LNP198 Freiwillige Cyberwehr

Guten Morgen Ninus.

Guten Morgen Tim. Cyber, wer ist da?

Lokbuch, Netzpolitik, Nummer eins neun achthundertachtundneunzig und äh nie war das Wünschen eines guten Morgens so angemessen wie heute, Äh wir sind beide etwas angeschlagen, tut aber noch ein bisschen mehr.

Ja ich ich hab es also ich war ja Geburtstag, es war Geburtstag.

Politik org wieder mal.

Zwölf, zwölfter Geburtstag.

Halt, wie wir das ja hier auch schon angekündigt haben zur Folge hatte, dass es wieder eine weitere äh Ausgabe der Netzpolitik Ork Konferenz mit dem wo man immer nicht genau weiß, wie die heißt, wahrscheinlich heißt sie, das ist Netzpolitik.

Ja oder du so heißt sie?

Ja, man könnte sie ja auch die Dienveranstaltung nennen. Das ist Netzpolitik.

Dienen, das ist.

Ist auf jeden Fall gut durchgeplant. Soweit kann man das schon mal äh festhalten, fand auch wieder am selben Ort statt, wo es schon zweimal war, äh in der Kulturbrauerei in Berlin, sehr angemessene Location für diese Veranstaltung, War gut besucht, ich weiß jetzt nicht, wie viele Leute da waren, ähm, keine Teilnehmerverdreifachung oder so, aber zumindest äh eine eine solide Nachfrage nach nach dieser Veranstaltung etwas internationaler als bisher, also es gab, Mehrere auf englisch gehaltene Vorträge von internationalen Gästen, Und natürlich würden wir euch jetzt gerne auch schon einen ganz berühmten Eindruck äh davon vermitteln, wie denn das da alles so gewesen ist. Aber, warst gar nicht da und ich äh bin leider vorzeitig abgerufen worden und konnte von daher nur einen kurzen Vormittag das Ganze geschehen selbst begleiten und, dann waren wir halt erst zur äh Party wieder dabei, die wie wir auch feststellen dürfen. Eine solide Veranstaltung war.

Das war solide, ja. Das konnte man, das konnte man so machen.

Das hatte, das hatte alles, alles, was man sich von einer Party so wünscht. Äh und jetzt hast du ja auch das, was man sich von so einer Party so wünscht, so einen richtig schönen digitalen Hangover.

Das stimmt überhaupt nicht.

Sicher?

Nur weil ich mich lauthals beschwert habe, dass äh technische Aufklärung nicht diesen komischen Goethepreis bekommen hat. Gemeint bei der Grimma Online Award. Äh war doch alles in Ordnung.

Ja. Naja, also war äh auf jeden Fall ein tolles Fest, Zum aktuellen Zeitpunkt jetzt einen Tag nach dieser Veranstaltung ähm können wir euch jetzt noch nicht mit sehr viel Details äh beliefern. Wie gesagt, ähm es sind auch die Aufzeichnungen noch nicht im Netz, wenn das dann vermutlich nächste Woche dann soweit ist euch ein paar Tipps geben, was man sich auf jeden Fall anschauen sollte. Das Einzige, was ich jetzt schon aus dem Stand heraus ähm. Empfehlen kann ist zum Beispiel der Vortrag von Julia Reder, die sich ja auch schon mal hier zu Gast war in der hundertfünfzig und die sich gerade sehr intensiv mit der ganzen Frage europäisches Leistungsschutzrecht auseinandersetzt und da äh, auch schon viele Alarmglocken in der Hand hält und heftig äh schwenkt, rund um das Thema gab's auch noch so einiges andere, aber es war mal wieder ein sehr breites Bouquet, in gewisser Hinsicht auch eine ähm eine ja eine Statusbeschreibung. Aber ähm auch vor allem vor allem natürlich auch einfach auch eine sehr fokussierte Veranstaltung für die ganzen Aktivisten aus dem Netzpolitischen Umfeld, Sprich, da trifft man sich dann halt mal und das eben nicht nur so mal so nebenbei wie bei Kongress oder Republika dann eben ganz dezidiert, nur zu diesem Thema. Ja, sehr viel mehr können wir dazu jetzt erstmal noch nicht sagen, aber. Stay tuned, da werden dann demnächst sicherlich die äh entsprechenden Audiovisuellen Veröffentlichungen nachfolgen.

Die sind dann hiermit schon mal vor vor Veröffentlichung schon empfohlen.

Angekündigt, genau.

Hm, wir wollten ja auch eine Veranstaltung machen. Waren da in oder wir wollen eine Veranstaltung machen, normalerweise eine kleine Fehler gemacht in dieser Planung und zwar haben wir längere Zeit mit einer potenziellen Location geplant und verhandelt und alles geklärt und Technik geklärt und Räume und, dann irgendwann in einem der vielen Gespräche festgestellt dass wir irgendwann einmal es wohl ein Verwirrung gab über welches Datum wir genau sprechen. Das heißt wir haben alles geklärt mit der Location, alles super, ähm nur leider an einem anderen Tag, Was ich bin eigentlich froh, dass äh wir das so früh noch gemerkt haben, weil das wäre echt blöd gewesen, am Donnerstag den sechsundzwanzigsten einen Anruf oder Mittwoch oder was das dann gewesen wären, ein Anruf auf dem Handy, so wolltet ihr nicht heute kommen, Insofern. Zeigt, dass da unsere Kompetenz äh auf voller Breite äh dass wir da jetzt also gerade uns das Problemchen eingetreten haben für den äh Oktober, äh den, neunundzwanzigsten Oktober, den wir ja hier so vollmundig angekündigt haben, eine neue Location suchen zu müssen. Wir sind damit sehr bemüht. Wir sind da, wir waren stets bemüht und kämpfen gerade darum, aber äh, Es könnte steht natürlich nun das Risiko im Raume, dass wir ähm gezwungen sein wer würden ähm, diesen Termin nochmal äh zur Disposition zu stellen.

Wir werden euch natürlich auf dem Laufenden halten, wie es sich da äh entwickelt. Sprich, ihr solltet ein gepflegtes Auge auf äh zum Beispiel unseren Twitter Cont haben, wo wir das dann etwas kurzfristiger kommentieren können, auch wie es vorangeht tut uns leid soweit ähm wir sind noch dran und noch ist nicht alles verloren. So und dann war da noch die Welt.

Die Welt da draußen hat sich auch weiter gedreht. Ähm ein interessanter Vorschlag äh der diese Woche aufkam äh war die Idee oder es ist geil, ist glaube ich schon, wenn ich das verstehe, gibt wird es das geben. Und zwar. Die freiwillige Cyberwehr. Die freiwillige Halberwehr ist eine Idee des äh des Bundesamtes für Sicherheit in der Informationstechnik und wie wir ja hier schon öfter mal, Erwähnt haben, ist das BSI ja.

Also das Bundesamt für Sicherheit und Informationstechnik.

