WEBVTT NOTE Podcast: Logbuch:Netzpolitik Episode: LNP296 IT-Sicherheit per Gesetz Publishing Date: 2019-04-15T14:38:22+02:00 Podcast URL: https://logbuch-netzpolitik.de Episode URL: https://logbuch-netzpolitik.de/lnp296-it-sicherheit-per-gesetz 00:00:00.005 --> 00:00:09.518 Guten Morgen Ninos. Guten Morgen Frank. Irgendwie sind diese Tage nicht so richtig gut. Ich habe gerade schon wieder eine Schwachstelle auf meiner chinesischen IP-Kamera gefunden. 00:00:09.770 --> 00:00:13.544 Da müssen wir doch jetzt endlich mal was gegen tun. Vielleicht mit einem Gesetz oder so. 00:00:13.244 --> 00:00:16.266 Ja, ich finde, da braucht man juristische Lösungen für. 00:00:37.508 --> 00:00:46.353 Logbuch, Netzpolitik mit einer Spezialsendung zum Thema juristische Lösungen für technische Probleme. 00:00:46.221 --> 00:00:47.753 Im Bereich IT-Sicherheit. 00:00:47.453 --> 00:00:51.551 Im Bereich der IT-Sicherheit. Wir wollen uns, 00:00:51.792 --> 00:01:06.466 heute mal nur mit den Bemühungen des Staates auseinandersetzen, das mit der IT-Sicherheit irgendwie zu lösen oder irgendwie in den Griff zu bekommen und dabei irgendwie so insbesondere auch in, 00:01:06.490 --> 00:01:11.742 Positionen der Rolle des Chaos-Computerclubs in dem Bereich über, 00:01:12.127 --> 00:01:21.056 die Jahre. Deswegen habe ich mir heute, habe ich mich heute eingeladen zu zu Frank Rieger. 00:01:21.783 --> 00:01:25.370 Sprecher des Chaos-Computerclubs, Autor, 00:01:25.527 --> 00:01:35.489 Buches Cyber Award zusammen mit Constance Kurz, Aussprecherin des Chaos-Computerclubs und ich, Linus Neumann als äh, 00:01:35.610 --> 00:01:42.959 Podcast dabei, Logbuch Netzpolitik und auch regelmäßig in öffentlichen Äußerungen für den Chaos-Computerclub. 00:01:43.440 --> 00:01:47.616 Verbunden, das heißt wir bleiben so ein bisschen heute in der Familie. 00:01:47.520 --> 00:01:48.854 Wo haben wir denn Tim gelassen. 00:01:48.668 --> 00:01:53.631 Äh der Tim hat heute keine Zeit, der macht einen anderen Podcast, der Tim ist ja gerade. 00:01:53.421 --> 00:01:54.736 Spalter, Spalter. 00:01:54.436 --> 00:02:06.640 Stimmt aber der wäre auch nur Chaos-Computerclub gewesen. Und äh Tim spreche ich dann morgen wieder. Wir werden mal schauen in welcher Reihenfolge wir die Sendung dann veröffentlichen. Das machen wir mal bis hin nach thematischer, 00:02:07.019 --> 00:02:15.714 Dringlichkeit, deswegen sage ich jetzt auch gar keine Sendungsnummer hierzu, weil ich nicht genau weiß, ob ich nicht die Sendung mit Tim davor veröffentliche, obwohl sie danach ist, 00:02:15.979 --> 00:02:25.275 Das Ganze bleibt so ein bisschen äh äh innerhalb des Chaos-Computerclubs, wie man hört. Und es liegt, glaube ich, so ein bisschen daran, dass wir das als Fachgespräch führen wollen. 00:02:26.303 --> 00:02:34.811 Wir haben in TV Fachgespräche warum man Fachleute und ich habe keine anderen gefunden äh. 00:02:34.817 --> 00:02:42.016 Ja, ist auch ein bisschen schwierig, weil diese äh Schnittmenge von IT-Sicherheit und Juristerei, 00:02:42.305 --> 00:02:49.587 ist halt äh auch nicht so einfaches Feld, insbesondere, weil wir da halt ja auch schon eine mehr als zehn Jahre lange 00:02:49.570 --> 00:03:00.812 Geschichte von Stümperei auf staatlicher Seite, insbesondere was die Gesetze angeht, haben und wir uns immer wieder damit auseinandersetzen mussten äh zwangsläufig, sondern es fing halt schon 00:03:00.698 --> 00:03:07.632 zweitausendsieben an äh mit den Hackertour Paragraphen, insbesondere im Paragraph zweihundertzwei C Strafgesetzbuch. 00:03:08.666 --> 00:03:16.466 Der äh in der gesamten Szene von Leuten, die sich mit IT-Sicherheit beschäftigen und die halt irgendwie explods äh, 00:03:16.520 --> 00:03:23.785 Schwachstellen suchen, äh doch für erhebliche Beunruhigungen gesorgt hat, weil zum ersten Mal, 00:03:24.110 --> 00:03:30.978 Programme, also Software illegalisiert hat, explizit, nämlich äh in dem Augenblick, wo sie, 00:03:31.375 --> 00:03:39.787 dazu verwendet werden können äh ja IT-Sicherheitsprobleme auszunutzen werden sie. 00:03:40.442 --> 00:03:44.805 Prinzipiell unter diesen Fernsehprinzbällen, unter diesen Paragraphen. 00:03:44.937 --> 00:03:48.042 Das ist der zweihundertzwei C. 00:03:47.792 --> 00:03:49.197 Strafgesetzbuch, genau. 00:03:49.596 --> 00:03:58.241 Warne eigentlich die anderen zweihundertzweier vorher da, also zweihundertzwei ist ja so dieses Bündel Ausspähen von Daten oder Vorbereitungen des Ausspähens von Daten. 00:03:57.941 --> 00:04:02.045 Weiß ich nicht mehr genau wie dort die Geschichte war. Muss man nochmal nachlesen. 00:04:01.871 --> 00:04:05.253 Müssen wir nochmal nachlesen, aber entscheidend ist es unter dem. 00:04:05.693 --> 00:04:20.661 Wenn ich das richtig in Erinnerung habe, wir können die Paragraphen ja auch nochmal verlinken, dass das Ausspähen von Daten illegalisiert wird, aber das Entscheidende war zum Vorbereiten oder Beihelfen, dazu gehört auch überhaupt das in Umlauf bringen von Tools, die dazu geeignet sind. 00:04:20.481 --> 00:04:29.025 Genau, also es war halt so der der jetzt, ich hab's wieder bei so einem der zwohundertzwo Ausspielen von Daten und der zweihundertzwo B-Abfang von Daten, die gibt's halt schon länger 00:04:28.876 --> 00:04:37.660 Also die sind halt schon sozusagen die traditionellen Hacking-Paragraphen. Äh und der zwohundertzwo C war dann die Ergänzung um ums Werkzeug äh und. 00:04:38.352 --> 00:04:47.714 Der ist halt ziemlich schwammig formuliert, ne? Also das ist halt so eine so eine typische Formulierung, wo man sich als, 00:04:47.804 --> 00:04:58.578 So mal normaler Hacker schon so ein bisschen wundert, ob man jetzt auch damit gemeint ist und deswegen äh sind halt ein paar Sicherheitsforscher damals was Bundesverfassungsgericht gezogen, 00:04:58.867 --> 00:05:07.664 zweitausendneun gab's denn eine Klageablehnung, äh die eigentlich sehr umfangreich war. Äh wir verlinken hier auch in dem Shownotes, 00:05:07.886 --> 00:05:10.458 äh die erläutert, 00:05:10.566 --> 00:05:20.036 so ein bisschen die juristische Interpretation auch im Kontext des äh der Gesetzesbegründung und legt quasi fest, dass es, 00:05:20.361 --> 00:05:26.592 am Ende nur einen Zuschlagparagraph ist. Also das halt der Paragraph zwohundertzwo C nicht, 00:05:26.899 --> 00:05:33.647 für sich benutzt werden kann, sondern nur wenn die klare, kriminelle Intention belegbar ist 00:05:33.503 --> 00:05:46.723 ne, das heißt also, wenn du sozusagen in normal dummen Fall, du hast halt baust halt irgendwie die einen einen neuen Exploid und äh äh parallel dazu, chattest du auf einem unverschlüsselten System darüber, dass du jetzt gerade den neuen Expo 00:05:46.627 --> 00:05:51.908 gebaut hast, um deine Bank anzugreifen, dann äh würde der zwohundertzwo C greifen. 00:05:52.468 --> 00:06:03.338 Für sagen wir mal so Standardwerkzeuge sagen wir so Mieterspläue oder was auch immer oder Dinge die du halt mit dir führst auf deinem Computer, um die, 00:06:03.681 --> 00:06:14.106 IT-Sicherheit im Rahmen deiner deines Berufs oder deiner Forschungstätigkeit von Systemen zu prüfen ohne kriminelle Intention kann laut diesem 00:06:14.046 --> 00:06:16.401 dieser Begründungsverfassungsgerichts 00:06:16.342 --> 00:06:25.175 der zwohundertzwo C eben nicht angewendet werden. Und das halt so eine, so eine Einschränkung, die so ein bisschen schwierig zu verstehen ist, weil dieser Paragraph halt so, der liest sich so wie ich bin gemeint, 00:06:25.578 --> 00:06:35.036 aber halt diese dieser, also ab äh zu dem äh in der Ablehnungsbegrundung Verfassungsgericht ähm ja ab Abstand sechzig, ne? Also ist halt, 00:06:35.421 --> 00:06:47.438 so danach muss das Programm mit der Absicht entwickelt oder modifiziert worden sein, es zur Begehung der genannten Straftaten einzusetzen. Diese Absicht muss sich für eine objektiv manifestiert haben, ne? Also das ist sozusagen die. 00:06:47.901 --> 00:06:50.052 Die Einschränkung dafür. 00:06:49.818 --> 00:07:03.795 Und wenn die das so, wenn das Bundesverfassungsgericht das so in der Ablehnung formuliert, ist das dann quasi das ist geltendes Recht und das hat dazu geführt, dass es nach meiner Kenntnis so gut wie keine Verfahren überhaupt nach zweihundertzwei C gab. 00:07:03.513 --> 00:07:10.459 Genau. Das ist halt so ein so ein ungewöhnlicher Fall quasi von Rechtssetzungen durch äh durch Klageablehnung ist, 00:07:10.772 --> 00:07:19.485 äh aber äh so ein das halt so ein muss man halt so wissen, so ein bisschen zum zum Hintergrund dieser Geschichte, dass sie halt also erstmal versucht haben. 00:07:20.368 --> 00:07:26.101 Also die ursprüngliche Intention dieses Gesetzes war ganz klar zu versuchen halt den 00:07:26.059 --> 00:07:40.192 das ja Umgehen mit Werkzeugen zum Ausnutzen von Sicherheitslücken äh oder auch zum Finden von Sicherheitslücken einzuschränken. Also da gab's auch Diskussionen über Lizenzen und so im Kram, ne? Also, dass man halt so eine Hackinglizenz bräuchte und so 00:07:40.186 --> 00:07:42.031 das ist dann aber. 00:07:41.731 --> 00:07:45.895 Am Ende als Hacker wegen Urheberrecht drankommst, meine Liebe. 00:07:45.595 --> 00:07:56.356 Ja jedenfalls aber du gut, das das hat er sich dann halt erledigt. Das war dann war dann halt irgendwie abgebogen. Aber das war halt so, dass was uns so zweitausendsieben, zweitausendacht, zweitausendneun beschäftigt hat, auch schon wieder zehn Jahre her. 00:07:56.447 --> 00:08:01.897 Der Paragraph liest sich, wer eine Straftat nach zweihundertzwei A oder zweihundertzwei B vorbereite. 00:08:01.615 --> 00:08:03.856 Also das Ausspielen und äh Abfangen von da, ne. 00:08:04.126 --> 00:08:05.136 Indem er, 00:08:05.280 --> 00:08:18.380 Erstens Passwörter oder sonstige Sicherungscodes, die zu den die den Zugang zu Daten, Paragraph zweihundertzwei A, Absatz zwei ermöglichen oder Computerprogramme, deren Zweck, die Begehung einer solchen Tat ist, 00:08:18.416 --> 00:08:27.946 herstellt oder sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe, 00:08:28.127 --> 00:08:35.860 bestraft. Ich finde das ich habe gerade noch so einen leichten Schreck bekommen, weil ist natürlich schon jetzt irgendwie, 00:08:36.077 --> 00:08:38.660 Also Passwörter kriegst du halt schon relativ einfach, ne? 00:08:38.450 --> 00:08:42.013 Also der Punkt ist halt dieser also. 00:08:42.717 --> 00:08:57.685 Eigentlich verstößt diese Formulierung dieses Paragraphen gegen Bestimmtheitsgrundsatz. Also der Bestimmheitsgrundsatz sagt eigentlich, dass du halt einen äh Gesetze nicht so formulieren darfst, dass du sie halt äh beliebig interpretieren kannst und, 00:08:58.076 --> 00:09:06.879 also damals haben wir juristisch auch ein bisschen was dazu gelernt, nämlich, dass halt die äh Begründung des Gesetzes, also die Erläuterung des Gesetzes, 00:09:07.090 --> 00:09:18.512 in der deutschen News Podenz halt mit herangezogen wird und in dieser Erläuterung dieses Gesetzes sind halt diese Einschränkungen drinnen, die jetzt aber dann durch die Abhängung vom Bundesverfassungsgericht halt nochmal so ein bisschen stärker manifestiert wurden, 00:09:18.639 --> 00:09:24.245 und deswegen also ist halt so ein aber was wir da halt sehen, deswegen ist auch so ein bisschen erzählen ist. 00:09:24.870 --> 00:09:33.373 Dass dieser Versuch in diesem gesamten Bereich zu agieren mit möglichst unbestimmt formulierten Gesetzen. 00:09:33.956 --> 00:09:39.376 Nach dem Motto, wir wissen ja nicht, was kommt. Wir können das ja alles nicht so genau beschreiben. 00:09:39.737 --> 00:09:51.700 Deswegen formulieren wir es mal möglichst weit und dann gucken wir mal, was das Verfassungsgericht dazu sagt. Der hat sich seitdem tatsächlich ungebrochen fortgesetzt. Also auch die die neueren Sachen, zu denen wir gleich kommen, 00:09:52.031 --> 00:09:57.661 sind halt präzise halt an in dieser Denk äh Denkart formuliert. 00:10:01.033 --> 00:10:14.445 Wir haben aber natürlich auch währenddessen noch so ein paar Versuche gesehen, also ich glaube, wir sind ja wir werden jetzt ungefähr jetzt CCC-Vertreter die letzten die, 00:10:14.746 --> 00:10:19.216 sich weigern würden, zuzugeben, dass es in der IT-Sicherheit Probleme gibt. 00:10:19.036 --> 00:10:29.672 Ja. Ach so. Ich, so Vorträge oder so, sage ich halt immer, wenn ich über IT-Sicherheit rede, so. Also wir ehrlich wären als Branche, IT-Security, müssten wir eigentlich die weiße Fahne essen. 00:10:30.405 --> 00:10:38.751 Ja, also weil ich meine, wir haben halt die Situation, dass die die Technik, die wir gerade verwenden, ist halt leider schlecht. 00:10:39.172 --> 00:10:42.940 Also das was da draußen ausgerollt ist, ist in der Regel halt kaum sicherbar. 00:10:43.409 --> 00:10:53.119 Auch die Snackold Tools, die man halt sich noch dazu installieren kann und ich meine selbst Suman Tech, also der führende Snack-Eul-Hersteller sagt, wir sehen nur fünfzig Prozent der Mehrwerte. 00:10:53.744 --> 00:11:05.035 Weil der Rest ist halt irgendwie so schnell modifiziert, dass wir nicht mit den Updates hinterherkommen, Custom oder unsere Juristiken versagen. Ich meine, muss wir vorstellen, wenn Sicherheitsprodukt ist quasi wie ein Schloss, 00:11:05.144 --> 00:11:13.225 Wenn du das mal übertragen willst, was in der Hälfte der Fälle halt irgendwie einfach auf ist, wenn ein totaler Klinker. 00:11:13.767 --> 00:11:20.196 Also so wir haben halt irgendwie ja eine Situation, wo wir glaube ich, 00:11:20.479 --> 00:11:24.132 schneller, mehr schlechte Software schaffen als, 00:11:24.469 --> 00:11:34.143 Alterssoftware fix und so. Also wenn man sich so anguckt, zum Beispiel gerade die Briten haben diesen ihren Report zu AVI veröffentlicht. Können vielleicht auch nochmal verlinken. 00:11:34.564 --> 00:11:41.901 Wo die, also als Kontext zu dieser Diskussion, weil die auch gerade diese IT-Sicherheitsdiskussion grade sehr treibt so, also 00:11:41.883 --> 00:11:56.629 so, also wir haben ja immer gesagt, irgendwie Backdoors ist ein Problem. Und jetzt sind wir so ein bisschen überrascht davon, dass natürlich die Amis diesen äh aus eigener intimer Kenntnis, der der Vorgehensweisen jetzt halt den Chinesen unterstellen, dass überall Vectors einbauen 00:11:56.521 --> 00:12:04.873 und die Briten haben dann halt mal reingeguckt, also die haben halt seit fünf Jahren so ein Outlet-Projekt mit laufen. Und dieser Report liest sich halt so wie. 00:12:05.331 --> 00:12:09.807 Ist halt genauso scheiße wie überall. Ja, also wir haben halt irgendwie so Sachen wie, 00:12:10.198 --> 00:12:23.670 tausende unsichere mit dem Copy und Strink Copy äh Geschichten einfach bei offensichtlich haben die nur durchgegrippt durch den Source. Kein Repreducer Bebilds heißt also du weißt nicht welche Bande, welches Beinerie gerade auf deinem Roter ist 00:12:23.574 --> 00:12:26.128 aus welchen Source es gebaut wurde, kannst du nicht sagen. 00:12:26.044 --> 00:12:40.225 Das liegt bei bei Huawei, aber insbesondere daran, also ich habe ja öfter mal mit den Geräten zu tun gehabt. Das liegt ein bisschen daran, dass die ähm sehr schnell auf Kundenwünsche reagieren. Und, 00:12:40.436 --> 00:12:43.794 dir im Prinzip jeder einzelne Kunde von Huawei, 00:12:44.143 --> 00:12:51.119 kriegt sein Custom Bild, ja? Die die Positoris sind entweder sehr, sehr viele Brunches, 00:12:51.420 --> 00:12:56.912 oder sehr, sehr viele Report-Sutories. Ich fürchte sogar letzteres und ähm. 00:12:56.662 --> 00:13:02.084 Denn die haben was, was irgendwie eine zweistellige Anzahl Open SSL-Versionen gefunden, davon viele nicht Männlein. 00:13:02.098 --> 00:13:03.570 Ja, so. 00:13:03.320 --> 00:13:06.845 So, da denkst du dir so, hm, sehr schnell. Genau, ja. 00:13:05.193 --> 00:13:11.268 Halt sehr schnell so, ne? Schnell heißt halt auch mit der mit der heißen Nadel gestrickt, aber wenn du. 00:13:11.845 --> 00:13:22.384 Also aus Kundensicht fällt das immer sehr gut auf, ne? Kunde in dem Fall mobile äh die Betreiber mobiler Netzwerke, die dann zum Beispiel sagen, ja, wir möchten folgendes Feature, 00:13:22.643 --> 00:13:30.785 haben mit dem nächsten Rollout und dann sagt, wo haben wir ja kein Problem. Und die anderen sagen, dieses Feature ist bei uns in der in der. 00:13:30.485 --> 00:13:33.892 Der Rotmap in sechs Monaten vorgesehen oder zwölf Monaten oder was auch immer. 00:13:33.592 --> 00:13:37.575 Oder wir haben's in der wir sind äh auf Version zwölf beispielsweise, 00:13:37.576 --> 00:13:49.275 wenn ihr dahin kommt, dann kriegt ihr auch dieses Feature und der das Mobilfunknetz ist üblicherweise so zwei Mainline äh zwei Main-Versionen hinten dran, ne? Also ungefähr sowas wie das Mobilfunk. 00:13:48.975 --> 00:13:49.990 Genuss sieben. 00:13:49.690 --> 00:13:57.838 Fährt zwei Jahre spät zwei Jahre hinter der Entwicklung her. Ähm und und Huawei sagt halt, na ja, wenn ihr das haben wollt, das. 00:13:57.820 --> 00:13:59.076 Morgen da, so, ja. 00:13:58.776 --> 00:14:02.429 Morgen kriegen wir schon hin. So, das kriegen wir da irgendwie gemercht so. 00:14:03.150 --> 00:14:09.868 Und dann ist das Mobilfunknetz aber mit seinem Brunch halt fernab von allem was irgendwo nochmal. 00:14:09.568 --> 00:14:11.034 Versionierung, was? 00:14:11.160 --> 00:14:22.764 Das ist halt dann, dann hat halt irgendwann hat deine Version halt irgendwie sowas wie Mobilfunknetz, Land davor steht, ne? Und dann weißt du auch schon, dass die jetzt gerade allein auf hoher See bist und. 00:14:24.495 --> 00:14:25.414 Nee und, 00:14:25.648 --> 00:14:40.268 Weil das Interessante daran war dann halt wir waren auch so Mechanismen beschrieben, die man irgendwie so kennt, ja? Dann haben die offenbar mal so eine IT-Sicherheitsinitiative gehabt und haben sich halt eine sichere äh Stream-Copyment Copy Funktionen äh reingemacht. 00:14:40.923 --> 00:14:51.691 Also halt Alias und die dann halt dummerweise dann aber bei dem Bild den sie untersucht haben haben sie dann das Secure auf insecu gemappt. 00:14:52.329 --> 00:14:57.250 Weil irgendwas offenbar nicht funktionierte. 