Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP289 Untersuchung von Sicherheitsriesen

Cybervoting — Cyberhackback — Cyberwarnungen — Cybersicherheitsgesetz — Brexit — Feedback

Huch, gleich noch eine Sendung in dieser Woche? So ist, denn es lag noch so viel Cyber rum, dass wir es unbedingt noch für Euch auffegen mussten, um es einer ordentlichen Entsorgung zuzuführen. Wir reden über Cyberexperimente in Tübingen, Cyberattacken in Russland, Cyberkonfusion beim BSI und im Bundestag. Dazu noch ein wenig Eigenwerbung von Tim, der einen neuen Podcast gestartet hat, wo sich die aktuelle Folge um den Brexit dreht.

https://logbuch-netzpolitik.de/lnp289-untersuchung-von-sicherheitsriesen
Veröffentlicht am: 1. März 2019
Dauer: 1:28:32


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:36.259
  3. Cybervoting in Tübingen 00:03:07.962
  4. Cyberhackback in Russland 00:29:34.653
  5. Cyberwarnungen des BSI 00:47:06.639
  6. Cybersicherheitsgesetz 01:11:14.749
  7. Hörer:innentreffen BCN und Brexit-Sendung 01:17:13.587
  8. Feedback 01:20:46.468
  9. Epilog 01:28:11.961

Transkript

Aux

Also was in der App dargelegt wird das kann ich dir jetzt nicht sagen können oder sagen was auf dieser abstimmungs Webseite ist ich vermute mal das dürfte dann dieselbe Informationen sein weil diese App kann ich in dem Sinne ja nicht Mahlzeit kann ich sie beziehen aber ich kann sie zumindest nicht benutzen weil dafür braucht man einen Zugangscode fällt erstmal noch mal so ein bisschen dazu was geplant ist dann kann man das mal bei also es soll, die Möglichkeit geben hier vorallem elektronisch sich zu beteiligen und dazu ist dann eine App raus gebracht worden eine Bürger App für iOS und für Android die kann man sich als installieren Teilnehmer dieser befragen kann man aber nur wenn man von der Statistikstelle einen Zugangscode zugesandt bekommen hat, den bekommt man mich das richtig verstanden habe automatisch zugesendet das heißt man geht einfach durch Melderegister und schicke den Leuten per Brief so ein kurzer und den kann man dann diese App eingeben. Gut ja hatte ich jetzt noch so gelesen aber Zugangscode ist die Formulierung wie auch immer also ob er nun so oder so codiert ist ja letztlich auch egal alles gibt ja quasi so einen Freischaltnummer und damit autorisiert man sich, für alle möglichen Abstimmungen bis jeweils zum 29 September eines Jahres. Oder ab dem 30 September eines Jahres geht dann immer wieder einen neuer Zugangscode, wiederum dann für das nächste Jahr also man refresh taste und wenn Leute halt wegziehen und so weiter fallen sind natürlich zwangsläufig irgendwann dann raus weil sie dann eben nicht mehr. Ja jetzt ist das ja so mit dem, bewerten solcher Vorgänge ein bisschen schwierig also ich wäre mal her mal so zwei Achsen aufmachen erstmal grundsätzlich ich habe ja überhaupt nichts gegen Bürgerbeteiligung, und in gewisser Hinsicht sind das ja hier auch so ein bisschen so diese klassischen Fragen ne was sollen wir genau bauen oder was wollen Sie stattdessen haben wenn man das nicht machen etc und Michael hat das natürlich Normandie ganze Debatte, die ist damals auch schon rund um die Piratenpartei wenn auch nicht unbedingt auf sie reduziert gab bezüglich der Software Liquid Feedback die habe ich ja, auch schon mal in mche ausführlicher behandelt und das im Prinzip genau solche Dinge weil hier geht es so um, Abwägung mir geht es nicht so um klare ich will das ja nein. Sachen soll es geht so um na ja vielleicht so vielleicht so vielleicht so und dann wobei die Abwägung halt hier vom Gemeinderat vorgenommen wird und dann letztenendes innen solche Fragestellungen, eingekleistert am da kann man jetzt mal schonmal drüber diskutieren ob das sozusagen der richtige Weg ist das wird dann natürlich auch ein bisschen die Erfahrung, zeigen weil man kann ja sozusagen diese Fragestellungen selber gar nicht weiter modulieren bei Liquid Feedback ist das ja sozusagen Teil des Systems das, alle Leute die daran mitwirken weil sie selber einen Vorschlag machen und für diesen Vorschlag und für so eine Alternative entsprechende Unterstützung gewinnen müssen, Liquid Feedback ist natürlich auch ein relativ komplexes Monster und hier würden uns natürlich für die breite Bevölkerung auf wenige Fragen runterbrechen, soweit so interessant jetzt stellt sich natürlich hier eine andere Frage um was handelt es sich denn hier eigentlich rein rechtlich ist das wie es hier geplant ist nicht bindend, was heißt hier wird nicht irgendwie eine Abstimmung vorgenommen die letztlich einen definiertes Votum hervorbringt an dass ich einen Gemeinderat verhalten hat. Weil dann wäre das ja hier quasi auch in irgendeiner Form ein ja bräuchtest dafür ja sozial auch eine rechtliche Grundlage und man müsste noch sehr viel weiter gehen Fragen so ja sind wir überhaupt alle beteiligt was ist das jetzt ist das technisch eine Volksabstimmung ist das irgendwie mit anderen Sachenrecht ich noch zusammengebracht in der bin ich kein Experte aber ich finde es schon ganz interessant dass in dieser ganzen Darstellungen hier, immer sehr zwischen mal es ist eine Befragung und mal ist es eine Abstimmung hin und her gewechselt wird ne also die url ist dann irgendwie mit Slash Abstimmung sonst wird er davon Abstimmung geredet also letztlich baut man hier eine Cyber Voting Infrastruktur auf den selbst wenn man sagt das ist nicht bindend das hatten wir auch schon beim brexit, am Ende haben natürlich solche Dinge insbesondere wenn sie deutliche Mehrheiten hervorbringen, was jetzt beim brexit nicht unbedingt der Fall war oder auch überhaupt nur Mehrheiten Vorbringen ist das natürlich erstmal eine Legitimation für eine Exekutive daneben auch entsprechend tätig zu werden, zum zwei andere Vorschläge abzulehnen und da solchen Projekt natürlich man hat eine ganze Menge Geld dran hängt ist es jetzt auch nicht so dass sowas nicht interest frei ist. Der Chaos Computer Club Stuttgart hat jetzt einen offenen Brief an die Stadt Tübingen geschickt vielleicht was die Aufmerksamkeit betrifft zu einem interessanten Zeitpunkt hätte man allerdings auch schon früher machen können weil jetzt ist es ja sozusagen schon auf dem Weg und füttert noch mal diverse Argumente auf, die wir hier auch schon mehrfach und breit diskutiert haben gerade in den letzten Wochen und ja bemerkt dass es also erstmal generell problematisch ist hier, Service durchzuführen und somit um klar zu lassen was jetzt jährlich bindend ist oder nicht ne also hier heißt es immer schön auf der Webseite Stadt Tübingen die Entscheidung trifft zwar der Gemeinderat das Ergebnis der Befragung gibt im Gemeinderat aber die wichtige Informationen, ob er auch im Sinne der typi gerinnen und Tübinger Handel tut er dies nicht muss er einen abweichenden Beschluss gut begründen, der CCC Stuttgart liegt hier aber noch ein paar konkretere Sachen vor und weist darauf hin dass jetzt hier z.b. der Quelltext dieser ganzen, App nicht öffentlich ist die habe ich natürlich von einem deshalb Party programmiert worden. Und ja dass ich mal wieder um closed source es fördert nicht unbedingt gerade das Vertrauen es gab wohl einen externen Sicherheitstest dieser Software aber dieser Prüfbericht wiederum ist auch nicht öffentlich, und natürlich hat mir generell das Problem, das hier ist Mart Phones zum Einsatz kommen sollen und dass es um diese Sicherheit dieser Geräte in unterschiedlichem Maße nicht so gut, bestellt ist oft kommentieren ja Tübingen. Jedoch keinen irgendwie das Russland wird jetzt nicht gleich eine neue garnisionskirche bereitstellen und wir es irgendwie Tübingen zu stürzen, aber abgesehen davon dass ich mir da erstmal sie gar nicht so sicher wer ist das ja eigentlich auch egal ja also hier geht es ja um, grundsätzliche und letzten Endes baut man hier eine Infrastruktur auf die wenn sie dann erstmal ein paar Jahre im Betrieb ist ja auch dann zunehmenden Maße so in der Rolle ist. Entscheidend zu sein auf einmal da und wenn dann dir immer mehr Leute merken dass diese Entscheidung mehr Gewicht haben als Debatten im Gemeinderat oder so oder Lobby Arbeit oder Arbeit von öffentlichen Bürger Gruppen dann wird es natürlich schnell ein Ziel und hier ist man gleich, vom Start weg nicht so gut aufgestellt.

