Linus Neumann
Was wollt ihr denn damit? Nee, äh gibt's irgendwie einen Unterschied zu Gefahrenabwehr und dann sagteSagte der Olf, ich bin ja nicht der Jurist, ne? Ulf sagte dann, ja, das stimmt, ist ein Problem, da muss man aber dieses Problem lösen, nedass sie ähm dass sie, dass man quasi, also ich habe ihnen gesagt, wenn sie doch wissen, die verschlüsseln, ja? Und auf welche Weise, dann holt euch doch eine Hausdurchsuchung, marschiert rein, holt den Computer da raus.Oder sowas, ne? Ja, das geht eben so einfach nicht, weil das äh quasi der Beleg, dass sie jetzt einen Computer beschlagnahmen müssen, den können sie,Den Beweis dafür oder Beleg dafür können sie nicht aus dieser TKÜ-Maßnahme erbringen,Ich kann nur wiedergeben, was mir da erklärt wurde und wenn das der Kraus sagt und der Olf Burmeier bestätigt, dann und es dann nicht stimmt, dann habe ich's jetzt gerade falsch wiedergegeben. Aber da gab's ein Problem. Das kann man aber natürlich an anderer Stelle lösen. Da muss man jetzt nicht die Geräte für hacken.Und dann haben wir noch ein relativ weit äh äh ein Teil darüber geschrieben,Also fehlender Beleg der Notwendigkeit, weil der dritte Teil deine vierte fehlende technische Überprüfbarkeit und Nachvollziehbarkeit. Wir haben also relativ wenig dazu geschrieben,Wie machst du denn sowas rechtssicher, ne? Es steht dann drin, ja, wenn irgendwie der Kernbereich berührt wird, müssen die Daten gelöscht werden, ne?Und da haben wir habe ich ein, einfach mal größtenteils zitiert aus den italienischen Vorgaben, die wir hier auch vor einigen Wochen oder Monaten schon mal diskutiert hatten.Wo sie gesagt haben, na ja okay, wenn wir diesen Staatstrojanerkampf jetzt verlieren, ne, dann äh machen wir wenigstens die entsprechenden Anforderungen,An den Quellcode, dass der hinterlegt ist, unverifizierbar sein muss, einsehbar sein muss, prüfbar sein muss, ne? Ähm jede Aktion,Muss vollständig Manipulationssicher und verifizierbar dokumentiert werden, ja? Dass du also quasi sowas hast wie ein Log,In dem drin steht, dann wurde Datei mit Prüfsumme X geholt. Dann wurdeAm Mittwoch um neunzehn Uhr das Mikrofon eingeschaltet und am Donnerstag um zwanzig Uhr wieder aus, ne? Jede, jede Aktion oder auch es wurden Dateien mit folgenden Prüfsummen geholt,Äh die wurden aber als Kernbereichsrelevant äh festgestellt und wieder gelöscht. Ne, sowas wird's ja, also sowas witzt ja allesin einem sicheren Lock haben, sicheres Loging ist gar nicht so einfach, ne? Ich würde halt, ich würde es im Prinzip mit einer, mit einer, mit einer Hashtaine machen, ne, hast aber immer noch das Problem, dass du irgendwie sicherstellen musst, dass derdass alle Sachen auch wirklich gelockt werden, aber dass jetzt äh eh nochmal irgendwie ein Ex-Kurs in in die Informatik.Dann eine sehr wichtige Anforderung, ähm die Schadsoftware darf nicht das allgemeine Sicherheitsniveau des Geräteschwächen,Und das war ja zum Beispiel bei dem ähm bei dem Ozapft ist der Fall, ne? Da konnte die konnte Code nachgeladen werden. Das Gerät war nach der Infektion.Insgesamt unsicher reher als vor der Infektion.Und das ist auch wichtig bei hier bei den bei den Smartphones, ne? Wenn die, wenn ihr irgendeinen Trojaner drauf aufbringen wollen und das und den dafür das Gerät dafür Jaybraken müssen,Was sie ohnehin müssen, weil du willst ja aus dem Kontext deine Applikation raus in andere,dann hast du dieses Gerät in seinem, in seinen Verteidigungsmöglichkeiten gegen weitere Angriffe geschwächt. Und das darf, darf nicht sein.Dann äh die Entwicklung und der Einsatz der Schadsoftware muss mittels einer zentralen Erfassung nachvollziehbar sein mit anderen Worten, ne, das mit den Loks muss natürlich auch für die komplette, für den kompletten Trojaner und Trojaner Einsatz gelten.Und eine Unabhängig Z unabhängige Zertifizierung muss die technischen