LNP222 Mut zur Schutzlücke

WannaCry — StreamOn — Staatstrojaner — eID-Gesetz — EU-Biometrie-Superdatenbank — Gib Handy! — IP-Adressen-Speicherung — netzDG — Chealsea Manning — Julian Assange — Facebook-Löschregeln — Sehempfehlungen

Eine grauenhafte Woche mit nahezu keinen guten Nachrichten (mit einer Ausnahme), in der zahlreiche Gesetze durchgekämpft oder deren Planung angekündigt wurden, die uns gehörig nerven und gegen den Strich gehen. Da gibt's dann leider wenig zu lachen, aber wir versuchen trotzdem, den Humor nicht zu verlieren.

Dauer: 1:25:01

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Amazon Wishlist Icon

Verwandte Episoden

Feedback: WannaCry

Feedback: StreamOn

Staatstrojaner-Ausweitung

eID-Gesetz beschlossen

Biometrie-Superdatenbank der EU

Gib Handy!

IP-Adressen-Speicherung

netzDG verstößt gegen Europarecht

Chelsea Manning frei

Juri Assanschov “frei”

Facebook Löschregeln

Die Sendung mit dem Chaos

National Bird

ZDF aspekte mit Linus


In Zusammenhang mit dieser Ausgabe stehende Folgen

21 Gedanken zu „LNP222 Mut zur Schutzlücke

  1. Im Link zum xkcd hat sich ein Zahlendreher eingeschlichen. Es ist xkcd 221 und nicht 211. Der zweite Link auf xkcd explained ist wiederum korrekt.
    Top Folge, gerne wieder!

  2. Drei Sendungen, dreimal eID, dreimal Fehlerbehaftet und unvollständig.
    Jetzt muss ich mich dazu einmal äußern.
    1. eID-Funktion ist schon immer ab Werk eingeschaltet, die Kommunen waren aber bisher beauftragt Bürgerinnen und Bürger zu beraten und auf Wunsch die eID-Funktion auszuschalten.
    2. Auch, wenn die eID-Funktion eingeschaltet ist, ist sie noch nicht aktiv, also nicht nutzbar. Der Ausweisinhaber bzw. die Ausweisinhaberin müssen die eID-Funktion bei der ersten Nutzung erst selbst aktivieren und eine eigene 6-stellige PIN vergeben.
    3. Die Berechtigungszeitifikate sind nicht für die Betreiber von Lesegeräten sondern für sogenannte Diensteanbieter z.B. Behörden oder ander Onlinediensteanbieter.
    4. Lieber Linus, ich wünsche dir viel Spaß bei der Beantragung eines Berechtigungszertifikates.
    5. Die Änderung des Gesetzes umfasst die Beantragungsvoraussetzungen. So ist es z.B. dann möglich ein sogenanntes Organisationszertifikat zu beantragen, mit welchem man mehrere Geschäftsprozesse seines Angebotes abdecken kann und nicht für jeden einzelnen Prozess ein eigenes Zertifikat nutzen zu müssen.
    6. Das bei diesem Gesetz die Abfrage der biometrischen Passbilder bei den Kommunen im Huckepack kommen soll halte ich auch für falsch, muss aber sagen, dass dieser Punkt nichts mit dem Personalausweis oder der eID zu tun hat. Die Passbilder sind in den Kommunen schon immer vorhanden und wurden auch schon immer von berechtigten Behörden abgefragt. Auch den Aufbau einer zentralen Passbilderdatenbank verurteile ich.
    7. Übrigens gibt es ein Open Source Variante der AusweisApp. Hier kann man sich den kompletten Prozess und die benutzen Schnittstellen anschauen.
    8. Zukünftig kann man sein Android-Smartphone zum Auslesen seines Personalausweises benutzen. Derzeit ausschließlich mobil, zukünftig auch als Lesegerät am heimischen Computer.

    Gern beantworte ich euch eure Fragen oder diskutiere mit euch über den Sinn und Unsinn der eID. Meldet euch einfach.

    • Also damals hat man mich gefragt ob ich das aktivieren will und wenn nicht kann ich das später nachholen falls ich es brauche.
      Das standardmäßig an würde ja bedeuten man hätte mich da eiskalt belogen.

