irgendwie den Zugriff auf bestimmte Sachen schwierig machen. 01:09:00.802 --> 01:09:03.758 Bizarrerweise auch aus BAM-Gründen. 01:09:03.740 --> 01:09:05.747 Und man hat ja auch nur einen Schuss, ne? Das muss man. 01:09:05.453 --> 01:09:14.484 Du hast halt nur einen Schuss, aber du, also sag mal, gut, ich meine, wie es halt machst, man man sagt halt einfach so, in dem Augenblick, wo du halt eine Handvoll von Geräten hast, an denen du üben kannst. 01:09:15.476 --> 01:09:16.395 Ähm. 01:09:16.654 --> 01:09:29.044 Schaffst du's halt mit entsprechend talentierten Leuten und dem richtigen Equipment und genügend Zeit eigentlich alles zu reverseingen? Sowas so ein Hardwarevorliegen hast. So ist halt, gibt halt quasi keine irgendwie keine Hardware-Security-Mechanismen, die völlig unumgehbar sind. 01:09:29.285 --> 01:09:31.706 So, nur der Aufwand ist halt relativ groß. 01:09:31.406 --> 01:09:45.689 Aber ich meine, die Botschaft bei dem Ganzen heißt ja auf jeden Fall, ähm dass dieses Verfahren ein enormen Anreiz schafft für Hardwarehersteller und auch für Softwarehersteller tatsächlich Verfahren einzusetzen, wo sie selber, selbst bei bestem Willen oder schlimmstem Willen, wie man das jetzt sehen will, 01:09:45.521 --> 01:09:48.411 nicht mehr die Möglichkeit haben, solche Hintertüren einzubauen. 01:09:48.118 --> 01:09:51.121 Genau, aber im Endeffekt ist halt, ähm ich sage mal, wenn. 01:09:51.663 --> 01:09:58.537 Also wenn's wirklich um die Wurst geht und sie wirklich halt wirklich an diese Daten ran müssen so, ähm dann würden sie halt auch die zehn Millionen ausgeben. 01:09:58.706 --> 01:10:12.105 Um halt irgendwie so ein von dem Ding zu machen und halt die Kiste rauszupopeln und dann halt irgendwie entsprechend die zu machen. Und das finde ich eigentlich auch in Ordnung. Ja, also das ist ja so, wenn wenn also wenn halt solche, solche Mittel und Methoden. 01:10:12.436 --> 01:10:24.779 So aufwendig sind oder halt rechtlich so schwierig gemacht sind, dass sie halt nur in einer kleinen Anzahl Fälle wirklich verwendet werden können in der Praxis, dann ist das ja eigentlich okay. So, dann würden werden sich halt nur eingesetzt, wenn's wirklich um die Wurst geht, dann ist das halt nicht massentauglich. 01:10:24.917 --> 01:10:35.811 Und ich meine, darum geht's ja letztlich. Es geht ja nicht darum, dass die Sicherheitsbehörden nicht mehr ihren Job machen können. Es geht darum, dass die eben nicht ähm nicht quasi als Go-to-Option erst mal irgendwelche iPhones auslesen, ja. Am besten noch per Trojaner. 01:10:37.824 --> 01:10:45.408 Äh ich habe so das Gefühl, wir haben das Thema jetzt schon äh weitgehend ähm analysiert 01:10:45.281 --> 01:10:59.853 stellt sich natürlich jetzt die Frage, was ist jetzt hier auch für den Netzpolitischen Diskurs da vielleicht noch rauszuziehen? Also inwiefern wird, sagen wir mal jetzt gerade in diesem neuen Trojaner mal auf den auch nochmal zurückzukommen 01:10:59.703 --> 01:11:00.953 wie wird dem 01:11:00.797 --> 01:11:10.892 gerade begegnet, außer durch öffentlich äh Machung, was denkt ihr, was da so die nächsten Schritte sind, die ohnehin stattfinden, beziehungsweise die. 01:11:11.007 --> 01:11:12.580 Vielleicht stattfinden sollten. 