00:14:57.971 --> 00:15:04.010 So, dann hörst du natürlich irgendwie, na ja und was soll ich sagen? Das ist überall anders genauso. 00:15:03.878 --> 00:15:12.687 Das ist das Problem. Wir haben nun mal ähm einen Begriff, den wir häufig, glaube ich, verwenden, ist der der sogenannten Bagdor. 00:15:11.257 --> 00:15:13.414 Backdorf. Mhm. 00:15:13.192 --> 00:15:20.805 Also im Prinzip würde ich vorsichtig die These vertreten. Du brauchst eigentlich gar keine Backdorfs mehr, wenn du genug Backs hast. 00:15:20.643 --> 00:15:22.884 Also bei Hurawi würde ich definitiv sagen. 00:15:22.843 --> 00:15:35.618 Ne, du hast du hast so viele Fehler im Source Code, die du ja kennst, wenn du jemanden qualifizierten, der nach suchen lässt, dass du ähm dass du jetzt nicht mehr sowas machen musst, wie wir, wie Hardcorden da jetzt mal eben Passwort oder wir machen irgendwelch, 00:15:35.624 --> 00:15:38.862 Chebolit-Funktion, die dir gut geben oder so. 00:15:38.562 --> 00:15:43.279 Zu Wort macht immer was nur, macht nur Zisko, ja, die sind halt zu doof, ihre Bugs auszunutzen, ne. 00:15:42.979 --> 00:15:49.715 Hast du regelmäßig äh sowas wie User nehmen Sisco, Passwortisco auf irgendein. 00:15:50.208 --> 00:15:57.695 Ob's Kuchen, Port nochmal als SSH-Laufen und kriegst es halt auch nicht raus. Ähm ich würde, jetzt sind wir wahrscheinlich so ein bisschen zu. 00:15:58.206 --> 00:16:07.754 In unseren Bereich gekommen. Ähm ich würde gerne nochmal grob erklären, was ist überhaupt IT-Sicherheit und warum, warum spielt das so eine große Rolle. 00:16:08.373 --> 00:16:15.590 Wir haben jetzt ähm im Prinzip einfache Sachen gefunden, wo man wo man programmierfehler, 00:16:15.771 --> 00:16:29.591 findet, also unsicheres Programmieren sind im Prinzip ungeschützte Funktionen, die sich je nachdem in welchem Kontext die passieren einfacher oder schwieriger dazu ausnutzen lassen, das System zu übernehmen. 00:16:30.282 --> 00:16:36.706 Ähm, aber eigentlich haben wir mit der mit der Sicherheit von Computern schon so eine neue Art von, 00:16:36.748 --> 00:16:40.918 Problemklasse gefunden, weil das Besondere am Computer 00:16:40.900 --> 00:16:51.873 ist ja, dass er universell programmierbar ist. Das ist eigentlich die große, die große Idee an Computer oder das das ist das, warum Computer so viel besonderer sind als alles andere. Du kannst den Dingern, 00:16:52.204 --> 00:17:02.166 beibringen, was du möchtest. Und das war das, warum der Computer so viel besser ist, als wir hier jetzt gerade eine an der Wand hängen, eine Gitarre. Du wirst der Gitarre nicht mehr beibringen, Saxophon zu spielen. 00:17:02.515 --> 00:17:03.644 Außer dem Computer. 00:17:03.885 --> 00:17:05.279 Außer mit einem Computer. 00:17:05.508 --> 00:17:07.586 Da kannst du auch mit deiner Gitarre Saxophon spiel. 00:17:07.286 --> 00:17:12.165 Gitarre, sagst du frisch spielen. Und genauso kann der Computer eben. 00:17:12.893 --> 00:17:19.755 Äh weitere Funktionen haben, wie führe doch mal die Tastatur, die auch der Tatatur gedrück. 00:17:20.338 --> 00:17:33.197 Befehle nochmal ab über das Internet an einen Server in Russland oder in China oder in den USA. Ähm, das heißt wir haben jetzt auf einmal so 'ne neue Problemklasse von Geräten die wir, 00:17:33.263 --> 00:17:38.587 Ich meine, wirft die meisten Geräte, mit denen wir arbeiten, verstehen wir nicht. Jetzt haben wir aber auch noch welche, die wir. 00:17:39.002 --> 00:17:46.117 Erstens nur nicht verstehen, sondern die zweitens auch noch universelle Funktionen haben können. Und diese universellen Funktionen können, 00:17:46.423 --> 00:17:50.161 so kompliziert oder unkompliziert sein, wie sie wollen. 00:17:50.810 --> 00:18:02.329 Und so gibt's dann einen ganz neuen Problembereich, in dem wir beide im Prinzip beruflich tätig sind und das ist der der IT-Sicherheit, der im Prinzip darauf beruht, zu sagen, okay, wir haben. 00:18:02.828 --> 00:18:05.778 Ganz grob drei Schutzziele für Systeme und Daten, 00:18:05.935 --> 00:18:14.611 Verfügbarkeit, Integrität, Vertraulichkeit, Verfügbarkeit heißt, okay, wenn das System weg ist, sind die Daten weg, können wir nicht damit arbeiten, ist relativ einfach, 00:18:14.708 --> 00:18:17.676 Vertraulichkeit, ähm. 00:18:18.704 --> 00:18:31.155 In also naiv interpretiert heißt die Daten dürfen nur uns zugänglich sein, wenn man jetzt aber mal so ein größeres Management reingeht, ist im Prinzip die Daten dürfen nur den Nutzern, Rollen und Systemen zugänglich sein, 00:18:31.293 --> 00:18:41.118 bei denen wir das wollen, wenn wir jetzt ein größeres Unternehmen oder ein größeres Mobilfunknetz anschaut, dann hast du im Prinzip für ein spezifisches Datum oder System. 00:18:41.791 --> 00:18:50.594 Ein relativ komplexes Rollenkonzept, mit welcher, welcher äh welcher Person und welches System, welche Berechtigung, 00:18:50.648 --> 00:18:56.327 hat zum Zugriff auf welche Daten. Mit zum Mobilfunknetz, da gibt's eine zentrale Instanz, die, 00:18:56.657 --> 00:19:05.599 Zum Beispiel regelt, wer sich in dieses Mobilfunknetz unter welchen Bedingungen einbuchen darf und unter welchen Bedingungen nicht die gleiche Instanz weiß, aber auch welche 00:19:05.563 --> 00:19:16.625 Person sich gerade oder welcher Subscriber sich gerade wohl mobilfunknetz befindet, weiß zum Beispiel, aber auch mit welchen Schlüssel, gerade Verschlüsselt wird, wenn mit dieser mit diesem Substriber gesprochen wird. Alles drei Da. 00:19:17.064 --> 00:19:23.644 Die in unterschiedlichen Kontexten relativ komplexen unterschiedlichen Rechten unterliegen, sodass. 00:19:24.443 --> 00:19:35.656 Ne, dieser Kiel ist sehr kompliziert, weil damit oder sehr kritisch, weil damit wird äh die Kommunikation verschlüsselt, für den gelten streckenweise andere Anforderungen, wie die, wie für die Information 00:19:35.554 --> 00:19:44.387 wo in unserem Netz befindet sich der Subscriber jetzt gerade, weil diese Information brauchst du unter Umständen auch, um sowas wie eine SMS zuzustellen oder einen ähm. 00:19:45.403 --> 00:19:48.605 Oder einen äh Anruf durchzuleiten, 00:19:48.966 --> 00:19:59.698 Und interessanterweise genau da sind ja auch die klassischen schönen Angriffe in den Mobilfunknetzen, die sich dann über zwei G drei G vier G manifestiert haben. Das ist dann eben. 00:20:00.330 --> 00:20:10.106 Corner Cases gab, wo man dann das äh doch mal fragen konnte, ey, kannst du dem Klima ganz kurz geben und der dann rausgegeben wurde, also das ist alles dieser Bereich, der Vertraulichkeit. 00:20:10.941 --> 00:20:21.415 Und dann als dritte Schutzschutzziel Integrität, dass ich so ein bisschen so definieren würde als das System, macht das und nur das, was von den Programmierern intendiert wurde. 00:20:21.241 --> 00:20:25.289 Na, beziehungsweise da hat keiner dran rumgefummelt. Muss man. 00:20:26.988 --> 00:20:28.494 So zusammen zu was zu hören. 00:20:28.200 --> 00:20:30.951 Genau, ne? Du, der hat keiner dran rumgefummelt, 00:20:31.192 --> 00:20:39.328 dass ähm die Daten, die du gestern abgelegt hast, sind morgen noch die gleichen und insbesondere beim, 00:20:39.605 --> 00:20:54.128 bei deinem ganzen Bootstrapping, wenn das System hochfährt, wird nicht noch irgendeine Funktion hinzugeladen, die beispielsweise jetzt weitere Funktionen hinzufügt, die du die du nicht haben möchtest. Und diese drei Ziele zu erreichen. 00:20:55.307 --> 00:21:07.240 Ist leider fürchterlich schwer. Insbesondere wenn du dann noch einen aktiven Angreifer hast, der nicht nur ähm der also Schwachstellen nicht nur passiv ausnutzt, sondern vielleicht auch, 00:21:07.625 --> 00:21:14.679 aktiv versucht sich dieses Systemes zu bemächtigen. Und das ist das, was eigentlich die IT Seite, 00:21:15.052 --> 00:21:23.489 Ja, weiß ich nicht, wie viel Jahrzehnten Leute Informationssicherheit überhaupt versuchen, aber es beschäftigt die DIT seit seit so vielen. 00:21:23.964 --> 00:21:26.397 Jahren. Und meine etwas. 00:21:27.413 --> 00:21:37.568 Vorsichtige Teesitze, der wir später nochmal kommen werden ist theoretisch wäre das ja alles möglich, aber wir haben eigentlich einfach nur das also nur das kleine Problem, dass wir es nie hinkriegen. 00:21:39.888 --> 00:21:49.862 Und dazu wurden wir ähm das Problem ist natürlich mit der fortschreitenden Digitalisierung so groß geworden, dass. 00:21:50.854 --> 00:21:59.068 Jetzt der Gesetzgeber eben sagt, okay, da müssen, da müssen wir doch mal was machen. Und zwar nicht zum ersten Mal. 00:21:59.832 --> 00:22:05.564 Hacking einfach zu verbiegen, wandern die ersten Bemühungen zweitausendsieben, zweitausendacht. Ähm. 00:22:06.953 --> 00:22:10.912 Paar Jahre später ähm waren dann. 00:22:11.682 --> 00:22:23.345 So bewahren wir zum Beispiel mal als CC im Ausschuss äh digitale Agenda. Das war zweitausendvierzehn, wenn ich das jetzt richtig sehe, da war damals ich und ich habe eine Stellungnahme, 00:22:23.514 --> 00:22:29.228 vertreten. Da haben wir, glaube ich, alle dran rumgeschrieben. Da waren auch irgendwie du Konstanze, 00:22:29.457 --> 00:22:39.455 Erdgeist, ein bisschen dran beschäftigt und das war jetzt auch nicht das erste Mal, dass diese Forderungen des CCC vertreten wurden. Die sind nämlich im Prinzip immer gleich. Nämlich, dass wir sagen. 00:22:40.856 --> 00:22:46.828 Wir müssen irgendwie, wenn der Gesetzgeber da irgendwie oder die Regierung da irgendwie wirken möchte. 00:22:47.682 --> 00:23:00.926 Da muss erstmal die Qualität der Software erhöht werden und das Vertrauen ins Software erhöht werden. Also haben wir gesagt ähm soft die Software, der wir vertrauen, die muss ohnehin Open Source sein. 00:23:02.086 --> 00:23:10.011 Weil wenn sie es nicht ist, dann können wir ihr nicht vertrauen. Du hast gerade schon einen zweiten wichtigen Punkt gesagt. Open Force reicht noch nicht mal, sondern du willst auch, 00:23:10.252 --> 00:23:17.132 Reproduct Bills haben. Ist immer so schwer auszusprechen äh meine Güte jetzt. 00:23:16.832 --> 00:23:18.178 Report-User. 00:23:17.884 --> 00:23:21.849 Reproduzierbare äh Pils der Software. 00:23:21.549 --> 00:23:23.333 Reproduzierbares Gebaue. 00:23:23.040 --> 00:23:31.584 Reproduzierbares Gebastel. Ähm das heißt du möchtest nicht nur, dass der Quelltext. 00:23:32.360 --> 00:23:37.623 Aus dem die Software stammt für dich einsehbar ist, sondern du möchtest auch beweisbar. 00:23:38.297 --> 00:23:47.280 Haben, dass die Software, die du bekommst aus diesem Quelltext stammt. Dummerweise, das klingt wie ein triviales Problem, ist aber leider echt kompliziert, weil, 00:23:47.623 --> 00:23:53.800 im Prozess des Bilds, wenn du jetzt ein beliebiges Report-Sutori von mir aus, 00:23:53.980 --> 00:24:01.010 irgendwo auscheckst und sagst Konfigur make make in Store und oder ne Make Install machst du noch gar nicht, du machst nur, 00:24:01.119 --> 00:24:09.177 Konfigurmak, guckst dir die Binaries an, die dabei rauskommen, saß dann Make-Clean und machst nochmal Make, dann hast du andere Beine. 00:24:09.658 --> 00:24:11.190 Weil irgendwie. 00:24:11.250 --> 00:24:22.403 Im einfachsten Fall ist halt irgendwie das Kumpel, die Compail-Uhrzeit irgendwo mit drin nebenbei äh aber wenn du Pech hast, dann war's halt auch irgendwas anderes so. 00:24:22.577 --> 00:24:34.114 Und das ist irgendwie echt ein ärgerlicher Prozess, der letztendlich dazu führt, wenn du naiv einfach nur Hashes vergleichen würdest, kriegst du jedes Mal bei jedem Bild eine andere Software. Das heißt, Open Source ist für dich quasi. 00:24:34.734 --> 00:24:39.078 Schon egal wenn du 00:24:38.976 --> 00:24:53.476 wenn dir jetzt dein Hersteller liefert und sagt, ja hier, das habe ich aus dem Source Code gebaut, den ich dir gezeigt habe und du sagst, ja wie, bei mir kommt aber was anderes raus und der sagt, ja, mach nochmal, siehst du, kommt wieder was anderes raus, kommt immer was anderes raus, Yolo, die Pläumer, ja ähm. 00:24:53.710 --> 00:24:57.105 Aber so ist die Realität da draußen, ne? Also das ist der Norm, die Normalität. 00:24:57.021 --> 00:25:04.124 So ist die ärgerliche Normalität und wahrscheinlich also es gibt relativ wenige Softwareprojekte die. 00:25:05.506 --> 00:25:16.358 Dass wir das gelöst haben, also das jetzt von Huiway zu verlangen ist, also das Christoph bei Cisco oder sonst der Christoph wahrscheinlich echt nirgendwo Torbrowser, kriegst du's vielleicht inzwischen? Ich weiß, dass ich damit. 00:25:15.103 --> 00:25:18.003 Ja. Ich weiß, dass ich da. Aber das war auch ein längeres Projekt bei den. 00:25:18.107 --> 00:25:19.855 Da waren die jahrelang mitbefasst. 00:25:19.605 --> 00:25:24.669 Meine Firefox-Real, also Reproducer will bauen, solltet war halt irgendwie nicht so einfach, ja. 00:25:24.369 --> 00:25:31.723 Das war ein Riesending und ich weiß, dass wir da jahrelang drüber gesprochen hatten, bis sie dann irgendwann bereit waren, mal auf den Kongress äh dann Talk drüber zu halten. 00:25:32.199 --> 00:25:43.135 Also wer sich für dieses Problem interessiert, kann da äh reinblicken. Wir haben damals gesagt, okay, Open Source ist sowieso schon mal eine Grundvorsorussetzung reproduzierbares. Es gibt Bauer. 00:25:43.766 --> 00:25:48.675 Gehört noch dazu und dann natürlich, wenn wir in diesem Open Source steckt ja auch drin. 00:25:49.270 --> 00:25:54.510 Öffentliche Gelder öffentlich verfügbarer Code, dann wollen wir wenigstens auch. 00:25:54.943 --> 00:26:03.986 Hier eine Qualitätssicherung feststellen, da haben wir, glaube ich, gesagt, okay, Outdits, Backbound Tees, ne, die klassischen Maßnahmen, um diesen Code ähm. 00:26:04.708 --> 00:26:15.722 In seiner Qualität zu steigern, zum Beispiel, dass mal jemand durchgrippt und sich anschaut, wie viele unsichere äh Speicherzugriffe sich da drin befinden und die mal sauber aussortiert, 00:26:16.053 --> 00:26:19.573 Wir haben dann gesagt, okay, eigentlich wenn es hier um, 00:26:19.700 --> 00:26:32.902 kritische Infrastrukturen geht, dann wollen wir das dezentral haben, dezentral deshalb, weil Dezentralität, die die Resilienz des Systemes hoffentlich ein bisschen steigert und Ende zu Ende Verschlüsselung, weil das eben. 00:26:33.419 --> 00:26:43.255 Einzig sinnvolle bekannte Methode ist, um Vertraulichkeit so sicherzustellen, dass sie nicht an zentraler Stelle gebrochen werden kann. 00:26:44.632 --> 00:26:48.621 Und dann wo die letzte Forderung etwas politischer, 00:26:48.766 --> 00:27:00.964 aber ich denke auch da haben wir echt nochmal gezeigt wohin dass wir wissen wohin die Reise geht, nämlich wir wollen eine unabhängige und evidenzbasierte Sicherheits und Geheimdienstpolitik. 00:27:01.643 --> 00:27:13.661 Wobei Evidenz basiert halt, dass es sowohl unabhängig als auch revidenzbasiert sind, halt so zwei so Atribute, die halt äh in der Politik äußerst unbeliebt sind. Also, wo man sie gefahren weggenommen. 00:27:10.903 --> 00:27:18.396 Deswegen haben wir sie gefordert. Verschlüsselung ist in der Politik auch immer sehr unbeliebt in der Innenpolitik. 00:27:18.259 --> 00:27:25.205 Ja, wobei da halt also sollte man vielleicht nochmal kurz ausholen, so eine der Grundlagen, wieso wir in Deutschland, 00:27:25.379 --> 00:27:31.274 bisher relativ wenig Stress damit haben, Verschlüsselung zu machen, dass das halt die 00:27:31.202 --> 00:27:44.656 gültigen äh Eckpunkte deutscher Kryptopolitik, die noch aus den Neunzigern stammen, von der Bundesregierung halt äh und sogar vom Innenministerium wieder bekräftigt wurden. Äh man also gesagt hat, okay, die äh der Staat, 00:27:44.909 --> 00:27:51.524 ist prinzipiell Führverschlüsselung als wesentlicher Baustein von IT-Sicherheit, weil letzten Endes ist Verschlüsselung. 00:27:52.426 --> 00:28:01.475 Somit das einzige, was wir noch haben in der IT-Sicherheit, was man hinterher noch drauf slappen kann, was halt irgendwie tatsächlich die äh ähm. 00:28:02.287 --> 00:28:10.765 Sicherheit so ein bisschen verbessert und die äh diese Eckpunkte deutscher Kryptopolitik sind. 00:28:11.385 --> 00:28:24.184 So ein bisschen der zentrale Verteidigungsanker gegen alle Versuche zu sagen, wir wollen Hintertüren haben oder wir wollen KISGO haben oder ähnliche Dinge so und das heißt also die haben halt nicht Gesetzesrang, das ist halt, 00:28:24.316 --> 00:28:27.194 quasi so eine politische Absichtserklärung. 00:28:27.783 --> 00:28:35.114 Die ja deswegen halt nur so bedingt verlässlich ist, so also ich hätte hier eigentlich ganz gerne im Grundgesetz. 00:28:35.601 --> 00:28:44.747 Ne, also halt äh wir haben allerdings auch immerhin äh verschiedene Orthos-Bundesverfassungsgerichts in denen das Recht auf digitale Selbstverteidigung. 00:28:45.360 --> 00:28:52.775 Bestätigt ist. Also wo man halt sagt, okay äh der digitale Raum hat halt gewisse Unsicherheiten und der. 00:28:53.196 --> 00:28:59.511 Bürger muss und darf Maßnahmen ergreifen. Da ging's zwar in in den Staatstreuern erurteilen. 00:28:59.950 --> 00:29:10.802 Wo sozusagen nochmal gesagt wurde, okay, auch wenn du irgendwas dagegen tust, dass du tronisiert wirst, ist es dein gutes Recht, weil das sind halt allgemeine gute Handlungsweisen der IT-Sicherheit äh deine Systeme zu härten. 00:29:10.730 --> 00:29:18.974 Diese Staatstrianer Urteile, die finde ich ja nach wie vor sehr spannend. Äh vielleicht kannst du da auch nochmal ein bisschen was zu sagen. 