Na diese Gewichtung hätte ich erstmal recht, im recht interessantes Konzept ja zu sagen wird so wissenschaftlich sich das überlegt oder der hat was ist denn wenn jetzt eine bestimmte Personengruppe in, unserer Stichprobe die sich an der Wahl beteiligt hat überrepräsentiert oder unterrepräsentiert ist ne, bei so einer Smartphone walkway könnte man jetzt vielleicht davon ausgehen, die Bevölkerungsgruppe irgendwie jenseits der 80 oder jenseits der 70 Jahre ist unterrepräsentiert im Sinne von es gibt mehr Menschen dieses Alters in Tübingen oder der Anteil dieser Menschen. An der Gesamtbevölkerung Tübingen ist größer. Als der Anteil der Menschen die sich an diesem Stimmungs Prozess beteiligt. Und diese Idee der Gewichtung wäre dann zu sagen na ja okay wenn wir doch wissen das 80-jährige und über 80-jährige Personen unterrepräsentiert sind dann Gewichten wir, die abgegebenen Stimmen von 80-jährigen höher. Weil wir quasi von den wenigen 80-jährigen die abgestimmt haben auf den Rest schließen das ist in der ist natürlich eine zulässige Methode sofern. Du keinen Grund zu der Annahme hast dass in irgendeiner Form die Teilnahme oder sonstiges konfundiert ist, Mit dem wie die Leute dort Antworten also ein ich nehme jetzt ein fiktives Beispiel, gehen wir davon aus dass über irgendetwas was weiß ich soll Tübingen eine. Eine eine eSport Mannschaft gründen ja eine eSport Mannschaft die in Hongkong bei den eSport Meisterschaften im. Schach teilnimmt oder irgendwie sowas irgendwas soll ich mal junge Menschen. Und jetzt hast du machst du diese Bürgerabstimmung über Smartphone und stellst fest unter den 80-jährigen sind 80 % dafür, von denjenigen die mit dem Smartphone abgestimmt haben jetzt könnte es natürlich sein dass diejenigen die in Smartphone haben ne sagen ach ja geil hier eSport ist auf jeden Fall das ganz neue Ding genauso wie ich hier mein smartphone. Und diejenigen die nicht abgestimmt haben die nämlich kein Smartphone haben sah oder oder die Smartphone zumindest nicht nutzen, dass diese sich quasi sagen würden sie eSport ich weiß noch nicht mal was das ist, was ich gerne hätte wär behindertengerechte oder mehr Fahrstühle leichter zugängliche U-Bahn-Station oder sowas was Tübingen jetzt noch nicht mal hat also wollen auch direkt noch eine U-Bahn dazu haben und in dem Fall wenn du jetzt dann die die unterrepräsentiert hin über 80-Jährigen aufbläst, dann würdest Du ja quasi das tun auf eine Meinung der nicht an der Wahl teilgenommen habenden schließen. Die in dem Fall nicht zustimmt bei der die in dem Fall falsch ist also diese Gewichtung finde ich bei bei demokratischen Sachen tatsächlich relativ riskant, dazusagen achso du hast zwar nicht abgestimmt aber die Bevölkerungsgruppe die wird immer definiert haben du bist nämlich in der Bevölkerungsgruppe der, soundso jährigen bei denen gehen wir davon gehen wir davon aus die haben im allgemeinen so abgestimmt und aufgrund des des Einzelnen attributes oder der 23 Attribute Alter Geschlecht und was haben sie ja noch ne das war es glaube ich ne Alter und Geschlecht aufgrund deines Alters und deines Geschlechts gehen wir davon aus dass du folgendermaßen abgestimmt hättest ne.

