WEBVTT NOTE Podcast: Logbuch:Netzpolitik Episode: LNP242 Make §§§ fast Publishing Date: 2018-02-05T13:05:56+01:00 Podcast URL: https://logbuch-netzpolitik.de Episode URL: https://logbuch-netzpolitik.de/lnp242-make-ppp-fast 00:00:00.005 --> 00:00:07.475 Guten Morgen. Guten Morgen Tim. Willkommen in meinem besonderen synchronischen Verkauf. 00:00:28.819 --> 00:00:36.739 Lokbuchnetzpolitik Nummer zweihundertzweiundvierzig vom man mag's nicht glauben, vierten Februar zwanzig achtzehn. 00:00:36.445 --> 00:00:39.863 Sonntagsarbeit kriegt ja auch keiner bezahlt. 00:00:41.066 --> 00:00:44.256 Aber so ist es. Früher, früh am Morgen. 00:00:42.099 --> 00:00:48.685 So ist das, ne? Der wenn man so viel verdienen möchte wie Anwälte, muss man auch sieben Tage die Woche arbeiten. 00:00:48.385 --> 00:00:52.981 Genau, da gibt's keine Familie, da gibt's äh nichts, worauf man noch. 00:00:52.681 --> 00:00:57.338 Gibt's nur den, da gibt's nur den Porsche und die Klienten. Ähm. 00:00:55.355 --> 00:01:02.668 Tesla heißt das jetzt, Tesla. Tesla. Ja. Ein Porsche kannst du heute nicht mehr beeindrucken. 00:01:02.692 --> 00:01:10.612 Ne? Tesla. Ja, stimmt. Ähm ich wollte noch ganz kurz äh zwei, bevor wir uns dem Hauptthema widmen, 00:01:11.021 --> 00:01:17.192 ein bisschen Empfehlung äh abgeben. Und zwar hast du mich ja 00:01:17.084 --> 00:01:31.325 zum Kongress gefragt und da fiel mir, habe ich ja gesagt, ja, man kann ja ganz viel vierunddreißig C drei gucken, das stimmt ja auch, haben wir auch ein bisschen wieder drüber gesprochen. Man kann aber auch dreiunddreißig C drei gucken. Und das ist so ein bisschen, 00:01:31.374 --> 00:01:32.449 untergegangen, 00:01:32.936 --> 00:01:45.380 denn bei dem dreiunddreißig C drei hat Mark Zorko, der mir geschrieben hat, ich soll ihn bitte nicht als Dokumentarfilmer bezeichnen, weil er nur ab und zu mal ein bisschen Dokumentarfilme macht. Ähm, 00:01:45.711 --> 00:01:54.809 einen kleinen Film gedreht, der so ein Viertelstündchen geht und sehr ähm so das Drumherum von dem Kongress auf äh aufnimmt, also wie 00:01:54.641 --> 00:02:07.596 unterschiedliche Gruppen da arbeiten und redet so viel mit den Koordinatoren vom Himmel, redet ein bisschen mit mir und mit den äh mit dem Projekt Chaos, Patin und so und hat sich da mehr so ein bisschen 00:02:07.500 --> 00:02:12.583 auf das äh soziale Zusammensein des Kongresses, 00:02:12.782 --> 00:02:19.578 da fokussiert den Link findet ihr in den Shownotes, der Film heißt dreiunddreißig C drei Workshop, schöner Film. 00:02:20.185 --> 00:02:27.318 Kann man sich echt mal anschauen und ähm er weist auch gerne darauf hin, dass er noch einen anderen Film gemacht hat äh 00:02:27.264 --> 00:02:38.537 der den Sieg sichern heißt äh in dem es um die internationalen Brigaden zur Unterschützung des Kampfes für Demokratiefreiheit und Gleichberechtigung, 00:02:38.537 --> 00:02:44.245 in Royova und gegen die von Erdogan unterstützten Terrorbanden geht, 00:02:44.660 --> 00:02:54.280 und äh da kann man auch auf jeden Fall eine ganze äh eine ganze Menge lernen auf dem YouTube Kanal und diese Filme seien hiermit, 00:02:54.539 --> 00:02:56.612 auf jeden Fall euch empfohlen. 00:02:58.577 --> 00:03:10.859 Ja, aber eigentlich geht's ja heute um was anderes. Heute wollten wir, das haben wir in der letzten Sendung auch schon angekündigt, uns mal um das besondere elektronische Anwaltspostfach äh kümmern, was ja 00:03:10.752 --> 00:03:25.600 hier auch schon ein wenig Welle gemacht hat und bevor es hier schon Welle gemacht hat, hat's vor allem schon auf dem Kongress mächtig Welle gemacht. Ja und dazu begrüßen wir heute unseren Gesprächspartner, den Markus Markus Dränger aus Darmstadt. Hallo Markus. 00:03:25.846 --> 00:03:26.910 Ja hallo. 00:03:27.409 --> 00:03:33.670 Schön, dass du es äh zu uns geschafft hast. Ähm wir wollten dem Ganzen halt mal ein bisschen mehr Raum, 00:03:33.712 --> 00:03:46.764 einräumen, warum eigentlich? Wahrscheinlich, weil einerseits das natürlich so ein bisschen so in unserem Kulturkreis äh jetzt hier so ähm breit aufgerollt worden ist, andererseits, weil das unserer Meinung nach auch so ein Thema ist 00:03:46.710 --> 00:03:56.384 Woran man mal wieder eine ganze Menge festmachen kann, was nicht nur so für sich ähm eine Information und eine interessante Geschichte ist. 00:03:56.084 --> 00:04:00.440 Manche Cluster Fax sind so groß, dass sie eine ganze eigene Sendung be. 00:04:00.555 --> 00:04:04.220 Aber nicht nebenbei abhandeln. Genau. 00:04:01.907 --> 00:04:15.030 Kann man nicht nebenbei abhandeln da muss man sich mal zurücklehnen und das in Ruhe sitzieren. Und das wollen wir mit dir machen Markus, weil du auch das Bea so schön so sitziert hast, 00:04:15.499 --> 00:04:23.894 Vielleicht willst du ein bisschen was zu dir sagen, was ist denn so dein, dein Hintergrund? Wie bist du denn irgendwie an die Nummer gekommen, was was machst du so. 00:04:24.549 --> 00:04:34.379 Ich bin Informatiker und bin beim Chaos in Darmstadt äh aktiv, äh bin dort äh Mitglied im Vorstand und ich habe ein paar Juristen als Freunde, Anwälte, 00:04:34.410 --> 00:04:38.411 und die hatten sich äh im Sommer äh August, September, über, 00:04:38.442 --> 00:04:45.021 beschwert über das Bea und ihre Smartcards, die sich bestellen müssen, dass die Software so hässlich aussieht, 00:04:45.202 --> 00:04:52.004 Und das ist ja wieder so ein doofes, doofes Projekt ist. Und äh dann kam ich auf die Idee, mir das mal anzuschauen. 00:04:51.710 --> 00:04:55.495 So, so, du hast also Anwälte eins für als Freunde. 00:04:56.457 --> 00:04:59.377 Das kommt ja manchmal vor, ne. 00:04:58.500 --> 00:05:06.840 Ja. Aber was ist so dein dein also was ist so deine deine persönliche technische Expertise so, also inwiefern. 00:05:07.003 --> 00:05:17.909 Hab 'ne Ausbildung gemacht, hab 'n Studium gemacht und ja TUI Informatik noch nicht. 00:05:17.819 --> 00:05:18.995 Aha, noch ist es. 00:05:18.745 --> 00:05:19.826 Echter Hacker. 00:05:19.576 --> 00:05:24.116 Noch ist es nicht zu spät. 00:05:23.816 --> 00:05:26.118 Sehr schön, 00:05:26.683 --> 00:05:37.955 Und dann hast du dir dieses, dass du dieses Ding angeschaut und äh wahrscheinlich unsere äh Hörerschaft weiß schon grob, wo es hingeht, dass danach war nicht mehr viel übrig, 00:05:38.214 --> 00:05:44.379 Der Fallout war etwas größer, aber vielleicht wollen wir uns erstmal äh müssen wir, glaube ich, so ein bisschen erklären, 00:05:44.614 --> 00:05:53.597 Was ist denn dieses Bär? Warum gibt's das überhaupt? Welches welches Problem sollte hier gelöst werden, 00:05:54.427 --> 00:06:02.845 Also warum, was, was, was ist die Aufgabenstellung, die es hier gab für dieses, für diesen, für diese nicht vorhandene Lösung? 00:06:03.506 --> 00:06:15.512 Ja, also auch die Justiz wird ja digital und äh dort kommen jetzt auf die Idee, äh nicht nur äh Post für A nach B zu schicken, sondern auch die ganzen Dokumente, elektronisch von A nach B zu schicken, 00:06:15.789 --> 00:06:19.430 und dazu hat man halt vor einigen Jahren ähm, 00:06:20.121 --> 00:06:28.269 EGVP eingerichtet, ein elektronisches Gerichts- und Verwaltungspostfach und das läuft über so äh Government Protokolle, 00:06:28.799 --> 00:06:36.303 und jetzt sollten natürlich auch Anwälte und andere mit Gerichten elektronisch kommunizieren. 00:06:36.100 --> 00:06:38.226 Was meinst du mit Governman Protokolle. 00:06:38.569 --> 00:06:50.821 Es gibt so ein Protokoll, es nennt sich USCI eins Punkt zwei, das ist sozusagen so ein XF Standard ähm ein so ein so ein XML-Format in dem öffentliche äh, 00:06:51.056 --> 00:06:53.580 Nachrichtenmaschinen lesbar von A nach B gehen. 00:06:53.886 --> 00:06:57.870 Online Services, Computerinterface und das liegt ja sehr spezifisch. 00:06:57.570 --> 00:07:03.380 Das ist ein sehr geiles Protokoll, also ähm ihr könnt das ja ruhig mal angucken und fluchen. 00:07:03.345 --> 00:07:05.165 Service des Computer in der. 00:07:04.072 --> 00:07:14.677 Es wird auch ab und zu manchmal ist ein Transportprotokoll quasi äh ich hab auch Online die Bezeichnung gelesen ist es ist ein XML VPN ähm. 00:07:14.377 --> 00:07:17.532 Mit mit Blockchain oder ohne. 00:07:17.791 --> 00:07:28.336 Ohne also halt schon mit mit IS und RSA und ein paar Meter Daten dazu. Ähm, also ist ein größeres XML-Format. 00:07:28.258 --> 00:07:30.968 Das aber auch irgendwie Transport mit dabei hat oder was. 00:07:31.016 --> 00:07:44.134 Über dieses XML Format transportiert man dann andere Nachrichten, zum Beispiel über X Meld, Meldedaten oder über X-Wasch, das Waffenregister oder über X-Justiz die äh Akte für die Justiz, 00:07:44.699 --> 00:07:49.560 und über dieses Protokoll laufen halt auch EGVP Nachrichten, 00:07:50.240 --> 00:08:01.674 und EGVP Nachrichten sind sozusagen ist eine XML Datei und da werden dann halt ein Betreff äh ein Text und die Anhänger eingebettet und die Signaturen dazu, 00:08:02.198 --> 00:08:07.197 es ist also ein großes XML Dateiformat was dann übertragen wird. 00:08:07.113 --> 00:08:13.879 Aber immerhin schon so mit PKI, also mit so einer Publicue-Infrastruktur äh drin et cetera. Das ist hier alles mitgedacht. 00:08:13.867 --> 00:08:23.277 Ja, ja genau, das äh das kann auch Ende zu Ende quasi äh und äh war halt dafür gedacht, Nachrichten von Behörden von A nach B zu schicken, 00:08:23.734 --> 00:08:31.263 Anforderungen an das BA. Beim BA ging's darum, die Anwälte sollten mit den Gerichten sicher kommunizieren können, 00:08:31.882 --> 00:08:40.595 Das heißt, äh, es musste sichergestellt werden, dass die Anwälte, die Absender sind. Und es musste sichergestellt werden, dass der Transport verschlüsselt stattfindet. 00:08:41.779 --> 00:08:42.500 Also. 00:08:42.284 --> 00:08:51.970 Wofür wir in der Kryptographie ja zwei Lösungen haben. Signaturen und die Verschlüsselung an äh im Rahmen von Public Private Key 00:08:51.917 --> 00:09:04.415 Das sollte ja, ist ja jetzt informatisch, wenn du sagst, dass ich mit Informatik auseinandergesetzt, wie wir alle so ein bisschen, dann würde man jetzt erstmal schätzen, so grundsätzlich technisch ist das Problem ja eigentlich gelöst oder nicht. 00:09:04.512 --> 00:09:19.402 Ja, es ist eigentlich kein großes Problem. Äh es ist halt äh ein ständiger Usecase äh Nachrichten von A nach B zu übertragen und dabei sicherzustellen, dass sie ähm authentisch sind und dass sie äh nicht einsehbar sind beim Transport. 00:09:20.075 --> 00:09:22.028 Nicht veränderbar. Wer noch die. 00:09:21.728 --> 00:09:23.049 Und auch nicht veränderbar. 00:09:23.350 --> 00:09:37.158 Das heißt der der Empfänger kann wirklich quasi mit mathematisch sicher gehen, dass die Nachricht die äh er oder sie vor sich hat vom vorgeblichen Absender, 00:09:37.501 --> 00:09:41.094 stammt und auch nicht verändert wurde, also, 00:09:41.425 --> 00:09:54.753 Das Gericht hat mir das hier geschickt und wirklich das und zwar bittgenau das und auch wirklich dieses Gericht. Und es wäre einem dritten nicht möglich, diese Nachricht zu fälschen oder auch nur zu verändern. 00:09:55.180 --> 00:10:04.926 Genau und dann kommt man aber noch an und äh ändert die Anforderung ein paar Mal. Also das Gesetz, was dazu gemacht worden ist, ist während der Entwicklungsphase dreimal angepasst worden, 00:10:05.359 --> 00:10:08.454 und äh Bedarfsträger gibt's ja immer, 00:10:08.749 --> 00:10:21.986 äh es wurde dann auch äh vorgegeben, dass äh Mitarbeiter oder Partner von Anwälten, also in der Kanzlei arbeitet man ja auch nicht alleine meistens, äh dass die auch Zugriff auf das Postdach bekommen müssen, 00:10:22.491 --> 00:10:25.411 oder dass wir Anwaltignachrichten freigeben kann, 00:10:26.313 --> 00:10:33.536 Und dort ist die Regelung getroffen worden, dass man auf das Postfachzugriff bekommen muss und nicht etwa auf die eingehenden Nachrichten. 00:10:34.612 --> 00:10:45.848 Und das heißt da wo du die Anforderung ein bisschen schwieriger sicherzustellen, dass äh wenn man eine wenn man eine Person Zugriff gibt, dass die auch die Nachrichten von gestern lesen kann. 00:10:47.147 --> 00:10:50.084 Und da hat man sich dann halt auch Dinge einfallen lassen. 00:10:51.233 --> 00:10:53.498 Ach so und da wird dann ähm. 00:10:55.445 --> 00:11:02.121 Also der Anwalt kann quasi im Nachhinein, ach so, jeder Kunde hat quasi auch sein oder jeder Klient hat dann sein eigenes Postfach. 00:11:02.127 --> 00:11:08.274 Nein, also der der Anwalt hat sein persönliches Konto, sein höchstpersönliches und das wird ihm zugeordnet, 00:11:08.863 --> 00:11:12.156 aber jetzt arbeiten Anwälte ja meistens in Kanzleien, 00:11:12.427 --> 00:11:22.455 und das heißt sie arbeiten mit Sekretärinnen oder mit Mitarbeitern und mit Partnern und vielleicht arbeiten auch äh mehr als ein oder zwei Anwälte in einer Kanzlei, 00:11:23.087 --> 00:11:30.081 Und die müssen ja dann ihre höchstpersönlichen, abgesicherten Ende zu Ende äh konnten, mit ihren Mitarbeitern teilen. 00:11:31.181 --> 00:11:36.396 Das heißt, die kriegen dann Accounts und müssen dann Zugriff kriegen auf das Postfach, 00:11:37.226 --> 00:11:46.840 dafür hat man sich dann was einfallen lassen, äh ein HSM, was dann die verschlüsselten Nachrichten in der Mitte aufmacht und an die Mitarbeiter weiterleitet. 00:11:46.540 --> 00:11:47.844 Was ist ein HSM. 00:11:48.205 --> 00:11:59.772 Ein HSM ist ein Hardware Security Modul, ist also ein Server, der in der Mitte steht und ganz sicher sein soll, in dem die privaten Schlüssel für die für die Postbecher liegen. 00:12:02.350 --> 00:12:11.952 Und der der kommt dann die E-Mail ist an den an die Kanzlei formuliert und wird dann nochmal. 00:12:12.097 --> 00:12:18.436 Der Absender schreibt seine Nachricht, äh Betreff äh Body und dann die Anhänge, 00:12:19.031 --> 00:12:29.679 und äh verschlüsselt diese Nachricht an das Postfach. Dazu bekommt er aus dem öffentlichen Verzeichnisdienst ähm den RSA-Schlüssel, 00:12:30.292 --> 00:12:31.397 für das Postfach. 00:12:32.672 --> 00:12:40.513 Und verschlüsselt die Nachricht äh symmetrisch mit IS und den Key für das IS, das Passwort mit dem SA Schlüssel. 00:12:41.541 --> 00:12:50.188 Dann schickt ihr die Nachricht äh an den Server und der nach und der Server kennt zu dem RSA-Schlüssel auch den privaten Schlüssel. 00:12:51.432 --> 00:12:59.734 Dann entschlüsselt der das IS Passwort und verschlüsselt das dann an alle Empfänger die auf das Postfach zugreifen sollen. 00:12:59.707 --> 00:13:00.716 Oh Mann, ey das. 00:13:00.466 --> 00:13:01.473 Also an. 00:13:01.179 --> 00:13:06.833 Gleich, also es ist doch der gleiche Unsinn. Ich hab's gerade hier schon rausgesucht und in die Shownotes gelegt. Ähm 00:13:06.731 --> 00:13:11.370 Zweitausenddreizehn war ich, also ist jetzt auch schon ein paar Jahre her. 00:13:11.184 --> 00:13:30.965 War ich im Rechtsausschuss zum E-Justice Gesetz. Und da wollten sie, da ging es darum, da die D-Mail einzusetzen, ja? Haben sie gesagt, ja, wir wollen irgendwie D-Mail soll auch für den, für den Rechtsverkehr gelten. Er war ja auch wieder genau das gleiche Thema, dass sie da die große Geschichte von der Ende zu Ende Verschlüsselung erzählen und irgendwo in der Mitte steht irgendein 00:13:30.786 --> 00:13:38.639 Gerät, was zwischendurch aufmacht, äh, um allen das Leben irgendwie einfacher zu machen, ja? Und ähm, da 00:13:38.495 --> 00:13:44.077 dieses HSM gehört jetzt ja nicht dem Anwalt oder gehört das wenigstens steht das wenigstens beim Anwalt selber in der Kanzlei. 00:13:44.264 --> 00:13:58.883 Nein, das HSM ist ein zentraler Dienst, äh der wird äh durch die Bundesrechtsanwaltskammer äh die Brack äh betrieben und die Brack hat äh dafür äh die Firma Atos beauftragt, äh das durchzuführen. 00:13:58.650 --> 00:14:06.533 Das heißt, wir wir reden jetzt schon mal sowieso von der Architektur davon, dass irgendwo auf dieser Welt ähm ein, 00:14:07.002 --> 00:14:15.312 Surver, eine Recheneinheit steht, die alle diese Nachrichten zu Entschlüsseln in der Lage ist. 00:14:15.908 --> 00:14:22.006 Ja, da gehen die die Quellen, Daten gehen da ein bisschen auseinander, das können ja auch zwei oder drei oder vier sein, 00:14:22.470 --> 00:14:34.553 verschiedenen Orten, das ist glaube ich auch Ausfallsicht ausgelegt. Äh aber ja, es gibt halt quasi sozusagen im Prinzip eine Stelle im Netz irgendwo, die auf die Nachrichten zugreifen könnte. 00:14:36.002 --> 00:14:42.846 Ich will mal an der Stelle kurz äh uns mal wieder dran erinnern, welchen äh Schlachtplan wir uns hier für die Sendung äh ausgedacht hatten, 00:14:43.045 --> 00:14:51.829 um nicht zu sehr schon gleich hier im Abkürzungswortspiel uns zu verheddern. Vielleicht könntest du nochmal, 00:14:51.902 --> 00:15:05.987 Also wir haben jetzt erstmal grob ausgerollt, okay? Es gibt elektronischen E-Mail-Verkehr, es gibt da auch schon etablierte Standards, es gibt auch schon einige etablierte Infrastrukturen, insbesondere bei den Gerichten. Nun ging's darum, die, 00:15:06.047 --> 00:15:10.968 Anwälte mit anzuschließen. Dazu wurde eben diese neue Softwarelösung 00:15:10.837 --> 00:15:24.549 vorgeschlagen, die so ein wenig schwäche, da sie eben überkommende Vorstellungen von Security ein wenig wieder mit ins Spiel bringt. Das können wir uns ja gleich im Detail auch nochmal anschauen 00:15:25.619 --> 00:15:38.123 Nur, damit wir jetzt hier äh nicht zu viel Begriffsverklärung haben, würde ich ganz gerne mal die Player, die jetzt hier in diesem ganzen Spiel eine Rolle spielen, nochmal kurz äh aufzählen, 00:15:38.268 --> 00:15:42.943 damit wir das nicht alles für Protokoll äh Abkürzungen halten, 00:15:43.135 --> 00:15:49.643 Also, ganz normal die die wichtigsten Player, die wir jetzt hier auch erwähnen werden, mal kurz aufzählen. 00:15:50.208 --> 00:15:55.135 Ja, also ich fange mal an mit der äh Bundesrechtsortskammer. Abgekürzt Brack, 00:15:55.857 --> 00:16:05.092 die ist zuständig, dass Bea umzusetzen. Im Gesetz steht, dass die praktischen Dienst anbieten und betreiben muss, 00:16:05.747 --> 00:16:11.924 die Aufträge vergeben an die Unternehmen. Äh dieses Projekt durchzuführen. 00:16:12.201 --> 00:16:16.359 Was ist denn das für ein für eine Organisation diese Brack. 00:16:16.606 --> 00:16:30.841 Dibrack ist sozusagen die Kammer, äh die IHK der Anwälte. Äh ist also eine eine öffentliche Einrichtung, äh die per Gesetz vorgeschrieben werden ist und ähm die Anwälte müssen da Mitglied sein. Wenn sie zugelassen hatten sein wollen. 00:16:31.917 --> 00:16:40.642 Ähm das heißt, es ist eine so eine Semi-öffentliche Einrichtung äh die kann man per IFG nach nach Dingen fragen. Also fragt den Staat funktioniert. 