WannaCry — Vorratsdatenspeicherung — SMS-2FA — re:publica — Termine — 34C3
Ein paar Tage später dran als gewohnt und genau richtig, um den Fallout der Ransomware WannaCry zusammenzufegen, die über das Wochenende ihr Unwesen auf den ungepatchten Windows-Computern der Welt getrieben hat. Dazu blicken wir auf die geplante vorzeitige Verschärfung der Vorratsdatenspeicherung und die Probleme, die Provider mit ihrer Umsetzung haben, die re:publica in Berlin. Dann verkünden wir noch ein paar Termine und besonders auf die neue Location des 34C3.
Linus Neumann
Tim Pritlove
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Linus Neumann 0:00:00
Guten Morgen liebe guten Morgen Tim. Heuldoch.
Tim Pritlove 0:00:29
Lokbuchennetzpolitik Nummer zwo zwo eins etwas äh verspätet aus verschiedensten Gründen, aber vom Timing her am Ende dann doch äh ganz äh ganz elegant.
Linus Neumann 0:00:41
Ja, die Meta-Ebene hatte hier einige Ausfälle zu beklagen.
Tim Pritlove 0:00:45
Ja, die äh der Ausfall ist immer noch zu beklagen, irgendwas ist mit meiner Stimme, ich weiß nicht so ganz genau. Bin ich mir so gut bei derselben? Äh seht es mir nach ähm liegt aber glaube ich nicht an den Veranstaltungen der letzten Woche.Auch wenn mir das Wahrscheinlichkeit ja keiner glaubt.
Linus Neumann 0:01:00
Veranstaltungen waren ja stimmendes.
Tim Pritlove 0:01:02
Ja diverse mehrere da gehen wir auch äh noch drauf ein. Ja ansonsten ja war's ein beliebtes Wochenende für dich glaube ich, ne?
Linus Neumann 0:01:14
Ja, es war ich wollte eigentlich.
Tim Pritlove 0:01:17
Ich dachte schon, wir kommen hier gar nicht zum Senden oder irgendwie vom Telefon nicht wegkommst. Tja, ja.
Linus Neumann 0:01:22
Äh kommen wir gleich.
Tim Pritlove 0:01:23
Mit dem Rom und dem Erfolg, ne? Ja. Aber genau, wir fangen äh mal ein bisschen Feedback äh ein.Wir kriegen ja auch immer schönes äh von euch, einerseits in den Kommentaren, andererseits auch ab und zu mal per Mail. Ähm ist jetzt nicht wirklich so ein richtig.Breaking News teil, aber wollten wir nochmal.
Linus Neumann 0:01:48
Vor zwölf Jahren.
Tim Pritlove 0:01:50
Genau, also Markus hat uns geschrieben und von seiner Tätigkeit als Wahlhelfer von,Vor zwölf Jahren äh berichtet in einer nicht nähergenannten äh Stadt zur Kommunalwahl. Warum? Weil dort ähm auch Software zum Einsatz kam.Um die Wahlergebnisse seines Wahlbüros, seines Wahllokals. Ähm, digital zusammenzufassen. Wir hatten ja vor einigen Sendungen über diese Software IVU Elect äh gesprochen.Mir ist nicht klar, ob die jetzt hier zum Einsatz kamen. Ich habe da so ein bisschen meine Zweifel, aber irgendeine Software ähnlicher Natur kam wohl dort schon zum Einsatz. Software hatte man,Was man aber wohl nicht hatte, waren Computer,wurde halt nicht nur noch Wahlhelfern gesucht, sondern es wurde auch gleich noch nach Wahlhelfern mit Computer gesucht, weil man hatte wohl irgendwie nicht genug, brauchte dann nochmal schnell mal so einen PC, der äh auf jeden Fall Floppi Disco und CD Laufwerk haben sollte.Ähm ich zitiere mal äh kurz, also ich weiß nicht, ob er jetzt einen Rechner mitbracht oder jemand. Ich glaube, jemand brachte einen Rechner mit und er verfolgte äh das Ganze. Es gab dann auch noch irgendwie etwas Kohle äh äh dafür.Aber wir reden jetzt wirklich von privat mitgebrachten Computern. Dann schreibt er uns zuerst wurden die Rechner mit einer McFi-Boot-CD auf Viren gescannt.Bin mir nicht mehr ganz sicher, ob die Wahl sofort danach direkt auf dieser CD war oder von einer zweiten CD neu gebudet wurde, soweit ich mich erinnere, wurde das Betriebssystem auf der Festplatte aber nicht genutzt, was wiederum für das Buchen von CD spricht. Auf jeden Fall,war zusätzlich noch eine Diskette erforderlich auf der die Daten spät auch abgelegt wurden wie dieser Vorgang abzulaufen hatte war festgeschrieben und wurde in einer Schulung vorher besprochen.Und ich meine auch gezeigt und geübt. Dieses Kette war wohl in irgendeiner Form gekennzeichnet, enthielt spezielle Dateien, die auf den Wahlkreis zugeschnitten waren.Dann ins wette Krypto zum Einsatz kam, ist mir nicht bekannt. Die Stimmzettel wurden dann nach dem Vieraugenprinzip in die Waldsoftware übertragen, durch die vielseitigen Gestaltungsmöglichkeiten mit Komulieren und Panagieren,war das auch schon genug Arbeit, die Veränderung der Stimmenzahlen konnte man soweit ich mich im Sinne nachvollziehen, ob unmittelbar oder nur, wenn man die Eingabestatistiken anzeigte, kann ich aber nicht mehr genau sagen, die Software erfasst auch nachträgliche Korrekturen und,Fehleingaben. Ja, ähm, was kann man davon halten? Wir haben's ja hier schon äh häufiger gesagt, dass äh.Grundproblem bei der Wahl natürlich ähm immer das Vertrauen ist und das so ein bisschen wie bei der Kühlkette.Ja, also wenn da irgendwo zwischendurch mal die Temperatur weggeht, dann äh kannst du den Fisch danach doch so tief gefrieren. Der ist dann halt unter Umständen madig.
Linus Neumann 0:04:35
Preis halt.
Tim Pritlove 0:04:36
Halber Preis, volle Vergiftung.Und ähm so ähnlich ist es natürlich hier auch. Äh jetzt war dieser Bericht etwas unvollständig, um das jetzt hier abschließend bewerten zu können, wie skandalträchtig das jetzt ist. Natürlich haben private Computer,in so einem Prozess nix zu suchen. Ähm hier wird jetzt relativ wenig darüber gesagt.Ob jetzt die Floppi der einzige Weg der Rückmeldung war oder ob die noch anderweitig veröffentlicht wurden. Ähm und sagt natürlich jetzt auch nicht so sehr viel darüber aus, äh, wie das heute so ist, aber wir sehen in diesem Wahlprozesssehr unterschiedliche Herangehensweisen und diese Herangehensweise können wir auf jeden Fall nicht empfehlen.Ja, danke Markus für die Rückmeldung. Das war's dann auch schon mit Feedback.
Linus Neumann 0:05:31
Kommen wir jetzt kommen wir zum Tal Your Soul.
Tim Pritlove 0:05:34
Wurde er von vielen Hörern auf Twitter schon angekündigt.
Linus Neumann 0:05:37
Es ist,Man hat ja wir denken öfter mal so, man kann mal eine Woche ausfallen lassen Logbuch, ne? Weil dann ist auch garantiert, dass du wirklich alles passiert und letzte Woche ausfallen zu lassen war äh ein ein kapitaler Fehler und wir werden ein paar,paar Themen, die wir eigentlich in dieser Woche hätten behandeln sollen, auch hinten rüberfallen lassen, weil wir weil wir uns jetzt eben mit diesen auseinandersetzen müssen.Und ich habe mir so ein bisschen das Ziel gesetzt, dass das jetzt auch wirklich das letzte Mal ist, dass ich das erkläre, weil.
Tim Pritlove 0:06:10
Genau, wer nämlich von euch unter einem Stein gelebt hat, Lilus war das ganze Wochenende.
Linus Neumann 0:06:14
Äh boah, nee, es war, ich war, ich hat.
Tim Pritlove 0:06:17
Du warst halt nur irgendwie im Film und Fernsehen, oder?
Linus Neumann 0:06:20
Die eh so auch nicht, aber es war schon relativ viele Anfragen zu dem Thema und ich war eigentlich in, also ich war auf Reisen wie so oft und hatte mich eigentlich auf ein,mehr oder weniger ruhiges Wochenende gefreut und es ging am Freitagabend, kam dann halt diese Push-Nachricht irgendwie äh Schrecken Cyber trifft das Vereinigte Königreich und ähm.Dann ging es, dann ging es rund, aber ähm ich mache das ja auch gerne. Insofern soll das, soll es jetzt auch kein,Leidklagen sein, aber ich war die war das Wochenende relativ oft damit beschäftigt. Und wer das jetzt ein letztes Mal zum Besten gehst und dann hoffentlich nie wieder, obwohl ich heute Morgen schon wieder in zwei Radiosendern war.Aber dafür ist es jetzt wenigstens gut geübt.
Tim Pritlove 0:07:06
Genau, also es gab einen Befall.
Linus Neumann 0:07:08
Über alles berichtete Lokbuchnetzpolitik spätestens seit August zwanzig sechzehn, denn da geht diese Geschichte los. Ähm zwar ging esprimär um die Shadow Brokers, also diese nicht bekannte Gruppe, die aus unklarer Quelle ein Reichtum an NSAExploids und und Hackertools hat.
Tim Pritlove 0:07:30
Also also bekannt ist sie schon, man weiß bloß nicht, wer es ist.
Linus Neumann 0:07:32
Genau, also sie ist genau, man weiß nicht, wer es ist und jetzt wenn man nicht weiß, wer es ist, dann sagt man ja, sind die Russen und ähm hat aber auch dafür keinen nennenswerten Beleg. Ich habe ja schon damals die,also die die Behauptung der Shadow Brokers im August zwanzig sechzehn wardass sie irgendwo die NSA gefunden haben und sich von also in von einem infizierten System zurückgehackt haben. Und ähm das, was sie in ihren Händen haben, sind ja auch Anleitungen zu diesen Angriffstools und die Command Control Komponenten und das findest du nicht einfach,auf einem befallenen System, weil das die die Komponenten sind, die auf der anderen Seite laufen. Das heißt, irgendjemandem ist es gelungen, echt viel,aus dem aus dem NSA Fundus zucken oder irgendjemand von der NSA hat die rausgetragen. Ja, der wird alle, der würde dann allerdings jetzt inzwischen wirklich um sein Leben fürchten müssen. Ähm,wie dem auch sei. Wir beobachten seitdem, ich glaube, regelmäßig und wir haben hier auch regelmäßig darüber berichtet, so Teilveröffentlichungen von deren Tools.
Tim Pritlove 0:08:38
Vor allem bei Vicky Leaks.
Linus Neumann 0:08:39
Wiki Leaks, immer unterschiedlich bei anfangs war es bei Githa, aber Gitterpart dieses Reportatorik gelöscht, immer irgendwo anders, ja. Ähm.Das ist also um da mal kurz kleiner kleiner Ex-Kurs äh Geheimdienst kriege. Das ist natürlich so, dass das Übelste, was für was zu dieser NSA antun kannst, ja? Ähm deren ähm deren Angriffstools,zu klauen und diese halt Scheibchenweise zu veröffentlichen, denn.Durch die Veröffentlichung werden diese Tools für die NSA erstmal wertlos, weil dann werden natürlich die Sicherheitspatches äh dazu herauskommen und das heißt, sie können diese Waffen nicht mehr verwenden.
Tim Pritlove 0:09:18
Zumindest für eine bestimmte, also irgendwann nicht m.
Linus Neumann 0:09:21
So, das ist ein, das ist ein Finanz, das ist erstmal ein finanzieller Schaden, du verbrennst halt deren Tools. Das ist aber in Ordnung, die haben ja genug Budget, ist halt ärgerlich. Schlimmer ist, dass du dadurch natürlich es äh Forensikan ermöglichst.Unter Umständen zu erkennen,in der Vergangenheit von der NSA angegriffen wurden, ne? Weil vor August zweitausendsechzehn muss man ja davon ausgehen, dass niemand anderes diese Tools hatte.Sei denn, es sei denn, die Shadow Brokers haben die damals schon benutzt, ja? Und haben die, haben die vielleicht schon ein Jahr vorher gehabt.
Tim Pritlove 0:09:54
Aber denkst du dann, dass die NSA die selber herausgefunden hat oder haben die nur gekauft.
Linus Neumann 0:09:59
Es wird eine Mischung sein, ne? Also einige werden sie selber werden sie selber herausgefunden haben, einige werden sie ähm äh werden sie eingekauft haben.
Tim Pritlove 0:10:08
Und kaufe dieses dann exklusiv.
Linus Neumann 0:10:09
Das ist also Moment. Es gibt eine Schwachstelle und es gibt einen Exploid dazu, ja?Die NSA wird im Zweifelsfall irgendwie so ein Beispiel Exploid kaufen oder so, aber die Schwachstelle und wie du sie exploitest. Das kannst du ja noch auf verschiedene Wege tun. Und es ist sehr unwahrscheinlich, dass das Tue, mit dem du das, mit dem du das Exploid nutzt,beidgleich ist mit dem, was ein anderer Geheimdienst nutzt. Hinzu kommt, es geht ja nicht nur um die Exploids und die Schwachstellen, sondern auch um die Implants,Also um das, was du dann anbringst, nämlich der Trojaner oder was auch immer du dann machst,auch solche Sachen waren ja bei diesen Shadow äh bei diesen Shadow Broker Geschichten dabei oder dann die Command and Control Komponenten von irgendwelchen äh Dingen. Und es ist sehr unwahrscheinlich, dass die zwei Geheimdienste bald gleich einsetzen.Also ähm.Die das für die Attribute ist es auf jeden Fall ein Disaster, wenn wenn dein Waffenschrank auf einmal irgendwie äh in der Welt ist. Ähm das heißt, dieses Problem hat die NSA, was dann natürlich so ein bisschen.
Tim Pritlove 0:11:17
Sowie Rakete bei der Bundeswehr geklaut und äh Spielplatz bombardiert.
Linus Neumann 0:11:23
Weiß ich nicht, ob das der richtige Vergleich jetzt ist. Also um nochmal kurz von vorne anzufangen die NSA kann diese Waffen selber nicht mehr einsetzen. Die NSA muss darunter leiden oder muss,muss zumindest die Sorge haben ähm dass das andere Angriffe aus der Vergangenheit nun der NSA zu zuschreiben können, was für die eine oder andere diplomatische Verstimmungähm sorgen könnte und ähm.Der Erruf der NSA leidet natürlich auch, ja? Also ich habe das äh mal so genannt, sodass man der NSA politisch nicht vertrauen konnte, war irgendwie ähm seit seit Snowden klar, aber ähm,Einer ihrer wichtigsten eines ihrer wichtigsten Argumente ist ja, dass sie diese dieses Wissen über Schwachstellen horten, dass sie ihre Angriffstools horten und dass sie damit für das Gute kämpfenUnd das zentrale Argument gegen diese Praxis der NSA war ja immer, dass sie, dadurch, dass sie das Wissen über Schwachstellen geheim halten,andere einem Risiko aussetzen. Und jetzt gehen diese Shadow-Brokers hin, zocken denen einen Sack an Exploids und liegen die ins NetzUnd was zu befürchten war und das haben wir ja Logbuchnetzpolitik berichtete, äh ist das, dass diese ähm Angriffstools, die die von der NSA da jetzt äh im Internet auf einmal frei verfügbar waren, dass die anderen nutzen würden.Und so geschah es dann auch. Also ähm wir haben darüber, glaube ich, in LMP zweihundertachtzehn berichtet. Im Februar setzte Microsoft zum ersten Mal in dreizehn Jahren den Patch Tuesday aus,und hat nicht zum angekündigten Datum Updates ausgeteilt, sondern hat gesagt, okay, Patch Ducel fällt aus, gehen sie äh gehen sie weiter, passiert nichts. Hat dann im März einen größeren, umfänglicheren Patch Tuesday gemacht.Mit einer längeren Liste Sicherheitsupdates.Und exakt einen Monat später, siebzehnter April oder sowas, haben dann die Shadow Brokers wieder ihre äh Sacktools veröffentlicht. Ich glaube, in dem Fall waren es neun ähm,neuen Angriffstools. Und es stellte sich dann raus, dass die entscheidenden Sicherheitslücken genau einen Monat vorher.In diesem März Security Update von Microsoft gefixt wurden. In den Betriebssystemen, die Microsoft noch unterstützt.
Tim Pritlove 0:13:50
Wo zum Beispiel Windows P nicht mehr dazu.
Linus Neumann 0:13:52
Gehört seit einigen Jahren nicht mehr dazu, weil es End of Life ist und Microsoft gesagt hatbitte nicht mehr, bitte nicht mehr benutzen. Kauf mal kauf mal was Neues, ihr habt das jetzt irgendwie dreizehn Jahre benutzt oder wie lange auch immer so jetzt kommen jetzt mal wieder hundert Euro an die Sonne, jetzt machen wir eine neue Runde, ne?Ähm so, das heißt im März äh äh im April zwanzig siebzehn sind auf einmal diese Angriffstools öffentlich.Und liegen für jeden äh frei zum Download in den großen bösen Internet.Und jetzt war natürlich die Frage, was machen die Leute damit? Ein größerer Teil der Angriffsoberfläche war hoffentlich glücklicherweise, weiß man nicht verschwunden, weil ja wahrscheinlich viele ihre Sicherheits-Updates machen,Einige aber offenbar nicht.Und was jetzt passiert ist, ist, dass Leute diese einen Exploid mit dem Namen E-Turnal Blue benutzt haben.Das so ein bisschen zu der der Königsklasse der Exploids gehört, nämlich eine sogenannte Remote Code Executition ermöglicht. Das heißt, du musst.Ohne du brauchst keine weitere Nutzerinteraktion, um ein System zu übernehmen und auf diesen Code ausführen zu können.Und ähm in der Regel wird dann dieser Code nur mit Nutzerrechten ausgeführt oder so, aber es ist im Prinzip so, das ist so wirklich so diese,Das, was man sich immer so vorstellt, der Hacker kommt und ohne dass du irgendetwas getan hast, übernimmt er dein System. Das ist relativ selten,dass Angriffe so funktionieren, dass man solche Schwachstellen hat, weil die eben so besonders kritisch sind.Und gleichzeitig sind sie natürlich besonders attraktiv. Und in diesem Fall äh war diese Sicherheitslücke in den Feilshares von Windows. Also wenn du eine Dateifreigabe hattest auf einem Windows-System, Sit XP.Und man dort ein bestimmtes Paket hinschickte, dann konnte man dadurch deinen Rechner übernehmen und Code ausführen. Ähm.Hier ist nochmal wichtig die Trennung zwischen Exploid und Paylot, ne? Oder dem, was dann, also was man dann macht, ich kann also mit dem Exploid Code ausführen. Die Frage ist,welchen Codeführe ich denn aus, ne? Ich könnte ja irgendwie einen kleinen Trojaner im System einnisten, ich könnte was weiß ich, eine ein lustiges Katzenbild auf dem Bildschirm anzeigen. Ich könnte ein Rentsim Wear Trojaner äh ausführen und alle Dateien verschlüsseln.Auch ein paar andere Hacker, äh die einen Tool namens Onegrip geschrieben haben, äh dass sich dieser, dass also diese Sicherheitslücke,aus dem Fundus der NSA nutzt, um sich weiter zu verbreiten. Das heißt, dieser Trojaner, wenn er einmal auf einem System ausgeführt wird, scannt im lokalen Netzen und im Internet nach,SMB Freigaben und schickt da wieder sein Paket hin, das nennt man Worum, also ein Chartprogramm, das seine.Befallenen Rechner nutzt, um wiederum weitere zu befallen.Ja und das äh wurde offenbar irgendwann am Freitag in die Welt gesetzt, wie man das so macht mit mit üblen Cyberattacken. Man macht's ja am Freitagabend, weil dann freuen sich die Admins am meisten.Und äh was dann eben auf diesen Rechner, auf den befallenen Rechnern zu sehen war, war dann irgendwie so eine Forderung, also herzlichen Glückwunsch, ihre Dateien sind weg, äh wenn sie die wieder haben wollen, zahlen sie bitte innerhalb von drei Tagen Betrag X,innerhalb von drei Tagen nicht tun, verdoppelt sich dieser Betrag.Und ähm wenn sie es nicht innerhalb von sieben Tagen tun äh erlischt unser Angebot.
Tim Pritlove 0:17:38
Und auch eure Daten.
Linus Neumann 0:17:39
Ähm.Es gab zwei Sachen, die mich bei diesem bei dieser Welle ein bisschen nachdenklich gemacht haben. Ähm das eine war.Das relativ schnell bei einer dynamischen Analyse rauskam, dass dieses Tool nach einem, also es macht einen DNS.Rückfest nach einer bestimmten Domain. Und diese Domain ist also irgendwie eine eine längere Kette an Zufallszeichen gewesen.Diese Domain existierte nicht und entsprechend war das natürlich auch die Antwort der DNS-Server.Ne? Und dann machte das Tool weiter, weil diese Domain nicht existierte.Ähm einer der Analysten, dem ist also dieser DNS-Request aufgefallen, der hat dann einfach gesagt, na ja okay, dann wenn es die Domain nicht gibt.Und das Tool, die aus irgendwelchen Gründen braucht, dann kaufe ich mir die doch mal schnell und hat sich dann diese Domain registriert und hat festgestellt, wenn dieser DNS-Request rausgeht.Ähm dann also wenn der der DNS-Reques beantwortet wird mit diese Domain existiert, dann macht der Trojaner nicht mehr weiter.
Tim Pritlove 0:18:48
Also ein Kilzwitsch.
Linus Neumann 0:18:49
Ja, man könnte das Kill Switch nennen, aber ich ich meine sowas machst du dochnicht aus Absicht, weil eine Domain registrieren kann ja jeder. Also zu sagen, okay, mein mein globaler Kill Switch, den nutze ich da, also bei einem Wurm, ja, nutze ich als globalen Killswitch-DNS,ist, ist eine gute Idee, weil ähm ne das das haben die meisten und du wirst die Ausbreitung deines Wurmes sehr gut.Eingrenzen können, der ist ja außer außer deiner Kontrolle, wenn der da draußen rummarschiert.Und wenn du sagst, es gibt aber hier dieses weltweite System des Namens DNS und ich gehe davon aus, dass neunundneunzig Prozent meiner Würmer dieses DNS auch bekommen, dann kann ich da schön eine Nachricht schicken und ihnen sagen, hör auf,Aber diese Nachricht sollte natürlich so sein, dass nur ich die senden kann,und sollte nicht darin bestehen, dass eine Domain existiert. Also du würdest zum Beispiel sagen, okay, du machst ein kryptografisch, signierte Nachricht in einem in einem.In in diesen in die DNS-TXT-Feld oder sowas, ne? Also kannst ja eben was machen.Gibt's tausende von Möglichkeiten und man ist überrascht, dass die dass diese Angreifer offenbar hier entweder ein Fehler oder so einen lustigen Witz gemacht haben. Also ich frage mich ernsthaft warum. Also es ist so ein Fehler machst du nicht.
Tim Pritlove 0:20:06
In moderner Form des Internetwetzes.
Linus Neumann 0:20:08
Ja, könnte sein, ne? ÄhmStellte sich dann aber auch raus, äh nachdem dann jemand diesen Kill Switch aktiviert hatte, hm waren dann relativ bald Varianten der Myware in äh in Umlauf. Die die sind, die diesen Fehler oder diesen Kill-Switch nicht mehr hatte.Ähm das zweite, was mich wundert, ist die vergeben offenbar eine sehr stark begrenzte Anzahl an Bitcoin-Wallets, wo die, wo das Lösegeld hinzuzahlen sei,Ähm ich glaube, Kai Biermann hat da eine Analyse zugeschrieben auf Zeit online und ich glaube, er sagte, wieso vier, vier Bitcoin-Wallets kommen da zum Einsatz und in denen ist bisher irgendwie so ein.
Tim Pritlove 0:20:48
Dreißigtausend Euro eingegangen, ne?
Linus Neumann 0:20:49
Wird ja wahrscheinlich nochmal ein bisschen mehr eingegangen sein, mittlerer, fünfstelliger Betrag.
Tim Pritlove 0:20:53
Also nicht viel.