Genau, das BSI ist ähm ja so das ist eben eine Behörde, ne, ein Bundesamt und entsprechende ähm, Abläufe und Strukturen finden sich dort und entsprechend äh entsprechende Gehaltsstrukturen bilden sich da drin ab und äh für entsprechende Menschen. Ist die dortige die Arbeit dort attraktiv und vielleicht bestimmte andere Menschen eben nicht, Insofern findet sich beim BSI äh durchaus äh, Sachkompetenz, aber wenn es wirklich mal um Expertise geht, äh sind die regelmäßig auf ähm. Experten aus der deutschen Wirtschaft angewiesen. Was auch nicht schlecht ist, was auch nicht verkehrt ist, ne? Das ist das, du hast jetzt hier so einen BSI. Und wenn du dann irgendeinen Standard machen willst oder irgendwo sagst, okay, folgendes soll jetzt gemacht werden, dann holst du dir natürlich Leute, die nicht irgendwie äh die die Sachen nicht am Schreibtisch machen, sondern die vielleicht äh professionelle Erfahrung in in diesen Bereichen haben. Da gibt's, geht's um alles Mögliche, da kannst du mit irgendwelchen Industrieherstellern über über einen Standard zur Verschrottung von Festplatten diskutieren, da kannst du über Sicherheitsstandards für Unternehmen, für kritische Infrastrukturen und so alles Mögliche reden. Ich hab das jetzt zum Beispiel auch erwähnt, dass es bei dem IT-Sicherheitsgesetz im Prinzip ja darum gehen soll, Das Unternehmen eigentlich ihre Sicherheitsstandards selber schreiben, das habe ich ja ausführlich äh damals beschrieben und auch kritisiert, Entscheidend ist, dass BSI hat also nicht für alles die Sachkompetenz an Ort und Stelle und ist natürlich auch mit seinen Gehaltsstrukturen nicht in der Lage.

Die Leute anz.

Leute anzuziehen. Und das ist auch nicht unbedingt schlecht. Dass es so ist. Interessant war jetzt die Idee, wir, dass das BSI sagt, ja, für die insident, also ein Unternehmen wurde gecybert und muss jetzt ähm, darauf eine Reaktion finden. Da gibt es ist natürlich ein sehr lukratives Geschäftsfeld für, IT-Sicherheitsleute, ne? Also wenn dein, wenn dein Kunde äh das Scheuentor offen hat, frisch gecybert, ja, ähm dann muss, dann verhandelt er nicht mehr so viel über Preis. Ne, das und das ist natürlich dann ist wirklich ein Notfall, dann kannst du dann hast du eine interessante Aufgabe, ähm eine schnelle Forensik zu machen, eine schnelle Reaktion zu zeigen ähm, und das ist, das ist natürlich der mit der spannendste Teil äh wenn man im im Cyber arbeitet. Ähm, dass das BSI sagt jetzt wir wollen für diese Aufgabe, für diese Tätigkeit ähm im Bereich der kritischen Infrastrukturen, also Energieversorger, Krankenhäuser, Telekommunikationsnetze und so weiter. Ähm. Unternehmen dazu bringen einem Mobile Instant Response Team äh beizutreten und dort ähm. Arbeitskraft zu spenden. Und da machst du einen Kooperationsvertrag, in dem du dich als Unternehmen verpflichtest. Irgendwie zwanzig Personentage im Jahr, unentgeltlich ähm dem BSI zu spenden. Was schon etwas crazy ist, Also erstens, diese, was kritische Infrastrukturen unterhält, wenn's jetzt nicht gerade ein Stadtwerk ist, aber wenn man jetzt mal äh von Krankenhäusern Telekom, Telekommunikationsnetzbetreibern und so weiterreden. Die sind ja auch durchaus in der Lage, so ein Mobile äh so ein Instagram Respont Steam zu bezahlen, ja. Ähm wie kommen die jetzt auf die Idee, dass diese Leute diese hochqualifizierten Personen, Ihre Arbeitskraft kostenlos den BSI spenden sollten, ja? Und dann auch noch in den in den lukrativsten und interessantesten Bereichen, Ähm ich glaube, was da passieren wird, ist das, das wird ein, das wird erfolgreich sein, außer aus zwei Gründen. Erstens, wenn du das als Unternehmen machst, wirst du damit natürlich auch gegenüber deinen deinen Kunden angeben, ja?

Dass man sozusagen Teil der Suverbays. Ich bin in der freiwilligen Feuerwehr. Mhm.

Ich bin in der freiwilligen Cyberwehr. So, wir machen die ganz dicken Dinger. Da dürfen wir nicht drüber reden, aber wir sind da mit dabei, ne. Ähm zweitens. Wenn du in diesem Bereich tätig sein möchtest, dann wäre natürlich, wär's natürlich optimal, Wenn du die dicken Kunden haben möchtest in so 'ner freiwilligen Cyberwert zu sein, ne? Also das heißt das ist für dich interessant, einerseits damit zu werben, auch wenn du vielleicht niemals, Wenn dein Pieper niemals geht und wird zum zum zum Cyber muss. Ähm aber, Und andererseits also damit zu werben und andererseits eben auch, um mit diesem äh Unternehmen in Kontakt zu geraten. Ja, also kritische Infrastrukturbetreiber, wie gesagt, ich habe halt nur.

Also die betroffenen Unternehmen meinst du?

Dem betroffenen Unternehmen, das sind ja dann nicht irgendwelche, ne? Also hier wird ja.

Sind auch nicht nur Unternehmen, sondern es sind auch äh Bundesländerverwaltungen oder sogenannte Institutionen im staatlichen Interesse, wofür es nicht alles Abkürzungen gibt in sie ja? Also alles was in irgendeiner Form zu einer Großgefahrenlage äh führen könnte, wenn da halt der Cyber kommt und dann äh irgendwie die Fälle davonschwimmen.

Aber jetzt überlege ich mir, wenn ich jetzt ein großes, erfolgreiches Unternehmen bin, was in diesem Bereich tätig ist, da spende ich dann, Die lukrativsten und spannendsten Aufträge ausgerechnet an das BSI und mich ja nach.

Na, was war das? Zwanzig, zwanzig, was hast du gesagt? Zwanzig Personentage pro Jahr ist ja Pipifax.

Nee.

Zwanzig Personen, Tage pro Jahr.

Du hast ja nur so du sind zehn Prozent ungefähr auf der Faktorisierbaren Tage, die du hast. Bis ungefä.

Mitarbeiter oder was?

Ich glaube insgesamt aber jetzt also ich weiß es.

Wenn du hundert Leute hast, irgendwie in deinem Stab, dann jetzt zwanzig Personentage, es ist wieder weiter.

Nee, nee, das ist ja, es ist finanziell, ist das jetzt kein großes Commitment, ne, für ein größeres Unternehmen. Aber genau die größeren Unternehmen werden das im Zweifelsfall, wenn dann nur machen, um damit anzugehen, Aber interessant ist es eigentlich nur für kleinere Unternehmen, also für Leute, die denen es an Erfahrungen machen hält, ne, die also vielleicht sagen Oh, das wäre ja spannend mal äh mit der deutschen Telekom oder so äh zusammenzuarbeiten. Das wäre doch toll, wenn ich da mal meinen Namen äh ins Gespräch bringe und äh dann äh dann melde ich mich halt jetzt hier für den Freiwilligen Cyberdienst.

Ich freue mich wie diese Serverwehr dann sozusagen auch also erstmal was sie konkret tun soll, Also ich meine, wenn wenn das sozusagen für mich hat das gerade so ein bisschen den Anschein, als wäre das so eine Art Krisenstab. Ja, also man hat halt jetzt äh so ein Insident Uns geht jetzt eigentlich sehr viel mehr äh darum, aus Sicht des BSI die Situation im Blick zu behalten und gut bewerten zu können. Nicht, Unbedingt primär, Den Fall zu lösen, weil das kann ja nun durchaus sein, dass dann, was weiß ich, dann stehen die da sagen, ja, zwanzig Personentage sind durch, ich gehe dann mal wieder nach Hause. Ähm der Job muss ja dann sozusagen auch getan werden und das ist, Wie du schon richtig sagst, sicherlich dann nicht im Interesse der Unternehmen, dass sie dann im Ruhe überhaupt nicht mehr dabei sind.

Also du kriegst dann irgendwie so eine. Dieser Vertrag ist ja geliegt so und du musst natürlich dann auch ein ähm so ein Alarmierungskontakt bereitstellen, ne? Also ist irgendeiner hat dann so, also gibt dann die muss eine Handynummer der Cyber schläft hier schlägt ja nachts zu.