00:16:41.694 --> 00:16:45.641 Vieles andere nicht, aber ähm da sind sie. 00:16:45.341 --> 00:16:49.409 G-Informationsfreiheitsgesetz. Muss mal hier kurz diese Begriff. 00:16:49.938 --> 00:17:00.886 Sind also äh ein wenig in der Öffentlichkeit. Äh dann hatten sie ein Unternehmen Cup Gamingy beauftragt, sie bei der Durchführung des Projektes zu unterstützen und zu beraten, 00:17:01.626 --> 00:17:11.011 Also äh die haben sowas äh das ist ein großer IT-Dienstleister äh und Unternehmensberatung. Die haben also zu sagen äh das Verfahren beraten äh, 00:17:11.613 --> 00:17:17.964 Ausschreibung, Auswahl, äh Feature Requess et cetera. Ähm. 00:17:18.613 --> 00:17:24.574 Haben den also bei der Ausschreibung des Projektes die bei der Ausschreibung des Projektes beraten oder. 00:17:24.610 --> 00:17:31.154 Genau, also die haben sozusagen äh die Brack äh bei der gesamten Durchführung des Projektes beraten von Anfang bis Ende. 00:17:31.172 --> 00:17:39.224 Was auch verständlich ist, weil die Brack ist ja nun mal eine Rechtsanwaltskammer und äh haben jetzt per Gesetz auf einmal die Hausaufgabe bekommen 00:17:39.062 --> 00:17:58.465 baut mal hier ein mit dem mit unserem System kompatibles, sicheres Kommunikationssystem für Anwälte, ähm das ist eine eine Aufgabe, die auf jeden Fall es in sich hat, vor allem wenn man äh erstmal fachfremd ist. Insofern ist ja verständlich, dass sie nach jemandem suchen 00:17:58.303 --> 00:18:05.436 der ihnen kompetenter zur Seite stehen kann. Unverständlich ist, warum sie dann am Ende niemanden gefunden haben, aber dazu kommen wir später. 00:18:06.121 --> 00:18:09.432 Genau, dann hatten sie äh gefunden äh die Atos, 00:18:09.883 --> 00:18:19.701 ist auch ein sehr, sehr großer IT-Dienstleister und der hat dann quasi ähm sowohl eine Kleinsoftware erstellt, 00:18:20.086 --> 00:18:26.407 als auch ein Vertrag bekommen für den Betrieb der Serverdienste, für den für das BA. 00:18:27.531 --> 00:18:37.037 Ähm und die Arthurs äh hat dann auch noch äh die Firma Secon Side beauftragt. Ähm ein Security-Out durchzuführen. 00:18:38.264 --> 00:18:44.116 Ähm allerdings wissen wir bis heute nicht, äh was getestet worden ist und was dabei rausgekommen ist, 00:18:44.910 --> 00:18:51.579 Also können wir nicht sagen, ob der Test umfangreich war oder was da sozusagen Gegenstand der Prüfung war. 00:18:51.466 --> 00:18:55.551 Ich würde jetzt mal vorsichtig ähm okay, was, 00:18:56.273 --> 00:19:04.397 Was, wenn wir den Test nicht kennen, ist äh können wir über seinen Inhalt wenig Aussagen treffen, aber ähm wenn, 00:19:04.788 --> 00:19:14.240 Wie wir es ja gesehen haben, die Brack und Atos nah bis zum bitteren Ende der Überzeugung waren, dass sie mit diesem Dienst ernsthaft, 00:19:14.258 --> 00:19:22.256 an den Start gehen könnten, dann äh ist davon auszugehen, dass entweder Seconds Halt hier ähm seine, 00:19:22.310 --> 00:19:32.976 Probleme nicht gefunden hat oder äh nicht ausreichend Gehör gefunden hat, ne? Die der Umgang mit dem Ergebnis eines Security-Outlets liegt ja immer im 00:19:32.964 --> 00:19:39.411 des Empfängers, ja? Und man kann natürlich, wenn man sagt, hier sind folgende Risiken und äh, 00:19:39.772 --> 00:19:45.763 Die Bundesrechtsanwaltskammer sagt, ja, das hört sich aber nicht so schlimm an oder Arthur sagt, äh gehen sie bitte weiter ähm, 00:19:46.052 --> 00:19:50.907 Hier gibt es nix zu sehen, kann es natürlich sein, dass die hier trotz Warnung, 00:19:51.160 --> 00:20:03.189 so gehandelt haben, es kann aber auch sein, dass sie nicht gewarnt wurden und im besten Wissen und Gewissen an die Sache rangegangen sind. Insofern sollte man doch mal äh versuchen, 00:20:03.472 --> 00:20:09.204 daran zu kommen an dieses Ergebnis, aber wenn ich dich richtig verstanden habe, müsste man 00:20:09.133 --> 00:20:18.555 diese EIFG-Anfrage könnte man vielleicht an die Bundesrechtsanwaltskammer schicken, aber dann würde Arthos im Zweifelsfall sagen, nee, diesen Outlet hätten wir ganz gerne geheim gehalten. 00:20:19.883 --> 00:20:27.484 Oder Secondsit sagst, das finde ich dann nämlich interessant, daraus würde ich Schlüsse ziehen. Wer von beiden den geheim halten möchte. 00:20:27.184 --> 00:20:36.119 Genau, also ich äh habe da auch angefragt sozusagen äh per IFG und äh bekam die Antwort, dass das Geschäftsgeheimnissesein von Athos, 00:20:36.715 --> 00:20:49.982 und von der Brack. Äh und deswegen könnte man mir das nicht rausgeben. Ähm, ich weiß aber auch nicht sozusagen, was beauftragt worden ist, es kann ja durchaus sein, dass die Seconds halt äh Module oder Funktionen geprüft hat, die sicher sind, 00:20:50.613 --> 00:21:00.979 die Kryptografie als solche macht hier einen guten Eindruck quasi. Also so die von Punkt zu Punkt oder die Authentifizierung mit Smart Cards oder sowas, 00:21:01.502 --> 00:21:10.335 aber ähm wir wissen einfach nicht, was da geprüft worden ist. Von daher können wir dazu wenig sagen und wir können auch nicht sozusagen, ob da jetzt gut oder schlechte Arbeit gemacht worden ist. 00:21:10.377 --> 00:21:17.389 Also um das nochmal in den Hintergrund in den Zusammenhang zu setzen, wenn ich jetzt also eine Überprüfung eine Sicherheit 00:21:17.342 --> 00:21:26.866 Überprüfung in Auftrag gebe, ähm nenne ich normalerweise einen sogenannten Scope und sage, ich möchte folgende Teile meines Programmes oder folgende, 00:21:26.902 --> 00:21:28.710 Angriffsszenarien, 00:21:28.873 --> 00:21:40.001 geprüft wissen und an diesen Skope ist natürlich dann hält sich der Dienstleister natürlich auch und prüft dann nur das, insofern ist die Information irgendjemand hat hier, 00:21:40.146 --> 00:21:47.062 etwas geprüft, dann doch äh relativ relativ wertlos, wenn man nicht den Skope und nicht die Ergebnisse kennt. 00:21:47.501 --> 00:21:50.259 Genau und dann gab's noch die Firma Guvernikus, 00:21:50.836 --> 00:22:04.873 die hat Module beigesteuert sozusagen die in dem Kleine benutzt worden sind. So 'ne Softwarefirma die macht regelmäßig so Government Projekte und hat da ja auch die Librarys für die entsprechenden Protokolle. 00:22:06.328 --> 00:22:16.260 Mhm. Und die Architektur selber, ne. Äh also die Softwarearchitektur, die hat sich aber schon irgendwie Cup Gemine ausgedacht oder 00:22:16.213 --> 00:22:25.310 hat die sich Arthurs dann ausgedacht und die empfohlen und Kap Gamini hat der Bundesrechtsanwaltskammer dann empfohlen das doch so zu nehmen. 00:22:25.695 --> 00:22:35.471 Das weiß ich auch nicht. Ich hatte zwar angefragt, ob ich die Anforderungs- und Pflichtenhefte bekomme, aber auch die waren Geschäftsgeheimnisse, 00:22:35.928 --> 00:22:44.136 Das heißt, ich weiß nicht, wer sozusagen dieses äh Ding gemacht hat. Ich weiß bloß, dass die Atos ein Erstellungsvertrag hatte, 00:22:44.407 --> 00:22:52.916 für die Software. Ähm, also gehe ich davon aus, dass auch das Konzept entwickelt hat wie die Software aussehen soll. 00:22:52.970 --> 00:22:59.802 Mhm. Jetzt haben wir gerade gesagt die Probleme die die grundsätzliche. 00:23:00.944 --> 00:23:13.310 Anforderung, eine Nachricht, Verschlüsse zu versenden, dass sie nur der Empfänger empfangen kann und dass man nachher als Empfänger prüfen kann, wer die Absenderin ist. Äh darüber haben wir uns schon unterhalten, dass die 00:23:13.299 --> 00:23:16.645 kryptografisch ist das, sind diese Probleme gelöst, 00:23:16.730 --> 00:23:25.292 Bilden wir uns zum heutigen Zeitpunkt ein. Wer weiß, äh vielleicht war das doch alles auch nur Unsinn mit dem RSA, aber im Moment sieht's eigentlich noch ganz gut aus. Ähm. 00:23:25.323 --> 00:23:27.089 Sind wir mit den Playern eigentlich durch? 00:23:31.296 --> 00:23:37.833 Ich würde nur gerne vorher nochmal einmal den den Zusammenhang herstellen. 00:23:39.727 --> 00:23:46.583 Wir wissen, wie man sowas ordentlich machen kann und es gibt auch nur einen Weg, das ordentlich zu machen. Und es gibt auch Leute, die kriegen das hin, 00:23:47.424 --> 00:24:00.289 Der Scorp ist hier aber natürlich mit dieser gerichtlichen Kommunikation und so, dass die die Sache wird so ein bisschen komplex und es gibt ein paar Anforderungen, die das Problem erschweren und es gibt ein paar 00:24:00.151 --> 00:24:05.439 Lösungen, die man dann halt direkt als ein Schuss in den eigenen Fuß 00:24:05.301 --> 00:24:15.090 sehen kann und wo man einfach von vornherein sagen kann, das ist falsch, das geht nicht, das kann man so einfach nicht machen. Und darauf werden wir, glaube ich, jetzt in der, in der Darstellung der Probleme 00:24:15.012 --> 00:24:18.004 dann äh nochmal kommen, oder? 00:24:20.907 --> 00:24:29.475 Also ähm das Grundsätzliche Designprinzip äh war ja man möchte Nachrichten vor A nach B schicken, 00:24:30.131 --> 00:24:37.287 und äh für die Kryptographie wollte man dann äh ja Chipkarten, Smartcards benutzen, 00:24:37.877 --> 00:24:45.141 Das heißt, man gebrauchte äh Software auf dem Kleinrechnern, auf dem Anwaltsrechner, um den Kartenleser zu steuern, 00:24:45.965 --> 00:24:56.047 Dazu hat man eine eine Java-Software geschrieben, die die Kryptofunktion enthielt und die Steuerungssoftware für den Kartenleser. 00:24:57.027 --> 00:25:06.089 Und noch so ein paar kleinere andere Funktionen und äh ansonsten hat man einen Webmailer gebaut. 00:25:06.666 --> 00:25:11.863 Bleiben wir mal ganz kurz bei diesen bei dieser Idee mit den Karten. Die finde ich ja erstmal sehr schön. 00:25:13.210 --> 00:25:17.103 Den zweitausenddreizehn auch mal empfohlen, habe ich gesagt, nehmt doch bitte 00:25:16.923 --> 00:25:24.446 die Krypto schön sicher auf Smart Carls und dann habt ihr das Problem nicht, dass die Leute ihre 00:25:24.260 --> 00:25:38.093 ihre Schlüssel irgendwie voll versehentlich löschen oder oder sonstiges, dann habt ihr meine sichere Aufbewahrung, könnt sichergehen, dass eure kleinen Software nicht die privaten Schlüsse klauen kann oder eine 00:25:37.961 --> 00:25:41.939 oder eine Malware, dass es doch eigentlich erstmal eine schöne Idee, oder? 00:25:42.173 --> 00:25:50.574 Das ist erstmal eine schöne Idee. Ja genau. Also jeder äh Anwalt konnte sich bei der Bundesnotarkammer, der B-Not K, 00:25:51.055 --> 00:26:03.271 die Karten bestellen und dann dauerst du das ein paar Monate und dann hat man sie bekommen und da hat jeder Anwalt quasi einen eigenen privaten Schlüssel, 00:26:03.782 --> 00:26:06.888 äh der halt nur ihm zugänglich ist. 00:26:06.877 --> 00:26:18.029 Mhm. Und das war das, wo deine Freunde drüber abgekotzt haben und gesagt haben, gefällt mir nicht. Kann ich auch verstehen? Natürlich halten sie wahrscheinlich keine Lust, zu war was Neues äh und hat erstmal genervt. 00:26:18.624 --> 00:26:31.796 Ja, genau. Und äh äh gut natürlich so ein Kartenleser kann man ja auch nicht nicht am Handy anschließen. Ja, oder wenn man den Mobil am Laptop haben möchte, muss man immer mitschleppen. Äh das ist natürlich auch nicht gerade so User freundlich, 00:26:32.518 --> 00:26:40.990 ähm und äh weil halt die Brack äh oder Athos ähm das BR als Webmailer gebaut hat, 00:26:41.591 --> 00:26:50.670 hatte man Webinterface. Das heißt, man ging auf die Webseite BA Minus Brack Punkt DE und hat dort auf den Button gedrückt, um sich einzuloggen. 00:26:51.795 --> 00:26:58.434 Und die klein Software, die ich vorhin angesprochen habe, die für die Steuerung des Kartendesers äh zuständig ist, 00:26:59.036 --> 00:27:05.441 die betreibt auf dem lokalen Rechner einen Webserver mit einer API. 00:27:05.177 --> 00:27:19.887 Damit der Browser nämlich gleichzeitig mit dem Kartenleser reden kann und mit dem Web-Login, der da stattfindet. Okay, wie kriegen wir das jetzt nochmal ein bisschen einfacher runtergebrochen. 00:27:19.611 --> 00:27:29.381 Na ja, ich meine, sie wollen halt hier irgendwie ihre Vorstellung von Authentifizierung äh durchsetzen so. Und ich meine, was man diesen ganzen Government Anstrengungen 00:27:29.327 --> 00:27:35.300 Immerhin mal zugute halten, äh kann über die letzten Jahre irgendwie wollten sie das 00:27:35.294 --> 00:27:44.007 halbwegs ordentlich machen mit diesen Smartcards und sozusagen so diese ganzen Geheimnisse weg vom Rechner auf so portable 00:27:43.929 --> 00:27:52.233 Ne, austauschbare sichere Elemente bringen, wie man das von den Zahlungskarten her auch kann und das ist ja an sich 00:27:52.144 --> 00:27:59.180 'ne schöne Sache. Das Problem ist nur, dass bis zum heutigen Tag die Integration solcher Lesegeräte in die Betriebssysteme irgendwie immer noch, 00:27:59.373 --> 00:28:13.175 merkwürdig ist, dann das ist alles nicht out of the Box, das das ist nicht so wie ich, ich schließe mal einen Drucker, eine Maus an, so müsste es ja eigentlich laufen und müsste dementsprechend halt auch in, in, in, in Browser, zum Beispiel, als Authentifizierungsdevice, 00:28:13.266 --> 00:28:15.248 müsste sowas eigentlich definiert sein. 00:28:14.948 --> 00:28:26.064 Genau, in dem Brows, im Browser fehlt es und ich würde ehrlich gesagt Markus widerspricht mir, äh wenn du das anders siehst, ich würde sagen, der Fehler ist hier, 00:28:26.251 --> 00:28:38.966 Allein in der Idee einen Webmailer machen zu wollen. Das war schon immer eine scheiß Idee und ist auch in diesem Fall eine, denn wenn du eine, wenn du ohnehin eine Standalone Applikation brauchst auf deinem Client, 00:28:39.195 --> 00:28:51.116 In diesem Falle um irgendwie an den Restriktionen des Browsers vorbei doch ein Kartenleser verfügbar zu machen. Kannst du doch um Himmels Willen auch einfach eine schöne Applikation machen, 00:28:51.495 --> 00:29:03.675 in der du auch die Nachrichten liest und die dann mit Hilfe eines von was weiß ich PCS CD einfach mit einem mit dem Smart Card Laser redet, so wie es jeder macht, also ganz normal. 00:29:03.375 --> 00:29:04.535 S CD. 00:29:04.415 --> 00:29:10.904 PC, Smart Card Deamen, so Standard irgendwie unter Denux, wenn du als wenn Kartenlesegerät ansprechen möchtest, was nämlich, 00:29:11.241 --> 00:29:17.196 wenn du tatsächlich im, im Kontext einer Applikation läufst, überhaupt gar kein Problem ist. Also, 00:29:17.364 --> 00:29:22.982 keine Ahnung, kannst an jedes Linox einen Kartenleser dranstecken und damit arbeiten. 00:29:22.724 --> 00:29:26.858 Ja, Lino, so, ich denke mal, dass man hier im Wesentlichen Windows getargetet hat, oder? 00:29:27.069 --> 00:29:28.943 Da wird das ja auch eine Möglichkeit, 00:29:29.881 --> 00:29:42.434 Aber in dem Browser kriegst du das nicht so einfach rein. Weil weil es gibt zu viele Browser ähm und die sind möglichst so konzipiert, dass sie, 00:29:42.458 --> 00:29:49.074 nicht viele, dass sie möglichst keine Rechte auf dem Betriebssystem haben und äh natürlich nicht, 00:29:49.339 --> 00:30:00.311 Natürlich möchte man nicht, dass der Browser überhaupt in der Lage ist ohne Weiteres an den Computer angeschlossene Geräte erkennen oder ansprechen zu können, da, 00:30:00.636 --> 00:30:10.514 gibt es ja auch wieder Security-Überlegungen, dass man äh bemüht ist, diesen Browser, dieses Fenster zum großen, bösen Internet so weit wie möglich vom, 00:30:10.773 --> 00:30:17.773 Betriebssystem wegzukapseln und dem nicht Zugriff auf ein Kartenlesegerät einfach zu geben über ein, 00:30:17.828 --> 00:30:27.928 Betriebssystem treiber, insofern, äh, da haben sich mal welche was bei gedacht und dieses Problem mussten Sie umgehen und haben gesagt, naja gut, dann bauen wir unseren eigenen Service, 00:30:27.977 --> 00:30:39.171 der mit dem Smartcut Leser redet und eine Webseite gleichzeitig wieder äh bereitstellt, weil das ist der einzige Weg, wie wir wieder in den Kontext des Browsers kommen. Oder habe ich das jetzt falsch verstanden, Markus. 00:30:39.430 --> 00:30:42.176 Nee, das ist äh ziemlich genau so dargelegt, ja. 00:30:42.200 --> 00:30:53.617 Und das wäre der Moment gewesen, in dem man sagen müsste, Entschuldigung, hat sich vielleicht irgendjemand was dabei gedacht, dass wir mit vom Browser nicht an den an die USB-Geräte kommen? Und machen wir gerade vielleicht etwas, was man nicht tun sollte? 00:30:54.970 --> 00:30:56.814 Könnte man sich so überlegen, ja. 00:30:56.670 --> 00:30:59.855 Hast du dir wahrscheinlich auch. 00:30:59.591 --> 00:31:07.138 Also ähm die Webseite, die sie ja haben, ihren Webmailer äh der wird ja per hart DPS ausgeliefert. 00:31:08.178 --> 00:31:22.256 Und wenn man jetzt äh auf diesen lokalen Webservice zugreifen möchte, dann macht man das mit Websockets. Das heißt, das Java Skript verbindet sich mit einer Domain, die man sich geholt hat. Die heißt Bea Local Host Punkt DE, 00:31:22.840 --> 00:31:32.207 die löst nach hundertsiebenundzwanzig null und eins auf. Es ist also quasi das, was wir als DNS Attacke kennen, also eine. 00:31:31.907 --> 00:31:34.611 Jetzt müssen wir kurz mal wieder ein bisschen übersetzen. Also, 00:31:34.816 --> 00:31:46.479 Weil das ist irgendwie das ist so so ein Nerdhumor, ne? Das versteht äh die Eingeweihten sofort und fangen an zu kichern und der Rest äh weiß überhaupt nicht mehr, wo oben und unten ist. Also, wir haben quasi, 00:31:46.654 --> 00:31:54.651 müssen wir mal aufzurollen. Um diese ganze Smartcard Geschichte zu integrieren, die sich aber eigentlich in so Browsergeschichten 00:31:54.616 --> 00:32:07.324 nicht so ohne Weiteres und das auch aus gutem Grund, nicht so ohne Weiteres integrieren lässt. Ja, auch wenn es wünschenswert wäre, wenn alle Betriebssysteme heutzutage out of the Box dafür eine Integration bringen würden, was sie aber nicht. 00:32:07.024 --> 00:32:09.824 Das aber erst standedisiert werden für alle Browser und so weiter. Gibt. 00:32:09.825 --> 00:32:18.946 Ist ja auch vorstellbar, dass dauert aber alles noch, ist aber nicht da. So, anstatt dann einfach einzusehen, dass quasi Webmail keine Option ist 00:32:18.880 --> 00:32:23.309 Schafft man sich sozusagen so eine eigene Hintertür, indem man sowas Absurdes macht, wie 00:32:23.261 --> 00:32:35.928 einen eigenen Webserver auf dem eigenen Computer, sodass der Browser eigentlich gar nicht mit diesen Mailsystem redet, mit dem man jetzt eigentlich kommunizieren möchte, sondern erstmal quasi in seinen eigenen Keller eintaucht und von dort, 00:32:36.024 --> 00:32:41.444 sozusagen was rüberschickt. Das ist aber das bricht sozusagen eigentlich das, 00:32:41.456 --> 00:32:55.037 Das eigentliche Modell, weil man erwartet ja, ich gebe die Adresse von meinem Mailserver in die Webseite ein, so wie ich das mit G-Mail auch mache und dann verbinde ich mich dahin. Man möchte es aber gerne lokal haben. Da das aber sozusagen 00:32:54.953 --> 00:33:04.879 umgeleitet werden muss, gibt's diesen Trick, dass man halt eine Adresse nimmt, die auf den eigenen Rechner umleitet und das dann auch noch, 00:33:04.988 --> 00:33:08.978 zu nennen, 00:33:09.080 --> 00:33:20.815 ich weiß gar nicht, ob ich das, ob das jetzt schon wieder auch intelligent ist irgendwie, also ob das schon wieder Anerkennungspunkte bekommt für für diese Frechheit äh oder ob's nochmal doppelt bekloppt ist, da bin ich mir jetzt grade selber nicht so sicher. 