00:29:18.674 --> 00:29:32.735 Na das sind also das Kernurteil ist äh von zweitausendacht, in dem das Bundesverfassungsgericht äh das Grundrecht auf die Vertraulichkeit und Digität informationstechnischer Systeme, 00:29:32.952 --> 00:29:45.745 festgeschrieben hat und gesagt hat, okay, also äh prinzipiell gibt's erstmal ein Grundrecht, was natürlich wiederum auch eingeschränkt werden kann äh wo man sagt, okay, also das äh. 00:29:46.592 --> 00:29:50.552 Staatliche Infiltration von Sechnischen System, 00:29:50.667 --> 00:30:05.040 mit den Nutzer überwacht und Speicher mir ausgelesen werden können, das verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für überragend wichtiges Recht rechtsgut bestehen. Also Leib und Leben äh frei der Person oder 00:30:04.932 --> 00:30:11.524 Grundstück der Existenz und so weiter, ne? Ähm! Und die ähm. 00:30:12.930 --> 00:30:18.434 Dieses dieser Grundsatz sagt aber eben auch, dass die äh, 00:30:18.735 --> 00:30:30.001 Anwendung von Trojanern halt nicht leichtfüßig passieren darf, so. Leider ist in diesem Urteil dann halt ein einschränkender Paragraph drinnen, also ein einschränkender Absatz, der halt sagt, okay, 00:30:30.146 --> 00:30:41.215 wenn's nur um Telefonabhören geht, dann ist das schon okay, also dann kann man halt also mit einem beschränkten Trojaner, die so Quellen, Telekommunikationsüberfahrungstrojaner 00:30:41.185 --> 00:30:51.862 da den könnte man anders regeln so und das ist halt das was wir jetzt gerade haben so der Zustand, dass also die Behörden noch immer damit kämpfen halt ihre 00:30:55.150 --> 00:31:08.189 zu bekommen, dass sie alle Plattformen trainieren können. Die Anwendung wird natürlich immer schön daheim gehalten, das heißt also es noch relativ wenig darüber bekannt, dass tatsächlich jetzt nach den äh, 00:31:08.250 --> 00:31:11.740 damals hieß der die Bude Digitask, 00:31:12.078 --> 00:31:22.455 genau Digitals, Trojanern, die damals verwendet wurden, die halt so eher so aus der My First Trojaner Ecke waren, was irgendwie so die Software anging, äh dass jetzt halt so nach und nach. 00:31:22.894 --> 00:31:33.650 Entweder Eigenentwicklung oder halt von den üblichen äh Diktaturzulieferern gebaute äh Trojaner halt irgendwie bei den Behörden eingesetzt werden sollen. 00:31:34.257 --> 00:31:46.785 Ich würde jetzt gerne auch auf die Gefahr, dass wir ein bisschen zu weit und zu grundsätzlich wären, aber wenn wir das Thema schon so ansprechen, würde ich echt nochmal gerne auf diese Digitasknummer kommen, weil das für mich immer noch so die coolste Aktion des CC ever, 00:31:47.110 --> 00:31:53.341 war. Ähm du hast das gerade schon angesprochen, die in diesem Urteil, 00:31:53.654 --> 00:32:00.799 zur zum Grundrecht auf Vertraulichkeit und Integration informationstechnischer Systeme kam es im Prinzip zu so einer, 00:32:00.985 --> 00:32:08.334 Fiktion oder zu so einer gesetzlichen Trennung, die sich heute bis heute hält und das ist die Trennung von Online-Durchsuchung 00:32:08.220 --> 00:32:16.218 wäre also irgendwie so eine Meterbreta auf deinem Rechner, LS äh Copy Everything so, ne und 00:32:16.158 --> 00:32:25.099 dann der Quellen-TKÜ zu sagen nur Kommunikationsprozesse dürfen abgehört werden und dann auch die Annäherung. 00:32:25.689 --> 00:32:36.811 Online-Durchsuchung wäre sowas wie Grundsatz äh tatsächlich wäre angegliedert an Hausdurchsuchungen und Quellen TKÜ wäre angegliedert rechtlich an. Na ja, Richter hat gesagt, 00:32:36.950 --> 00:32:37.887 dürfen abhören. 00:32:37.587 --> 00:32:39.563 Genau, also ja. 00:32:39.467 --> 00:32:47.904 Und dann gab es eben diese diese Versuche, das war das muss zweitausendzehn, zweitausendelf gewesen sein, ne? Ozapft ist. 00:32:48.463 --> 00:32:53.174 Das war, da gab's dann also die ersten die ersten zaghaften Versuche, die. 00:32:53.637 --> 00:33:00.715 A und des Zolls ähm einen Trojaner zu bauen, der das tut. Der also den Computer, 00:33:00.770 --> 00:33:09.999 infiziert, denn das der Zielperson und dann versucht ihr nur beim Kommunizieren zuzuschauen und die Versuche, die die Versuche waren, voll cool. 00:33:10.672 --> 00:33:20.936 Wir machen das Mikrofon an und wir machen Screenshots während E-Mails geschrieben werden. Das war so ungefähr die die Herangehensweise des des Digitals Trojaners. Oder tausche ich mich da. 00:33:20.750 --> 00:33:35.640 Das war tatsächlich das, was sie da getan haben, ja. Und hat auch noch aber das Ding konnte halt Lotoble Moduls, also man konnte halt einfach äh äh die Funktion modifizieren, wenn man denn wollte. Ähm und insofern war es halt unbestimmt. 00:33:36.211 --> 00:33:37.893 Also hier man konnte nach. 00:33:37.593 --> 00:33:45.723 Ding kannst du eine Raumwande draus machen, ne? Also es war halt irgendwie kurz, also diese das halt auch weiterhin so ein Problem mit diesen äh. 00:33:46.198 --> 00:33:51.750 So hatte Quellenticket, Utrojanern, die also eine angeblich beschränkte Funktion haben. 00:33:52.784 --> 00:34:02.669 Wenn man das Mikrofon auf dem Endgerät anmacht äh dann ist das Ding hier erstmal eine Raumwand zu. 00:34:03.426 --> 00:34:15.780 Und ein Raumwanzen hängen in Deutschland, also wirklich sehr, sehr hohe rechtliche Anforderungen. Also ist halt ein äh es war damals halt die, das Gesetze wegen dem Sabine Lotthäuser Schnarrenberger zurückgetreten ist und die 00:34:15.721 --> 00:34:19.284 Also tatsächlich einen Raum zu verwanzen, ist so, 00:34:19.615 --> 00:34:34.084 die strafprozessuale Maßnahme, die halt irgendwie am eigentlich am schwierigsten durchzubekommen ist. Äh eine Telefonüberwachung hingegen wird irgendwie wöchentlich hundertfach durchgestempelt von den Richtern. Und der technische Unterschied, 00:34:34.367 --> 00:34:41.319 zwischen dieser Raumüberwachung und einer Telefonüberwachung sind halt zwei Zellen Kot, 00:34:41.632 --> 00:34:46.787 nämlich die zu gucken, ob gerade eine Telefonie-Software aktiv einen Call hat oder nicht, 00:34:46.932 --> 00:34:59.382 ne? Und äh wann das Zufall das ich hinbekommt oder nicht. Keine Ahnung wahrscheinlich eher nicht. So also ich meine weil letzten Endes geht's ja darum was denn die straffe Volksbehörden da tun. Und, 00:34:59.581 --> 00:35:07.609 dieses Problem ist halt, also wir haben's halt in den damals in dem Verfahren auch gebracht, wir waren der Gutachter äh beziehungsweise Sachverständige und äh aber. 00:35:08.156 --> 00:35:20.943 Das hat nicht verfangen leider, also tatsächlich diese der Glaube darin, die werden das schon richtig machen und da wird halt schon nichts passieren und die werden sicher Treu einer bauen, die wirklich nur dann das Mikrofon anmachen, wenn tatsächlich ein aktiver Call läuft. 00:35:21.394 --> 00:35:24.380 Der hat sich da halt leider verfestigt so. 00:35:24.999 --> 00:35:34.884 Und das ähm also das Ergebnis war der CC ist über Spenden aus laufenden Strafrechtsverfahren, 00:35:34.986 --> 00:35:45.706 aus laufenden Strafverfahren oder abgeschlossenen Strafverfahren weiß ich überhaupt nicht, eigentlich auch völlig unerheblich auf irgendwie an Datenträger gekommen, die mit solchen Trojanern infiziert waren 00:35:46.488 --> 00:35:57.370 und hat sich dann hingesetzt und die mal auseinander genommen und geguckt, wie funktionieren die? Was machen die? Es gab eh in den fraglichen Strafverfahren dann schon durch irgendwie 00:35:57.298 --> 00:36:12.795 hunderte Seiten Screenshots grob sehr starken Grund zum Zweifel, dass diese Software sich an den engen rechtlichen Rahmen halten würde und das Ding wurde halt komplett aufgemacht. Ähm ein Command im Control Server dafür geschrieben, der 00:36:12.615 --> 00:36:19.753 dem Ding einfach beliebige Funktionen unterspielte über diese Modulfunktion und damit wurde gezeigt, dass dieser 00:36:19.646 --> 00:36:26.363 dieser Anlauf eines Staatstrianer zu schreiben, eben absolut in keiner Form rechtlich. 00:36:26.063 --> 00:36:34.890 Also warum erzählen wir diese Trojanergeschichte? Weil ähm die dieses Spannungsfeld. 00:36:35.341 --> 00:36:43.580 Zwischen der Verantwortung des Staates für eine, soweit Daseinsvorsorge, also für die Sicherheit einer Bürger. 00:36:44.157 --> 00:36:46.356 Sich auch auf die IT-Sicherheit erstreckt, 00:36:46.704 --> 00:36:58.115 und für so einen Trojaner, beziehungsweise Benutzung von solchen Trojanern, ist es ungemein praktisch, wenn man Sicherheitslücken hat, die noch nicht gepatcht sind. So, das heißt also die Auslieferung dieser Trojaner, 00:36:58.260 --> 00:37:01.012 also eine der Möglichkeiten dazu ist, 00:37:01.169 --> 00:37:13.126 eben den Explorts zu benutzen und dann halt die entsprechenden Systeme zu infizieren, am besten aus der Ferne, weil da hat man am wenigsten Arbeit. So und da ist der Stahl natürlich jetzt in so einer Bedrohung, nämlich, 00:37:13.385 --> 00:37:19.358 wie soll denn eigentlich die Abwägung passieren zwischen der Start-Weiß von eurer Sicherheitslücke. 00:37:19.760 --> 00:37:32.746 Und er hätte sie gerne noch eine Weile offen gelassen, weil damit halt entweder geheimdienstliche oder strafverfolgte Operationen offen. Und eigentlich ist dieser Konflikt nicht wirklich auflösbar. Die Amerikaner haben dazu versucht, so eine, 00:37:33.082 --> 00:37:44.157 Möglichkeit zu bauen, die nennen sie Security, wo eine Robility Equitys Proces, die beim Review der ersten Version halt äh sich als ähm eher, na ja, 00:37:44.500 --> 00:37:45.996 nicht so richtig toll, 00:37:46.074 --> 00:37:55.862 herausgestellt hat, wenig überraschend, weil die Geheimdienste einfach gesagt haben, so na ja, da tun wir halt nur die Backs rein, von denen wir wissen, dass sie ohnehin verbrannt sind und die Sachen, die halt wirklich äh 00:37:55.737 --> 00:38:10.332 Die Gurke wirklich großen Keulen sind da reden wir halt nicht drüber, wo dann halt so was wie Tunnel Bluebay rauskam, ne? Also erinnert's euch dunkel, der Exploid von der NSA, der dann halt irgendwie relativ zügig dazu führte, dass wir die größten 00:38:10.243 --> 00:38:14.623 und verheerendsten Mehrwertkampagnen überhaupt in der Geschichte bis wir hatten, wo halt. 00:38:14.359 --> 00:38:17.291 Stichwort vorne One Cry und Notpatial waren so. 00:38:16.991 --> 00:38:23.270 Genau, Wonocreme Nord Petja waren so die beiden die halt ganze Redereien und sowas runtergefahren haben. 00:38:23.360 --> 00:38:28.383 Elf Krankenhäuser in Großbritannien nicht mehr nicht mehr so witzig eigentlich alles. 00:38:28.083 --> 00:38:38.082 Genau und das waren halt ein Exploid, auf dem die NSA jahrelang gesessen hat und äh der halt gegen quasi alle Windungsversionen funktioniert und. 00:38:38.618 --> 00:38:48.286 Ja, wenn sie da nicht drauf gesessen hätten und halt irgendwie den äh äh den an Microsoft gemeldet hätten zum Patchen und zwar nicht erst als klar war, dass es liegt, sondern so, 00:38:48.400 --> 00:38:53.411 als sie ihn gefunden haben. Wer hat sowas wie schlicht nicht passiert. 00:38:54.650 --> 00:39:04.654 Das hat man relativ gute Illustration davon, das ist also eigentlich für so einen Staat nicht wirklich eine Option ist, äh so Explorthourting. 00:39:05.070 --> 00:39:12.719 Zu machen und hört die eher sich da so Stockpaides hinzulegen. Jedenfalls nicht, wenn er versucht ehrlich zu spielen. So die Amis 00:39:12.617 --> 00:39:19.869 interessiert sie natürlich nicht, weil die treffen diese Abwiegung halt irgendwie in der Regel hat zugunsten der Geheimdienste in Deutschland, 00:39:19.906 --> 00:39:28.144 es läuft diese Diskussion gerade intensiv und die wird halt auch im Kontext, dieses IT-Sicherheitsgesetz zwei neu geführt, weil, 00:39:28.384 --> 00:39:36.797 da drin eher auch definiert wird, dass ähm zum Beispiel das BSI halt als äh zuständige Behörde 00:39:36.755 --> 00:39:49.254 auch federführend bei der Meldung von IT-Sicherheitslücken ist, ne? Also wo halt man sagt, okay, wenn man dem Staat halt sein will, hier lieber Stadt, hier gibt's 'ne Sicherheitslücke, weil man halt grade kein Bock hat, sich mit dem Hersteller auseinanderzusetzen, weil, 00:39:49.350 --> 00:39:55.539 äh dort äh in der Regel halt irgendwie nicht unbedingt nett ist, wenn der Hersteller halt nicht so gut drauf ist 00:39:55.438 --> 00:40:02.299 dann wäre der schon ganz schön, wenn man eine vertrauenswürdige staatliche Behörde hätte, wo man hingehen könnte und sagen könnte, hier liebes BSI, 00:40:02.113 --> 00:40:11.439 hier ist die Sicherheitslücke und hier ist es irgendwie die Sachen, die reproduzieren und dann sagt das BSI Dankeschön, gebt einem vielleicht noch ein bisschen Geld dafür und kümmert sich drum, dass der Kram gefixt, 00:40:11.608 --> 00:40:14.900 wäre eigentlich wohl ich eigentlich von meinem Staat erwarten, dass es so einen Service gib. 00:40:15.051 --> 00:40:20.607 Deswegen machen wir das als CC regelmäßig für für Leute und mit Gel ohne die Leute zu bezah. 00:40:20.357 --> 00:40:21.480 Ohne Geld halt, ne? Also. 00:40:21.813 --> 00:40:28.667 Um den Menschen dabei zu helfen in sowas nicht verklagt zu werden oder sonstige Probleme zu beko. 00:40:28.896 --> 00:40:38.108 Und äh also so aus meiner Sicht wäre halt ideal, wenn es sowas wie ein unabhängiges BSI gäbe, was halt ein staatliches Buckpointy-Programm, 00:40:38.216 --> 00:40:47.380 fährt mit dem, wo man halt einfach guten Gewissen zahlt, sich als Lücken melden kann. Nun ist das BSE aber dem Innenministerium unterstellt. Das heißt also die. 00:40:47.795 --> 00:40:58.760 Ähm die Diskussion darum, wie denn das BSI jetzt äh mit so gemeldeten Sicherheitslücken umgeht und ob es dann halt auch Zugriff von Strafverfahren, Geheimdiensten auf die Sicherheitslücken gi. 00:40:59.590 --> 00:41:05.034 Die bestimmten Teil dieser Diskussionen, dieses IT-Sicherheitsgesetz, weil da unter anderem halt diese Meldepflichten drinnen stehen. 00:41:04.950 --> 00:41:10.725 Denn das BSI möchte im Prinzip sowas machen, wie die Guten ins Töpfchen, die schlechten ins Kröpfchen. 00:41:10.425 --> 00:41:12.473 Ich würde das noch nicht mal so sagen, weil die. 00:41:13.123 --> 00:41:25.159 Die Leute, die im BSI arbeiten, wissen natürlich, dass es halt eine absolut bescheuerte Idee ist, die irgendwie zu verpflichten, mit den Strafverfolgern zu kooperieren, was irgendwie äh so Sicherheitslücken angeht, weil. 00:41:25.808 --> 00:41:39.508 In dem Augenblick wusste auch nur einen dokumentierten Fall gibt, wo eine Sicherheitslücke ans BSI gemeldet wurde, die dann halt von äh von einem Geheimdienst und Strafverfolger verwendet wird. Und sei es auch nur zufällig, dass äh selbst wenn's Paradise Covery wäre. 00:41:39.953 --> 00:41:45.373 Ist das BSI als Meldestelle als vertrauenswürdige äh Ansprechinstanz erledigt, 00:41:45.746 --> 00:41:53.371 niemand wurde mehr äh der halt irgendwie so auch nur hartweg bei Trance ist, wurde, die mir irgendwie sichere Sicherheitslücken geben. 00:41:54.838 --> 00:41:55.985 Dieser Konflikt, 00:41:56.106 --> 00:42:07.510 hat halt auch die die Diskussion halt jetzt um dieses IT-Sicherzusgesetz zwei null mitbestimmt, so dass man sagt, okay, eigentlich sollen wir, wird es BSI aufgewertet, als als diese Instanz aber andererseits, 00:42:07.655 --> 00:42:15.076 wenn da halt irgendwie Leute im Innenministerium darüber diskutieren, dass sie ja dann auch den Strafverfolgern helfen müssen mit ihren Wissen und ihren, ihren Fähigkeiten, 00:42:15.106 --> 00:42:25.802 dann äh redet halt niemand mehr mit denen, ne? Also dann sagt man halt, okay, dann kann ich auch gleich irgendwie zu irgendwie Serodium gehen und für irgendwie mein Backhalt noch Geld mitnehmen, so, ne? 00:42:25.502 --> 00:42:33.974 Stimmt. Also der der macht das macht das PSI dann nicht das das konkurrenzfähige Angebot. 00:42:36.504 --> 00:42:44.466 Ich würde nur kurz, um nochmal darüber zu sprechen, was wir da für ein Risiko drohen einzugehen, immer wenn Menschen. 00:42:45.073 --> 00:42:51.148 Egal ob also ob staatlich oder sonst was, Schwachstellen offenlassen. Ähm, 00:42:51.353 --> 00:43:00.102 Wenn eine Schwachstelle gemeldet wird und nicht gefixt wird, dann heißt das, die ist in allen betroffenen Systemen noch weiter vorhanden. Ähm, 00:43:00.156 --> 00:43:03.124 wenn wir nun die Abwägung treffen, zu sagen, okay, 00:43:03.143 --> 00:43:14.091 zur Bekämpfung des Kampfs gegen Arbeitslosigkeit oder Terror oder was auch immer äh wollen wir diese Schwachstelle verfügen, um einige wenige. 00:43:14.897 --> 00:43:25.712 Zu hacken. Dann bedeutet das immer noch, dass wir alle anderen unbescholtenen Bürger, die die gleiche Software verwenden, dieser Schwachstelle ausgesetzt lassen. Und. 00:43:26.146 --> 00:43:35.303 Was man bei den und ja eben nicht vergessen darf ist diese wirklich desaströsen Schadenfälle. 00:43:35.886 --> 00:43:41.624 Mehr äh Brauerei, sage ich schon. Rederei. Ähm wer es wäre noch schlimmer gewesen. 00:43:41.324 --> 00:43:43.860 Dann wäre es kritisch. 00:43:43.818 --> 00:43:55.451 Ja, es ist auch eine, ich glaube, die Produktion von äh Schokolade ist auch irgendwie zwei Wochen ausgefallen, weil irgendeine Produktionsstätte von Milka oder Rittersport oder also Nestle oder sowas 00:43:55.428 --> 00:44:00.451 äh befallen war. Also wir sind da wirklich herrschaft an der Katastrophe vorbeigeschossen und. 00:44:01.100 --> 00:44:10.792 Das war zu einem Zeitpunkt, wo die Schwachstelle schon seit zwei Monaten bekannt war und seit einem Monat gefixt oder, 00:44:11.009 --> 00:44:21.182 ja? Das heißt, da haben wir nur einen Vorgeschmack auf das Risiko bekommen, was in dem Fall die NSA über Jahre eingegangen ist. Denn hätte, 00:44:21.459 --> 00:44:22.907 wäre das passiert. 00:44:23.544 --> 00:44:37.671 Unter Ausnutzung dieser Schwachstelle zu einem Zeitpunkt, wo noch nicht die Patches von Microsoft dann irgendwann bestand, äh, äh, bereitgestanden hätten, dann hätte es nicht nur die erwischt, die aufgrund von komplexer IT-Nachlässigkeiten oder, oder, oder. 00:44:37.936 --> 00:44:46.895 Ihre Systeme noch nicht gepatcht hatten, sondern dann hätte es die, hätte es alle getroffen, die noch nicht weil es gar keine Pätsche gab, Patches gab, das heißt auch 00:44:46.890 --> 00:44:50.284 immer noch diese schwersten Fälle wan 00:44:50.188 --> 00:44:58.114 immer noch nur ein geringer Ausblick auf das Risiko, ein Vorgeschmack, auf das Risiko, dem wir eigentlich über Jahre 00:44:57.982 --> 00:45:08.023 ausgesetzt waren. Der offizielle Stand ist glaube ich die Schwachstelle hat über elf Jahre bestanden und es gab zumindest von der NSA Anhaltspunkte, dass sie sie über fünf Jahre kannten. 