Paja. Ja, free Am kommt der Anruf.

Kommt dann Pajet muss immer einer auf Pager Duty sein. Ähm aber dann also hier. Das BSI leitet, das und hat äh äh die folgenden Aufgaben, Geschäftsstelle, Leitstelle vor Kommando, Ausführungsorgan, Institut Händler und Institut Manager. Und du bist dann da irgendwie äh an der Cyberfront äh mit deinen Leuten, Ähm der Kooperationsbenenner benennen die in ihrem Unternehmen zum Zwecke der Alarmierung äh der jeweiligen Cyberteam Cyberwehrteammitglieder äh eine Kontaktstelle, die jederzeit vierundzwanzig sieben erreichbar ist. Ich finde das prinzipiell erstmal ein Armutszeugnis, dass sie das wirklich so machen müssen. Dass dieser, also. Dass sie sagen, wir wir suchen wir haben diese Kompetenz bei uns nicht. Wir wollen jetzt, dass die Unternehmen hier für fürs Vaterland einstehen und dann das Ganze auch wirklich Cyberwert zu nennen Und so, das ist schon irgendwie, es hat alles irgendwie so ein, so ein so viel Lächerlichkeit, die da drin ist, weißt du?

Ich würde sagen, es drückt eine gewisse Hilflosigkeit aus, aber man könnte es natürlich auch positiv äh interpretieren und sagen, na ja, immerhin äh bemühen sie sich überhaupt, irgendeine Lösung zu finden, weil äh lieber sowas als gar nix. Könnte man so sehen.

Ja natürlich aber ich finde es ist schon irgendwie traurig, wenn du sowas nicht hast. Also wenn du schön wäre es ja natürlich brauchst du sowas, ne? Du musst also so. Und es wäre auch nicht doof, wenn das BSI es ist auch kein, keine keine dumme Idee, dass das BSI eine solche ähm Dienstleistung erbringen kann für die kritischen Infrastrukturen im äh, die im Interesse des Staates sind, ne? Natürlich möchtest du sagen, ey, hier Brunsbüttel. Äh wir wurden gecybert, kann mal bitte einer kommen. So, dass äh möchtest du schon, dass es da jemanden gibt, an den die sich wenden können, ne? Traurig ist ja dann, wenn das, wenn die irgendwie aus der Wirtschaft dann, also dieses dieses Das Unternehmen meldet seinem Mitarbeiter, spendet seine Mitarbeiter zum Freiwilligendienst an der Cyberwaffe. Das ist irgendwie das ich finde das irgendwie so ein bisschen. Ja diese Hilflosighilflosigkeit die erweckt da schon ein bisschen Mitleid auch bei mir.

Was würdest du denn meinen, was man tun sollte.

Interessant ist, äh da gab's also was man sich ja wirklich überlegen muss ist, ähm das BSI wäre ja dafür ein da. Dinge sicher zu machen. Und diese Aufgabe verfolgt das BSI auf eine Art und Weise, die in vielen, an vielen Stellen eben einfach nicht zielführend und kritikwürdig ist. Ne? Also ich habe beim IT-Sicherheitsgesetz kritisiert, dass sie sagen, ja, Die Idee des IT Sicherheitsgesetzes ist, das Unternehmen wird zu einem bestimmten Sicherheitsstand verdonnert und wenn es den nicht einhält, dann drohen dem Unternehmen Strafen. Diesen Sicherheitsstandard sticht das Unternehmen aber selber vor. Das heißt, es wird nichts vorschlagen, Was es nicht ohnehin schon umgesetzt hat. Ähm das BSI. Wir sehen wenig Wirkung des BSI dahingehend, dass irgendwo wirklich Dinge sicherer gemacht werden. Ähm.

Und siehst du, das versäumnisst sozusagen in der äh in der Priorisierung, also in der eiligen Aufgabensetzung oder in der Durchführung? Also links ist die Strategie generell falsch ist oder dass sie nur schlecht verfolgt wird.

Ähm ich glaube, ja, es wird schlecht verfolgt.

Also die Strategie ist an sich.

Die Strategie Dinge sicherer zu machen ist gut. Die die Möglichkeiten wie das BSI das versucht zu erreichen sind dann im Detail immer so ein bisschen schlecht, Also ich glaube glaube tatsächlich dieses Cyber-Wehr äh ist vor allem für diejenigen interessant, die, Bei denen nicht ohnehin das Telefon klingeln würde, wenn sowas passiert. Du meinst doch nicht, wenn irgendwie ein großer deutscher äh Telefonanbieter ein Cyberproblem hat, erstens hat er genug Leute, die da arbeiten, Zweitens, wenn, dann wissen die Leute doch ganz genau, wen sie anrufen, Nämlich Leute, mit denen sie schon vorher zusammengearbeitet haben, mit denen sie ein Vertrauensverhältnis haben. Und Herr da weiß man auch, welche Leute das in Deutschland wehren.

Und vor allem auch entsprechende NDAs, äh, vielleicht auch schon zu dem Zeitpunkt unterschrieben haben. Und wenn da jetzt so ein Konsortium von irgendwelchen.

Mal eben zusammengetrommelten Leuten.

Gar nix.

Eben. Die können auch mit deiner ganzen Infrastruktur ja gar nichts anfangen. Was meinst du, wie komplexe Dinger sind? Kommt dann einer, wird einer nachts um drei rausgeklingelt und fährt mit einem Taxi äh. Zu dir sagt, ich mache jetzt hier, ich ich gucke jetzt, was hier gecybert wurde. Nein, das geht das.

Musste jetzt erstmal zwei Wochen lang Handbücher studieren, bis du überhaupt verstehst, was eigentlich das angegriffene Objekt überhaupt tut, wie es sich normal verhält und wie man Abweichungen vom Normalverhalten überhaupt messen und dann entsprechende Maßnahmen auch einleiten kann.

Genau. Also holen die sich natürlich dann diejenigen, würden, die sich diejenigen holen, die Erfahrung haben. Ne, also wenn jetzt ich nehme jetzt als Beispiel äh eine, Teletelekommunikationsunternehmen. Die haben ihre Sicherheitsberater, die wissen ihre Leute, die werden diese nach diesen Leuten fragen, oder diese Leute einfach anrufen. Und jetzt ist irgendwie die Überlegung jetzt sollen die, jetzt ruft ihr das BSI an und dann kommt die freiwillige Cyberwehr. Wen ruft denn das BSI an? Die haben doch auch auf der Liste stehen und wissen, wer das kann.

Wir rufen die gleichen Leute an.

Die rufen die gleichen Leute an und sagen, könnt ihr mal hier zur Cyberwehr kommen? Wir wissen hier was. Die letzte, ihr seid doch, ihr kennt euch da mit diesem mit diesem Thema aus. Also ich, ich sehe nicht, dass das tatsächlich. Dass da was passt, weißt du, dass da was anderes passieren würde, was nicht ohnehin vorher auch passiert wäre. Außer, dass du jetzt irgendwie als Unternehmen ein freiwilliges Kontingent von zwanzig Personentagen ähm, dem Staat spendest, ne? Da also mehr passiert da nicht.

Man könnte natürlich noch argumentieren, dass dann quasi in der Betreuung dieses äh für das BSI mehr Transparenz in dem eigentlichen Vorfall kommt. Insbesondere was potentielle Rückmeldung und Erkenntnisse betrifft, die dann eben auch für eine höhere politische Ebene Auswirkung haben.

Das ist, das ist tatsächlich richt.

Werke et cetera.