00:33:20.515 --> 00:33:29.793 Was wir noch kurz erklären müssen ist, dass Markus gerade hundertsiebenundzwanzig null null eins gesagt hat und ähm ich glaube, was man da einfach wissen muss, ist das Internet hat IP-Adressen 00:33:29.703 --> 00:33:39.918 und ähm es gibt eine IP-Adresse, die wir alle haben und das ist die hundertsiebenundzwanzig null null eins und das ist immer der eigene Rechner, 00:33:40.351 --> 00:33:41.949 per Konvention. 00:33:41.703 --> 00:33:49.509 Dass man immer selbst, genau, das sind da, wenn so Nerds mit so T-Shirts rumlaufen, mit der ist No Place, Like, hundertsiebenundzwanzig null null eins, dann meint es das. 00:33:49.311 --> 00:33:55.227 Einer der seltenen Momente, wo Tim ein Nerdwitz erklärt. 00:33:54.328 --> 00:33:56.431 Ja, sofort würde ich ja niemals. 00:33:56.744 --> 00:34:07.902 Also streng genommen kann man ja eigentlich auch gar nicht per Javaskript auf lokale Ports zugreifen. Das verhindern die Browser ja in der Regel aus Sicherheitsgründen, 00:34:08.618 --> 00:34:11.171 Und deswegen hat man jetzt hier diese Domain genommen, 00:34:11.647 --> 00:34:22.625 Um dann trotzdem an den Browser vorbei äh die Sicherheitsrichtlinie zu umgehen und trotzdem auf den lokalen Port zugreifen zu können. Also eine. 00:34:22.992 --> 00:34:35.550 Das finde ich jetzt auch wirklich so geil, ne? Also man hat sich jetzt so festgebissen an diesem Modell, das was nicht passt, wird dann passend gemacht. Man umgeht sozusagen jetzt hier mit solchen Tricks sinnvolle Sicherheits, 00:34:35.869 --> 00:34:44.215 Maßnahmen und quasi vor allem auch frech finde an der Stelle ist man weiß ja nicht ob nicht mit dem nächsten Browser Update 00:34:44.126 --> 00:34:55.939 diese Nummer, diese Tür auch gleich wieder geschlossen wird. Was ist, wenn die Browser dann nächstes Mal sich wirklich die IP-Adresse anschauen und sagen, ja, nee, hier hundertsiebenundzwanzig null null eins, äh da mache ich jetzt einfach mal zu, 00:34:55.951 --> 00:35:09.844 den Laden, weil lokalen Server, das riecht so dermaßen nach Mywear, das wäre würde mich überhaupt nicht wundern, wenn Firefox einfach mal von heute auf morgen mit dem nächsten Release die Tür zumacht und das würde dann bedeuten, dass sowas wie dieses, 00:35:09.857 --> 00:35:16.045 Postfach. Von heute auf morgen nicht mehr funktioniert. Und das finde ich irgendwie auch schon wirklich gewagt. 00:35:15.883 --> 00:35:27.138 Okay, also der heißtest, wenn du jetzt, wenn du NS Looka, Bea Local House machst, dann kriegst ist die Antwort vom vom DNS-Server hundertsiebenundzwanzig null null eins. 00:35:27.169 --> 00:35:28.737 Ja, das ist korrekt. 00:35:29.061 --> 00:35:31.074 Ich probiere das mal Chaos aus hier. 00:35:33.208 --> 00:35:39.559 Ja, hundertsiebenundzwanzig null null eins gibt's das auch in V sechs? Nö. Natürlich nicht. 00:35:37.804 --> 00:35:40.905 Nein, natürlich nicht. Also vor sechs, Entschuldigung, vor. 00:35:40.605 --> 00:35:47.948 Brauchst du jetzt aber auch es wäre jetzt auch nicht so schlimm, ne? Denn so die hundertsiebenundzwanzig null eins, die wirst du in deinem Betriebssystem dauerhaft haben so, ne, dann. 00:35:47.683 --> 00:35:50.591 Ich wollte nur was zum draufhauen haben. 00:35:50.381 --> 00:35:53.350 Da geht's jetzt auch so schnell nicht aus, ja? 00:35:53.061 --> 00:35:56.985 Also bei das hätte ich dann wenigstens elegant gefunden, weißt du? Aber noch nicht mal. 00:35:55.453 --> 00:36:00.867 Also IP V4 wird knapp, aber hundertsiebenundzwanzig null null eins haben wir noch ein paar über. 00:36:00.567 --> 00:36:03.517 Was sagst du? 00:36:03.409 --> 00:36:14.766 Okay, also jetzt kommt der und ich kriege quasi von Bea Minus Brack DE, dann ein Java Skript, was auf Ressourcen von Bea Local Host äh DE zugreift. 00:36:14.899 --> 00:36:29.031 Ja genau und äh weil du ja über die Seite BA Minus Brack Punkt DE gehst und die PHte TPS ausgeliefert wird, möchtest du auch keine Mixed Content Warnung, wenn du Dinge aus dem lokalen Port nachlässt. 00:36:28.870 --> 00:36:31.783 Auch das müssen wir wieder kurz erklären, 00:36:31.808 --> 00:36:44.956 der Browser weiß, ich bin jetzt auf Bea Minus Brack DE und ich habe eine verschlüsselte, ich habe eine sichere Verbindung über HTPS. Und wenn jetzt eine Webseite, die über Hart-ETPS aufgerufen wird, 00:36:45.557 --> 00:36:52.803 etwas anderes benutzt, sagen wir einen blinden Bild eingebunden hat und dieses Bild wird über HTTP geladen, 00:36:53.284 --> 00:36:57.610 Dann sagt der Browser, wir haben zwar hier HTTPS, 00:36:57.900 --> 00:37:09.641 Aber wir liegen gerade auf einem unverschüsselten Kanal. Wir wollen wir holen hier unverschlüsselte Inhalte in unseren ja eigentlich verschlüsselten Kontext. Und das wollen wir nicht, 00:37:10.086 --> 00:37:18.216 Das heißt, der Browser äh warnt davor oder ich weiß gar nicht, neue Browser machen die das überhaupt noch? Die ignorieren det dann einfach, oder? 00:37:17.928 --> 00:37:19.261 Wann, wovor. 00:37:19.815 --> 00:37:25.619 Wenn du jetzt also erste ATPS-Seite und das HTP Inhalt drin, dann kam früher. 00:37:25.319 --> 00:37:29.597 Content Meldung, ja kann sein, dass die jetzt mittlerweile generell, also. 00:37:29.309 --> 00:37:34.380 Hast dann oben so ein gelbes Schlösschen? Oder Markus, du wirst es gesehen haben, was, was kriegt man dann? Gibt's das heute überhaupt noch. 00:37:34.549 --> 00:37:45.707 Äh ich glaube äh sowohl Chrome als auch äh Firefox äh Blocken, dass ja inzwischen vollständig diese Warnung. Kriegst du eine große Fehlermeldung, äh dass das jetzt nicht geht. 00:37:46.315 --> 00:37:58.080 Und spätestens jetzt hatten die ein größeres Problemchen, weil sie brauchten SSL auf einer nichtöffentlichen IP-Adresse und das geht halt nicht. 00:37:59.078 --> 00:38:07.604 Genau, deswegen hatten sie ja diese ähm Domain, diese Punkte I Domain, weil dafür kann man sich ja wieder ein SSL Zertifikat holen. 00:38:07.376 --> 00:38:17.886 Man. Äh wie können wir das jetzt, wie können wir das am besten erklären? Also diese hundertsiebenundzwanzig null null eins die hat eben jeder Rechner, 00:38:18.481 --> 00:38:24.406 Und aus diesem Grunde kann sich auch kann man jetzt auf in dem Kryptografischen Kontext, 00:38:24.923 --> 00:38:36.190 Erstmal kein Schlüsselpaar generieren, womit ein Rechner sich selber beweist, dass er hundertsiebenundzwanzig null null eins ist, weil hundertsiebenundzwanzig null null eins gibt es ja überall. 00:38:37.872 --> 00:38:43.112 Und die sie brauchten aber jetzt SSL auf den lokalen Host, 00:38:43.863 --> 00:38:54.000 Und deswegen haben sie sich eine erst wahrscheinlich eine öffentliche, eine öffentliche Domain äh das Ding auf eine öffentliche Domain gestellt, auf eine öffentliche IP gestellt, haben sich ein Zertifikat geholt, 00:38:54.596 --> 00:38:59.529 Und haben dann nachher den DNS-Eintrag geändert und das Zertifikat in die Kleinsoftware gekippt, oder? 00:39:00.412 --> 00:39:12.160 Ja, so könnte man das sagen oder vielleicht haben sie auch einen Mailserver eingerichtet und alles darüber gemacht. Ich meine, spätestens beim Erneuern, Zertifikat bräuchten sie ja dann wieder den passenden IP ähm, 00:39:12.959 --> 00:39:18.211 aber man kann sich ja auch also man kann sich zwar ein Zertifikat ausstellen lassen für die IP. 00:39:20.657 --> 00:39:35.373 Genau, das wäre aber nicht signiert, das wäre ein selbsterstelltes Zert und der würde sozusagen auch der Browser sagen, das ist ein komisches Zertifikat, das kenne ich nicht. Das kommt von keiner Stelle, die ich kenne, kenne und ich vertraue und würde deswegen auch wieder Fehlermeldungen anzeigen. 00:39:36.821 --> 00:39:38.323 Also von Anfang an, 00:39:38.816 --> 00:39:48.755 Schon bevor hier überhaupt irgendjemand mit irgendetwas in Verbindung ist, müssen an jeder Ecke, nur weil das Design so gewählt wurde, wie es gewählt wurde, 00:39:48.768 --> 00:39:56.585 Alle möglichen sinnvollen Sicherheitsvorkehrungen des Netzes in irgendeiner Form umgangen werden. 00:39:56.627 --> 00:40:00.220 Bis zu dem Punkt, wo du's halt einfach nicht mehr darfst, 00:40:00.545 --> 00:40:13.296 Also was äh in dem Moment, wo du dir ein, wo du ein Zertifikat ausstellst für eine Domain und dieses Zertifikat hier verloren geht, dann äh bist du ja, das geht halt nicht. Geht halt nicht. 00:40:13.404 --> 00:40:27.285 Also es ist halt sozusagen verboten äh Zertifikate die signiert worden sind und die zu echten Domains gehören äh die zu verteilen. Also man bekommt da ja einen öffentlichen und einen privaten Schlüssel, 00:40:27.814 --> 00:40:34.123 und den privaten Schlüssel muss man geheim halten, wenn der abhanden kommt oder in der dritten bekannt wird, 00:40:34.683 --> 00:40:42.933 dann haben die Zertifizierungsstellen vierundzwanzig Stunden Zeit dieses Zertifikat zu sperren und zurückzurufen. 00:40:43.864 --> 00:40:45.997 Und das das kommt dann in eine in. 00:40:44.598 --> 00:40:53.022 Man halt ganz bewusst den privaten Schlüssel in die Software eingebaut und dann zum Downloadangeboten. 00:40:53.089 --> 00:40:59.476 Das heißt, jeder einzelne ähm Nutzer der Software, 00:41:00.119 --> 00:41:03.772 Ist im Besitz des Zertifikates für Bea Local Horse DE, 00:41:04.512 --> 00:41:19.053 könnte jetzt irgendwie im lokalen Netzwerk äh ein oder was weiß ich, könnte irgendwie einen anderen DNS-Eintrag rausgeben und wäre, weil er das Zertifikat hat in der Lage, diesen diese vertrauenswürdige Komponente, 00:41:19.516 --> 00:41:24.996 zu äh zu fälschen irgendwie eine atmenden Mittelangriff oder sonstiges darauf zu machen. 00:41:26.355 --> 00:41:35.368 Und da sind die, was ist, was erlaube Kapgamini, was erlaube Secondsit, was erlaube äh Arthos? Das äh das weiß man doch. 00:41:37.159 --> 00:41:39.424 Oder wussten die das nicht? Hast du da mal nachgefragt. 00:41:40.230 --> 00:41:50.367 Ähm ich äh habe bis dann keine Info bekommen von denen. Äh ich gehe aber davon aus, dass jeder Entwickler weiß, dass man keinen privaten Schlüssel in die Software einbauen sollte. 00:41:50.217 --> 00:41:53.425 Das ist der Grund, warum er privat heißt. 00:41:55.919 --> 00:42:05.491 Zumindest bietet man ihn dann auch nicht zum Donald an, ja? Also spätestens mit dem Upload auf die Webseite sollte einem noch klar gewesen sein, was man da tut. 00:42:07.517 --> 00:42:21.145 Ja ähm gut, dann hat man sozusagen das Zertifikat verteilt und dann war ja die Verbindung zwischen der Webseite und äh das Websockets zum äh lokalen Webdienst äh dann da. 00:42:22.299 --> 00:42:32.358 Und ähm dann hatte man da eine Schnittstelle, einen Webservice quasi und äh mit dem hat dann die Webseite per Javastrieb gesprochen, 00:42:33.206 --> 00:42:42.249 das ist ja alles öffentlich dokumentiert, dass Java Skript der Webseite ist ja auch einsehbar. Es ist ja quasi Open Source, 00:42:43.084 --> 00:42:46.690 Da kann man sich anschauen, wie das funktioniert. Ähm. 00:42:48.078 --> 00:43:01.820 Man da hat man jetzt so einen lokalen Port offen und ähm den gleichen Weg kann halt auch jede andere Webseite gehen. Also ich kann auf meiner eigenen Webseite prüfen, ob ich jetzt einen Besucher habe, der das BH benutzt. 00:43:03.022 --> 00:43:06.333 Weil ich ja sehen kann, ob der Port da ist und äh was der so sagt. 00:43:07.337 --> 00:43:14.872 Ähm und gleichzeitig kann man jetzt über das JavaScript Befehle schicken. Befehle an die kleinen Software. 00:43:16.549 --> 00:43:22.996 Und einer dieser Befehle war zum Beispiel Unique Tokiloself in Leadspeak. 00:43:24.703 --> 00:43:28.344 Also mit Buchstaben äh in mit Zahlen ausgedrückt. 00:43:28.579 --> 00:43:33.614 Genau und dieser Befehl äh sorgt dafür, dass sich die Kleinanwendung beendet. 00:43:33.849 --> 00:43:46.173 Oh nein, das heißt, jeder kann sich irgendwie in in seine auf jeder Webseite kann so ein kleines Java-Skript schreiben, was die äh was die äh was jedem Anwalt erstmal seinen Bea kaputt macht. 00:43:46.588 --> 00:43:49.082 Ja genau. Oder was zumindest die Anwendung beendet, ja? 00:43:52.327 --> 00:43:54.610 Mann, Mann, Mann, Mann, Mann. 00:43:59.159 --> 00:44:07.974 Natürlich auch sagen, okay, du hast äh deine normale Webseite und du hast dann eine Webseite für Anwälte, ja, wo du sagst, okay, hallo Anwalt. Schön, dass du deinen Bär offen hast. 00:44:09.159 --> 00:44:15.678 Äh das kann man ja auch, was ich nicht bei Abmahnanwälten auf Webseiten machen, um dann ihn anderen Conten. 00:44:17.217 --> 00:44:18.695 Ein anderes Impressum. 00:44:18.791 --> 00:44:30.334 Ja, das sind also einfach durch die Existenz, dass man ein kleines Java Skript schreibt, was eine Verbindung dorthin aufbaut und sagt, jo, erreiche ich und dann weiß man, mein Besucher ist ein Anwalt. 00:44:31.680 --> 00:44:36.746 Also ne, auch äh Datenweitergabe an dieser Stelle. Ähm. 00:44:39.138 --> 00:44:47.141 Wir hatten ja noch andere schöne Dinge gefunden. Also die äh BA Anwendung ist ja äh zweitausendvierzehn beauftragt worden, 00:44:48.055 --> 00:44:55.236 Und diese kleinen Software ist dann geschrieben worden und glaube ich dann vor ein oder zwei Jahren ist sie dann online gegangen, 00:44:56.119 --> 00:45:02.410 ähm und was man da eingebaut hat, das waren halt so uralt Pakete, 00:45:03.030 --> 00:45:07.837 Das war eine Jamai-Anwendung und die hat verschiedene äh Librarys benutzt, 00:45:08.504 --> 00:45:16.309 Und da gab's halt auch Librarys, die waren älter. Sagen wir aus zweitausendelf oder aus zweitausenddreizehn. 00:45:17.277 --> 00:45:26.194 Man hat dort nicht die neusten Versionen eingefügt, äh, die sagen Sicherheitsupdates gesehen haben, sondern sie haben die alten Dinge eingefügt, 00:45:26.910 --> 00:45:37.017 und äh bei diesen alten Software, bei diesen alten Paketen gibt's halt Backtracker, äh die man zum Teil schon gelöscht, weil die schon so alt waren, 00:45:37.852 --> 00:45:50.122 aber andere, wo es die noch gab, da waren halt zahlreiche Sicherheitslücken dokumentiert, ja? Also jeder Buckfix, der da reingegangen ist, äh, zeigt ja eigentlich auf 'ne Lücke, die man hätte ausnutzen können. 00:45:51.691 --> 00:45:55.326 Das heißt, da musstest du nur so ein bisschen googeln. 00:45:55.970 --> 00:46:07.410 Nur ein bisschen googeln und dann hat man das gemacht und gegoogelt und dann gab es halt zweitausendsechzehn, zweitausendsiebzehn einen etwas größeren äh Javaback. 00:46:08.522 --> 00:46:16.304 Äh da geht's um die diese Realisierung äh von Java Objekten. Ähm. 00:46:16.004 --> 00:46:18.329 Diese Realisierung nochmal erklären. 00:46:18.119 --> 00:46:31.946 Genau, also man kann ja sozusagen, wenn man ein Java Speicherobjekt hat, dann kann man das in einem String umwandeln, also in eine Zeichenkette, um das dann abzuspeichern, in eine Datei zum Beispiel, 00:46:32.595 --> 00:46:35.076 Kann man das verschicken übers Internet, 00:46:35.942 --> 00:46:42.792 Und ein anderer kann dann aus dieser Zeichenkette wieder ein solches Javo-Objekt erstellen, 00:46:43.591 --> 00:46:54.041 und äh das ist halt eine häufige Technik, die dann benutzt wird, um äh Daten zwischen äh Webdiensten und Webservices auszutauschen. 00:46:55.369 --> 00:46:59.082 Und da gab's halt einen einen größeren Back, der da gefunden. 00:47:00.182 --> 00:47:06.984 Worden ist und dann gab es halt Updates in äh Dutzenden, hunderten von von Paketen, 00:47:07.898 --> 00:47:16.322 und hier hat man halt das Update nicht gemacht. Und das hieß, dass man mit einer präparierten Nachricht, 00:47:16.822 --> 00:47:28.160 ähm Code ausfüllen konnte auf dem kleinen Rechner. Also auf dem AnwaltspC. Das heißt, wenn der Anwalt eine Webseite angesurft hat, 00:47:28.900 --> 00:47:34.253 Und die Webseite hatte ein Java Skript, was äh den Anwalt angegriffen hat, 00:47:35.071 --> 00:47:39.440 dann konnte man auf dem Kleinrechner äh Dinge ausführen. 00:47:40.618 --> 00:47:50.656 Aufmachen oder den Rechner, Taschenrechner oder Dateien löschen oder einen Trojaner installieren. Da ist wir sagen mal die Tür offen, 00:47:51.322 --> 00:47:52.713 da ging halt viel. 00:47:54.246 --> 00:48:05.561 Oh je. Das heißt, du hast jetzt Code Execution auf jedem Anwaltsrechner. What coot possible go rong. Wunderschön. 00:48:05.766 --> 00:48:17.164 Ja. Es war natürlich dann immer die Frage, ja ist das BA unsicher, äh konnten die Nachrichten mitgelesen werden und et cetera. Es wurde immer gesagt, dass Bea ist ja sicher, die Nachrichten äh konnten ja nicht mitgelesen werden, 00:48:17.820 --> 00:48:25.913 Aber die Frage war ja immer, ist der Anweis PC sicher, auf dem das BH läuft? Ja, also durch die Art und Weise der Fragen, 00:48:26.846 --> 00:48:31.784 konnte man da immer schöne Dementis hören, anschließend. 00:48:33.353 --> 00:48:38.310 Das war sozusagen ein nicht so der der größere Back in der kleinen Software. 00:48:38.629 --> 00:48:48.153 Den dann nämlich niemand äh den dann nämlich niemand ernst nimmt, ne? Oder den der dann wieder zu schwer zu erklären war, ne? Das wäre eine, weil jetzt hättest du nicht nur du kannst die 00:48:47.979 --> 00:48:57.653 Du kannst die App abknallen und du kannst Anwälte erkennen, sondern du kannst einfach alle Anwälte auf einmal on, solange sie eine Seite von dir besuchen. 00:48:58.868 --> 00:49:10.681 Zum Beispiel die auf der du die Ergebnisse deiner Forschung zum BA veröffentlichst, kleines hat doch noch keinem geschadet. 00:49:10.381 --> 00:49:22.237 Ja. Ich denke, es wäre auch möglich, dass einfach per per Message zu machen. Also äh man hat ja das Verzeichnis, dass äh oder ein Verzeichnisdienst, der alle Adressen von allen Anwälten kennt, 00:49:23.006 --> 00:49:31.034 man hätte auch einfach jedem Anwalt eine Nachricht schicken können. Ähm, das konnte ich aber nicht mehr testen, weil der Dienst ja offline war. 00:49:30.836 --> 00:49:40.720 Aber das ist doch schön, ne? Äh bessere, bessere Prozessgewinnaussichten dank Java Deserialisierung. 00:49:40.841 --> 00:49:50.461 Ja genau, also äh Anwälte und Kanzleien sind ja durchaus auch, ich sage mal, Ziel von von Angriffen. Da gibt's halt echt was zu holen, ja? Es äh ist also schon ein valides Ziel, 00:49:51.092 --> 00:50:00.575 da Dinge zu machen. Das heißt, das Tradmodel, was die halt fahren müssen, ist halt schon ein bisschen höher als sozusagen der Standardrechner von zu Hause. 