00:45:07.921 --> 00:45:16.441 Immer so ein bisschen der der Unterschied zwischen die Schwachstelle kann ja theoretisch. Ich glaub die älteste Schwachstelle bei Behebung war sowas wie, 00:45:16.460 --> 00:45:18.190 fünfundzwanzig Jahre alt. 00:45:19.002 --> 00:45:33.411 Als sie dann irgendwann mal jemand gefunden und gemeldet hat. Ähm das heißt also auf fünfundzwanzig Jahre hatten wir einen nicht klaren Zustand, ob diese Schwachstelle nicht vielleicht irgendjemandem schon bekannt war. Und das ist halt das, was weshalb ich es, 00:45:33.772 --> 00:45:42.575 Ich persönlich ist immer für notwendig halte, Schwachstellen bei Bekanntwerden zu melden, auf das alle, die der Schwachstelle ausgesetzt sind, ähm, 00:45:42.720 --> 00:45:49.576 davor geschützt sind und ich gehe dafür bei grundsätzlich davon aus, dass mit diesem alle immer mehr. 00:45:50.561 --> 00:45:59.136 Unbescholtene Bürgerinnen und Bürger und Anwender und staatliche Institutionen gemeint sind als potenzielle Kriminelle, 00:45:59.443 --> 00:46:08.210 sodass ich persönlich zu dem zu dem zu dem Schluss komme, dass eigentlich es immer falsch ist, eine Schwachstelle zurückzuhalten. 00:46:09.538 --> 00:46:15.547 Also ich meine, die was wir gerade sehen ist, dass ist eine äh. 00:46:16.214 --> 00:46:27.926 Ja, so eine so eine gewisse Wiederbelebung von gibt, weil viele Leute völlig angefressen davon sind, dass äh die Zusammenarbeit mit den Herstellern, den Betroffenen. 00:46:28.473 --> 00:46:39.673 Sich halt häufig genug sehr zäh oder sehr bürokratisch oder auch juristisch unangenehm gestaltet und halt immer mehr Leute sagen, na ja Gott dann poste ich halt einfach den Profokonzept. 00:46:40.239 --> 00:46:48.843 Auf einer Mailing-Mist, da gibt's in der Melling Messe heißt Fulda Sclorder äh und sagt halt, na ja, dann euer Problem nicht mein Problem, ne? 00:46:48.801 --> 00:46:56.841 Und man sieht ja, also jüngstes Beispiel, was wir hier äh ausführlich behandelt haben, diese Reaktion von Vivi, 00:46:56.866 --> 00:47:04.142 bei denen ja eine quasi beziehungsweise Disclowser stattgefunden hat, weil, 00:47:04.437 --> 00:47:16.605 Thorsten und Martin freundlich waren. Das Ergebnis ist sie äh sieht sie ziehen dich hin, sie verschleppen das fixen. Ähm veröffentlichen mit der Veröffentlichung, 00:47:17.008 --> 00:47:20.240 sind sie vorbereitet und diskreditieren dich noch al. 00:47:20.860 --> 00:47:33.983 Sicherheitsforscher und äh sagen halt auf die Weise Dankeschön im Prinzip also eine da wird ja auch gezeigt, dass also jeder, der bei bei Vivi nochmal draufhauen möchte und es gibt ja, 00:47:34.272 --> 00:47:49.318 Eventuell dann noch die eine oder andere Schwachstelle, ähm der wird das jetzt nicht nochmal Koordinate machen, sondern das wird sich im Zweifelsfall auf Full Discloger finden. Und da muss man sich natürlich wieder anhören lassen, ah hey, da habt ihr aber jetzt die ganzen Menschen in Gefahr gebracht, die noch 00:47:49.150 --> 00:47:57.076 die dort äh die die Software da noch äh oder die ihre Daten diesen Idioten anvertraut haben. Ja 00:47:57.016 --> 00:48:06.018 aber wenn du dir halt, wenn du dir anschaust, wie die versucht haben, eben Thorsten und Martin in in Misskredit zu bringen, dann verstehst du auch, dass die ähm 00:48:05.904 --> 00:48:13.168 dass dass der zweite oder dritte Hacker, der da nochmal vorbeigeht, sich eben auch sagen wird so, hör mal, wenn ich so oder so, 00:48:13.313 --> 00:48:20.373 in der Tonne lande, um mich von euch Miss in Misskredit bringen lassen soll, dann kann er besser auf Full Discloger posten. Und dann haben wir alle nochmal ein bisschen Spaß. 00:48:20.199 --> 00:48:23.480 Mhm. 00:48:23.835 --> 00:48:25.096 Ja, die Welt. 00:48:24.796 --> 00:48:31.141 Also insofern wäre halt also um sozusagen den Bogen nochmal kurz zurückzuschlagen. Insofern wäre es halt gut, wenn's halt so eine so eine. 00:48:31.719 --> 00:48:36.886 Unabhängige Institutionen gäbe, die halt irgendwie einfach neutraler Backbound die Programme auslobt, 00:48:37.247 --> 00:48:46.909 und quasi hat sowas was so Rodium oder ähnliche äh äh die halt für die Geheimdienste Explods aufkaufen. 00:48:47.384 --> 00:48:54.943 Eigentlich müsste der Staat sagen, okay, wir spielen einfach mit, aber wir machen's für die Guten, wir halten nichts zurück, so. 00:48:55.442 --> 00:49:01.680 Und es wäre auch nicht mal fürchterlich teuer, ne? Also das hört ja irgendwie, wenn das im Vergleich zu den potenziellen Schadensvolumina siehst. 00:49:02.305 --> 00:49:10.297 Ist selbst wenn man ein Expert für eine Million ankaufs ankaufst, der halt irgendwie nehmen wir mal an ein paar hunderttausend Router betrifft. 00:49:11.204 --> 00:49:14.695 Dann hast du keine Ahnung, einen Euro fünfzig pro Router für die Absicherung. 00:49:15.639 --> 00:49:21.227 Ist im Vergleich zu allen Folgekosten, die entstehen können, was den Rotheim Bottnetz wird, ein lächerlicher Betrag. 00:49:21.847 --> 00:49:26.677 Wie hast du das gesagt zum zum Kauf weniger Jäger neunzig? 00:49:26.377 --> 00:49:29.478 Genau, könnten wir das Problem zumindest deutlich eingrenzen, ja. 00:49:29.880 --> 00:49:35.066 Ja, das wäre also das ist eine, das mal so zu rechnen, ist echt eine eine. 00:49:34.820 --> 00:49:47.487 Und ich meine und mal ganz ehrlich, also sag mal so ein, so ein Explored gegen halt so eine Plasterrouter-Serie, der wurde nicht für eine Million übern Tisch gehen, der würde für fünfzehntausend oder zwanzigtausend über den Tisch gehen so, ne? Und heißt also, dann werden's wenige Cent. 00:49:48.935 --> 00:49:53.724 Äh das das nicht passiert, hat er zwei Gründe. Zum einen vertraut niemand dem Staa. 00:49:54.644 --> 00:50:04.000 Weil hört und wie diese Auflösung des Konfliktes von staatlichen Export Hoting Versus irgendwie staatlicher Daseinsvorsorge nicht passiert. Und zum anderen. 00:50:05.028 --> 00:50:15.032 Wildet offenbar niemand wirklich angehen. So alle sind irgendwie offenbar ganz happy mit diesem unklaren Status Quo, weit genug Arbeitsplätze schafft oder keine Ahnung, also. 00:50:15.496 --> 00:50:22.784 Ich fände das tatsächlich so eine so eine richtig schöne, charmante äh Sache da für so eine eine staatliche Stelle zu haben. 00:50:22.682 --> 00:50:24.250 Oder eine öffentlich-rechtliche Stelle. 00:50:23.956 --> 00:50:27.771 Wenn der öffentliche Rechtliche Stelle, die die dann auch mit mit ähm, 00:50:27.844 --> 00:50:35.265 mit 'nem entsprechenden Hebel ausgestattet ist zu den Herstellern zu gehen und zu sagen, nee, pass mal auf, nichts diskutieren jetzt hier, 00:50:35.301 --> 00:50:44.513 nichts in der Öffentlichkeit, Forscher diskreditieren, nichts mit ähm Krisenmanager irgendwo losschicken, sondern fixen. Und zwar, 00:50:44.844 --> 00:50:54.452 bitte Asab, sonst haben wir hier noch ganz andere Hebel, ne? So also im Prinzip so ein Project Zero mit ähm, 00:50:54.722 --> 00:50:58.418 mit mit einer richtig harten Gesicht letztlichen, 00:50:58.689 --> 00:51:06.722 mit einem ordentlichen gesetzlichen Hebel dran. Und dann könntest du noch sowas machen wie okay, wir wir zahlen für Winobilitys irgendwie Geld. 00:51:07.570 --> 00:51:20.651 Und dann könntest du noch sowas machen, wie was weiß ich. Drei Remote Code Execution in einem Jahr gemeldet, gibt äh hier Bundesverdienstkreuz oder so, ne? Kannst du auf einer stationär Zerodium Challenge coin, die ich zu Hause rumfliegen habe. 00:51:20.351 --> 00:51:21.775 Gibt's einen Bundesorden, genau. 00:51:21.475 --> 00:51:26.859 Geht zum Bundesorden, ne? So, schönen Cyberorden, ähm da könnte man echt was Schönes machen. 00:51:26.559 --> 00:51:31.390 Also wie gesagt, ich also Gegebenheit, die man staatlichen Machtstrukturen. 00:51:32.117 --> 00:51:37.555 Wir diskutieren ja schon eine ganze Weile zum Beispiel darum, ob man das BSI zu einer unabhängigen Bundesbehörde machen sollte. 00:51:38.685 --> 00:51:51.015 Fände ich glaube ich da so neu erfinden von öffentlich-rechtlich gut. Also sozusagen sagen ist eine Organisation, die ist öffentlich, sie dient der Öffentlichkeit aber sie ist nicht der Staat. Ne, also wo man halt sagt, okay, ähm. 00:51:52.320 --> 00:52:01.495 Die äh der Konflikt mit dem Staat ist möglicherweise nicht auflösbar, aber es gibt ja noch genügend andere Organisationsformen, die. 00:52:02.204 --> 00:52:08.297 Entweder vom Staat finanziert sind oder halt irgendwie aus äh keine Ahnung Industrieumlage oder was auch immer finanziert sind. 00:52:09.055 --> 00:52:16.133 Bei denen halt die Unabhängigkeit so aufgebaut ist, dass man halt eben dadurch, dass man nicht die Bundesinnenministerium nachgeordnet ist, 00:52:16.158 --> 00:52:21.583 so 'ne Funktion realisiert. Und aus meiner Sicht wäre eigentlich das BSI in so 'ner personellen Ausstellung, 00:52:21.608 --> 00:52:29.353 da durchaus gut für geeignet, weil da arbeiten auch gute Leute, aber die diese Unterordnung und das Innenministerium äh, 00:52:29.546 --> 00:52:37.543 Na ja, die sorgt halt dafür, dass das Vertrauen halt im Zweifel nicht also gerade bei Sicherheitsforschern halt gerade nicht unbedingt gegeben ist, ne. 00:52:37.243 --> 00:52:43.468 Gerade bei unserem Innenminister. Ähm wollen wir, 00:52:43.685 --> 00:52:48.221 nochmal kurz zurück auf das IT-Sicherheitsgesetz einge. 00:52:47.921 --> 00:52:49.105 Nur ganz kurz. 00:52:48.895 --> 00:53:02.559 Genau und also nur um das historisch kurz erwähnt zu haben. Es gibt ja bereits ein IT-Sicherheitsgesetz, das ist glaube ich zweitausendfünfzehn wurde das herabgelassen ähm da haben wir auch als CTC damals eine Stellungnahme zu gehabt, die, 00:53:02.656 --> 00:53:09.818 ich dann im Ausschuss vertreten habe, das war dann der Innenausschuss wahrscheinlich. Ähm wo wir, 00:53:10.083 --> 00:53:15.521 uns darüber Gedanken gemacht haben. Da soll's so ein bisschen, sollte es ein bisschen darum gehen, ähm, 00:53:15.761 --> 00:53:27.473 Das war das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme hatte aber spezifischen Fokus auf sogenannte kritische Infrastrukturen. Und da haben wir dran kritisiert erstens äh fehlende Ansätze zum Endnutzerschutz, 00:53:27.690 --> 00:53:36.066 Das Gesetz bezog sich eben nur auf kritische Infrastrukturen. Es ging nicht darum, Nutzerinnen und Nutzer zu schützen, ähm. 00:53:36.547 --> 00:53:47.092 Das waren sehr bürokratielastiges Gesetz, da sind die sind die Unternehmen streckenweise heute noch mit beschäftigt. Die Anforderungen zu erfüllen, weil es um sehr viel ja ähm, 00:53:47.093 --> 00:53:50.620 Mindestanforderungen protokollieren ähm, 00:53:50.644 --> 00:54:01.040 Sicherheitskonzepte schreiben, ging's um Sicherheitsmanagement. Ich nenne IT-Sicherheitsmanagement so ein bisschen sowas wie äh eigentlich Management ist immer, 00:54:01.364 --> 00:54:03.455 Die Verantwortung tragen, 00:54:03.756 --> 00:54:14.716 und dafür sorgen, dass man nicht zur Verantwortung gezogen wird. Das ist im Prinzip Management. Im Bereich der IT-Sicherheit zumindest. Also möglichst viele Häkchen irgendwohin machen, damit wenn dann mal 00:54:14.680 --> 00:54:23.327 äh die äh Scheiße in den Ventilator fliegt, dass man dann möglichst sagen kann, ich habe aber alles gemacht, was was. 00:54:24.042 --> 00:54:33.356 Gut und billig und gesetzlich vorgeschrieben ist, sodass man mir hier keine Fahrlässigkeit unterstellen kann, so dass ich eine nicht wirklich in der Haftung bin und nicht wirklich zur Verantwortung gezwungen werden kann. 00:54:33.627 --> 00:54:42.075 Also daraus erwachsenes hört man auch eine Sache, die für die Zukunft durchaus wichtig wird. Und zwar wurde da, 00:54:42.424 --> 00:54:50.903 in der implementierung dessen äh einen Vorschlag von uns aufgenommen, wo wir gesagt haben, okay, äh es ist halt schwierig, den. 00:54:51.985 --> 00:54:54.820 IT-Sicherheitsstaat zu zertifizieren, 00:54:54.959 --> 00:55:07.710 weil du kaum in der Lage bist zu sagen, okay, wir haben jetzt irgendwie dieses Thema gründlich angeguckt, dann ist es aber mindestens drei Monate her oder vier Monate her, in der Realität eher drei Jahre, so man hat so die typischen, keine Ahnung, 00:55:07.807 --> 00:55:21.771 IT-Sicherheitszertifizierung nimmt. Und in dem Augenblick ist jetzt das Thema eigentlich schon durch, da braucht man eigentlich nicht weiter drüber reden, weil halt in der Zwischenzeit neue Explotechniken entwickelt wurden und so weiter. Da sind wir unser Forscher zu sagen, okay, lassen sie es mal dynamisch machen, also halt eine, 00:55:22.000 --> 00:55:26.903 Leute aus den einzelnen Branchen zusammenholen, die sich hinsetzen und drüber reden, was, 00:55:27.144 --> 00:55:41.758 die IT-Sicherheitsmindeststandards in ihrer Branche sind, also welche Softwareversionen äh von Onki Curnals und äh verwendeten Librarys, irgendwie prozedurale Kirchungen und so weiter. Und daraus ist dann halt für diesen Bereich kritische Infrastrukturen. 00:55:42.617 --> 00:55:51.354 Äh sind halt die sogenannten branchenspezifischen Sicherheitsstandards geworden, also kurz B drei S. Und die sind halt nach so einem 00:55:51.216 --> 00:56:04.694 genau dieser Idee aufgesetzt. So das funktioniert halt alles noch nicht so richtig gut, weil sich halt erst noch dran gewöhnen müssen und das bürokratische Setup davon halt an einigen Stellen irgendwie falsch inzentiviert ist so, aber grundsätzlich ist es halt 00:56:04.532 --> 00:56:12.320 aus unserer Sicht der richtige Ansatz zu sagen so okay, wir brauchen halt eine Möglichkeit für jemanden, der halt irgendwie so ein IT-System betreibt. 00:56:12.789 --> 00:56:22.475 Sicherzustellen, dass er die Mindestanforderungen erfüllt und die müssen halt branchenspezifisch sein. Das heißt also, dass nicht nur für kritische Infrastrukturen sondern eigentlich quasi so für alles 00:56:22.331 --> 00:56:31.008 und in diese Richtung zu gehen, da wäre natürlich das BSI halt auch der richtige Ansprechpartner für, also der richtige Personal richtig aufgestellt und so weiter und auch zuständig, 00:56:31.020 --> 00:56:39.565 nur ist halt diese Unabhängigkeit dabei halt so ein bisschen ja diese nicht gegebene Unabhängigkeit so ein bisschen im Weg. 00:56:39.499 --> 00:56:52.875 Ich würde da noch ein bisschen drüber hinausgehen. Also dynamisch bedeutet einmal klar also Sicherheitsstandards können nicht statisch sein, weil IT-Sicherheit eben viel mehr ein Prozess ist als ein Zustand. Ähm wenn. 00:56:53.314 --> 00:57:01.882 Wir haben jetzt sehr viel über Schwachstellen gesprochen. Schwachstellen werden gefunden. Schwachstellen werden beseitigt, das heißt, die Systeme müssen auf dem aktuellen Stand gehalten werden. Ist also eigentlich 00:57:01.732 --> 00:57:08.156 eine Zertifizierung im herkömmlichen Sinne, in die einen Zustand betrifft ist in dem Bereich also, 00:57:08.162 --> 00:57:14.075 Im Prinzip nicht zielführend, weil du viel eher den Prozess haben möchtest, ja? Also die Schwachstelle zu. 00:57:14.484 --> 00:57:20.751 Die Schwachstelle nicht zu haben, ist ja nur ein Teil deiner IT-Sicherheit. Der weitere Teil ist zu erkennen, 00:57:20.836 --> 00:57:28.731 was also darauf zu reagieren, wenn sie festgestellt wird und wenn sie ausgenutzt wird, dafür zu sorgen, dass der Schaden gering bleibt. Ähm, 00:57:29.008 --> 00:57:32.907 Also eine Wiederherstellung, Erkennung und Sonstiges. Ähm. 00:57:33.407 --> 00:57:44.264 Ich fand allerdings bei diesem IT-Sicherheitsgesetz eins ein bisschen das Problem, wenn da die Branche sich ihre Sicherheitsstandards selber schreibt und Strafen dafür bekommt, wenn sie die nicht einhält. 00:57:43.964 --> 00:57:50.406 Deswegen braucht man da halt irgendwie nicht nur die Branche, sondern halt irgendwie ähm also, 00:57:50.797 --> 00:57:56.282 Unser Vorschlag war zu sagen halt so, da müssen dann halt irgendwie auch Leute aus dem BSI sein, die halt von den entsprechenden Fachabteilungen sind, 00:57:56.499 --> 00:58:03.151 und hört irgendwie zum Beispiel halt die aktuellen Trends halt bei Meri und so weiter kennen halt aus den Sirts die halt mit den 00:58:03.139 --> 00:58:09.953 aktuellen Vorfällen zu tun haben. Viele Industrien haben ja mittlerweile eine äh Computer Merchandis Bandszentren 00:58:09.906 --> 00:58:14.910 wo halt die Information über die Vorfälle in dieser Industrie so ein bisschen zusammenlaufen äh 00:58:14.767 --> 00:58:29.182 und natürlich halt irgendwie Leute aus aus der Hacke Community und aus den äh äh akademischen äh Forschungsbereichen, die sich um die spezifischen Themen kümmern, sodass man da halt nicht nur so eine die Branche selber sagt, okay, zwo sechser Körner sind su 00:58:29.177 --> 00:58:32.139 weil haben wir alle und irgendwie äh. 00:58:32.692 --> 00:58:40.377 Open ist es Evelson irgendwie irgendwie kleineren äh eins null, kann man eigentlich auch noch prima verwenden, weil haben wir ja auch alle. So soll natürlich nicht laufen, ne. 00:58:41.099 --> 00:58:48.032 Ähm genau, ich glaube aus dem IT-Sicherheitsgesetz wurde dann so ein bisschen was, 00:58:48.310 --> 00:58:59.822 Also das letzte, was ich davon gehört habe, war glaube ich so im letzten Jahr noch, dass einige Branchen eben Schwierigkeiten hatten, die Standards einzureichen und zu erfüllen. Aber es war halt so ein, es war am Ende ein großer Verwaltungsakt, 00:58:59.919 --> 00:59:07.917 da ist jetzt nicht da fehlte es irgendwie an an den großen Sprüngen, die man vielleicht hätte erhoffen. 00:59:08.356 --> 00:59:17.603 Ähm es gab ja noch ein paar Kritik an Datenschutzschwächung und das äh BSI-Problem haben wir gerade schon öfter besprochen. Jetzt also, 00:59:17.838 --> 00:59:19.430 Vier Jahre später. 