Ist eben in der Regel nicht der erste Ansprechpartner. Wenn es darum geht, mal Dinge zu wirklich, ne, wenn's darum geht, mal die Finger äh schmutzig zu machen. Und ähm, Das ist jetzt nicht der Trusted Advisor, an den die sich als erstes wenden. Und genauso könnte man das sehen als ein Hilf, ein, als ein Ausdruck der Hilfslosigkeit zu sagen, wir wollen in diesen Themen informiert werden, wir wollen in diesen Themen, mit an vorderster Cyberfront sein und ähm wir schaffen das einfach dadurch, dass wir die, Die freiwilligen Kooperationsverträge haben und dass man weiß, ey, wenn du gesagt wirst und nicht ans BSI wendest, dann kommen die Leute erstmal kostenlos. Wahrscheinlich sind's die Leute, die ohnehin kommen Aber die finden dir den ersten ab dem ersten Tag alles in Rechnung stellen, wenn du die übers BSI holst und wir die Leitung übernehmen, dann haben wir mehr Kenntnisse, Und dafür kriegst du diese Leute kostenlos, Also das das scheint ja so ein bisschen tatsächlich die Strategie zu sein, ne, zu sehen, wir haben diese Leute nicht, wir wollen in diesen Vorfällen informiert sein, wir wir erreichen das dadurch, dass dass wir in der Lage sind, Leute kostenlos bereitzustellen.

Weil wenn wir jetzt mal kurz zurückblicken, wir hatten ja letztes Jahr diesen Hack der Bundestags äh Mail Systeme vor allem, ne.

Nee, der wurde über Mail geschickt. Das war dann Trojaner, der zwar ein Trojanerbefall auf Bundestags.

Genau, der okay, der dann quasi da äh Zugriff auf die auf die internen Systeme und das Netzwerk ähm das heißt, halt halt auch oder ziemlich sicher sogar äh hergestellt hat. Was ist deine Vorstellung davon, wie da quasi diese Rispons gelaufen ist? Also wer wurde denn da angerufen als erstes?

Das Unternehmen, was da nachher auch drüber berichtet hat, ich hab's gerade nicht mehr im Kopf.

Aber es war sozusagen auch da ein Unternehmen und nicht das BSI, was in irgendeiner Form federführend.

Ja, der Wasser, das war ja sowieso dieses Problem mit dem mit dem BSI als Regierungsorgan und dem Parlament als ein anderes Verfassungsorgan, dass die auch sagten, nee, wir wollen dieses BSI hier nicht haben, Ähm aber in dem Falle, das wäre jetzt ein klassisches Beispiel, da würdest du natürlich die Experten für diesen Themenbereich holen, Diese Auswahl lässt du auch nicht vom BSI treffen und wenn, dann trifft das BSI am Ende, wenn sie, wenn sie glücklich, wenn sie nicht völlig doof sind, die gleiche Auswahl, die du auch getroffen hättest, Nur dass es halt kostenlos wäre, also genau, es es scheint für alle so eine Art so wie kriegen wir den Fuß in die Tür zu sein, ne? Das BSI will den Fuß in die Tür kriegen, bietet das anderen an. Damit kann man werben. Hey, meine Güte, vielleicht melde ich mich auch für die freiwillige Cyberwehr. Kann ja nur interessant sein. Es ist halt so ein bisschen tra.

Äh

Schön wäre es, wenn der Staat sich dann äh. Einfach eine eigene kompetente Truppe ähm mit entsprechenden Gehältern und entsprechender Kompetenz aufbauen würde, Aber das BSI ist einfach strukturell dazu als Bundesbehörde nicht in der Lage und man sieht eben auch immer diese diese Wirtschaftsnähe, die Die da ist. Ich habe das BSI häufig eben als eine Wirtschaftsförderungsinstitution in diesem Bereich kritisiert. Und auch das riecht jetzt nach so einer ne eher wirtschaftlich motivierten äh Sache, Und eben wieder diese Angebote des BSI in diesem Bereich werden immer nur sehr zögerlich angenommen.

Tja, aber das jetzt so Cyber während man und Frau irgendwie zum neuen Lieblingsberufsbild der Kinder äh wird. Ist wahrscheinlich noch nicht absehbar.

Wie heißt dieser dieser Drache, der hm? Der will Feuerwehrmann.

Griso, Grizzo der kleine Drache. Der wollte immer Feuerwehrmann werden, der vielleicht will.

Fiber Rio, der Kleine.

Ja

Einer Hacker. Ich will's halber feiern. Ich glaube, wir haben dem Thema mehr Aufmerksamkeit geschenkt als notwendig ist.

Als es verdient, genau. Sehr viel mehr Aufmerksamkeit äh hält natürlich regelmäßig der NSA-Untersuchungsausschuss, Dort hat dann der Chaos-Computerclub ein Gutachten äh bereitgestellt. Hat so da deine Finger mit drin.

Ein ganz, ganz äh wenig. Also ein bisschen an der Pressemitteilung und so. Der ähm, Es handelt sich um ein Sachverständigengutachten gemäß dem Beweisbeschluss SV dreizehn äh in dem der NSR-Untersuchungsausschuss ähm, sich mit der, mit dem Abhören von ähm Cables, äh mit dem ja doch von von äh. Also mit dem Abhören an einem Internetexchange und am Lichtwellenleiter auseinandersetzt und das Gutachten hat äh formuliert. Der Kai Rechtin aus dem Chaos-Computerclub. Ähm der sehr viel ein ein Experte auf diesem Bereich ist und dort mal sich vor allem der Frage gewidmet hat, wie denn der BND. Gemäß seiner Aufgabenstellung, seiner Verpflichtungen. Ähm das Abhören von deutschen Grundrechtsträgern vermeiden möchte. Und, Das Gutachten ist um die vierzehn Seiten lang, also ist relativ äh von von Anfang an mal, also wirklich sauber, sauber, erklärt auch, ich denke in einer Sprache, die ähm auch, weniger bewanderten in diesen Fachbereich zugänglich sein sollte wo es einfach darum geht wie viel, Bandbreite hast du eigentlich auf so einem Kabel und was ist da äh auf so einer auf so einer auf so einem Lichtwellenleiter? Und was ist da so alles drin? Und dann schließe ich zu dem zu dem Punkt kommt, da fliegen jetzt IP-Pakete hin und her Das IP-Paket selber kann aber irgendwo du weißt ja überhaupt nicht woher es kommt und wohin es geht, kann's natürlich jetzt sagen, diese IP-Adresse ist ungefähr da und da verordnet. Aber ähm. Zum Beispiel würde ja alle Kommunikation von Deutschen mit Facebook eben, Zu Facebook-Servern gehen und von diesen Facebook-Servern auch zurück. Ähm das heißt schlussendlich kannst du, nicht bestimmen, ob es sich um einen deutschen Verkehr oder den Verkehr von deutschen handelt oder nicht ohne den Inhalt anzuschauen. Das ist das Entscheidende, das heißt, du darfst eigentlich, du darfst nur bei Ausländern du darfst nur Ausländer abhören, aber du musst, Deutsche mitabhören, um zu differenzieren, ob sie nicht, ob es sich um Deutsche oder Ausländer handelt. Das heißt, wenn die ganze Zeit sagen, ja wir wir unser, unser Ziel ist ja nur das Abhören von von Nichtdeutschen, Weil wir nun mal der Auslandsgeheimdienst sind. Ähm dann können sie das quasi nicht gewährleisten. Und du hättest.

Einfach technisch auszuschließen ist, dass das.

Auszuschließen, dass du diese Trennung hinkriegst. Und das liegt daran, dass es sich eben um das liegt daran, dass es sich um ein Paket vermitteltes Netz handelt, wo, Daten auch gerne mal auf verschiedenen Wegen gehen, wo das Roting sehr, sehr dynamisch ist und du nicht in der Lage bist, zu Eck, zu sagen, wenn Linus Neumann, ein Feedup sendet, dann geht das Datenpaket da und da lang und deswegen hören wir Star Up oder da nicht ab, weil Linus Neumann ein Deutscher ist und der Pridlaf ist ja ein Brite. Äh den können wir abhören und deswegen ähm, machen wir das anders. Dieses Zucken, der Prittlerf ist Britte.