01:11:12.348 --> 01:11:21.804 Ich meine, was ja ohnehin läuft, noch ist ja noch das Verfahren gegen Speaker A Gesetz. Ähm da wird's, denke ich mal, dann in den nächsten Wochen irgendwann auch ein Urteil geben. 01:11:21.504 --> 01:11:24.899 Das Gericht hat wohl April angekündigt informell. 01:11:24.635 --> 01:11:39.242 Okay. Ähm gut, dann also und da werden sie sicherlich neben vielen anderen Sachen, was ja dann sehr umfänglich ist, äh Gesetz, was da angegriffen wird, ähm wird vermutlich dann auch um den Trojaner gehen. Danach werden wir vermutlich mehr wissen. Also was sagt irgendwie die ähm. 01:11:39.406 --> 01:11:41.208 Sozusagen die Auskonkretisierung. 01:11:41.178 --> 01:11:48.557 Prinzip beide Aussagen, äh so würde auch der der andere Fall vom Baum wird im April bekanntgegeben, BKA-Gesetz im April, okay? Mhm. 01:11:48.743 --> 01:12:03.369 Und ähm also da werden wir sicherlich dann mehr wissen, so was irgendwie die die juristische Front angeht, so. Ähm was halt den Gesetzgeber angeht, ähm habe ich jetzt gerade momentan nicht so richtig das Gefühl, dass die da besonders aktivistisch unterwegs sind gerade, ne? 01:12:03.069 --> 01:12:14.168 Ich weiß nicht, wer am Mittwoch ähm in einer Diskussion beim Deutschlandfunk mit Gerold Reichenbach von der SPD-Fraktion und der hat mehrfach auf den Koalitionsvertrag verwiesen, wo ja ausdrücklich drinsteht, 01:12:13.963 --> 01:12:30.416 dass die rechtlichen Grundlagen für die Quellen TKÜ, wie das so schön heißt, dort konkretisiert werden sollen, was wohl nur bedeuten kann, dass auch in der Strafprozessordnung ein solches spezielles Gesetz geschaffen werden soll. Ähm das Problem hier ist, dass die Union argumentiert, nein, äh 01:12:30.308 --> 01:12:34.592 Trojaner hin oder her. Es ist ja nur eine normale TKÜ und dafür haben wir ein Gesetz. 01:12:34.395 --> 01:12:52.289 Und äh da muss man einfach abwarten, was passiert, ähm also die SPD wird das offenbar nicht jetzt zu einem zentralen Problem ihrer Agenda machen, aber immerhin ist es als Problem bekannt, mal schauen, ob's da noch einen Gesetzesvorschlag gibt. Ich meine, immerhin ist zuständig das BMJV, ne, Bundesministerium für Justiz und Verbraucherschutz unter Heiko Maas, 01:12:52.361 --> 01:12:55.877 es wäre durchaus denkbar, dass der einfach einen Entwurf auf den Tisch legt. Aber 01:12:55.690 --> 01:12:56.663 bislang ist da nichts. 01:12:56.363 --> 01:12:59.037 Aber ich vermute mal erst nachdem BKA-Gersatzurteil. 01:12:58.851 --> 01:13:00.726 Ja natürlich, das macht Sinn, darauf zu warten. 01:13:00.984 --> 01:13:13.212 Und ähm wie seht ihr das so mit der deutschen Computervertretungsfirmenvertretungslandschaft? Die regt sich irgendwie nicht so richtig, was machst du den Eindruck? 01:13:12.353 --> 01:13:23.807 Na ja gut, ich meine, die ähm Bitscomo. 01:13:16.013 --> 01:13:25.607 Na ja. 01:13:23.590 --> 01:13:27.592 Also ich glaube, es wird einfach nicht, nicht als Problem der IT-Sicherheit wahrgenommen bisher. 