00:59:20.242 --> 00:59:30.811 Ziemlich genau auf einen aufs Jahr, auf den Monat genau vier Jahre später soll also das IT-Sicherheitsgesetz zwei Punkt null kommen, wo es jetzt also eine neue. 00:59:31.472 --> 00:59:45.287 Eine neue Ausrechnung gibt, auch einen neuen Innenminister, unter dem das Ganze stattfinden soll und der Referentenentwurf ist jetzt vor wenigen Tagen von Netzpolitik Org veröffentlicht worden in paar Sendungen vorher, 00:59:45.318 --> 00:59:52.480 haben wir schon mal über die Eckpunkte gesprochen, die das äh die irgendwie auftauchten. Ähm, 00:59:52.486 --> 00:59:56.560 wo im Prinzip schon mal so ein bisschen der. 00:59:57.420 --> 01:00:03.693 Man man merkte, es war so ein bisschen der der erste Test, ne? Die Eckpunkte wurden schon mal so veröffentlicht, um mal zu gucken, 01:00:03.783 --> 01:00:14.798 wo springt denn die Presse drauf? Wo gibt's die Kritik? Da waren natürlich auch einige Punkte drin, die ja geeignet waren, uns zu ärgern und zu provozieren. Und das äh, 01:00:14.930 --> 01:00:20.891 Die wurden ja dann auch von im Logbuch schon mal angesprochen. Wir wollen aber jetzt ein bisschen spezifisch auf den. 01:00:21.883 --> 01:00:29.790 Auf den Referenten Rentenentwurf, den Referentenentwurf ähm eingehen, denn da sind. 01:00:30.061 --> 01:00:31.220 Echte Knaller drin. 01:00:31.359 --> 01:00:32.699 Echte Knaller drin, ne? 01:00:32.891 --> 01:00:40.084 Also die die Genese dieses Antisicherheitsgesetzes zwei null ist so ein bisschen das. 01:00:40.733 --> 01:00:50.311 Äh nach dem äh Regierungswechsel des Inministermeerprimärheit mit Ausländerrausgesetzen beschäftigt war. Und äh 01:00:50.228 --> 01:01:03.026 andere Themen eigentlich so ein bisschen unter den Tisch gefallen sind. Also funktioniert ja immer so, dass wir den Fachabteilungen werden halt irgendwie Entwürfe halt irgendwie zusammengebaut äh was Demokratie theoretisch auch schon ein bisschen schwierig ist, dass also die Mysterien 01:01:03.015 --> 01:01:11.806 die Exkurtive sich die Entwürfe schreibt nach denen sie ihre Gesetze haben will, finde ich persönlich irgendwie eigentlich falsch, eigentlich sollte das tatsächlich aus dem Parlament kommen, aber gut. Ähm, 01:01:12.070 --> 01:01:18.980 jedenfalls sie schreiben halt dann da so Papiere und Studien und Analysen und versuchen die Probleme rauszufinden 01:01:18.885 --> 01:01:29.298 machen dann da halt so Entwürfe. Und die haben dann irgendwann den Status eines Referentenentwurfs. Da nun aber das Innenministerium hat das letzte Jahr halt irgendwie primär halt mit anderen Dingen beschäftigt war, 01:01:29.382 --> 01:01:38.666 also halt dann die Finalisierung des Entwurfs und die die Einreichung halt in den äh äh in die Fraktionen und so. Ähm. 01:01:39.826 --> 01:01:52.637 Kam da so ein gewisser Stau zustande und deswegen ist halt dieses IT-Seats-Gesetz zwei null, der zumindest der Referentenentwurf so eine gewisse Sammelkiste, wo wie alle, 01:01:52.866 --> 01:01:56.110 Fachabteilungen, die halt irgendwie irgendwas mit IT zu tun hatten, 01:01:56.363 --> 01:02:05.172 und mit öffentlicher Sicherheit an wie ihre Wunschliste halt reintun. Und deswegen ist die halt auch so krass. Also deswegen sind da halt so viele Sachen drin, die halt äh, 01:02:05.521 --> 01:02:14.997 wo man eigentlich sagen würde, okay, es geht ja gar nicht so, also ein, also eine der krassesten Sachen ist halt dieser Passwortparagraph. Ähm, 01:02:15.346 --> 01:02:27.213 vorsieht, dass wenn jemand verdächtig wird, eine schwere Straftat oder eine Straftat mittels Telekommunikation begangen zu haben, also quasi alles äh sollen Behörden dessen Accounts übernehmen können, 01:02:27.604 --> 01:02:36.095 und der Verdächtige soll dazu verpflichtet werden seine Passworte rauszugeben äh und ja denen halt den Zugang zu ermöglichen so, ne. 01:02:35.951 --> 01:02:37.561 Spezifisch formuliert, 01:02:37.706 --> 01:02:48.966 auch gegen den Willen des Inhabers auf Nutzerkonten oder Funktionen, die ein Anbieter eines Telekommunikations oder Telemediendienstsystem verdächtigen zur Verfügung stellt, 01:02:48.997 --> 01:02:57.728 mittels derer der Verdächtige im Rahmen der Nutzung des Telekommunikations- und Telemediendienstes eine dauerhafte virtuelle Identität unterhält, 01:02:57.734 --> 01:03:06.693 zugreifen. Die Formulierungen sind immer sehr komplex, deswegen versuchen wir die, versuchen wir den, die Bedeutung zu ähm. 01:03:07.330 --> 01:03:10.881 Zu erfassen, aber das ist natürlich echt äh, 01:03:11.146 --> 01:03:22.389 Absatz, also gilt entsprechend mit der Maßgabe, dass die Zugangsdaten auch herauszugeben sind, wenn sie geeignet sind, eine Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit herbeizuführen. 01:03:23.104 --> 01:03:23.897 Ähm. 01:03:24.612 --> 01:03:38.890 Jedoch dürfen die äh durch Nutzung der Zuwachsdanken gewonnen Erkenntnisse in einem Strafverfahren oder ein Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Verdächtigen. Äh verwendet werden. Nur mit Zustimmung verwendet werden. Also. 01:03:39.539 --> 01:03:45.079 Eine Situation, die wir eigentlich seit jeher gefürchtet haben, ne. 01:03:45.392 --> 01:03:53.071 Und die ähm es geht halt noch weiter, ne? Also dann haben wir halt sowas wie ähm. 01:03:53.901 --> 01:04:02.187 Äh Legitimierung des von Staatstrainereinsatz gegen Hacker. Äh das ist halt irgendwie auch so eine äh relativ äh. 01:04:02.764 --> 01:04:06.495 Deutliche Ansage, so dass sie halt wieder äh, 01:04:06.808 --> 01:04:19.661 ja machen können und was sie wollen, dann äh Darknet Kriminalisierung, also halt die äh Teile des Entwurfs aus dem Bundesrat, äh wo es darum ging, dass der Betrieb äh von, 01:04:19.782 --> 01:04:28.735 anonymisierungssystem dann strafbar sein soll, wenn es halt irgendwie eine kriminelle Nutzung gibt, 01:04:29.000 --> 01:04:35.381 Ja, also jetzt nicht mal irgendwie, dass sie, wenn sie spezifisch dafür gebaut wurden, sondern wenn es eine kriminelle Nutzung überhaupt gibt. 01:04:35.910 --> 01:04:40.777 Die dann strafbar sein sollen, was also da hatten wir, 01:04:40.970 --> 01:04:48.216 analog zu dem, was wir halt vorhin diskutiert haben mit den, mit dem Hackertour Paragraph zwohundertzwo C äh haben sie da halt eine, 01:04:48.367 --> 01:04:56.335 unmöglich weite Formulierungen gewählt und auch in der Begründung nicht eingeschränkt. Sie haben quasi gesagt, ja also wenn wir so ein System sehen. 01:04:57.380 --> 01:05:11.057 Dann sehen wir schon, ob's kriminell ist. Ne, also das ist halt so der der Standard, also mitnichten einer wie wie beim Verfassungsgericht formuliert halt irgendwie hart belegte, kriminelle Intention, sondern mehr so, na ja, so äh wenn wir's sehen, dann werden wir es schon wissen. 01:05:11.887 --> 01:05:16.068 Die Formulierung will ich tatsächlich nochmal kurz zitieren. Äh wer dr, 01:05:16.441 --> 01:05:22.210 internetbasierte Leistung zugänglich macht, deren Zweck oder Tätigkeit darauf ausgerichtet, 01:05:22.607 --> 01:05:35.988 Die Begehung von rechtswidrigen Taten zu ermöglichen, zu fördern oder zu erleichtern, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft, wenn die Taten nicht in anderen Vorschriften mit schwerer Strafe bedroht wird 01:05:35.905 --> 01:05:39.161 äh bedroht ist. Die Strafe darf nicht schwerer sein als, 01:05:39.258 --> 01:05:48.060 die für die Tat im Sinne von Absatz eins angedrohte Strafe. Mit Freiheitsstrafe von sechs Monaten bis zu zehn Jahren wird bestraft, wer die Tat gewerbsmäßig oder als Mitglied einer Bande, 01:05:48.181 --> 01:05:57.297 die sich so fortgesetzten Beziehung von Straftaten im Sinne dieser Vorschrift verbunden hat, begeht. Äh gilt nicht Verhandlungen äh für Handlungen. 01:05:57.760 --> 01:06:05.703 Wenn die Begehung von Straftaten nur einem Zweck oder eine Tätigkeit von untergeordneter Bedeutung dasteht oder. 01:06:06.310 --> 01:06:13.287 Handlungen ausschließlich der Erfüllung rechtsmäßiger dienstlicher oder beruflicher Pflichten dienen. 01:06:14.609 --> 01:06:20.179 Der Hintergrund davon ist im Prinzip, ja, Darksnet Marktplätze. 01:06:21.231 --> 01:06:27.810 Also das ist halt eines der der Dinge, die um die es ihnen da geht, sind. 01:06:29.428 --> 01:06:39.102 Ihre Vorstellung von die von Medienberichten über Dark and Marktplätze geprägt ist. So und halt irgendwie so ein bisschen auch deren äh. 01:06:39.595 --> 01:06:46.565 Was sie halt so unter Strafverfolgungserfahrung haben, ne? Das heißt also man merkt halt so, dass sie. 01:06:47.028 --> 01:07:00.392 Versuchen das möglichst weit zu fassen und möglichst schwammig zu formulieren, weil sie Angst haben, wenn sie es halt zu eng formulieren, dass es dann halt äh äh ja das Internet spielt oder so, ne? 01:07:00.098 --> 01:07:08.150 Was ich, was ich spannend an dem Ding finde ist, ich werde ja auch nicht müde, Polizeiarbeit auch mal zu loben. Und. 01:07:08.619 --> 01:07:21.490 Der Darknet Marktplatz, der in Deutschland irgendwie eine Rolle in den letzten Jahren gespielt hat, war äh Deutschland im Depo-App. Ähm das Ding, worüber die Waffe gehandelt wurde. 01:07:22.013 --> 01:07:30.173 Mensch, die der Mensch gekauft hat, der in München diese äh Schießerei äh veranstaltet hat. Einige, 01:07:30.281 --> 01:07:38.147 Anhaltspunkte dafür, dass das ein rechtsgerichteter Terrorist war, deswegen ist es ein verwirrter Einzeltäter in der öffentlichen Darstellung. Ähm 01:07:38.075 --> 01:07:46.788 Der Typ hat diese Waffe gekauft über den Marktplatz Deutschland in Deep-Web. Dort hat die Polizei dann den Händler, 01:07:47.022 --> 01:07:56.300 erkannt, hat bei dem einen Testkauf gemacht, hat den bei diesem Verkauf festgenommen, also relativ einfach, relativ, 01:07:56.367 --> 01:08:08.264 eigentlich. Jo, wir wollen Knarre kaufen, zeig mal. Ah ja, übrigens hier verhaftet tschüss. Ja, wunderschön, zeigt auch ein bisschen die Grenzen des Darknet Handels, weil am Ende müssen ja Transaktionen. 01:08:08.727 --> 01:08:16.815 Von Waren stattfinden und am Ende müssen auch die Bitcoins wieder in sage ich mal stabilere Währungen getauscht werden, die ähm. 01:08:17.260 --> 01:08:26.171 Ne, wo also auch am Ende äh häufig eine einen Link zu einer mit zu einer verfolgbaren Identität bestehen. 01:08:26.737 --> 01:08:41.524 Dann sind sie hingegangen und haben gesagt, okay, wer betreibt denn diesen Marktplatz? Und den haben sie ja auch dranbekommen, ein äh junger Mann, von dem behauptet wird, er würde in Karlsruhe äh leben, der jetzt sich auch vor Gericht wiederfindet wegen Beihilfe. 01:08:41.981 --> 01:08:46.380 Und der hat sich der ähm also den haben sie. 01:08:47.089 --> 01:08:56.421 Über verschiedene Recherchen irgendwie bekommen, insbesondere aber darüber ähm in der Beihilfe verschuldig befunden, weil er die einzelnen Transaktionen und. 01:08:56.998 --> 01:09:05.663 Händlerprofile in seinem Marktplatz, den er da unterhält, selber äh geprüft und freigegeben hat. Der hat im Prinzip so eine Art äh Escrowe, 01:09:05.760 --> 01:09:14.730 Service für die Transaktion gemacht und hat überhaupt irgendwie seit jeder einzelne jedes einzelne Angebot freigeschaltet und damit war er auch. 01:09:15.224 --> 01:09:23.618 Oft also noch ist er nicht verurteilt, aber deswegen daher wird argumentiert, dass er der Beihilfe schuldig war in diesem Waffenhandel. 01:09:24.358 --> 01:09:34.392 Und ich vermute, dass sie damit, wenn sich erweisen wird, dass er jetzt schuldig ist, äh relativ gute Karten haben, dadurch, dass sie ihn eingeloggt im Backen zu seinem. 01:09:34.910 --> 01:09:43.454 Marktplatz dort verhaftet haben zu Hause wird er wird die Verteidigung Schwierigkeiten haben? 01:09:45.383 --> 01:09:50.731 Ich würde jetzt mal vorsichtig sagen, dass das eben echt auch mal eine Erfolgsgeschichte ist. Der Polizei. 01:09:50.503 --> 01:09:55.917 Na ja, weil du halt irgendwie genügend Personal hast und äh da halt irgendwie auch eine. 01:09:56.530 --> 01:10:01.643 Das auch hinrecht zeitnah einsetzen kannst, dann schaffst du halt sowas auch, ne? 01:10:02.172 --> 01:10:13.758 Aber also die das hat so ein so ein gewisser Kernpunkt, ne, dass die ganz viele von diesen Maßnahmen, die sie sich da gestatten wollen, also unter anderem halt auch irgendwie Staatstrainer gegen Hacker einsetzen zu dürfen. 01:10:14.708 --> 01:10:20.218 Ist dem geschuldet, dass sie sagen, so, wir haben nicht genug Personal für die Anzahl der Fälle. 01:10:20.903 --> 01:10:33.311 Deswegen brauchen wir die den größeren Hebel, die Rationalisierung, die äh Zeitersparnis, die durch äh relativ mächtige technische Eingriffswerkzeuge kommt. 01:10:33.143 --> 01:10:40.558 Ich mich stören bei dieser Darknet Kriminalisierung noch zwei andere Sachen. Erstens, 01:10:40.799 --> 01:10:49.506 In der Formulierung steht eigentlich nichts davon drin, dass das Darknet oder sonstiges ist, ja? Das heißt, es geht im Prinzip nur Internetdienste zu Begehung von Straftaten. Äh, 01:10:49.710 --> 01:10:53.177 das kann man sehr viel weiter fassen als irgendwie Deutschland im Depo-App. 01:10:53.574 --> 01:10:56.548 Also kann jeder, jeder VPN-Anbieter. 01:10:57.912 --> 01:11:12.028 Jeder, genau, jeder VPN-Anbieter kann da schnell drunter fallen. Gut, die gibt's in Deutschland eh nicht mehr, weil Vorratsdatenspeicherung den Betrieb von VPNs irgendwie nicht wenig nur wenig sinnvoll macht, doch es gibt auch deutsche VPN-Anbieter, aber ähm. 01:11:11.193 --> 01:11:12.629 Ähm. 01:11:12.509 --> 01:11:22.369 Keiner die heute noch irgendwie in der Breite empfohlen werden ansonsten haben wir in Kommentarfunktion, wenn ihr da andere Meinungen vertreten werdet. 01:11:22.069 --> 01:11:34.676 So, ich muss da noch ein Bitt loswerden. Ich habe neulich gelernt, dass äh es gibt ja ganz viele so kommerzielle VPN-Anbieter, ne? Und ich habe neulich mit jemandem gesprochen aus der Branche und der meinte so ganz trockener, ja. 01:11:35.680 --> 01:11:41.454 Weißt du, so ein VPN für zehn äh Euro im Monat? Kannst du eigentlich nicht wirtschaftlich betreiben. 01:11:42.223 --> 01:11:47.157 So, also wenn's unter zehn Euro kostet, kannst du eigentlich sagen. 01:11:47.830 --> 01:11:58.411 Die Wahrscheinlichkeit, dass der Anbieter die Daten verwertet, ziemlich groß, wenn er denn noch eine Telefonhotline hat. Weil das schafft er dann halt einfach wirtschaftlich schlicht nicht mehr. So und tatsächlich. 01:11:58.111 --> 01:12:09.138 Einfach zu viele Kunden, die sich beschweren, äh Datenvolumen was da durchgeht, Datenvolumen ist in dem Fall nicht günstig. Gerade vor PN Nutzer haben teilweise relativ hohe Datennu. 01:12:09.793 --> 01:12:16.571 Tue ich jetzt bestimmte Protokolle, die die gerne sprechen, doch und sonstiges. 01:12:16.673 --> 01:12:22.646 Also das ist halt so eine tatsächlich so ein, so ein Punkt, den man halt verdenken sollte, wo man halt seinen VBN Anbieter auswählt, 01:12:22.647 --> 01:12:28.806 interessanterweise gehören ganz viele irgendwie so ungefähr demselben Firmenkongremerat und dieses Firmenkonglomerat. 01:12:29.257 --> 01:12:43.648 Hat dann halt auch wohl offenbar noch so 'ne Datenhandels wo man halt also die die geklickten URLs zusammen mit dem Kreditkartenprofil irgendwie also den Realdaten aus der Kreditkarte, mit der man bezahlt hat, verlinkt bekommt so, das ist halt äh, 01:12:43.991 --> 01:12:56.153 ja offensichtlich funktioniert ein Teil der Branche äh so. Also da sollte man sich dann schon lieber VBN Anbieter auswählen, die entweder teurer sind, also es nicht nötig haben oder äh politische Gründe haben, VPN zu betreiben. 01:12:56.069 --> 01:13:01.561 Kein deren Support Line ungefähr so ist, wenn du Probleme hast, helfen wir dir. 01:13:02.450 --> 01:13:15.532 Ansonsten geben wir das Geld zurück, weil da also es genau Augen auf beim VPN-Kauf. Ähm wir haben auch im im unserem Vortrag Thorsten und ich da ein bisschen über das Thema VPN Anbieter gesprochen. 01:13:16.211 --> 01:13:22.370 In dem Vortrag. Äh du kannst alles machen, du darfst, kannst alles hacken, du darfst dich nur nicht erwischen lassen. Ähm. 01:13:24.420 --> 01:13:32.664 Genau, das ach so der, der zweite Punkt, danke Kriminalisierung, den ich noch kurz anbringen wollte. Ähm ist wenn. 01:13:33.103 --> 01:13:42.886 Der Verdacht, dass du Darknet Infrastruktur betreibst. Zum äh für irgendwelche illegalen Späße. Und unter diesen Paragraphen, ich meine 01:13:42.783 --> 01:13:54.320 Der Verdacht würde bei mir aufgrund meiner Telefonleitung auch sehr schnell entstehen, weil ich relativ viel Tor-Traffic habe. Ähm sodass ich bei der ersten Suche nach wer würde denn irgendwie da reinfallen? Hier Dagn 01:13:54.291 --> 01:14:03.256 und hinten hin Service zu betreiben, wäre ich sofort dabei. Außerdem habe ich inzwischen mache ich jetzt nicht mehr so viel, Tornotes betrieben. Das sind, 01:14:03.545 --> 01:14:17.263 diese Server, die auf meinen Namen registriert sind, die sehr viel Traffic machen, die von all außen, also aussehen, als würden sie hin Services anbieten. Das heißt, so Anfangsverdacht bei mir äh für den Betrieb von hinten Services wäre gegeben. 01:14:17.804 --> 01:14:27.449 Und dann gibt's direkt den gesamten Mantel, ne? Dann gibt's äh die gesamte Aktionsrahmen, Telefon abhören, Computerhacken und so weiter, weil eben dieses 01:14:27.341 --> 01:14:38.962 der der Betrieb einer solchen Plattform zu eine hohe Strafe ist und so ein großes Problem, das mir dann entsprechend die ganzen die ganzen Maßnahmen, der gesamte Maßnahmenkatalog für mich in Frage käme. 01:14:39.833 --> 01:14:43.048 Und deswegen ist das so problematisch, 01:14:43.187 --> 01:14:52.182 auch wenn man beim ersten Lesen sagt, na ja, hier klar, so jemanden wie der Deutschland im Deep Web da betreibt, das sollte, 01:14:52.290 --> 01:15:01.719 unter Strafe stehen, wenn da Waffen gehandelt werden, klar da muss das unter Strafe stehen aber genau deswegen steht er schon nach dem alten Gesetz gerade vor, 01:15:01.989 --> 01:15:15.768 vom Kader und darf sich da ihr äh vor vor Gericht und darf sich darf sich da verantworten, weil es eben auch nach geltendem Recht ähm problematisch ist. Und wir haben bisher wenig ähm, 01:15:16.129 --> 01:15:24.697 sage ich mal, illegale Darknet-Infrastrukturen, die nicht unter das aktuelle äh Strafgesetz fallen würden. 01:15:24.439 --> 01:15:32.623 Also die ich glaube was was man da halt sehen muss ist dass die die Angst. 01:15:33.122 --> 01:15:39.311 Da die Kontrolle zu verlieren groß ist. Also die haben halt offensichtlich Sorge, dass sie. 01:15:40.369 --> 01:15:44.863 Da halt einen wie so immer so schon sagen, rechtsfreien Raum haben, ja. 01:15:45.399 --> 01:15:55.283 Den's de facto nicht gibt, weil die die Straftaten an sich, also irgendwie was aber passiert an illegalen Sachen äh sind ja schon illegal. 01:15:55.777 --> 01:16:01.527 Aber äh die fürchten halt, dass sie halt da äh ja. 01:16:02.392 --> 01:16:07.097 Der hat parallel Gesellschaften im digitalen Raum entstehen. Und ganz ehrlich. 