Dann müssen sie diesen diesen Moment, äh, wenn sich dieser Status aber immer ändert, aber auch wirklich sehr trendschaf.

Genau. Ähm es ist sehr trendscharf auch. Wollen wir mal schauen, ob du die ein, also wir haben die Einbürgerung hier in in Deutschland, Tim, die gestalten wir gezielt ähm schwierig. Und ich wünsche dir sehr, sehr viel Glück. Wie viele Bundesländer haben wir? Ich weiß es nicht, deswegen frage ich.

Ja, ich weiß, ich kenne sogar die Hauptstädte aller Bundesländer. Außerdem lebe ich schon länger hier als du. Stimmt. Ja. Aber du bist ja keiner. Tja.

Stimmt, aber du bist halt kein Deutscher. Hm? Deswegen hören wir dich die ganze Zeit ab und mich nicht. Also.

Warte nur ab, ich freue mich schon auf den Tag, wo ich zurückschlagen kann. Es wird lustig.

Dann kann ich auf jeden Fall sagen, ich bin länger Deutscher als du. Also ein äh die.

Sonst nichts hat, ne?

Die Lekteure des Gutachtens ist äh allen ans Herz gelegt, eine ähm eine nicht. Ein nicht trivialer Aspekt bei dieser gesamten Gesetzgebung um den, BND, der da in der Debatte bisher immer unterbeleuchtet war, wenn BND Leute da irgendwie die ganze Zeit einen erzählen von ja wir filtern äh wir filtern die Deutschen raus und hören nur die die Ausländer ab. Äh das ist also technisch äh mehr als in Zweifel zu ziehen, was da so regelmäßig Lapidar behauptet wird.

Ja dann ähm sieht's gerade nicht so gut aus, um potenzielle Verkaufspreise von der Firma Jaho, steht ja schon so länger so ein bisschen im äh in der Vermutung, dass da mal irgendein anderer Branchenriese vielleicht mal äh zugreift, um sich all dieser ganzen Benutzer äh und ähm der wenigen Orte, an der das Unternehmen ja noch populär populär ist, äh, zu bemächtigen, das ist glaube ich nur noch ein einziges Land, wo Yahu übrigens wirklich die Nummer eins ist, ne? Weißt du's.

In Asien irgendwo oder.

Mhm. Japan. Aus irgendwelchen Gründen.

Ja. So sieht die Seite von Jahu auch aus.

Ja. Es kam ja auch mal schon etwas kryptisch vor. Ja.

Also ne, also. Wie aus einer anderen Kultur eben sieht diese Seite aus. Ähm.

Ja, ja, wo ist ohnehin so ein bisschen das fortgesetzte Trauerspiel des des Vebs, ne? Bevor es Google gab, hatten sie mal wirklich so eine hochfliegende Phase, wo sie irgendwie die geile Suchmaschine beziehungsweise damals gab's ja noch Verzeichnisse, ja, so quasi so Telefonbuch mit mal so für die Seitenweise sich einzelne Webseitenlistings anschauen konnte, damit diese Webseite gibt es auch diese Webseite gibt's auch, so richtig groß geworden sind sie dann eigentlich im Nachgang nur durch ihren E-Mail, äh durch ihr E-Mail-Angebot und da haben sie auch noch viele, viele, viele, viele, viele User, die bis heute ihre Jaho-E-Mail-Adressen ähm beibehalten haben, weil, seine E-Mail-Adresse.

Es ist auch ein Problem, eine E-Mail-Adresse ähm. Loszuwerden, weil wenn du die wirklich löscht, dann kann jemand anders registrieren. Und das möchtest du halt auch nicht.

Weil da müsstest du ja sicherstellen, dass in all den ganzen Accounts, wo deine E-Mail-Adresse, deine Alte hinterlegt ist, die dann auch schon wieder geändert ist und das erstmal rauszufinden, ist auch nicht so einfach.

Also es ist es ist tatsächlich ein Problem, wenn eine E-Mail-Adresse, die solltest du jedes Mal, wenn du dir eine neue Zulegst solltest, dir bewusst sein, dass du dir im Zweifelsfall äh lebenslang irgendwie an der Backe hast.

Mindestens sollten solche Unternehmen auch dafür sorgen, dass sorgsam mit diesen E-Mail-Accounts umgegangen wird, nicht nur während ihrer Lebenszeit, sondern dass man, wenn man sich schon irgendwie beendet, dass sie dann vielleicht auch eben nicht weiter vergeben wird. Das für einen Nennwerten Zeitraum, das wäre ja schon mal zu verwenden. Aber man kann so Zweifel haben, dass äh es bei Jahu so mit rechten Dingen zugeht, was so die Pflege ihrer äh E-Mail, ähm Einheit betrifft denn tja, was ist passiert? Es gab mal wieder ein, Einblick in äh in die Vorgänge.

Ja und zwar hat hier Ruhe vor einem Jahr ähm. Auf Anfrage einer Regierungsinstitution hier stehen äh entweder NSA oder FBI im Verdacht, wer genau ist von beiden äh ist nicht genannt? Einen, Filter oder eine Suche auf alle E-Mails gestaltet, die sie, die bei ihnen abgefertigt werden, ging um die Suche nach bestimmten Inhalten oder einem bestimmten Inhalt, also mit anderen Worten kommt, was weiß ich, kommt dieses oder jenes Wort in der E-Mail vor oder ist dieser oder jener Anhang dran, eine genaue Definition dessen gibt es nicht, aber es gibt die Schilderung, dass dieser. Die Software, um das umzusetzen von Jahu-Mitarbeitern gebaut wurde, Nicht von jemand anderem, ähm sondern Jahu selber hat diese Scan-Software geschrieben. Jaguar hat sich nicht gegen diese Anfrage gewehrt. Also es äh man, Sie hätten ja sagen können, nein, das wollen wir nicht, nein, das machen wir nicht. Sondern sie haben es haben keine rechtlichen Mittel dagegen zum Einsatz gebracht, sondern haben gesagt, alles klar, wenn ihr das so haben wollt, dann machen wir das. Und zwar für alle unsere Kunden, die Rede war da glaube ich von, dass es weltweit hunderte Millionen sind, die bei Jahu ihre E-Mail-Adressen haben, die alle ausnahmslos diesen Filter, der auf bitte der US-Regierung eingerichtet wurde. Unterlegen haben. Und das ist sehr spannend, weil Yahoo wirklich jetzt eines der Unternehmen ist, der bei denen das Vertrauen. Der Kunden wirklich immer wieder strapaziert wird. Ähm ich glaube, sie waren so mit die letzten, die überhaupt mal irgendwie HTTPS eingeführt haben, vier äh Webmail Killerfitter und das auch erst nach den Snowden Enthüllungen. Ähm sie hatten erst kürzlich waren sie irgendwie, Hatten Sie das größte Datenleck? Wir waren mal wieder eines der größten Daten Leks, der äh der Geschichte der Menschheit oder so mit fünfhundert Millionen Accounts, Account Credentials, die da irgendwie rausgeflattert sind in die Freiheit, ähm in den Datenreichtums Bestand aufgenommen wurden und. Jetzt auch noch das. Gab natürlich eine ganze Menge schlechte Presse und das eben, wie gesagt, vor einem Jahr, also wo du wo du wirklich dieses Snowden-Ding, das ist ja noch äh da ist ja noch brühwarm, Und da gehst du hin und machst irgendwie so ein, so ein E-Mail äh über Überwachungsdingen für alle Mails, die es irgendwie gibt, die du abfertigst und wehrst dich noch nicht mal dagegen, ja? Sie hätten ja wenigstens sagen können, oh ähm dieser Antrag äh klingt komisch. Ähm wir wir würden gerne nochmal kurz Rechtssicherheit herstellen, indem wir ihnen wenigstens mal kurz performer anfechten, Ja, wenigstens das und wenn sie dann äh von einem Richter nochmal gezwungen worden wären, dann könnte man wenigstens sagen, ja gut Sie wurden gezwungen, aber sie haben sich noch nicht mal dagegen gewehrt.