Also ich finde dass es gibt ja. In der Wissenschaft oder in in in in in solchen Erhebung machst du das regelmäßig ne wenn jetzt irgendwie was weiß ich die Forsa. Sehr gefragt wird nach man eine Umfrage und dann sagen Sie die war jetzt repräsentativ ja dann. Können die müssen ja quasi ziemlich genau sich überlegen was heißt denn jetzt überhaupt repräsentativ und repräsentativ heißt eben was was ich absolut Sophie Person und die Zusammensetzung der Personengruppe ist folgendermaßen und dann bauen die sich quasi ihrem, gemäß Alter Geschlecht und so weiter eine Stichprobe die sie daneben erfüllen und wenn am Ende noch eine Frau, unter 25 IV wären die spezifisch eine Frau unter 25 Fragen um die Repräsentativität zu erhalten umgekehrt kann es natürlich sagen ok, unsere Umfrage ist nicht repräsentativ jetzt korrigieren dir einfach die Stimmen Sonett gewichtige die andersrum um. Einfach zu schließen aha so und so, 5 unter 25 jährige sind überrepräsentiert über 80 jährige sind unterrepräsentiert jetzt korrigieren wir das so ein bisschen in diese Richtungen wie wäre diese Umfrage ausgefallen wenn wir wenn wir dass das aktuelle Verhältnis, zwischen 25 und 80 jährigen hätten eigentlich nur höchst umstrittene Maßnahme die eben auch immer, vom von der Sachlage abhängt ja weil wenn deine Frage mit dem Alter konfundiert ist kann das eben zu Problemen. Oder wenn die Entscheidung mit einem zweiten Faktor in irgendeiner Weise konfundiert ist den du nicht berücksichtigt dann verzehrst du dir die Ergebnisse finde ich finde ich einen sportlichen Einstieg, nicht nur zu sagen ok wir machen jetzt hier so ein Bürgerbefragung sting finde ich super. Sondern auch noch zu sagen wir wir machen da auch noch Gewichtungen dran, am Ende zu sein naja okay das ganze ist nicht bindend ne das ist ja auch also das da der der der direkt DemokratInnen mir der sich regelmäßig in Berlin an den Volksentscheiden beteiligt ist natürlich sehr verärgert wenn ich feststelle die sind nicht bindend. Ja wofür machen wir das ganze Theater denn dann dann dann brauche ich gar nicht erst dahin zu gehen wenn es am Ende heißt ja ja das war ja aber nur ein Meinungsbild, ja wenn dann noch gesagt wird ja okay wären das aber jetzt mal gewichtet, soundsoviele sind ja gar nicht hingegangen na dann also ich finde das irgendwie, das riecht für mich nach nach Ärger ehrlich gesagt denn die nächste die nächste. Ich würde die Leute daneben werden ist na ja wir wollen aber bitte schön dass es verbindlich ist. Und dann hast du dann hast Du letztendlich Cyber Voting noch dazu mit mit einer Gewichtung drin und das ist denke ich ein Spiel mit dem Feuer so schön ich eigentlich, so eine Idee finde die spontane spontane Bürgerinnen Befragungen was weiß ich Push Nachricht von Boris Palmer. Hier Schwimmbad ja oder nee beteilige dich bis da und da sonst zeige ich dich an und dann sagst du ja find ich gut finde ich nicht gut. Und dann. Hat gab es eine Bürgerbefragung döberin befragen sowie das da jetzt steht ist es hier nicht schlecht das ist ja das klingt ja schon relativ sinnvoll ich glaube nur dass du zwei klitzekleine Parameter änderst und du hast ein riesiges Problem.

Cyber in Russland zu sein nächstes Thema du, erinnerst dich ja es ist eine lange Geschichte die die die Geschichte der der russischen Einflussnahme in Wahlen die Geschichte der Unterwanderung und in irgendeiner Form Störung von demokratischen Prozess oder öffentlichen Diskussionen begleitet uns hier schon sehr lange insbesondere einig seid so 2015/16 als die Debatten losgehen okay wie sieht's hier aus mit dem brexit wie sieht sie aus mit der Wahl Donald Trump irgendetwas läuft doch hier schief und. Im Februar 20 18 glaube ich oder was 20910 dcbl 20:18 Uhr fand diese Anklage dann statt von denen, 13 Uhr, russischen Personen die der in irgendeiner Form gezielten Einflussnahme beschuldigt wurden in den USA ne weil er so ein prinzipielles Signal so wir wissen wer ihr seid und jetzt gab es jetzt 20 18. Im November in den USA die Midterms also die Wahlen zur Hälfte der Amtszeit des Präsidenten deren Ergebnis dann, die Mehrheit, in einer der beiden Kammern war der Demokraten haben sie wieder erlangt in der anderen kann man nicht diese entscheidende Wahl war natürlich die Sorge was, macht die russische meinungsverbrechen die fake-news Maschine und als solche wird bezeichnet die damals noch sogenannte, internet research agency die inzwischen umbenannt wurde aber quasi das gleiche ist. Um die über über die hat man sich Sorgen gemacht und. Ist man ist davon ausgegangen dass die irgendetwas eben im Rahmen dieser Midterms machen werden in die eine oder die andere Richtung Einfluss nehmen häufig ist deren Ziel ja nur überhaupt die Zwietracht, zu erhöhen und die Sachlichkeit der Debatte zu vernichten. Böse Zungen sagen Ihnen nach sie hätten Donald Trump zur Wahl verholfen um diese Gruppierungen. Jedes und diese Firma gehört einem Oligarch in der relativ nah an Präsident Wladimir Putin dran ist.