Linus Neumann 0:20:54
Relativ wenig im Vergleich zu dem Schaden, den die angerichtet haben.Auch das machst du eigentlich nicht. Du gibst normalerweise aus, also dein dein Wurm infiziert, ja? Meldet sich beim Command and Control Server und sagt, hier melde Vollzug ein neues Opferne? Und dann gibst du dem vom Command and Control Server aus, zwei Dinge, nämlich erstens ein äh publicey, mit dem er die Dateien verschlüsselt,benutzt also asymmetrische Krypto, damit du dem nicht den wirklichen Key gibst, mit dem man wieder entschlüsseln kann.Willst den Witz ja niemals in Opferhand haben? Also gibst du ein Public hier raus? Und der verschlüsselt damit die Dateien. Das heißt, der Kiez zum Entschlüsseln verlässt deinen Command Control Server nicht.Und ist niemals auf dem Opferrechner.Ähm als zweites gibt's zudem eine Wallet ID und zwar jedes Mal eine neue. Es kostet dich ja nichts. Ähm neue Wallet-IDs zu machen.
Tim Pritlove 0:21:46
Also man kann bei Bitcoin und dazu bezahlen muss man quasi so eine Adresse draus machen, aber da kann man sich halt immer wieder eine neue erzeugen. Man muss nicht da.
Linus Neumann 0:21:55
Du bist nicht daran gebunden, deinen Personalausweis bei Bitcoin zu zeigen, um ein Konto zu eröffnen, ja? Das heißt, du kannst so viele Wallets haben, wie du willst und dann gibst du natürlich einfach Reize-Wallets aus.Ähm das haben die auch nicht gemacht. Wundert mich ebenfalls, weil diese vier Bitcoin-Wallets, wo jetzt das, wo jetzt das äh Lösegeld draufgeworfen wird, ne? Das sind jetzt ungefähr so die heißesten Wartes, die es in dieser Bitcoin-Blockchain gibtUnd wo willst du damit noch einkaufen gehen? Willst du jetzt sagen, so, ja, geil, dreißigtausend, ich bestelle mir jetzt einen Sackgras nach Hause, so, kaufe ich mir bei Silkroad und lasse mir das schicken so. Ich meine, dann stehen halt alle vor deiner Tür, ja? Ähm.Diese Kohle wirst du, also ich wäre an deren Stelle jetzt ohnehin,so ein bisschen aufgeregt und eingeschüchtert von dem, was ich in die Welt gesetzt habe und würde mir Sorgen machen, erwischt zu werden,Ähm aber ich würde unter keinen Umständen jetzt noch dieses Geld anrühren, ja. Was mich ein bisschen.Zu Verschwörungstheorien hinreißt, was die wirkliche Motivation der Angreifer ist,Ob deren Ziel wirklich ist, ähm dieses Geld einzusammeln und sich mit dieser Aktion zu bereichern.Oder ob die vielleicht irgendwie eine andere Agenda haben? Hm, weiß ich nicht genau, werden wir.
Tim Pritlove 0:23:13
Oder blöd sind.
Linus Neumann 0:23:16
Ja, aber andererseits, ich meine, die haben das Ding in weiß nicht zwanzig Sprachen übersetzt, so der meldet sich mit irgendwie in chinesisch, Deutsch oder bei sonstigen Sprachen bei dir. Ähm die haben dieseunsere Forderung erhöht sich Mechanismus da drinandere Analysten, die sich also die die sagen auch so, dass die von unterschiedlicher Codequalität an unterschiedlichen Stellen ist.Aber das kann ich nicht verurteilen, das habe ich nicht selber gemacht, weil es eben teilweise Leute sagen soll, einiges darin sieht irgendwie ziemlich,gut und fortschrittlich aus und dass die so ein Bauchgefühl haben, das kannste häufig nicht,festmachen, dass sie sagen, so einige Teile sehen aus, als hätten die Leute geschrieben, die wissen, was sie tun. Andere Teile sehen aus, als hätten die Leute geschrieben, die unter Zeitdruck standen.
Tim Pritlove 0:24:00
Vielleicht haben sie sagen wir mal so die die digitalen Fähigkeiten, die haben sie irgendwie schon äh gebracht, nur so die Kriminelle ähKriminellen Fähigkeiten so im klassischen wie schütze ich mich denn, wenn ich jetzt meinen Deal durchgezogen habe.Das so ein bisschen so geiler, geiler Bankeinbruch mit über die Laserklettern und so weiter und dann am Schluss irgendwie mit so einem.
Linus Neumann 0:24:23
Scheiße, wie trage ich denn jetzt das Geld hier raus.
Tim Pritlove 0:24:25
Pinke, ja, genauso mit einer Kutsche irgendwie davon reisen.
Linus Neumann 0:24:28
Also sie hätten die mal so ein bisschen Obsack von von paar erfahreneren Drogendealern.
Tim Pritlove 0:24:33
Kann man nicht ausschließen, ich meine, es wird einem ja so alles dermaßen äh in die Hände gelegt. Meine,Sicherlich haben die einiges an Software noch schreiben müssen, aber der Exploid kam ja sozusagen kostenlos äh überhaupt kann man da mittlerweile viel von anderen Dingen, die es vorher schon gab lernen.Schwer zu beurteilen.
Linus Neumann 0:24:55
Genau, also ich mir sind zwei technische Kuriositäten, die mir bisher aufgefallen sind, wir schauen mal weiter. Aber was ist eigentlich passiert, ne? Ähm in in Großbritannien waren irgendwie sechzehn Krankenhäuser betroffenne, die hat neben wie vierundzwanzig Stunden Ausfälle äh Wurz konnten nicht mehr auf Patientendaten zugreifen.Das ist ein großes Drama, ja? Also sagen wir, das ist ein ein riesiges Problem, aber das ist halt auch noch nicht eine Katastrophe,dass also ein Ausfall von sechzehn Krankenhäusern kannst du schultern. So, ich sage das ist nicht lustig für die Patienten.
Tim Pritlove 0:25:32
Nö, vor allem, wenn da ein Patientendaten dann dauerhaft verloren gehen et cetera.
Linus Neumann 0:25:35
Sowas wie wir haben denn jetzt gerade äh äh hier eingeschläfert, welche Blutgruppe hat der nochmal.So, äh also da sind nur es ist halt, es ist nicht Notstand, ne? Es ist es ist äh Krise, aber nicht Notstand.Ähm,irgendwie tausend Rechner des russischen Innenministeriums befallen, Fat Ex in den in den USA, also hier so ein, diese, so ein Logistiker, ne, äh BHL Äquivalent, in Renault bei Renau, in Frankreich setzt die Produktion aus und dieDie Deutsche Bahn äh hat in hat am Frankfurter Hauptbahnhof wieder Kreidetafeln ausgehängt, um die Züge anzuzeigen.Irgendwie und dann hast du so kleinere Scherze irgendwie der Parkhaus Parkscheinautomat eben irgendwie am Flughafen Tegel zeigte auch nur diese One a Crime Meldung an, so nach der sowieso ein bisschen teuer für Parken, ne? Also.Also das Ding war, das Ding hat äh massiv ähm massiv eingeschlagen.
Tim Pritlove 0:26:41
Am schönsten fand ich irgendwie diese große Werbetafel in Thailand. Die.
Linus Neumann 0:26:44
Ups.
Tim Pritlove 0:26:48
Und diese Kryptowarnung irgendwie dann auch so schön auf der Straße zu sehen war.
Linus Neumann 0:26:52
Also da gab's äh da gab's einiges an einiges an Lachern und ähm,Ja, das sieht ne, also das ist ja alles, das ist lustig äh äh und äh aber der der Titel dieser ähm.Dieser Myway mit One Decriptor oder One-Ecrypter und aber One Acry ist jetzt so der Name, der sich natürlich am meisten durchsetz,ist natürlich auch sehr äh passend gewährt und man hat als nicht Betroffener äh relativ viel zu lachen, aber machen wir mal, schauen wir uns mal an, was da jetzt tatsächlich los war, ne.Ähm die befallenen Systeme haben,auf jeden Fall nicht das aktuelle Patch-Level. Also entweder waren da noch uralte Windows XP im äh im Betrieb oder noch unterstützte Windows Varianten, die aber eben mindestens seit einem Monat keine Updates gemacht haben.Das ist und da schreien natürlich jetzt viele schlau los, ne? Die sind selber Schuld, dass die alte Software einsetzen, ja? Das stimmt.Auf jeden Fall, aber leider auch nur so halb, weil du kannst ähm.Du kannst in bestimmten Systemen nicht so einfach Updates machen, insbesondere da,wo so Nischensoftware im im Einsatz ist, die irgendwie von so kleinen Betrieben mal,wurde und dann steht da eben drauf, er läuft mit Windows XP oder läuft mit Windows so und so und die hast du einmal gekauft und den Supportvertrag ist längst abgelaufen und ähm dann bist du irgendwann in der Situation, dass du diese Systeme nicht ohne weiteres updaten kannst,sowieso brauchst du in größeren Infrastrukturen so ein Patch Management, das heißt ähm wenn Windows kommt, äh wenn Microsoft kommt und gibt dir ein neues Update, dann spielst du das natürlich nicht auf den tausend Rechnern deiner Firma aus.Sondern du gibst das erstmal in so ein Staging und prüfst, was macht unsere Standardworkstation, ne.
Tim Pritlove 0:28:44
Hat es irgendwelche.
Linus Neumann 0:28:46
Hat das irgendwelche Auswirkungen, Buten die noch? Und dann schiebst du das raus in dein Unternehmen. Deswegen ja auch, wir hatten da glaube ich auch drüber gesprochen. Das hattest du ja ähmerklärt deswegen auch diese Tradition des Patch Tues Day, damit die Admin schon im Kalender haben. Ah, da kommt wieder Microsoft Kram, da muss ich wieder äh,gucken wie dass ich hier muss ich das begutachten, was es da gibtund priorisieren, ob ich dieses Update jetzt im Mediatley einspielen muss oder ob ich das mal ausführlicher teste, ich gucke, welche Komponenten betroffen sind, äh ob die unser Zusammenspiel betreffen könnten, also paar tausend Rechner updaten ist ähm,nicht etwas, was du leichtfertig einfach mal so machst, machen solltest.
Tim Pritlove 0:29:27
Machen solltest, genau.
Linus Neumann 0:29:28
Hinzu kommt dann eben diese Nischensoftware, die unter Umständen ähm.Wirklich nach diesem Update nicht funktioniert und dann hast du halt eine Abhängigkeit von auf von deinem Zulieferer. Wenn es den noch gibt,Detlef Borchers äh twitterte gerade so ein schönes Beispiel in so ein dreizehn Jahre alter MRT. Scanner, ne? Also Magnetresonanztomograph. Ja, hat einen Windows XP dran,Was meinst du, wie der dir die Bilder gibt? Natürlich über eine SMB-Five-Freigabe, so. Ähm und.
Tim Pritlove 0:29:54
Das war der Angriff weg, da muss man noch.
Linus Neumann 0:29:56
Und das ist der Angriffsvektor so und jetzt also spekulier ich jetzt das, das schrieb da schrieb er da nicht mehr. Jetzt kannst du da und äh schön ist der Hersteller ist ähm.
Tim Pritlove 0:30:05
Outdoor Business.
Linus Neumann 0:30:07
So jetzt. So, dann hast du natürlich ein größeres Problem. Hm, insofernKlar, die ganzen äh die ganzen klugen Leute sagen, ja, hättest du halt eine andere Lösung finden müssen. Ja, hättest du, kannst Fire Awards machen, gibt immer irgendwas, was die ganz schlauen Leute hätten machen können. Fakt ist, die Realität da draußen sieht anders aus und du kannst jetzt nicht, kannst nicht nur sagen, selber Schuld. Klar gibt's eine Komponente von selbst Schuld, aber.
Tim Pritlove 0:30:33
Ne, auf also was auf jeden Fall unter selbst Schuld abgebucht werden muss, ist Backup. Ja, also wenn man jetzt der Meinung ist, diese Systeme laufen so von sich aus, ewig so weiter und Festplatten geht nicht kaputt und Elektronik fällt nicht aus. Also man muss mindestens in der Lage sein, in einem überschaubaren Zeitraumdiese Systeme wieder zum Laufen zu bekommen aus einem definierten Bäcker abzuholen. Wenn das jetzt gerade auch noch so ist, bei diesem Hersteller bleiben wir aber bei diesem Beispiel jaDie Maschine ist teuer, die Maschine ist wichtig. Man weiß, man kriegt jetzt irgendwie gar keinen richtigen Support mehr dafür. Man weiß, man kann auch diese Maschine nicht ohne Weiteres aktualisieren.Fürs Betriebssystem ist ausgelaufendann muss das die allergrößte äh Priorität sein, davon überhaupt erstmal einen Klon herzustellen. Also man muss jemanden hingehen lassen und sagen, machen wir mal eine Kopie und lass lass die Kopie mal laufenSo und wenn das läuft so dann können wir uns sicher sein, dass was auch immer mit diesem Ding passiert, ja alsosicher sein, es wird etwas übertrieben.
Linus Neumann 0:31:36
Soll das Backup nicht vor dem Restore loben, aber man ähm hey, man hat zumindest eine gute Chance, äh, nicht bezahlen zu mü.
Tim Pritlove 0:31:40
Man kann es zu gute Chancen. Man kann es ja, man kann das Restaurant vielleicht auch selber mal erstmal selber mal wirklich zum Einsatz bringen. So. Das ist schon eine Maßnahme, an die man sich mal langsam gewöhnen kann.
Linus Neumann 0:31:51
Also ja, das ist, das ist sowieso die wichtigste oder ich meineich habe das äh glaube ich auch schon mehrmals jetzt. Ich habe alles schon mehrmals erzählt. Wahrscheinlich vergesse ich deswegen jetzt auch die Hälfte. Hier in in Berlin sehe ich mindestens einmal im Jahr so einen Zettel an einer Laterne kleben, wo draufsteht,Laptop verloren, tauEuro Finderlohn meine Doktorarbeit drei Jahre ich brauch 'n Strick so ne? Weil dieses Ding in der Drama liegen lassen oder so ne?Also da Backups ist echt hm nicht optional, ist auch nicht irgendwie sowas man, als Paranoida-Prapper macht, sondern das ist, das ist das, was man tun muss. Und ich habe zum Beispiel so immer, wenn ich so ein bisschen, wenn ich so ein bisschen Geld über habe, ne.Dann kaufe ich mir eine kaufe ich mir eine externe Festplatte,mach da ein Backup drauf, die Festplatte verschlüsselt und dann verteile ich die so im Bundesgebiet.Wie so ein Eichhörnchen, ne? Also so irgendwie eine besuchste Freunde in München oder so, ne, dann sagst du so, hör mal.Kann ich die hier lassen so, ne? Einfach mal, wenn was ist, hole ich mir die wieder ab oder so, ne? Und dann hast du da, weil wer weiß, ob ich irgendwann mal aus Versehen die Bude anzünde, ne? Oder jemand anders, ne? Kann ja auch passierenÄhm.
Tim Pritlove 0:33:03
Oder in U-Bahn Schacht unter dir einen äh knicken.
Linus Neumann 0:33:05
Ja, so ein Kölner Stadtarchiv, ne? Unter mir die Straße aufreißt. Also Backups ist wirklich nichts, was man, was man sagen kann, da äh mache ich, man mache ich mal nicht oder brauche nicht so. Was habe ich schon an Daten, ne?Sowas wie.Hatte ich auch mal einen Kombitoten, der hat dann der hat da keine Backups von den ersten zwei Jahren des Lebens seines Kindes in Bildern.So und dann ist sie weit die Festplatte abgeraucht. Der hat dann irgendwie so einen relativ teuren Daten wiederherstellungsdienst. Also ich glaube, wir haben unseren Punkt. Backofs machen muss man.Aber jetzt kommen wir mal zu der politischen Komponente davon. Ähm.Die NSA hatte ja das Wissen über diese Schwachstelle unbestimmte Zeit vorher. Das kann sein, dass sie das jetzt einige Monate,dass sie das einige Jahre oder sogar mehr als ein Jahrzehnt schon hatte, denn diese Sicherheitslücke geht ja zurück bis in Windows XP.Und Windows XP kam zweitausendeins oder sowas auf den Markt.
Tim Pritlove 0:34:06
Glaube ich, ja. Mhm.
Linus Neumann 0:34:07
Also Schätzungen könnten sagen, dass diese Schwachstelle vielleicht sogar schon sechzehn Jahre alt ist. Ne? Weiß man, da weiß man nicht so. Wir wissen mindestens, dass sie ein halbes Jahr alt ist.Vermutlich ist hier aber sehr viel sehr viel älter. So die die NSA hatte quasi die gesamte Zeit das Wissen über diese Schwachstelle und dass Rechner weltweit von dieser Schwachstelle befasst.Befallen sind ja befallen sind und hat nichts,dagegen getan. Die haben dieses Wissen bei sich in den äh geheim gehalten, weil sie diese Schwachstelle zu für ihre Zwecke nutzen wollten. Und was wir jetzt gerade sehen als Schaden,ist immer noch ähm relativ gering im Vergleich zu dem Risiko, dem die NSA die Welt ausgesetzt hat, denn immerhin,gab es ja jetzt zu diesem Zeitpunkt schon eine ein Sicherheitsupdate von Microsoft. Ähm,Es hätte ja genauso gut sein können, dass jemand diesen,diese Schwachstelle parallel findet, das ist ja außerhalb der der Kontrolle der NSA und sich so ein baut und den einfach mal in die Welt setzt und einfach mal vollständig ungepatchte Systeme,infizieren kann. Und das ist das Risiko, was die NSA mit jedem Tag, dass sie diese Schwachstelle geheim gehalten hat, eingegangen ist. Und,Der Schaden, den wir jetzt sehen, der wird sicherlich am Ende auf weiß ich nicht, wie viel hundert Millionen äh beziffert werden, wenn nicht in Richtung einer Milliarde, ich weiß nicht, was wir dann so in den Krankenhäusern mit äh und was wir bei Renault mit einer Betriebsunterbrechung und sofür für Rechnungen dafür am Ende bekommen. Ja. Also da ist ein riesiger Schaden entstanden in über hundert Ländern dieser Erde.Das hat die NSA wissentlich und billigend in Kauf genommen,Und zwar auf eine sehr lange Zeit und ich denke, das ist etwas, sorry, wenn ich jetzt zum Tal tue Seug komme, weil da genau davor waren wir seit JahrenDas ist dasdes Kernargument äh gegen diese gesamte ähm gegen diesen gesamten Geheimdienstmarkt mit den Schwachstellen, dass wir diesem Risiko ausgesetzt sind. Damit die ihre Hacking Tools behalten können,Und jetzt kam noch erschwerend hinzu, dass sie ihre Hacking Tools noch nicht mal behalten können.Und äh dass dass diese Angriffe halt in die Welt gesetzt wurden und und wir jetzt alle davon betroffen sind. Gehen wir mal davon aus, die hätten die hatten das Wissen schon vor fünf, sechs Jahren,jaWer jetzt 'ne moderate Schätzung, dann hätten Sie das damals Microsoft melden können, Microsoft hätte damals noch XP Supported, hätte diese Schwachstelle irgendwie ganz still und heimlich geupdatet, ja?Dann werden immer nochmal ein paar Leute vielleicht am Ende unter die Räder gekommen. Weil die Sicherheitspatches werden ja auch Reverse enginiert, um dann die Schwachstellen zu finden, ja? Das heißt, mit dem Sicherheits-Update gibst du so oder so das Wissen über die über die Schwachstellebekannt. Aber es werden nicht so viele Rechner mehr betroffen gewesen, ja? Das heißt, die Angriffsfläche wäre verringert worden und die NSA wäre nicht dieses,nicht kalkulierbare, absolut unverantwortungslose Risiko eingegangen, dass die Welt untergehen kann, nur damit sie damit sie diesen einen ähm Exploid hat.Und ähm das heißt, wir sind, wir erleben eigentlich gerade noch das Best Case Szenario von dem, von dem, was die NSA da gemacht hat.
Tim Pritlove 0:37:39
Das Best Case Szenario. Ja. Warum?
Linus Neumann 0:37:42
Na ja, also ähm du müsstest davon ausgehen, wenn der Patch so gekommen wäre, hättest du wahrscheinlich immer noch genauso viele befallene Systeme gehabt.Und einem wahrscheinlich ungefähr die genau die gleiche Wartezeit bis Angreifer äh wirklich daraus etwas Übles bauen. Ne, also das heißt so.Ne? Aber das, also schlimmer wäre es gewesen, wenn irgendjemand in den Jahren, die dieses diese Schwachstelle gibt, ne, weiß ich nicht, wie viele es an der Zahl sind, über zehn ähm.Weiß nicht, ab welcher Subversion Windows Expeda äh betroffen war oder schon ab der ersten. Ähm.Seitdem spätestens gibt es diese Schwachstelle und in in all diesen Jahren hätte jeder die finden können. Und das liegt eben wirklich vollständig außerhalb der Kontrolle der NSA.
Tim Pritlove 0:38:31
Hätte auch jemand raustragen können aus der NSA.
Linus Neumann 0:38:35
Zum Beispiel die.
Tim Pritlove 0:38:36
Ja, also wenn sie von drinnen kommen, dann vielleicht, ja, aber mal äh jemand, der mal so in finanziellen Nöten istbei der NSA arbeitet und sich was weiß ich, privat verzockt hat, äh, soll's ja alles schon mal gegeben haben, so gibt's ja dann mal so Leute, die fangen dann an, Banken auszurauben, da ist auch viel einfacher mal so ein Exploid auf den Markt zu schmeißenUnd wir sehen ja, was er für ein Potential hat. Auch wenn der jetzt hier so ein bisschen ungeschickt ausgespielt wurde und nicht wirklich Krone rübergebracht hat, aber ich glaube, bei anderen Rands sind wir ja Attacken, ist sicherlich mehr Geld über den Tisch gegegangen, oder?
Linus Neumann 0:39:07
Mal schauen, was hier noch kommt, ne? Also darfst nicht vergessen, das war Wochenende.Und äh du darfst nicht vergessen, dass es für jemanden, der mit dem Thema nicht betraut ist, durchaus eine Herausforderung ist, innerhalb von drei Tagen eine Bitcoin-Transaktion durchzuführen. Ja, also du musst dich damit vertraut machen, wie,funktioniert. Ähm, wenn jetzt auf so 'n klassischen Exchange Weg gehen möchte möchtest du ja vielleicht über 'ne Kontoüberweisung das Geld dort einzahlendie geht übers Wochenende langsamer. Außerdem kriegst du in der Regel einen Anruf von deiner Bank, ob du ernsthaft ähm an diesen Bitcoin Exchange Geld überweisen möchtest, weil das natürlicheiner der Indikatoren ist, dass ein Konto übernommen wurde, ne? Also du übernimmst 'n,Was gibt's Schöneres auf Erden als ein Iban-Konto zu übernehmen und das Geld in Bitcoin zu investieren.
Tim Pritlove 0:39:54
Ja, du musst halt irgendwie noch einen Pass hinschicken, musst dich da autorisieren, bis sich die überhaupt akzeptiert et ceter.
Linus Neumann 0:39:58
So, das heißt, das ist für also es gibt Möglichkeiten, mal flott äh Bitcoins zu überweisen. Ich hatte letztens einen Fall, wo er auch, was ist denn so? Kriegste SMS so ähm.Lenos, wie kriegen wir schnell Bitcoin? Welche E-Mail habt ihr angeklickt? Na ja und dann ähm so das ist,Ne, ich also da habe ich dann im Bekanntenkreis welche beraten und weiß, dass die haben also innerhalb von drei Tagen haben die das wirklich auch so mit mit meiner Unterstützung dann hingekriegt, ne.Insofern da das kann sein, dass da nochmal sehr viel mehr Geld über den Tisch geht, das kann auch sein, dass die dass die Leute ähm.Vielleicht dann doch Backups einspielen und und damit wieder klarkommen.Da ist das letzte Wort glaube ich noch nicht gesprochen. Ja gut, was sind die Reaktionen Dobrindt? Äh fordert mehr IT-Sicherheitsgesetz und mehr BSI. Und da möchte ich mal ganz gerne einhaken, ne.Was hat eigentlich das BSI seitdem um sechzehn oder siebzehnten April gemacht? Als dieser Exploid in die Welt ging.Die haben gar nichts gemacht. Die haben vielleicht irgendwie in ihrem BSI-Blog da gesagt, machen sie ein Windows-Update oder sowas, ne? Aber das war's.Andere Leute haben damals schon mal eben den Setmap rausgeholt, also so ein ein Portscanner.Und haben mal das Vier-Netz durchgescannt und geguckt, wo denn überall SMB Shares sind,und haben sich die Antwort geben lassen, wo nämlich im Identifire drinsteht, welche Arten von SMB Protokollen hier gesprochen werdenund haben irgendwie einen Tag oder sowas. Ich glaube, das habe ich auch in der LMP zweihundertachtzehn erwähnt. Irgendwie so ein paar hunderttausend äh betroffene Systeme gefunden.Ich hätte es in der Aufgabe des BSI gesehen, die wissen ja, welche IP-Adressen deutsch sind.Und die können ja auch den Look abmachen, wer wo diese IP-Adressen residieren, wem die gehören. Dass die einfach mal den gleichen Scan machen und dann die die Briefdruckmaschine anwerfen,und dahin schreiben und sagen, machen sie bitte sofort diesen SMB Share aus. So, das Ding ist bald platt.So, das wäre eine Aufgabe gewesen, die hätte ich mal so im Bereich des BSI erwartet. Wir haben gar nichts gemacht.Sitzen jetzt da und halten die Hand auf und sagen hier, war schon wieder Cyber, wir brauchen mehr Geld. Aber das wäre mal so, das da hätte ich gedacht so, ach.Ne, wenn dann so ein, so ein Hinweis käme so, ey, ah, übrigens hier offen, Weinreport, so da draußen ist Remote Code Execution, ähm so Brace for Impact, macht das bitte sofort wegja? Das wäre doch mal zu erwarten gewesen. Da hätten sie zumindest den den öffentlichen IP Vier Space abdecken können. Der ja dafür verantwortlich ist, dass das Ding äh sich so rasant ausgebreitet hat.Das wäre eine Aufgabe, wirklich eine Aufgabe für Nachmittag.Diese okay dann die die Leute da äh feststellen wo die IPs, aber Hauptsache du schickst irgendwo was hin. Aber die haben gar nichts gemacht. So, das äh halte ich für,für ausbaufähig.