01:13:27.342 --> 01:13:28.571 Ja, ja, eben, das, das. 01:13:28.506 --> 01:13:38.300 Nee, also das es stimmt nicht ganz. Also tatsächlich ist es so, dass halt die ähm ja zumindest die Security-Firmen ähm sehen, dieses Problem halt schon, also insbesondere halt, dass auch die und im Gesichtspunkt Vertrauen 01:13:38.240 --> 01:13:49.586 Ja, also dass halt irgendwie Vertrauen deutscher IT Produkte, wenn halt solche Trojaner-Dinger unterwegs sind oder gar wenn es halt irgendwie Gesetze gäbe, die sich halt zu Hintertüren zwingen könnten, halt beschädigt wird. Ähm es gibt ja, 01:13:49.616 --> 01:13:52.278 was irgendwie so die Verschlüsselung angeht 01:13:52.116 --> 01:14:04.343 ähm ja die Ansage vom Investor, dass man da halt was tun muss mit dem klaren Unterton, das ist halt nicht im Verschlüsselungsregulierung geht, sondern halt eben um äh einfacheren Zugang oder einfachere Verwendung von Trojaner zum Umgehen von Krypto 01:14:04.302 --> 01:14:16.464 Das heißt, diese Diskussion ähm wird halt auch sicherlich die Industrie dabei betreffen. Äh also insbesondere halt auch die, die äh die Frage halt insbesondere, welche Kooperationszwänge, 01:14:16.549 --> 01:14:22.791 ähm so Firmen unterworfen werden, was halt die ähm die Infiltration in den Rechner angeht. 01:14:23.182 --> 01:14:28.368 Also es können die zum Beispiel gezwungen werden, so ein Trojaner in ein Softwareupdate einzubauen. 01:14:28.663 --> 01:14:43.661 Kritische Frage, ne. Ähm äh die Diskussion wurde auf jeden Fall noch kommen und die wird natürlich umso härter werden, je besser halt die IT-Sicherheit so im Generellen der der Geräte wird. Und ähm da werden dann natürlich die Serviceanbieter halt schon. 01:14:43.974 --> 01:14:54.279 Also das wird halt schon interessant werden und die haben natürlich kein Interesse daran, ne? Also weil nehmen wir mal an, halt die Telekom würde verpflichtet zu sagen, äh wir verpflichtet äh bei so einer Trojanerfiltration zu helfen, weil. 01:14:53.979 --> 01:14:57.266 Hetzner, ne? Stellen wir uns das mal vor. Ja. 01:14:56.966 --> 01:15:03.022 Ja oder ich meine ja auch so so kommende Märkte, wo sie jetzt alle gerade ganz heiß laufen, so Smarthome, ja, äh. 01:15:02.722 --> 01:15:04.813 IoT, IoT Kram und so, ja. 01:15:04.513 --> 01:15:11.603 Kühlschränke und so weiter, alle träumen immer davon, überall einen Rechner reinzustecken, dass das an sich schon eine kniftige Idee ist 01:15:11.381 --> 01:15:14.548 was sozusagen die generelle Sicherheit einfach auf 01:15:14.536 --> 01:15:23.261 von Produktionsmängeln, also Softwarequalität äh das kriegt ihr dann sozusagen nochmal extra einen oben drauf, wenn man dann einfach weiß, oha 01:15:23.045 --> 01:15:36.307 jetzt habe ich hier irgendwie dreißig die weißes von von zehn Herstellern in meiner Wohnung und jeder einzelne davon könnte dazu gezwungen werden, hier Trojanersoftware, per Remote-Update einzuspielen, dann ist das Kundenvertrauen ja komplett weg. 01:15:36.084 --> 01:15:40.290 Genau und darum, das ist halt eben der der Kern des Problems, weil wo halt auch die. 01:15:40.417 --> 01:15:55.391 Sage mal so, die ganzen Zulieferer, die halt irgendwie in diesem IT-Bereich unterwegs sind, halt auch sagen, so ja, ah, fallen wir eigentlich nichts mit zu tun haben, ne? Also, ist eigentlich nicht, nicht unser, also wir wollen halt nicht da zum Hilfspolizisten