      • Kann man so sagen. ;-) Es stimmt schon, was Torsten oben schrieb. Es wird bei Ausgabe deaktiviert, wenn man dies wünscht.

        • Kinder, lest doch bitte das Gesetz.
          Der CCC schreibt dazu:

          Es zeugt vom Geist dieses Gesetzes, dass den Bürgern in Zukunft eine Funktionalität aufgezwungen wird, gegen die sich bisher mehr als zwei Drittel der Bürger entschieden haben, nachdem sie darüber informiert wurden. Diese Bürger sollen nun nicht nur zur Nutzung zwangsweise animiert, sondern über die Funktion auch nicht mehr vollständig und einheitlich aufgeklärt werden. Es bleibt schleierhaft, wie das Vertrauen in eine Funktion dadurch gesteigert werden soll, geschweige denn in deren Anwendung.

          Und diese 8 Thesen von Torsten sind zwar sehr schön, aber eben auch keine einzige davon ein Widerspruch zu dem, was Linus oder Tim im Podcast sagen.

          • Verdammt, dann hätte ich vielleicht doch mal das Gesetz, die Änderung des Gesetztes und die Änderung der Änderung des Gesetzes, sowie die Stellungnahme des CCC lesen sollen und vielleicht sogar noch die Expertenanhörung zur Gesetzesänderung ansehen und auch die Protokolle dazu lesen sollen.
            Ich spreche hier aus Erfahrung, kenne auch die Zahlen zur Freischaltung der eID und beschäftige mich täglich mit der eID.
            Wie kommen denn die zwei Drittel zusammen? Hat sich das mal jemand angesehen?
            Ich kenne Kommunen die eine anständige Beratung zur eID durchführen, da sind die Zahlen ganz andere. Dort entscheiden sich zwei Drittel für die eID. Das Drittel, welche die eID nicht freischalten lässt, sind zum Großteil Menschen die angeben keinen Zugriff auf einen Computer zu haben oder sich zu alt fühlen einen Computer zu benutzen. Nur ein geringer Teil entscheidet sich aktiv gegen die eID, weil sie Bedenken oder kein Vertrauen haben.
            Das Problem ist nicht das Gesetz sondern die fehlende oder nicht hinreichende Beratung der Bürger zur eID. Das wiederum liegt daran, dass, wie bereits erwähnt, viele Sachbearbeiter nicht ausreichend hierzu geschult wurden und in sehr vielen Bürgerämtern auch keine Zeit hierfür vorhanden ist. Das Austeilen einer Broschüre, bei der ich davon ausgehe, dass alle hier kommentierenden diese gelesen haben, ist keine Lösung für eine umfassende Aufklärung/Beratung. Hier muss der Bund eine sinnvolle Kampagne durchführen. Ich denke dabei an einen Umfang wie bei der Einführung der 5-stelligen PLZs.
            Zu den Aussagen von Tim und Linus.
            Ja, meine Punkte sind kein Wiederspruch zu dem was die Beiden gesagt haben, nur eine Richtigstellung und Ergänzung.

      • Das kommt daher, dass die Sachbearbeiter das System nicht verstanden haben. Man hat ihnen gesagt, dass sie da etwas abschalten müssen wenn das einer will.
        Meistens haben die das dann auch in ihre “Beratung” so eingebaut.

    • Oh je, was ist das denn für ein Clickbait? Ich bin amüsiert bis verwundert, was du hier meinst, zu korrigieren.

      1. eID-Funktion ist schon immer ab Werk eingeschaltet, die Kommunen waren aber bisher beauftragt Bürgerinnen und Bürger zu beraten und auf Wunsch die eID-Funktion auszuschalten.

      An welcher Stelle wird denn im Podcast etwas anderes behauptet? Sicherlich hast du die CCC-Stellungnahme gelesen, in der das Thema länglich behandelt wird?

      2. Auch, wenn die eID-Funktion eingeschaltet ist, ist sie noch nicht aktiv, also nicht nutzbar. Der Ausweisinhaber bzw. die Ausweisinhaberin müssen die eID-Funktion bei der ersten Nutzung erst selbst aktivieren und eine eigene 6-stellige PIN vergeben.

      An welcher Stelle wird das Gegenteil behauptet?