Tim Pritlove 0:42:59
Aber sicherlich wird auch unsere unsere Politik jetzt äh auf diesen Vorfall reagieren und feststellen, oh wir müssen jetzt hier mal dringend unsere grundlegende Herangehensweise ändern und äh dürfen künftig solche Sicherheitslücken nicht mehr verstecken.
Linus Neumann 0:43:14
Ja, die äh die G wollen äh äh Sicherheit von Computernetzwerken erhöhen, ne. Also keiner, ich bin ganz froh, also dieser dieser Aspekt.Die verantwortungslos Geheimdienste damit umgehen. Der Wirt gerade schon in sehr vielen,Medien entsprechend auch aufbearbeitet. Ähm ich hattedie Spontangelegenheit da einen Artikel aus Spiegel online zuzuschreiben die digital und Netzwerkredaktion in den äh,In den entsprechenden Publikationen nehmen diese Argumente ebenfalls zur Hand und äh sage ich mal, kritisieren jetzt das Vorgehen der NSA. Es gibt einBlogpost von dem Chefjustizia von Microsoft, der auch sagt, so, dieses Winobility Stockpiling, also das Sammeln von Sicherheitslücken, statt sie zu beheben, muss ein Ende haben, denn und das Argument ist ja richtig, wir die spielen hier.Der nationalen Sicherheit, die sie eigentlich schützen sollen.Und genau das sage ich ja dann auch hier diesen diesen, habe ich auch vor ein paar Wochen erzählt. Diesen Zitisle da, die die werden ja genau das tun.Die die quasi dann auch Windrobilities haben wollen. Der BND hat irgendwie Millionenbeträge zur Verfügung, um Exploids zu kaufen. Das ist alles genau dieses Risiko, was sie da eingehen,wir dürfen uns nicht wundern, das ist also es wird finde ich auch sehr gut von Analyst in Zwischenhalt als so 'n Warnschuss und zwar als der letzte genannt.Was hier passiert ist, ja?Keinen anderen ähm verantwortungsvollen Umgang mit Sicherheitslücken als sie zu melden und zu schließen. Und wir können nicht akzeptieren, dass staatliche Stellen das tun,äh nicht tun. Gerade staatliche Stellen mit unserem Geld. Und ähm hier sieht man, ne, wenn man hier die Schadenspotentiale sieht, die da eingegangen werden.Es ist auch und so argumentiere ich ja dann entgegenüber den entsprechenden Verantwortlichen auch. Es ist auch ökonomisch die richtige Abwägung.Das Risiko, was du auch für deine eigene Volkswirtschaft, für deinen eigenen, für dein eigenes Militär, für dein eigenes Innenministerium damit eingehst, ist zu groß. Es ist es nicht wert.Da lasse ich äh gerne mit mir diskutieren, habe aber auch immer ein gutes Gegenargument. Jetzt kommt natürlich das, also die Antworten, die man darauf bekommt, ist natürlich, ja klar, das ist doch inlusorisch, die Geheimdienste äh operieren im verantwortungsfreien Raum.Und genau deswegen denke ich ist es eine politische Frage das nicht mehr zu erlauben. Das darf soDas können wir uns so nicht leisten, denn die Leute, die da unter die Räder kommen, sind natürlich nicht die Geheimdienste.Wenn die sehen, es gibt einen Zero Day Explore, irgendwo, ja klar, das haben die innerhalb kürzester Zeit gepatcht. Aber die, die Gesellschaft ist da irgendwie, wird denn da schwer getroffen? Und das ist äh nicht nicht akzeptabel, können wir so als Gesellschaft nicht,ähm dulden.
Tim Pritlove 0:46:09
Ja und es wird ja auch nicht besser werden. Also ich meine, wenn man sich jetzt gerade so den Trend hin zur Volldigitalisierung äh des Heims, ja, also Smart HomeSmart Home heißt äh du kriegst es demnächst in jedem Zimmer, um die um die Ohren geschmissen und nicht nur in deinem Arbeitszimmer. Ähmauch nennenswert äh auch nur mit so Begriffen wie Industrie vier nullin die in die Medienlandschaft erhebt, ja? Und die Vollverpflichtung und Volldigitalisierung der Wirtschaft und die Nutzung dieser digitalenPotentiale, die sie da überall sehen und das hier unglaublich viele Jobs verspricht. Ja, äh, Arschlecken, ja? Also ist halt einfach,Das geht alles so schnell hops,wenn man äh auf der anderen Seite nicht auch dafür sorgt äh diese neuen Businesswelten auch entsprechend abzusichern.Da können, da können sie meinetwegen so viel rumzabern, wie sie wollen.Ja? Also bissel Cyber meinetwegen, aber halt in die richtige Richtung.
Linus Neumann 0:47:10
So viel zu.
Tim Pritlove 0:47:13
Was sagt denn eigentlich unser Internetminister dazu.
Linus Neumann 0:47:15
Dobrindt? Mehr IT-Sicherheitsgesetz, gute Idee.
Tim Pritlove 0:47:19
Mehr verbieten.
Linus Neumann 0:47:20
Oder welchen, welchen Internetminister meinst.
Tim Pritlove 0:47:22
Wir haben ja verschiedene zur Auswahl. Ist es jetzt eigentlich einer verloren gegangen, irgendwie mit Sigmar Gabriel.
Linus Neumann 0:47:26
Weiß ich gar nicht. Kann sein, dass.
Tim Pritlove 0:47:28
Der wollte doch auch mal Internetminister sein, aber war er nie so richtig und die Nachfolgerin hat sich, glaube ich, zum Thema Internet jetzt auch noch nicht geäußert. Ist schwierig.
Linus Neumann 0:47:38
Da werden sich noch, da werden sich noch eine ganze Menge Leute äußern, die werden jetzt irgendwie, ne? Also wenn etwas Angst und Schrecken verbreitet, dann müssen sich alle dazu äußern, müssen irgendwas fordern und das das.Der Fehler ist, der Fehler ist natürlich und da werden wir uns dann in mehreren Monaten wieder darüber aufregen, die Konsequenzen, die daraus jetzt gezogen werden,dass sie irgendwie den Geheimdiensten mehr Geld geben, um Zero Day Explores zu kaufen, um diesen Markt weiter anzuheizen, ja? Dass sie dem BSI das jetzt schon versagt hat, irgendwie noch mehr Geld in Rachen schieben, damit die den nächsten Staatsrühren auch noch sicher machen könnenja? Und dass sie dann irgendwie ein IT-Sicherheitsgesetz äh nochmal irgendwie anziehen, wo ähm denen, die eigentlich dynamisch Systeme verteidigen müssen, noch mehrbürokratischer Scheiß aufgebürdet wird. So, es läuft einfach vollständig in die falsche Richtung. Und ich denke die, die wirklich sinnvolle.Strategie für die Bundesrepublik Deutschland insbesondere in diesem Bereich wäre ganz massiv ähm Systeme.Abzusichern und aufzuwerten. Und richtig hohe Backbounties für die kritischen Bereiche auszuauszusprechenumso die Zero Days oder die die Winobilities zu finden und zu schließen und damit dem ähm dem der Allgemeinheitzum Wohle, zu zu dienen, ja? Wer es übrigens macht, ne, großartiges Team in, also ich würde echt sagen, eindeutig gerade so die,das beste Team, was du irgendwie da draußen anhackern findest. Ähm das beste bekannte Tief öffentlich agierende Team, Google Project Cero, ne? Also mit ähm Thomas Dulin ist da drin, dann irgendwie der,Omandi, die regelmäßig ähm,krasse Sicherheitslücken finden und dann diese Policy haben, dass sie also die BetroffenenHersteller oder so in Kenntnis setzen und sagen so, hier ist der Brief, ihr seid hier mit darüber in Kenntnis gesetzt worden, ihr habt sechs Monate, danach wird es automatisch veröffentlicht,um da eben auch Druck reinzubringen, dass diese Sicherheitslücken vom Markt verschwinden. Das eine wirklich großartige Initiative, wo wirklich äh ja,Also wo wo Genies dieser Welt äh äh geile Forschung machen und zwar äh und unter deren Ergebnisse einfach mal alle immer.Von deren Ergebnissen alle immer profitieren.Und sowas äh ist halt schade, wenn sowas dann irgendwie äh Google machen muss, ne? Also oder machen muss, ich meine, ist toll, dass Google das macht. Ähm.
Tim Pritlove 0:50:13
Könnte aber durchaus mal als Staatsaufgabe.
Linus Neumann 0:50:15
Könnte eine Staatsaufgabe sein, könnte man, ne, wenn hier die G sagen, sie wollen was für ein, sie wollen was gegen den Cyber tun, ja, dann geht doch mal hin, so,Setzt euch doch mal zusammen. Geht da jetzt alles mal als allererstes mal hin und nehmt die Pool mal die Giftschränke von euren Geheimdiensten, kippt die mal alle auf den Tisch,lass den, lass den Mist mal sein. Machen die natürlich nicht, weiß ich auch, ne. Ähm die denken halt anders. Also sie werden ja am Wochenende natürlich viel drüber geredet. Ähm,dass der Punkt oder das Argument, das durch die Existenz von ich nenn's jetzt mal Waffen, ja? Ähm,Alle dem Risiko ausgesetzt sind, dass sie von dieser Waffe auch getroffen werden, das ist keine neue äh Risikoabwägung für zum Beispiel militärisch denkende,Ähm wenn du zum Militär sagst, hey, euer, wenn ihr diese Schwachstelle nicht schließt, ja, dann.Ist die ganze Welt diesem Risiko ausgesetzt? Das kannst du übersetzen in hey ähm wenn ihr nicht aufhört.Sorry, jetzt kommt der Vergleich, ne? Bomben oder Atombomben zu bauen? Dann sind auch wir dem Risiko ausgesetzt, dass uns jemand diese auf den Kopf wirft. Mit so einer Situation haben wir aber vierzig Jahre kalten Krieg gemacht.Ja, da sind die problemlos mit klargekommen. So, die die sind es gewohnt, dass dieses Risiko ähm immer existiert. Die sind's nur nicht gewohnt, dass es in ihrer Hand liegt, zumindest dieses eine Risiko auch wirklich der gesamten Welt wieder zu entziehen.Insofern die die denken anders und ich glaube ich fürchte, dass wir die nicht davon überzeugt bekommen werden, diesen Mist sein zu lassen.
Tim Pritlove 0:51:50
Wobei ich mir hier auch ein bisschen wundere meine, wir haben da so eine Politikerkasse, die immer sehr ganz weit vorne ist.Wenn's darum geht, innere Sicherheit zu beschwören, ja? Und da frage ich mich halt immer so.Wäre es nicht mal an der Zeit, diesen Begriff äh auch mal digital zu besitzen, ne? Was ist denn die innere Sicherheit in Digitalien.Ist das nicht genau das, wovon wir jetzt gerade reden? Es ist nicht so, dass Verhindern, dass irgendwie unsere Infrastruktur wegschmilzt und damit halt äh.Ja auch Sicherheitssysteme ja letzten Endes auch äh gefährdet sind. Also es ist ja es istMan merkt, wie die ganzen Auswirkungen, jeder ist jedes Planspiel von neuer Technologie, neuer Kraftwerkstechnik, Versorgungssysteme, Energie, Elektromobilität et cetera. Der ganze Energiemarkt basiert auf Börsenhandel, basiert auf äh elektronischen Systemenpassierte, wenn wenn die Ranson Ware mal äh auf der deutschen Börse aufschlägt? Na viel Spaß. SoAlso bitteinnere Sicherheit, mal anders interpretieren, muss man jetzt nicht unbedingt immer nur auf äh die Leute, die die Mängel an äh anprangern, irgendwie mit Stöcken draufhauen, kann man vielleicht auch einfach mal was in der Hinsicht tun.Aber diese Einsicht sitzt ich leider nicht so richtig durch, das sehen wir auch bei unserem nächsten Lieblingsthema der Vorratsdatenspeicherung.Ja äh die neue Vorratsdatenspeicherung ist ja im Anmaß äh Anmarsch äh wir haben ja hier nur mehrfach darüber äh berichtet und auch wenn es,Erhebliche Zweifel gibt, ob nun dieser zweite neue Ansatz so sehr viel besser ist als der erste, hat sich bisher die Bundesregierung nicht so richtig beirren lassen.Und ähm zwingt die deutsche Wirtschaft dazu bei den Providern ähm entsprechende Technik einrichten zu lassen von dem Provider natürlich selber. Obwohl,Ist ja eine Menge Anlass gibt ähm daran zu zweifeln, ob denn auch diese neue Izeration äh gesetzlich überhaupt,zulässig ist, zwar im Dezember zwanzig sechzehn.Gab's da ein entsprechendes Urteil des europäischen Gerichtshofs EuGH haben wir natürlich hier auch drüber berichtet.Hast genug äh Zweifel seht, dass das äh alles mit der EU-Grundrechts-Chater noch vereinbar ist, was hier in Deutschland beschlossen wurde, ob das noch lange Bestand haben wirdUnd äh ja, nichtsdestotrotz hält die Bundesregierung bisher Kurs und sagt erster Juli zwanzig siebzehn muss das irgendwie allesanfangen. Jetzt haben wir fast Mitte Mai. Ja, Mitte Mai. Wir reden also jetzt hier noch von sechs Wochen.Ähm, ja, das Gesetz wurde in dem bisher halt nicht nicht nicht überdacht, nicht ein äh äh bisschen, auch wenn so der wissenschaftliche Dienst des Bundestages zu dem Ergebnis kamdass das äh auch mit diesen EU äh EuGH Vorgaben äh äh nicht kompatibel ist, nicht vereinbar ist. Ja und jetzt ähm soll halt die Wirtschaft,das umsetzen und sagt, ja hier mach doch mal. Problem ist nur,Weiß halt keiner so genau wie eigentlich, also es ist so ein bisschen ja die Antwort ist zweiundvierzig, aber wie war denn jetzt nochmal die Frage genau, ja, weil äh die technische Richtlinie, wie denn das nun umgesetzt werden sollist einfach nicht veröffentlicht worden. Dafür wäre ja die Bundesnetzagentur zuständig und die haben irgendwie gerade zu viel zu tun und ähm.Also selbst wenn man jetzt da absolut staatskonform äh sein möchte, gibt's einfach die Rahmendaten dafür nicht. Und ähm.Das schafft natürlich eine interessante Situation, ja? Das ist so, ja, warum haben sie denn diese die Richtlinie nicht umgesetzt? Weil sie sie nicht veröffentlicht haben.Das ist dann die Antwort. Ja ist geheim oder.
Linus Neumann 0:55:59
Die technische Richtlinie betrifft dann sowas wie wie sind die Daten zu speichern und äh ne also.
Tim Pritlove 0:56:05
Wie ist der Zugriff darauf geregelt, wie schnell.
Linus Neumann 0:56:07
Wie ist der Zuhörer so, ja.
Tim Pritlove 0:56:09
Schnell soll das erfolgen,All dieser ganze Kram, also man kann natürlich sich jetzt irgendwas bauen, von dem man vielleicht denkt, dass es unter Umständen mit diesem Wischiwaschi-Formulierung des Gesetzes ähm,konform ist, aber,Üblicherweise muss halt für so eine Forderung dann eben auch mal ganz konkret gesagt werden, wie ist denn eigentlich zu tun ist? Wobei ich dann schon überlege, ob das halt nicht sozusagen auch ein guter Hebel ist, es einfach nicht zu machen, dass man einfach sagt, ja,sorry. Gab hier keine äh entsprechende Definition so äh.Wie wollt ihr uns zwingen etwas zu tun, von dem ihr selber noch nicht mal formulieren könnt, was es eigentlich ist.Das hält jetzt allerdings eine interessante, neue ähm Business-Idee nicht so richtig davon ab äh auf den Markt zu treten,Es gibt ja nämlich da jetzt einen neuen Anbieter, wie heißt dieser Laden eigentlich nochmal?Unis kommen. Uniskorn, toller Lauer. Uniskorn äh hat auf jeden Fall schon mal ein paar Marketingleute angesetzt und schreibt jetzt potenzielle Provider an,Per Werbebrief.Per E-Mail. Äh ja, hier Vorratsdatenspeicherung alles ganz toll. Kommt jetzt irgendwie demnächst, wisst ihr ja, müsst ihr ja machen und überhaupt gar kein Problem, dass ihr keine Ahnung habt, wie, weil wir wissen das ja.Und wir machen das dann für euch. Ihr gebt uns also eure Daten und wir speichern das und äh speichern es nicht nur, sondern wir regeln dann sozusagen auch automatisch den Zugriff vom Staat,und erfüllen für euch die Anforderungen, von denen ihr noch nicht mal wisst, welche es sind.Warum können wir das? Ja, weil wir arbeiten ja ganz eng mit dem Bundeswirtschaftsministerium zusammen.
Linus Neumann 0:57:54
Bundesnetzagentur. Ach so, nee, mit Bundeswirtschaftsministerium und Bundesnetzagentur, ja.
Tim Pritlove 0:57:58
Bundesnetzagentur,Und wir gehen irgendwie mit den äh Essen und keine Ahnung und haben gemeinsam Urlaubshäuser auf Mallorca. Ich weiß nicht so ganz genau. Woher sie eigentlich jetzt meinen, dass sie jetzt diese technischen Richtlinien kennen, wo sie sonst halt noch keiner kenntaber damit argumentieren sie zumindest und äh wir machen hier einfach Vorratsdatenspeicherung SS Service.
Linus Neumann 0:58:21
Justin so auf der Zunge zergehen, ne?Warum sie der Lösung vertrauen können, die Lösung basiert auf modernster Technologie ist und in sehr enger Zusammenarbeit mit dem Bundeswirtschaftsministerium entstanden, da wir im Dialog mit der Bundesnetzagentur wesentliche Punkte des Anforderungskataloges mitgestaltet habenist die Architektur zudem zukunftssicher. Alter, ja,ich meine, dass das stinkt doch so dermaßen zum Himmel, ne? Äh ihre Vorteile als TK-Anbieter sind Entlastung bei der Kommunikation mit der Bundesnetzagentur, volle Compliance nach dem TKG, volle Transparenzbei der Anzahl der CDs und Abfragen durch Web-Dashboard von Cottbus im League Aurron,geringe Kosten am Markt für Setup und Betrieb, geringste Kosten am Markt, kein Risiko, sie können immer kurzfristig die Zusammenarbeit beenden, beenden, ja? Irgendwie soabonnieren sie jetzt, Vorratsdatenspeicherung bei jederzeit Kündigung. Bad Credit, no Problem. Ja, irgendwie so. Äh wir machen wir jetzt hier Vorratsseitenspeicherung zur Null Finanzierung, ja? Und und das erste Argument, was sie sagen, ne? Sie sind verpflichtetIn weniger als siebzig Tagen, ja, die, die nutzen genau das aus, die sind sich für nichts zu schade.Martin Kinnel, Geschäftsführer CIO schickt diese Nachrichten raus und Innescon steht für die Universal Identity Control GmbH.
Tim Pritlove 0:59:44
Genau mit der Tackline Seal Cloud, Technologies.
Linus Neumann 0:59:51
Alter. Und schicken das an Posteo und Posteo äh fällt da glaube ich gar nicht runter. Äh die sind ausgenommen von der äh Vorratsdatensp.
Tim Pritlove 0:59:59
Weil sie Rainer Mail Provider sind, genau.
Linus Neumann 1:00:01
HmEntsprechend hat Mosteo auch hier muss man nochmal sagen, also Pasteo. Schon cool, was die regelmäßig mal so raushauen, ne? An Transparenzreports, dass die so ein Schreiben kriegen von diesem Unternehmen und das sofort rauskloppen. Ähmam nächsten Tag, ne? Also der Eingangsstempel zehnter Mai, am äh am elften Mai haben die ihren Blogpost dazu raus. Das ist schon ähm das ist schon cool, was die machen.
Tim Pritlove 1:00:24
Aber jetzt mal davon auch mal abgesehen. Vorratsdatenspeicherung SS Service ist ja eigentlich ein Widerspruch in sich.Ne, weil es geht ja bei dieser ganzen Geschichte da drum, dass man ja eben diese Daten nicht vom Staat per se einsammeln lässt,sondern die Idee der Vorratsdatenspeicherung ist, okay, ihr sagt uns zwar jetzt nicht, was eure Kunden so treiben, aber für den Fall, dass,Ihr, äh, dass wir dann doch nochmal ein berechtigtes Nachforschungsinteresse in besonders schweren Fällen habenja, wenn der Weltuntergang mal dringend abgewendet werden muss, dann können wir dann zu euch kommen und dann könnt ihr da in eure verschlüsselten, abgesicherten, durch,unsere Maßnahmen ja vor bösen Hackern und Rancy World Geschützen Daten, ich frage mich gerade, ob die auch dann irgendwannihre Vorratsdatenspeicherung dann auch erstmal mit Bitcoin auslösen müssen in ZukunftSo, ja, nur dann kommt dieser Zugriff und nur dadurch wird das alles gesetzeskonform. Und jetzt arbeitet das BMWI und die Bundesnetzagentur,Mit einem Unternehmen zusammen, was für die.Ganzen klagenden Provider, das Ganze als Dienstleistung machen will, was ja dann sozusagen darauf hinausläuft, dass genau diese ganzen Vorortsdaten, die eben dezentral gespeichert werden sollen,nicht mehr die zentral gespeichert werden, sondern eben zentral gespeichert werden in ihrer äh merkwürdigen äh mit Alufolie eingepackten Wolke.Also geht's noch? Also ich mein dann kann man's ja auch gleich äh.Den staatlichen Institutionen äh zum Dauerabspeichern äh äh überlassen, weil hier ja der Provider überhaupt gar keine Möglichkeit mehr hat durch eigene Maßnahmen sicherzustellen, dass diese Daten eben nicht entweichen, ja?
Linus Neumann 1:02:21
Also ich finde das aber schon äh eigentlich ganz cool, dass die immerhin darauf geachtet haben, dass ihr Tarnunternehmen nicht direkt in Pullach sitzt, sondern in München.Also muss man schon sagen so, ne, das ist auch ein.
Tim Pritlove 1:02:37
Ja, also ich meine, wir wollen jetzt erstmal noch nichts äh Unmittelbares unterstellen, aber das wirft natürlich einige Fragen auf, ja. Was ist denn das für ein Unternehmen? Warum wissen die jetzt schon, warum warum können die jetzt für eine nicht veröffentlichte technische RichtlinieBereits ein Produkt liefern. Ja, wir reden ja jetzt noch nicht mal von einer Implementierung für ihren eigenen Providerbetrieb. Sie sind ja auch kein Provider. Sollen sie,Sitzen ist einerseits um und sie setzen es auch noch um, dass sie behaupten, ja das ist jetzt nicht nur so, dass es funktioniertdas funktioniert auch noch im Zusammenspiel mit Kunden, die wir jetzt sechs Wochen vor Start des Produkts erstmalig anschreiben und dann soll ab ersten Juli das ganze Gesetzeskonform laufenWas sind denn da die Sicherheitsprozesse, ja? Müssen die ja nicht alle erstmal durch so eine ISO neuntausend Wolke äh durchlaufen, bevor sie die abschließen können.
Linus Neumann 1:03:24
Nein, die haben das doch hier Datencenter TÜV Rheinland oder sowas. Die geben ja noch.
Tim Pritlove 1:03:28
Ach so, ist zertifiziert oder was? Hat einen Stempel.