01:16:07.747 --> 01:16:18.905 Wenn ich so Sachen mache wie die da gerade mit Artikel dreizehn und was sie da sonst noch so bringen? Würde ich mir darum auch Sorgen machen, weil genau das wird nämlich passieren. Ne, also es wird vollkommen klar, dass also die. 01:16:19.380 --> 01:16:33.195 Die parallelen Infrastrukturen, die halt nicht mehr irgendwie so ohne Weiteres mit Google zu finden sind, werden da definitiv wachsen, so so wie je mehr Verfolgungsdruck, die halt für harmloses Zeug halt machen. 01:16:33.700 --> 01:16:46.282 Dass du mehr Willen sind die Leute zu sagen, okay, na dann suche ich mir halt andere Mittel und Wege so, ne? Das ist halt auch so eine so eine Eskalationsspirale, die denen auch sehr schwer zu vermitteln ist, zu sagen, okay, 01:16:46.445 --> 01:16:56.017 Status Quo schon irgendwie völlig unhaltbar findet und versuchen wollt jetzt irgendwie auch noch Tornotbetreiber zu kriminalisieren. 01:16:56.444 --> 01:16:58.619 Radikalisieren die sich halt auch, 01:16:58.823 --> 01:17:11.599 also dann denken die sich Sachen aus, ist jetzt nicht so, dass die technologische Entwicklung da abgeschlossen ist, im Gegenteil, ich meine Tor ist mit dem, was wir momentan haben, nicht Stand der Technik, was irgendwie Anonymisierungssysteme angeht, 01:17:12.001 --> 01:17:19.644 wenn man's halt wirklich ernsthaft betreiben würde, dann wurde man darüber keine Videos klicken können und auch kein äh ja keine, 01:17:19.921 --> 01:17:30.232 irgendwie abrufen, sondern dann wäre es halt ein System, bei dem halt auch irgendwie keine Timing-Chorelation mehr geht und so weiter. Aber das haben wir gerade noch nicht, weil. 01:17:30.858 --> 01:17:34.601 Der momentane Bedarf halt von Tor und Altopie abgedeckt. 01:17:35.287 --> 01:17:41.746 Wenn du jetzt anfangen wolltest wirklich zu kriminalisieren, dann entschafft ihr damit eine Grundlage für. 01:17:42.299 --> 01:17:47.442 Die nächste Generation Systeme, wo es denn wirklich auch keine technischen Möglichkeiten mehr gibt, die zu finden. 01:17:47.353 --> 01:17:49.390 Und die White Paper dafür haben wir eh schon. 01:17:49.090 --> 01:17:54.317 Ja, die die Forschung ist daher, die ersten Implementierungen gibt's heute auch schon so wie Katzenpost und Co. 01:17:54.263 --> 01:18:04.592 Wir sind halt momentan nicht besonders verbreitet, weil halt irgendwie na ja braucht's halt erstmal noch nicht, weil Thomas grad noch gut genug, aber in dem Augenblick, wo halt der Druck da so verschärft wird, dass. 01:18:05.296 --> 01:18:08.739 Allein der Betrieb der Infrastruktur schon strafbar ist. 01:18:09.183 --> 01:18:16.088 Heißt es halt, dass dann Systeme kommen werden, wo du halt nicht mal mehr sehen oder wissen kannst, dass Teil einer Infrastruktur ist. 01:18:16.797 --> 01:18:26.501 Weil okay der Betrieb der Infrastruktur, ja du bist kurz davor, dass eigentlich also in wenn man streng genug liest, ist allein schon der Betrieb der Infrastruktur straffer. 01:18:26.351 --> 01:18:41.271 Ja, ich meine, das heißt halt, es, also nachdem nach der Formulierung, dann hast du, wenn du wenn du einen äh zum Beispiel einen Exit betreibst und über diesen Exit passiert, ein guter Teil, krimineller Traffic. Dann unterstellen sie dir, das ist halt so gemeint, das ist halt etwas du möchtest und dann haben sie dich dran. 01:18:41.230 --> 01:18:49.366 Und dann kannst du, wenn du diesen Bandenparagrapen noch drin hast, eine Bande, die sich der fortgesetzten Begegnung von Straftaten im Sinne dieser Vorschrift verbunden hat, 01:18:49.589 --> 01:18:54.137 bist du ganz kurz davor irgendwie sowas wie den Zwiebelfreunden zu sagen, hör mal. 01:18:54.655 --> 01:19:04.719 Ihr habt doch hier ihr betreibt diese gesamte Torinfrastruktur von euren Exit geht's am laufenden Band irgendwas aus. Seit seit vielen Jahren beantwortet ihr jede ähm Anfrage 01:19:04.570 --> 01:19:10.800 mit nee, sorry, ist eine Anonymisierungsdienst ähm von uns aus sieht das so aus, als hättet ihr euch äh als. 01:19:11.330 --> 01:19:19.693 Ja, als wärt ihr eine Bande. Da müssen wir nochmal eine Hausdurchsuchung machen. Die letzte ist ja noch nicht so lange her. Oh je. Ähm. 01:19:19.700 --> 01:19:26.832 Ja, dann gibt's halt noch äh die Verstärkung der Strafe für den zweihundertzwo C, also den äh beziehungsweise die zwohundertzwo Paragraphen, also alle. 01:19:26.532 --> 01:19:28.299 War noch nicht illegal genug. 01:19:28.004 --> 01:19:38.869 Genau äh nach dem Motto jetzt äh machen wir da mal fünf Jahre draus statt zwei Jahre Mindeststrafe so. Ähm äh Höchststrafe und die ähm. 01:19:40.413 --> 01:19:43.995 Problem, dabei ist halt, dass die. 01:19:44.674 --> 01:19:54.943 Abschreckungswirkung von solchen Strafen wissen wir halt, dass es halt wenig bringt. Ne, also das heißt also wenn du halt irgendwie da erwischst du dann halt Kiddies, die. 01:19:55.587 --> 01:20:07.183 Halt irgendwie mal nicht nachgedacht haben. Also Leute, die sowas kriminell betreiben, ähm die lassen sich irgendwie von dem Unterschied irgendwie zwischen zwei und fünf Jahren sowieso nicht abschrecken und Geheimdienste ohnehin nicht. 01:20:07.232 --> 01:20:15.470 Zum Haldi ohnehin an, also dann nochmal Straftaten begehen, die in in ganz anderen Kontexten liegen, die eh nochmal ganz andere Strafmaße haben. 01:20:15.675 --> 01:20:21.395 Na ja und also tatsächlich es ist dabei halt eben aber auch diese diese, 01:20:21.792 --> 01:20:32.019 Verschärfung beschränkt sich ja nicht nur auf die äh Erhöhung des Strafmaßes, sondern durch diese Erweiterung, die da halt in diesem Gesamtentwurf drinne sind. 01:20:32.452 --> 01:20:39.404 Äh also wie sowas halt wie dieser digitale Hausfriedensbruch, ne? Also dieses äh, 01:20:39.519 --> 01:20:44.163 wer IT-Systeme unbefugt benutzt, das halt irgendwie, na ja, 01:20:44.218 --> 01:20:55.166 heißt halt quasi, wenn du halt irgendwie durch Sepp läufst und mal irgendwie Standardpassworte ausprobierst, um halt irgendwie zu gucken, ob jemand halt irgendwie ein kaputtes IOT-System hat. 01:20:56.056 --> 01:20:59.709 Dann soll's halt auch schon strafbar sein. So und damit. 01:21:00.130 --> 01:21:07.652 Macht man halt auch einen ganzen Teil Forschung kaputt, damit erwischt man eine ganze Menge Leute, die eigentlich Gutes meinen. Und das halt so eine, so ein Ding, wo. 01:21:08.194 --> 01:21:13.247 Klar sagen muss, was da passiert ist eine. 01:21:13.860 --> 01:21:23.475 Eher antagonistisches Verhalten oder Verhältnis zu den ganzen Security-Forschern, zur Hackerszene, die halt ja eigentlich guten Willens ist. 01:21:24.100 --> 01:21:33.443 Um den Preis, dass man halt versucht irgendwie zum gefühlten Kontrollverlust, der da halt irgendwie droht abzubiegen. 01:21:34.280 --> 01:21:40.672 Aber man tatsächlich macht sich die Leute zu Feinden, die einem dabei helfen könnten halt irgendwie das Problem zu vermeiden. 01:21:40.372 --> 01:21:47.469 Ich frage mich auch wirklich, also das die Frage wurde auch schon beantwortet, wenn das Ausspähen von Daten, also. 01:21:47.938 --> 01:21:57.101 Ich meine, die Paragraphen, die den Bereich Hacking angehen, sind auf jeden Fall alle so formuliert, dass sie im Zweifelsfall mehr abdecken, als sie. 01:21:57.973 --> 01:22:00.779 Intendiert abdecken sollen. Ähm. 01:22:01.440 --> 01:22:10.093 Oder begründbar abdecken sollen. Diese Idee digitaler Hausfriedensbruch ist drei Jahre alt, kam irgendwie aus Hessen ähm 01:22:10.063 --> 01:22:15.573 da wurde diese Idee ja schon diskutiert oder wurde hat die damalige Bundesregierung ja schon gesagt 01:22:15.430 --> 01:22:28.499 Also wir sehen echt keine Strafbarkeitslücke bei unserem zweihundertzwei C. Wenn du ins wenn du bei strenger Lesart überhaupt für das für das Schreiben eines Hacking Tools schon dran bist, dann sehen wir hier wirklich nicht den das Problem, 01:22:28.541 --> 01:22:36.557 IT-Systeme auf unbefugt herunter zu, also die Schwelle auf unbefugt herunterzubringen, das das betrifft ja dann irgendwie auch. 01:22:36.996 --> 01:22:48.455 Ich bin so ein bisschen, ich habe mich immer gefragt, wie kommen die darauf? So was wie in Täter, dass sie sich, dass sie sich um Innentäter sorgen, also der klassische Innentäter in so einem Unternehmen, der jetzt. 01:22:48.155 --> 01:22:49.260 Der Buchhalter. 01:22:49.633 --> 01:22:59.631 Ja, aber wenn der unbefugte die Bücher hält, ja? Also ich ich weiß noch nicht mal genau, welches Szenario die sich da vorstellen. Aber sie. 01:23:00.671 --> 01:23:08.994 Wollen. Ähm ich glaube, dass das wurde auch in der, in diesem Eckpunktpapier, wo das Auffangparagraph, ne? Sollte nach, nach nachdem wir. 01:23:06.981 --> 01:23:09.312 Mhm. Sollte nach. Zum Catchal. 01:23:09.433 --> 01:23:16.421 Zweihundertzwei haben und Darknet kriminalisiert haben und und und wenn dann noch irgendeiner durchrutscht 01:23:16.296 --> 01:23:26.792 dann wollen wir noch so ein äh die neue Ennie stehen haben um zu sagen ähm hier dann war es aber immer noch digitaler Hausfriedensfrucht, also die unbefugte Nutzung eines IT-Syst, 01:23:26.793 --> 01:23:33.090 und da muss er echt langsam vorsichtig sein, wenn du nochmal neben jemandem sitzt und sagst, komm, ich greife mal kurz in deine Tastatur, 01:23:33.102 --> 01:23:41.149 Bist du ruckzuck? Ähm bist du ruckzuck dran? Jetzt haben wir die ganze Zeit eigentlich nur so, 01:23:41.503 --> 01:23:52.998 ja Strafverfolgung erleichtern Identitäten übernehmen, Staatstrojan dann eben Strafen erhöhen. Gibt's denn auch irgendwas, wo man sagen könnte, 01:23:53.299 --> 01:24:01.585 Da werden jetzt zumindest mal Schwachstellen gesenkt oder äh äh Schwachstellen ähm beseitigt oder. 01:24:02.481 --> 01:24:04.115 Schäden eingeschränkt. 01:24:03.815 --> 01:24:16.007 Na ja, es gibt da halt so ein paar Verzweiflungsparagraphen in diesem Entwurf. Äh da geht's unter anderem darum, dass die BSI erlaubt werden soll, aktiv zu scamen und äh im Zweifel, 01:24:16.278 --> 01:24:20.273 auch äh Firmenwehr, 01:24:20.544 --> 01:24:30.422 Dates ohne Zustimmung des Besitzers des Gerätes durchzuführen. Also halt äh Installationen Lücken schließender Software aus der Ferne äh vorzunehmen, 01:24:30.796 --> 01:24:37.141 das muss man vor dem Hintergrund dieser Rauter äh Desastergeschichten sehen. Also diese Pflaster-Rauter, 01:24:37.256 --> 01:24:46.821 Nummer äh wo halt ein Teil der Telekom-Route als Kollateralschaden bei einer ganz anderen Attacke erwischt wurde. Das hat die halt schon hart getroffen, so weil halt klar war, 01:24:46.984 --> 01:24:56.875 Das kann halt immer wieder passieren. Wir haben immer mehr ungesicherte IT-Geräte da draußen, die halt auch einfach am am großen, weiten Internet hängen und erreichbar sind, 01:24:56.875 --> 01:25:03.683 und äh die halt nicht gepatcht werden, weil die Leute, die Dinger besitzen, wissen gar nicht, was patchen eigentlich ist, 01:25:03.978 --> 01:25:09.644 Also so ist halt wie so der Standard DSL-Router, der halt nicht aus der Ferne gewartet wird, sondern äh, 01:25:09.729 --> 01:25:23.657 ja oder halt irgendwie Mobiltelefone oder sowas, die wo die Leute einfach keine Ahnung haben, wenn ein Auto Optik aus ist, dann ist halt die Software drauf zum äh Zeitpunkt, wo es gekauft wurde. Und da wollen sie halt das Recht haben, halt irgendwie diese Updates quasi äh per 01:25:23.538 --> 01:25:27.227 aussuchen von Sicherheitslücken auf diese Geräte drauf zu bringen. 01:25:26.969 --> 01:25:34.786 Dazu also du der Telekom Routerausfall. Ich glaube, ich habe selten was erlebt, was die so hochgescheucht hat. Es waren 01:25:34.739 --> 01:25:40.524 Also ich war zu zwei Anhörungen dazu im Bundestag. Einmal ich glaub Innenausschuss und einmal Verkehrsausschuss, 01:25:40.700 --> 01:25:46.900 Wir beide waren dann im weiteren Verlauf mit Mirko. Ich weiß nicht, wie viele Male der, also 01:25:46.822 --> 01:25:59.057 schädliche Vertreter des CC im Innenministerium waren für diese routertechnische Richtlinie Router. Was Sarah davon zu halten ist, haben wir im Jahresrückblick des CCC dann auch nochmal zusammengefasst. Dieses 01:25:58.973 --> 01:26:09.717 Also letztes Jahr zweitausendachtzehn und zweitausendsiebzehn, denn leider diese gesamte Nummer hat sich ja über zwei Jahre hingezogen oder so, um dann am Ende eine technische Richtlinie zu formulieren. Das nur kurz als. 01:26:10.564 --> 01:26:14.596 Das Problem nicht löst, weil sie halt reine Freiwilligkeit vorsieht, aber ja gut, er. 01:26:14.507 --> 01:26:22.120 Genau, also aber wen das nochmal interessiert, dafür aber haben wir im Logbuch öfter gesprochen und im in den Jahresrücken rückblickendes CC. 01:26:22.469 --> 01:26:30.321 Dann jetzt dieser diese doch spannende Idee, okay, BSI hat Ahnung von einer Schwachstelle ähm, 01:26:30.334 --> 01:26:40.633 Der Routerhersteller ist längst nicht mehr unter seiner Adresse in Schensen zu erreichen. Ähm Updates gibt's sowieso nicht. Unsere Lösung für das Problem war, 01:26:40.796 --> 01:26:45.392 zu sagen, okay, erstens Hersteller zum Bereitstellen von Updates verpflichten, 01:26:45.609 --> 01:26:59.436 zweitens, wenn keine Updates mehr sind, äh Open Source Software erzwingen, ermöglichen das als Standard mit reinbringen, damit sowas dann selber äh wenigstens noch irgendwie weitergepflegt werden kann, denn letztendlich, wenn so eine Kiste, 01:26:59.839 --> 01:27:06.310 Schwachstellen hat, die nicht mehr gepatcht werden können oder nicht mehr vom Hersteller gepatcht werden, dann hast du als ähm, 01:27:06.484 --> 01:27:10.252 Endverbraucher zwei Möglichkeiten, entweder du schmeißt das Ding jetzt weg, 01:27:10.427 --> 01:27:23.148 ökologische Konsequenzen, finanzielle Konsequenzen oder du betreibst es weiter, beides keine brauchbaren Alternativen für dich als Verbraucher. Jetzt geht der, jetzt gehen wir hier hin und sagen, okay. 01:27:23.640 --> 01:27:27.715 BSI darf aktiv scannen und darf in einem solchen Fall sogar, 01:27:27.955 --> 01:27:35.929 Integrität deines Systemes verletzen, um es in seiner IT-Sicherheit zu erhöhen. Wie bewerten wir das. 01:27:35.761 --> 01:27:45.152 Also ich kann die Verzweiflung verstehen, so aus der Rost diese diese Geschichte entstanden ist und ähm ich. 01:27:46.866 --> 01:28:00.313 Also wir haben da halt so einen so einen Konflikt zwischen dem Grundsatz, also der Integrität äh und sagen wir mal Sicherstellung von der Funktionsfähigkeit des des Netzes so. Und ich würde, 01:28:00.314 --> 01:28:02.315 aber tatsächlich eigentlich. 01:28:02.741 --> 01:28:14.501 Ihr mir vorstellen, ähm dass es, wenn es so eine Ermächtigung gibt, dass die halt wirklich sehr, sehr, sehr sparsam und nach sehr sorgfältiger Prüfung eingesetzt wird und nicht als, 01:28:14.880 --> 01:28:18.791 Standardmittel. So, also ich kann verstehen, dass man so, 01:28:19.140 --> 01:28:27.258 so 'ne Keule im Schrank haben will, wenn's halt wirklich um die Wurst geht so, also je mehr abhängiger wir von digitalen Systemen werden, desto klarer ist eigentlich, 01:28:27.463 --> 01:28:34.361 so 'ne Situation entstehen werden so, also wo du halt dann plötzlich irgendwie eine halbe Million wildgeborene Kühlschränke hast so, 01:28:34.686 --> 01:28:39.036 und dann stehst du halt eigentlich vor zwei Optionen, entweder kannst du einfach dann sagen, okay, wenn halt. 01:28:39.469 --> 01:28:53.253 Traffic passiert, nehmen wir mal den einfachen Fall an, kann's halt im Zweifel den DSR-Anschluss zumachen und den Brief schicken und seinen guten Tarif DS-Anschluss geht solange nicht bis ihr System gepatcht haben. Was ja auch schon passiert, die Telekom verschickt ja so Briefe, ne? Also richtig viele sogar. 01:28:52.960 --> 01:28:54.443 Richtig viel sehen. 01:28:54.143 --> 01:28:59.750 Paar hunderttausend. Ähm oder halt irgendwie Notfallpädchen so. 01:28:59.450 --> 01:29:04.100 Glaub die machen aber nicht den ganzen die machen in der Regel dann halt die Ports zu oder so. 01:29:04.329 --> 01:29:09.406 Ja. Also je nachdem wie viel da was da passiert so. Aber die äh. 01:29:10.440 --> 01:29:19.525 Eigentlich wäre halt, ist das halt wirklich nur so ein Heftlaster auf ein Heftpflaster geklebt, ja? Also so ein so eine Notfallgeschichte, wo man sagt, okay. 01:29:20.746 --> 01:29:28.226 Wenn man jetzt sich mal schlimme Fälle überlegt, nehmen wir an, keine Ahnung, Energieversorger oder ähnliche Dinge nehmen wir mal an Smartmeter 01:29:28.089 --> 01:29:37.432 gegangen und äh es gibt einen Explot in diesen Smartmetern und mit diesen ops genommen, zweihundert Metern könnte man halt irgendwie blinken als in den Stadtteilen spielen. 01:29:38.629 --> 01:29:46.260 Es gibt sonst keine andere Möglichkeit die upzudaten außer da irgendwie rumzulaufen an die den zu stecken hätte ich Verständnis dafür. 01:29:46.266 --> 01:29:49.739 Ich sehe, also solche Fälle, mir sind. 01:29:50.274 --> 01:30:00.453 Relativ wenige bekannt, wo sowas mal passiert wäre. Ähm der bekannteste Fall in so einem IOT-Bereich ist, glaube ich, der sogenannte Breaker-Bot, der im Prinzip. 01:30:00.946 --> 01:30:08.367 Ähm also die Schwachstelle, die sich zum Updaten oder zum zum Übernehmen solcher Geräte genutzt äh äh, 01:30:08.500 --> 01:30:16.437 Geboten hat, genutzt hat, um die wirklich kaputt zu machen. Und äh die Argumentation desjenigen, der das gemacht hat, war oder derjenigen 01:30:16.269 --> 01:30:26.862 im Prinzip zu sagen, besser das Ding ist kaputt, als dass es jetzt irgendwie noch über Jahrzehnte ein Zombie da sein fristet und hier die Nile of Serviceangriffe zum Schaden anderer macht. Ähm. 01:30:28.600 --> 01:30:34.242 Relativ seltener, seltener Fall. Das andere, was mir einfällt, ist im Prinzip so eine. 01:30:35.000 --> 01:30:43.273 Ich weiß nicht, ob das ein Team von Microsoft war, die den Kommanden Control-Server von so einem Botnet benutzt haben und dann, 01:30:43.569 --> 01:30:46.020 über den Kommanden Control Server, 01:30:46.219 --> 01:30:56.974 dem Bot net gesagt haben, der Befehl lautet, ihr lieben Bots, desinfiziert euch jetzt alle mal selber und patcht euch. Ja, ich weiß noch nicht mal, ob die auch gepatcht wurden oder ob einfach nur die Infektion, 01:30:57.131 --> 01:31:02.298 entfernt wurde. Ähm das sind die beiden Fälle, die mir dazu einfallen über. 01:31:02.966 --> 01:31:10.044 Tatsächlich Jahre, die ich eigentlich IT-Sicherheitsnews die ganze Zeit verfolge und ich sehe es irgendwie nicht den Fall, 01:31:10.369 --> 01:31:19.340 dass die das vielleicht unterschätze ich da jetzt auch das BSI, dass die in der Lage wären so schnell so spontan solche Probleme zu lösen. 