Ist das so klar, dass sie das nicht getan haben, also am Ende haben sie es zumindest nicht getan.

Es hat dazu geführt, dass der damalige Sicherheitschef ähm gewechselt hat von Jahu zu Facebook.

Alex Starmuss.

Ja, der hat also gesagt so, ne liebe liebe Marissa, das kannst du mal gepflegt äh sein lassen, nicht mit mir, ich bin hier für Sicherheit und nicht für Unsicherheit, ich gehe mal weg.

Tja, also sieht nicht so gut aus für einen potenziellen Verkaufspreis äh, höheren Regionen, Jahu ist ja ohnehin schon am Kämpfen seit vielen, vielen Jahren überhaupt am Markt Geld zu machen in nennenswerter Art und Weise. Das wird natürlich durch solche Sachen jetzt nicht einfacher.

The Risen wollte die glaube ich kaufen, ne? Die haben gesagt, wir zahlen jetzt eine Milliarde weniger für euch, Ich hoffe, dass das, dass es auch wirklich, ich meine, wir brauchen auch mal ein dokumentierten Fall, tatsächlich von Mama sieht hier so, wenn du das Vertrauen der Kunden verletzt und missachtest, dann geht das hier auf dein, Marktwert. Und das äh also Shareholder Varieu ist immer eine sehr schöne Begründung. Ähm ein sehr mächtiges Werkzeug äh um äh Entscheidungen äh herbeizuführen. Ähm ein sehr gutes Argument, was man in einer Diskussion einbringen kann, aber Sharehoder oder Value, ja? Sharehoder Value, Value ist so das Nine Eleven äh Argument der Unternehmensführung und das wäre schon ähm Schön.

So, dann äh gab's Bewegung auf höchster Internetebene, nämlich was die eigentliche Struktur der äh Innerworkings des Internets betrifft. Ähm, Leute, die das Internet schon ein bisschen länger ähm verfolgen, wissen, dass es so für bestimmte Bereiche, spezielle Organisationen gibt. Eine der bekannteren, denke ich, ist die sogenannte ICAN. Die, Er ist so schön, Internet Cooperation for Scient Names and Numbers, sich, nur aber vor allem im Bereich der Domains, Top, also der Toplevel Domains ähm etabliert hat und und, Ja, schon immer so ein bisschen witzelnd als äh heimliche Regierung des Internets gehandelt wurde. Das ist natürlich Quatsch, Ähm eine andere äh Organisation, war die Iana, Internet ist Numbers of Hority, die konkret mit der Vergabe von IP-Adressen, und der Aufteilung von ähm, Netzwerkbereichen auf die einzelnen Länder und letzten Endes natürlich auch Provider beschäftigt war, Darüber gab's eine ganze Menge Diskussionen in den letzten Jahren, wie denn das so in Zukunft gestaltet werden sollte und äh ich glaube, das haben wir auch irgendwann mal angesprochen, dass es hier im Rahmen dieser Debatte, dass äh, Iana, die mich formal quasi der. Jetzt weiß nicht ganz genau, welchem äh US äh Regierungsteil unterstellt war, aber quasi in der Hand. Teil der Verwaltung der Vereinigten Staaten von Amerika war. Ähm wie, wie man sozusagen diese Bindung, diese, Fachlich letzte oder formell letzte Bindung der der USA als Staat an das Internet, wie man das denn nun geschickt auflösen könnt und da gab's dann halt diverseste Begehrlichkeiten, insbesondere von der beleidigten Leberwurst ITU, der nun wirklich äh über Jahrzehnte seit es Telekommunikation gibt, eigentlich, Immer so ein bisschen der Big Player war so lange. Die Kommunikation halt im Wesentlichen aus Telefonanrufen und Faxnachrichten bestand. International Telekomunications Union ist halt ein großer Klotz und ist im Prinzip nichts anderes als der Sammelverband. Aller großen Telekommonopolisten, sprich da war dann halt die deutsche Telekom oder damals halt noch die deutsche Bundespost und eben viele andere nationale Organisationen, also, ist ja jetzt auch nicht so lange her, aber so in den achtziger Jahren kann man ja sagen, war eigentlich weltweit überall äh die Telefon Kommunikation im Wesentlichen im in der Hand einer großen staatlichen Behörde und das hat sich dann eben so ab den achtziger Jahren langsam gewandelt. In einigen Staaten ist es natürlich auch heute noch so, insbesondere in den als etwas repressiver bekannten Staaten. Und ja, die ITU hätte diese Rolle sehr gerne übernommen, aber dazu kam's jetzt nicht, sondern diese Iana, Internetsign, Numbers Asority wurde jetzt in die Hände der IKAN gelegt. Da war wohl auch im Gespräch, vielleicht auch eine andere Organisation dafür zu äh gründen, das sozusagen der UNO zu unterstellen und da so eine weitere Gruppe der äh UNO oder eine neue Gruppe der UNO zu äh gründen, die sich äh mit diesen Sachen beschäftigen soll, aber, Dazu ist es jetzt nicht gekommen. Und ihr diese.

Und irgendwie ist die Aufregung. Groß, aber so wirklich, weiß auch keiner wieso, ne? Also es gibt dann irgendwie, ist das jetzt gut, dass der jetzt ist da die ist die die, Der Staat der USA daraus, dann gibt's irgendwie Leute, die sagen, Das ist aber schlecht, weil nur der Staat hat da die Meinungsfreiheit hochgehalten, wo du dir denkst, ja, ich meine, wir reden hier über den Betrieb der zentralen DNS Rootsone. Das ist ja jetzt noch nicht irgendwie Internetinhalte, ne? Das ist irgendwie dann wir reden über die Vergabe von IP-Adressblocken, Blöcken an die regionalen Verwalter, wir reden über, eine Datenbank mit den Nummern für Internetprotokolle, wo es zum Beispiel die Port-Zuordnung irgendwie geklärt ist, wo man dann sagt, so, dieser Port ist jetzt offiziell der und der, aber trotzdem kann natürlich jeder machen, was er möchte. Es sind also so ein bisschen Standards, die da äh, Empfehlungen, die da ein bisschen gehalten werden. Also da ist jetzt wenig wenig Anhaltspunkt, Ansätzpunkt für. Für Zensur oder so, ne. Aber ähm.

Na gut, ich meine, würde man sich zum Beispiel vorstellen, dass die DNS-Rou-Zone jetzt von einer privaten Firma verwaltet werden würde, dann sehe das schon ganz anders aus.