00:50:00.310 --> 00:50:10.742 Klar, deswegen sind ja überhaupt auf die Idee gekommen, sich eine eigene sichere Software äh zu versuchen zu bauen. Ne, dass weil es sich eben hier um äh, 00:50:11.025 --> 00:50:19.227 Per Definition hochsensible ähm Inhalte und Hochsensible Kommunikationspartner handelt. 00:50:19.756 --> 00:50:26.491 Genau. Ansonsten äh die kleinen Software äh läuft auch auf ganz sicheren, modernen Betriebssystemen, 00:50:27.201 --> 00:50:34.093 Zum Beispiel ist laut Dokumentation immer noch Linux, Open Suse dreizehn Punkt zwei unterstützt. 00:50:35.458 --> 00:50:45.288 Dreizehn Punkt zwei ist für die, die es nicht kennen, das ist ein Vinox-System. Das ist seit seit Januar zweitausendsiebzehn. 00:50:46.274 --> 00:50:55.570 Also außerhalb des Supportes mit Sicherheitsupdates und eigentlich ist ja vorgeschrieben, dass Anwälte ihre Systeme nach dem Stand der Technik updaten, 00:50:56.183 --> 00:51:03.591 und äh eine Firewall benutzen und ein Antivierenprogramm und äh immer alle Sicherheitsupdates einspielen sollen, 00:51:04.373 --> 00:51:14.131 Also schon oft haben den Papier können Anwälte gar nicht dieses Bär sicher betreiben. Ja, zumindest nicht, wenn sie ein freies Betriebssystem nutzen möchten. 00:51:13.831 --> 00:51:19.227 Das heißt, ach so, es wird nur dieses alte Suse unterstützt oder noch. 00:51:19.870 --> 00:51:28.625 Es wird nur dieses Open Suse unterstützt. Es wird auch ein US unterstützt, das ist die Version zehn Punkt elf. 00:51:30.152 --> 00:51:35.308 Da endet ja Extened Support im Herbst zweitausendachtzehn. 00:51:36.522 --> 00:51:50.054 Also zumindest die Dokumentation und die Unterstützung von Softwarevarianten, die halt supported werden. Für die, für die es ja auch Support gibt. Ähm die sind halt alle veraltet. 00:51:50.204 --> 00:52:02.354 Und an der Stelle merkt man mal wieder eine weitere Auswirkung dieser komplexen Softwarekonstellation, die man sich hier gewählt hat. Man schafft sich auf einmal so viele Abhängigkeiten, dass sozusagen, ich meine, 00:52:02.415 --> 00:52:08.508 eine Webmail Anwendung lebt ja nun wirklich primär davon, dass man da eigentlich ein, 00:52:08.652 --> 00:52:21.740 Betriebssystem oder Browserhersteller kümmert sich um Browser, man selber kümmert sich um seinen Server, davon gibt's äh im Wesentlichen nur einen, den hat man vollständig unter Kontrolle. Beides kann permanent durchgepatcht und aktualisiert werden und ist eigentlich vollkommen egal 00:52:21.734 --> 00:52:29.569 auf welchem Betriebssystem das läuft, aber durch diese zusätzliche Komponente auf dem kleinen Rechner schafft man sich alle möglichen Dependence, 00:52:29.606 --> 00:52:35.176 womit dann eben diese ganze Kompatibilität schnell aus dem Ruder läuft und die man auch alle gar nicht testen kann. 00:52:35.350 --> 00:52:36.798 Oh Man. 00:52:36.787 --> 00:52:45.199 Was ist denn, wenn wenn diese, wenn diese Rechner von den Anwälten aus irgendwelchen anderen Gründen eine andere Version fahren müssen, weil die da einfach ihre, 00:52:45.482 --> 00:52:58.954 Eigenentwicklung, Software drauf haben, die vielleicht immer nur das allerneuste erfordert. Äh ja, was ja sinnvoll wäre, wahrscheinlich auch nicht mal der Fall. Schon geht es irgendwie alles nicht zusammen. Also auch das ist so ein No-Go. 00:52:58.654 --> 00:53:11.056 Es wäre der eine der eine Grund, der eine vorsichtige Grund, der für eine Webapp spricht, ist, dass du minimalste äh Dependenz, die es hast bei auf dem Kleinsystem 00:53:11.002 --> 00:53:18.856 Ja, das ist das eine, das eine Argument eine Webapp zu bauen. Äh andere gibt es in meinen Augen auch ehrlich gesagt nicht, aber ähm 00:53:18.778 --> 00:53:21.957 Dass wir das eine Argument gewesen, das haben sie dann auch noch kaputt gemacht. 00:53:22.113 --> 00:53:32.881 Ja ähm was natürlich auch schön ist, wenn man so einen Dienst betreibt auf einem lokalen Port ähm viele Kanzleien nutzen äh Terminalserver. 00:53:34.246 --> 00:53:36.589 Das funktioniert damit natürlich auch nicht. 00:53:37.629 --> 00:53:51.407 Wenn jemand auf einem Terminal ist, aber ein Kartenlesegerät angeschlossen hat, an dem Server und dort seine Karte eingelegt hat, dann können alle anderen Terminal Server-Benutzer in das Postfach von dieser Person reinschauen. 00:53:51.419 --> 00:53:54.886 Könnte es quasi nur einen Anwalt pro Terminalserver haben. 00:53:55.596 --> 00:54:04.777 Genau, weil du das halt nicht mehr äh zu sagen Nutzer zentriert machen kannst, sondern weil ja das Kartenlease-Gerät und der eine Port. 00:54:05.931 --> 00:54:07.673 Ein Nutzer funktioniert. 00:54:06.456 --> 00:54:09.224 Läutern, was das für. 00:54:08.924 --> 00:54:21.921 Ist ein ein Server, der sozusagen eine Desktop-Umgebung anbietet, damit unterschiedliche Leute von verschiedenen Orten darauf zugreifen können und dann auf diesem Rechner arbeiten können, zum Beispiel von zu Hause oder, 00:54:22.697 --> 00:54:30.526 mit verschiedenen Betriebssystemen hatten, haben sie dann dort auf dem Windows ein ein Hundostestop. 00:54:30.731 --> 00:54:37.539 Also du meldest dich in dein der Rechner, der wirklich deine Aufgaben rechnet, steht woanders im Regal 00:54:37.407 --> 00:54:42.213 und du, was dein Rechner, der vor dir steht, macht, ist eigentlich 00:54:42.088 --> 00:54:52.014 Videostream darstellen von dessen Bildschirm und zu sagen, wo du jetzt gerade hingeklickt hast und welche Tasten du gedruckt hast. Und alles andere ist äh steht woanders, 00:54:52.586 --> 00:55:02.873 also schwierig, müsste es halt erstmal rausfinden, wo der Terminal Server steht, bevor du dann dein Smartcard-Leser da dranstecken kannst. Und weil das ist so am Ziel vorbei. 00:55:04.027 --> 00:55:07.584 Schön. Das ist in in sich wirklich eine ein Kunstwerk. 00:55:07.729 --> 00:55:18.670 Nachdem wir halt gemerkt haben, dass der der Client jetzt halt nicht so schön ist, hatten wir uns da noch andere Dinge angeschaut, äh zum Beispiel die Art und Weise, wie Nachrichten übertragen werden, 00:55:19.530 --> 00:55:24.998 da gab's ganz viel Werbung, dass das ja sichere Ende zu Ende Verschlüsselung sei. 00:55:26.164 --> 00:55:31.554 Dass ja das ganz toll mit Smart Cut abgesichert sei und äh. 00:55:32.720 --> 00:55:39.065 Dann gab's halt auch äh haben sie da eine Zusatzfunktion eingebaut. Und zwar die Umschlüsselung, 00:55:39.919 --> 00:55:51.240 Ist ja so, dass wenn ich jetzt an einen Anwalt schicke, eine Nachricht schicken möchte, dann äh kann der einmal einstellen, wer von seinen Mitarbeitern die Nachricht lesen können soll, 00:55:51.895 --> 00:55:58.763 Das heißt, ihr trägt ein äh Mitarbeiter A, Mitarbeiter B, Mitarbeiter C, die sollen auch die Nachrichten lesen können. 00:56:00.176 --> 00:56:05.235 Und dafür hat man dann ein Konstrukt gebaut, das nennt sich Umschlüsselung. 00:56:06.191 --> 00:56:13.990 Und hat ein, ein Server genommen äh auf dem man die privaten Schlüsse gespeichert hat für die Postfächer. 00:56:15.649 --> 00:56:30.137 Und wenn ich jetzt eine Nachricht abschicke, dann verschlüssel ich das, wie man das halt kennt äh von GPG auch. Äh zuerst semetrisch und später mit einem asymmetrischen Schlüssel den Postfachschlüssel und schicke das an den Server. 00:56:31.555 --> 00:56:40.911 Und der Server entschlüsselt dann den AES-Schlüssel, also mit dem privaten Postfachschlüssel, dem ERSA Kie. 00:56:42.059 --> 00:56:51.450 Und hat dann die Nachricht da liegen. Die ist ja noch verschlüsselt und hat dann den Schlüssel für die Nachricht da liegen, den AESKI. 00:56:52.521 --> 00:57:01.522 Und verschlüsselt das Ganze dann mit den Empfängerkies, also mit den Schüsseln von Mitarbeiter A, B und C und mit dem Schlüssel von dem Anwalt. 00:57:01.390 --> 00:57:10.680 Und das Problem, was sie, also sie wollten damit wahrscheinlich zwei Probleme lösen, ähm nämlich erstens, 00:57:11.383 --> 00:57:19.140 Desto multiple Empfänger trotz dass du multiple Empfänger haben kannst, obwohl nur an einem, 00:57:19.321 --> 00:57:21.754 an eine Identität verschlüsselt wurde. 00:57:23.023 --> 00:57:36.152 Zweitens, dass jeder einzelne dieser Empfänger auch einfach mal zufällig nochmal seinen Key verlieren kann, weil dann kriegt er, macht er einfach einen neuen, registriert den und das HSM umschlüsselt, 00:57:36.152 --> 00:57:44.823 dann auf diesen neuen Schlüssel um. Das war wahrscheinlich das andere Problem, was sie lösen wollten. Wenn ich das jetzt mal so vorsichtig interpretieren darf. 00:57:45.172 --> 00:57:46.920 Das könnte man so sehen, ja. 00:57:47.450 --> 00:57:53.597 Damit haben sie aber natürlich die gesamte Idee mit den Smart Cards jetzt wirklich wirklich ad absurdum geführt, 00:57:54.354 --> 00:58:06.402 und deine befreundeten Anwälte, die gesagt haben, diese Smart Cuts sind Scheiße, die brauchen wir nicht hatten, auch vielleicht, obwohl sie es nicht wussten auf tiefer philosophischer Ebene recht. 00:58:07.730 --> 00:58:09.388 Oder täusche ich mich da. 00:58:09.983 --> 00:58:11.329 Ja also. 00:58:12.724 --> 00:58:27.361 Sie bräuchten eine streng genommen, auch keine keine Smart Cards. Äh sie können auch sich wieder äh Software generieren lassen und die dann dafür freigeben. Also äh da kann man auch von den Smart Cards weg, 00:58:28.227 --> 00:58:31.346 Ähm das ist auch vorgesehen. 00:58:31.676 --> 00:58:32.974 Ah 00:58:32.674 --> 00:58:46.206 Aber ja äh sozusagen ähm und ähm man hat gesagt, das ist ja Ende zu Ende, weil die eigentliche Nachricht, die ja per AIS verschlüsselt ist, die wird ja nicht aufgemacht zwischen Bröden. 00:58:46.915 --> 00:58:56.788 Weil sie sich nur den den Schlüssel äh weil sie nur den AES-Kie entschlüsseln und nicht die Nachricht. Ja. 00:58:56.524 --> 00:58:58.434 Das war also ihr Ende zu Ende. 00:58:59.637 --> 00:59:12.748 Wobei natürlich bei Ende zu Ende ist ja das Sicherheitsheizversprechen, dass ich den Postboten nicht vertrauen muss. Und genau das ist jetzt hier nicht der Fall. Hier muss ich ja darauf vertrauen, dass äh der Postbote, 00:59:13.632 --> 00:59:21.245 den Server ordentlich eingerichtet hat und dass der Server fehlerfrei funktioniert und dass er selber auch nicht angegriffen worden ist. 00:59:22.363 --> 00:59:29.027 Und äh das macht finde ich, ist halt kein, kein Ende zu Ende, sondern das ist halt was anderes. 00:59:28.877 --> 00:59:30.619 Ja, da ist es. 00:59:30.703 --> 00:59:39.326 Umschlüsselung, das ist auch ein geiles Wort, oder? Ich meine, das ist, das ist jetzt kein Fachbegriff aus der Kryptografie, oder? 00:59:39.531 --> 00:59:45.990 Na ja, das ist deshalb kein Fachbegriff aus der Kryptografie, weil die Kryptographie sich mit Verschlüsselung auseinanderse. 00:59:45.786 --> 00:59:59.582 Na ja, das wollte ich nur gerade mal betonen, dass das jetzt nicht so oh, wir haben da ein ein gängiges Konzept aus äh der kryptographischen Landschaft genommen, die Umschlüsselung, das ist was ganz Tolles, sondern das ist so ein Wort, wo so jeder Kryptologe erstmal denkt so, hä. 01:00:00.016 --> 01:00:06.986 Ja, nee, das ist äh ja, ist halt, also also man findet sehr häufig äh, 01:00:07.335 --> 01:00:21.269 Geräte, die das tun, was man Umschlüsselungen nennt äh der Kryptograph nennt das eigentlich eher äh Manoda Machine in the Mittel, ne? MITM, so. Das ist genau und das ist das, wovor, wogegen man sich immer wehren möchte. 01:00:21.018 --> 01:00:23.515 Genau, also es ist kein Feature, sondern es ist eigentlich ein. 01:00:23.499 --> 01:00:24.971 Das ist das Angriffsszenario. 01:00:26.047 --> 01:00:34.561 Genau, also gut so ein HSM ist ja auch eher verbreitet quasi äh für diverse Dienstleistungen auch, dass äh die E-Mail, 01:00:35.067 --> 01:00:42.583 sowas äh war also kein völlig neues Konzept, aber es ist halt wirklich jetzt kein Ende zu Ende Konzept. 01:00:43.035 --> 01:00:55.232 Wir haben aber genau daran am Ende D-Mail. Ich weiß nicht, dass du das auch zweitausenddreizehn oder so gewesen sein, als die, als die mir das Thema war, äh nicht nur E-Government, äh nicht nur E-Justiz, äh sondern auch E-Government und 01:00:55.101 --> 01:01:02.227 zweitausendelf waren, glaube ich, Stellungnahmen des CCC. Dann wird's genau auf dieses Thema gestürzt und haben gesagt, baut es doch bitte nicht so, 01:01:02.438 --> 01:01:18.440 nicht so, dass ihr eine zentrale Instanz habt, die in der Lage ist zu entschlüssen. Ihr wollt doch hier was Besseres bauen als als E-Mail und spätestens in dem Moment, äh, wo du dir für deine hochsensible Kommunikation dieses und sei es auch ein Hardware-Security-Modul 01:01:18.260 --> 01:01:20.555 irgendwo hinstellst, wo alle 01:01:20.507 --> 01:01:29.677 Sicherheit zusammenläuft, hast du dir halt ein Problem geschaffen und dafür wurde das alles nicht erfunden. Also es zeugt von einem Profunden, 01:01:29.845 --> 01:01:34.838 nicht verstehen der Aufgabenstellung. 01:01:34.538 --> 01:01:38.882 Einer Ignoranz sogar noch. Wenn man's noch ein bisschen schlimmer machen möchte. 01:01:39.286 --> 01:01:53.364 Ja und äh gut äh dann denkt man sich ja okay, wenn sie sich jetzt mit viel Aufwand so eine kleine Software geschrieben haben, womit äh viel Aufwand, so eine Serverkomponente und mit viel Aufwand und Webmailer, 01:01:54.038 --> 01:02:02.462 werden Sie sicher auch mal die Webseite angeschaut haben. Also da wo der Webmänner drauf liegt und da gibt's halt genau ein Parameter, 01:02:03.190 --> 01:02:06.644 der ist halt auch noch für Crossheit Skripting anfällig gewesen. 01:02:08.622 --> 01:02:20.255 Das heißt für mich, das haben sie sich nicht angeschaut. Das haben sie nicht geprüft oder es war ihnen einfach schlicht egal. Ja, aber äh dass es ihnen nicht aufgefallen ist, wenn man sich das angeschaut hätte, glaube ich ihn auch nicht. 01:02:20.388 --> 01:02:28.421 Also Crossheits äh äh Skripting ist so eine gängige Attackenart im äh Web, wo man eben von anderen 01:02:28.248 --> 01:02:41.569 Domains, half halt auch anderen Browserfenstern äh auf äh andere Systeme zugreifen kann, also quer reingrätscht, sage ich mal, so ganz salopp und man kann solche Angriffe verhindern, indem man einfach gängige 01:02:41.449 --> 01:02:51.148 Verteidigungsstrategien auf dem Server implementiert, insbesondere eben für diese Parameter, die oben so übergeben werden und das macht man halt oder man macht es halt nicht und äh 01:02:51.034 --> 01:02:56.297 nichts davon weiß, macht's halt meistens nicht und schon ist das Tor wieder offen. 01:02:56.300 --> 01:03:00.287 Schon gibt's auf einmal Java Skripte, die man nicht haben wollte in der eigenen Seite. 01:03:00.618 --> 01:03:11.975 Genau, also der der Impact war begrenzt an der Stelle, ja? Also das gebe ich auch zu, die man konnte bis zu zehn Zeichen einfügen. Das reicht nicht für alles, aber für ein bisschen was. 01:03:11.837 --> 01:03:15.346 Es reicht doch, um ein weiteres JavaSkrip nachzuladen, oder? 01:03:15.437 --> 01:03:19.901 Ja, nicht ganz. Nee, dafür viel, da fehlt mindestens ein Zeichen. Also du musst es ja noch so ein bisschen. 01:03:19.859 --> 01:03:22.142 Kürzeste Top-Level Domain, die du kriegen konntest. 01:03:22.341 --> 01:03:32.406 Ich hätte ja gerne die, die von Köln gehabt, die haben K Punkt DE, aber ähm ich konnte zeigen, dass man mit dem Befehl Open Fenster aufmachen konnte, 01:03:33.163 --> 01:03:42.591 Ähm ich glaube man hat so so sechs Zeichen äh Netto äh für Befehle und für Klammer auf Klammer zu. Gehen hier auch nochmal welche w, 01:03:43.072 --> 01:03:47.885 Das heißt, äh, wenn man dort sozusagen kurze Jahrescape-Funktionen gehabt hätte, 01:03:48.234 --> 01:03:56.033 äh mit ein oder zwei Zeichen, dann geht da was, aber in dem Umfeld äh waren sozusagen vier Zeichen, dass das Minimum, 01:03:56.665 --> 01:04:04.524 Ähm man hätte aber auch einfach ein paar variablen umbiegen können, ja, irgendwie sowas wie A gleich eins oder sowas ähm, 01:04:05.041 --> 01:04:10.888 Aber zu sagen, es zeigt einfach nur, dass sozusagen eine Lücke da war und dass man da nicht gepatcht hat. 01:04:12.367 --> 01:04:27.190 Ich meine, sie hatten ja auch irgendwie auch eine eine Webwebfeier wohl dazwischen, die auch irgendwie noch so Begriffe rausgefiltert hat, also wenn man da die Back eingetragen hat, äh den Parameter dann wurde man umgeleitet. 01:04:28.453 --> 01:04:35.363 Und auch da hat der der Hanno Böck von Olem noch gesehen, dass sozusagen, 01:04:36.132 --> 01:04:39.894 Webfeier wohl äh nicht die neuesten Updates hatte. 01:04:41.895 --> 01:04:50.416 Ja, aber prinzipiell, ne? Also da ist halt eine Lücke und die war leicht zu finden und die war halt noch offen. 01:04:51.360 --> 01:05:01.532 Ähm ich habe das Ganze ja dann im äh Dezember gemeldet. Äh ich hatte am zwanzigsten zwölften quasi kurz vor Weihnachten, 01:05:02.086 --> 01:05:07.752 äh halt gesammelt, was ich so hatte und äh habe dann gedacht, okay, 01:05:08.551 --> 01:05:16.543 melden, würde ich jetzt gerne tun, aber das ist ja eine Kammer von Anwälten. Ist ja auch vielleicht eventuell nicht ganz so clever, das zu tun, 01:05:17.277 --> 01:05:29.102 und hab mich dann erstmal ans BSI gewandt, das BSI hat ein Zert, ein Typ Computer image Serie Spons Team und die kümmern sich um die Vermittlung von von Sicherheitslücken. 01:05:30.160 --> 01:05:34.841 Ja und äh haben dann sozusagen auch die Kommunikation übernommen äh mit der Brack. 01:05:36.307 --> 01:05:45.561 Dass ich halt am zwanzigsten äh gesprochen hab mit dem BSI. Ähm anschließend mit Herr Brack. 01:05:46.709 --> 01:05:54.845 Ähm und dann mit der T-Systems, also Telesec, weil von denen kam das Zertifikat oder die haben's zumindest unterschrieben. 01:05:56.810 --> 01:06:05.896 Und dann habe ich noch einen Backreport aufgemacht äh bei äh Delta Spike. Das ist ein äh Projekt, das läuft bei der Apachi Foundation. 01:06:06.966 --> 01:06:08.329 Was ist das für ein Projekt. 01:06:08.570 --> 01:06:12.926 Das ist so ein so ein Webserver, Framework. Äh. 01:06:12.819 --> 01:06:15.150 Was hast du da für eine Information hinge. 01:06:14.200 --> 01:06:19.086 Äh äh das war dieser XS-Bug auf der Webseite, 01:06:19.825 --> 01:06:30.557 hatten da sozusagen das Framework dafür. Die hatten damals diese Begrenzung eingefügt äh äh XS auf zehn Zeichen zu begrenzen, weil das reicht ja. 01:06:33.225 --> 01:06:39.366 Ähm stellte sich raus, hat nicht gereicht. Ähm ja, ein T. 01:06:38.459 --> 01:06:41.680 Also hat nicht gereicht, um sich dagegen zu wehren sozusagen. 01:06:41.482 --> 01:06:43.975 Hat sich, genau, hat nicht gereicht und äh, 01:06:44.757 --> 01:06:54.749 lässt halt noch das Thema angreifbar. Ähm einen Tag später am einundzwanzigsten zwölften hat äh das Opens Horst Projekt Apachide gepatch. 