01:31:19.479 --> 01:31:21.984 Also. 01:31:21.684 --> 01:31:28.642 Telekom-Routerausfall, da war einfach die, die neunhunderttausend Router, die der von harten waren, glaube ich, einfach durch 01:31:28.552 --> 01:31:33.059 Dorst zu dem Zeitpunkt, als sie gesagt haben, okay, jetzt können wir, 01:31:33.276 --> 01:31:41.423 jetzt kommt jetzt kommt die Telekom, die sehr viel spontaner reagieren kann als das BSI und macht den Port nach außen zu 01:31:41.316 --> 01:31:48.141 sag den Leuten, startet die Geräte neu, pusht das Firmenwahl-Update und die sind innerhalb von einem Tag dahin gekommen und das war 01:31:48.016 --> 01:31:55.430 eigentlich hab, waren wir uns alle einig, das war so schnell, dass wir schon fast den Verdacht hatten, dass das dass sie das Update schon liegen hat. 01:31:55.130 --> 01:31:58.393 Dass es schon fertig war, ne? Ja, ja. Also. 01:31:59.391 --> 01:32:09.113 Wie gesagt, ich kann's so ein bisschen verstehen, dass sie so haben wollen so. Äh äh allerdings äh ist es halt so invasiv und äh so risikobehaftet, dass. 01:32:09.919 --> 01:32:11.372 Ähm ist, 01:32:11.661 --> 01:32:24.256 ziemlich klar sein sollte, dass es nur so ein absolutes Last Resort Ding ist und also wenn's wirklich um die Wurst geht, dass es keine anderen Mittel gibt, es keine andere Möglichkeit gibt, das Problem zu lösen und der potenzielle Schaden so groß ist, dass man sagt, okay, dann, 01:32:24.455 --> 01:32:26.713 kann man dieses Risiko vielleicht eingehen so. 01:32:26.817 --> 01:32:33.011 Also in dem Fall in engen Grenzen habe ich da im Prinzip überhaupt gar keine Einwände. Denke wird selten. 01:32:32.711 --> 01:32:37.729 Wenn das BSI eine unabhängige Institution wäre. Weil das halt 01:32:37.572 --> 01:32:56.362 glaube ich auch so mein Problem dabei, das halt um neben mir, also ich nicht genau weiß, wenn die halt irgendwie plötzlich feststellen, dass sie Leute über die Glühlampen abhören können, weil halt man irgendwie äh in die neueste LED Farbwandel, WLAN-Glühbirne halt irgendwie eine neue Firma einspielen kann und dazu fällig noch ein Mikrofon drin ist, 01:32:56.615 --> 01:32:58.550 Was passiert denn dann, ne? 01:32:58.250 --> 01:33:02.533 Das Sicherheitsupdate kommt von den Kollegen vom BND. 01:33:02.300 --> 01:33:07.251 Naja oder wie auch immer, ja oder sie und dann stellt sich plötzlich raus, dass äh 01:33:07.107 --> 01:33:17.742 BMI, beziehungsweise BMI nachgeordnete Behörden benutzen halt irgendwie die diese Sicherheitslücke, um halt irgendwie Leute abzuhören und das BSI will's gerne patchen, die findet dann die Entscheidung statt. 01:33:17.719 --> 01:33:20.008 Also das ist halt so ein so ein Ding, wo 01:33:19.907 --> 01:33:28.217 Okay, an ganz vielen Punkten muss das BSI raus aus der äh Verantwortung des Innenministeriums und weg von den Straferfolgsbehörden, 01:33:28.319 --> 01:33:37.639 Also noch viel deutlicher wird es halt bei diesem ganzen Thema Hackpack oder auch äh Anführungszeichen aktive Cyberverteidigung wo es äh darum, 01:33:37.706 --> 01:33:44.790 geht, also das Beispiel, was ihr halt in diesem für dieses, diese Gesetzentwürfe äh da diskutieren. 01:33:46.238 --> 01:33:58.274 Primär Übernahme von Bodnet Host, also was halt darum geht, dass man halt irgendwie, wenn's halt ein Whatnopp gibt und da gibt's halt äh Commerz in Kontrollhaus, dass man die legal übernehmen darf. So und da, 01:33:58.490 --> 01:34:06.560 aber die Definitionsfrage, so was ist denn jetzt halt sind denn halt Systeme, die man da übernehmen können dürfen soll. Äh 01:34:06.482 --> 01:34:19.919 zählt dazu zum Beispiel halt auch irgendwie ein Darknet Mark Place, wo man zwar nicht weiß, wo er steht, aber der halt eine Sicherheitslücke hat, die halt durch diesen Service-Explort da ist und solche Sachen da fängt's halt an, richtig schwammig zu werden. So und da, 01:34:20.153 --> 01:34:20.772 bin ich, 01:34:21.139 --> 01:34:34.010 ehre dagegen, weil es halt irgendwie eine so eine ziemliche Büchse, eine Pandora, die man da öffnet und ähm insbesondere halt mit einem BSI, was halt nicht unabhängig ist, wo man sagt, okay, die kann man sich wirklich nur um IT-Sicherheit 01:34:34.010 --> 01:34:36.179 bin ich da also kein großer Freund von. 01:34:36.498 --> 01:34:43.727 Netzpolitik Org ähm in dem Artikel von Anna Biselli und Andre Meister spricht er davon, dass, 01:34:43.943 --> 01:34:54.422 Das BSI soll zur Hackerbehörde gemacht werden. Wir wissen, dass äh unsere äh Freunde beim BSI das äh sehr. 01:34:55.150 --> 01:35:06.038 Sehr ein sehr großes Wort finden, mit dem sie sich auch nicht so wirklich wohlfühlen. Ich kann da auch deren Punkt verstehen, ne? Die sagen natürlich auch, ähm tja, 01:35:06.327 --> 01:35:20.652 einerseits haben wir hier für die Sicherheit sorgen, andererseits sind uns alle alle Hände gebunden. Wir dürfen noch nicht mal äh irgendwie scanns durchführen, wir dürfen noch nicht mal Leute äh informieren. Das wäre doch jetzt mal irgendwie das Mindeste, wenn wenn ihr euch 01:35:20.640 --> 01:35:29.443 ihr in dem Sinn sage ich jetzt mal CC, im weitesten Sinne, wenn ihr euch die ganze Zeit eine aktive Rolle des PSI wünscht, 01:35:29.739 --> 01:35:32.862 Ja und nicht nur zur Verwaltung und und Forschung. 01:35:33.512 --> 01:35:43.138 Dann müsstet ihr doch da im Prinzip dabei sein. Und natürlich ist es auch skurril, ne? Wenn man jetzt, wenn man bei dem, bei den Scans bleibt und bei irgendwie 01:35:43.060 --> 01:35:46.112 wo wir gleich nochmal zukommen, Zugriff mit Standardpasswörtern 01:35:46.107 --> 01:35:54.844 ne, ist natürlich skurril, wenn wir jeden Tag mit mit Showdan und äh sonstigen Scannern arbeiten und das BSI darf sowas nicht machen. 01:35:55.235 --> 01:36:04.038 Ja, also ich bin da, wie gesagt, auch an so einem Punkt, wo ich sage, okay, die müssen halt durchaus handlungsfähig sein so. Äh. 01:36:04.705 --> 01:36:11.387 Allerdings äh wäre meine Bereitschaft, die in Handlungsfähigkeit zuzugestehen, sehr viel größer. 01:36:12.187 --> 01:36:26.969 Wenn ich mir sicher sein könnte, dass halt die äh nicht nur die Mitarbeiter, die halt sagen, so, wir wollen eigentlich sowieso nichts mit den Straffolgen zu tun haben. Äh das machen, sondern halt auch sowohl die politische, als auch die die Leitungsebene des Hauses genau dieser Ansicht ist. Und wird das halt nicht sichergestellt. 01:36:27.666 --> 01:36:28.849 Also halten wir fest. 01:36:29.973 --> 01:36:40.891 Wir wir tun es grundsätzlich damit schwer irgendetwas mehr Rechte zu geben, was äh am Ende weisungsgebunden gegenüber Horst Seehofer oder seinem Nachfolger ist. Ich denke, das industriert das Problem. 01:36:41.319 --> 01:36:47.140 Sehr schön. Dann werden wir noch bei den rechtswidrig erlangten Daten. 01:36:48.042 --> 01:36:56.551 Der hat das halt diese dieser Komplex, der halt äh nach dem Bundestag Doxing da äh eingebaut wurde, weil die. 01:36:58.817 --> 01:37:09.669 Die suchten halt nach irgendeiner Möglichkeit das nabhaft zu werden, weil was da passiert war, weil das ähm einer oder mehrere Täter äh ihre gesammelten, 01:37:10.072 --> 01:37:16.970 äh Datenbanken äh gedammt haben, äh als Adventskalender, 01:37:17.072 --> 01:37:28.092 Das heißt also, dass da äh Informationen aus dem Privatleben von Abgeordneten insbesondere auch Telefonnummern und so weiter dabei waren. Bei einigen auch übernommene Social Media Accounts mit äh 01:37:27.979 --> 01:37:35.039 So mal relativ intime Details aus ihrem Privatleben, was dann wiederum für Probleme sorgt und dabei gab's also eine große Aufregung und die. 01:37:36.073 --> 01:37:43.584 Die Probleme, die sich dabei aus der juristischen Sicht des Innenministeriums ergaben, waren halt zwei gestalkt. Zum einen, 01:37:43.957 --> 01:37:55.068 dass man diese Daten aus dem Netz haben wollte, also halt möglichst irgendwie sicherstellen wollte, dass die von allen Upload-Plattformen, Pace bin, Pace Print Clowns äh, 01:37:55.392 --> 01:38:03.990 und so weiter und so fort verschwinden, damit halt nicht noch mehr Leute davon Kenntnis erlangen. Äh und zum anderen die Veröffentlichung an sich. 01:38:04.424 --> 01:38:12.596 War halt oder da gab's eine wahrgenommene Strafbarkeitslücke. So und tatsächlich ist diese, 01:38:12.872 --> 01:38:26.392 dieser Teil wird halt durchgehen. Also das hört so, dass die Stimmung bei den Abgeordneten halt eines von persönlicher Betroffenheit ist. Das heißt also bei diesem Teil wird's halt quasi keinen Widerstand im Bundestag geben. Das wird so ein. 01:38:26.327 --> 01:38:32.822 Muss jetzt auch dazu sagen, also da würde ich auch vorsichtig sagen, zumindest, also das war auch ein Problem. Ich habe das ja, 01:38:32.847 --> 01:38:42.599 ähm diesen Fall ja relativ genau verfolgt und hab, hat ja auch glaub ich mal angesprochen, dass ich da mit der ein oder anderen betroffenen Person im Austausch war und, 01:38:44.174 --> 01:38:54.473 wirklich also auf eine gewisse Weise beeindruckend war, ist das diese Daten waren ja von vorne herein auf so vielen unterschiedlichen Seiten gepastet. Also wenn du dir da die, 01:38:54.540 --> 01:39:07.320 quasi das Inhaltsverzeichnis angeschaut hast, der stand hier dann immer, das gibt bei dem Haus, bei dem Haus, bei dem Haus, bei dem Haus immer so irgendwie fünf Stück äh sofort irgendwie in verschiedenen, also es war ganz klar danach ausgewählt. 01:39:07.736 --> 01:39:09.225 Und so. 01:39:09.256 --> 01:39:23.064 Verschiedene Juristiken, verschiedene äh gibt's ja immer so diesen Begriff Bullit-Proof Hoster, die wahrscheinlich erstmal unregelmäßig E-Mails lesen und sehr zögerlich äh reagieren und jetzt auch nicht unter Direktor ähm, 01:39:23.467 --> 01:39:31.597 unter direkter Weisung des oder Einflussbereichs, Juristik des Innenministeriums oder der Strafpolizei Strafverfolgungsbehörden in Deutschland stehen 01:39:31.447 --> 01:39:42.696 und die vielleicht auch, sage ich mal, darin erfahren sind, Inhalte zu veröffentlichen, wo es äh interessierte Parteien gibt, die dieser Veröffentlichung entgegenstehen wollen 01:39:42.564 --> 01:39:45.737 Das war schon, also, 01:39:45.809 --> 01:39:55.940 Das war nicht irgendwie so, guckt mal hier, ich habe das auf äh auf irgendwo gepostet, wo es schnell wieder weg ist, ne, sondern das die waren danach ausgewählt, dass das ist wirklich und es hat 01:39:55.934 --> 01:40:00.951 Das war erfolgreich, das hat nämlich teilweise wirklich Wochen. Wir sagen wirklich raus waren. 01:40:00.951 --> 01:40:08.409 In der Zeit hatten die ähm andere schon wieder irgendwo anders hochgeladen, sodass das ähm ja also, 01:40:08.710 --> 01:40:15.427 Das ist ein Punkt, den der da wirklich zum Leid dieser Person auch beigetragen hat, insbesondere persönliche Daten und so. 01:40:16.095 --> 01:40:20.961 So, was wird daraus, äh was wird daraus formuliert? Ich glaube, das ist einmal der, 01:40:21.287 --> 01:40:31.742 Artikel drei Paragraph fünfzehn B Pflichten der Diensterbringer stellt der Dienst der Anbieter fest, das rechtswidrig erlangte personenbezogene Daten 01:40:31.688 --> 01:40:41.447 oder Geschäftsgeheimnisse über seinen Dienst dritten, unrechtmäßig zur Kenntnis gegeben oder veröffentlicht werden, so hat er unverzüglich das Bundeskriminalamt zu unterrichten. 01:40:42.228 --> 01:40:43.989 Ne? Also du musst das nicht. 01:40:43.689 --> 01:40:44.896 Mitteilungspflicht ja. 01:40:44.596 --> 01:40:52.179 Das ist eine Mitteilungspflicht. Ähm zweitens äh Pflicht äh Paragraph hundertneun B, 01:40:52.191 --> 01:41:03.211 ähm unter Artikel zwei Telekommunikationsgesetz, stellt der Erbringer öffentlich zugänglicher Telekoalitionsdienste fest, das sei Dienste rechtwidrig, rechtswidrigen Weitergabe, 01:41:03.344 --> 01:41:10.945 oder Veröffentlichung rechtswidrig erlangter Daten genutzt wird, sollte der unverzüglich des Momentes das Gleiche. Moment habe ich, ich hatte doch noch ein. 01:41:11.649 --> 01:41:19.496 Zwei? Nee, also offenbar einmal TKG, aber wo war denn die Löschung? Ich habe offenbar den falschen. 01:41:20.542 --> 01:41:23.534 Ach doch, steht doch da drüber. Also er muss es melden, 01:41:23.732 --> 01:41:33.155 und er muss diese Daten dann eben auch löschen. Interessanterweise äh weiß ich aus einem aktuellen Fall, dass die, 01:41:33.293 --> 01:41:36.790 Anbieter, dass tatsächlich auch nicht dürfen. 01:41:37.331 --> 01:41:44.019 Also die dürfen äh aktuell nicht löschen ohne Anordnung. Liegen zurecht, 01:41:44.038 --> 01:41:49.192 liegen zureichende tatsächliche Anhaltspunkte für eine unrechtmäßige Erlangen der Verbreitung 01:41:49.091 --> 01:42:01.090 oder Verbreitung personenbezogener Daten oder Daten die Geschäftsgeheimnissen Geschäftsgeheimnisse beinhalten vor, so ist der Zugang zu diesen Daten durch den Diensterbringer im Sinne des Absatzes eins zu sperren 01:42:00.947 --> 01:42:07.562 Betroffene Nutzer sind zu benachrichtigen, sofern der Betroffene, sofern der betroffene Nutzer nach seiner Benachrichtigung innerhalb 01:42:07.455 --> 01:42:11.775 angemessener Frist widerspricht, hat der Dienstagbringer die Daten zu löschen. 01:42:12.569 --> 01:42:24.802 Zuständigen Stellen und so weiter. Also jetzt eine proaktive Löschung ähm wahrscheinlich rechtswidrig erlangter Personenbezogener Daten. Und da ärgert mich ehrlich gesagt nur dran. Oder Daten, die Geschäftsgeheimnisse beinhalten. 01:42:24.502 --> 01:42:29.556 Ja. Genau, das war halt auch so genau dieser Punkt, wo man sagt, okay, das heißt also selbst. 01:42:30.812 --> 01:42:35.132 PDFs von Menuels, von technischen Geräten. 01:42:35.848 --> 01:42:50.047 Auf denen nur vertraulich steht oder die halt irgendwie Reparaturanleitungen, die halt sonst nur hindern zugänglich sind, die aber es halt zum Beispiel ermöglichen, dass man Geräte repariert und damit länger benutzen kann und damit Umweltsauerei reduziert. 01:42:50.486 --> 01:42:55.966 Positive Informationsverbreitung, dass die dann wiederum darunter fallen sollen, ne? 01:42:56.627 --> 01:43:08.512 Und das ist äh da wäre es schön gewesen, einfach mal schön bei den Personenbezogenen Daten zu bleiben. Da wären wir beim Fall gewesen und dann zack hast du noch Geschäftsgeheimnisse drin. Da sehen wir, dass natürlich der, 01:43:08.861 --> 01:43:16.823 der Schutz des Individuums in Deutschland jedenfalls nicht höher sein kann als der Schutz des Unternehmens. 01:43:16.901 --> 01:43:18.944 Profite sind natürlich wichtiger. 01:43:19.450 --> 01:43:24.863 So haben wir jetzt erstmal glaube ich vieles besprochen, was in diese. 01:43:25.639 --> 01:43:30.878 Vernetzpolitik äh Ork veröffentlichten Entwurf zu finden ist. 01:43:32.110 --> 01:43:42.320 Wie würden wir jetzt mal ein erstes Fazit ziehen? Ich weiß, du hast gerade eben am Montag im welchem Ausschuss warst du? Im Innenausschuss ähm. 01:43:42.957 --> 01:43:47.691 Da zu den Ideen der Opposition Ausstellung genommen. 01:43:47.470 --> 01:43:57.943 Genau, es war halt so ein bisschen ungewöhnliche Anhörung, weil die äh Opposition normalerweise es nicht geschafft hat, einen eigenen Ausschusssitzung irgendwie durchzuboxen, aber haben's in dem Fall halt geschafft, ähm. 01:43:59.055 --> 01:44:08.790 Die Besetzung von Seiten der Abgeordneten war äußerst sparsam, also es waren immerhin aus jeder Fraktion einer da, aus manchen auch zwei oder drei. 01:44:09.384 --> 01:44:11.451 Ähm Abgeordnete. 01:44:11.747 --> 01:44:13.921 Oh, okay. 01:44:13.110 --> 01:44:18.518 Äh also gut plus Mitarbeiter, ja. Äh die. 01:44:20.441 --> 01:44:26.624 Also sagen wir mal so aus der CDU CSU Fraktion gab's halt irgendwie keine Fragen, die irgendwie, 01:44:26.925 --> 01:44:35.788 sich mit den kritischen Problemen beschäftigen aus der anderen Fraktion schon, also auch aus der SPD. Die, 01:44:36.185 --> 01:44:38.822 Ausschusssitzungen gibt's ein Video von, haben wir auch verlink. 01:44:39.430 --> 01:44:48.263 Also kann man sich heute nochmal angucken, nicht irgendwann wird's wahrscheinlich auch ein Wortprotokoll geben, glaube ich, was ich aber nicht ganz genau. Aber jedenfalls Video ist ganz okay. Und, 01:44:48.528 --> 01:44:58.100 da war es halt eigentlich auch so, dass also eigentlich durchweg alle Sachverständigen bis auf den äh Chef des BSI äh Herr Schönbaum äh. 01:44:58.911 --> 01:45:10.130 Eher sehr kritisch gegenüber weiten Teilen dieses IT-Sicherheitsgesetzentwurfes waren. Also was halt tatsächlich passierte war, eigentlich sollte es um die Entwürfe der Opposition gehen, 01:45:10.509 --> 01:45:13.903 aber da dann nun halt die, 01:45:13.922 --> 01:45:28.248 die Referentenentwurf er auf dem Tisch lag, drehte sich Diskussion natürlich darum, weil es halt der Entwurf war, der nun diskutiert wird, dass die Oppositionsvorschläge verabschiedet werden, steht nicht zu erwarten, so deswegen drehte sich die Diskussion dann halt dahin. Und. 01:45:29.360 --> 01:45:43.450 Es wurde halt klar, dass die Probleme, die wir jetzt gerade angesprochen haben, sind halt nicht nur die Probleme, die wir so sehen. Also auch irgendwie äh äh hier Klaus Landefall, zum Beispiel vom Eco ähm und andere Sachverständige sahen halt genau dieselben Probleme. 