Genau und die also klar natürlich möchtest du nicht, dass es irgendwie was weiß ich Internet Punkt Ink, äh Internet Incoperated äh oder in dem Fall eben Facebook, die ähm das gesamte Internet verwaltet, das möchtest du nicht. Die ICAN unterliegt dem Multisteakholder-Modell. Und es ist irgendwie auch nicht so ganz klar, wie du jetzt in diese Icon kommst oder nicht, so, du musst halt einfach irgendwie äh dich mit langwierigen Verfahren auseinandersetzen und da, sind natürlich die entscheidenden Unternehmen, sind da natürlich vertreten, die großen Registries oder so ähm, Als normaler Nutzer kannst du dann natürlich auch rein, ja? Aber äh wird schon ein bisschen komplexer, ne? Also äh also du kannst nicht als normaler Bürger rein, aber du musst halt, kannst als Verein da rein. Ne, also musst einen Verein, Ähm beitreten der äh eine der Regional at Large Organisation, ähm die dann in dem Large Advisory Comity ist und dann kriegst du irgendwann da einen Einfluss, ne? Und das tun eben äh Regierungen auch, die sind da Steakholder wie alle anderen, Und wir reklamieren aber für sich irgendwie das öffentliche Interesse, während die anderen Stakeholder natürlich eher mit äh privatwirtschaftlichem Interesse da drin sind und so etwas verfolgen. Ähm. Ich weiß, also ich glaube, dass es wirklich ähm vielleicht unterschätze ich dieses Thema, aber es ist eben eine Verwaltungsaufgabe, die da stattfindet, die jetzt einem sehr, Undurchsichtigen, komplexen Selbstverwaltungsmodell äh folgeleistet, äh wo wo irgendwie von Steakholdern die Rede ist, die da irgendwie drin sind, Vorher haben's ein paar Beamte in Washington gemacht. Ähm, Ich hoffe mal, dass da keiner äh von denen wirklich Mist baut. Und ich glaube aber auch auf dieser Ebene Mist zu bauen ist dann auch wirklich schwierig. Weil du eben immer noch dieses Admins gegen dich hättest, wenn du da irgendwie zu wild wirst.

Ja, na ja gut, ich meine früher war das ja mal so mit der Icon gab's ja tatsächlich den Versuch, da äh die Bürger oder die Netzgemeinde, wie auch immer äh dort zu beteiligen. Wir nennen uns das noch gar nicht so ähm sehr lange her aber zehn Jahre vielleicht, da ist ja dann zum Beispiel auch mal Andi Müller Magun vom Carscopter Club äh Indiken als, als einer der Direktoren gewählt worden vom Netz, ja, also eine Computerwahl sozusagen im Netz, eine Abstimmung, die ja dann äh gewonnen hat, und dann äh hat er da eine Amtszeit bekleidet. Ich weiß jetzt gar nicht genau, wie lange die lief ein Jahr oder so. Ähm aber diese Strukturen gibt's in dem Sinne nicht mehr. Das heißt, so der, Die die ist immer so ein furchtbares Wort Netz gemeinsam mal ein anderes Wort. Die, Bürger, die Nutzer selber, die sozusagen Interessen haben, unabhängig von Interessen von bestimmten Unternehmen oder Staaten sind halt wirklich relativ schwach vertreten, relativ schwach. Aber wie gesagt muss nicht unbedingt der Untergang äh des Abendlandes oder irgendeines anderen Landes oder eines Morgenlandes bedeuten. Interessant ist, wieso die ICAN sich äh entwickelt hat ähm, Am Anfang gab's ja zum Beispiel noch sehr viel Diskussion dadrüber, welche Top-Level Domains, äh, wenn jetzt äh zulassen, so, gab ja nur vier fünf sechs plus die ganzen Top Level Domains der Länder heutzutage kommen ja die Toplevel Domains schon in einer Geschwindigkeit rausgeschossen wie neue Webseiten, ist schon wirklich absurd, Das heißt, man kann sich jetzt im Prinzip heutzutage schon fast alles äh registrieren, so denn die IKAN zustimmt. Und mittlerweile ist aber der Strom von Top Ledomance einfach äh hört überhaupt nicht auf. Also nicht nur alle amerikanischen.

Glaube, dass wir auch ein bisschen unklug.

Ja, das ist das ist eben die Frage, weil das war das jetzt klug oder war das nicht klug? Auf der einen Seite haben wir natürlich jetzt geilere Domains, auf der anderen Seite äh brechen täglich wahrscheinlich neue Domainstring-Parzer, durcheinander, die noch vor einiger Zeit gemeint haben, na ja, das gibt da nur eine endliche Zahl und die können wir dann hier mal in unserem String ablegen, das halt mittlerweile nicht mehr so, aber.

Ich hätte ja gerne Punkt local. Punkt lokal. Hm?

Punkt Local. Hm, tja, ich glaube, das wird dann mal nicht freigegeben. Ja.

Punkt Nocal hätte ich gerne.

Wie wär's mit Punkt Netzpolitik?

Ja äh. Ja irgendwie so, ne? Oder Punkt eins.

Logbuch Punkt Netzpolitik.

Also ich hätte ich hätte gerne Punkt eins oder Punktlokal.

Punkt eins oder Punktlocal. Also falls jemand so eine Domain noch rumliegen hat, einfach mal eine Mail an die Nuss schicken.

Falls jemand die wie viel kostet das hundert, fünfundzwanzigtausend Dollar oder sowas.

Da muss man schon eins ordentlich in die Tasche greifen.

Ja

So, dann gibt's Neubegehrlichkeiten, die wahrscheinlich gar keine neuen Begehrlichkeiten sind.

Das ist diese Begehrlichkeit gibt, hatten wir, glaube ich, schon erwähnt. Ähm.

Zumindest abgesehen.

Das BKA möchte natürlich den Bundestrojaner, den es ja jetzt schon hat, Wir wissen, dass WKA hat einmal diese Eigenentwicklung Bundestrojaner, dann hat es irgendwie noch so ein sowas von Gamma in der, in der Hinterhand falls falls wir den den ersten Bundestrojaner wiederfinden und veröffentlichen und dann gab es aber bei ihrer Eigenentwicklung ja schon in dem Moment, wo wo sie denn stolz sagten, wir haben hier geilen Bundestrojaner, ähm. Meldeten sich ja schon die Kritiker und sagten ja und äh damit können wir doch trotzdem keine iPhones hacken und äh und WhatsApp abhören oder so. Und deswegen sagt das Bundeskriminalamt, wir möchten oder sagt das Bundeskriminalamt jetzt auch offiziell. Wir möchten gerne, ähm Staatstroaner to go. Äh wir hätten den gerne auch äh als App im Appestore oder so und möchten dafür sorgen, dass wir in der Lage sind, Handys, Smartphone zu infizieren und das geht aus den Haushaltsunterlagen für zwanzig siebzehn hervor, äh die der Rechercheverband von NDR, WDR und Süddeutsche Zeitung eingesehen hat, Ne, da gibt's also eine behördeneigene Software, die da geplant wird, um die Quellen-TKÜ-Maßnahmen auf mobilen, internetbasierten Endgeräten durchzuführen.

Womit die da wohl anfangen, welcher Plattform.

Na wahrscheinlich fangen sie mit Android an, weil sie für Arbeitsvereins ein bisschen schwieriger wird. Aber vielleicht machen sie es auch parallel oder oder sie haben das Memo nicht bekommen und setzen auf Windows Phone oder Blackberry.