und datenschutzrechtlichen Vorgaben,regelmäßig prüfen und die Zertifizierung muss erneuert werden. Das ist etwas, was die was sie ja auch machen, das sagen die ja sogar, ne? Da haben wir, ich glaube, das ist, ich weiß nicht, ob das immer noch CSC macht,Aber das hatte ich damals schon irgendwie im zweitausenddreizehn in meinem Vortrag äh Bullshit Made in Germany das CSC, dieses Unternehmen, äh das irgendwie auch D-Mail mitelf geprüft hat, die prüfen wir heute, haben wir auch damals den Staatsreader geprüft, ne. Aber ist natürlich alles geheim,dann machst du eine geheime Prüfung. Ist ja totaler Scheiß, ne? Das ist alles in Ordnung, das haben wir geheim geprüft, kann ich das mal sehen? Nein.Ähm dann natürlich Verschlüsselung und Integritätsschutz für erfasste Daten, ne? Irgendwann muss ja auch irgendwie ich unterstelle ja gar nicht den den ähm Strafverfolgern, dass sie jetzt irgendwie sagen, guck mal hier dieses Foto von einem nackten Kindhaben wir von deinem Handy geholt mit unserem Staatstrianer. Aber wenn sie das bei jemandem behaupten, dann sollen sie doch müssen sie doch bitteschön äh das.Fest, kryptografisch belegen können,Ne, dass du sagst so, wir haben diese Datei geholt und es gibt diesen Blick und es war auch nur diese Datei und keine andere. Und äh die ist liegt hier verschlüsselt vor. Ja und solche Sachen.
Tatütata, bitte schnell Brandsalbe für den Telekom-Vorstand. Das war eine verdammt gute Rede! Es ist praktisch unmöglich ihn inhaltlich zu widerlegen. Das wird die Telekom jedoch kaum davon abhalten StreamOn einzuführen. Hauptsache es gibt einen kurzfristigen Gewinnsprung.
Hier ist übrigens das Bildmaterial zum Auftritt: https://www.youtube.com/watch?v=4Xt6yolzcJQ
Um das seriöse Auftreten perfekt zu machen, ist neben dem Anzug natürlich die Rotzbremse lobend hervorzuheben. Das gibt den Nostalgikern unter den Aktionären gleich den 70’s Vibe.
Gelten für die Netzneutralität in Deutschland eigentlich schon die „neuen“ EU-Regeln, die 2016 verabschiedet wurden (https://savetheinternet.eu/)?
Was können wir effektiv tun, um StreamOn zu verhindern?
Trotzdem vielen Dank für Deinen Masochismus, Linus. :)
Btw, weiß jemand, ob diese extensive Auslegung des Begriffs „kritische Infrastruktur“ (z.B. dass Versicherungen, Kulturbetrieb u.ä. davon erfasst sind) in irgendeiner Weise mit den Meldepflichten für IT-Sicherheitsvorfälle korelliert? Das wäre potenziell ja eher von Vorteil…
Das geht im IT-Sicherheitsgesetz Hand in Hand.
Allerdings habe ich nur mögliche Sektoren vorgelesen, zu denen kritische Infrastrukturen gehören können.
Wie man wirklich KritIs im Sinne des Gesetzes wird, ist in der KritIs-Verordnung des BMI dargelegt:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/BSI_Kritis_VO.pdf?__blob=publicationFile&v=3
Die verlinkte Kritis-VO mit den Sektoren Energie, Wasser, Ernährung und Informationstechnik/Telekommunikation ist am 31. Mai 2016 durch Kabinettsbeschluss ergänzt worden. Wie im IT-Sicherheitsgesetz vorgesehen, wurden die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr geregelt, oder auch: Erste Verordnung zur Änderung der BSI-Kritisverordnung.
Link hier. http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/Sicherheit/IT-Cybersicherheit/referentenentwurf-zur-aenderung-kritis-vo.pdf?__blob=publicationFile
Ich habs irgendwie geschafft, diesen Kommentar unter die letzte, statt unter diese Sendung, zu pinnen. Daher entschuldigt bitte den den Doppelpost.
Zur Frage, wie wird man im Gesundheitswesen (vermutlich bald) zur KRITIS?
Ich versuche das mal kurz zusammenzufassen:
Die Bewertung erfolgt einzeln für jedes nach §108 SGB V zugelassene Krankenhaus, das über ein eigenes Institutskennzeichen verfügt. Dazu ist konkret festgelegt, dass jede Einrichtung mit mehr als 30.000 stationären Fällen pro Jahr die KRITIS Kriterien erfüllen muss.