gemacht werden, sondern wir wollen halt so sichere wie möglich Geräte ausliefern. Ähm 01:15:55.278 --> 01:15:57.639 weil letzten Endes ist es halt auch so, dass. 01:15:57.813 --> 01:16:07.692 Wenn die Leute anfangen, Angst davor haben, Softwareupdates einzuspielen oder Softwareupdates auf Auto zu lassen, ne, so automatisches Softwareupdate zuzulassen, weil es zum Beispiel die erste Infiltration über so ein Softwareupdate gab, 01:16:07.759 --> 01:16:19.950 Ne, also das wäre die logische nächste Konsequenz, aber wenn halt irgendwie klar wird, irgendwie die Infiltration fand statt über ein Softwareupdate, dann schalten plötzlich viele Leute ihre Softwareupdates ab und dann haben die halt ein richtiges Sicherheitsproblem, weil sie halt die die Sicherheitslücken nicht mehr 01:16:19.842 --> 01:16:32.701 zeitnah gefixt bekommen. Das heißt also diese diese Vertrauensfrage, die Frage, wie weit geht der Starter, wie weit ähm hängt der sich da aus dem Fenster? Auch was irgendwie den erzwungener oder erbetende Kooperation von Unternehmen angeht. 01:16:32.859 --> 01:16:42.467 Ist halt von zentraler Bedeutung für die allgemeine IT-Security. So und da geht's dann halt eben um hunderttausende oder Millionen von Geräten, nicht um ein oder zwei. Und dementsprechend ist halt 01:16:42.299 --> 01:16:59.779 diese Prioritätensetzung zu sagen, okay wir wollen nehmen große Sicherheitslücken bei auf vielen Geräten in Kauf, um halt so ein paar Strafverfolger in das Leben leichter zu machen. Die wird dann halt einfach nicht mehr gehen. Also die wird halt einfach vielleicht so zwei, drei Mal ausprobiert werden und dann irgendwann ist halt klar, 01:16:59.779 --> 01:17:06.106 so kann man halt nicht mehr denken so, weil dazu sind die Probleme, die wir im Allgemeinen, Antisemite-Bereich haben, halt viel zu groß. 01:17:06.017 --> 01:17:13.149 Ja wird jetzt auch sehr interessant äh sein zu sehen, wie jetzt die anderen Unternehmen. 01:17:13.774 --> 01:17:18.160 Also eine internationalen äh Gerätehersteller, also zum Beispiel. 01:17:18.305 --> 01:17:27.679 Google als Betriebssystemlieferant, aber eben auch Samsung, et cetera und wer sonst alles noch im Markt äh eine Rolle spielt, jetzt darauf Antworten, weil bisher äh 01:17:27.529 --> 01:17:35.154 tun die sich noch nicht besonders äh hervor in dieser ganzen Debatte, sind aber natürlich auch nochmal doppelt betroffen, weil sie gar nicht die Möglichkeiten haben, wie Apple zum Beispiel jetzt 01:17:35.028 --> 01:17:38.891 mal eben da eine komplett neue Architektur umzusetzen. Man sieht das ja. 01:17:39.175 --> 01:17:48.530 Wie gering überhaupt allein schon so die Basisverschlüsselungsrate zum Beispiel in der Android Welt ist das könnte noch ein lustiger Tanz werden. 01:17:48.230 --> 01:17:59.455 Ähm wird es auf jeden Fall, weil die, also da ist das Spiel halt viel komplexer. Da sind dann halt die die Hersteller der Baseball-Chips, ähm in denen halt einfach die diese heißt 01:17:59.299 --> 01:18:05.969 drin ist natürlich im Spiel meistens vorkommen, aber auch Samsung als eigener Hersteller von solchen Dingern. Und die sind 01:18:05.939 --> 01:18:15.078 die haben schon durchaus so Technologien, also wenn man sich so aktuelle Quorkom-Chips anguckt, da ist halt tonnenweise halt von ähm äh Krypto. 