Das könnte wiederum einfach werden, nur Nutzer zu kriegen, die das dann auch wirklich benutzen, das wirft so schwierig werden. Tja, da laufen wir äh wieder auf so eine auf so ein duales System leider zu, oder vielleicht ist es auch ganz gut so, ich bin mir nicht ganz so sicher. Tatsache ist, Das könnte schwierig werden. Wir hatten ja hier auch schon äh in ziemlicher Ausführlichkeit den Fall FBI gegen Apple, angesprochen als Apple mal da wirklich in die Vollen gegangen ist und sich einfach kräftig nach allen Möglichkeiten gewährt hat, dem FBI, speziellen Zugriff auf die Telefone zu gewähren und natürlich ist deren Security-Abteilung, also, wie es auch bei allen anderen Security-Abteilungen großer Betriebssystemhersteller sein sollte ähm, tun die natürlich alles dafür, um ihre Plattform sicher zu halten, Ist ja klar, weil das das will man ja verhindern. Also auch Google hat natürlich kein besonderes Interesse dadran, dass die Plattform als unsicher gilt oder eben auch unsicher ist. Ob ihre Strategie und ihr die Art und Weise, wie ihr sie äh Rollert auf dem Markt machen, da sehr hilfreich ist, das ist nochmal eine ganz andere Frage aber so oder so wird halt alles probiert das irgendwie so dicht zu machen, wie es nur irgendwie geht und solche Trojaner sind halt im Prinzip nichts anderes als angewandte Ausnutzungen von existierenden Sicherheitslücken, vor allem dann gut funktionieren und das ist natürlich hier auch wieder das Problem, wenn äh das BKA solche Software haben will, haben sie ja sozusagen ein Interesse daran, dass solche Sicherheitslücken auch aufrecht erhalten werden, Während es zum Beispiel im Interesse des BSIs immerhin auch Teil des selben Staates ein großes Interesse geben sollte, dass eben solche Sicherheitslücken so schnell wie möglich geschlossen werden. Und dann hat man so einen Interessenkonflikt, der einfach nicht gut ist und bei den Smartphones, Multipliziert sich jetzt die Dramatik äh in dem Zusammenhang nochmal extrem.

Genau, sie könnten also eine mögliche Lösung wäre natürlich, dass das äh dass es eine Kooperation äh zwischen den. Zwischen den Herstellern dieser Geräte oder den Betreibern der Software äh gibt und den, Staaten, die ihre Bürger hacken möchten und dann machst du halt, du wirst, findest du keine Sicherheitslücke zum installieren deiner, deiner Schadsoftware, sondern äh lässt die von von Apple oder Google direkt die Pläne, ne? Das wäre so die.

Interception ist da, glaube ich, so ein bissch.

Das wäre so der, das wäre ja das, wo sie hinwollen. Äh wir wissen, dass Apple sich dagegen sperrt, zumindest öffentlich und wir werden sehen, wohin das führt. Also entweder früher oder später werden sie, entweder ähm Sicherheitslücken gezielt aufrechterhalten, Oder verschweigen, um dieses selber auszunutzen, was das ist, was wir die ganze Zeit sehen, wir haben's erst in der letzten Sendung wieder besprochen mit der NSA.

Und so. Mhm.

Oder sie werden eine Koppe werden, die äh vorhandenen, Softwaredistributoren und der großen Plattformen zu einer Kooperation bewegen, Das sind die beiden Möglichkeiten für Infektionswege, was anderes gibt's nicht. Was da am Ende bei rauskommen wird, werden wir sehen, die Schadsoftware selber ist immer das geringere Problem, die zu schreiben, kriegst du hin, ja? Ähm die zum Ausführen zu bringen, ist zum Beispiel auf so einem äh, iPhone eben nicht unbedingt trivial, ne? Du müsstest es entweder ein vertrauenswürdiges Signier, also vertrauenswürdige signierte App haben, dann kommst du aber nicht unbedingt an die anderen Daten, Äh die andere Apps haben, das heißt, du müsstest eigentlich auf Rout-Level dich irgendwo einnisten. Das heißt, du bräuchtest einen Jellbreak, Also alles nicht ganz so einfach. Ich vermute aber, dass die, dass sie sich dieser ähm. Dieser Situation sehr sehr bewusst sind und dass die Staaten generell wahrscheinlich eher darauf hinarbeiten werden ähm. Eine dauerhafte, sichere, feste Möglichkeit zur Trojanisierung von Geräten zu bekommen, die sie in Rücksprache mit den Herstellern haben. Weil das wird dauerhaft einfach die für sie die sicherere. Ähm Methode immer äh Geräte kompromittieren zu können. Und vor allem offen auf dem saubersten Wege.

Sauber. Also im technischen Sinne sauber.

Da werden sie, ja, da werden sie vermutlich versuchen, drauf hinzuarbeiten.

Na ja, wir beobachten das natürlich, was was sich da noch äh alles ausgedacht wird. Bisher sind das alles nur Ankündigungen. Ich glaube nicht, dass da irgendwas Nennswertes exi.

Na ja, die haben das Geld im Budget, ne? Also die haben das Geld im Haushaltsplan, das wird jetzt halt sind, kannst wahrscheinlich jetzt wieder gucken, wen die, wenn die suchen, ist mir gerade immer so schöne Stellenanzeigen auch. In diesem Bereich. Nein, die werden die sich von jemandem schreiben lassen oder von jemandem kaufen, ne? Also so ein Unternehmen wie Gamma. Ich weiß nicht, ob die aktuell noch einen Trojaner für äh für iOS haben ähm aber die hatten auf jeden Fall welche, ne? Im Angebot, Aber wie gesagt, der Trojaner ist immer ist nur die halbe Miete der Infektionsweg ist immer ormal eine Herausforderung.

So, einen Termin haben wir noch.

Ein Termin haben wir noch, vom zwanzigsten bis dreiundzwanzigsten Oktober gibt es in Graz das Festival, das sich rund um Musik, Kunst und den politischen Diskurs dreht zum zwölften Mal stattfindet. Nachts wird gefeiert, tagsüber werden auch netzpolitische Themen diskutiert, deswegen bewerben wir das hier dort wird unter anderem zu sehen sein Thomas Lohninger, der schon bei uns zu Gast war, Katharina Nokun, die schon bei uns zu Gast war und Sarah Harrison, die als äh Vertreterin von Wiki Leaks ja auch allgemein sehr bekannt ist. Also in Graz das ist in Österreich vom zwanzigsten bis dreiundzwanzigsten Oktober, Link gibt's bei uns auf der Seite kann man hingehen, wenn man in Österreich ist.

Oder sein möchte. Wer Steiermark, da muss das gute Kürbis kennen Öl gibt, unter anderem. Kürbiskernöl. Da ist die Steiermark ganz bekannt war. Ist so. Dann ist das Restaurant und dann gießen dir das über alles. Bei drei nicht auf den Bäumen ist. Weil geht auch, also ist lecker. Und eine nette Stadt. Also, ich war mal da, schön alles geschmeckt. Gerne wieder.

Alles gleich geschmeckt?

Gerne wieder Nöl war einfach toll da, also.

Ja, Österreich hat schon schöne Städte.

Hat schon schöne Städte gehört, Graz definitiv äh dazu. Da wird auch äh auch Podcast treffen, all solche Sachen. Bleibt uns nur wieder danke zu sagen.

Ja, ich danke äh Christian, Daniel und T-Systems, dieses.

Nicht dein Ernst? Wie.

Es kam ein Paket an im Chaos-Computerclub, da hab Sender T-Systems. An mich, es hat ein große Aufregung gegeben.

Das kann ich mir gut vorstellen. Aha.

Ich hab's aber leider noch nicht abgeholt, weil ich unterwegs war, ich.

Ach so, aber du bedankst dich schon mal trotzdem.

Ja äh weil natürlich sofort die Recherchen losgehen äh und irgendwie die Tracking-Nummer geguckt, wo das abgeschickt wurde, scheint es also nicht unbedingt äh von dem Absender wirklich zu sein. Wenn doch äh.

Vielleicht haben sie die ganzen, die ganzen WLAN-Rauter, die sie jetzt aus den Zügen ausbauen müssen irgendwie zugeschickt, so ist kleine Datenspinde. Na ja, Ja und danke natürlich auch wieder alle anderen, die uns hier regelmäßig unterstützen und vor allem auch zuhören und die Hoffnung nicht aufgeben, dass wir unseren zweihundertsten äh Geburtstag hier noch ordentlich über die Bühne bekommen und dann auch Lust haben daran teilzunehmen. Bis dahin äh sagen wir erstmal tschüss und bis bald.

Tschau tschau.