Linus Neumann 1:03:31
Die haben das mit dem Wirtschaftsministerium geklärt. Ich habe äh relativ, also ich meine, das Bittere an diesem an diesem Kartell, was wir da ja beobachten ähm ist.Dass es wahrscheinlich tatsächlich das, was die versprechen so funktionieren wird, ja, dass äh dass das Wirtschaftsministerium den nicht in die, in die Parade fahren wird. So und dass am Ende kaum jemand anders, was äh was übrig übrig ist, als ähm,als darauf zu antworten, ja? Also so komplexe IT-Dinge, die alle befallen aus Ressourcen ist nicht die letzte Idee, die man hat.
Tim Pritlove 1:04:10
Also angeblich machen die schon seit zweitausendneun machen sie da irgendwie ihre sicheren Wolken.
Linus Neumann 1:04:15
Die haben ihre Verschlüsse, die haben eine die, die haben eine Verschlüsselungs-Epiance, die sie dir ins Regal schieben und die wird dann äh geht dann über eine besonders sicher verschlüsselteäh äh Verbindung geht das dann eben zu dem Manageservice Provider und wird dort weggeballert. Das heißt, die mit anderen Worten, dass er in der Kiste da stehen, wo du diesewo du die Loks reinfiedest, das machst du wahrscheinlich irgendwie über was weiß ich,und dann ballern die, die halt über eine verschlüsselte Verbindung weg zu sich.
Tim Pritlove 1:04:46
Wo du dann halt nicht mehr weißt, wie's gespeichert wird.
Linus Neumann 1:04:48
Das Vertragswerk dazu werden die sicherlich auch schon fertig haben.
Tim Pritlove 1:04:51
Ja, freue ich mich natürlich, inwiefern jetzt diese Verpflichtung eines Unternehmens überhaupt per Gesetz äh so ohne Weiteres abgegeben werden kann. Also also.
Linus Neumann 1:05:00
Sollte nicht so sein.
Tim Pritlove 1:05:02
Sollte nicht so sein und diese Frage muss auf jeden Fall natürlich auch aufgeworfen werden, ja? Also wo steht denn bitte in diesem Gesetz, dass nun dieses Speichern für die man selbst verfügbar ist, äh in dem Sinne delegierbar ist.Also Leute.
Linus Neumann 1:05:20
Das ist so verantwortungslos, ne? Das ist ja so ein also sorry, wenn ich da jetzt wieder draufhaue, ist so, sind typische Maßgesetzgebungen, weißt du?Nicht nachgedacht, schnell geschissen und dann mal oh wie, die kriegen das nicht hin. Ja, dann dann sagen wir jetzt, dann beschweren wir uns jetzt äh oder oder dann dann geben wir dann übergeben was dem Wirtschaftsministerium, machen Business Case draus.
Tim Pritlove 1:05:41
Ja, die kennen bestimmt irgendwelche Leute, mit denen sich regelmäßig treffen irgendwie. Die können dann helfen.
Linus Neumann 1:05:47
Das ekelhafte ist, dass es halt wirtschaftlich tatsächlich sinnvoll ist, was sie tun, ne? Und genau deswegen willst du auch keine Vorratsseitenspeicherung haben.
Tim Pritlove 1:05:56
Genau, also ich meine,das ist ja dann auch ein Singlepoint of Failia, das kommt ja nochmal mit dazu, ne? Also man stellt sich's mal vor, dreißig bis vierzig Prozent aller Unternehmen würden tatsächlich ihre Daten,machen, also dass die Telekom da hingeht, das kann ich mir jetzt nicht vorstellen, aber äh ne, kleinere Provider haben natürlich genau dieses Problem, dass sie ja extrem unter diesemLasten zu Echtzahn, wenn die aktuellen Einschätzungen gehen irgendwie sowas von hunderttausend Euro bis fünfzehn Millionen Euro Investition ist erforderlich nur um diesen Quatsch äh einzuführenDas kann halt einfach verschiedene Unternehmen natürlich das Genick brechen. Insbesondere vor dem Hintergrund, dass man eben bisher noch gar nicht mehr weiß, was man eigentlich umzusetzen hatSo, das heißt, es wird ja jetzt auch jeden Tag teurer, weil äh was weiß ich,Kommt dann eine Woche vorher nochmal eine Mail mit, hier übrigens sind die Anforderungen und die Anforderungen bedeutenja sie müssen ihren Serverraum mit zwei afrikanischen Elefanten absichern und wie alles ja der muss aber auch,täglich irgendwie aus Japan seinen Sushi eingeflogen bekommen Leute wirklich echt.
Linus Neumann 1:07:03
Also es.Es diese Anforderungen der BNSA sind ähm in einem äh Draft-Zustand vor, schon vor vielen Monaten mal geliegt, ne? Also so ganz im Dunkeln taperst du da nicht, aber du hast halt, du hast überhaupt gar keine Rechtssicherheit.
Tim Pritlove 1:07:18
Na, was heißt denn geliegt? Ich meine, sollte man, soll man sich jetzt auf, auf, auf, auf, auf, Leaks verlassen.
Linus Neumann 1:07:24
Na ja, ich glaube doch nicht, was die Regierung sagt.
Tim Pritlove 1:07:27
Da kann ja jeder kommen.Das muss erstmal beim Breitband veröffentlicht werden, bevor wir da irgendwas glauben. Oh Meier, ey.Na ja, aber das Gute ist, was ja äh auf diese Daten wird ja so zugegriffen werden, weil er nur allerschwerste,schwere und allerschwerste und noch noch viel schwerere Verbrechen damit geahndet werden sollen.
Linus Neumann 1:08:04
Ja genau.
Tim Pritlove 1:08:04
Und deswegen ähm spielt das wahrscheinlich alles gar keine Rolle. Oh weit. Was steht hier?Das Bundeskabinett beschloss am Mittwoch ein Gesetzentwurf, der die Ausweitung des entsprechenden Straftatenkatalogs im Paragraph einhundert G der Strafprozessordnung vorsieht, um die ähm.Delikte, auf die die Vorratsdatenspeicherung passt,wie Völkermord, Hochverrat, Mord bei Totschlag, Verbreitung von Kinderpornografie und so weiter, daraufhin zu erweitern, dass auch Einbruchdiebstahl in eine dauerhaft genutzte Privatwohnung ähm mit dazugehört.
Linus Neumann 1:08:44
Super.
Tim Pritlove 1:08:46
Das Versprechen hat ja noch nicht mal bis zum Start der Vorratsnahenspeicherung gehalten.
Linus Neumann 1:08:50
Vor allem Frassi, was soll denn dieser Scheiß, ja? Brechen die, brechen die bei dir ein, ja? Tragen irgendwie deine Computeraussäng und dann, dann nehmen sie auch noch, da kommt der Start und nimmt auch noch deine Daten. Ich meine, von wem wollen die denn da diese Vorratsdaten nehmenNe? Also es ist ja ein, das ist ja nun mal wirklich ein nicht Digitalverbrechen, ne? Was sie aber in der machen werden, also in äh STPO einhundert, habe ich äh mit dem habe ich mich letzäh in den letzten Tagen relativ viel auseinandergesetzt. Da ist er aller mögliche Mist drin geregelt, weil wann darfst du eine Funkzellenabfrage machen, beziehungsweise ist da nicht wirklich drin? Doch ist da auch drin geregelt? Er geht irgendwie bis I oder sowas durch. Da steht jetzt alles drin. Ähm.Und so jetzt habe ich irgendwie den Faden sogar verloren. So da da stehen diese ganzen Sachen drin. Sorry, Typ, ich habe den Faden verloren.
Tim Pritlove 1:09:37
Na ja, auf je.
Linus Neumann 1:09:38
Hier so los gerannt.Ist ja peinlich.
Tim Pritlove 1:09:41
Na ja, meine Einbruchdiebstahl ist halt nicht im eigentlichen Sinne jetzt so ein besonders digitales äh Delikt, wo man jetzt irgendwie anfängt, IP-Adressen abzufragen. Es geht natürlich hier primär um Funkzellenabfrage.Da ist halt, da ist jetzt irgendwo mal eine Bude leer gemacht worden und die das ist ja auch wirklich ein großes Problem, das sehe ich ja auch ein, ja? Also.Sehr viel größer als Cyber. Äh es wird einfach viel eingebrochen. Die Leute sichern ihre Wohnungen nicht äh entsprechend auch nochmal ein Problem. Da tut ja auch die Polizei was. Klarer Tipp nebenbei. Weil wir mal ähwer möchte, kann bei der Polizei übrigens mal anrufen, die schicken gerne mal kostenlos einekundige Beamtinnen oder Beamten vorbei, die schauen sich eure Butzen an und sagen ja, hier machen wir das das. Kann man auch manchmal ganz gut mit dem Vermieter äh klären.
Linus Neumann 1:10:25
Wer möchte, kann bei der Polizei anrufen, die gucken sich eure Wohnung an.Ja genau, ich kann mir auch nichts schöneres vorstell.Manchmal kommen die sogar einfach so.
Tim Pritlove 1:10:48
Es ist.
Linus Neumann 1:10:52
Und zeigen dir direkt eine Schwachstelle.
Tim Pritlove 1:10:53
Oh man, Hausdurchsuchung, also Service. Nein, aber mal ehrlich, also das äh ist schon okay, ja, die gucken sich Türen, Fenster an, solche Sachen, irgendwie, man kriegt jetzt die fangen nicht gleich an, aber,zu durchsuchen.
Linus Neumann 1:11:12
Also ja das gibt's, das ist eine, das ist tatsächlich so eine Initiative der Polizei. Ich kenne auch ein paar Leute, die das gemacht haben. Oh, die Dichter, die dem kann nicht mehr.Wo die dann, wo die sich die Sicherheitsmaßnahmen anschauen und was gegen den Wohnungseinbruch tun. In der, in dieser Tradition steht auch ein wahrscheinlichsteht zu vermuten diese Idee, denn vor ähm den Funkzellenabfragen werden ja viel zu selten gemacht, nur irgendwie nur irgendwie mehrere hundert, mehrere zehn oder hunderttausend im Jahr. Ähm.Und jetzt kann man ja noch öfter machen und dann wollen sie das natürlich bei dem DeliktWohnungseinbruch, ne, dann können dann macht mit Funkzellenabfragen, guckt man, wem man da kommt und dann die Telefonnummern, die man dadurch bekommen hat, da will man natürlich dann an die Vorratsdaten ran. Ähm ich denke, das ist hier die ähm.Der Gedanke bei äh bei dieser äh bei dieser Änderung gut, dass du dem, ich habe den ja gerade verloren, aber gut, dass du den aufreißt. Ähm.Wir haben eben mal diese Vorratsdatenspeicherung so verkauft bekommen als bei bei schweren Delikten und diese Aufweichung findet also hier schon statt noch bevor ähmUniskorn alle mit der Software äh mit der Vorratsseitenspeicherung Azo Service ausgestattet hat. Also da galoppieren die Pferde mal wieder schnell.
Tim Pritlove 1:12:35
Ja, wobei das richtet sich natürlich hier primär auf Mobilfunk äh.Provider, die das ja nun ohnehin schon äh gewisser Hinsicht tun oder dann künftig eben noch äh länger tun sollen. Und was heißt das? Das heißt, wenn irgendwo eingebrochen wird, wird dann einfach mal eine Funkzellenabfrage gemacht. Wer war denn da in der Nähe?
Linus Neumann 1:12:53
Bist du direkt dabei.
Tim Pritlove 1:12:55
Ja, weißer Geier, wer da alles so äh in Frage kommt.
Linus Neumann 1:12:59
Mann, Mann, Mann.
Tim Pritlove 1:13:02
Vielleicht könne er dann auch nach äh nach vielen, vielen, vielen, vielen Jahren Karriere der Vorratsdatenspeicherung irgendwann mal auch einen Erfolg äh gemeldet werden. Das wäre ja auch mal was Neues.
Linus Neumann 1:13:14
Katastrophe.Also es ist es ist ein dieses dieses dieses Umfeld, dieses Themenbereich der der Vorratsseitenspeicherung ist einfach wirklichskurril, der weiß gar nicht mehr, wo du anfangen sollst, ne? Weil darfst du eigentlich, darfst du eh nicht und ach ja hier machen wir aber trotzdem und hier machen wir es Service, ist besser beim TÜV,Herrje. Ich ich käme mir dann, ich hätte noch ein zweites Tal Juso aus der letzten Woche.Fasse ich aber mal kurz, ähm weil wir das, glaube ich, hier in Logbuch Netzkritik auch schon öfter erwähnt haben und zwarwurde in der vergangenen Woche äh viel berichtet oder sogar der Woche davor, ähm dass es äh einen Angriff gab ähm auf äh einen SS sieben Angriff, bei dem diezweiter Faktor SMS abgefangen wurden. Ähm,Also mein, es ist ja bei vielen Banken so, du du meldest dich da also an, häufig mit einem relativ cool, also mit einem Passwort ohne besonders hohe Sicherheitsanforderungen, aber wenn du dann eine Transaktion ausführen möchtest, brauchst du eine Transaktionsnummer,die Tann.Und ähm früher gab's die schön auf Papier für in der Schublade und da hat man hundert Stück gehabt und das Ding hat nach einer davon gefragt, dann wurde das System geupdatet und es hat nach.Einer spezifischen davon gefragt, ja, was also für Angreifer natürlich eine sehr viel höhere Schwelle wieder darstellt. ÄhmUnd dann hat man immer gedacht, boah wäre doch geil, wenn wir irgendwie so schlaue Sachen machen würden, zum Beispiel Apps, die hatte ja dann der äh Vincent Haupert aufmdreiunddreißig C drei nochmal schön auseinandergenommen, eine davon und hatte gezeigt, dass also diese fundamental schlechte Idee eben auch,fundamental Scheiße umgesetzt war und eben deswegen fundamental grundsätzlich nicht gemacht werden sollte. Ähm.Aber eines der weit verbreiteten Verfahren ist, äh, dass man einen SMS-Nachricht schickt und ähm wir kennen auch ähm oder wir wirHaben ja auch häufiger darauf hingewiesen, dass das eine sehr schlechte Idee ist, weil SMS eben unverschlüsselt übertragen werden. Ist schon mal das erste Problem. Und weil SMS natürlich auch abgehört und abgefangen werden könnenund ähm wir erinnern uns vielleicht zum Beispiel, dass einen derartigen Angriff auch das BKA nutztum Telegram-Accounts zu übernehmen, ja? Und da da weitere Geräte zu zu registrieren, auch das haben wir äh vor einigen Monaten hier mal behandeltNun zweitausendvierzehn muss das gewesen sein, als wir beim.CCC-Kongress, die beiden Präsentationen über Sicherheitslücken im SS sieben hatten. Ähm.Der Vortrag war einmal vonCarsten Nohl und der andere Vortrag war von Tobias Engel. Ähm, Hinweis, ich hab zu dem Zeitpunkt im Team von Carsten Null gearbeitet und bin mit Tobias Engel befreundet, also ich äh kann Wettmuster muss man ja erwähnen oder sowas, ne.
Tim Pritlove 1:16:13
Ja, muss man erwähnen. Ich bin auch befangen. Tobias war ja dann auch später in der Freakshow, hat äh auch nochmal äh ausführlich äh äh sozusagen von Seiten SS sieben Aktivitäten berichtet, sehr interessant. Verlinken wir auch.
Linus Neumann 1:16:24
So und bei diesem bei diesem SS sieben also das Signaling System Number seven damit bezeichnet man eine Protokollfamilie die innerhalb und zwischen,Telefonnetzen gesprochen wird. Also das kommt ähm hier kommen wir zu einem spezifischen Teil. Kommt zum Einsatz, wenn Mobilfunknetz A mit Mobilfunknetz B verbunden ist.
Tim Pritlove 1:16:47
Und nicht nur Mobilfunknetz, das ist generell.
Linus Neumann 1:16:49
Telefonnetze auch, ja.
Tim Pritlove 1:16:50
Ist sozusagen das Internet der Telefonnetze und da hat man den Austausch gemacht, das heißt, wenn man irgendwie quer durch die Welt telefoniert, wurde das ermöglicht dadurch.
Linus Neumann 1:16:58
Genau und äh Tobias hatte schon, ich glaube, ähm das war irgendein Kongress mit einer Zwei vor, ne? Dreiundzwanzig C drei, vierundzwanzig C drei oder so.
Tim Pritlove 1:17:06
Häufiger schon, das ist ja schon immer sein Thema.
Linus Neumann 1:17:08
Ähm hatte er schon erste SS sieben Angriffe präsentiert, die die Lokation angehen, wo du also nämlich also das funktioniert,Kurz gefasst so ähm die in diesem SS sieben geben, die Provider sich,teilweise weitreichenden Kommunikationszugriff auf jeweils ihre eigene Infrastruktur. Das heißt, ähm wenn du eine Assess, wenn du eine SMSzustellen möchtest in einem Fremdnetz, konntest du früher, heute haben wir dafür gesorgt, dass das ein bisschen weniger der Fall ist, dann kannst du direkt die Zelle erfragen oder das MSCwo du diese wo du diese SMS abliefern musst. Ähm MSC ist das Mobile Switching Center, etwas, was ein Teil der mehrere,Zellen verwaltet. Also mehrere Basestation Controller. Und die wiederum verwalten mehrere,Station. Somit äh okay, lange langer Rede, kurzer Sinn. Du kannst also konntest dich damals bei einem Mobilfunknetz melden und sagen, hör mal, ich habe hier eine SMS für Nummer so und so. Wo in deinem Netz muss ich die denn zustellen?Und dann kam als Antwort der Global Teil äh des MSC.Und den konntest du wiederum meppen auf eine geographische Region. Konntest damit also relativ einfach äh feststellen, wo die Person sich gerade befindet, wo in Deutschland oder,Ob sie im Ausland ist. ÄhmDas war so einer der ersten weit äh diskutierten SS sieben Angriffe. Was dann zweitausendvierzehn ähmpräsentiert wurde. Ähmwar eine ganze Reihe von weiteren SS sieben Angriffen, weil es in SS sieben im Prinzip keine wirkliche Sicherheit gibt. Die gehen davon aus, dass dieses SS sieben Netzwerk so ein World Garden ist, in dem allen vertrauen können. Je.
Tim Pritlove 1:19:00
Gentleman's Club ist das so.
Linus Neumann 1:19:02
Genau, es gibaber insgesamt weiß ich nicht wie viele hundert Netze mit Zugang zu diesem SS sieben und so und so viele Länder auf der Erde, die da alle drin sind und wir haben ja damals auchgezeigt, dass man eben in diesem SS sieben allerlei Schabernack treiben kann. Zum Beispiel ähm konntest du ähm,Zu dem nach dem aktuellen Kiefragen, der bei einer ähBei einer drei G Transaktion verwendet wird. Äh die Funktion existiert eigentlich, wenn du romest und quasi mit einem Telefonat ins Ausland fährstja? Da muss ja der die neue Zelle,Muss ja auch in der Lage sein, mit dir zu verschlüsseln. Und aus diesem Grunde kann dann auch das Auslandsnetz sagen, ey, sag mal den Schlüssel zu der Transaktion, der kommt ja jetzt gleich bei mir rein. Meine Zelle muss ja auch mit dem sprechen können, ja? Hm.Also es waren insgesamt, ich weiß nicht, wie viele Angriffe das damals waren. Ähm also Unmengen, ja. Einer davon war, du ähm sagst einem anderen, einem Mobilfunknetz, das der Subscriber.Jetzt gerade bei dir sich eingebucht hat und sagst, hör mal, der ist gerade über die Grenze gefahren, der ist bei mir, ne? Also wenn was ist, ne, sagst Bescheid, ich kläre das hier,Ähm das ist äh das sind.
Tim Pritlove 1:20:18
Saudi-Arabien zu dem äh holländischen Netz.
Linus Neumann 1:20:21
Genau. So und das äh also das ist auch das ist auch das eine Szenario, was ich vermute, was dir, was das BKA genutzt hat für diese Telegramm-Angriffe. Ähm das Spannende dabei ist, ähm diesen Angriff kannst du verhindern.Und zwar ähm sehr einfach, indem du sagst, ach so, wenn der jetzt bei dir ist, ne, liebes Mobilfunknetzdann fordere ich jetzt sofort eine neue Authentifizierung. Wir machen Location-Update, wir einigen uns auf neue Keys und der Beweis mir bitte einmal, dass er mit im Besitz der SIM-Karte ist.Also ähm diese Konfigurationseinstellung die müsstest du halt als Mobilfunknetz aufweisen und darauf haben wir auch glaube ich damals hingewiesen. Auf jeden Fall erinnere ich mich, dass ich das äh im Rahmen meiner beruflichen Tätigkeit,häufiger mal angemerkt habe.
Tim Pritlove 1:21:11
So, was ist jetzt denn eigentlich passiert.
Linus Neumann 1:21:12
So, genau dieser Angriff wurde jetzt genutzt für Online-Banking, denn beim Onlinebanking du schnappst du schnappst dir quasi erstmal das Opfer und kriegst die den Online-Banking-Zugang von dem, ja? Also, gibt's einen Keylogger oder irgendein Trojaner drauf?Dann hast du zwar Zugang zu dem Online-Banking, aber in dem Moment, wo du jetzt dein ganzes Geld irgendwie an dich selber überweisen möchtest oder an einen Bitcoin Exchange, sagt das Ding, okay, wir schicken eine SMS.Jetzt hast du ein äh jetzt hast du aber die Telefonnummer von deinem Opfer.Und gehst dann über SS sieben hin und sagst den Mobilfunkprovider übrigens Tim Bukto hier oder wer auch immer, dein Subscriber, der roamt gerade bei mir, voll geil.Und wenn der jetzt eine SMS kriegt, weißt du ja, wo die hinschicken muss.Dann geht diese SMS also äh kommt bei dem Provider an, der sagt okay, mein Subscriber ist gerade im Ausland. Ich muss sie an das MSC oder wo auch immer äh in die Infrastruktur von dem anderen schicken.Ähm gibt verschiedene Möglichkeiten, wie die dann da transportiert wird, aber du schickst sie auf jeden Fall, gib dir Provider sie weg und stellst sie nicht im eigenen Netz zu,sondern eben in dem Fremdnetz.Das aber gar nicht existiert, indem der Subscriber auch gar nicht eingebucht ist, dass einfach nur die SMS entgegennimmt und sagt, jawoll, da haben wir ja unsere Transaktionsnummer.Und jetzt räumen wir mal los und dann zack sind die Kupiken halt woanders, ne? ÄhmGenau dieses Szenario ist also jetzt muss man auch mal sagen relativ spät ja erst zweitausendsiebzehn, ne? Demonstrationen äh waren zweitausendvierzehn, ja zweitausendvierzehn ist es ein öffentliches Wissen. Seit so und inklusive, ne? Ich habe ja gerade gesagt, wer auf Schwachstellen hinweist, muss immer auch sagen, wie man die loswird, dashaben wir immer getan. Das sieht man auch in dem.In dem Vortrag, das also gesagt wird, hier so ist es und natürlich die Lösung auf der Hand liegt, dass in diesem SS sieben Call Flow sich eben Dinge ändern müssen. Ich glaube, der Tobias hat dann irgendwann auch sogar noch so ein äh,So ein Firewall Produkt äh entwickelt.
Tim Pritlove 1:23:13
Genau. Das so sein.
Linus Neumann 1:23:14
Ähm wir haben das immer, wir haben eher nur Beratung gemacht, wie immer. Ähm.