Diese Einschätzung wurde aus mehreren Gründen kritisiert:
– Ein Krankenhaus, dass sich auf bestimmte Eingriffe spezialisiert hat, kann diese effizienter durchführen und hat somit eine höhere Fallzahl. Die reine Fallzahl ist also vielmehr ein Kriterium für die Effizienz eines Krankenhauses (bzw. einer Abteilung) und nicht unbedingt ein Indikator für die Systemrelevanz.
– Wenn ein Krankenhaus in einer Metropolregion ausfällt, fahre ich zum Krankenhaus in der Nachbarstadt. Wenn ich jedoch auf dem Land lebe und es im Umkreis von X Kilometern keine anderes Krankenhaus gibt, habe ich ein Problem. Dies wird jedoch bei der Einteilung, was KRITIS ist, keineswegs berücksichtigt.
– An die Betreiber von kleineren Krankenhäusern werden somit keine weiteren Anforderungen gestellt. Das Lukaskrankenhaus in Neuss, dass auf Grund eines ungerichteten Angriffs durch einen Verschlüsselungstrojaner im letzten Jahr knapp 6 Wochen auf seine IT verzichten musste, gehört mit 28.500 Fällen somit beispielsweise nicht dazu.
Trotz aller gerechtfertigter Kritik am Gesetz kann im medizinischen Umfeld gerade beobachtet werden, dass sich die regelmäßig unterbezahlten IT-Fachkräfte in kleineren Krankenhäusern gerade teilweise erstmals Gedanken über IT-Sicherheit machen. Ein Budget ist dafür leider nicht immer vorhanden. Der Malware-Befall im Lukaskrankenhaus Neuss hat (ebenso wie die dazugehörige PR-Beratung des Cybercrime Kompetenzzentrums) jedoch dazu geführt, dass die Geschäftsführung hier zumindest schneller Bereit ist, Budget in die Hand zu nehmen, als früher. Leider knapp 10-20 Jahre zu spät…
Selbstverständlich gibt es auch Krankenhäuser die zeitgemäß bzw. richtig gut aufgestellt sind. Kommt eben immer drauf an…
Wieder eine sehr gute Folge und dieses Mal mit interessanten Einblicken in die Farcen der Expertenausschüsse mit Anhörung der Zivilgesellschaft. Vielen Dank für Euer Engagement. Bei dem was im Laufe der letzten Monate an Freiheiten zu Gunsten einer Totalüberwachung abgeschafft wurden frage ich mich langsam wirklich ob ich noch auf dieser Welt, die sich immer mehr in eine total kontrollierte Dystopie entwickelt, leben möchte. Es macht keine Freude mehr…
Doch, die Anzahl der Sachverständigen, die eine Fraktion einladen kann, richtet sich nach dem Ausschuss-Proporz (der sich aus der Sitzverteilung im Plenum bildet, also dem Wahlergebnis). Demnach haben Grüne und Linke je einen, SPD zwei und Union drei.
Interessant. Ist das einfach Usus, oder auch so vorgeschrieben?
Eine Mischung aus beidem. Eindeutig vorgeschrieben in der Geschäftsordnung ist es nicht, aber es ist üblich für alle Verfahren zur Besetzung ein Berechnungsverfahren zu nutzen, dass die Anteile im Plenum berücksichtigt.
http://www.bundestag.de/ausschuesse18/azur
AZUR = Anteile, Zugriffe und Reihenfolgen
Geschäftsordnung des Deutschen Bundestages § 70 Öffentliche Anhörungssitzungen:
> Beschließt der Ausschuß eine Begrenzung der Anzahl der anzuhörenden Personen, kann von der Minderheit nur der ihrem Stärkeverhältnis im Ausschuß entsprechende Anteil an der Gesamtzahl der anzuhörenden Auskunftspersonen benannt werden.
https://www.bundestag.de/parlament/aufgaben/rechtsgrundlagen/go_btg/go07/245166
„kurzfristig anberau_n_t“? Würde eher zu Tims heiserer Stimme passen… ;-)
Gibt es eine Aufzeichnung/Mitschrift vom Linus bei der AG Verbraucherpolitik?
Leider auch nicht.
Selbst wenn die SPD wüsste, das es eine Marktlücke für Politiker mit Haltung gäbe, was soll die SPD den machen? Sie haben doch gar keine solchen Politiker, außerhalb der JUSOs, mehr.
Ich glaube, das Zitat („Recht, Unrecht“) ist nicht von Oettingers Grabrede, sondern von Widerstandskämpfer Filbinger höchstselbst, als der sich damals verteidigen wollte.