So jetzt und zwar die erste Berichterstattung war nur so ein bisschen ja sie haben die offline genommen. Und es war aber nicht berichtet wie denn das passiert ist ja also letztendlich konnten die am 5. November und vielleicht auch noch ein zwei Tage später nicht ordentlich arbeiten es wird gesagt sie waren offline es wird, nachher von den Unternehmen berichtet ja uns wurde dieser Raid Server kaputt gemacht und unseren unsere Amazon Server kaputt gemacht und wurde unsere Zertifikat kaputt gemacht und, übrigens wir haben auch die beiden zwei Angriffe festgestellt und zwar und die war natürlich. Im Vorlauf dazu ja die haben ja sehr viel früher stattgefunden und zwar wir haben einen einer unserer Angestellten hat ein. Anhang bekommen mit einem Trojaner hat den ewige öffnet und hatte dann seine Windows Buchse infiziert ein anderer Angestellter behauptet jetzt diese Nachrichtenagentur. Habe zunächst das iPhone infiziert bekommen. Und dieses iPhone als ist dann an den Arbeitsrechner gestellt wurde er gesteckt wurde habe dann auch noch über USB den Windows-Rechner infiziert Alptraum Szenario übrigens ja ziemlich, it also wenn das stimmt was sie da behaupten für wofür ist jetzt erstmal keine Belege gibt außer ihrer eigenen Aussage, dann ist das relativ übel nur dass du das jetzt grundsätzlich wenn du ein USB-Gerät dran steckst den Rechner übernehmen kannst ist relativ. Trivial na du kannst ja je nachdem wie viel du über USB machen kannst kannst ja einfach sagen alles klar ich bin jetzt der Tastatur ne und dann gibst du einfach Befehle rein oder du sagst okay ich bin jetzt Netzwerk-Interface und dann machst du irgendwie über diese Netzwerk-Interface ihr welche Scherze oder du gtarcade auf weitergehen dass du irgendwelche Exploits in den Treibern die da in dem USB hängen. Haus ausnutzt oder oder durch fist, allzu all dem keine Details vor allem nicht darüber wie dieses iPhone infiziert wurde und wie dann der Angriff über auf den Rechner funktionierte insofern ist das eben relativ haarsträubend weil, dieses Angriffsszenario noch bisher nicht irgendwo dokumentiert wurde zumindest nicht von einem iPhone von Android aus auf jeden Fall. Da haben wir das selber mal gebaut vor ein paar Jahren aber von dem iPhone habe ich sowas in der vor. Noch nicht gehört vor allem weil du eigentlich immer davon ausgehen würdest dass du den Windows-Rechner leicht leichter Hacks als das iPhone.

Aber so so jetzt erst einmal die Behauptungen der des betroffenen Unternehmens. Und es zeigt sich hier natürlich wieder das ist natürlich nicht am 5. November passiert, Sonne das ist alles sehr viel früher passiert die haben wie ich es ja auch gesagt habe dieses Unternehmen natürlich schon sehr viel länger, Spionage technisch auf dem Schirm gehabt na die wussten Verdi unternehmen wir die Angestellten sind und haben dann, dieses privat wirtschaftlich Unternehmen militärisch angegriffen und behindern Sabotage an verschiedenen Servern unternommen und sie offenbar von der öffentlichen Infrastruktur abgeschnitten denn die erste Meldung lautet ja die haben dafür gesorgt dass der größere Teil dieser Gruppierung offline war wie das genau passiert ist wie sie das erzählt haben dieses, dieses Ergebnis erzielt haben ist nicht vollständig technisch dokumentiert ist sowieso alles nicht wirklich gut, geschriebenes wird gibt nur eine kurze Aneinanderreihung von ja letztendlich Behauptungen. Und das ist natürlich jetzt irgendwie das hat halt einige schwierige Komponenten ne wir haben ja. Letztendlich ein Unternehmen was koordiniert und mit böser Absicht letztendlich von seiner Redefreiheit Gebrauch macht, das von einer von einem militärischen Kommando der USA angegriffen wird. Und von der öffentlichen Infrastruktur getrennt wird. Außerdem Sachschäden angestellt werden außerdem Mitarbeiter offenbar ausgeforscht wurden und mit Nachrichten bedacht wurden das ist schon eine ziemlich. Üble Aktion gleichzeitig ist auf jeden Fall festzustellen dass es dass ich das ist halt. Störend, ärgerlich für dieses Unternehmen aber das hindert sie natürlich nicht an der Operation zumal wenn das erst am 5 November passiert ist ihre entscheidende Arbeit haben sie ja natürlich in den Wochen, davor geleistet indem sie irgendwie Menschen in die Richtung der Republikaner oder Demokraten oder der generell unsachlichen die Batterie leer.

Ich glaube der weiß ich selber vor allem der Träne nach und da haben wir ja schon auch kontroverse Meinungen dazu gehabt ob man den jetzt von YouTube verbanden sollte oder wo auch immer aber ob man den militärisch angreifen sollte ich glaube da wären wir uns beide einig gewesen der dass das nicht unbedingt notwendig gewesen wäre also ich halte das hier für eine Fülle erstens eine bescheuerte Aktion und. Insbesondere dieses was hier passiert sein muss was ich immer sage es diese Position einnehmen bevor es wirklich zum, kommt ja also der ist wird nicht so gewesen sein dass Donald Trump gesagt hat hier Hack die sondern die Hanni natürlich schon vorher gehackt und und ausspioniert was sie nämlich auch getan haben im Rahmen dieser Anzeigen die dagegen 13 Personen stattgefunden haben ja die haben ja sehr häufig haben die USA ja relativ gutes intelligence Material über ihre ihre Gegner dass sie sich im Zweifelsfall mit dem Haken besorgt haben und hier daneben von der Spionage. Offenbar irgendwann dann einmal auf die Sabotage umgeschwenkt haben völlig unsinnige Aktionen an dem Tag und noch dazu eben einen. Sonia also die die Rahmenbedingungen machen wir hier tatsächlich so. Und zeigt eben genau das unsere These die wir wir ja hier vertreten die auch der Frank hier schon regelmäßig vertreten ne dieser ewige Krieg das nämlich. Dass dieses ganze Hecken die ganze Zeit Spionage mäßig stattfindet und dann im Zweifelsfall auch mal in die Sabotage um schwingt aber insbesondere hier keine Kriegserklärung stattfinden das ist gegen private Organisationen, gerichtet ist vorbei man das natürlich jetzt hier in Russland. Vorsichtig sehen muss kann man auch in Deutschland genau. Vorsichtig sehen was es hier teilweise für Firmen Geflechte gibt jetzt irgendwie über kritische Infrastruktur verfügen oder die die in the regierungsnah sind. Frank hat das mal bezahlen als gereja im Spiegellabyrinth was nämlich letztendlich das bedeutet wenn jetzt alle starten oder viele Staaten sich so im. Bin im Internet bewegen also tatsächlich ist das nichts worauf was was jetzt irgendwie mit Freude betrachtet werden soll.