01:06:56.378 --> 01:07:10.697 Beziehungsweise ich glaube drei Stunden nach Meldung gab's den ersten Code Co mit dazu und ein Tag später war dann auch das Release dann dafür da oder so. Ähm am zweiundzwanzigsten äh. 01:07:11.701 --> 01:07:14.886 Hat äh die Systems. Das äh Zert gesperrt, 01:07:15.577 --> 01:07:22.511 ähm und mit dem gesperrten Zitrikat hieß es dann, äh dass auch der Login nicht mehr möglich war. 01:07:22.313 --> 01:07:23.863 Klar, weil der 01:07:23.743 --> 01:07:33.682 Der Browser dann jetzt äh über die Listen gesehen hat A huch äh dieses Zertifikat gilt als kompromitiert, 01:07:34.229 --> 01:07:45.796 und da ist jetzt jemand, der präsentiert mir dieses Zertifikat, der bin zwar eigentlich, ich selber, aber ähm und aus diesem Grunde werde ich jetzt die Verbindung ablehnen und äh verweigern. 01:07:47.750 --> 01:07:50.994 Damit hatte TT nicht die System, sondern. 01:07:51.223 --> 01:07:52.400 Die Teleseck. 01:07:52.244 --> 01:08:04.262 Der Telesec hatte also jetzt die also die Zertifikat Asphority oder die Zertifikatshälter von der Telekom, hatten also jetzt gerade den Rechtsanwälten ihre Kommunikationspostfach kaputt geschossen. 01:08:05.116 --> 01:08:08.138 Ja gut, sie waren ja nicht nicht Schuld in der Stelle, ja? Also. 01:08:06.792 --> 01:08:11.257 Nee, nee, aber jetzt haben sie es gemerkt. 01:08:10.957 --> 01:08:19.856 Genau, also es war vorher wurde es ihnen gesagt, einen Tag vorher quasi und ähm dann wurde es abgeschaltet. Ähm dann gab's. 01:08:19.606 --> 01:08:22.932 Richtig, also total äh das müssen die tun. 01:08:21.539 --> 01:08:23.858 Total richtig, alles nach Vorschrift quasi, 01:08:24.471 --> 01:08:36.777 äh ich hatte halt ein bisschen länger gebraucht, äh um die äh richtige Stelle zu finden. Also andere CAs haben ja auf ihre haben auf ihrer Homepage einen Link, sowas wie ähm Report, ein, 01:08:37.162 --> 01:08:43.255 oder so, wenn's halt bekannt geworden ist. Bei der Sec habe ich echt lange suchen müssen, bis ich die passende Stelle gefunden habe, 01:08:44.127 --> 01:08:52.028 und auch die Hotline konnten erstmal nicht weiterhelfen, ja? Also, da ruft man an und sagt, ich habe ja Herbst und Privatekey von einem Zertifikat und dann. 01:08:51.944 --> 01:08:54.949 Ist doch schön. 01:08:52.606 --> 01:09:05.140 Sagen sie ja, wir leiten sie mal weiter. Ich habe glaube ich äh sechs Mal angerufen und ich glaube eine Kostenpflichtige Hotline angerufen, bis wir irgendwie versagen konnte, äh an Venebiga wenden soll. 01:09:06.360 --> 01:09:19.898 Das war so ein bisschen chaotisch, aber ja ähm dann gab es am zweiundzwanzigsten zwölften den Sondernewsletter der Bundesrechtsanwaltskammer. Das sozusagen die erste Veröffentlichung, wo es hieß, es geht nicht mehr, 01:09:20.788 --> 01:09:28.221 Die Formulierung war das Zertifikat, was sie hatten, das sei abgelaufen. Ähm. 01:09:29.147 --> 01:09:35.984 Ganz vorsichtig. Nee, das nennt es einfach falsch. Jetzt eine Lüge. Es ist nicht abgelaufen, ne. 01:09:36.123 --> 01:09:38.647 Genau und äh dann gab's ein Update. 01:09:40.089 --> 01:09:46.200 Und dieses Update ist immer so eine ganz eigene Geschichte. Es gab ein Update für die kleinen Software, 01:09:47.114 --> 01:09:56.037 und die kleinen Software hat ein Outdoor-Updater, die äh zieht das dann halt rein und dann gab es eine Anleitung. 01:09:57.666 --> 01:10:00.917 Über zweiundzwanzig Seiten lang mit Bildern. 01:10:02.017 --> 01:10:10.255 Dort wurden die Anwälte oder die Anwaltschaft wurde aufgefordert ein neues Zertifikat zu importieren, 01:10:10.928 --> 01:10:22.880 und zwar eine CA sollte importiert werden in den Trust Store äh des Browsers. Also da gab's dann die Anleitung für Firefox, für Adge, für Chrome, 01:10:23.589 --> 01:10:27.867 damit der Browser das neue Zertifikat akzeptiert. 01:10:27.993 --> 01:10:42.493 Darf ich das nochmal kurz auf Deutsch übersetzen? Also CA importieren mit CA, meinst du, Satifikit, Austauity, das ist sozusagen jeder Browser, kommt ja heutzutage, wenn man ihn installiert mit einer Liste von ihm bekannten Autoritäten quasi, 01:10:42.722 --> 01:10:52.552 Schlüssel, die einen ja, ein Unternehmen, eine Organisation identifizieren, der zugestanden wird, dass sie anderen, 01:10:53.016 --> 01:11:01.025 bescheinigen darf, dass die echt sind, ja? Also was es da alles gibt, verries sein, et cetera, die Liste ist ja nun mal sehr lang, 01:11:01.176 --> 01:11:12.436 Und das ist auch schon an sich ein sehr fragwürdiges Modell in unserem Internet, weil da sind dann halt auch irgendwelche chinesischen CAs, wo keiner weiß, was die machen und theoretisch kann ja auch jede von denen jedes Zertifikat, 01:11:12.515 --> 01:11:18.631 jeder Webseite auf dieser Webseite als okay ähm markieren, 01:11:18.920 --> 01:11:25.614 Wenn man aber jetzt quasi manuell in diese Liste noch irgendein anderer CA, 01:11:25.945 --> 01:11:31.467 hinzufügt, dann kann die ja theoretisch auch allen was sagen. Das ist so ein bisschen der Traum der Mywear 01:11:31.335 --> 01:11:41.190 Betreiber da über diesen Zugang ähm da aber etwas einzuschleusen, was so quasi allem, was äh untergeschoben wird äh 01:11:41.058 --> 01:11:48.370 Platz zehn zu geben, das schon alles prima ist. Und genau dazu werden jetzt durch dieses Schreiben, 01:11:48.923 --> 01:11:53.779 Anwälte aufgefordert das zu tun. Das schon schon geil. 01:11:53.923 --> 01:12:04.980 Dann haben sie sich also oder einige haben sich dann manuell die CA importiert, sodass ihr Browser dieses dieses äh dann akzeptiert, 01:12:05.629 --> 01:12:08.044 oder von dieser Stelle Dinge akzeptiert. 01:12:09.643 --> 01:12:23.031 Dann hätte man sich ja gedacht, okay, einen haben sie dann für die Webseite, die sie haben äh Bea Local Horst Punkt DE ein neues Zertifikat erstellt und das entsprechend signiert und das dann per Klein verteilt. 01:12:24.750 --> 01:12:33.360 Hätte man so gedacht, war aber nicht so, was sie gemacht haben ist, sie haben den Schlüssel. 01:12:34.785 --> 01:12:40.746 CA inklusive Private Key in die Software eingebaut. 01:12:42.639 --> 01:12:51.411 Und das bedeutet, jeder der diesen privaten Schlüssel hatte, konnte dann für beliebige Webseiten gültige Zertifikate erstellen. 01:12:51.220 --> 01:12:53.846 Ach so, das ist sozusagen. 01:12:53.546 --> 01:13:02.138 Das ist das ist das absolute Desaster. Das ist das größte Desaster, was äh denkbar ist. Also ein ein CA Breach quasi. 01:13:01.838 --> 01:13:09.763 Also eine Software, die von jedermann runterladbar ist, ne? Auch wenn man sie nicht betreibt, aber man kriegt dann sozusagen den privaten Schlüssel für diese 01:13:09.608 --> 01:13:26.295 Autorität, die die Anwälte sich installieren und sagen, alles was dieser Autorität sagt, das akzeptieren wir und man kann aber jederzeit selber diese Autorität werden, indem man sich einfach diese Software runterlädt, diesen Schlüssel nimmt, irgendwelche Zertifikate auf andere Webseiten haut 01:13:26.144 --> 01:13:36.125 die zum Beispiel irgendwie Bea Hilfe DE heißen oder sowas. Ich hoffe, das gibt's nicht. Und äh ja, eigentlich von ganz woanders herkommen 01:13:36.053 --> 01:13:36.672 also. 01:13:36.372 --> 01:13:37.861 G-Mail dot com. 01:13:37.561 --> 01:13:39.953 Oder Brack DE. 01:13:39.653 --> 01:13:40.867 DE 01:13:40.567 --> 01:13:46.442 Ja genau, also das äh ja hier ihre Bundesrechtsanwaltskammer. Ganz geil. 01:13:46.990 --> 01:13:58.179 Ja. Also da kommt man sozusagen nicht nur äh die Bärgeschichten äh überwachen, sondern halt auch äh Passwörter und Pins und Tarns, 01:13:58.443 --> 01:14:08.454 von allen anderen Webdiensten, ja, ob das jetzt Social Media ist, äh Facebook oder E-Mail, bei E-Mail oder GMX oder Web DE oder ob man da jetzt äh, 01:14:08.779 --> 01:14:14.871 ja Banking drüber macht, dass wir halt alles abgreifbar gewesen. Ähm. 01:14:16.104 --> 01:14:25.995 Ja, da hat man halt quasi so ein Hotchix geliefert und wie es halt bei Hotchix so ist, ist der halt nicht die, die QA gegangen. Man hat sich da wohl nicht äh, 01:14:26.896 --> 01:14:28.584 gemacht, was es ist. 01:14:28.417 --> 01:14:35.988 Da bist du aber also sowas das also sowas kann nicht passieren. Er ist auch nicht mit dem Hot Fix entschuldbar. Das ist einfach. 01:14:36.986 --> 01:14:41.798 Das ist das zeugt einfach von so einer fundamentalen Inkompetenz, 01:14:42.310 --> 01:14:50.259 zumal das Problem, also dass sie einfach offenbar zu dem Zeitpunkt noch nicht verstanden hatten, 01:14:50.530 --> 01:15:03.743 welches Problem du ihn gemeldet hast, nämlich, dass sie einen Private Key ausgegeben haben zu einem Zertifikat und dass ihnen das deswegen auch gelöscht wurde oder äh also eben revog wurde und dass das, 01:15:04.039 --> 01:15:05.576 Dass ihr Fehler war, 01:15:05.991 --> 01:15:15.509 Wenn der Fix dann darin besteht, dass alte Zertifikat geht nicht mehr, wir müssen ein neues verteilen, dann ist das hin wirklich, 01:15:16.303 --> 01:15:18.561 Dann haben sie's halt wirklich nicht verstanden. 01:15:21.795 --> 01:15:24.845 Ja, das war dann der zweiundzwanzigste zwölfte. 01:15:24.763 --> 01:15:26.278 Mein Got. 01:15:26.051 --> 01:15:33.350 Ähm dann ich weiß nicht genau wann äh verschwand die Pressemitteilung von der Webseite. 01:15:34.817 --> 01:15:44.846 Es gab eine neue und die Anwender wurden aufgefordert, dass neue RuCA zu deinstalieren oder ihm das Vertrauen zu entziehen. 01:15:47.634 --> 01:15:57.104 Wie viele, wie viele Anwälte diese Pressemitteilung noch gelesen haben, ne? Also wie viele da, wie, wie viele hängen da draußen jetzt noch rum. 01:15:57.159 --> 01:16:10.071 Beziehungsweise die wurden ja auch alle angeschrieben über ihre eigenen Rechtsanwaltskammern äh also die kriegen glaube ich die Nachrichten schon irgendwie. Ist die Frage, ob sich dann sozusagen am dreiundzwanzigsten zwölften, das war dann der Samstag, 01:16:10.600 --> 01:16:19.794 danach auch noch die Arbeit gemacht haben. Das war ja sind kurz vor Weihnachten, da arbeitet man ja eigentlich nicht mehr, zumindest nicht Samstag. 01:16:23.160 --> 01:16:24.673 Und. 01:16:26.260 --> 01:16:36.956 Die Gerichte konnten keine Nachrichten mehr schicken an die Anwälte und die Anwälte konnten das B ja nicht mehr nutzen. 01:16:38.465 --> 01:16:46.739 Ähm ist natürlich jetzt nicht klar, was für Nachrichten ist, die die äh Gerichte am zweiundzwanzigsten zwölften abgeschickt haben. 01:16:48.410 --> 01:16:54.917 Und die die Anwälte nicht abrufen konnten, weil sie's halt noch nicht gemacht haben, bevor der Dienst abgeschaltet worden ist. 01:16:54.617 --> 01:17:06.761 Und wir sehen jetzt von ganz Deutschland. Das ist schon so die ein oder andere Nachricht, die auch an einem zweiundzwanzigsten zwölften da noch rauswandert. 01:17:06.881 --> 01:17:15.582 Ja. Wobei äh da muss man dazu sagen äh das Bea ist erst seit dem ersten ersten zweitausendachtzehn verpflichtend. 01:17:15.439 --> 01:17:18.154 Mhm. Erst seitde. 01:17:16.244 --> 01:17:22.120 Also seitdem äh müssen die Anwälte Kommunikation darüber auch zur Kenntnis nehmen. 01:17:21.947 --> 01:17:27.492 Ah okay, das heißt, wir sind da noch man du warst noch in dem, in so ein. 01:17:27.192 --> 01:17:40.689 Davor quasi, ja? Ich äh wenn ich jetzt doch mehr gesucht hätte und nach noch mehr Lücken finden wollte, hätte ich ja vielleicht noch länger gebraucht, aber äh ich habe erstmal all das, das gemeldet, was ich so hatte quasi. 01:17:41.735 --> 01:17:46.860 So zwischendrin, weil fertig mit dem Angucken waren wir ja noch nicht, 01:17:47.701 --> 01:17:52.442 hatten ja nur uns kleine Teile angeguckt von dem von der Software. 01:17:52.262 --> 01:18:07.110 Wie war denn so euer persönliches Verhältnis zur Brack zu dem Zeitpunkt? Also hat man euch da irgendwie ernst genommen oder oder sind die da so frei rotiert, dass ihr euch irgendwie so gar nicht als Gruppe wahrgenommen haben, 01:18:07.447 --> 01:18:12.158 Weil da ist ja dieser ganze Talk auf dem auf dem Kongress noch gar nicht gelaufen gewesen. 01:18:11.876 --> 01:18:20.138 Genau, ich hatte am am zwanzigsten zwölften als ich es gemeldet hatte, hatte ich bei ihnen angerufen und nach einem Gesprächspartner gefragt. 01:18:21.730 --> 01:18:31.561 Bin dann nachmittags zurückgerufen worden. Äh und dann habe ich am Telefon äh geschildert, was ich für Probleme gefunden habe. 01:18:32.637 --> 01:18:39.144 Und darauf verwiesen, dass das BSI ja jetzt auch Bescheid weiß und die Liste auch in E-Mail-Form hat, 01:18:40.040 --> 01:18:48.789 Und das BSI hat dann äh die E-Mail, die ich ans BC geschrieben habe, äh an die Brack weitergeleitet und dann mit denen darüber gesprochen, 01:18:49.600 --> 01:18:56.998 zu dem Zeitpunkt war nahezu keine Kommunikation, außer ich hab das halt abgeliefert und gesagt da ist was, 01:18:57.605 --> 01:19:04.803 Und äh falls ihr Fragen habt, äh ihr habt ja meine Kontaktdaten, ihr könnt euch gerne an mich wenden, ihr könnt anrufen, ihr könnt E-Mails schicken, 01:19:05.681 --> 01:19:09.376 ich stehe da ja freundlicherweise zum Gespräch bereit. 01:19:10.939 --> 01:19:17.639 Ähm das ist dann auch erstmal nicht passiert. Also ich habe dann halt über Weihnachten nichts gehört. 01:19:18.967 --> 01:19:29.140 Ähm ich habe dann erst äh auf dem Kongress wieder davon gehört, als es am siebenundzwanzigsten zwölften eine Pressemitteilung gab. 01:19:31.273 --> 01:19:40.479 Ähm und dort wurde formuliert, dass eine nicht zur Rechtsanwaltschaft zugelassene Person äh angezeigt hat, 01:19:41.009 --> 01:19:48.760 äh dass sie in der kleinen Security, also die kleine Security ist das Kleinprogramm. Ähm, 01:19:49.319 --> 01:19:56.823 um auf das Bär System zu gelangen, ein Zertifikat kompromitiert habe. Also man hat. 01:19:56.523 --> 01:20:03.482 Kompromittiert hast. Was natürlich nicht stimmt, weil du hast ja nur darauf hingewiesen, wie die Ist-Situation ist. 01:20:03.782 --> 01:20:15.416 Genau. Das heißt, es war einfach mal falsch und das äh klingt doch irgendwie böse, als wenn ich was Schlechtes gemacht hätte. Von daher äh war das gefühlte Verhältnis erstmal ein wenig angespannt. 01:20:17.610 --> 01:20:18.612 Ähm. 01:20:18.512 --> 01:20:29.658 Ich hätte eh gedacht, dass die, wenn die sich so lange nicht gemeldet haben, wahrscheinlich irgendwo saßen und sich überlegt haben, welche rechtlichen Schritte äh sie gegen dich einleiten können, sind ja schließlich Anwälte, also da kennen Sie sich ja wahrscheinlich ganz gut aus. 01:20:29.820 --> 01:20:41.297 Genau, jetzt äh war ich aus dem Kongress und äh äh habe dann dort mit Leuten gesprochen und äh äh das Medien äh die Presse war ja auch da unterwegs und äh, 01:20:41.664 --> 01:20:49.451 dann haben wir das auch in dem Talk, den wir äh dann hatten, also wir haben da eine eine Session aufgemacht, als als als Sambly, 01:20:49.842 --> 01:20:57.052 und mal kurz drüber gesprochen über das BA und auch da drauf hingewiesen, dass das ja so nicht richtig ist, 01:20:57.624 --> 01:21:01.920 und dann ist es halt auch über über äh heiße und und Spiegel rausgegangen, 01:21:02.371 --> 01:21:14.575 wir halt jetzt nicht die Bösen waren. Von daher dachte ich, okay, ich kann das erstmal so stehen lassen und habe dann aber ähm ich weiß es nicht genau, am achtundzwanzigsten oder am neunundzwanzigsten, 01:21:15.195 --> 01:21:16.594 auch nochmal angerufen, 01:21:17.454 --> 01:21:25.313 und nochmal nachgefragt, wie das jetzt zu verstehen ist, ja, ob sie mir da jetzt irgendwie Dinge wollen oder ob ich jetzt selber einen Anwalt brauche. 01:21:26.348 --> 01:21:34.087 Ähm und dann wurde mir gesagt, dass diese Formulierung, dass ich das Zertifikat kompromitiert hätte, 01:21:34.850 --> 01:21:42.578 Die Formulierung kam von einem Berater. Das haben sie also von ihrem Berater übernommen. 01:21:40.487 --> 01:21:48.520 Mhm. Das waren dann wieder diese Berater von Cup Gemine, deren Rat, die ja schon so weit gebracht hatte oder wer war das. 01:21:48.755 --> 01:21:54.109 Das weiß ich bis heute nicht. Das kann Atos gewesen sein, das kann Cut Gaming nie gewesen sein, 01:21:54.746 --> 01:22:08.242 Ähm ich weiß nicht genau, von wem die Formulierung bekam. Auf jeden Fall war dann auch auf jeden Fall auch klar, äh dass die Brack äh mir erstmal nichts möchte. Und da habe ich ein ein freundliches Gespräch geführt äh mit dem, 01:22:08.976 --> 01:22:17.520 weiß ich nicht, ist, war das der erste Vizevorsitzende oder sowas. Äh also einer, der da im Vorstand irgendwie für zuständig war und äh, 01:22:18.211 --> 01:22:27.688 Der hat sich dann auch bedankt dafür, dass ich Dinge gemeldet habe und nicht die Lücken verkauft habe. Von daher äh war dann das Verhältnis auch wieder äh, 01:22:28.578 --> 01:22:32.435 in Ordnung. Ähm, 01:22:33.390 --> 01:22:44.332 Ja und dann äh lief das ja im im Januar so weiter, da gab's dann irgendwie Krisensitzungen und Pressemitteilungen und äh dann sieckerten nach und nach immer mehr Infos nach. 01:22:45.721 --> 01:22:58.935 Ähm und äh die Anwaltschaft hat sich dann da irgendwie äh engagiert und äh Nachfragen gestellt und äh dann dann gab's halt da so innerhalb der Anwaltschaft so Tumulte quasi. 01:22:59.879 --> 01:23:01.657 Keiner gewesen sein wollte, ne. 01:23:01.555 --> 01:23:07.762 Ja und auch weil's mit jeder Pressemitteilung und mit jedem Release von Informationen schwieriger geworden ist, 01:23:08.363 --> 01:23:16.638 weil sie halt immer so, sagen wir mal überspezifische Dementis abgegeben haben oder Dinge veröffentlicht haben, die einfach so nicht richtig sind, 01:23:17.497 --> 01:23:25.537 ja äh und äh da gehört halt auch diese Ende zu Ende Verschlüsselung dazu. Äh, 01:23:26.492 --> 01:23:35.313 ne, wo es dann hieß, das sei hier alles sicher gewesen oder auch als sie gesagt haben, äh dass die Webanwendung hätte ja niemals Sicherheitslücken gehabt. 01:23:36.714 --> 01:23:42.722 Ähm da habe ich dann äh gesagt, okay, äh ich twittere das mal raus, 01:23:43.324 --> 01:23:54.369 und hab ein Video getwittert mit der XS-Lücke und dem Spruch aus der Pressemitteilung, dass die Webanwendung ja keine Sicherheitslücken enthalten. 01:23:55.475 --> 01:23:57.007 Ja, also diese. 01:23:58.473 --> 01:24:06.152 Sie haben halt einfach gesagt, das ist alles sicher und sie haben's halt versucht runterzureden und gesagt haben, das ist ja alles toll und äh. 01:24:07.799 --> 01:24:14.162 Dann äh haben sie sich irgendwann eine PR-Agentur beauftragt für sie die Kommunikation zu machen. 01:24:15.821 --> 01:24:21.968 Die PR-Agentur kamen auf die Idee einen einen Beaton zu veranstalten. 01:24:22.119 --> 01:24:23.722 Bist du hingegangen? 01:24:23.567 --> 01:24:33.476 Dann dachte ich mir, Beaton, das klingt ja erstmal wie so ein so ein Hackeson oder wo man sich mit Leuten zusammensetzt, mal Dinge baut oder ne, sich so anguckt ähm. 01:24:33.446 --> 01:24:37.766 Was war jetzt eigentlich die offizielle richtige Schreibweise? Da ging's bei Twitter ein bisschen hin und her. 01:24:37.736 --> 01:24:45.450 Beaton ohne L. Also kein kein Biathlon, sondern ein Beaton. 