Tim Pritlove 1:23:20
Im Wesentlichen die erste Firewall für die SS sieben Welt überhaupt,also das Konzept gab's bis dahin dort sozusagen noch gar nicht mal über Internet geredet, aber da wo halt so viele Daten äh laufen, das ist ja auch ein riesiges Netz. Und was waren ja auch kurz meinte, ne, Gentleman Egre, also man muss sich das jetzt malIch breche mal kurz, was du jetzt lange erzählt hast, mal kurz auf was runter, ja? Also.Banküberweisung möchte gerne einen zweiten Faktor haben. Zweiter Faktor deshalb, damit eben nicht nur das Online-Passwort, mit dem man sich einloggt, ausreicht, um Geld zu überweisen. Das war über viele, viele Jahre war das dieser ausgedruckte Tarniste. Das ist quasi ein,Ein zweites Wissen, was die Bank dir einmal vorher per ausgedruckten Zettel per Post.Zuschickt, was alleine für sich auch nichts nützt, ohne das Passwort. Deswegen zwei Faktorsystem.Und dann hat man halt immer diese Tarn eingetippt. Und weil ihnen das irgendwie zu lästig war, diese Zettel zu verschicken und weil das natürlich zugegebenermaßen auch so ein bisschen,Ne, nicht so richtig mobil und nicht so richtig digital ist und ein Telefon und wir wollen ja alle modern sein. Ist man dazu übergegangen halt zu sagen, na ja.Nimm doch eine SMS, dann schicken wir dir die, ne? Was natürlich in dem Moment schon lustig ist, wenn du dein Telefon selber benutzt, um Banking zu machen, weil dann dieser zweite Faktor halt nicht so richtig, weil da geht zwar über einen zweiten Kanal,Aber landen natürlich auf demselben Gerät. Aber das Hauptproblem ist, dass,sich hier eben um einen Kanal handelt, der nicht besonders sicher ist und der vor allem auch nochmal so ein Telekommunikationsverbindung braucht. Und das recht sich natürlich in diesem SS sieben System, wo lange Zeit die Sicherheit nur dadurch hergestellt wurde, dass sich alle Kanten am TischAber heutzutage ist es für jede Bude, die halt irgendwie irgendein SMS-Gateway anbieten möchte, möglichst sich da einfach problemlosen Zugang zu bekommen. Und in dem Moment, wo man dabei ist,ist man quasi mit allen anderen auf einer Ebene,Man sitzt auf einmal an dem Tisch, wo die anderen Könige auch sitzen und weil jede Person zwangsläufig die in den Throseallmarschiert kommt, natürlich auch wahrscheinlich ein ein König sein muss, halten alle anderen Königinnen natürlich auch für Könige,alter Fehler. Und äh ich bin auch ehrlich gesagt ein bisschen sauer auf die Banken, dass sie.Systeme, die nachweislich 'ne hohe Sicherheit haben, hier einfach nicht unterstützen.
Linus Neumann 1:25:40
Ähm okay, da komme ich gleich nochmal drauf zurück.
Tim Pritlove 1:25:46
Ja, zum Beispiel diese ähm oder wie sie ja heißen, diese ähm wo du quasi nur deine zwei Faktortanen quasi lokal äh berechnen lässt, wäre da schon mal ein Ansatz,Das funktioniert übrigens dann auch, wenn man im Ausland ist und aus irgendwelchen Gründen keine keine SMS empfangen kann.
Linus Neumann 1:26:04
Also ähm.Erstens sei noch kurz erwähnt, wenn ich den Artikel richtig verstehe war, dass nur bei O2 Telefonica möglich, dieser Angriff oder von äh und deutsche Telekom,hatten, haben die entsprechenden äh anderen Konfigurationen gehabt.Ähm es gibt auch, weil ich jetzt gerade den Artikel von Hakan Tenriver nochmal überlegen hat, äh überlesen habe, da da ist also die Rede von einer Rufumleitung, also es wären wäre, was er schreibt, ein anderes Angriffsszenarioaber was ebenfalls über SS sieben funktioniert, ähm hatte dann äh auch Tobias Engel glaube ich sogar nochmal ähm,direkt demonstriert, also ne, die die Angriffe über SS sieben sind Mannikfach. Ähm und aus dem Artikel geht nicht hundertprozentig hervor, welcher es jetzt war. Schreibt er auch ein etwas, was mich ein bisschen verwundert, weil mir das unklar vorkommt, wasda ich vermute, dass er es selber auch nicht hundertprozentig weiß, welcher, welcher es ist im Angriff da stattgefunden hat, aber,Die Banken bieten mir ein Verfahren an. So und die Banken sagen, das ist sicher. Ja, wenn das sich jetzt als unsicher erweist, bin ich nicht der Leidtragende.Und deswegen bin ich überhaupt nicht böse auf die Banken, wenn sie unsichere Verfahren dafür nutzen,weil das mir im Zweifelsfall vor Gericht ermöglicht,dass ich auf jeden Fall mein Geld wieder kriege. Wir dürfen in diesem Online-Banking-Bereich nicht vergessen. Die Zeche zahlenIn neunundneunzig Prozent der Fälle die Banken. Da sitzt jetzt keiner zu Hause, dem irgendwie Geld auf dem Konto fehlt, der am Ende die Bank verklagen muss oder oder sein, sein ähm sein Telefonprovider verklagen mussja? Ähm da die Leute kriegen in der Regel alle brav ihr Geld zurück. Es sei denn.Es sei denn, den man merkt's nicht oder äh ihnen wird nachgewiesen, dass sie selbst ähm fahrlässig gehandelt haben.Dann,gehen die Banken auch gerne mal hin und sagen, nee, also das zahlen wir jetzt mal nicht, das bist du selber Schuld. Und wir erinnern uns, das ist was, das haben wir hier bei LMP vor wahrscheinlich zwei Jahren oder sowas besprochen, da gab es diesen Fall von einemäh Bankkunden, der hatte so einen, der hatte so einen Chiptan-Generator, ne? Also,Im Moment Königsklasse der Sicherheit kann man tatsächlich so sagen, du hast so ein, du hast so ein kleines Gerät, da musst du die,Chipkarte, die die EC Karte reinstecken. Das heißt, du hast schon mal einen haben, Aspekt, nämlich und vor allem einen haben Aspekt von einem Teil, das zu klonen ähm mitäh mit Bordmitteln nicht möglich. Ist so oder zumindest der, wo der Aufwand das Gerät die die Karte zu klonen,In der Regel teurer ist als das Geld, was du von dem Konto kriegen könntest? Mit anderen Worten nicht ökonomisch,sinnvoll, kopierbares haben. ÄhmUnd dann steckst du diese Karte da rein, musst was weiß ich noch, die PIN zu der Karte eingeben, hast also nochmal Wissen, ja? Und dann sagt dir das, dann musst du irgendwie so einen Flickercode auf den Bildschirm scannen und dann steht in dem, in dem Display von dem Gerät diese dran, die ich dir jetzt gebe, ja,die ist dafür da, den Betrag X auf die IBAN zu überweisen.So und in dem Moment hast du quasi den wirksamen Schutz gegen man in den Mittelangriffe,Weil wenn jetzt gerade ein Angreifer da ist und versucht dir eine andere Transaktion unterzuschieben, ja? Also statt du überweist äh fünfhundert Euro an mich für heute, wie sonst auch immer?Ne, also ähm.Dann ähm dann würde also auf dem äh an der auf diesem Display stehen eine andere IBAN.Und ein anderer Geldbetrag, ne? So du überweist gerade zehntausend Euro auf diese Schellen. Gib diese, gib die Tannen ein oder nicht.Und dieses Verfahren ist so sicher.Dass es eigentlich kein sinnvoll nachvollziehbares Angriffsszenario darauf gibt. Es sei denn, du machst als Opfer den Fehler nicht zu kontrollieren, was dieses Gerät hier gerade sagt, was du durch die Eingabe der TAN ähm.Für eine Transaktion autorisierst,Da gab es also einen Fall, wo das jemand, äh wo das irgendwie, ich glaube, der Angestellten äh Bürokraft äh oder sowas, die hundert von diesen scheiß Überweisungen machen musste, die hat dann bei der hundert ersten mal nicht hingeguckt oder sowasUnd da haben dann die Banken gesagt, nee, also Entschuldigung, das ist eindeutig nicht unsere Schuld. Dieses Verfahren ist sicher, du bist schuld. Und das heißt, dieses sichere Verfahren hat in diesem Fall.Gegen die zu schützende Person gearbeitet. Insofern würde ich's persönlich die zynische.Ähm These aufstellen, du bist besser bedient mit einem Verfahren, was nachweislich unsicher ist,Weil du mit, weil du dann wenigstens notfalls vor Gericht ähm beweisen kannst, dass das nicht deine Schuld war. Sondern die der Bank.Aber okay, äh so. Bitte, wenn jetzt irgendwie Geld von eurem Konto ist, klärt das mit eurer Bank, ich habe euch hier nur einen Tipp gegeben, von mir kriegt ihr das Geld nicht.Die Banken sind natürlich, die wollen diese Online, diesen Online-Sinova ähm aufrechterhalten, die wollen auch nicht den Ruf bekommen, ihre Kunden im Regen stehen zu lassen und deswegen ist dieser Schadenauch in diesem Fall denke ich ähm wird bei den Banken liegen und äh unter Umständen klagen, die sich da die eine oder andere Mark äh von O2 zurück.
Tim Pritlove 1:31:35
Ja gut, ich meine diese Kosten, das ja die sogenannte rentable Sicherheit, die sind natürlich eingepreist, die äh spüren wir dann an anderer Stelle über Bankgebühren et cetera. Also äh,ich weiß nicht äh ich hätt's ehrlich gesagt schon aus Komfortgründen äh würde ich gerne auf SMS verzichten. Ich habe immer das Problem im Auslanddann hast du da irgendwie Simkkarte, anderes Telefon, dann geht irgendwie die SMS geht irgendwie nach Deutschland und besitzt dann irgendwo anders, irgendwie hat's irgendwie was ganz wichtig, was nicht überweisen, das ist irgendwie total nervig.
Linus Neumann 1:32:06
Ja, ich hatte gestern auch das Problem, ich äh sollte mir ähm der der das Flugticket der der Wallet Pass, es wurde mir zwangsweise nur über SMSzugestellt, ja? Statt mir den online anzuzeigen, ey, ich muss doch eh runterladen,Äh da sind auch die SMS nicht eingegangen. Das war dann irgendwie ärgerlich. Aber ich habe noch was, ich habe noch ein schönes äh Tippbit zur SMS, warum man keine SMS schicken sollte. Ähm.Und zwar habe ich da einen schönen äh habe ich da mal eine schöne Rechnung aufgestellt, die ich unbedingt mit euch teilen möchte.Denn SMS, also SMS ist wirklich Mist, ne? Man soll, man macht einfach kein SMS. Da können wir wirklich mal froh sein, dass es diese diese Mobile Messenger jetzt gibt, die uns kein Geld äh kosten und ähm so,jetzt gucken.
Tim Pritlove 1:32:55
Und auch im Bereich Sicherheit ja wirklich einen Fortschritt darst.
Linus Neumann 1:32:58
Im Bereich Sicherheit einen großen Fortschritt darstellen, aber ich habe mir hier eine kleine Rechnung gemacht, äh eine SMS-Nachricht ist auf hundertsechzig Zeichen limitiert,Wobei jedes Zeichen mit sieben bitcodiert ist, das heißt die maximale Datenmenge pro SMS beträgt einhundertvierzig bitte,Äh um ein Megabyte zu übertragen sind also siebentausendeinhundertdreiundvierzig SMS notwendig. Der marktübliche Preis für eine Nachricht lag lange Zeit bei neunzehn Cent.Ja, wir erinnern uns, das war auf wundersame Weise, sind SMS einfach über wirklich zehn Jahre nicht mehr billiger geworden.Was zu einem theoretischen Preis von eintausenddreihundertsiebenundfünfzig.Euro und siebzehn Cent pro Megabyte führt und ich glaube, dass die SMS damit die ähm die teuerste äh Datenübertragungsmöglichkeit.Jemals gab, ja? Also bei bei Prepaid-Tarifen hast du heute immer noch sowas wie bis zu neun Cent. Das ist also ein Megabyte-Preis von sechshundertzweiundvierzig Euro ähm und irgendwie ein ganz billigen Prepaid-Tarifen geht das nur auf sechs oder.
Tim Pritlove 1:33:59
Wobei Datentarife im Ausland in Europa war in den letzten Jahren auch ganz weit vorne. Also.
Linus Neumann 1:34:04
Auch ganz weit vorne, aber da hast du niemals, niemals. Waren über eintausenddreihundert, ich war ich habe Roaming in Abu Dhabi und in Indien und wohne ich überall gemacht. Da waren niemals tausend Euro pro MB. Das waren das konnten mal irgendwie ein paar hunder.
Tim Pritlove 1:34:17
Das waren schon aber auch so ein paar Euro pro Paar Kilo bitte, das habe ich auch schon gesehen, das müsste man echt nochmal gegen rech.
Linus Neumann 1:34:21
Ja, ja, aber nicht, ich habe.
Tim Pritlove 1:34:23
War auf jeden Fall der Versuch, die die Realität der äh SMS-Berechnungswelt auf äh Roming zu übertragen.
Linus Neumann 1:34:31
Ich habe diese Tarifinfo SMS alle noch aufm, aber egal. Das wollte ich nur mal am Rande erzählen. Also SMS ist falsch, ist b. Und ähm machen wir nicht.So. Oh je, der war, was war der republika Tim.
Tim Pritlove 1:34:46
Kurz. Kurz. Sehr kurz.
Linus Neumann 1:34:48
Kurz. Ich war auch nur kurz da, ich war äh wieder viel unterwegs und konnte deswegen nicht so viel auf dem Hof rumhängen.
Tim Pritlove 1:34:56
Und ich muss auch sagen, ich war nicht da, weil ich irgendwie so viel Wichtiges anderes zu tun hatte. Ich hatte auch diesmal nicht so den Drang.
Linus Neumann 1:35:10
Das ist ja eine individuelles Ding, ne? Also ich meine, die die Veranstaltung war immer noch groß,groß besucht und ich glaube die Leute da waren, waren happy. Ich fand das Motto äh war echt mal smart,So, das war echt cool, äh Love Out laut, also äh angelehnt an Love Outlood, äh also laut lachen, Lole, die ist mal mit Love. Das äh ist auch echt äh.Lauten. Genau, laut lieben so oder Liebe laut, so hm.
Tim Pritlove 1:35:42
Nee, ist alles okay, kann man, kann man irgendwie alles machen. Es ist halt nur so eine Konferenz, schlaucht natürlich enorm und man muss immer so ein bisschen die Ökonomie,heranziehen, so lohnt sich jetzt meine Präsenz dort so und ganz klarer Profakor bei der Republika ist natürlich dieser immer wieder bemühte Klassentreffen, Aspeman hat natürlich da eine seit vielen, vielen Jahren gewachsene digitale Gemeinde, die sich da doch recht zahlreich zusammenfindetsprich ähm man kann da relativ effizient eine ganze Menge Leuten mal wieder die Hand schütteln und hier und da mal äh das ein oder andere ansprechen oder nachfragen, wozu man sonst vielleicht nicht äh kommen würde und für viele mag sich das alles schon deshalb abrechnen.Sicherlich auch für mich so. Ich habe nur jetzt in den Jahren zuvor immer irgendwie mit dem Sendezentrum, es war immer irgendwie was und ich fühle mich eigentlich auch immer wohler auf dem Event, wenn ich da was zu tun habe. Und wenn ich da gar nichts mehr zu tun habe, so, dann falle ich schnell so in mich,zusammen und dann blicke ich so ein bisschen auf die Realität der Republika, die sie ja dann auch sehr gewandelt hat und die vor allem einen einfacher schlägt mit Inhalten. Also.
Linus Neumann 1:36:48
Die haben zu viele äh zu viele Stages und zu viele.
Tim Pritlove 1:36:50
Tausendeinhundert Sprecher. Tausend, es gibt es sind andere Veranstalter noch nicht so viele Besucher, die da auf der Bühne stehen und reden,Und klar, ich verstehe das auch, man will alles abdecken, man will irgendwie breit aufgestellt sein, man will politisch sein, man will aber auch die wirtschaftlichen Trends machen, man will die gesellschaftlichen, kulturellen Aspekte machen, man will auch noch ein bisschen Unterhaltung machen, dieses, jenes, dieses, jenes, dieses, jenesalles super.
Linus Neumann 1:37:16
In drei Tagen, ne? Diese tausendeinhundert.
Tim Pritlove 1:37:18
Genau und das das dann in in drei Tagen. Da hast du irgendwie zwanzig Stages, von denen du irgendwie gar nicht mehr weißt, wo die sind. Aber das Hauptproblem ist, dass natürlich damit so die Botschaft.Ein wenig verbessert. So und das Motto Love Out laut mag ja ein lustiges Motto sein, ja? Gut gedacht et cetera durchzieht's aber sicherlich auch nicht alle Talks.
Linus Neumann 1:37:41
Ja, muss man jetzt vom Motto verlangen, also da haben wir ein Kongressmotor.
Tim Pritlove 1:37:44
Nö, ich sage nur, ja aber dann frage ich mich halt, was was ist denn jetzt eigentlich, worum dreht sich's denn eigentlich,was denn eigentlich.
Linus Neumann 1:37:54
Also die die.
Tim Pritlove 1:37:56
Die Stoßrichtung.
Linus Neumann 1:37:56
Das Programm ist einfach zu,zu breit und und von mir aus kann das ja so breit sein, ne? Aber da zahlenmäßig ist das einfach zu viel. Wir müssen einfach ich würde wirklich Eisenhart äh Stages äh streichen,weil.Mit dieser Menge kommt erstens die die Überforderung, ja? Der also ich finde das ganz ganz stressig da, weil du nie weißt, was ist denn jetzt alles wo und schaffe ich das? Und zweitens,Leider natürlich auch ähm,senkst du den Qualitätsdurchschnitt, ne? Also es soll jetzt gar nicht auf spezifische Talks äh Bezug nehmen, aber es gibt nun mal nicht so viele so gute Speaker, dass das eben alles ein Kracher ist, ja. Und ähm,Insofern würde ich ähund da habe ich jetzt ein bisschen Erfahrung drin in so Programmplanung. Wenn das zu breit wird, wenn das ausfasert, wenn die Qualität leidethast du eigentlich allen nicht also tust du niemanden Gefallen, ne? Und das ist dann nicht mehr überschaubar. Dann stehen Leute davor, finden sich nicht zurecht, finden sich in der Botschaft und der Richtung der Veranstaltung nicht mehr zurecht,würde ich nicht machen und du kannst, du kannst die Qualität auch nicht mehr aufrechterhalten.
Tim Pritlove 1:39:08
Genau und das ist auch ähm ist auch problematisch für so ein bisschen für diese soziale Dramaturgie auf der Veranstaltung. Also.Als das alles noch kleiner war und überhaupt generell bei kleinen Events, da hast du es immer so einen Talk, vielleicht zwei Talks, drei Talks, du findest dann immer locker.Dreißig Prozent, zwanzig Prozent der Leute, mit denen du irgendwie redest, haben denselben Talk gesehen, haben mitbekommen, dass der war, hatten sich schon.
Linus Neumann 1:39:33
Gehen mit dir zusammen dahin überhaupt mal.
Tim Pritlove 1:39:35
Gehen dahin es entsteht auch eine Diskussion darüber so und,Das fällt halt raus, wo das äh kann man sich jetzt lange darüber unterhalten, ob das sein muss, ja, ob man das unbedingt braucht, aber,Es war definitiv bei der Republikan,eins der Elemente, ja? Dass das sozusagen eine Debatte angestoßen wurde, um diese Debatte wurde dann aber auch vor Ort äh geführt. Für mich, dass es nicht irgendwelche Debatten dort gab und die dann auch von irgendwelchen Leuten äh geführt wurden, nur,es verwässert halt, es ist es wird einfach unüberschaubar und dann kommt man natürlich auch in zunehmende Maße in so ein Egalhaltung. Das ist eine Problem. Das zweite Problem ist und das finde ich sozusagen,fast noch schlimmer, dass seit einigen Jahren diese Tendenz gibt.Unter Veranstaltungen zu machen. Da war dann mal dieser Linux-Tag. Jetzt ist es diese Media-Convention.
Linus Neumann 1:40:28
Seit vier Jahren schon Media Convention.
Tim Pritlove 1:40:30
Ja, wo ich mich halt auch frage, was ist das? Warum ist das da? Was.
Linus Neumann 1:40:38
Ja, vor allem auch so vollständig äh vollständig nicht separierbar, ja? Also die die finden ja dann trotzdem in dem im Rahmen der Republika statt. Kannst ja nicht sagen.
Tim Pritlove 1:40:46
Ja, es gibt eine dedizierte Bühne.
Linus Neumann 1:40:47
Die rechte Tür und geht zur, geht zur Media Convention, nee. So, das ist ganz normal eingebettet in diese Konferenz, merkt keine Sau, also,Es ist genau, ja ist eigentlich ein Track. So kann man das eigentlich nennen, ist eine Subkonferenz, ist ein Track äh.
Tim Pritlove 1:41:01
Genau, hat aberAnderes Programmkomitee, andere Zielgruppe, andere eigene Geschichte. Fand vorher auch schon mal statt. Ist ja nicht so, dass das jetzt für die Republiker erfunden wurde und jetzt sozusagen als Subkonferenz innerhalb dieser Konferenz geboren wurde, weil man gesehen hat, au, wir haben jetzt hier so einen starken Teil äh den müssen wir jetzt mal autarkerhandhaben und nochmal einen eigenen Namen geben, so ein so ein SuBranding von etwas, was aus uns herausgewachsen ist, sondern es ist etwas, was es vorher schon gab. Und was von da reingegangen ist und sozusagen einfach nur die Republika als Marktplatz benutzt, um die Leute, die ohnehin schon da sind, ohne dass sie sich nochmal ein anderes Ticke.Für eine andere Location ähm dort eben auch einfach noch das Angebot mit äh vor die Nase geworfen zu bekommen. Und dasfinde ich nochmal besonders problematisch im Punkto Verbesserung, weil da weiß ich dann halt auch irgendwie gar nicht mehr so,Ja, also warum ist denn das jetzt da? Ist es jetzt da, damit es nicht auf der Republika ist? Und deswegen ist es in einem anderen Track, ja? Oder ist es da,Weil man selber nicht mehr die Kraft oder die Energie oder die Kontakte hatte, um die Themen, die wünschenswert sind, äh auch noch mit dazu zu bekommen,oder ist es nur um politisch,äh gesellschaftlich anzudocken. Was ja auch eins der erklärten Ziele der Republika ist, ja diese ganze Debatte zu breit zu streuen, mediale Aufmerksamkeit zu erzielendie ein oder anderen Minister mal über die Bühne zu schleifen, um die dann da auch ein bisschen an die Kandale zu nehmen und denen zu zeigen, hier guck mal, es gibt auch noch Leute, die reden anderen Stoß als in den anderen Veranstaltungen, wo du normalerweise über die Bühne gezehrt wirstsehe ich alles ein, halte ich aber nach wie vorfür problematisch in der Wahrnehmung, weil die Leute trennen das halt nicht. Die können das nicht trennen, ich könnte jetzt auch nicht in drei Worten erklären, was diese Media-Convention äh ist,was sie dann anders macht und warum der eine Talk da ist und nicht auf einen anderen Stage ich weiß es einfach nicht und ich glaub das könnte auch kaum einer erklären der auf der Republika ist.
Linus Neumann 1:43:01
Womit wir dann auch bei dem bei einem der Kernthemen waren. Jetzt haben wir die, jetzt haben wir schon so viel an der Republika kritisiert. Ich würde gerne vorher nochmal was Positives äh darüber sagen. Ähm einfach auch der Fairnesshaber, weilWir sind ja hier auch nicht frei von Interessenkonflikt, wir sind Veranstalter einer anderen Veranstaltung, also ähm,Also die Republika schafft es ähm ein unglaublich breites Publikum anzuziehen und mit einem mit einem sehr breiten Themenbereich zu betrauen. Und hat da immer noch eine sehr starke politische äh Ausrichtung, ja,und du kriegst diese.
Tim Pritlove 1:43:36
Der Republiker bisher immer.
Linus Neumann 1:43:38
Und ich habe jetzt glaube ich letztes Jahr schon gesagt, so das ist auf eine gewisse Weise genial. Ähm einerseits das Ding so,ordentlich politisch zu färben, dem Ding so einen Community-Aspekt zu geben.Ähm und gleichzeitig sich eben auch sage ich mal die der unpolitischen Themen zu widmen, die jetzt in diesem Bereich dann eben da hast du dann die ganzen Social Media Manager, da hast du,Markenverantwortliche, da hast du natürlich auch Sponsoren, ne, irgendwie dieses Jahr.
Tim Pritlove 1:44:07
Konnte man sie auch super erklären lassen, wie man jetzt mit Werbung äh Podcasts aufblätt und überhaupt.
Linus Neumann 1:44:13
Ach hey ja so das hast du dann auch alles, ne? Aber immerhin kannst du den, wenn du Glück hast noch äh gehen die dann auch noch hin, wenn wenn äh De Mazir malvon Konstanze kurz und Markus Beckedal äh ein bisschen behandelt wirdso das so das ist schon immer noch ein denk ich immer noch ein unterstützenswertes Konzept was von coolen Leuten gefahren wird und mein einziger Rat wäre oder bisher wäre mein einziger Ratmach das Programm wieder Döner, reduziert die Anzahl der Bühnen oder macht von mir aus die Veranstaltung länger und reduziert die Anzahl der Bühnen. Aber ihr treibt die Leute, glaube ich, also zumindest mich da irgendwie in so eine WahrnehmungskriseDas ist einfach zu viel, das geht so nicht.
Tim Pritlove 1:44:51
Besseres Wetter, also auch echt wirklich.