Und diese diese Pressemitteilung vom 26 Februar ist wirklich ein. Ein. Stelle dir das vor du konntest auf ganz normal im im im Geschäft ein Telefon kaufen und dieses Telefon war vor infiziert mit einer Schadsoftware, das wäre sie schreibt dazu auf Tablets und Smartphones die über die Online-Plattform in auch in Deutschland gekauft werden können kann sich vorinstallierte Schatz auf der Befinden des BSI, hat dies zunächst an einem Tablet nachgewiesen ok krasse Meldung was was nun ja. Gehen wir jetzt auch hin und machen die Platz so ne nein das BSI warnt, vor dem Einsatz dieses Gerät ist auf Grundlage des Paragraph 71 ipsi bsi-gesetz ist und rät allen Anwenderinnen und Anwendern zu besonderer Vorsicht. Das ist also da ist dann sehen wir okay Vorsicht Vorsicht ist ein Trojaner drauf gewesen also seit du es gekauft hast seit Stunde Null ist auf diesem Gerät eine eine Schatz soviel sei also vorsichtig was heißt besondere Vorsicht. Mit jetzt erstmal nicht erklärt das BSI sagt also wie sind Sie darauf gekommen ja sie haben also im Februar 20193 Geräte gekauft erstens ein Tablet mit dem Namen Igel 804, des Herstellers Krüger und Matz zweitens ein Smartphone S8 pro des Herstellers ulefon und das Smartphone A10 des Herstellers black view also 323 Geräte zwei Smartphones ein Tablet und jetzt haben sie festgestellt auf dem Tablet ist im Auslieferungszustand diese vorinstallierte Chartsoftware auf dem, auf den beiden Smartphones von ulefon und black view konnte im aktuellen Auslieferungszustand, keine Schatz ist er gefunden worden aber wenn man auf die Webseiten der Hersteller geht und sich die älteren Firmware anschaut dann, kriegst du dort noch die älteren Firmware sin infizierter formis ist also davon auszugehen dass diese Geräte in einem früheren Auslieferungszustand diese ältere Firmware Sand und in diesem Auslieferungszustand eben auch. Denkmal sich okay krass wie kommt das BSI überhaupt auf die Idee im Februar ausgerechnet diese drei Geräte zu kaufen. Und zu prüfen naja ursprünglich hatte die Firma sofort über entsprechende Infektionen beim Pullover und S8 berichtet, und die funktioniert hätten Schadprogramm Chat programs analysiert also, tatsächlich Aktivität des BSI beschränkt sich denn hier offenbar auf einen nachvollziehen dieser Analyse anhand von 34 Amazon gekauften Geräten. Desweiteren hat das BSI aber noch über verfügt das BSI aber über sinkhole Daten, sinkhole heißt einem ESP ist von mir aus bekannt dass die Sabbel spezifische command-and-control Server einer ist und deswegen wird der Traffic dort nicht mehr hin geroutet. Sondern intern krautwickler okay diese IP-Adresse die schicken wir jetzt woanders hin. Und zählen dann z.b. die Verbindungen dorthin ja und das BSI verfügt über diese Daten sagt wir haben 20000 Verbindung unterschiedlicher IP-Adressen pro Tag auf diesem bösartigen C&C Server, was sich. Grob übersetzen lässt in jetzt nimmt man beim paar IP address Wechsel und so weiter mit dazu dass du irgendwo zwischen wahrscheinlich 10 und 15000 infizierte Geräte in Deutschland bei. Hast die sich dorthin verbinden bei diesem ESP wo der dieses syncall mitmacht oder mehreren ispsd dieses hin kurz mitmachen also kannst du von einer größeren Verbreitung von Geräten mit dieser Schatz auf der in Deutschland ausgehen immerhin, fünfstellig wurde gemessen kannst davon ausgehen dass du extrapolieren kannst auch irgendwie vielleicht hoch 5 stellig oder sogar 6 Uhr stellen, welche Möglichkeiten hat das BSI Noya das BSI hat deutschen Netzbetreiber mittels cert-bund Report über die Infizierten Geräte informiert und die Provider wurden gebeten ihre betroffenen Kunden entsprechend zu benachrichtigen, ja das kann also auch passieren nur dass der Provider sagt okay wir gucken jetzt machen diese Geräte das in wenn wir bei den Leuten feststellen dass sie diese Verbindung herstellen dann schreibe Ihnen einen Brief oder schick eine SMS oder so.

Nee ich weiß es nicht was ich weiß es nicht was sie machen einzige Messpunkten ich habe ist Deutsche Telekom und die schreibt man so. Amazon hat ansonsten gegenüber dem BSI angegeben die drei genannten Geräte nach Kontaktaufnahme durch das BSI erstmal aus dem Sortiment genommen zu haben so und jetzt ist schon der letzte Satz was Käuferin und Käufer der oben genannten Geräte jetzt tun sollten. Und worauf alle IT Nutzerinnen und Nutzer beim Kauf von RT Geräten achten sollten. Sogar noch ein Grammatikfehler drin ja worauf allen als die Nutzerinnen und Nutzer beim Kauf von E-Zigaretten beachten sollten. Hat das BSI unter der Webseite www.bsi-fuer-buerger.de zusammengefasst, und wenn du das ist ja ihn für eine Standard Seite dann wenn du auf diesen Link klickst dann steht da in die beim Kauf von Artikeln Räten geht Sicherheit vor ist die aktuelle Version des Betriebssystems installiert gibt's in Zukunft also irgendwelche Standard Tipps ja, 3 Tipps haben Sie wenn also wenn du wenn du einen vor infiziertes mit Smartphone ist im im mit mit Schatz verführ infiziertes Gerät bei Amazon, gekauft hast dann ist der Typ des BSI, guck auf die neueste Version des Betriebssystems installiert ist werden ist die updateversorgung in der Zukunft garantiert und verschlüsselte die SD-Karte das sind die Tipps des BSI. Wenn du also dich meiner festwoch hinten unter der Fettsack hinten rüber das hat jetzt mit den also nicht gerade dieser keine keiner dieser Tipps. Hat irgendetwas damit zu tun was die Charts auf der Infektion bei diesem Gerät ist, ja ob du jetzt wenn dann wenn dann wenn die Charts auf der schon da drauf ist dann hilft dir auch das neue Update nicht weil die kommt ja mit dem Update zweitens wenn die Schadsoftware, schon da drauf ist dann richtig auf die SD Karten Verschlüsselung nichts weil du eine Schatz erfährst die kann natürlich auch die verschlüsselten Daten.