01:24:45.350 --> 01:24:46.611 Mit TH. Mhm. 01:24:46.511 --> 01:24:50.781 Mit TH und mit großem A wegen dem Anwaltspostfach. 01:24:50.590 --> 01:24:51.731 Weil es so besonders ist. 01:24:51.473 --> 01:24:55.691 Und das war aber kein Hacke von, sondern irgendwie eine geschlossene Diskussion. 01:24:55.883 --> 01:25:03.509 Das war eine geschlossene, eine Diskussionsrunde. Ähm ich hatte ihnen ja angeboten, dass ich dafür ein Gespräch bereitstehe. 01:25:04.603 --> 01:25:12.684 Dann bin ich noch mit zwei weiteren Chaoten äh dahin gefahren. Es war ein äh Weal-Life-Treffen in Berlin. 01:25:12.697 --> 01:25:18.730 Gab's da nicht erst noch so eine Auseinandersetzung dadrüber, ob dann über die Ergebnisse öffentlich geredet werden darf oder nicht. 01:25:19.030 --> 01:25:25.280 Ja, da gab's auch Diskussionen drüber, genau. Ähm sie hatten halt eingeladen ähm, 01:25:25.869 --> 01:25:37.111 ähm hat die Brack und äh sie hatten uns ins Chaos eingeladen. Sie hatten dann noch verschiedene äh Kritiker eingeladen, die halt im Netz und online und, 01:25:37.244 --> 01:25:41.919 Pressemedien unterwegs gewesen sind. Äh sie hatten auch die Presse eingeladen, 01:25:42.093 --> 01:25:51.545 zumindest in Teilen, also da war jemand von der NOTW, also quasi die die Zeitung für Anwälte und äh dann ähm, 01:25:51.972 --> 01:25:54.063 den Hanno Böck von von Golem. 01:25:54.622 --> 01:25:57.554 Neue, juristische Wochenschrift. 01:25:58.083 --> 01:26:11.183 Genau und ähm dann hatten sie halt irgendwie verschiedene Vereine, die halt so beteiligt sind. Also den EDV-Gerichtstag und äh den DAV im deutschen Anwaltsverein, 01:26:11.754 --> 01:26:16.663 und die die David, ist glaube ich die IT-Gruppe des deutschen Arbeitsvereins, 01:26:17.264 --> 01:26:24.330 halt Einzelpersonen und dann hatten sie noch Leute aus der Prag, Mitarbeiter aus der Brack, 01:26:25.275 --> 01:26:31.403 und sie haben einen neuen Dienstleister beauftragt, die äh Sekundet, 01:26:32.017 --> 01:26:37.689 Und die Sekunde soll sich jetzt den äh Bea kleint anschauen und das BA Gesamtsystem. 01:26:39.053 --> 01:26:41.973 Sekunde jetzt ist auch so ein Security Security. 01:26:41.673 --> 01:26:46.637 Security Firma ja auch nicht auch nicht klein quasi auch ein bisschen größer. 01:26:48.536 --> 01:26:52.886 Und die saßen halt dann auch mit zu dritt da am Tisch. 01:26:53.571 --> 01:27:05.060 Und dann wurde und dann wurde jetzt hast du eine ganze Menge Leute äh benannt und jetzt stelle ich mir vor, wie wie so eine Diskussion halt abgeht, ist äh da sitzen dann die Verantwortlichen, 01:27:05.487 --> 01:27:16.039 Und sagen, wie das aber alles gar nicht so schlimm und schauen sie bitte weiter, wir haben's ja, wir haben das Problem ja schon fast gelöst. Der größere Teil des Publikums, die da sitzen können, nicht beurteilen, 01:27:16.875 --> 01:27:24.824 was wirklich eine Lösung ist und äh sind also im Prinzip nicht in der Lage äh den Sachverhalter, 01:27:25.581 --> 01:27:27.889 Zumindest auf technischer Ebene einzuschätzen, 01:27:28.737 --> 01:27:39.919 Und das kann man sich doch im Zweifelsfall sparen, dahin zu gehen, oder? Weil dann wird da mit wird da vorleuten, die es nicht verstehen über Sachverhalte diskutiert, die der größere Teil derer, die sie diskutieren auch nicht versteht. 01:27:40.460 --> 01:27:53.818 Es war ja gemischt, also es waren schon viele Leute dabei, die technisches Verständnis hatten und denen man Dinge erklären konnte. Ähm ursprünglich war er auch vorgesehen, dass Atos mit am Tisch sitzt. 01:27:53.650 --> 01:27:54.918 Mhm. Die sind aber nicht. 01:27:55.339 --> 01:27:56.826 Aber Asos ist nicht hingegangen. 01:27:58.806 --> 01:28:01.503 Also, der Hersteller dieser Software. 01:28:02.405 --> 01:28:04.772 Die, die das alles. 01:28:05.133 --> 01:28:12.128 Ja gut, ich meine, also wenn die ihren Anwalt gefragt haben, dann gehe ich davon aus, dass der ihnen gesagt hat, geht er, geht er lieber, geht er lieber nicht hin, ja? Also. 01:28:12.512 --> 01:28:25.281 Aber es ist ja schon bemerkenswert, wenn sozusagen noch man sozusagen ein, ein, eine Lösung des Problems der Software anstrebt und dann ist es noch nicht mal mehr das Unternehmen da, äh die diese Software macht. 01:28:24.993 --> 01:28:35.797 Ich stelle mir dieses Unternehmen Arthurs irgendwie eh so vor wie wie äh vier in Loving in Las Vegas, ne? Als sein Anwalt muss ich dir raten, da lieber nicht hinzugehen. Na ja okay. 01:28:36.098 --> 01:28:48.812 Naja, vielleicht möchte auch aber nicht der, der Projektmanager mit Namen daneben stehen. Ja, ich meine, Ados ist jetzt äh große Firma, ist jetzt ziemlich anonym. Wenn man jetzt da zwei, drei Leute hingeschickt hätte, dann äh wären die ja auch wahrscheinlich genannt worden. 01:28:48.512 --> 01:28:55.152 Vielleicht hätten sie, vielleicht konnten sie die auch gar nicht mehr hinschicken, weil die längst nicht mehr beim Unternehmen waren. 01:28:53.740 --> 01:29:06.077 Das kann auch sein. Aber wie gesagt, weiß ich nicht. Spekulationen. Äh von daher äh gab's dann erstmal eine kleine Diskussion um die Öffentlichkeit. Also wie kann man dort Dinge formulieren und was kann man nach draußen mittragen, 01:29:06.889 --> 01:29:20.096 und dann hieß es okay, also es darf alles gesagt werden und es wird dann halt nicht per Joe nicht personenscharf äh vom Halt aufgelöst, sondern nach Einrichtungen. Also jemand von der Prax sagte, was und, 01:29:20.698 --> 01:29:22.320 jemand vom Chaos sagt dir was. 01:29:23.071 --> 01:29:35.623 Ähm auch ein bisschen verständlich, weil äh die die Mitarbeiter, der Praktik zum Beispiel, da wollte man ja auch, dass die frei frei reden können, ohne anschließend in der Presse irgendwie da zu sitzen, ja, also, 01:29:36.110 --> 01:29:41.849 Wenn ihnen eine Verständnisfrage hatten, sollten sie auch mal dumme Fragen stellen können, um dir dann erklärt zu bekommen. 01:29:42.889 --> 01:29:49.961 Und dann wurde uns eine Lösung präsentiert. Hat eine Grafik gebaut. 01:29:50.604 --> 01:29:59.581 Ziemlich genau gleichzeitig oder kurz darauf eine äh eine Pressemitteilung auch äh rausgegeben, ne? Sicherheit und Integrität sind wiederhergestellt. 01:29:59.281 --> 01:30:08.793 Genau, äh Atos hatte an dem äh Freitagmorgen äh vor der Veranstaltung eine Pressemitteilung rausgegeben, dass alles toll ist. Was sie ein Update haben. 01:30:09.881 --> 01:30:17.567 Und ähm an dem Freitagnachmittag oder Mittag hat man uns dann präsentiert, wie sie das mit dem Zertifikat lösen möchten. 01:30:18.607 --> 01:30:23.876 Also man möchte jetzt äh dass der Clyand auf dem lokalen Rechner, 01:30:24.688 --> 01:30:30.138 ein Zertifikat für die Domain Bialog Los Punkt DE äh erzeugt. 01:30:31.280 --> 01:30:39.301 Dieses dann in den Trust Store importiert, sodass es als Ausnahme im Browser gebämigt wird. 01:30:40.720 --> 01:30:47.401 Also jeder Anwalt hat dann ein eigenes ein eigenes Zertifikat für diese Webseite und die Browser sollen das dann akzeptieren. 01:30:48.460 --> 01:30:56.259 Das ist natürlich quasi eine also es löst das Problem, dass man ein öffentliches, signiertes Zertifikat verteilt. 01:30:57.738 --> 01:31:02.329 Ähm es löst halt nicht das Problem, dass die API ein Problem hatte. 01:31:03.597 --> 01:31:16.720 Mit dem Unitokil Yourself oder auch nicht das Java-Problem. Ähm dazu hat auch die Pressemitteilung von Atos nichts gesagt. Das heißt, ich weiß bis heute nicht, ob das jetzt behoben wird oder nicht, 01:31:17.418 --> 01:31:25.090 Die sagen ja, dass mit dem Update alle Sicherheitsprobleme gelöst werden. Äh das Update ist aber noch nicht nicht verteilt. 01:31:25.031 --> 01:31:32.061 Das wird übrigens über über jedes Update jederzeit immer gesagt, dass damit alle Probleme gelöst werden. 01:31:32.717 --> 01:31:40.907 Ja. Von daher äh gibt's halt aktuell noch kein Update und äh äh ist halt halt nicht klar, welche Lücken gelöst worden sind, 01:31:41.857 --> 01:31:49.025 und dann haben wir halt angefangen die Lücken und Probleme zu formulieren, die wir gesehen und gefunden haben, 01:31:49.927 --> 01:32:01.410 ähm äh viele hatte ich ja jetzt auch schon angesprochen äh und dann gab's halt noch so andere Dinge, die in der Konzeption liegen, die jetzt überhaupt nicht mit der kleinen Software zu fixen sind, 01:32:02.306 --> 01:32:11.631 und dann haben wir halt gute dreieinhalb vier Stunden über mögliche Schwachpunkte in dem Konzept und in den Vorgaben gesprochen, 01:32:12.490 --> 01:32:20.326 äh und das war nicht ein ein offenes äh Gespräch und die äh Prag äh und ihre Mitarbeiter haben gut zugehört, 01:32:21.131 --> 01:32:27.327 und äh dabei haben wir halt auch nochmal das das HSM äh zu sagen gemeinsam aufgeklärt, 01:32:27.778 --> 01:32:34.123 Also es gibt da ja dieses ähm HSM in der Mitte mit den privaten Postabschlüsseln, 01:32:34.718 --> 01:32:42.776 und dann gibt es dafür Kikastodiens Schlüsselträger und wenn die zusammenarbeiten dann können sie halt auch darauf zugreifen. 01:32:44.224 --> 01:32:48.076 Und damit war halt auch klar, dass das halt nicht Ende zu Ende ist, 01:32:48.911 --> 01:32:58.730 dann gab es doch die Rückfrage, ob den Ende zu Ende ein geschützter Begriff sei oder ob man das nicht auch noch als Ende zu Ende verkaufen könnte. Ähm. 01:32:59.740 --> 01:33:08.309 Da haben wir dann einfach formuliert, dass äh die Bruckers nicht anfangen sollte, kryptografische äh Fachbegriffe äh neu zu definieren. 01:33:14.559 --> 01:33:28.067 Ja dann äh ja, haben wir noch ein paar andere Dinge aufgelistet und zwar gab's ja das EGVP. Das ist dieser Verbund und in diesem Verbund äh hängen halt zum einen die Gerichte, die Notare, 01:33:28.740 --> 01:33:29.725 Die Behörden, 01:33:30.537 --> 01:33:40.157 und dafür gibt's Vorgaben, wie die Nachrichten auszusehen haben und wie Nachrichten von nach B geschickt werden können. Es gibt auch ein äh ein Client für Bürger, 01:33:40.740 --> 01:33:48.040 mit dem sie halt Nachrichten schicken können an Gerichte und an Behörden und an Anwälte. 01:33:49.537 --> 01:33:56.892 Oder gibt's so Dinge wie äh jeder Bürger kann sich äh ein Konto klicken und darüber Nachrichten schicken. 01:33:57.860 --> 01:34:05.022 Und du brauchst dich nicht ausweisen. Du brauchst keine E-Mail-Adresse, du musst einfach nur Daten, Daten eingeben. 01:34:06.531 --> 01:34:10.033 Und dann kannst du da unbegrenzt Nachrichten schicken. 01:34:09.890 --> 01:34:19.173 Das heißt, du sagst einfach, ich bin mein Name, mein Vorname ist Amtsgericht und mein Nachname ist äh was weiß ich, Friedrichshain-Kreuzberg. 01:34:19.877 --> 01:34:30.254 Ja, das funktioniert. Und äh du kannst halt deine Mieterdaten, deine Kontaktdaten genauso aussehen lassen, wie eine Behörde, wie ein Gericht. 01:34:31.763 --> 01:34:38.829 Und wenn der Anwalt dann oder ein Notar äh im Verzeichnisdienst nach Amtsgericht sucht, 01:34:39.580 --> 01:34:42.044 wird er halt auch deinen Account finden. 01:34:43.337 --> 01:34:56.009 Und dann hat er so eine Tabelle mit ne, wie man das halt so kennt mit verschiedenen Feldern, äh wie man das aus dem Explorer kennt quasi und da kann man dann noch so Spalten einblenden und ausblenden und äh, 01:34:56.587 --> 01:35:04.608 beispalten könnte er dann vielleicht sehen, dass es kein echtes äh Behördenkonto ist, sondern so ein äh Bürgerkonto. 01:35:05.864 --> 01:35:18.195 Aber das ist halt auch sozusagen anfällig für Social Engineering. Also wenn jemand nicht geschult ist, wenn jemand nicht aufpasst, dann kann man da halt auch äh meinetwegen einen Schriftsatz eine Klage einreichen. 01:35:18.050 --> 01:35:19.889 Amtsgericht Kleinhackersdorf. 01:35:20.136 --> 01:35:26.800 Und die halt an einen Hackersplay schicken oder an ein Bürgerkonto. Äh ich habe gehört, das hat jemand mal gemacht, 01:35:26.914 --> 01:35:39.773 und so ein Konto angelegt mit dem Namen Amtsgericht irgendwas und hat dann ein paar Monate später wieder reingeschaut und dann waren da halt diverse Schriftsätze von Notaren und von Anwälten drin, 01:35:40.062 --> 01:35:40.782 Also. 01:35:40.777 --> 01:35:54.723 Ist, dass es das noch schlimmer, also das ist eigentlich na ja gut, was das Schlimmste Pro ist, ist jetzt wirklich schwierig bei dieser Anzahl Probleme das Schlimmste zu finden, aber spätestens hier ähm. 01:35:56.479 --> 01:36:02.590 Es geht eines der die besondere Zielsetzung bei dieser Kommunikation ist ja, dass sie rechtssicher sein soll, 01:36:03.107 --> 01:36:07.986 Ja, das ist ja im Prinzip als allererstes haben wir gesagt, wir wollen rechtssicheren, 01:36:08.034 --> 01:36:17.078 Verkehr haben und rechtssicher heißt auch ähm dass man eben so etwas wie das ist jetzt zugestellt worden und zwar dann und dann verbrieft hat, 01:36:17.709 --> 01:36:27.900 Und wenn da sich plötzlich irgendwie jemand registriert und einen Anwalt nach bestem Wissen und Gewissen mit seinem mit seiner neuen Software da eine Klage irgendwo einreicht, 01:36:28.219 --> 01:36:32.689 und am Ende eine 01:36:32.606 --> 01:36:44.497 Deadline da verzogen ist, ne? Weil jetzt irgendwie, was weiß ich, Widerspruchsklagerecht, Pipapo gab's nur bis dann und dann, oder die Erwiderung einer Klage, wo man nur einen Monat Zeit hat und du erwiderst, dass dann irgendwo anders hin 01:36:44.275 --> 01:36:56.983 und beim Gericht fällt der Hammer und sagt alles klar, äh hast nichts gegen die Klage erwidert, hast damit verloren und äh jegliche Möglichkeiten dich dann nochmal gegen zu wehren, äh sind laut Gesetz nicht mehr vorhanden 01:36:56.768 --> 01:36:59.267 da wird's ja dann da wird's ja dann richtig blutig. 01:37:00.301 --> 01:37:03.870 Ja richtig. Also das kann halt richtig schief gehen, ne? Und äh, 01:37:04.081 --> 01:37:15.420 da hat man halt keinerlei Vorkehrungen getroffen, dass es nicht etwa, dass das irgendwie farblich markiert ist mit einem Warnschild davor. Achtung, du schreibst grad jetzt nicht an ein Gericht, sondern an einen Bürger. Ähm, 01:37:15.877 --> 01:37:25.737 da ist halt nicht drauf geachtet worden, es gibt das Konzept auch nicht her. Ähm das Gleiche ist äh sowas wie Spam-Schutz, gibt's da halt auch nicht, 01:37:26.464 --> 01:37:32.251 ja? Also du kannst halt mit einer Nachricht bis zu sechzig bis zu sechzig Megabyte absetzen. 01:37:33.447 --> 01:37:40.471 Und ich weiß, kleinere Amtsgerichte äh hängen zum Teil mit zwei Imbittleitungen an diesem VerwaltungsvPN. 01:37:42.082 --> 01:37:46.757 Und ähm wenn du die halt übers Wochenende mal voll machst mit ein paar Gigabyte, 01:37:47.544 --> 01:37:52.760 Dann sind die die nächsten Tage beschäftigt, äh die Nachrichten äh zu filtern, zu lesen, runterzuladen, 01:37:53.115 --> 01:38:03.240 Ähm und äh auch für die Anwälte wäre es halt ein Problem, weil die Anwälte haben ja eine passive Nutzungspflicht. Das heißt, wir müssen Nachrichten, die da ankommen auf dem Postfach, 01:38:03.805 --> 01:38:05.433 lesen und zur Kenntnis nehmen. 01:38:05.133 --> 01:38:18.611 Äh da müsste doch aber eigentlich das äh okay, die müssen, die müssen jedes Spam, die dahin schickst, müsste nie gelesen haben, weil sie äh verpflichtet sind, aber die denen das das äh Postfach zuzumüllen 01:38:18.401 --> 01:38:21.080 würde ja im Zweifelsfall, 01:38:21.640 --> 01:38:28.917 Dieses Webmail-Konzept verhindern, weil du das ja im Zweifelsfall die Nachricht aufmachst und erst in den Anhang guckst, wenn 01:38:28.857 --> 01:38:38.189 Du musst wenn du jetzt irgendwie mehrere kriegst mit ein paar Gigabyte, dann wüsstest du halt okay, ich schreibe jetzt zurück, der Anhang ist zu groß, ich kann den nicht öffnen oder so, 01:38:38.820 --> 01:38:39.871 würde man ja. 01:38:39.697 --> 01:38:43.987 Du kannst ja also pro Nachricht maximal sechzig sechzig Megabyte abschicken. 01:38:43.693 --> 01:38:45.249 Ja, was ja schon ziemlich. 01:38:44.949 --> 01:38:56.498 Ähm du hast aber das Problem, dass wenn ich dir jetzt einfach mal von äh sagen wir mal zehntausend Konten mit echt aussehenden Namen, Nachrichten schicke, 01:38:57.321 --> 01:39:06.918 dass du nachher die echten nicht wiederfinden kannst. Also die mit Fristen und da wo du schnell schnell schnell schnell drauf reagieren musst. Also da hast, hast du einfach ein. 01:39:07.351 --> 01:39:12.747 Genau die als Spam identifizierst, die halt keine sind und so, ne? Ja, ja. 01:39:12.459 --> 01:39:16.063 Heiße, heiße Richter aus deiner Nähe wollen Urteile begründen. 01:39:15.763 --> 01:39:20.150 Make-Paragraph Paragraph Paragraph Fast. 01:39:20.270 --> 01:39:34.151 Ja oder du sagst sowas wie, weiß ich nicht. Eher eh Klageweg oder eher E-Klage oder äh weiß ich nicht, äh Akte XY, was auch immer, ja. Oder Rückfrage äh, 01:39:34.824 --> 01:39:40.058 da weiß ja keiner, was dann sozusagen echt ist und was nicht äh und ähm, 01:39:40.990 --> 01:39:47.756 Dann gibt's halt noch so Dinge wie äh für die Gerichte ist vorgeschrieben, welche Dateiformate man an sich schicken darf, 01:39:48.706 --> 01:40:03.259 da haben sie sich so ein bisschen Mühe gegeben. Also es sollen demnächst nur noch äh Varianten sein, wo halt auch der Text mit drin ist. Also für barrierefreie Dinge. Aktuell ist aber noch äh sozusagen als Format erlaubt, 01:40:04.190 --> 01:40:06.979 oder PDF und PDFA. 01:40:08.475 --> 01:40:15.908 Das heißt, äh da hat man festgelegt, welche Dateitypen akzeptiert werden von den Gerichten, damit sie die auch öffnen können und wahrnehmen können. 01:40:16.912 --> 01:40:28.587 Ähm für die Anwälte gibt's sowas nicht, also theoretisch kannst du einem Anwalt alles schicken und der muss dann selber überlegen, ob das äh ob das Risiko eingeht, draufzuklicken oder nicht, 01:40:29.525 --> 01:40:32.427 wenn ich jetzt sage äh Schriftsatz Punkt Exe. 01:40:33.821 --> 01:40:44.109 Das kann ja jetzt auch ein eine Anwendung sein, wo der Text aufgeht, ne? Ich kann ja eine Anwendung schreiben, die einen Text anzeigt. Das kann ein gültiges Dokument sein quasi. 01:40:44.511 --> 01:40:56.127 Stimmt, aber da verlassen wir ja langsam äh das Problemfeld, was hier, wo man sagen würde, das ist äh äh beaspezifisch, oder? 01:40:56.103 --> 01:41:03.350 Ja genau, das ist sozusagen EGVP spezifisch jetzt, weil es gibt halt für diesen EGVP-Verbund entsprechende Vorgaben. 01:41:04.822 --> 01:41:09.881 Oder man hätte ja auch für das B ja entsprechende Vorgaben machen können, wie Dinge auszusehen haben, 01:41:10.801 --> 01:41:20.428 Ähm besonders lustig ist es ja bei PDF. Ich habe jetzt äh gelesen, ähm habe einen schönen Artikel über das äh OLG Zelle. Das Oberlandesgericht, 01:41:21.173 --> 01:41:26.160 hatten sich jetzt extra äh wegen dem BA äh neue Drucker geholt, 01:41:27.098 --> 01:41:36.159 weil die kriegen jetzt zwar dann elektronisch Post geliefert von den Anwälten äh haben aber selber keine E-Akte. 01:41:37.416 --> 01:41:41.249 Das heißt, die müssen alles, was elektronisch eingeht, wieder ausdrucken. 