Linus Neumann 1:44:53
Dann das dann Thema Subkonferenz, das hat ja der Republiker jetzt zum ersten Mal echt ein Problem bereitet. Ähm dann rollen wir das mal von vorne auf, sodass die erste erste,hochgezogenen Augenbrauen gab es nach so einem Tagesspiegelartikel, der so ein bisschen äh glaube ich aus dem aus dem Team oder aus der Vorbereitung der Republika berichtete. Die haben sich da offenbar irgendwie so ein ähm Battle Journalist in ihre Vorbereitungstruppe geholt,und die waren dann wohl auch mal irgendwie abends mit denen denen in Praßnik, wo das Team da, ne, das Team trinkt abends noch ein Bier in der Kneipe oder sowas, ne? Na, findet sich dann so der Satz drin vor der diesjährigen Konferenz? Hat sich die Bundeswehr gemeldet.Sie wollte einen Stand aufbauen. Einerseits wollte man dem Militär keine Werbefläche bieten,Andererseits sahen die Republika Planer ein, dass auch die bundeswehrfähige IT-Kräfte braucht. Zum Beispiel, um im Ernstfall Hackerangriffe gegen Atomkraftwerke abzuwehren.Dazu komme ich später nochmal. Außerdem soll die Konferenz doch Ort,der gesellschaftlichen Auseinandersetzung seien keine Selbstvergewisserung Gleichgesinnter. Am Ende stellte sich heraus, die interne Diskussion war überflüssigflüssig, sämtliche Standflächen bereits ausgebucht. Vielleichtwird nächstes Jahrweiter gestritten. Also erstens, das mit diesen mit diesen Atomkraftwerken, also ich meine so ein dämliches Argument, ich will, ich gehe davon aus, dass das hier von den von den Tagesspiegel äh Journalisten reingedichtet wurde,nicht wirklich bei den Republika-Leuten noch kursiert, denn.Ist der der Cyber-Ernstfall der Verteidigung ist ein Mythos. Ja, entweder dein scheiß Atomkraftwerk ist sicher und nicht am Internet,oder es ist es nicht und dann wird nicht innerhalb von wenigen Minuten die Bundeswehr das verhindern. Ja, also das ist einfach Quatsch, aber so viel einfach nur in Richtung des Tagesspiel,Das ernsthaft überhaupt darüber diskutiert wird, diese diese Konferenz, Republika, der Bundeswehr,Zur Verfügung zu stellen für Marketing.Äh das ist natürlich äh hochkritisch und jetzt kann man aber auch nur sagen, das steht da halt im Tagesspiegel, wer weiß, wer da gestritten hat. So wie ich den ein oder anderen wirklichen Republika-Macher,persönlich kenne und nicht irgendwie aus dem Tagesspiegel dritt zitiert lese, will ich ja wohl Hoffnung, kann mir schwer vorstellen, dass das ernsthaft diskutiert wur.Also ähm das möchtest du nun wirklich nicht machen, wenn du über so viele Jahre so eine tolle Veranstaltung aufgebaut hast, dass du die abdass ihr den den Schaden reinholst, dass das auf einmal, dass du die für Bundeswehrrecruiting öffnest, ne? Und das haben die auch finanziell überhaupt nicht nötig, ne? Die haben ja gerade da wieder, was waren jetzt die ersten Sponsoren, die du da gesehen ha,der große äh Mercedes Stern aus Stuttgart. Äh ein schönes Telekom-Logo, ähm bei denen kannst du gut melken, die wissen, was diese Veranstaltung wert ist für sie.Ähm da kriegst du offenbar auch mit deren Hilfe die Ticketpreise,für ein auf ein für eine kommerzielle Veranstaltung immer noch äußerst groß äh ähm äußerst ähm schmales Niveau mit,Euro. Ähm, ich denke da da bist du nicht darauf angewiesen, die die Bundeswehr da reinzuholen. Ähm insofern hier mal im Zweifel für die Angeklagten, kann ich mir eigentlich nicht vorstellen, dass das ernsthaft bei der Republika diskutiert wurde und dass er es nötig hä.So, jetzt haben die aber nun mal diese Subkonferenz der Media Convention und diese Media Convention macht ihr eigenes Programm,So, die die haben sich da, was weiß ich, wie der die finanziellen Rangements sind. Die werden irgendeine Form von Kosten äh und Gewinnbeteiligung oder sonst was haben. Ähm und haben da ihre Bühne und dürfen die bespielen.Und ähm jetzt haben wir das Risiko oder das Problem ja schon angesprochen, dass das aber eine Eintrittskarte istund das Programm der Media Convention steht auch auf der Republika-Seite. Und wenn du jetzt auf die, auf die, auf die Veranstaltung der Media Convention gehst, dann steht da knallgroß Titel teilnehmende Thema und irgendwo steht sicherlich auch angemerkt, dass es sich dabei um eine Veranstaltung der Media Convention handelt. Du siehst aber die Seite im vollen Design der Republikan.Ja? Und da war's, gab's jetzt also ein äh ein Programmbeitrag. Coca Cola statt RTL, Edeka statt ProSieben. Mark,produzieren Shows und Formate im Social Web,Mit der Kurzthese jede Supermarktkette produziert eine Kochshow auf YouTube. Formate und Shows für Marken haben Konjunktur und die Qualität nimmt zu. Entwickelt sich hier ein neuer Markt für Produzenten,was erhoffen sich die Marken davon? Ja ähmMan sieht, das wäre jetzt nicht unbedingt was, was äh in der Republika sonst stattfinden würde. Das ist schon sehr stark auf Marketing und irgendwie Marketingtechniken und so weiter äh bezogenund das war dann ein Podium mit äh ich glaube drei oder vier Gästen drauf und der interessante Gast, äh, der dann ja doch einige Leute äh in sprachlos gemacht hat, war Dirk Feldhaus.Der Beauftragte für die Kommunikation der Arbeitgebermarke Bundeswehr. Ähm.Der ist ein Angestellter der Bundeswehr oder des äh direktes äh Verteidigungsministeriums.Weiß nicht, wie man das genau trennt, aber ich glaube, ich hatte seine Visitenkarte, das ist Verteidigungsministerium, was da draufsteht. So und der Beauftragte der Arbeitgebermarke Bundeswehr heißt natürlich seine Aufgabe ist ja Verteidigungsministerin heute, seine Aufgabe istDie Bundeswehr als Arbeitgeber interessant zu machen. Mit anderen Worten Menschen dazu zu bringen für die Bundeswehr zu arbeitenund ähm die zwei Kampagnen, ähm für die dieser Mannoder zwei der Kampagnen, für die dieser Mann erfolgreich ist und die man sicherlich irgendwie als als sehr erfolgreich auch bezeichnen kann, was auch der Grund war, wahrscheinlich, warum man ihn da eingeladen hat, ist äh die YouTube-Serie die Recruitinwo irgendwie ein paar Jugendliche in der Grundausbildung ähm gezeigt werden.Und ähm diese Plakatkampagne äh in der uns jeder einzelne flachwitz, den man irgendwie übers Halber machen kann, äh geklaut wurde und wo ja auch unsere Sendungstitel schon äh Anwendungen finden,aber auch diese Kampagne ist eben muss man nun mal sagen, ist eben erfolgreich und oder weiß ich gar nicht, ob die.
Tim Pritlove 1:51:14
Messen, woran wollte ich gerade fragen.
Linus Neumann 1:51:16
Ja, weiß ich nicht, aber es ist hat, ist reichweitenstark und auch diskussionsbedürftig, ja?
Tim Pritlove 1:51:20
Alle haben sie zumindest schon mal gelesen und denken sie, wäre erfolgreich.
Linus Neumann 1:51:23
So, nichtsdestotrotz hatten wir jetzt natürlich die SituationEin Mensch vom Verteidigungsministerium, dessen Aufgabe ist, die Marke der Bundeswehr in gutem Licht stehen zu lassenda damit Menschen dazu zu animieren zur Bundeswehr zu gehen war auf einem Podium angekündigt, dass im Rahmen der Republika stattfindet.Moderiert wurde das Ganze von Kathrin Schmidt, die hier auch nochmal ehrenvoll erwähnt wird aufgrund ihrer weiteren Reaktionen. Ähm.Dann haben sich offenbar ein paar Leute zusammengetan und,haben eine Intervention gemacht, um da ihrem Unmut darüber, dass ein, äh, dass ein Bundeswehr äh Vertreter äh der noch dazu mit dem Recruiting beauftragt ist, äh dort auf aufauf der Bühne ist. Die haben also.Hatten so mehrere Schilder, auf denen stand irgendwie Cyber, Cybersex statt, Cyberwehr oder sowas, ne? Oder Cybersex statt Cyberware, äh Soldaten sind Mörder und irgendwie solche entsprechende Plakate da,und äh irgendwie ein Korfetti-Kanonen und ein Sakkonsack, Glitzer oder so, ne? Und sind dann irgendwie über die Bühne gegangen und haben diesen Herrn Feldhaus einer Konfetti-Dusche unterzogen.Ja, diese Intervention dauerte irgendwie sowas wie äh dreißig Sekunden und fand statt und da muss man wirklich sagen, starke Abzüge in der B-Noteerstens zu einem Zeitpunkt, als dieser Mann noch gar nicht vorgestellt war. Der saß da auf der Bühne und wäre irgendwann drangekommen.Ähm das war also zu früh. Ich vermute mal, die waren aufgeregt oder so oder haben irgendwie nicht gehört, dass der Mann da jetzt nun mal jetzt gerade gar nicht Thema ist? Ähm zweitens fand die Stadt zu einem Zeitpunkt, als gerade,Ein Video lief, was nämlich der der Gast, der vorher dran war.Eben ihr wieder so, das war eben TeilTeil des des Marketings, was er jetzt macht. Da wurde halt irgendwie so ein Video gespielt. Und in dieser Situation gehen die jetzt auf die Bühne, konfettieren den ein, halten ihre Plakate hoch und kriegen von, ich würde mal sagen,Aber maximal der Hälfte des Publikums, Applaus. So, von Rest nicht. Ähm,Dann ging diese Diskussion äh irgendwie relativ,problemlos weiter. Das Video lief da irgendwie noch ein paar Minuten. Die haben in der Zeit äh den Herrn Feldhaus des äh Konfetti oder dieses Glitzer abgewischt und ähm die Leute von der Bühne gescheucht.Und ähm dannging die Diskussion weiter. Im weiteren Verlauf, also was mir dann noch aufgefallen ist, Herr Feldhaus hat dann davon seine Arbeit geredet, die eben darin besteht, die das Image der Bundeswehrin der Öffentlichkeit aufzupolieren, denn äh Bekanntheitsprobleme hätte sie ja nicht. Es ging also nicht darum, eine Marke zu etablieren, sondern,eine Marke für andere ähmattraktiv zu machen und er rühmte sich, dass äh da ist mir dann doch die Kinnlade runtergegangen. Er rühmte sich,Die Bundeswehr zum Thema auf Pausenhöfen gemacht zu haben. So.Weiß ich nicht, ob ich da jetzt so unkritisch stolz drauf wäre, dass ich äh es geschafft habe durch eine YouTube-Serie äh Schüler, äh die ja irgendwie meistens noch unter achtzehn sind, aber ebenNatürlich auch gerade im rekrutierungsfähigen Alter.
Tim Pritlove 1:54:53
Na ja, das ist ja nun mal die Zielgruppe.
Linus Neumann 1:54:54
Ja, also so da.
Tim Pritlove 1:54:57
Ich meine äh Bundeswehr ist jetzt kein Angebot für achtundzwanzig bis achtunddreißigjährige.
Linus Neumann 1:55:01
Ähm ja, also ich.
Tim Pritlove 1:55:04
Ich meine, man kann das jetzt finden, wie man will, ja?Gibt ja auch äh äh durchaus die andere Sicht der Dinge, dass dass sich hier schlicht um einen Staatskörper äh handelt. Äh verfassungsgemäß äh etabliert wurde und ähm ähNa ja, nun mal dazu gehört zu dem ganzen Spaß und je nachdem wie man das jetzt bewertet, äh, daran teilzunehmen oder nicht,dass es viele Millionen Leute gibt, die das halt sehr wohl äh auch äh tun und unterstützen und jetzt auch nicht per se falsch finden.
Linus Neumann 1:55:30
Also wenn du dich mit äh wenn du dich mit dieser mit dieser Einstellung, mit dieser Tätigkeit, einer Veranstaltung, die im Rahmen der Republika.Ununterscheidbar von der Republika stattfindet stellst, dann musst du dich auch der Kritik stellen,Diese Kritik hat Kathrin Schmidt natürlich dann explizit nochmal verboten, als es nämlich dann in die Diskussionsrunden ging, hat sie dann also nochmal.
Tim Pritlove 1:55:53
Sind wir die Moderatoren.
Linus Neumann 1:55:54
Das war die Moderatorin. Ähm die hat also dann nochmal explizit gesagt, so sie wollen hier keine Fragen zur Bundeswehr hören. Das hatten wir ja jetzt schon. So, ne? Die äh die also die Pöbel und Gesocks hatten ja ihre Chance, ja? Und denen ist ja nicht.Das parafrisiere ich ähm ne, die der Pöbel hat ja jetzt schon seine Chance und wir wollen ja jetzt hier äh ist ja eine Fachdiskussion. Fachdiskussion der der Marketer und entsprechend verbat sie sich dann ähm,Fragen zur Bundeswehr oder Kritik an der Bundeswehr. Das Publikum ist ja offenbar eh sehr ähm.Da gewesen und hat sich das dann auch äh verbieten lassen.Und äh die Veranstaltung endete. Ich bin dann noch äh mit mit meinem Aufnahmegerät. Äh ich habe so ein Handaufnahmegerät zum Herrn Feldhaus gegangen, habe mich vorgestellt, habe gesagt, also ich wollte,wären sie denn wohl bereit, mir Fragen zu beantworten und ähm so jetzt hier im Anschluss. Äh das ging leider nicht,weil er also muss man Kammern einsehen, ne? Der durfte zwar auf dieses Podium aber.Ist eben vom Haus aus nicht als Sprecher des Verteidigungsministeriums ähm und ähm irgendwie legitimiert und darf deshalb ähm nicht,Mit mir, durfte deshalb nicht unabgesprochen mit mir sprechen. Wir haben dann im weiteren Verlauf festgestellt, wenn ich ihm die Fragen vorher schicke,Dann könnte er sich nochmal eine Genehmigung vom Hause einholen,darauf zu antworten, dann könnten wir das telefonisch machen. Schade, ich hätte natürlich, also und es gab dann, es war ihm auch klar, dass ich eben bestimmte Fragen nicht stellen darf,Zum Beispiel wie wie sich das so wie sich das so anfühlt, wenn der Job ist irgendwie möglichst Jugendlichedazu zu bringen, dass sie sich freiwillig irgendwie zwölf Jahre ihres Lebens äh als Kanonenfutter subscriben oder wie er so allgemein ähm einemit dieser Kampagne, so die wir damit umgeht, dass da unsere Witze geklaut hat. Nein, aber sowas darf's dann alles nicht. Mal schauen, ob wir dieses Interview noch führen werden. Aber ähm ich finde es natürlich auch schade, wenn da äh die Fragen.Einer einer Vorauswahl unterliegen. Wenn ich das auch verstehen kannBei jedem anderen Unternehmen ist es auch so, dass nicht Grandom Vertreter einfach mal ein Interview geben dürfen. Aber schade, hat also nicht stattgefunden. Das war eigentlich der Grund, warum ich da war.Was mich dann aber noch so ein bisschen schockiert hat, muss ich echt sagen, da war dann auch echt eine längere Schlange an Leutendie und dann können wir jetzt auch dieses Fachthema, ne, die ja dann irgendwie sagten, so ja äh ja erstmal so, also wirklich to,toll diese diese YouTube-Serie sie haben ja da wirklich innerhalb kürzester Zeit echt irgendwie Groß Rates auf ihrem YouTube Kanal gehabt und gibt's denn da nochmal 'ne eine gibt's ja nochmal 'ne Staffel zwei wo er dann irgendwie Andeutungen machte und ich musste mir echt auf die Zunge beißen zu sagenleben die Jungs denn überhaupt noch alle, dass wir eine Staffel zwei machen können.Weiß man doch nicht.
Tim Pritlove 1:58:51
Der gute Cash, so viel Cash und die so die Bundeswehr derzeit ja nicht.
Linus Neumann 1:58:55
Ja gut, aber nicht mal die Frage musst du auch nochmal stellen. Also da. So, das war echt ein bisschen erschreckend, was du da, was dieses Podium für Leute.
Tim Pritlove 1:59:00
Ja, ich sage ja, es gibt ja auch äh Polium für Leute. Es ist wird dich überraschen, aber es gibt Leute, die haben andere Grundauffassungen, ja, als du.
Linus Neumann 1:59:10
Ja, das war das überrascht mich jetzt nicht Tim, damit bin ich regelmäßig konfrontiert,So, aber ne, ich ich stelle das nur fest. So und ich muss aber auch sagen, dass das dieses Gespräch, was ich da dann eben unfreiwillig ähm bezeugen musste. Eines ist, dass ich in der Form, sage ich mal, auf einer Republika vor fünf Jahren nicht erwartet hätte.Vielleicht bin ich da ein bisschen idealistisch, ich will auch nicht sagen, dass diese Leute äh äh kein Recht hätten, die Republika zu besuchen, aber ich bin dann docherschrocken gewesen, dass es der Media Convention hier gelungen ist diese Sache so zu positionieren.In einem Umfeld, wo es wenig Kritik gibt und die auch noch dann von der Moderatorin verboten wird. Ähm.Und dass das so stattfindet so, das finde das war für mich der Grund, also ich bin im Anschluss, kann ich sagen, direkt,von dieser Veranstaltung abgehauen. Ich bin da auch nicht mehr wieder hingegangen. So, das war vorbei. Ich musste eh dann nachher weg, aber ich habe dann das hat mich wirklich persönlich echt getroffen und ich weiß.Ähm dass das auch andere aus dem Veranstaltungsteam der Republika getroffen hat. Die also auch sagten, so boa.Das braucht man nicht. Ähm es gibt dann also Johnny Häusler hatte auch ein äh Interview dazu gegeben äh zu diesem,Ich sag mal zu diesem Videofall der läufig so interpretiert wird, dass er mit sehr diplomatischen äh Worten sich da im Prinzip von der Entscheidung der Media Conventiondistanziert hat. So wird's interpretiert. Ja, also er hat einfach gesagt so, also das war mit uns nicht abgesprochen undDa hatten wir keinen Einfluss drauf. Wir haben das sehr spät erfahren und ähm.So ähm wenn sich jetzt jemand beschweren will, dann bitte bei denen und nicht bei uns. Ja, das kann ich auch verstehen und das finde ich auch äh ja notwendig und richtig, dass er, dass er das so klarstellt.Das Problem das das Drama ging aber noch ein bisschen weiter und zwar im ähm dieser diese Session wurde natürlich auch veröffentlicht. Die haben eine Videoaufzeichnung davon gemacht und einen Livestream und ähm haben diesehaben diese Aufzeichnung veröffentlicht und in dieser Aufzeichnung fehlte dieser Protest.Sowas. Allen, ich meine, Kardinalfehler, der dieser der Media Convention Verantwortlichen ist. Du kannst, wenn sowas ist, ne, dann kannst du das nicht rausschneiden.Der Grund, warum der dieser Protest fehlte war.Das zu dieser Zeitpunkt, zu diesem Zeitpunkt ja ein Einspieler lief. Und die ihre Einspieler ähm diese Einspieler aus den,aus der Veröffentlichung rausgeschnitten haben. Also immer wenn ein Video lief.
Tim Pritlove 2:01:56
Wurde das als solches nicht.
Linus Neumann 2:01:57
Wurde das, wurde war eine Überblendung äh und das haben sie quasi aus dem veröffentlichten Teil, den sie auf YouTube hochladen, rausgeschnitten.Sagte mir die Frau Sabine Wessels, die die Programmmanagerin von der Media Convention Berlin ist.Ich hab dann in dem Video ein bisschen hin und her gescrollt und du siehst bei Minute drei nein Spieler der nicht rausgeschnitten ist.Ähm was natürlich, also das war dann dieser Badwiser äh Spot, ne? Kennst du dieses WhatsApp oder sowas, ne, keine Ahnung. Den hatten sie dann nicht rausgeschnitten.Mit anderen Worten ähm äh wirklich.Äußerst ungeschickt. Dann wurde gesagt, die Kameras werden ausgeschaltet, wenn äh wenn dieser Einspieler laufen.Was dann nachher das Team von Alex TV Berlin widerlegte, indem sie uns dann äh auf Twitter anboten, dass sie die Aufzeichnung von diesem Protest haben und die gerne bereitstellen,Mit anderen Worten die gute Frau Wessels hat da echt äh sich als Kommunikationsprofi echt nochmal so richtig,Aussagen und äh das war echt jetzt wirklich nicht besonders elegant, wie wie sie sich da,wie sie da das Krisenmanagement gemacht hat. Fakt ist aber, ähm, dass der Protest nicht in dem, in diesem Video drin ist, liegt an dem.Unschönen Timing, derDemonstranten oder der Protestanten, die da quasi während einem Video und vor allem bevor der gute Herr Feldhaus überhaupt die Gelegenheit hatte, äh vorgestellt zu werden äh über die Bühne laufen und ihre Interventionen machen. Und äh da sind sie eben.Unter die Räder gekommen. Ich meine, selbst wenn die Media-Convention das nicht rausgeschnitten hätte.Dieses Video, dann wäre eben auch zu dem Zeitpunkt das Video zu sehen gewesen und nicht die Bühne, ja? Insoferneinerseits wirklich ein total schlechtes Timing von diesen von den von den Demonstranten äh oder wie nennt man das von den Konfetti Leuten ähmandererseits natürlich trotzdem eine sehr ungeschickte äh sehr ungeschickte Verarbeitung durch die Media Convention, weil wenn du so einen Protest rausschneidest, dann setzt du natürlich sofort,dich und dein,Die Republika, diesen ähm diesen Verdacht aus, dass da eben äh nicht nur der Protest explizit von deiner Moderatorin auf der Bühne verboten wirdÄh sondern dass du den auch noch nachher rausschneidest. So ähm das ist echt ein bisschen also.Und dann noch irgendwie nachweislich falsche Aussagen von der Programmmanagerin so boaAlso da kann man der Republiker wirklich nur raten, dass sie sich irgendwie in den nächsten Jahren nochmal überlegt, ähm wem man sich als Subkonferenz ins Boot holt und wie man da den nochmal bei ihrer Programmgestaltung auf die Finger schautso, weil das der Schaden für die Republika ist jetzt in Grenzen.Aber keine Sau und das ist auch das Problem, keine Sau unterscheidet die Republika von der Media Conventiondie die Republik das Republicas Team steht im Feuer, ja? Mit warum habt ihr die Bundeswehr da? Warum schneidet ihr den Protest raus? Warum äh hier, warum das, ne?Und ähm da muss man jetzt einfach mal sagen, zu Unrecht. So, zumindest nichtDirekt, also die Republika ist nicht verantwortlich für das, was da geschehen ist, die Republika war nicht verantwortlich für die Verarbeitung dieses Videos. Die haben haltein sehr unglückliche Wahl offenbar bei ihrer Subkonferenz getroffen, waren jahrelang damit happy und zufrieden. Ähm und jetzt haben sie halt da offenbar etwas, worüber sie mal mit ihrem mit ihrem Partner da reden müssen. Ähm,Nur mir geht's nur wichtig, mir geht's nur darum, äh eben zu sagen, so Republika.Hat damit nichts zu tun. So und diese Media Convention Leute, die habe ich aber jetzt aber auch wirklich doppelt gefressen, bin ich auch ganz ehrlich.
Tim Pritlove 2:05:49
Ja gut äh ich habe ja schon gesagt, ne? Also die Unterscheidung,wird nicht gemacht und deswegen muss man sich das schon vorher überlegen, ne? Also in dem Moment, wo du,ähm Kuratierung delegierst, äh machst du dir das halt zu Eigen ohne selber die entsprechende Kontrolle zu haben und das äh ist grundsätzlich schwierig,Gut, ich denke, mit dem Termin sind wir jetzt durch, oder?
Linus Neumann 2:06:18
Ja, viel zu lang, aber es geht ja nicht mehr im, warum wir das Thema hier so aus ausführlich besprochen haben, das spielt natürlich auch eine Rolle, dass das äh die Veranstalter eben Freunde von uns sind.Und wir natürlich trotzdem uns wünschen, dass diese Veranstaltung gedeiht und wächst und äh zur Kaderschmiede für die nächste netzpolitische Revolution wird.