Hier wird aber nicht analysiert ob wenn ich ein betroffenes Gerät habe und jetzt das Update mache ob die Schatz auf der Infektion dann weg ist im Zweifelsfall nämlich nicht, im Zweifelsfall ist die nicht weg das würde also in zwei. Im Prinzip muss ich das Gerät bei den zwei Geräten wo die aktuelle Firmware nicht mehr die Chance für Infektion hat die müsste ich halt komplett reiten und den diese ganz neue Firmware draufspielen was, wenn ich jetzt ein Update mache das Update löschen ja nicht die Schatz Software das heißt die ist da drauf hier wird noch nicht einmal den betroffenen Menschen in irgendeiner Form konkret Hilfe gebeten gegeben, sondors BSI hat die Provider Gebieten ja gebeten vielleicht hat der Provider ja bitte bitte mache ich bitte mache ich nicht, also man sieht hier nur die die absolute Hilflosigkeit im Umgang dann wird uns auf ihnen eine dämliche Webseite mit mit nicht für diesen Fall relevanten Informationen verwiesen. Könnte ihn überfallen und diese wenn man sich jetzt überlegt ja das Leben habe ich ja tatsächlich als Positivbeispiel genommen als irgendeine blöde Puppe in Deutschland mal, geeignet gewesen wäre jemanden abzuhören da ist das die bellezza hin gegangen und hat gesagt wir verbieten die so die darf hier nicht mehr vertrieben werden und die darf nicht der darf nicht mehr mit gehandelt werden und wer die noch besitzt macht sich strafbar, Eltern die dass die ihre Kinder mit der Puppe spielen lassen. Was heißt ich Wer ist machen sich strafbar weil sie dieses Abhörgeräte einsetzen ne wir wir ordnen die Vernichtung an diese my friends cayler hieß diese Puppe ich habe dann noch versucht unbedingt einer auf auf Ebay zu bekommen weil diese völlig uninteressante Puppe natürlich dadurch dass sie jetzt verboten war ein höchst interessantes Objekt wurde, aber der Handel auf ebay Transit gegen nicht mehr, weil die Benita gesagt hat ist illegales Gerät damit darf nicht gehandelt werden die einzige Möglichkeit so eine Puppe noch zu sehen ist im deutschen spionagemuseum, in Berlin Alice noch eine die haben irgendwie Sondergenehmigung vom von der Binärzahl dieses dieses, vernichtet zu haben unter höchsten Sicherheitsvorkehrung ohne Akku und da in so einer Vitrine liegen zu lassen ja das ist im Prinzip das was jetzt in Wien notwendig wer im Umgang mit diesen Geräten stattdessen so ach ja wir waren davor achtung es könnte sein dass du ein infiziertes Gerät gekauft hast wir raten dir zu äußerster Vorsicht, ja vielen Dank also ich finde das tatsächlich skandalös weil wenn ich jetzt wenn sich jetzt eine Person an mich wenden würde und sagen würde hier Linus. Könnte sein dass ich betroffen bin bin ich es oder nicht weiß ich nicht über 2 Geräte wird ja nur spekuliert ich habe jetzt mal geguckt ich soll gucken mit den Updates habe ich gemacht bin ich jetzt noch bin ich jetzt sicher oder nicht sie wird niemandem geholfen.