01:41:43.557 --> 01:41:48.640 Die drucken halt so neuntausend Seiten am Tag oder so. 01:41:50.761 --> 01:41:55.839 Ähm das heißt, die nehmen also massenweise elektronische Nachrichten und drucken die aus. 01:41:56.969 --> 01:42:06.968 Bei den Dateiformaten hat man halt auch noch das PDF erlaubt. Und PDF ist ja jetzt ein Containerformat, da kannst du alles reinwerfen. Das ist Touring Complete, 01:42:07.677 --> 01:42:09.600 du kannst da drin halt äh, 01:42:10.321 --> 01:42:17.940 ja äh ein Video einbetten. Du kannst auch im Mindcraft spielen. Du kannst einen Deluxe buchen, wenn du möchtest, 01:42:18.601 --> 01:42:27.074 Ähm du kannst halt aber auch einfach dafür sorgen, dass die Version, die am Bildschirm angezeigt wird, eine andere ist, als die als die, die ausgesucht wird. 01:42:28.132 --> 01:42:36.977 Das heißt, äh, wenn man ein PDF nimmt und das ausdruckt, hat man keine Garantie, dass es genauso auf auf dem Papier aussieht, wie es auf dem Bildschirm aussieht. 01:42:37.301 --> 01:42:43.094 Ähnlich wie man bei Webseiten das manchmal hat, dass es dass man eine Printversion 01:42:42.962 --> 01:42:56.909 ein Print CSS nennen kann und das dann man glücklicherweise, wenn man sich das Internet ausdruckt, eben nicht die ganze blinkende Werbung mit drauf gedruckt kriegt, sondern äh tatsächlich eine eine die gleiche Seite in einer Textvariante, 01:42:57.048 --> 01:43:06.151 ausdrucken kann in manchen Fällen. Und das kann man bei PDF auch machen und deine Idee wäre wahrscheinlich jetzt zu sagen, ich schicke dir ein PDF was auf dem Bildschirm drei Seiten sind, 01:43:06.536 --> 01:43:10.591 Und wenn du auf Drucken drückst äh brauchst du einen neuen Toner. 01:43:13.609 --> 01:43:17.040 Genau. Oder du äh änderst einfach den Inhalt, ja, sowas. 01:43:18.037 --> 01:43:31.167 Die Summe auf sozusagen, ich verklage jemanden auf fünftausend Euro oder ich verklage jemanden auf fünfzigtausend Euro oder ich nehme die Klage zurück oder ich erhalte sie aufrecht. Da kann man ja verschiedene Späße mitmachen, 01:43:31.768 --> 01:43:34.099 Ihr könnt auch einfach den Text mit der Uhrzeit ändern lassen. 01:43:33.799 --> 01:43:42.890 Geil. Das wäre schön ins, also quasi du schickst du du schickst, du weißt in Zelle, drucken sie es aus und sagst, nee, Klageerwiderung oder oder Pipapo? 01:43:42.800 --> 01:43:53.328 Und äh die in CC schickst du quasi deinem deiner gegnerischen Partei, ja, ja, ist in Ordnung. Äh wir geben alles zu. Äh wir wir einigen uns außergerichtlich auf äh 01:43:53.269 --> 01:44:02.636 Speti am am äh irgendein Sterni, am Späti oder so, ja. Und in Celle sagen sie, okay, jetzt wetzen wir die Messer und äh jetzt geht's hier richtig rund. 01:44:03.490 --> 01:44:09.985 Genau, ansonsten du kannst auch Zip-Dateien schicken. Ich weiß nicht, ob jemand schon mal böse Dinge mit mit Zippertank gemacht hat. 01:44:09.685 --> 01:44:11.950 Soll schon mal vorgekommen sein. 01:44:12.780 --> 01:44:18.296 Ja ne, von daher ist da sozusagen geht da viel und ähm, 01:44:18.765 --> 01:44:33.096 Wir hatten uns ja, wir hatten jetzt sozusagen weder den Quellcode von der Software äh noch irgendwie äh alle Module und wir haben es auch nicht nicht die Server angeschaut, sondern wir hatten halt, wir waren auch am Anfang der Analyse quasi, 01:44:33.883 --> 01:44:39.977 hatten halt von einigen Ecken mal drauf geschaut und draufgeklopft und. 01:44:41.029 --> 01:44:43.889 Umso mehr man draufschaut, umso kaputter ist es halt. 01:44:43.847 --> 01:44:51.880 Ja, wenn du so, wenn man solche fundamentalen Fehler schon findet 01:44:51.719 --> 01:45:01.597 dann will man manchmal gar nicht erst in die in die kleinen feinen Ecken schauen. Braucht man zu dem Zeitpunkt vielleicht auch noch gar nicht, ne? Ist ja vielleicht der, dass das 01:45:01.550 --> 01:45:06.068 also der der wird noch viel zu holen sein und jetzt würde mich auch echt mal interessieren, 01:45:06.831 --> 01:45:15.514 Also vielleicht sollten wir einmal noch schauen so der Chaos-Computerclub wurde ja auch da irgendwie ähm an mehreren Stellen. 01:45:16.890 --> 01:45:27.364 Ja in unterschiedliches Licht gerückt, ne? Also es geht los mit das sehen wir erst erst gesagt wurde, du hättest das Zertifikat kompromitiert, äh dann äh las ich 01:45:27.310 --> 01:45:35.879 Ja, der Chaos-Computerclub hätte ja, man hätte ja den Chaos-Computerclub gefragt, ob man in dem Bereich zusammenarbeiten könne, was war da eigentlich alles los. 01:45:39.136 --> 01:45:51.755 Also äh das hat so ein Ding, das habe ich erst aus der Presse erfahren quasi. Äh da war ich ja nicht beteiligt. Es hieß irgendwie äh die Blackwehr mal auf den CCs zugekommen und hätte gefragt, 01:45:52.507 --> 01:45:59.717 ob der City sich das mal anschauen könnte und äh das wäre irgendwie nicht zustande gekommen. 01:46:00.787 --> 01:46:13.496 In der Form durchaus sein kann. Wer jetzt nicht verwunderlich, weil es kommen häufig Leute zum CCC und wollen irgendwas und dann kommt das nicht zustande. Bis dahin äh kommt mir die Geschichte ja noch ganz 01:46:13.310 --> 01:46:19.745 ganz nachvollziehbar vor. Allerdings wird ja, wie gesagt, der CC habe Bedingungen gestellt 01:46:19.541 --> 01:46:29.630 Und zwar lese ich äh in ähnlichen Verlautbarungen der Rechtsanwaltskammer Hamburg und der Rechtsanwaltskammer Hamm, 01:46:30.099 --> 01:46:39.467 äh dass man wohl behauptet hätte, der CC hätte die Bedingung gestellt, dass er die, dass er nicht alle Ergebnisse der Brack wieder zur Verfügung stellt, 01:46:39.942 --> 01:46:43.372 Was ich es ehrlich gesagt für absoluten Unsinn halte. 01:46:44.780 --> 01:46:52.350 Genau, also es steht ja irgendwie so halt drin in der äh also es gab eine Krisensitzung der Rechtsanwaltskammern und der Brack, 01:46:52.843 --> 01:47:01.959 und die Präsidenten waren halt alle da und haben mich dann halt an äh haben Fragen gestellt und äh da gab's dann diese Info, 01:47:02.380 --> 01:47:12.355 dass es im Jahr zweitausendfünfzehn die Überlegungen gab, das BA System im Rahmen des Chaos Communication Camps testen zu lassen. 01:47:13.382 --> 01:47:16.200 Äh und ähm. 01:47:17.444 --> 01:47:26.025 Dann gab es vor Bericht, was gab vor Presseberichte, die auch sagen, darüber berichtet hätten und dann sagt die Brack, ja, also entgegener Berichte, 01:47:26.500 --> 01:47:29.943 ähm hat die Brack keine Zusammenarbeit abgelehnt, 01:47:30.412 --> 01:47:39.516 viel mehr sei es so gewesen, der CTC hätte keine verbindliche Zusage abgegeben, dass die Brack alle Testergebnisse bekommt. 01:47:39.504 --> 01:47:46.384 Was, also sorry, das ist auf so vielen Ebenen einfach falsch und kann, also erstens, 01:47:47.058 --> 01:47:58.138 wenn wir ein Camp machen, ja, dann machen wir das alle vier Jahre und das Letzte, was wir auf so einem Camp machen, ist irgendwelchen Schrottprüfen, den irgendjemand dahinschleppt, 01:47:58.600 --> 01:48:02.043 Ja? Und diese Diskussion haben wir auch nicht zum ersten Mal 01:48:01.918 --> 01:48:19.644 diejenigen, die sich mit den äh Diskussionen des CC äh näher auseinandersetzen, kennen da auch bestimmte Geschichten vom Camp zweitausendelf, wo auch mal äh diese Idee im Raume stand, man etwas sei jetzt geprüft, äh weil es beim beim Camp war oder so 01:48:20.564 --> 01:48:32.113 Die Anspruchshaltung an uns heranzutreten, äh dass wir irgendetwas prüfen ist sowieso grundsätzlich eine falsche, weil der Chaos-Computerclub das noch nie getan hat und auch nie 01:48:32.017 --> 01:48:36.890 machen wird, dass er irgendetwas prüft und nachher sagt, das ist jetzt sicher äh 01:48:36.812 --> 01:48:48.163 Und damit ist es fertig, wenn wir etwas machen, dann machen wir es genauso, wie du es getan hast, nämlich wir nehmen uns das einfach und sind, wenn wir, wenn wir gut drauf sind, noch so freundlich vorher dem BSI Bescheid zu sagen, 01:48:48.428 --> 01:48:52.634 so wie wir es auch irgendwie bei der äh bei dieser Wahlgeschichte gemacht haben. 01:48:53.163 --> 01:49:02.477 Aber also wer wer kommt denn auf die Idee ausgerechnet beim Camp mit irgendjemandem zu reden, also mit, 01:49:02.868 --> 01:49:09.658 also CC ist ein großer Verein, kann sehr gut sein, dass sie mit irgendjemandem geredet haben. Ähm und dann irgendwie, 01:49:10.115 --> 01:49:21.075 und dann auch noch irgendwie zu behaupten, wir würden die Ergebnisse geheim halten. Ich meine, wenn wir eine Sache nicht machen, dann ist es Sicherheitslücken geheim halten. Also da wäre da werde ich auch so ein bisschen ähm knatschig, 01:49:21.538 --> 01:49:33.718 wenn dann diese komische dieses komische Hin und Her Lavieren äh dann auch noch in dem Bereich geht, uns zu unterstellen. Wir würden äh Sicherheitslücken geheim halten. Das Gegenteil ist der Fall, 01:49:34.151 --> 01:49:37.251 Wir hauen immer alles raus und nachher quengeln alle. 01:49:38.381 --> 01:49:52.454 Also ich glaube, was sie eher meinen ist, dass der CC ihnen gesagt hat, wenn wir uns das anschauen, dann nehmen wir da erstens kein Geld für und zweitens machen wir es öffentlich. Und ich glaube viel eher, dass das die, dass das der äh der Brack nicht gefallen hat, da 01:49:52.208 --> 01:49:59.070 gefällt nämlich keinem, deswegen kommen die Leute auch, wenn sie eine Sekunde nachdenken, nicht zu uns. Um Sachen prüfen zu lassen. 01:49:58.782 --> 01:50:06.960 Genau, weil da werden keine NDAs unterschrieben und da gibt's sonst auch keine äh Einschränkungen und vor allem und das muss man vielleicht an der Stelle auch gleich nochmal sagen. Dieses 01:50:06.900 --> 01:50:12.489 gelaber mit der CC. Also da gibt es überhaupt gar keine Entität, 01:50:12.856 --> 01:50:23.936 die man so nennen kann, an die man sich da wenden könnte, ja? Also nicht nur, dass das jetzt einfach Vereinspolitik ist, grundsätzlich schon bei solchen Sicherheitsüberprüfungsklimbim 01:50:23.828 --> 01:50:27.024 lebe wohl zu sagen, schlicht und ergreifend 01:50:26.952 --> 01:50:45.532 allein schon, also abgesehen von der philosophischen Ebene, dass so Sicherheitsfeststellungen immer eine sehr vergängliche Geschichte sind, ja? Und wir sozusagen in dieser Außendarstellung überhaupt nicht diese diese Siegel, aber der CCC hat ja gesagt, das ist ja sicher, das wollen wir überhaupt gar nicht verteilen. Äh kommt natürlich noch was ganz anderes dazu 01:50:45.370 --> 01:50:52.148 Man ist ja jetzt nicht im CC angestellt, das ist ja keine Mitarbeiter, das ist auch kein Security-Unternehmen, das ist auch kein 01:50:51.999 --> 01:51:04.004 kein, kein, kein Club, der sich ausschließlich nur an äh mit Security beschäftigt, auch wenn das immer ein großes Thema ist. Aber äh würde man so etwas machen, müsste man das ja theoretisch dann auch noch gegen Geld tun 01:51:03.915 --> 01:51:12.471 und äh das geht schon mal gar nicht, weil wenn du erstmal anfängst äh äh Geld in in so einen Verein, so so eine 01:51:12.351 --> 01:51:19.964 Gemeinschaft reinzutragen, das ist natürlich die beste Methode, die sie dann auch äh in dem Zuge zu zerstören. Deswegen ist das einfach mal alles, 01:51:20.043 --> 01:51:22.506 Jenseits von irgendwas. 01:51:22.375 --> 01:51:35.997 Also merken sie sich bitte, liebe äh alle lieber euch bitte alle der CCC zertifiziert grundsätzlich nur Unsicherheit, dann aber in voller Öffentlichkeit und ehrenamtlich. 01:51:35.912 --> 01:51:38.093 Genau und aus eigener Initiative heraus. 01:51:38.112 --> 01:51:46.495 Wenn wir dazu Lust haben, wenn wir nicht gerade campen gehen, also allein die Idee beim Camp, als wenn sich die Leute, ja okay, da haben wir glaube ich jetzt. 01:51:46.723 --> 01:51:50.178 Ja vielleicht so zwischen Aufstehen und Frühstück oder so. 01:51:49.884 --> 01:51:51.879 Ja 01:51:54.126 --> 01:51:55.388 Mann, Mann, Mann. 01:51:55.137 --> 01:52:05.645 Besser jetzt? Nee, aber es ist äh ich meine gut, für uns ist es eine eine Selbstverständlichkeit, wahrscheinlich muss man das halt auch einfach nochmal äh betonen. 01:52:05.345 --> 01:52:07.580 Ja, aber es ist, es macht 01:52:07.484 --> 01:52:16.894 dieser es ist schon auch wirklich es ist einfach sehr sehr schlechter Stil am Ende dann da immer also was jetzt die Brack machen muss ist, 01:52:17.093 --> 01:52:28.173 einsehen und ich glaube diesen diesen kleinen Joke haben wir diese kleine Kirsche für oben auf der Sahne, haben wir uns ja bis jetzt aufbewahrt. Was hat der ganze Spaß bisher gekostet? 01:52:29.298 --> 01:52:36.784 Also ähm sie haben äh jetzt im Januar äh im Rahmen der ganzen Nachfragen der Anwälte, 01:52:37.248 --> 01:52:45.606 auf ihrer Homepage veröffentlicht, dass sie dafür bislang zwanzig Komma fünf Millionen Euro an Atos gezahlt haben, 01:52:46.135 --> 01:52:52.829 also zwanzig Komma fünf Millionen Euro, um Nachrichten von A nach B zu schicken, mit ein bisschen Krypto. 01:52:52.811 --> 01:52:54.349 Das ist so. 01:52:54.481 --> 01:52:55.749 Das ist noch nicht mal gut. 01:52:55.449 --> 01:53:01.271 Und das in so kaputt. Das von also Tim, wir sollten echt. 01:53:02.365 --> 01:53:07.665 Wir sollten den Job wechseln. Ich meine, so ein, also wenn du für so einen Schrott da draußen, 01:53:08.320 --> 01:53:19.112 Zwanzigeinhalb Millionen bekommst, ne, dann sind das dann dann würde ich echt sagen, dann ist Goldgräberstimmung gar kein Ausdruck. Das mit dieser Digitalisierung, ne? Da ist eine ganze Menge Musik drin, Tim. 01:53:19.341 --> 01:53:21.570 Meinst du. 01:53:22.964 --> 01:53:32.073 Keine Illusion, so war das schon immer und insbesondere wenn so goovermental unterwegs ist, dann hat das irgendwie sehr viel mit äh Esablishment und wer kennt wen? 01:53:31.924 --> 01:53:45.011 Zu tun und dann werden da halt die absurdesten Aufträge gemacht und wenn man mal Glück hat, kommt noch irgendwas bei raus, was vielleicht auch noch funktioniert. Im Computerbereich, eine zunehmende Maße auch auf der systemischen Ebene, siehe Flughafen 01:53:44.861 --> 01:53:53.869 ähm ist selbst das noch nicht mal mehr ähm wahrscheinlich. Und wir haben da auch, glaube ich, ein generelles, 01:53:54.181 --> 01:54:02.431 Problem an der Stelle, was über diese ganze BA Sache hinausgeht jetzt. Das ist einfach, 01:54:03.291 --> 01:54:08.663 Manchmal fragt sich ja auch wirklich warum, warum. 01:54:08.891 --> 01:54:20.200 Warum kann so was glaubst du? Markus, warum kann sowas zweitausendachtzehn noch schieflaufen? Woran, also das Desaster ist ja kaum zu beschreiben. 01:54:21.679 --> 01:54:25.452 In seiner Pracht? Wie kommt das. 01:54:25.843 --> 01:54:32.903 Na ja, ich äh finde, das ist quasi ein ein Musterbeispiel für Egoverment Projekte, 01:54:33.841 --> 01:54:38.528 also ähnlich wie bei die E-Mail oder anderen Erfolgsprojekten, 01:54:39.346 --> 01:54:44.152 äh lief es halt so, dass man äh komische Anforderungen stellt, 01:54:44.898 --> 01:54:51.237 und die erstbar von Juristen formulieren lässt, bevor man drüber nachdenken, als jeder zu beschäftigen, 01:54:51.959 --> 01:54:58.484 und dann macht man schon in den juristischen Vorgaben ähm sieht man Grenzen und Schranken ein, 01:54:59.188 --> 01:55:05.172 dass äh bestimmte Architekturen und Lösungen gar nicht mehr genutzt werden können, 01:55:05.876 --> 01:55:19.371 Also tischt die Vorgabe, jemand muss auf ein fremdes Postfach zugreifen können und nicht auf die Nachrichten heißt ja schon, dass ich auch Retrograd die Nachrichten umschlüsseln muss, wo der einschlüsseln können muss, 01:55:20.081 --> 01:55:25.651 und da fallen halt dann so dezentrale Lösungen weg, ja? Ähm! 01:55:26.505 --> 01:55:32.436 Dann hat man auch während der Softwareentwicklung äh dreimal das Gesetz geändert und die Anforderungen geändert. 01:55:33.728 --> 01:55:47.506 Ähm und äh es war ja auch keine offene Ausschreibung, sondern man hat so ein paar Firmen angefragt, von denen sich dann ein paar wieder gemeldet haben mit dem Angebot. Und wenn man sich so die Player anguckt, die dabei sind, 01:55:48.330 --> 01:55:52.752 sind das halt die üblichen Verdächtigen. Also die, die immer solche Projekte machen. 01:55:54.050 --> 01:56:00.600 Und dann ist halt der eine dafür da, das Projekt umzusetzen und der andere berät, unter anderem prüft. 01:56:01.784 --> 01:56:09.830 Und dann kann man ein paar Mal wüfeln und die machen glaube ich alle solche Projekte in wechselnder Konstellation. 01:56:11.531 --> 01:56:18.429 Ich würde vorsichtig sagen, dass wahrscheinlich auch jede also allein schon aufgrund dieser kruden, 01:56:18.783 --> 01:56:30.189 mit teilweise Kruden gesetzlichen Anforderungen, die eben sich in technischen Realitäten nicht sauber umsetzen lassen, wahrscheinlich seriöse, 01:56:30.586 --> 01:56:38.331 Unternehmen auch einfach sagen nee komm, machen wir lieber nicht. Das riecht hier nach nach Schmerz. 01:56:39.064 --> 01:56:42.423 Kommt da noch einer vom CSC vorbei und schaut sich das an. 01:56:42.123 --> 01:56:47.825 Ja, das geht nicht, das, das, das, das ist ein, das, das wird schwierig und da können wir uns am Ende nicht mitschmücken. 01:56:48.379 --> 01:56:56.406 Ja? Also ich äh hatte auch ähm sozusagen vor dem Beaton auch mal mit dem äh Bundesministerium gesprochen, 01:56:57.140 --> 01:57:05.540 die sagten halt auch, ja, also ihr Zuständigkeitsgebiet wäre ja jetzt erstmal nur das BR und sie müssten dafür sorgen, dass das BA wieder läuft, 01:57:06.310 --> 01:57:20.773 ähm das aber sozusagen die Technologie, die sie vorgeschrieben haben, das EGVP über das USCI, sowas wie Spam-Schutz nicht kennt und dass die Vorgabe für das PDF-Format äh daneben ist, 01:57:21.374 --> 01:57:34.041 Das war ihnen erstmal egal, ja? Also äh das sozusagen darunterliegende Techniken, die sie vorgegeben haben, nicht geeignet sind, das Bier oben drauf zu bauen. 01:57:35.093 --> 01:57:43.547 Dass äh wird er halt nicht gesehen, ja? Also jede Abteilung macht quasi ihr System, ihr ihr Layer, 01:57:44.184 --> 01:57:49.226 Aber das Gesamtkonzept wird nicht betrachtet. Ja, ich meine, wenn man auf einer grünen Wiese angefangen hätte, 01:57:49.791 --> 01:58:00.721 Ja, ich meine, Krypto von A nach B zu machen, das ist halt nicht schwierig, ja. Das hätte man halt auch in einem Monat liefern können quasi. Ähm aber durch diese Vorgaben, die man da reingesetzt hat, 01:58:01.010 --> 01:58:08.491 hat man halt alles das, was so praktisch und einfach wäre, verkompliziert und kaputt gemacht. 01:58:09.224 --> 01:58:13.419 Wasch mich nicht, aber mach mich nass. Ist so irgendwie das die Bestellung gewesen. 