01:18:15.848 --> 01:18:25.023 Beschleunigern über eine harte, verbunkerte Keys, über Authentication, so ist da schon alles drin, kann man alles verwenden, wenn man möchte, auch als Android-Telefon-Hersteller. Allerdings ähm. 01:18:25.276 --> 01:18:39.818 Ist da natürlich die die Barriere, insbesondere halt zum Beispiel für Samsung als ein südkoreanisches Unternehmen, die ja doch eher sehr staatsnah sind und eher so äh auf dieser, wir müssen ja irgendwie die Interessen der Strafverfahren und Geheimdienste, wir haben gegen die Userinteressen ausbalancieren, Schiene fahren 01:18:39.716 --> 01:18:48.327 ähm die die sind dann natürlich in einer harten Zwickmühle. So und ich denke halt eher, dass halt also ähm im nicht Apple Bereich, der Push Richtung wir bauen neue Geräte, die halt 01:18:48.207 --> 01:19:00.062 auf ein ähnliches Niveau kommen, wie so ein iPhone, was halt irgendwie so die Bratessicherheit angeht, wird halt eher von so kleinen Herstellern kommen, so Richtung One Plus oder Xaomi oder so halt so Hersteller, die halt einfach einen ähm. 01:19:00.009 --> 01:19:05.254 Chinesenmatze geht voran. Wirklich. 01:19:02.093 --> 01:19:09.442 Kann ich mir durchaus vorstellen, weil die haben die haben durchaus sehr Differenzierungsbedarf, ja. Die müssen ja. 01:19:09.142 --> 01:19:23.251 Nee. Ja, mal gucken, wie das so im Reste von ankommt. Ja, aber das ist natürlich recht äh das ist im Prinzip eine Marktchance, weil einfach jetzt Vertrauen auf einmal einen ganz anderen Stellenwert hat. 01:19:23.186 --> 01:19:31.057 Mhm. Und Vertrauen, das ist, glaube ich, auch immer das Stichwort noch bei den, bei den Staatstrojanern, die wir jetzt in unserem Lande so erleben. Ähm 01:19:31.021 --> 01:19:41.795 Da muss einfach noch eine Menge passieren, ne? Irgendein äh geheimes Audit von irgendeinem geheimen Unternehmen, am besten noch von der NSA-Tochter äh oder vom NSA-Zulieferer. Das alleine kann es jedenfalls nicht sein. 01:19:43.058 --> 01:19:44.926 Also wir nehmen da nach wie vor gerne Samples. 01:19:44.716 --> 01:19:48.027 Genau. 01:19:48.159 --> 01:19:52.305 Wir schauen da gerne mal rein. Also ich persönlich jetzt nicht, aber ich kenne da ein paar Leute. 01:19:52.353 --> 01:20:05.808 Na ja, auf jeden Fall, die Dinge äh können sich doch manchmal schneller ändern, als man äh so glaubt, ne. Ich glaube, es ist noch keine fünf Jahre her, da ging irgendwie Facebookseiten alle noch über HTP. Ja, Ulf, Frank. Vielen Dank. 01:20:06.384 --> 01:20:21.052 Ich glaube äh das haben wir jetzt erstmal ganz gut äh zusammengekratzt hier für Lokbuchnetzpolitik und ähm ja, das war's dann auch für diese Woche. Ich schätze mal, der Dinos, der ist dann auch bald äh wieder da und dann geht's hier im normalen äh äh. 01:20:20.764 --> 01:20:22.104 Braun gebrannt oder so was. 01:20:21.804 --> 01:20:23.822 Ja 01:20:23.595 --> 01:20:24.700 Super relaxt. 01:20:24.430 --> 01:20:34.297 Amäquator ist er nicht, aber ein paar bereiten gerade sind's schon. Wir werden's sehen. Ähm wir sagen tschüss. 01:20:35.787 --> 01:20:38.893 Und äh ja, bis nächste Woche, tschau.