Die Linke wollte das Argument beibringen. Das ja in Open-Source Fällen diese viertel Milliarde Millionen 14 Milliarde. Erstmal gespart wäre und außerdem auch die Prüfung auf Sicherheitslücken einfacher wäre. Und außerdem eben als Dienstleister kleinere Unternehmen sich an den Ausschreibung der öffentlichen Hand beteiligen können und dass das doch im Prinzip unterm Strich wünschenswert wäre hier auf public money public code public infrastructure und so weiter zu setzen und diese viertel Milliarde irgendwie anderweitig zu investieren, stellte sich übrigens raus im Rahmen dieser Anfrage dass diese Zahl ist jetzt erstmal nur für Microsoft denn. Das Innenressort konnte überhaupt gar keine Auskunft darüber geben welche Software in der Verwaltung eingesetzt wird und was da an Lizenzen überhaupt bezahlt wird deswegen werden sie jetzt mal ein Lizenzmanagement einfüllen überhaupt die Frage. Beantworten zu können wie viel Lizenzkosten die Bundesverwaltung hat. Ok im Rahmen dieser Anfrage der Linken kam dann nämlich zutage eine Studie, zur Systemintegrität Protokollierung Härtung und Sicherheitsfunktionen. Bei Windows 10 das BSI hat immer sehr gerne so schöne Abkürzung die dann irgendwie ganz nette Akronyme geben in diesem Fall Sisyphus. Studio System Intrige Integrität Protokollierung Härtung und Sicherheitsfunktionen Sisyphus. Heißt diese Studie und die hatte mehrere Ergebnisse wurden also insbesondere die, Telemetrie von Windows 10 unter so was heißt Telemetrie ein schöner schöner Begriff in den Zusammenhang also. Das Ding. Einfach die ganze Zeit nach Hause und sagt ach ja jetzt mach die Nutzerin das jetzt mach die Nutzerin darf der Taschenrechner wird so oft benutzt der das und irrt wurde gerade diese Software aufgerufen einfach nur helfen Sie Microsoft dabei mit anonyme Nutzungsstatistiken die an der Qualität von Windows 10 zu optimieren genau die gleiche Schaltfläche hat Apple übrigens auch ne machen du musst heute mal weg machen den Haken und. Gerade bei Windows 10 ist diese Telemetrie im unglaublich tief in den Betriebssystemen verankert und kaum abzustellen das ist nicht irgendwie, nee du tötest den Prozess Telemetrie. Exe sondern alle möglichen Komponenten haben Telemetrie settings, und das auf das BSI kam zu der Studie. Ein normaler Anwender kann die Neugier und den Datentransfer der umstrittenen Telemetrie Komponente des Betriebssystem nur schwerfällig unterbinden. Thorsten hat das mal versucht so eine Software zu schreiben trotzdem Schröder der ja auch öfter zu Gast war. Die verlinken wir meine hat der hat sich damit bewährt sich da bemüht einfach mal alle relevanten. Settings in der Registry und so weiter von Windows 10, zu finden und aufzusetzen und dann hat er so eine kleine keine Applikation gemacht die startest du dann dann sagt er dir was auf hier folgende Titel, spionagefunktionen hast du noch an die es heraus Empfehlung ist hier das Häkchen auf Grün setzen aber dann geht's natürlich auch los wenn du bestimmte Sachen ausschaltest dann funktioniert diese Katana nicht mehr und dann nett diese Telemetrie Funktion ist so tief in dem Betriebssystem das eben Teile der Funktionen dann eben auch aussetzen wenn du wenn du sie ausschalte. Außerdem weiß ich dass er inzwischen diese Software nicht mehr gerne empfiehlt weil er weil er nicht weiß ob die. Ob sie ihr Ziel noch erreicht weil der eben auch zu dem Ergebnis gekommen ist da geht so viel raus aus diesem Ding und das ist so viel Telemetrie dass es kaum noch möglich ist in diesem Wirrwarr auf dem. Auf dem aktuellen Stand zu bleiben und alle diese Settings informativ darzustellen zum gleichen Ergebnis kann das BSI außerdem, sollten sich auch sollte sich im Rahmen dieser Studie Sisyphos auf das trusted platform Module die Powershell die Applikations Infrastruktur und die Update Funktion für das, treiber-management untersucht werden bisher sind in siliphos versenkt worden 1,37 Millionen Euro und jetzt ist die Frage ist das. Ist das jetzt gut oder schlecht, dass das BSI soviel Geld ausgibt um diese Software zu prüfen es kommt natürlich ein bisschen darauf an wie man generell politisch zu der Software steht, wenn man also im Prinzip könnte man sagen jeder Euro der in die Sicherheitsüberprüfung von Microsoft Windows gegeben wird ist 1 € zuviel weil überhaupt dass wir Markus obwohl noch benutzen war falsch. Das ist die Position der linken und das denke also erstmal grundsätzlich auch meine Position es ist immer falsch Windows einzusetzen. Ja das halte ich grundsätzlich verkehrt aber und dann noch Windows 10 erst recht, gehen wir mal davon aus dass die Welt eben eine eine andere ist als sie sein sollte da wird das eben in der Breite eingesetzt ist eigentlich relativ wenig Geld oder aufjedenfall eine. Eine zu rechtfertigende Ausgabe dass das BSI hier mal 1,4 Millionen rauswirft um eine Software die in allen möglichen kritischen Bereichen läuft auf zu überprüfen. Insofern sehe ich das eigentlich als ein real politischen zu rechtfertigenden Arbeitsnachweis, das BSI hier bei einem Artikel wird noch erwähnt bei OS X Mac OS X haben sie irgendwie klappt unter einer halben Millionen ausgegeben. Da haben sie ja also überall über die Zeit irgendwie 20-14, haben sie sich im Serverbereich noch ein paar Sachen anschauen lassen für 136000 € das Vermischen Modell von Android untersucht finde ich eigentlich erstmal. Nicht schlecht.

Dafür vielleicht noch ein paar paar Leute und zuhören die jetzt die Möglichkeit haben die bei diesem IT Sicherheitsgesetz dir ist das Ruder noch herumzureißen und der eben von denen, Eckpunkten die das AT Sicherheitsgesetz jetzt hat eine besondere Stärkung des BSI ist da quasi Focus. Aber es muss natürlich irgendwie weitergehen was mir was mich insgesamt. An all dem stört so IP Sicherheit wird immer noch als so etwas separates wahrgenommen was noch mal zusätzlich dazu kommen muss und es fehlen einfach die Möglichkeiten als die Sicherheit per Default einfach zu. Verlangen ja. Hersteller haftbar zu machen z.b. den Hebel zu haben pass mal auf wenn du hier irgend wenn dein Gerät als mit Malware vor infiziert kommt das wäre doch wirklich mal ein Fall für Haftbarkeit, sorry ich meine wenn deine Supply-Chain schon kaputt ist und du massenhaft über Amazon infizierte geräteverkauf so, darf nicht passieren und da kann das kann ich irgendwie alles was du als Schaden davon bekommst ist das eventuell die Kunden einen Brief bekommen und das BSI in eine verklausulierte Pressemitteilung macht die dich zu größter Vorsicht die der zu größere Vorsicht rät der geht doch. Da würde ich mir wünschen dass es hier empfindliche Hebel gibt empfindliche. Schäden die den wirtschaftlichen Interessen, Hersteller soweit an den Kragen, dass ich das niederschlägt in wie dieser Hersteller arbeitet dass er nämlich nicht irgendeine Schrott Firmware irgendwo von irgendwem bestellt so passieren doch diese Dinge, da hat doch jetzt nicht irgendein irgend kleinst Hersteller gesagt hahaha wir wie infizieren bei dieses Gerät sind hat im Zweifelsfall irgend eine Firma von ihnen vorgenommen weil er gar keine eigene Software Abteilung unterhält. Oder wenn dann hat er eben eine sehr schlecht. Und erzähl das eben den fünf bis sechsstelligen betroffenen Personen, von denen wie immer wenn du so an diese Sache ran gehst wird das marginal für die wenigsten der Menschen überhaupt irgend einen messbaren Erfolg haben. Die werden du meinst doch nicht das übermorgen die Infektionen weg sind bei den Leuten weil es eine Pressemitteilung des BSI.