Tim Pritlove 2:06:41
Ja und es äh bedarf auch, sagen wir mal, nach dieser äh sehr erfolgreichen, weiträumigen und großflächigen Hinwendung zu der Breite der Gesellschaft, den Medien, den Firmen und all dem,würde ich mir manchmal wieder ein bisschen mehr Zuwendungen zu dem eigentlichen Kerngruppe äh wünschen, nicht erstmal losgetreten hat. Mittlerweile ähm,Ja, ich will da jetzt gar nicht so mit diesem früher war alles besser und das muss immer gleich bleiben, ja? Das ist überhaupt nicht meine Stoßrichtung, nur,man darf das nicht aus dem Auge verlieren, sonst äh hat man halt irgendwann eine andere Veranstaltung. Wenn man das will, gut,Aus, vielleicht nicht ganz so will, dann muss man.
Linus Neumann 2:07:26
Wachstumsschmerzen hast du immer äh und eine Veranstaltung, die wächst, wird sich auch zwangsläufig verändert, ne.
Tim Pritlove 2:07:33
Ja, also ohne Änderung, kein Fortschritt. Die Frage ist nur.Machst du diese Veränderung im Wesentlichen durch die Annahme von außen oder durch eine Entwicklung von innen. So und nicht alles wirkt auf mich wie eine Entwicklung von äh in. Aber ich glaube, damit haben wir das dann auch ausreichend abgefrühstückt.
Linus Neumann 2:07:51
Der Termin ist durch.
Tim Pritlove 2:07:53
Genau, dann schauen wir doch nochmal, was wir sonst noch auf dem Kalender haben.Dennis gibt natürlich wieder schöne Termine, die ihr uns eingeschickt hat und wir fangen an mit dem Freifunk Willis Community Weekend. Das findet vom sechsundzwanzigsten bis achtundzwanzigsten Mai zwanzig siebzehn in Berlin in der Seebase stattund das Ganze wird ja von der großen Freifunk-Community ausgerichtet, Teil des Rahmenprogramms ist unter anderem eine Kuratorenführung durch die Ausstellung das Netz mit Freifunkexponaten im deutschen Technikmuseum und ja, wer mehr darüber wissen will, schaut auf die Wiki-Seiten von Freifunk Punktnett.
Linus Neumann 2:08:39
Genau eine Woche danach nehme ich vom fünften bis elften Juni findet in Wien der Wirts Battle of the Mashes statt. Dort trifft sichdieses Jahr und zwar zum zehnten Mal die internationale Entwicklergemeinde der freien Software, die in den großen Bürgernetzen der Welt zum Einsatz kommt. Das Ganze findet statt im Volkskundemuseum, im Zentrum von Wien. Äh es gibt einen mehrtägigen Hacker vorvon Vorträge und so weiter alles präsentiert von der WienerFunkfeuercommunity, fünfzehn Menschen aus fünfzehn Nationen haben sich bereits angemeldet. Der Eintritt ist frei für günstige Nächtigungsmöglichkeiten ist gesorgt, es gibt also keine Ausreden.Nähere Informationen findet ihr auf Battle Mash dort org.
Tim Pritlove 2:09:21
Genau und wer im hohen Norden festhängt und meint, es wäre ja alles viel zu weit weg. Da gibt's dann auch noch ein Angebot in Flensburg. Den Weekend Hack ausgerichtet vom Chaostreff in Flensburg, der findet statt vom dreißigsten Juni bis zum zweiten Julizwanzig siebzehn und vielleicht ist das ja was für euch.
Linus Neumann 2:09:40
Dann haben wir glaube ich auch in in Wien nochmal die Privacy Week, die findet dieses Jahr rund um den österreichischen Nationalfeiertag und damit auch um die österreichischen Big.Brother Award statt, gibt's hier zwei Gründe dahin zu fahren vom dreiundzwanzigsten bis neunundzwanzigsten Oktober,Ja, warum melden wir das schon so früh an? Der Core vor Partizipation läuft noch bis zum einunddreißigsten Mai. Das heißt, ihr könnt da noch einreichen. Alles weitere findet ihr unter Privacy Week,Punkt AT.
Tim Pritlove 2:10:10
Und eine Veranstaltung, die noch ein bisschen weiter in der Zukunft liegt, wo es aber auch hier einen guten Grund gibt, das jetzt schon zu erwähnen, ist nicht weniger als der vierunddreißigste Chaos Communication Kongress. Die Fortsetzung unseres äh Kongresses,nämlichwie viele ja schon äh geahnt haben, nicht in Hamburg stattfinden, sondern jetzt wurde eine neue Location äh vorgestellt, an die der Kongress nämlich jetzt hinzieht. Das ist nichts weniger als dieMesse inLeipzig, das ist also jetzt die Wahl und das ist vielleicht der Ort für mindestens dieses Jahr, wenn nicht sogar noch für viele Jahre darüber hinaus, wo sich der Kongress weiterentwickeln sollda sind wir glaube ich alle sehr gespannt was dabei rauskommt oder?
Linus Neumann 2:10:55
Ah ja, das wird natürlich alles ganz großartig werden. Ähm aber auch eine großartige Herausforderung.Also der Kongress ist einfach an einer Größe, wo man sich kaum noch ähm,in einem Kongresszentrum einnisten kann, die Anforderungen sind hoch, zu breit und zu spezifisch, was wir an Räumen brauchen, was wir an Infrastruktur brauchen, was wir an Seelen brauchen. Ähm wir bringen damit einfach alle Kongresszentren an die GrenzeUnd ähm in Leipzig ist das äh deswegen die oder auf Leipzig ist deswegen am Ende die Wahl getroffen, weil die ein Kongresszentrum mit direkt angeschlossenen Messehallen haben. Und wer das Kongresszentrum,nutzen werdendann quasi nur ein Teil dessen was zu bauen ist, ne? Also eine Messerhalle ist, egal wie schön du die machst, echt hässlich und da muss man sich Mühe geben. Ähm und ähm da mit einem angrenzenden Kongresszentrum hast du schon mal,Einiges weniger eine Infrastruktur, was du dann eben gezwungen bist zu errichten.
Tim Pritlove 2:11:57
Ja, also ist natürlich nicht das einzige Argument, da gibt's auch noch andere Messegelände, die so im Kongresszentrum im Angebot haben. Das äh gibt's auch in Hannover, das gibt's auch in Dortmund, das gibt's auch an äh in in Berlin ähmalles auch Standorte, die wir uns näher angeschaut haben und die so mehr oder weniger hängen in die in die Auswahl mit reingenommen wurden. Am Endespricht glaube ich auch noch, springen auch noch ein paar andere Sachen für Leipzig, die jetzt nicht jeder einzeln.Für sich irgendwie ein Hauptgrund darstellen, aber so ein bissch,so ein so ein, so ein, so ein Mosaik zusammengebaut haben, an dem man so am Schluss ablesen konnte, so okay, das, das, das könnte die Mischung sein in, in, in der dieses Plänschen dann doch ganz gut aufgehen kann.Da es äh Weden das einerseits Leipzig tatsächlich ja auch sehr verkehrs,Günstig liegt insbesondere, wenn die Bahn ihre neue ICE Strecke nach München dann auch eröffnet haben wird, um äh rechtzeitig zum Kongress.Sozusagen die die Bahnverbindung von von Berlin aus schon, glaube ich, was war das zweieinhalb Stunden schneller und äh entsprechend schnell kommt man dann eben auch aus dem Süden ähmnach Leipzig, aber auch aus dem Westen et cetera, geht es ganz gut. Was ist noch persönlich noch viel wichtiger finde, ist einerseits,Leipzig so in meinen Augen auch definitiv gerade so auf der Liste der cooleren Städte in Deutschland steht.
Linus Neumann 2:13:26
Ja, jetzt auf jeden Fall.
Tim Pritlove 2:13:27
Genau, jetzt jetzt, jetzt wird dem Ganzen äh der Titel offiziell verliehen und das dürft ihr euch cool nennen. Jetzt kommen wir auch. Nein,wer Leipzig äh ein wenig kennt, weiß, dass es da einfach kulturell äh ziemlich abgeht in den letzten Jahren. Ist auch eine wachsende Stadt.Und trotz einfach nicht äh vor Langeweile.Und das ist das ist gut und wir freuen uns auch da in die kulturellen Eigenschaften der Stadt ein bisschen anzudocken. Das wird natürlich jetzt,auf diesem Messegelände, was ja dann doch etwas isoliert am Nord äh Rand der Stadt liegt. Ähm eine Herausforderung so. Nicht, dass wir uns jetzt, wenn es in der Stadt liegen würde, sind besonders viel auß,dieses Geländes äh aufgehalten hätten, aber muss man einfach mal gucken, wie sich das da so entwickelt. Ist ein großes Gelände und ähIst ein relativ modernes Gelände auch.Zwanzig Jahre ist das erst alt, das ist jetzt sagen wir mal nicht so eine, also Messe Leipzig ist natürlich viel viel älter, aber die traditionellenMesserhallen, weil ja alle in der Stadt, das war nicht mehr zu halten, die haben da jetzt noch, glaube ich, noch so eine kleine Stadthalle oder so etwas, was auch noch von der Messe betrieben wird. Und wir haben das.Team,Von der Messe Leipzig allerdings als sehr agil, sehr aufgeschlossen, sehr kooperativ empfunden, also das war so auch,so ein Gefühl dabei von Anfang an, wo man gesagt hat, hier rennen wir nicht in Widerstände, hier rennen wir in Möglichkeiten. Und das ist für den Kongresscan sehr, sehr, sehr wichtig.Jetzt ist auf jeden Fall angekündigt und weiß nicht, ob's noch Hotels gibt.Der Run war spürbar. Ähm ich denke, das wird aber reichen. Ähm leider gibt's nicht so viele Hotels in unmittelbarer Messe hier. Das ist ein Problemaber es ist auch alles nicht so groß und nicht so weit weg. Man kann sich super zum Beispiel so mal als Tipp, wer nochmal günstig äh unterkommen möchte. Es gibt ein paarsehr günstige äh kleine Hotelhosteldinger, die alle so an dieser Straßenbahnlinie sechzehn äh liegen.
Linus Neumann 2:15:37
Die gibt's jetzt dann mit deiner Ankündigung auch nicht mehr, aber auch gut.
Tim Pritlove 2:15:40
Ich meine, irgendwo müssen die Leute ja unterkommen, ne?
Linus Neumann 2:15:43
Straßenbahnnachtverkehr wird es geben. Das äh wurde uns versprochen und in dieser Straßenbahnlinie ist man dann auch ganz gut aufgehoben.
Tim Pritlove 2:15:51
Ja gut, also ja.
Linus Neumann 2:15:53
Gut, da müssen die mitleben, wenn die das nicht machen.
Tim Pritlove 2:15:55
Was auch immer, es wird auf jeden Fall äh dafür gesorgt werden, dass man da zu jeder Tages und Nachtzeit,rein und raus kann. So, das heißt, was, was nicht durch eine Bahn gesichert wird, wird durShuttlebusse oder ähnliches gesichert. Also ich denke mal, das wird der Kongress auf jeden Fall stemmen können. Man ist da jetzt nicht äh komplett verloren und kommt da nicht weg und muss um zweiundzwanzig Uhr ist äh Gelände verlassen. Das wäre ja nun wirklich auch sehr untypisch, ne.So, ich denke damit ist eigentlich erstmal alles gesagt, oder? Soweit.
Linus Neumann 2:16:27
Ja, damit äh ist eigentlich alles gesagt, jetzt müssen wir das Wort nur noch anderen überlassen. Na dem, ich weiß nicht, wie der Sprecher in den Alexander Lehmann Videos heiß.
Tim Pritlove 2:16:38
Richtig, genau. Das ist das nicht Alexander Lehmann selber? Nee?
Linus Neumann 2:16:42
Nee. Nee, nee, nee, nee, nee. Der der hat sein Sprecher ist äh sehr viel älter, glaube ich.
Tim Pritlove 2:16:50
Ich habe mir ehrlich gesagt noch nie so richtig drüber Gedanken gemacht, aber wir reden.
Linus Neumann 2:16:53
Du hast mir Alexander Lehmann vorgestellt und der muss dir doch aufgefallen sein, dass der nicht diese Stimme hat.
Tim Pritlove 2:16:59
Um es erstmals gesehen habe, dass es rufe ich dann nicht als erstes die Videos ab und machen Stimmenvergleich.Also ich bitte dich. Äh liebe Grüße auf jeden Fall an äh Alex, den man neulich äh die Freude hatten, endlich auch mal äh persönlich kennenzulernen. Und wir sind nach wie vor große Fans äh von seinen Werken und das Timing hätte ja nun diesmal auch kaum.Können, ne? Also Cyberpeace, Versus Cyber Warund vieles von dem, was wir in dieser Sendung hier schon mit aufwendigen Wortgeflechten und nicht sichtbaren Handbewegungen versucht haben zum Ausdruck zu bringen. Bringt ja mal wieder in seinemneuesten Videos so wunderbar auf den Punkt, dass wir euch damit dann auch äh hier als ausklagen in die Woche entlassen möchten.
Linus Neumann 2:17:47
Bei uns gibt's nur das Audio da draußen im freien Internet gilt sogar auch noch das Video dazu, das ist auch wärmstens empfohlen.
Tim Pritlove 2:17:53
Genau, schaut euch äh gerne nochmal danach äh an, aber da auch der Inhalt für sich äh super steht, machen wir das halt einfach mal so. Und empfehlen uns.
Linus Neumann 2:18:05
Bis in die nächste bis in die nächste Woche, oder?
Tim Pritlove 2:18:07
Genau, sowas. Also, tschüss.
Linus Neumann 2:18:10
Ciao, ciao.
Shownotes
WannaCry
- DLF: Hacker-Angriff: G7 wollen Cybersicherheit verstärken
- Spiegel Online: “WannaCry”-Cyberattacke: Die Lehren aus dem weltweit größten Angriff mit Erpressungssoftware
- Tagesschau.de: Wanna Cry: Angriffstool aus dem Waffenschrank der NSA
- Microsoft: The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack
- Linus bei Tagesschau Live
- heute.de: “Wanna Cry”-Cyber-Attacke: Sicherheitslücke aus dem Giftschrank der NSA
- Wikipedia: Google Project Zero
Vorratsdatenspeicherung wird ausgebaut
- Zeit Online: Vorratsdatenspeicherung wird jetzt schon ausgeweitet
- Posteo: Bedenkliche Entwicklung: Wie Providern “Vorratsdatenspeicherung as a Service” angeboten wird
- netzpolitik.org: Vorratsdatenspeicherung ab Juli: Schlecht für Grundrechte – und Provider
- Marketing-Bullshit von Uniscon
SMS–2nd-Faktor-Hack
- Süddeutsche: IT-Sicherheit: Schwachstelle im Mobilfunknetz: Kriminelle Hacker räumen Konten leer
- Freak Show: FS181 Und ich hab selten Hals
- 25C3: Locating Mobile Phones using SS7
- 31C3: SS7: Locate. Track. Manipulate.You have a tracking device in your pocket
re:publica 2017
- Tagesspiegel: Digitalkonferenz in Berlin: Die re:publica ist erwachsen geworden
- Media Convention 2017: Coca Cola statt RTL, Edeka statt ProSieben: Marken produzieren Shows und Formate im Social Web
- Metronaut: Konfetti gegen die Bundeswehr… und warum die re:publica eine Chance verpasst hat
- Morgenpost: Störaktion: Konfetti-Angriff auf Bundeswehr-Werber bei der re:publica
Termine
- Berlin, c-base, 26.–28. Mai 2017: Freifunk Wireless Community Weekend
- Wien, Volkskundemuseum, 5.–11. Juli 2017: Wireless Battle of the Meshes
- Flensburg, Chaostreff Flensburg, 30. Juni – 2. Juli 2017: WeekendHack
- Wien, 23.–29. Oktober 2017: Privacy Week
- Leipzig, 27.–30. Dezember 2017: Chaos Communication Congress (34C3)
Epilog
- Alexander Lehmann: Cyberpeace vs. Cyberwar
Bei der Diskussion um aktuelle Windows Systeme sollte man nicht vergessen, dass das automatische Windows Update gelegentlich auch mal Selbstmord begeht. Das war z.B. bei Windows 7 erst im Oktober 2016 der Fall mit dem Update KB3177467, nachdem keine weiteren Updates mehr gesucht bzw. gefunden werden. Das fällt einem ja auch nur auf, wenn man sich den Updateverlauf von Windows ansieht und feststellt, dass seit Monaten keine neuen Updates gesucht wurden.
Wow! Danke, du hast recht.
Ja, hab ich auch gemerkt bei Win7. Das war irgendein Kernel-Update, aus welchen Gründen auch immer der Kernel mit dem Updater zu tun hat.
Schaut so aus das Microsoft selbst für XP noch einen patch gebracht hat für diese smb Lücke.
Für embedded & normal.
KB4012598
http://www.catalog.update.microsoft.com/ScopedViewInline.aspx?updateid=9e189800-f354-4dc8-8170-7bd0ad7ca09a
Tja, den haben sie Wochen vorher ihren zahlenden Kunden auch schon gegeben…
Ich hab wo gelesen (glaub Fefe), dass der „Killswitch“ eine fehlerhafte Sandbox-Erkennung sein soll. In einer Sandbox in der der Wurm analysiert werden soll wollen die Wurm-Schreiber, dass der Wurm einfach nix macht (um nicht analysiert werden zu können).
Quelle:
http://blog.fefe.de/?ts=a7e9b3ee
Kleine Ergänzung zu Fefes Post:
Es ist genau wie beschrieben eine typische Anti-Debug-Maßnahme. Der ‚Bug‘ in Wannacry war einfach, dass die nicht existente Domain nicht zufällig generiert, sondern hardcoded wurde. Nur dadurch ließ sich das Ding zum „Kill-Switch“ umfunktionieren…
How I accidentally stopped a global Wanna Decryptor ransomware attack
https://arstechnica.com/information-technology/2017/05/wanna-decryptor-kill-switch-analysis/
Aber das verstehe ich nicht ganz. Die Sandbox antwortet dem Wurm dann auf den request auf diese kryptische URL? Wieso tut die Sandbox das?
Verschiedene Sandbox-Environments handhaben das unterschiedlich. Viele speziell für Malware-Analyse eingesetzte Sandboxes emulieren aber standardmäßig jede angefragte Domain, um Infos darüber zu sammeln, welche Daten die Malware über diese Adresse auszutauschen versucht. Das ist eine relativ einfache dynamische Methode, um an Samplesets für Anfragen an C&C-Server oder Angriffsversuche auf DDoS-Targets zu gelangen.
Siehe auch:
http://www.commitstrip.com/en/2017/05/17/wannacrypt-bad-code-doesnt-pay-much/
Hi,
ich bin regelmäßig Wahlhelfer in München. Ich finde das genannte Verfahren, mit dem von CD Bootbaren System trotz Privat-PC nicht schlimm.
Die primäre Erfassung passiert auch bei dem beschrieben System recht sicher auf Papier. Die Ergebnisse werden dann digitalisiert, um sie zusammen zu addieren.
Alle Wahlhelfer des Stimmlokals und alle Zuschauer können die Zählung nachvollziehen und die Zahlen übernehmen und sich ne Kopie anlegen.
Durch die Diskette wird die Erfassung dezentral gemacht und die Wahlbehörde kann diese schnell zusammenfassen und über Stichproben Fehler erkennen. (Menge der Stichproben je nachdem wie knapp die Entscheidungen sind, wie viele Wähler, statistische Auffälligkeiten, etc.)
Zumindest hier in München werden die Wahllokaleergebnisse als CSV veröffentlicht. In anderen Gemeinden muss man das ectl. m anfordern, ist aber verfügbar. Somit kann ich die Ergebnisse, die ich in meinem Lokal erfasst habe mit dem offiziell erfassten vergleichen. Ich kann zudem die Zahlen aller Lokale aufauddieren und mit dem offiziellen Ergebnis vergleichen. Wenn ich einen Beobachter in einem anderen Lokal habe (oder ich in einer Region bin, in der mehrere Lokale im soeben Gebäude auch selber) kann man auch da das Ergebnis prüfen. Damit ist die Nachvollziehbarkeit durchaus gegeben.
Was auch passiert ist, dass ne handvoll zufällig bestimmter Wahllokale nachträglich nochmal komplett nachgezählt werden. Fehler fallen da dann auf.
So lange der paper trail und die Dokumentation der einzelnen Zwischenergebnisse da ist und der Zählprozess öffentlich ist (setzt dich um 18:00 ins Wahllokal und schau zu!) sehe solche summierungs Software als recht unkritisch an.
Problematisch wird es, wenn man Gimmicks wie den Scanner zur Zählung einsetzt. Auch da kann man behaupten, dass man ja zusehen kann. Aber da wird sich kaum ein Wahlvorstand hinstellen und abwarten, weil da jemand von Hand nachzählt. Man will das zählen ja doch zumeist schnell vorüber bringen, nach Stunden im Wahllokal. Da wird der Scanner gefüttert, Ergebnis hoch geladen und zusammen gepackt.
Bei Auszählung von Hand hatte ich nie ein Problem noch mal schnell die wichtigen Zahlen abzuschreiben oder einen der Zettel mit Zwischenrechnung mit zu nehmen …
jo
(Jetzt habe ich mich natürlich geoutet, jetzt wissen die, dass ich nachprüfen, d.h. die Illuminaten manipulieren künftig alle anderen Wahlbezirke …)
Ist vermutlich ne blöde Frage, aber wenn WannaCry nur vier unterschiedliche Bitcoin-Adressen verwendet, wie erkennt der Command & Control-Server dann, welches Opfer bezahlt hat? Ein „Verwendungszweck“-Feld gibt es bei Bitcoin ja nicht. Muss man WannaCry die eigene Wallet-Adresse mitteilen, so dass es die Zuordnung anhand des Absenders durchführen kann? Da könnte es aber dann zu race conditions kommen (d.h. als zahlungsunwilliges Opfer beobachtet man die Blockchain, und sobald eine Zahlung eines anderen eingeht, verwendet man dessen Absenderadresse).
gute frage.
Im Zweifel garnicht. Dann hat das Opfer aber schon gezahlt. Das ist für den „Anbieter“ durch.
Im Prinzip stimmt das, dem Angreifer könnte es egal sein.
Jedoch setzen die alle recht hohen Wert auf „Kundenzufriedenheit“, d.h. sie rücken den Schlüssel dann tatsächlich raus. Denn wenn sie das nicht tun würde, würde sich das rumsprechen und niemand würde mehr bezahlen.
Deshalb gibt es auch Empfehlungen von einigen Behörden (Meist US Behörden), einfach zu bezahlen, da das die einfachste und sicherste Methode ist, wieder an die Daten zu kommen.
Ob/Inwiefern das hier der Fall ist weiß ich nicht, aber deine Vermutung dass das in diesem Fall nicht klappen wird kann ich so leider unterschreiben :(
Durch Aufschieben des Februar Patchday blieben öffentliche bekannte Sicherheitslücken bei Microsoft über 1Monat ungepatcht:
https://heise.de/-3627965
https://heise.de/-3630931
Kommentar fefe:
Laut Google-Police hatte Microsoft 90 Tage Zeit. Drei Monate. DREI MONATE!
http://blog.fefe.de/?ts=a655fca5
Im März Patchday werden neben der SMB-Lücke auch weitere RemoteCode Exploits erwähnt.
https://heise.de/-3653806
https://steemit.com/shadowbrokers/@theshadowbrokers/oh-lordy-comey-wanna-cry-edition
Dort behaupten die Shadowbroker, dass die NSA Microsoft bezahlt hat, es nicht zu patchen, was quasi ein Totalschaden ist.
Das würde bedeuten, dass MS eigentlich seit AUGUST Zeit gehabt hatte, es zu patchen, da dort die Shadowbroker angesagt hatten, dass sie die Equation Group haben.
BTW: Sie behaupten nun, dass sie Daten über Atom- und Raketenprogramme von Russland, China, Nordkorea und den Iran haben!
re Bundeswehr
Hm, der Mercedes-Spot, der während des Protests lief, wurde gemacht, um viral zu gehen, die Agentur rühmt sich mit 30 Mio Views, das Ding ist immer noch online – aber es darf nicht in einem Video erscheinen? Urheberrecht ist bekanntlich seltsam, aber das kommt mir doch vorgeschoben vor:
http://www.fischerappelt.de/cases/mercedes-benz-vans-die-fusballhelden-des-steilhangs/
> keine Sau unterscheidet zwischen rp und mcb
Oh, ich dachte, es wäre common sense, diese Bühnen zu meiden, auf denen zu viele Leuten sitzen, die zu wenig zu sagen haben.
Allein in diesem Talk hat über 100 Mal jemand das Wort Marke gesagt. Sowas braucht diese Veranstaltung nicht.
Danke für die so angenehm unterhaltsame Folge!