01:58:13.119 --> 01:58:21.320 Ja. Also wir hätten gerne Ende zu Ende, aber bitte mit Matten the Mittel in dem, ne? Das ist also so ein bisschen was von beiden. 01:58:25.401 --> 01:58:27.912 Tschau. Woran lieg. 01:58:27.618 --> 01:58:34.492 Und äh ja, das Ergebnis ist ja jetzt, dass man jetzt äh die E-Mail benutzt, ne? Also. 01:58:33.309 --> 01:58:35.640 Hi 01:58:35.502 --> 01:58:38.925 Da ist ja das äh Manson Mittel schon eingebaut, aber. 01:58:39.969 --> 01:58:45.146 E-Mail funktioniert ja und ist ja als sicherer Übertragungsweg akzeptiert. 01:58:45.231 --> 01:58:49.743 Mhm. Das war genau das Gesetz, zu dem ich damals zweitausenddreizehn nochmal im Rechtsaus. 01:58:49.738 --> 01:59:03.041 Man muss seine Sachen nicht mehr mehr signieren, man muss sie einfach nur abschicken und weil man sie über das BA verschickt äh hängt sozusagen die Unterschrift schon mit dran, ja? Das ist also ähm. 01:59:05.007 --> 01:59:16.610 Anders ist natürlich wieder ein Closed Source Projekt, äh man hat da irgendwie so Dinge zusammengeschustert und ich meine, wenn man das äh Open Source gemacht hätte, äh hätte man das so nicht gebaut, 01:59:17.518 --> 01:59:27.348 also wer käme auf die Idee in eine Open Source Software den Private Key eines Zertifikats einzubauen. Also spätestens da wäre es ja aufgefallen, 01:59:28.231 --> 01:59:29.878 Ja, also. 01:59:29.914 --> 01:59:39.420 Spätestens bei denen die äh Beginn Private Key suchen regelmäßig über Gitap laufen lassen. Ähm wer es dann früher oder später aufgefallen, 01:59:40.316 --> 01:59:54.370 war das Zertifikat eigentlich ähm haben die sich irgendwie wenigstens noch Mühe gegeben, das Zertifikat irgendwie zu verstecken in der Software? Äh haben sie da, musstest du da irgendwie ein bisschen Opfer scation wegpulen oder lag das einfach direkt im, 01:59:54.834 --> 01:59:57.928 mit in der mit dem. 01:59:58.385 --> 02:00:07.044 Ähm also man kann natürlich Zertifikate und Schlüssel äh darüber Recovern, indem man äh den Memory von dem Prozess droppt, 02:00:07.591 --> 02:00:16.562 und danach äh Kies sucht. Da gibt's ja äh gängige Skripte und Programme für. Das heißt, man muss gar nicht äh sich die Software anschauen, 02:00:17.482 --> 02:00:22.265 sondern es reicht ja einfach aus dem Rahmen den Schlüssel rauszuziehen. 02:00:22.470 --> 02:00:25.173 Und das muss aber okay, sorry. 02:00:25.426 --> 02:00:31.981 Ja? Äh ansonsten liegt das Zertifikat als äh Java Keystore äh in einem Jahrfeil. 02:00:32.968 --> 02:00:37.576 Das Passwort ist ja natürlich dann hardcodet irgendwo im Programm drin, 02:00:38.411 --> 02:00:46.325 und wenn man sich da so zu Mitstrings diese Geschichte mal anschaut, dann hat man da ein wenig offiziell betrieben. 02:00:47.305 --> 02:00:59.467 Also und Base vierundsechzig hat man dann da so einen String drin, äh wo dann äh das Passwort drinsteht. 02:00:59.408 --> 02:01:02.075 Darf ich das nochmal kurz übersetzen, was ihr da gerade redet? 02:01:02.592 --> 02:01:05.223 Ja, gell. 02:01:05.224 --> 02:01:17.650 Also man kann sich Mühe geben, diese privaten Schlüssel irgendwie zu verstecken in seinem Programmkurt, aber es gibt genug Werkzeuge, um die dann trotzdem zu finden und egal, wie sehr man das verschleiert, es hilft alles hilflich wenig. Die gehören da nicht rein. 02:01:17.891 --> 02:01:30.011 Hat Thorsten auch nochmal äh ausführlich erklärt in der äh PC Wahlfolge von Logbuch Netzpolitik oder unserem äh Vortrag mit Martin beim beim Kongress, der ja irgendwie auch von, 02:01:30.360 --> 02:01:34.992 Tim und Thomas hier dankenswerterweise mal F empfohlen wurde. 02:01:35.071 --> 02:01:37.066 All das immer wieder dieselbe Geschichte. 02:01:36.808 --> 02:01:43.183 Immer wieder das Gleiche und ja. Glaubst du, das ist zu reparieren. 02:01:44.950 --> 02:01:54.041 Ähm also ich glaube, dass sie die Lücken, die ich gefunden habe und geportet habe, die können sie sicherlich wegpatchen. 02:01:55.370 --> 02:01:59.113 Ähm ist die Frage, ob das dann alles ist. 02:02:00.105 --> 02:02:06.931 Also ich habe halt echt nur Bruchteile mir angeschaut. Ich habe ja keinen vollen äh Code Outlet gemacht. 02:02:08.025 --> 02:02:16.803 Von daher gehe ich davon aus, dass wenn das Ding wieder online geht, dass da viele Interessierte draufgucken und dass das nach drei, vier Tagen wieder kaputt ist, 02:02:17.610 --> 02:02:19.238 Ähm also, 02:02:20.019 --> 02:02:29.940 prinzipiell müsste man aber auch an dieses gesamte Konzept ran. Und äh mal drüber nachdenken, ob man nicht für sichere Nachrichten von A nach B, 02:02:30.703 --> 02:02:43.298 andere Lösungen bauen möchte. Ich meine das haben ja auch andere, ja? Also nicht nur die Rechtsanwälte haben so ein System, auch die Notare und demnächst auch noch die Steuerberater, 02:02:44.151 --> 02:02:56.488 ich hab gehört Ärzte haben auch so 'n System um Nachrichten von A nach B zu schicken und ich glaub unsere Steuererklärung geben wir auch mit so 'ner toll tollen Software ab, 02:02:57.293 --> 02:03:03.680 und da gibt's halt so hunderte von Einzellösungen um Nachrichten von nach B zu schicken. 02:03:04.679 --> 02:03:10.272 Ähm ich meine mit dem Eper, so hat man's verkackt und mit dem die E-Mail-System auch. 02:03:11.384 --> 02:03:14.858 Es wäre eigentlich ganz schön, wenn man einen universelleren. 02:03:16.131 --> 02:03:21.713 Open Source Dienst hätte, die einfach mal Ende zu Ende Krypto macht und das ohne Ausnahmen. 02:03:22.501 --> 02:03:28.540 Möglichst nicht in irgendeinen Browserfenster. 02:03:29.039 --> 02:03:42.229 Von daher äh Public Money, Public Code, äh Quellcode veröffentlichend von öffentlicher Software äh Outits machen und äh keine halben Sachen bei der Sicherheit. 02:03:47.072 --> 02:03:48.556 So mein Wunschzettel dafür. 02:03:48.917 --> 02:04:00.989 Können das nur, äh, wir können das nur unter äh schreiben. Das ähm ja, was machen wir da jetzt draus? Minus aus dem ganzen Paket. Also, 02:04:01.476 --> 02:04:05.093 Jetzt haben wir das mal so ein bisschen ausführlicher auseinander äh klamm büsernd, 02:04:05.622 --> 02:04:12.202 und stellen eigentlich fest, es ist eigentlich alles so im nicht mehr zu retten Bereich. 02:04:13.933 --> 02:04:16.090 Schade um das schöne Geld, ne? 02:04:15.790 --> 02:04:18.548 Das schöne Geld. Also, um das vielleicht nochmal. 02:04:18.248 --> 02:04:20.464 Aber ist ja nicht weg, das ist jetzt nur woanders. 02:04:20.164 --> 02:04:24.755 Ja, das fördert ja auch alles die Wirtschaft und so. Ähm, 02:04:25.410 --> 02:04:36.370 Was du eben gerade nochmal gesagt hast, so es gibt ja auch noch die und die haben ja noch das und die haben ja nochmal das. Ich hätte das glaube ich schon äh als wir hier beim Logbuch des ersten Mal drüber gesprochen haben, 02:04:36.948 --> 02:04:45.702 Auch schon gesagt, dass meiner Meinung nach es hier einfach schon ein systemisches Problem gilt. Wie kann es sein, dass eine Bundes, 02:04:46.430 --> 02:04:55.077 Bundesrechtsanwaltskammer den Kompetenz im Bereich Organisation von Rechtsarbeit, 02:04:55.744 --> 02:05:06.680 oder Interessenvertretung oder was da alles noch äh auf dieser Kammer so behandelt wird, da weiß ich gar nicht so viel dadrüber, weil ich mich halt nicht mit Rechtsanwältenkram auskenne, aber, 02:05:06.735 --> 02:05:09.168 Die kennen sich halt auch nicht mit wie, 02:05:09.300 --> 02:05:17.689 installiere ich eine zukunftsgemäße zukunftskonforme, zeitgemäße IT-Infrastruktur, 02:05:18.056 --> 02:05:26.221 mit äh hochproblematischer in einer hochproblematischen Umgebung, sprich Internet ähm. 02:05:27.394 --> 02:05:31.353 Die hat die hat sowas gar nicht zu machen, 02:05:31.810 --> 02:05:44.417 Also meiner Meinung nach ist einfach diese Bundesrechtsanwaltskammer insofern jetzt hier auch so ein bisschen frei zu sprechen, weil der einfach eine Aufgabe übergestülpt wird, die sie meiner Meinung nach überhaupt nichts zu lösen hat, 02:05:44.700 --> 02:05:54.302 ist ja kein rechtliches Problem, sondern es handelt sich hier um ein Problem der IT-Infrastruktur des öffentlichen Rechts, 02:05:54.850 --> 02:06:00.437 Es ist verdammt nochmal die Pflicht einer Bundesregierung oder sagen wir mal des Staates, 02:06:00.696 --> 02:06:09.649 hier die notwendige Unterstützung, Planung und Übersicht zu liefern, genauso wie das für unser Straßensystem, 02:06:09.878 --> 02:06:22.731 auch getan wird. Es gibt da Autobahnmeistereien, es gibt da eine Straßenplanung, es gibt dann Verkehrsplan, es gibt da irgendwie klare Regelungen, Standards et cetera und in bestimmten Rahmen existiert so etwas ja auch, 02:06:22.900 --> 02:06:28.211 Aber es ist halt einfach entweder alles zu klein, klein, 02:06:28.404 --> 02:06:41.648 falschen Ministerien unterstellt oder eben einfach mit viel zu wenig Durchgriff vorhanden. Es so eine Infrastruktur muss einfach generell für den öffentlichen Bereich geplant, gebaut. 02:06:42.856 --> 02:06:44.471 Möglichst öffentlich gebaut, 02:06:44.790 --> 02:06:53.473 und dann eben auch betrieben werden, damit nicht irgendwie jede kleine Kammer und jede kleine Entität, die irgendwie in diesem ganzen 02:06:53.311 --> 02:07:01.982 und in diesem ganzen körperschaftlichen, öffentlichen Geflechten geflecht unterwegs ist mit Auftrag sich immer wieder selbst mit 02:07:01.862 --> 02:07:06.272 denselben Problem auseinandersetzen muss, die man zentral sehr viel besser und sinnvoller lösen kann. 02:07:05.984 --> 02:07:20.779 Ich weiß aber ehrlich gesagt nicht, ob das jetzt wirklich die Qualität dann verbessert hätte. Also ich glaube, wenn das jetzt hier äh nicht von der Rechtsanwaltskammer, sondern vom Staat gebaut worden wäre, dann hätte es halt statt zwanzig Millionen, hundertzwanzig Millionen gekostet und wäre trotzdem nicht besser gewesen, 02:07:21.470 --> 02:07:31.132 Also ich ich habe die wahrscheinliche meine Sorge ist tatsächlich einfach ähm das ist der, dass es hier an der. 02:07:31.127 --> 02:07:40.759 Wollte ich damit auch nicht sagen, dass es damit automatisch besser wäre, ja? So an die Qualität ist nochmal eine andere Frage, aber du kriegst es sicherlich nicht dadurch gelöst, dass irgendwie d, 02:07:41.330 --> 02:07:54.141 Gruppen, die da überhaupt komplett Themenfern sind äh äh und insgesamt vielleicht einmal ein großes Budget haben, aber danach wieder äh weder die Kohle noch die Bereitschaft, irgendeine Sicherheit dann auch noch zu aktualisieren oder es irgendwie an die 02:07:53.949 --> 02:08:00.637 die hohe Geschwindigkeit des Internets Fortschritts anzupassen. Das das ist einfach von vornherein eine Totgeburt. 02:08:00.758 --> 02:08:03.119 Vielleicht könnte es aber auch so sein, sage ich mal 02:08:03.113 --> 02:08:12.751 Der Staat als Kunde, ne? Also normalerweise, wenn jetzt jemand zu dir kommen würde und sagt, hör mal, ich habe mir das so und so überlegt, dann würdest du vielleicht kurz sagen, guck mal hier, 02:08:12.823 --> 02:08:25.250 der geht so nicht, ne? Das ich kann ja gut verstehen, dass sie das haben möchten, aber diese Feature-Request, den sie da haben, den kann ich ihnen nicht erfüllen, weil es gibt ein paar Sicherheitsregeln, die mir verbieten, sowas zu tun, 02:08:25.359 --> 02:08:33.921 Ähm bitte nehmen sie von der Idee Abstand, dass hier als Web äh Scherz zu machen, äh lassen sie uns bitte eine ordentliche, 02:08:34.173 --> 02:08:41.066 Applikation bauen und dann machen wir hier vernünftige BH-Nachrichten, ja? Damit wir es ja, 02:08:41.721 --> 02:08:47.159 hätte in meinen Augen äh den meisten zu Gewinn gebracht, ja. Ähm, 02:08:47.772 --> 02:08:56.029 Der Staat aber der der schreibt sich ja schon von vornherein rein, der der quasi das das Pflichtenheft für den Softwarehersteller war ja hier Gesetz, 02:08:56.035 --> 02:09:04.826 Du konntest ja nicht mehr sagen, RFC hast du nicht gesehen, spricht aber dagegen, dass das geht, denn haben die gesagt, ja, nee, aber Paragraph so und so spricht dafür, dass das geht, muss gehen, 02:09:05.733 --> 02:09:09.915 dass da da glaube ich, da hat schon von den Anforderungen her. 02:09:10.030 --> 02:09:19.470 Ja gut, aber das ist natürlich auch die Folge davon, dass diese Anforderungen vollkommen getrennt von der Durchführung gemacht werden. 02:09:19.386 --> 02:09:20.509 Ja, also, 02:09:20.570 --> 02:09:34.288 du du trennst da etwas auf, was man so nicht nicht trennen kann. Also so eine Regelung würde in dem Moment nicht entstehen, wo man dann sich wirklich auch mal konkret um und das muss dann irgendwie auch auch wirklich laufen. Ich finde auch die Grundanforderungen sind halt so ein bisschen falsch. Man pickt sich zwar so 02:09:34.066 --> 02:09:35.947 hier und da das Richtige raus, 02:09:36.578 --> 02:09:46.991 Aber grundsätzlich so diese Koexistenz mit dem Internet und das muss sozusagen auch in so einem, so einem Reword-Envarment laufen. Ähm, 02:09:47.743 --> 02:09:55.572 ist alles nicht da. Also ich habe da nicht alle Lösungen, aber ich denke, es ist klar, dass wir im Prinzip, 02:09:55.975 --> 02:10:03.822 staatliche organisierte Internetinfrastruktur für öffentliche Körperschaften nachdenken müssen. 02:10:04.760 --> 02:10:11.575 Ja, also es ist ja auch sozusagen ein bisschen gemischt gewesen als Gesetz, als solches ist ja Technik neutral formuliert, 02:10:12.416 --> 02:10:20.546 Und dann gibt's dazu so Vorordnungen und Erlasse und die werden ja schon sagen wir mal im, im Dialog mit den Betroffenen erarbeitet, ja, 02:10:21.178 --> 02:10:24.253 Also da hätte man wahrscheinlich was machen können, aber äh, 02:10:24.807 --> 02:10:32.588 Vorgabe ist ja Vorgabe und steht ja da irgendwo drin, ne? Also man hätte ja auch sagen können, Liebesministerium ändert da mal Dinge, 02:10:33.351 --> 02:10:41.386 Aber ob das sozusagen als Change Recrest äh vom Auftaktnehmer nach oben durchgereicht wird. Das ist natürlich schwierig. 02:10:45.190 --> 02:10:46.331 Tja. 02:10:47.780 --> 02:10:54.893 Was vielleicht auch noch äh ganz lustig ist, ist sozusagen der Kram, der noch dahinter kam und zwar äh war ja dann nicht nur das BA kaputt, 02:10:55.399 --> 02:11:02.850 sondern auch andere Leute haben sich angefangen, haben angefangen, sich so Dinge anzuschauen mit wo ist denn Software, wo Zertifikate drin sind. 02:11:04.154 --> 02:11:13.990 Ähm und äh da hat jemand äh ein Intelsystemdienst gefunden, wo auch ein Zertifikat eingebaut worden ist, inklusive Private Key. 02:11:15.373 --> 02:11:18.017 Das hat er dann während des Kongress rewalken lassen. 02:11:19.616 --> 02:11:26.730 Ich glaub die Muzziler Foundation war da recht hilfreich weil das Interteam da irgendwie nicht so gut gesponnet hat. 02:11:27.920 --> 02:11:33.093 Und dann hat mich jemand am neunundzwanzigsten zwölften doch ein Hinweis gegeben. 02:11:34.103 --> 02:11:43.177 Dass die Anwälte, die haben ja so tolle Smart Cards und da ist ein Kryptoschlüssel drauf und der Kryptoschlüssel ist nur für den Transporter, fürs Schlüssel und Entschlüsseln. 02:11:44.264 --> 02:11:52.562 Und die können sich aber auch Signaturzertifikate holen und die können sie sich nachladen lassen über so eine Webapplikation. 02:11:53.633 --> 02:11:57.827 Diese Webapplikation, die redet ja mit dem Kartenlesegerät. 02:11:58.993 --> 02:12:13.529 Könnte ich jetzt sicherlich vorstellen, die haben auch gesagt, dass wir zu Hause geschrieben und sich eine Domain geholt. Die hieß dann Local Minus Service Punkt B not car Punkt DE von der Bundesnotarkammer. 02:12:14.755 --> 02:12:25.949 Was mich da ein bisschen gewundert hat, ist äh das Produkt, was ihr dafür benutzt haben, um mit Smart Cuts zu reden, das war so eine Standardsoftware, die auch von anderen Leuten benutzt wird, um mit Smart Cards zu reden, 02:12:26.869 --> 02:12:34.350 und äh ich hatte eine ERL vier Plus Zertifizierung. Also eine BSI-Zertifizierung äh durch die TÜV IT, 02:12:35.131 --> 02:12:43.135 das ist alles sicher und toll ist. Und die haben also diese schöne Software inklusive Zertifikat durchgebunden. 02:12:42.968 --> 02:12:46.890 Mit anderen Worten äh es fault auch noch an anderen Stellen. 02:12:46.958 --> 02:12:57.996 Fault und auch an anderen Stellen und falls ihr Dienste und Software seht, die einen lokalen Port aufmachen und darüber SSL reden, schaut mal nach. 02:12:58.032 --> 02:13:03.662 Der braucht man gar nicht mehr nachschauen, da ist, dann ist die Frage ja schon geklärt, ne? Also geht halt nicht. 02:13:03.512 --> 02:13:17.958 Ich glaube aber, dass ich glaube aber, dass äh wenn ich mich nicht täusche, deren Problem sich insofern etwas abschwächen dürfte, weil in zukünftigen Browser-Updates, die sagen werden, dass lokale Verbindungen 02:13:17.868 --> 02:13:20.698 also auf hundertsiebenundzwanzig null null eins, 02:13:20.710 --> 02:13:30.108 keine Verletzung des äh Kryptokontextes mehr sind, weil mit dir mit deinem eigenen Hausverschlüsse zu reden ohnehin eigentlich eine unsinnige Anforderung ist. 02:13:30.637 --> 02:13:43.557 Ja, das äh würde ja dann demnächst helfen, aber äh wie gesagt äh die haben ja dann auch so Vorgaben, welche alten Browser sie noch supporten müssen und welche alten Betriebssysteme. 02:13:43.262 --> 02:13:51.615 Na ja, da stimme ich jetzt nicht so ganz so, aber wir machen jetzt hier mal den äh Deckel drauf. Markus, vielen, vielen Dank für deine Ausführung. 02:13:52.642 --> 02:13:53.801 Schöne Arbeit. 02:13:54.102 --> 02:14:00.460 Genau, weiterhin immer äh aufmerksam auf alles äh draufgucken, was äh anderen Leuten auf die 02:14:00.376 --> 02:14:10.357 Zeiger geht. Ähm ja, viel Erfolg dann noch bei der weiteren Auseinandersetzung, damit sowas solche Projekte haben ja meistens noch relativ lange Nachwirkung, 02:14:10.436 --> 02:14:13.806 Linus läuft's schon. 02:14:13.506 --> 02:14:15.723 Da hast du was haben wir ans Bein gebunden. 02:14:15.423 --> 02:14:25.872 Na ja gut aber genau, man kann das ja auch zum äh eigenen Spaß äh bringen und auf jeden Fall äh hat's mal wieder allgemeine Erhellungen für allgemeine Erhellungen gesorgt, 02:14:25.897 --> 02:14:30.385 Okay, vielen Dank, tschüss. Ähm wir sagen auch tschüs, 02:14:30.926 --> 02:14:36.214 Hier für diese Sendung. Äh Ulius hast du noch irgendwas, einen letzten Gruß. 02:14:36.857 --> 02:14:44.855 Ne, mein Dank gilt einfach, Markus für äh für sich im Dezember äh damit auseinandersetzen und äh. 02:14:44.940 --> 02:14:47.084 Einem Tag noch auf die Idee kommen, Talk zu machen. 02:14:46.814 --> 02:14:52.769 Diese Geduld äh äh aufzubringen. Das ist echt eine eine schöne Nummer gewesen. Danke dir. 02:14:51.651 --> 02:14:59.355 Danke. Allright, das war's. Äh ihr hört uns bald wieder. Wir sagen tschüss und bis bald. Bis denn. 02:14:58.400 --> 02:14:59.355 Bis denn.