Ich würde jetzt tatsächlich einmal ganz kurzen noch unüblich für uns am Ende der Sendung noch mal ganz kurz auf Feedback eingehen weil du mich mit diesem brexit auf einen Aspekt gebracht hast nämlich ja. Am 23 März dem großen demotag gegen. Die Copyright Reform und die Artikel 11 und 13 findet auch in London eine große Demo gegen den, brexit bzw für ein tiefes Rot Stadt. Das wird natürlich in der Berichterstattung konkurrieren. Und dass das ist natürlich dann etwas unglücklich da weißt uns Jens drauf hin dass das natürlich schade ist, wenn wenn so. Nimmt wenn diese Berichterstattung daneben in. Kollidieren wird kann aber leider nichts dran ändern zu dem 23 wurde jetzt nun mal aufgerufen und irgendwas ist immer. Weiterhin weist uns Jens daraufhin für diese Idee des Displays die hat natürlich in Deutschland ein klitzekleines Problemchen, was wir in der Sendung mit Thomas unbeachtet gelassen haben in Deutschland kann man bei der Europawahl nur eine Partei bzw eine Liste wählen nicht. Einzelne Kandidaten. Es ist daher nicht möglich den Abgeordneten direkt im Telefongespräch zusagen wenn sie für den Artikel stimmt dann wähle ich sie nicht. Habe nicht die Option eine spezifische Person zu wählen oder nicht zu wählen es ist aber natürlich so dass das am Ende natürlich runter bricht auf Parteien, am Ende durch das runter auf Parteien und auch als Deutscher Wähler habe ich ja dann die im Zweifelsfall bestimmte Parteien zur Auswahl die geschlossen dagegen gestimmt haben und bestimmte Partei die es nicht getan haben. Und da wäre natürlich der da wäre dann die interessante Möglichkeit in anderen Ländern ist es auch anders da funktioniert diese Argumentation besser. Eine andere nicht nichtsdestotrotz kann man und sollte man sich jetzt hier an den Demonstrationen beteiligen und auch an den Aktionen beteiligen da gab's einen zweiten Kommentar. Den nämlich der Moment wo immer der Kommentar war von Jan. Der sagt na ja. Wenn ein Kommunikationskanal mit Vorlagen ge DDoS wird für dies natürlich, dazu dass dieser Kanal in die Ablage P umgeleitet wird wie lange würde ihr ans Telefon gehen wenn eine rechte Webseite einen ähnlichen Service aufbauen wurde bei dem, euch ein paar Rechte ihre Sorgen vor der Massenzuwanderung kundtun. Da muss es natürlich zuzusagen diese Aktion pletzsch ich kenne da jetzt ungefähr die Zahlen. Die ist natürlich im Moment noch sehr weit davon entfernt dass das jetzt das Telefon. Dysfunktional macht in den Abgeordnetenbüros es ist nicht so dass die jetzt vollständig an der Arbeit gehen das werden weil die ganze Zeit automatisiert irgendwelche Bots anrufen wenn das irgendwann einmal soweit ist. Dann kann die Aktionen sogar, dies moderieren und sagen pass mal auf weil Abgeordnetenbüro XY da haben wir jetzt jede Stunde einen anruf heute, du rufst jetzt mal jemand anderen an deswegen werden ja auch die Abgeordneten die einem dazu geteilt werden gewürfelt also bisher ist die Beteiligung auf jeden Fall noch nicht so hoch dass sie sämtliche. Abgeordnetenbüros der irgendwie an Herrn 700 abgehauen bzw in Deutschland eben auch relativ viele Abgeordneten vollständig, von der Arbeit abhält wenn das irgendwann einmal der Fall ist dann könnte man von einem großen Erfolg sprechen ist dann kam kann die Aktion auch dagegen, dagegen steuern und sag ok während wir mache jetzt keine neuen anruf für mehr aber im Moment ist sie weiter von dem Pferd diesen Schritt gehen zu müssen und genau deswegen ist es ja auch so darauf setzt die Aktion ja auch an gar nicht unbedingt auf die. Massenhaften Anrufe Sonne dass ihr überhaupt anruft und ich finde das eben sehr schön oder auch so ein bisschen. Man man sieht eben dass sich viele Leute gegen ein Thema aussprechen aber sobald es so darauf geht auch nur einen Schritt zu tun und sei es nur so eine Online-Petition. Das dann schon die Motivation sehr stark sinkt. Und deine Gang deine Argumente, lieber Jan in Richtung DDoS die Stimmen natürlich auch für diese Mails ja es ist ja klar wenn der tausendfach die gleichlautende E-Mails an kommt das irgendwann wegsortiert und nicht sag dies jetzt bitte tausendmal, die gleiche E-Mail in gleichlautend es ist aber ein anderer Schritt zu sagen das sind alles Bots das sind noch nicht mal Menschen die da gekriegt haben oder auch anders mit so einer Petition umzugehen. Und die Aktion pletzsch 20910 soll ja genau euch die Möglichkeit geben lebt doch mal die Demokratie sprech mit diesen abgeordnet die Menschen die ans Telefon gehen sind dafür da. Sich mit euch zu unterhalten und in diesen Dialog zu treten und insofern würde ich das überhaupt nicht als DDoS sehen sondern im Prinzip als Ermöglichung. Der. Der demokratischen Teilhabe in diesem sofern Brüssel Straßburg complex über den in Deutschland viel gemeckert wird weil er uns so fern ist und ihr könntet natürlich sogar diese wenn ihr in einen anderen Grund habt mit den, Europaparlamentarier und ihren Büros in Kontakt zu treten das jederzeit auch sonst, nur damit ihr das macht müssen wir euch ganze Webseiten bauen wohl mit einem Klick, Anruf Reminder bekommt nicht bezahlen müsst und euch das ermöglicht mich jetzt daran teilzunehmen also keine Scheu wenn euch eben hier Epi Center works und das Bündnis diese Möglichkeiten, nach trägt der des des des politischen. Einmischen diese auch zu nutzen bevor das zum DDoS Gerät wird das schon gegengesteuert werden im Moment ist es leider leider weiter von.