      3. Die Berechtigungszeitifikate sind nicht für die Betreiber von Lesegeräten sondern für sogenannte Diensteanbieter z.B. Behörden oder ander Onlinediensteanbieter.

      Jetzt wirst du ganz besonders lustig: Wie machen die das denn, ohne die Geräte zu betreiben?

      6. Das bei diesem Gesetz die Abfrage der biometrischen Passbilder bei den Kommunen im Huckepack kommen soll halte ich auch für falsch, muss aber sagen, dass dieser Punkt nichts mit dem Personalausweis oder der eID zu tun hat. Die Passbilder sind in den Kommunen schon immer vorhanden und wurden auch schon immer von berechtigten Behörden abgefragt. Auch den Aufbau einer zentralen Passbilderdatenbank verurteile ich.

      auch hier: Nichts anderes wird im Podcast gesagt.

      7. Übrigens gibt es ein Open Source Variante der AusweisApp. Hier kann man sich den kompletten Prozess und die benutzen Schnittstellen anschauen.

      Und das ändert die Sachlage jetzt, weil…?

      8. Zukünftig kann man sein Android-Smartphone zum Auslesen seines Personalausweises benutzen. Derzeit ausschließlich mobil, zukünftig auch als Lesegerät am heimischen Computer.

      Und das ändert die Sachlage jetzt, weil…?

  3. Irgendwie fehlt mir die letzten Sendungen die Berichterstattung ueber das Rundfunklizenz-Debakel das da gerade die ganzen Streamer und Youtuber trifft – ist das der Filterblase oder dem Themenueberfluss zuzuschreiben?

  4. kleine Anmerkung/Korrektur: Die Britische Polizeiwache vor der Equadorianischen Botschaft wurde bereits nach ca. drei Jahren, auch wegen Ressourcenknappheit der Polizei, abgezogen: https://www.heise.de/newsticker/meldung/Polizei-bewacht-Botschaft-mit-Assange-nicht-mehr-dauerhaft-in-Uniform-2843245.html
    Das Bestreben Juri zu verhaften ging dadurch natürlich nicht verloren.
    Die Pressemitteilung der Polizei: http://news.met.police.uk/news/covert-plan-at-ecuadorian-embassy-strengthened-after-removing-dedicated-guards-132799

  5. Julian Assange sollte, bei aller verständlich notwendigen Süffizanz, ob der Berichterstattung zu ihm an sich, das gleiche Verständnis zugestanden werden, wie Manning oder Snowden.
    Wie sähe unsere Welt denn aus, ohne sein Tun? Besonders als einer der Initiatoren von Wikileaks.
    Der Mann darf nicht in die Fänge der US-Amerikanischen Militärgerichtsbarkeit geraten. Schon garnicht unter der jetztigen, politischen Siutuation.

  6. Großartig 222. bin nach wie vor begeistert. Höre immer mehr Podcasts und weniger Radio, bis auf DLF mit seinen guten Hintergrundanalysen.
    Aber hier ein Argument für FB. Es ist eine gute Möglichkeit für Opernfans direkt mit den Stars nach den Auftritten weltweit zu kommunizieren. Viele Antworten noch am selben Abend und nicht nur aus Routine sondern persönlich und herzlich. Die so geteilte Freude belebt einen 79 jährigen ungemein.
    Wenn man dann seinen Freundeskreis auf einen kleinen Kreis beschränkt schmort man zwar im eigenen Saft aber wenn da Kenner dabei sind macht der Austausch großen Spaß.

  7. Ich hoffe, es gibt dann irgendwann National Bird auch als DRM-freien Download (offiziell & legal, gegen harte, digitale Moneten, is ja klar)…

  8. Kleiner Hinweis, der bzgl. NetzDG und Facebooks geringer Kooperation mit Strafvefolgungsbehörden:
    Ich hatte dazu auf Twitter nen kleinen Gedankenaustausch mit Christopher Lauer und musste erstaunt feststellen, dass er mittlerweile gerne Netzsperren gegen Facebook hätte! [1] Denn im Rechtsstaat mit Richtervorbehalt wäre das ja etwas komplett anderes als woanders & unbedenklich. [2] [3] Denn ohne Sanktionen würde Facebook weiterhin nicht mit deutschen Strafverfolgungsbehörden zusammenarbeiten. [4]
    Auch seine Aussagen zum NetzDG fand ich interessant: Das Gesetz sei schon deshalb gut da “überhaupt mal etwas getan wird” [5]. Und die Schwächen wären vernachlässigbar, da juristisches Neuland und Facebook sowieso erstmal dagegen klagen würde [6]. (Warum nur erinnert mich das an das Vorgehen bei fast allen Überwachungsgesetzen?)