Jawoll,
am 15. Mai 1978 zitierte der Spiegel Fibinger wie folgt „Was damals Rechtens war, kann heute nicht Unrecht sein!“
https://de.wikipedia.org/wiki/Filbinger-Affäre
Also wenn ich diesen Artikel von The Intercept richtig verstehe, will Google eine Adblock Plus-ähnliche Strategie mit Chrome fahren:
https://theintercept.com/2017/06/05/be-careful-celebrating-googles-new-ad-blocker-heres-whats-really-going-on/
Nur meine Verbeugung für diese großartige Sendung. Ich meine euer Podcast ist eigentlich immer gut, aber heute mal richtig. Ich hoffe ich macht noch eine ganze weile so weiter.
Beste Grüße aus dem Münsterland,
Micha
Gibt es das Protokoll von der Ausschuss Sitzung (schon) online?
Laut meinen Erfahrungen, bekommen das die einzelnen Leute ja auch immer nochmal vorgelegt, so dass sie es absegnen und eventuelle „Missverständnisse“ berichtigen können. Allerdings gibt es auch eine Tonaufzeichnung für die StenographistInnen. Ich weiß allerdings nicht, ob das immer so ist. In dem Falle müsste es der/die Vorsitzende eigentlich angekündigt haben. Die Frage ist, ob einE ZeugIn einfach etwas unpassende ändern kann oder ob dann die Tonaufnahmen herangezogen werden um das nochmal nachzuprüfen.
Finde es sehr schade, dass es keine Videoaufnahmen gab. War eigentlich davon ausgegangen und hatte mich schon darauf gefreut. Wovon hängt das denn ab, ob welche gemacht werden? Bei einer Sachverständigen Anhörung dachte ich. wäre das usus.
Hallo Linus, Tim,
vielen Dank für Eure gute Arbeit. Euren Podcast schätze ich sehr!
@Linus, Deine Ausführungen zur Anhörung im Rechtsausschuss zum Staatstrojaner war sehr interessant, allerdings in der Einschätzung erheblich anders als die von Ulf Buermeyer. Ulf hat im Podcast “Lage der Nation” LdN058 in Minute 01:03:46 seine Sicht beschrieben. Er geht davon aus, dass eine Anpassung der Gesetzgebung in diese Legislaturperiode nicht unbedingt wahrscheinlich ist. Da hoffe ich mal für uns, dass Ulf‘s Einschätzung zutrifft. Ich bin gespannt …
Wichtig ist auch zu erwähnen, dass Ulf nicht nur von den Grünen als Gutachter angefragt war, sondern auch von der SPD Fraktion. Da gab es bei der Regierungspartei SPD anscheinend schon den Wunsch, einen kritischen Gutachter im Ausschuss hören zu wollen.
Hier der Link zum LdN058:
https://www.kuechenstud.io/lagedernation/2017/06/02/ldn058-klima-abkommen-grundgesetzaenderungen-private-autobahnen-facebook-nachlass/
Wow, Netzpolitik zum Essen:
http://www.arte.tv/de/videos/076697-000-A/open-source-seeds-will-lizenzfreie-tomaten
Kann man machen!
Und ihr macht mal die nächste Folge. Ich bin süchtig und Ihr seid überfällig! (nich das Linus und Tim jetzt auch noch schwanger sind).
Förderkulissen:
…“Heute finden wir beim Breitbandausbau eine Symbiose von wirtschaftlichen Initiativen und öffentlichen Förderkulissen, “ Yep! Gebau ^^
Quelle: A.M.
https://www.bundesregierung.de/Content/DE/Rede/2017/06/2017-06-13-rede-merkel-digital-gipfel-2017.html
off topic @linucifer:
„Bei Leuchtkäfern reagiert dabei Luciferin unter Anwesenheit des Katalysator-Enzyms Luciferase mit ATP und Sauerstoff (Oxidation). Die dabei freigesetzte Energie wird in Form von Licht und als Wärme abgegeben, die Quantenausbeute liegt bei 0,4…0,6, einem relativ hohen Wert für Chemolumineszenz.“
Quelle: https://de.m.wikipedia.org/wiki/Leuchtk%C3%A4fer
;-)
Kann man irgendwas tun, um die Produktion von LNP zu beschleunigen? Lieb bitten, Geschenke schicken, sich nackig machen?
Derzeit hilft nur Geduld. Wir sind beide gerade viel unterwegs und es ergeben sich gerade nur wenige geeignete Termine.
Was mache ich denn jetzt mit dem Terabyte Nacktbilder?
Mit gimp oder einer ähnlichen weichen Ware auf sehr jugendlich verändern und der Kriegsministerin schicken vielleicht Stoppt das ja sie und die restliche Regierung bei dem Ausverkauf unserer Rechte.
Bei dieser Nachrichtenlage wäre eine neue Folge schon mal wieder Höhrenswert vielleicht auch mit einem Team B. Alles ist besser als Stille.