Der Spagat zwischen deprimierender Welt und eigener Weltanschauen ist wunderbar getroffen. Mein Themenauge weint, mein Unterhaltungsohr zwingt mich zum nochmal hören.
Always remember, tragedy + time = comedy.
… Snowden … + time … = ….. maybe.
Vorratsdatenspeicherung….+ randsomware… = ۜ \(סּںסּَ` )/ۜ
…
best wishes
Bingo!
Ich glaube, ich habe die Cybersecuritylösung. Stellt euch mal vor, ich würde hinter Wannacry stecken und hätte jetzt diese 4? Bitcoinwallets, mit denen ich nichts Physisches kaufen kann. Was wäre, wenn ich die Kohle in Bug Bounties anlegen würde? Mein Slogen wäre: „Nehmt von den Ungepachten und gebt der Cybersociety!“ Call me RobinHat!
Da kommst du mit unter 100k (aktueller Stand) sicherlich sehr weit ;-) Aber die Idee gefällt mir.
Linus, ich schätze Deine Netzpolitischen und Sicherheitstechnischen Aussagen. Deine emotionalen Beiträge über die Bundeswehr zeigen mir jedoch Deine Grenzen. Danke für euren Podcast.
ich find das ja noch eher zu wenig ! Ich fordere selbst städnig Leute und Entscheidungsträger zu klaren Haltungen gegen Krieg, Ausbeute, Geheimdienste und Bundeswehr auf.
Ich sehe dies ebenso.
Auch die letzte Sendung, in der man sich so herrlich über die übersensiblen Prinzessin-auf-der-Erbe-Polizisten lustig gemacht hat, empfand ich stellenweise als grenzwertig.
Ich schätze den Podcast als Informationsquelle für netzpolitische Themen wirklich sehr und möchte an der Stelle auch einmal herzlich Danke sagen, dass dieses Angebot besteht.
Allerdings könnte man vielleicht über eine bessere Trennung von Netzpolitik und Rest sowie zwischen Information und puren Meinungsbeiträgen nachdenken.
Ja, es muss endlich im Bodcast zwischen Nachricht und Kommendar unterschieden werden. Am Besten mit akustischen Einspielern, die vor Meinung warnen. Das würde ich mir wünschen, damit ich die Meinung rausfiltern kann und nur die Objektivität bleibt.
Vielleicht hätte ich das anders formulieren sollen, mir ist klar , dass keine strikte Trennung zwischen Objektivität und Subjektivität zu leisten ist und dies wäre zudem auch gar nicht wünschenswert, da gerade die Einordnung und Kommentierung der rohen Fakten durch die Podcaster den Podcast wertvoll machen.
Was ich mit „PURE Meinungsbeiträge“ meinte sind eher solche Beiträge, die mit dem Thema, welches immerhin namensgebend für diesen Podcast ist, eigentlich überhaupt nichts zu tun haben und die eine kontroverse Materie nur aus einer (beschränkten) Sichtweise vermitteln.
Man höre an dieser Stelle noch einmal bei 1:55:00 rein, wie Tim etwas kleinlaut einschiebt, dass es mehr als eine Meinung zu dem Thema geben kann. Eine Diskussion zum Thema Bundeswehr ist sicher noch mehr offtopic, aber der ganze Beitrag setzt nun mal als Grundkonsens voraus, dass die Bundeswehr die dunkle Seite der Macht darstellt. Insofern man dies nicht oder zumindest nicht in dieser Form teilt, ist der gesamte Beitrag ungenießbar, da schlichtweg das Verständnis für das Problem fehlt.
Ich möchte auch diesen Beiträgen nicht die Existenzberechtigung absprechen, aber das ist dann nicht mehr wirklich „Logbuch: Netzpolitik“, sondern vielmehr „Linus‘ Blog“.
PS
Bei deinem Kommentar fiel es mir außerordentlich schwer, den inneren Grammar N*zi zu bändigen.
Meine Lieben,
Ich freu mich, dass ihr euch auch mal an meiner Meinug reibt. So soll es sein.
Ihr seid auch die besten Beispiele, dass die Hörerschaft sehr gut trennen kann, ob sie gerade mit Fakten (zu Beginn des Themas) oder Meinungen (zum Ende des Themas) beschallt wird.
Ist doch super – vor allem, wenn Tim und ich mal unterschiedlicher Meinung sind.
Dass es da kein akustisches Piepsignal braucht, sollte klar sein ;)
Und wer mit guten Argumenten andere Meinungrn vertritt, wird in der nächsten Sendung vorgelesen.
Ich sehe keinen Grund, irgendwas zu ändern…
Ihr etwa ernsthaft?
Nein, eigentlich hast du recht, wirklicher Änderungsbedarf besteht vermutlich nicht.
Ich glaube ich habe mich von dem Konfetti etwas „triggern“ lassen, da ich solche Aktionen einfach als Unart empfinde.
Von der Bundeswehr kann man halten was man möchte, aber Herr Feldhaus war nicht auf der Veranstaltung um für die Bundeswehr Werbung zu machen, sondern um als Fachmann über PR-Strategien zu sprechen.
An der Stelle könnte man auch einfach einmal seine Abneigung gegenüber der Bundeswehr herunterschlucken, denn aus fachlicher Sicht ist Feldhaus sicher ein interessanter Gast und man kann schließlich auch von seinen Feinden lernen.
Wenn aber ein Gast, der in der Funktion eines Marketingexperten geladen wurde, nur auf seinen Arbeitgeber reduziert wird, dann ist das vielleicht etwas verbohrt.
Das gleiche Phänomen ist auch durchweg im Politikbetrieb zu beobachten, wenn der Sachverständige der anderen Fraktion einfach kategorisch ignoriert wird, weil man in ihm nicht den Sachverstand, sondern nur die andere Fraktion sieht.
Außerdem kann ich den Sinn einer Ladung Konfetti keinesfalls nachvollziehen.
Protest dagegen, dass ein Vertreter der Bundeswehr mitdiskutieren darf, kann man auch zivilisiert an die Organisation der Veranstaltung richten.
Außerdem bezweifle ich mal, dass die Zuhörer einer Ladung Konfetti bedurften um zu erkennen, dass der Typ auf der Bühne von der Bundeswehr ist und man das ganze kritisch sehen kann. Das Publikum, das die republica anzieht, ist meinen Eindrücken nach durchaus smart genug um sich seine Meinung auch ohne Konfetti bilden zu können.
Mir fällt es schwer, in der Aktion etwas anderes als Mobbing aufgrund der politischen Einstellung des Gegenübers zu sehen.
Ich mag in diesem Punkt vielleicht etwas spießig sein, aber mein Ideal von Kommunikation ist, dass man versucht sein Statement mit Worten zu machen. Diese ganze Tortenwerferei von letztem Jahr empfinde ich (wenn auch als durchaus witzig :) ) eher als Armutszeugnis für die Streitkultur.
Eigentlich wollte ich hier kein Traktat verfassen, mir war es nur wichtig darzustellen, was da bei mir (persönlich) beim Podcasthören schiefgegangen ist:
Du hattest ein Problem mit dem Bundeswehr-Typ aber keines mit dem Konfetti.
Ich hatte kein Problem mit dem Bundeswehr-Typ aber eines mit dem Konfetti.
Da hat einfach der Grundkonsens gefehlt, was den das Problem an der Geschichte ist, weswegen der Beitrag für mich als Hörer durchweg keinen Sinn gemacht hat.
Kann passieren, darf passieren, sicher kein Grund irgendwelche größeren Änderungen vorzunehmen.
Nochmals vielen Dank fürs Podcasten <3
Das ist überhaupt sich das Hauptproblem an der Media-Convention-Sache. Das Hauptproblem ist, dass die Moderatorin die Diskussion verboten hat.
In meiner Wahrnehmung ist es Kern der republica, dass alle Diskussionen erlaubt sind. Niemand beklagt sich, dass de Maizière da war – weil er sich der Diskussion gestellt hat. Und das ist immer eine Bereicherung für alle.
Die Media Convention scheint da eine fundamental andere Ausrichtung zu haben.
Also so lange Linus sich eine Stunde hinsetzt und sich den Bundeswehr-PR-Kram anhört, ohne zum Zeitsoldaten zu werden, werdet ihr euch doch sicherlich seine fundamentalpazifistische Zivildienstleistendenpropaganda anhören können, ohne gleich zu konvertieren…
Alles gut.
Damit bricht jedoch auch die Behauptung zusammen, jemand mit Deutschlandfahne sei ein potentieller Nazi.
Damit wirst du klarkommen müssen.
Sowohl bei euch als auch im entsprechenden Beitrag bei Heise wurde teilweise der Eindruck erweckt, TAN-Listen seien die bessere Alternative, was nicht stimmt.
Der Grund, warum man von den TAN-Listen weg wollte, ist der, dass sie nicht sicher und trotz des jüngsten Hacks auch deutlich unsicherer als jedes mTAN-Verfahren sind, weil sie bei Kompromittierung des Clients relativ einfache MITM-Attacken erlauben.
Aus verschiedenen von euch genannten Gründen ist mTAN keine besonders gute Idee. Trotzdem müssen hier mindestens zwei Geräte/Kanäle übernommen werden um erfolgreiche Angriffe zu fahren, was den Aufwand in der Praxis deutlich erhöht. Deshalb hat es auch so lange gedauert, bis entsprechende Attacken in freier Wildbahn gesichtet wurden.
Was die Sicherheit angeht ist die klare Reihenfolge der Verfahren von sicher zu unsicher immer noch:
1. chipTAN
2. mTAN
… (lange nichts) …
3. iTAN (Listen)
Ich fände es gut, wenn ihr das nochmal klar stellen würdet.
Ich denke, dass wir sehr genau herausgearbeitet haben, warum Flickr-Code mit Bindung an IBAN und Betrag sicherer ist.
Darüber hinaus bin ich aber aus den dargestellten Gründen ohnehin Freund der Unsicherheit in diesem Bereich.
Beim Online-Banking ist mein Schutzziel ja, dass ICH kein Geld verliere, nicht dass das sicherste Verfahren zum Einsatz kommt, welches im Zweifelsfall aber bedeutet, dass ich Geld VERLIERE, wenn ich fahrlässig bin.
Ich habe mal anlässlich des mTAN-Dingsies bei meiner Band angefragt warum die kein chipTAN machen. Die Antwort ist wenig überraschend.
„Nicht Mobile“, „Die mobileTAN entspricht – ebenso wie die anderen in der DK eingesetzten Verfahren zur Identifikation im Online-Banking – dem Stand der Technik und den Sicherheitsstandards der in der DK zusammengefassten Banken und Sparkassen., „Unser online crypto ist doch sicher!!!1“.
Warum frage ich eigentlich, das hätte ich mir auch selber beantworten können…
Ich hätte ja „Hausdurchsuchung as a Service“ als Sendungstitel genommen.
:-)
„cyber peace“ hat aus meiner Sicht übrigens den Nachteil, dass man sich auf die Setzung des „cyber war“ einlässt (und dass man den Begriff „cyber“ in einem nicht-kybernetischen Kontext verwendet *schüttel*).
…
Kennt ihr eigentlich „Der Cyberer von Oz“ von L. Frank Syntaxbaum?
Zauberwar :-O
Zur Bundeswehr: Ich denke, da braucht es ein Verbot von Werbetechniken, durchgesetzt durch eine Prüfung werbender Materialien und Veranstaltungskonzepte durch ein ziviles Kontrollgremium. Ich sehe nicht warum man Organen des Staates in ihrer Werbung Mittel wie Emotionalisierung oder die Verwendung von Darstellern erlauben sollte, schließlich dienen diese der Umgehung einer kritischen Haltung bei der Zielgruppe.
Das Wesen von Werbung ist Emotionalisierung, oder?
Ich würde sagen eine reine Angebotsinformation fällt immer noch unter Werbung.
Danke Tim für den dezenten Hinweis, dass es auch Menschen gibt, die die Bundeswehr nicht als staatlich sanktionierte Mördertruppe sehen, sondern als verfassungsgemäße Organisation des Bundes zur Landesverteidigung, der Erfüllung von Bündnis pflichten und dem gewaltsamen Erkaufen von Zeit zur Herbeiführung politischer Lösungen in Bürgerkriegsregionen, wo die gewissenlosesten Schlächter sonst freie Bahn haben. Es gibt durchaus Menschen, die in der Bundeswehr bewusst arbeiten und ihren Einsatz als Idealismus bezeichnen genauso wie Linus den seinen für ein offenes Netz und Pazifismus. Das diese auch Nachwuchs für die Bundeswehr werben wollen, ist aus ihrer Sicht keine Charakterschwäche, sondern nur folgerichtig. Dass sie dabei auch auf der Rebublica als der mittlerweile bedeutensten Netzlonferenz suchen, scheint mir angesichts des neugegründeten Cyberkommando absolut sinnvoll.
Zumal es ja durchaus auch Urgesteiner der ehemaligen Bloggerconvention gibt, die Soldaten und Militärthemen dort schon länger eine Stimme geben, wie Thomas Wiegold mit Augengeradeaus.net und Sascha Stoltenow mit Bendler-blog .de.
Man kann sich fragen, ob ein ständiges Ausgrenzen der Bundeswehr aus Bildungseinrichtungen, Diskussionen und Konferemzen nicht mit dazu beitragen kann, dass immer weniger fähige, belastbare und idealistische Menschen zu ihr stoßen somit eher rechte Dumpfbacken die Lücke zu schließen suchen.
Ansonsten prima Sendung und super Plädoyer gegen das Horten von Sicherheitslücken durch Geheimdienste und Behörden. Den Seitenhieb auf das BSI fand ich mehr als gerechtfertigt. Diese Behörde ersetzt ihr mit eurem Podcast so ganz nebenbei.
Danke Linus, danke Tim!
„Soldaten und Militärthemen […] eine Stimme geben“ wird den beiden Blogs in keiner Form gerecht. Sie begleiten das Militär kritisch und stellen Themen der Diskussion.
Genau das wollte die Media Convention nicht, und deshalb war das auf der republica fehlplatziert. Wie ich oben schon schrieb: De Maizière auf der Bühne mit Constanze und Markus – kein Problem.
Ich bin ganz deiner Meinung, dass beide Blogs großartige Beiträge zu kritischer Diskussion der Sicherheitspolitik leisten , die weit über die von mir angesprochenen Eigenschaften hinausgehen . Aber eines tun sie nicht, nämlich die Bundeswehr und ihre Nachwuchswerbung per se als amoralisch zu konnotieren.
Dass du diese Einstellung hast und sie in eurem Podcast auch vertrittst ist voll ok. Nur wollte ich Rückmeldung geben, dass das Vereinnahmen der Rebublica als Veranstaltung schon immer fundamentalpazifischer Menschen aus meiner Sicht nicht ganz stimmig ist.
Auch finde ich, dass es der Respekt vor der Meinung Andersdenkender gebietet, diese erstmal ihren Vortrag halten zu lassen , um danach in eine Diskussion einzusteigen. Ob Konfettibeschuss im Rahmen einer solchen Diskussion ein gutes Argument ist oder von den Zuhörern nicht eher als moralische Bevormundung empfunden wird, die einer offenen Diskussion eher schadet, sei mal dahingestellt.
neben hostel und hotel und bead and breakfast und old-school ich kenn doch noch jemanden in Leipzig,
es gibt auch Gruppenhäuser (so Schulandheim style) und es gibt Ferienwohnungen, ein ganz angenehmes bspw. hier http://leipzig-monteurhaus.de/?page_id=1180
2-3km zu Fuss, sind aber wohl nicht die ersten die auf die Idee kamen.
Hi Linus. Hi Tim.
Noch eine Anmerkung zum Thema #wannacry bzw. zum Thema bezahlen bei Ransomeware generell:
Wenn man für die Entschlüsselung der Daten bezahlt und etwa die USA die Meinung vertreten, dass die Angreifer dem IS, Nordkorea oder einer anderen, auf ihrer roten Liste stehenden, Organisation/Regierung zuzurechnen sind, wird man als (finanzieller) Unterstützer betrachtet. Für Firmen führt das dazu, dass sie vom amerikanischen Markt ausgeschlossen werden. Für Privatpersonen dazu, dass sie besser nicht mehr amerikanisches Hoheitsgebiet betreten sollten, wenn sie nicht Gefahr laufen möchten, womöglich festgenommen zu werden. Andere Länder werden ähnlich verfahren.
Gerade in Anbetracht dessen, dass die USA bei solchen Dingen sehr restriktiv und wenig differenziert vorgehen und auch gerne mal über das Ziel hinaus schießen, sollte man es sich also sehr gut überlegen, ob man mit so einem Flag rumlaufen möchte.
Gruß,
Eggerten
Danke für eure Zusammenfassung und Einordnung der republica-Probleme (sowohl „zu viele Bühnen“ als auch „Bühne für Bundeswehr“). Ich hoffe diese Beispiele werden intensiv studiert bevor beim Kongress die immer wieder vorgeschlagenen fremdkuratierten Bühnen eingeführt werden.
Wie man es anders machen kann ist mir momentan noch unklar, als warnendes Beispiel taugt das aber auf jeden Fall.
Ja, das habe ich auch als großes warnendes Beispiel aufgefasst.
Leider!
Hallo Linus, hallo Tim,
tolle Folge, vielen Dank.
Nach meinem Verständnis hält Linus die Verschärfung des IT-Sicherheitsgesetzes für nicht Zielführend. Ich hoffe, ich habe das richtig gedeutet… Falls dem so ist bin da offen gestanden anderer Meinung.
Zum IT-Sicherheitsgesetz an sich: Ich habe in den letzten Jahren zahlreiche Entscheider in Krankenhäusern oder bei kommunalen Energieversorgen getroffen, die sich auf Grund dieses Gesetzes erstmals darüber Gedanken machen mussten, ob die Benennung eines CISOs / Informationssicherheitsbeauftragten nicht vielleicht doch langsam mal angebracht ist, etc. pp. Kurzum: Das Gesetz hat also durchaus eine Wirkung.
Ähnlich verhält es sich teilweise bei kirchlichen Stellen, die auf Grund von internen Vorgaben entsprechende Strukturen aufbauen und Risikoanalysen fahren.
Auf der einen Seite teile ich einen Großteil der immer wieder erwähnten Kritik am genannten Gesetz. Ja, es geht nicht weit genug und ja, organisatorische Maßnahmen oder eine ISO Zertifizierung machen Unternehmen erst einmal nicht sicherer. Auf der anderen Seite sind aber aus meiner Wahrnehmung heraus viele Branchen voll mit frustrierten IT-Leitern und Administratoren, die durch die geforderten organisatorischen Maßnahmen nun endlich eine Möglichkeit haben, Risiken „nach oben“ zu melden.
Auch wenn das jetzt wahrscheinlich eher Wunschdenken ist: Aber wäre eine sinnvolle Erweiterung des IT-Sicherheitsgesetzes nicht genau das, was wir bräuchten, um nach den organisatorischen Maßnahmen nun auch technische Maßnahmen – vielleicht für einen breiteren Branchenkreis als jetzt – einzufordern?
Vielen Dank mal wieder für eine sehr informative und erfreulich kritische Sendung. Ich war auch bei der republica, und war auch etwas verwundert dass es teilweise eher etwas von einer Werbe- /Marketingveranstaltung hatte. Allerdings gab es ja auch sehr eindeutige Statements und Appelle. Das Überangebot hat mich auch erschlagen.
Thema Banken:
Aus Erfahrung kann ich berichten, dass keineswegs die Banken die Folgen ihrer unsicheren Technik tragen.
Wenn es zum Verfahren kommt, dann behauptet die Bank einfach „Unser Verfahren ist sicher. Deswegen muss der Kunde seine Sorgfalt verletzt haben.“ und schwups ist die Beweislast beim Kunden, der natürlich nie beweisen kann z.B. eine PIN nicht notiert zu haben. Wie auch!
Deswegen ist ein ganz wichtiger Teil in AGBs auch die Beweislastumkehr.
Erst dann stimmt Linus‘ Aussage. Nur sind das leider die wenigsten Banken.
Kennt jemand von euch zufällig eine Übersicht über die ganzen netzpolitikbezogenen Gesetzesverschärfungen der jüngsten Zeit? Ich habe bei Vorratsdatenspeicherung, Staatstrojaner, Biometriedatenverteilung aus Pässen und Funkzellenabfrage (und was habe ich vergessen?) den Überblick verloren.
Danke fuer (wieder einmal) prima Aufarbeitung des aktuellen Themas. Ich schicke LNP regelmaessig im erweiterten Bekanntenkreis herum, gerade bei eher fachfremder Klientel. Insofern mal Lob, dass ihr es haeufig schafft, eure Themen so herunterzubrechen, dass auch Neulinge recht gut mitkommen.
Was mir im Dunstkreis von WannaCry aufgefallen ist, ist der grosse Cybergraben. Also die Kluft, die zwischen all denen steht, die den Begriff „Cyber“ vollkommen unironisch verwenden, und dem vergleichsweise klein scheinenden Rest. Mir ist im letzten Jahr sehr haeufig passiert, dass ich gleichermassen sarkastische wie flache Wortspiele mit dem ganzen Buzzwordrepertoire von Cyber ueber 4.0 bis XaaS gezogen habe, und meine Gegenueber das eben _nicht_ als Witz sahen. Zuletzt wurde ich gefragt, warum denn so wenige Leute die „CyberSchutz“-Police eines grossen Versicherungsanbieters abschliessen wuerden.
Vor dem Hintergrund: Tun wir uns einen Gefallen, wenn wir die Begriffe ironisch weitertragen, anstatt sie wo’s immer geht als Bullshit aufzuzeigen?
Moin,
das Problem ist: Den Begriff bekommen wir irgendwie nicht mehr weg… :-(
So gibt es leider eine Menge Wörter, die in den allgemeinen Sprachgebrauch übergehen und irgendwann wirkt man wie ein alter verbitterter Deutschlehrer, dem niemand mehr zuhört, wenn er zum Computer „Rechner“ sagen will…
Ich betone immer „Das Wort ‚Cyber‘ bedeutet: ‚Ich habe keine Ahnung, wovon ich rede'“ und werde damit inzwischen gern zitiert… und dann reden die Leute in Ruhe weiter über de Cyber. Und die, die ihnen zuhören, wissen was gemeint ist.
Und deshalb setzt sich das durch.
Vielleicht muss man es einfach auf die Spitze treiben. Zum Beispiel Internetnutzer Cybürger nennen (auch Cybürg). Cyberlin, Internethauptstadt von Deutschland (mit dem Cybär als Maskottchen). Cyberien, die Heimat des russischen Hacktrolls. Kybel für die vernetzte Landwirtschaft.
Irgendwann sollte der Brechreflex einsetzen… :P
Hallo Euch beiden,
Danke für die hervorragende Aufbereitung der Themen und die herrlich platzierte Ironie.
Zu einem Thema fand ich Linus Nachsichtigkeit für die IT Verantwortlichen rund um WannaCry Sicherheitsprobleme deplatziert. Vor allem für die IT’ler im Gesundheitssektor in Bereichen, wo es um Patientensicherheit geht, gehören sie alle an den Pranger und das sind nicht unbedingt die Betriebssytemhersteller.
Meine Härte – und vielleicht auch Verbitterung – kommt daher, dass ich einige Zeit auf dem Gebiet verantwortlich war und sehen musste, wie immer wieder mit dem gleichen Strickmuster die Sicherheitsstandards untergraben wurden und immer noch werden.
Schuld sind dann die ominösen Cyberkriminellen. An den Pranger gehören immer wieder – das macht Ihr schon für andere Bereiche aber spätestens bei Fahrlässigkeit für Leib und Leben von Patienten, ist es gar nicht lustig – Politiker die Inkompetenz verbreiten und fördern, politische Beamte mit IT Verantwortung, die inkompetent sind, IT Verantwortliche die von der IT nur wissen, dass die nichts kosten darf. Also alle IT’ler.
Nein, das Letzte ist natürlich Quatsch, aber wie könnte man das für die ersten drei Kategorien machen. In der Pharmabranche gibt es die Qualified Person, die persönlich für Fehlentscheidungen haftet auch nach dem Abscheiden aus dem Amt für die Misetaten in der Amtszeit!. Diese Person ist immer für die Betriebserlaubnis notwendig. GxP hat sich in der betroffenen Pharma IT durchgesetzt.
Einen wichtigen Schritt in diese Richtung habt Ihr schon gefordert: Produkt- bzw. Herstellerhaftung. So wie die FDA in USA für Medikamente könnte in der EU das für IT gelten, zumindest wo Menschenleben direkt oder mittelbar betroffen ist, also Krankenhäuser, medizinische Gerätebau, Fahr-/Flugzeugtechnik, etc. und für eingesetzte Hard- und Software.
Meine Unterstützung habt Ihr.