    Das soll explizit kein Pranger sein, ich fand die Diskussion wirklich interessant, auch wenn ich mit dem meisten davon nicht übereinstimme. Ich finde es aber symptomatisch, dass selbst bekannte ehemalige Mitglieder der Piratenpartei, die 2009 mit der Netzsperrendebatte ihren ersten großen Schub bekam, sich mittlerweile auch für das Blockieren von Webseiten & Aufbau von Zensurinfrastruktur einsetzen, während um uns herum Länder ins Autoritäre kippen.

    [1] https://twitter.com/Schmidtlepp/status/869177771892903938
    [2] https://twitter.com/Schmidtlepp/status/869177771892903938
    [3] https://twitter.com/Schmidtlepp/status/869487706908348417
    [4] https://twitter.com/Schmidtlepp/status/869487331576819712
    [5] https://twitter.com/Schmidtlepp/status/869180651903299584
    [6] https://twitter.com/Schmidtlepp/status/869182223882256385

  9. Danke für die Sendung.

    Eine Ergänzung zu kritischen Infrastrukturen – Krankenhäuser gehören nicht zwingend dazu. Dies kann im Referentenentwurf vom Februar zur ersten Verordnung zur Änderung der BSI-KRITIS-Verordnung jeder der möchte nachlesen :)

    Ich versuche das mal kurz zusammenzufassen:

    Die Bewertung erfolgt einzeln für jedes nach §108 SGB V zugelassene Krankenhaus, das über ein eigenes Institutskennzeichen verfügt. Dazu ist konkret festgelegt, dass jede Einrichtung mit mehr als 30.000 stationären Fällen pro Jahr die KRITIS Kriterien erfüllen muss.

    Diese Einschätzung wurde aus mehreren Gründen kritisiert:
    – Ein Krankenhaus, dass sich auf bestimmte Eingriffe spezialisiert hat, kann diese effizienter durchführen und hat somit eine höhere Fallzahl. Die reine Fallzahl ist also vielmehr ein Kriterium für die Effizienz eines Krankenhauses (bzw. einer Abteilung) und nicht unbedingt ein Indikator für die Systemrelevanz.
    – Wenn ein Krankenhaus in einer Metropolregion ausfällt, fahre ich zum Krankenhaus in der Nachbarstadt. Wenn ich jedoch auf dem Land lebe und es im Umkreis von X Kilometern keine anderes Krankenhaus gibt, habe ich ein Problem. Dies wird jedoch bei der Einteilung, was KRITIS ist, keineswegs berücksichtigt.
    – An die Betreiber von kleineren Krankenhäusern werden somit keine weiteren Anforderungen gestellt. Das Lukaskrankenhaus in Neuss, dass auf Grund eines ungerichteten Angriffs durch einen Verschlüsselungstrojaner im letzten Jahr knapp 6 Wochen auf seine IT verzichten musste, gehört mit 28.500 Fällen somit beispielsweise nicht dazu.

    Trotz aller gerechtfertigter Kritik am Gesetz kann im medizinischen Umfeld gerade beobachtet werden, dass sich die regelmäßig unterbezahlten IT-Fachkräfte in kleineren Krankenhäusern gerade teilweise erstmals Gedanken über IT-Sicherheit machen. Ein Budget ist dafür leider nicht immer vorhanden. Der Malware-Befall im Lukaskrankenhaus Neuss hat (ebenso wie die dazugehörige PR-Beratung des Cybercrime Kompetenzzentrums) jedoch dazu geführt, dass die Geschäftsführung hier zumindest schneller Bereit ist, Budget in die Hand zu nehmen, als früher. Leider knapp 10-20 Jahre zu spät…

    Selbstverständlich gibt es auch Krankenhäuser die zeitgemäß bzw. richtig gut aufgestellt sind. Kommt eben immer drauf an…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.