01:45:44.016 --> 01:45:52.902 Gab halt noch so eine ganze Zusatzdiskussion, ähm die sich primär darum drehte, wer ist denn nun eigentlich zuständig für das ganze Cyber in den deutschen Behörden, 01:45:53.246 --> 01:46:02.084 da hat halt der das war deswegen hab ich von der Stunde Verantwortung, dass er so dessen Spielfeld wo er zu versuchen rauszukriegen. Wer jetzt da eigentlich was macht so. 01:46:02.914 --> 01:46:17.468 Der ist halt, also mit dem haben wir auch unsere Differenzen, was jetzt irgendwie so der ist halt der Meinung, dass der Staat halt so ein Exploid Security wohl eine Bilities Assessment Programm braucht und äh das halt notwendig ist für die Aufgaben von BND und Co und Bundeswehr. Äh 01:46:17.360 --> 01:46:22.040 da haben wir halt ein bisschen, aber war jetzt so der Beurteilung dessen, dass halt irgendwie diese ganzen, 01:46:22.053 --> 01:46:28.386 Behörden sich da irgendwann selber Personalpool prügeln und wenig auf die Reihe bekommen. 01:46:28.903 --> 01:46:42.418 Und die Zuständigkeit im Krisenfall halt auch völlig unklar ist, ist halt dann so ein muss dann so ein riesiger Konferenzraum sein, wo dann alle fünfunddreißig Akteure, die in Deutschland Cyber machen an einem Tisch sitzen. Also es wird bestimmt sehr unterhaltsam. 01:46:42.118 --> 01:46:51.756 Man nennt das in der Psychologie Verantwortungsdiffusion, ja? Also es äh einfach zu viele, wenn du zu viele Zuständige hast, kannst du genauso gut keinen zuständigen haben. 01:46:51.563 --> 01:47:01.358 Mhm. Und dann auch noch so die völlig ungeklärte Frage nach der Rolle der Bundeswehr, die dann halt so von denen selber so definiert wird, also die haben ja so ein, so ein äh, 01:47:01.599 --> 01:47:09.061 Kommando äh CNO Kompetenz für Operation hieß es früher, hat glaube ich was mittlerweile Cyberoperationsraum oder so. 01:47:09.254 --> 01:47:18.075 Äh und die sagen halt ja, na ja, unsere Rolle ist ja nicht so richtig definiert, aber wir würden gerne bei allen wichtigen Sitzungen zu Krisenfällen mit am Tisch sitzen, weil, 01:47:18.076 --> 01:47:26.373 nicht weiß, ob die Krise soweit eskaliert, dass wir doch tätig werden müssen. Als Bundeswehr mit unseren Cybernetwork Operations. So, also so ist es halt so 01:47:26.290 --> 01:47:28.891 dann auf der Frage, auf die Frage so attackiert, auf 01:47:28.856 --> 01:47:43.523 der Grundlage, welcher Doktrin und welcher so Einsatzdoktrien braucht, als ein Militär schon so, ne? Und auf Grundlage, welches Parlamentsbeschluss, ja, damit dem Parlamentsbeschluss klar ist wichtig, aber eins ist doch Trainer, ja, haben wir noch nicht so. Lassen Sie das mal von was anderem reden, 01:47:43.759 --> 01:47:48.890 Also das ist halt so eine, so ein völliges Verantwortungschaos, der äh der äh, 01:47:49.244 --> 01:47:57.320 auch mal versucht darzustellen, hier gibt's so eine Übersichtsgrafik, die sollten wir vielleicht noch verlinken, die ist nämlich, die ist nämlich relativ äh relativ äh. 01:47:57.813 --> 01:48:07.373 Unterhaltsam, weil sie halt auch völlig konfuß ist und äh interessanterweise wie äh dann in der Sitzung angemerkt wurde, nicht mal vollständig. 01:48:07.740 --> 01:48:12.289 Als staatliches Cybersicherheitsarchitektur Stand August zwanzig achtzehn. Oh ja. 01:48:11.989 --> 01:48:16.015 Nee, da gibt's ein Update, du musst das Update verlinken. Oh je, genau. Du musst das Update verlinken, genau. 01:48:13.791 --> 01:48:27.522 Oh je, ich muss das Update verlinken, okay? Ja, das ist, also das ist auch wirklich ein, also das ist tatsächlich sehr äh sehr tragisch, ne. Update verlinken. Ähm. 01:48:29.428 --> 01:48:39.366 Ja. Das äh das übrigens, dass der Arne Schönburm da steht und sagt äh wir brauchen das, das finde ich super. Ähm ist natürlich klar, denn erstens ist davon, 01:48:39.450 --> 01:48:40.261 viel 01:48:40.231 --> 01:48:49.641 Teile des Gesetzes betreffen, seine Behörde, insbesondere auch der schöne Absatz über Erfüllungsaufwand, dass beim BSI ist ein Erfüllung 01:48:49.516 --> 01:49:03.113 Aufwand in Höhe von achthundertvierundsechzig Planstellen ähm notwendig. Also wenn wenn es bei dem Gesetz darum geht, dass er halt achthundertvierundsechzig neue Mitarbeiterinnen bekommt, ist klar, dass er da jetzt äh Schwierigkeiten hat dagegen zu sein. Ähm, 01:49:03.337 --> 01:49:07.338 andererseits stellt sich natürlich aber auch ernsthaft die Frage, wo will der die denn her haben. 01:49:07.717 --> 01:49:17.686 Äh das BSI kriegt tatsächlich Mitarbeiter, äh weil die also zum einen zahlen die relativ gut und die Arbeitsbedingungen sind sehr familienfreundlich. Ähm, 01:49:17.722 --> 01:49:20.744 ist tatsächlich und da ist man halt auch nicht 01:49:20.715 --> 01:49:29.350 also in der Regel nicht im Schädigbereich tätig, ne? Also es hat tatsächlich eine andere Sache, als wenn jetzt dann mal der BND hört, Leute sucht, dann müssen die hal 01:49:29.296 --> 01:49:40.502 schon eher oder Verfassungsschutz oder irgendwie oder zieht es oder so. Die bedienen sich halt primär an der Bundeswehruni, wo sie halt Leute schon mit dem entsprechenden Mindset halt finden und die dann halt irgendwie trainieren, 01:49:40.659 --> 01:49:49.336 und äh hingegen das BSI findet also gerade bei so Leuten, die halt eher so aus der Akademie kommen und mal was Gutes tun wollen, finden die durchaus Leute. 01:49:49.546 --> 01:49:53.944 Aber nicht achthundertvierundsechzig. Also ich stelle den, ich stelle den. 01:49:53.644 --> 01:49:54.960 Wahrscheinlich nicht. 01:49:54.660 --> 01:50:03.800 Die Suche nach qualifiziertem Personal im IT-Sicherheitsbereich dann doch relativ angestrengt geführt wird. 01:50:03.631 --> 01:50:05.668 Zu relativ hohen Preisen. 01:50:05.495 --> 01:50:12.921 Ja und äh was ich also das, ne, das gibt's ja einige Indikatoren, erstens, dass alle alle versuchen, Leute anzustellen, 01:50:13.023 --> 01:50:17.729 Zweitens, dass du irgendwie auf den den äh äh Job 01:50:17.650 --> 01:50:31.951 äh asozialen Netzwerken am laufenden Band irgendwelchen Spam, kriegst von irgendwelchen Leuten, die einfach nur Suchbegriff äh IT-Sicherheit oder sonstwas hatten. Mit wem du redest, sagt dir, wie schwierig das ist, Leute zu finden. Ähm 01:50:31.934 --> 01:50:35.611 wenn du ein größeres Unternehmen in dem Bereich anschaust oder, 01:50:35.690 --> 01:50:43.381 größere Consultancy, die haben inzwischen äh auf Dienstsprache Englisch umgeschaltet und Leute aus aller Welt dort. 01:50:44.229 --> 01:50:55.736 Also der Fachkräftemangel ist hier enorm und da sehe ich jetzt nicht, dass da achthundertvierundsechzig Stellen sofort besetzt werden, wobei sich dann auch die Frage stellt, ob das alles Fachkräfte sein müssen, können ja auch, also viel wird ja auch Verwaltung sein. 01:50:55.562 --> 01:51:02.688 Na und die sind halt auch nicht die einzigen, die suchen, ne. Und alle anderen auf diesem Organigramm da suchen halt auch gerade. 01:51:02.388 --> 01:51:13.510 Also das ist irgendwie so. Genau, alle anderen suchen auch. Das ist also irgendwie ein, das ist nicht das eine, das einzige schwarze Loch im Bereich der des IT Security Recruitings, was da gerade, 01:51:13.740 --> 01:51:15.283 dann aufgehen wird. 01:51:16.299 --> 01:51:24.363 Ähm also da halten wir fest, diese Verantwortungsdiffusion da mal ein bisschen zu sortieren wäre nicht schlecht und ähm. 01:51:25.024 --> 01:51:31.543 Dann könnten wir natürlich hoffen, irgendwie, dass da, dass da was passiert, 01:51:31.742 --> 01:51:43.286 Nun, du hast gerade schon öfter angefangen, so ein bisschen das Ganze einzuordnen. Ich glaube, das sollten wir abschließend nochmal tun. Worum geht es hier überhaupt und woran, 01:51:43.400 --> 01:51:52.641 hapert es. Also du hast gesagt, na ja, es gibt einmal diese diese Angst vorm Kontrollverlust, die der Staat da jetzt irgendwie hat und die ist ja wahrscheinlich auch noch nicht mal so, 01:51:52.997 --> 01:51:57.340 so hart unbegründet, ne? Diese Doxingfälle haben das. 01:51:57.834 --> 01:52:06.655 Haben die Bundesrepublik und ihre für die IT-Sicherheit zuständigen Stellen relativ blamiert. Die Frage sagt mal. 01:52:07.064 --> 01:52:15.620 Wieso fällt das dieser Adventskalender erst Anfang Januar auf? War für einige sicherlich unangenehm. Ähm. 01:52:16.648 --> 01:52:31.220 Die verschiedenen Fälle Angriffe auf Bundesregierung, Angriffe auf Bundestag, haben verschiedene Stellen immer wieder mal schlecht aussehen lassen und dass es insgesamt in diesem Cyberbereich, 01:52:31.382 --> 01:52:35.318 nicht ganz so großartig aussieht, ist glaube ich auch klar. 01:52:35.715 --> 01:52:41.688 Also äh aus meiner Sicht haben die da halt einen. 01:52:42.337 --> 01:52:46.633 Das klare Gefühl, dass ihnen gerade die Fülle davon schwimmen. Also, dass sie halt eine. 01:52:47.240 --> 01:52:54.793 Äh Situationen raufziehen sehen, wo die Abhängigkeit von IT-Systemen so groß ist, dass sie. 01:52:55.370 --> 01:53:03.957 Ohne halt nichts mehr funktioniert und dass die dass man halt was tun muss und das ist halt so eine diese. 01:53:04.492 --> 01:53:15.260 Naja, diese langjährigen Bürokraten, die halt für solche Sachen zuständig sind. Die sind halt auch in gewisser Art und Weise halt so Kontrollmaximalisten. 01:53:16.102 --> 01:53:19.046 Und äh ich hatte das damals irgendwie im ähm, 01:53:19.227 --> 01:53:32.338 in Villa Store beschrieben hat, so diesen dieses Mindset so von die sehen halt alle möglichen Bedrohungen heraufziehen so irgendwie von irgendwie Klimawandel über VIT Security, Flüchtlingswellen und so weiter und so fort. Ähm und, 01:53:32.705 --> 01:53:41.502 haben das dringende Bedürfnis mehr Kontrollmechanismen zu haben, mehr Möglichkeiten zum Eingriff, mehr. 01:53:41.989 --> 01:53:47.901 Machtmittel, die sie halt benutzen können, um den Status quo aufrechtzuerhalten. Und, 01:53:48.227 --> 01:54:02.065 Daraus resultiert also das hat dieses Mindset, was dahinter steht. Man sieht's auch relativ deutlich in diesen Gesetzen, so dass halt also der alles was jetzt neu ist, eine hohe Dynamik entfaltet und wo halt klar ist, das haltet wie möglicherweise eher so ein bisschen grau oder darg, 01:54:02.300 --> 01:54:13.362 wollen die halt möglichst irgendwie versuchen halt irgendwie die Löcher am Damm noch irgendwie so zu stopfen so und daraus resultiert halt dieses äh dieses Gesetz auch mit diesem Darkner kriminalisieren und irgendwie, 01:54:13.410 --> 01:54:18.049 möglichst alles löschen können, Terror Upload fügt, also also dieses ganze, 01:54:18.290 --> 01:54:26.281 die wollen jetzt halt dieses wilde Internet, was es eigentlich auch schon nicht mehr gibt so, aber noch die letzten Reste davon wollen die halt möglichst auch noch aus trocknen 01:54:26.240 --> 01:54:34.622 so umhalt und wie das alles schön ordentlich zu haben, sondern so daraus zu sortieren dann so Sachen wie in Österreich, gerade diese Nummer mit äh dem Gesetz, was da gerade durchgeht. 01:54:34.790 --> 01:54:36.941 Oh 01:54:35.560 --> 01:54:41.575 Dass du äh nur noch äh unter Angabe deiner Mobiltelefonnummer halt Kommentare im Internet veröffentlichen darfst. 01:54:41.275 --> 01:54:45.342 Ein Jahr vorher haben sie gemacht. Titel äh Mobiltelefonnummer nur noch mit Ausweis, ne. 01:54:45.048 --> 01:54:46.562 Genau. So, 01:54:46.569 --> 01:54:55.563 heißt halt also damit wäre halt irgendwie anonymes Posten halt irgendwie in in Österreich halt erledigt so. Und das sind halt das halt dieses Mindset was die haben. Also dieses 01:54:55.504 --> 01:55:05.269 wollen die Kontrolle haben. Natürlich macht sie dann halt auch fertig, dass halt irgendwie bestimmte Ausländer so möchte halt irgendwie mit solchen Methoden auch Virtus spielen. Ne, also die halt, 01:55:05.431 --> 01:55:07.288 Desinformationskampagnen, 01:55:07.342 --> 01:55:21.487 machen die natürlich halt nervös, weil sie halt irgendwie an den Kern von Demokratie gehen, aber dafür, um das dann halt zu verhindern, schaffen sie dann halt erstmal, habt die Demokratie ab, indem sie Meinungsäußerungen und so weiter und sofort schwieriger machen so. Und dieses. 01:55:21.926 --> 01:55:33.607 Also dieses Tote aus Angst vor dem Feind Dingen zieht sich halt durch dieses gesamte äh dieses gesamte Werk und wir denken, dass dass man da halt eher einen anderen Ansatz fahren sollte, also dass halt die. 01:55:34.653 --> 01:55:38.108 Die Methoden, wie man mit diesem IT Security-Problem angeht, nicht, 01:55:38.157 --> 01:55:52.380 Homepage und an den Symptomen sein sollte, sondern halt einen Herangehen an die grundlegenden Probleme. Äh und dat dauert zwar relativ lange, bis man damit fertig ist, wenn man halt einfach große Teile der Software neu schreiben muss zum Beispiel. Ähm, 01:55:52.398 --> 01:55:53.696 und äh. 01:55:54.706 --> 01:56:06.290 Ausbildung verbessern muss, dafür sorgen muss, äh hat die auch in der Anhörung gefordert, zu sagen, niemand sollte in Deutschland mehr programmieren lernen, egal ob bei einer Schule oder Hochschule oder in der Ausbildung oder sonst irgendwo, ohne zu lernen, wie man sicher programmiert, 01:56:06.658 --> 01:56:16.140 Ja, ist ja auch nicht so schwer. Sollte irgendwie ein Handwerk wie jedes andere auch, sondern man programmieren lernt, kann man gleich von Anfang an lernen, wie man sich ja programmiert. Der Aufwand ist nicht so groß, 01:56:16.200 --> 01:56:20.940 Man sollte es halt einfach verpflichtend machen und und des entsprechenden Ausbildungsmaterial zur Verfügung stellen. 01:56:20.700 --> 01:56:33.271 Hinzukommen, dass er, dass es ja jetzt modernere Programmiersprachen gibt, die einen auch vor vor vielen ähm vor vielen Fehlern versuchen zu bewahren, ne? Also wenn man irgendwie an die 01:56:33.176 --> 01:56:42.309 Programmiersprachen denken, die jetzt zumindest versprechen, dass man in der Speicherverwaltung keine äh keine gravierenden Fehler mehr so einfach. 01:56:42.874 --> 01:56:50.860 Geschrieben kriegt, wenn man sich nicht sehr viel, wenn man sich nicht sehr viel Mühe dafür gibt. Ich sehe das Ding noch, also ich seh's irgendwie. 01:56:51.630 --> 01:57:00.414 Vor allem wenn man auf den internationalen Vergleich blickt. Ähm sehe ich in Deutschland eigentlich noch eine eine ganze Sache. Also ich find's noch ein, 01:57:00.625 --> 01:57:14.998 Schritt schlimmer als es sein müsste. Ich habe ja so gesagt, es gibt eigentlich kein fundamentales, praktisch relevantes Problem in der IT-Sicherheit, was mich zumindest theoretisch gelöst wäre, 01:57:15.095 --> 01:57:21.620 und trotzdem sehen wir überall katastrophale Zustände, ja. 01:57:22.120 --> 01:57:28.795 Einer der auslösenden Gründe auf jeden Fall, dass es den Leuten einfach nicht beigebracht wird, wie sie sicher programmieren, dass denen nicht, 01:57:29.120 --> 01:57:41.882 beigebracht wird, wie man wie man Sinnvolles Design macht äh von und auch wie man ein Fred Modeling macht, bevor das Produkt fertig ist. Statt nachher, ja? Und ähm. 01:57:43.001 --> 01:57:47.723 Was ich noch viel interessanter finde ist, ich habe ja jetzt. 01:57:48.192 --> 01:57:55.187 Im Prinzip viele Jahre zugebracht in der in der Forschungsgruppe, die sich im Prinzip mit. 01:57:55.969 --> 01:58:03.701 Komplexen Angriffen auseinandergesetzt hat, die gesucht hat, okay, wenn Verschlüsselung angewendet wird, dann finden wir 01:58:03.678 --> 01:58:13.629 die Fehler in der Verschlüsselung und nicht die Fehler an den Endpunkten, wo sie jeder andere findet und sich einfach reinheckt. Und ich hab ein bisschen den Eindruck, dass IT-Sicherheit auch in der. 01:58:14.212 --> 01:58:28.831 In der Forschung, wo sie betrieben werden sollte auf jeden Fall, wo es total richtig ist, aber dass die Forschung im Prinzip der Realität auch schon wieder voraus ist. Ja, wir diskutieren zum Glück und ich finde es nicht falsch. Wir finden, ich finde es richtig, dass wir heute, 01:58:29.115 --> 01:58:40.766 Post Quantim, Cryptographie diskutieren. Wir diskutieren heute die Lösungen von in zwanzig Jahren, ne? Das ist gut, ist notwendig. Forschung sollte vorangehen. Ähm, 01:58:41.055 --> 01:58:51.156 In der Realität werden wir aber heute geohnt über Passwort eins, zwei, drei, ungepatchte Systeme und sonstige, das heißt wir während wir, 01:58:51.324 --> 01:59:00.090 Ich nehme jetzt da auch dich mal mit rein als jemand, der in der Entwicklung von sicheren Systemen ähm und zwar mehreren kritischen Systemen eine. 01:59:00.608 --> 01:59:07.992 Deine Rolle ist, glaube ich, CTO, ne? Also die entscheidende Rolle spielst ähm während wir die Probleme wirklich. 01:59:08.450 --> 01:59:13.287 Ganz andere Probleme lösen, passieren diese ganzen Hacks äh im Prinzip, 01:59:13.329 --> 01:59:21.501 schon auf so einer Basisebene, die da nicht eingehalten wird, ne? Schlechte Passwörter, ungepatschte Systeme, wo es dann nämlich am Ende irgendeinem, 01:59:21.616 --> 01:59:29.986 Teenager ermöglicht da reinzukommen. Das ist äh war immer die Frage bei diesem Doxing. Ja, wie, wie kann das ein Teenager machen? Wie kann das ein Teenager machen? Also 01:59:29.824 --> 01:59:35.274 ein Teenager, der noch bei Mama wohnt, wo dann eigentlich meine flapsige Antwort war, ja, der, weil der Internet hat, 01:59:35.304 --> 01:59:43.158 Wir haben das dafür gebaut, dass jeder Teenager, der bei Mama wohnt, auch daran teilnehmen kann. Aber eigentlich ist das Problem natürlich viel 01:59:43.152 --> 01:59:51.655 Viel schlimmer, nämlich, dass wir die Basalanforderungen schon nicht erfüllen. Und deswegen können wir noch so viele Hochsicherheitssysteme ähm, 01:59:51.956 --> 02:00:00.043 versuchen zu entwickeln, wenn am Ende die die Unternehmen geordnet werden und die Privatpersonen geordnet werden, die, 02:00:00.410 --> 02:00:05.553 die das Basissicherheitsniveau noch nicht mal einhalten. Und dann finde ich geht's noch, geht so eine, 02:00:05.824 --> 02:00:13.606 eine Nummer weiter, wenn wir uns anschauen, was Deutschland jetzt so für IT-Sicherheitssysteme baut. Beispiel wie Beispiel Telematik, 02:00:13.984 --> 02:00:25.816 dem Beispiel besonderes elektronisches Anwaltspostfach. Beispiel Notarpostfach. Alles Themen, die wir in Lokbuch Netzpolitik schon äh rauf und runter diskutiert haben, die wir als CCC oder Mitglieder des CCC oder 02:00:25.672 --> 02:00:33.970 erweitertes Familienumfeld des CC, die offen CC Vortragen alles kaputt gemacht haben, ja? Jetzt stellen wir immer fest ähm, 02:00:34.253 --> 02:00:35.725 Es wurde. 02:00:36.525 --> 02:00:47.335 Es wurden diese das Basiswissen der IT-Sicherheit nicht angewendet. Es wurde gegen das, was quasi Forschungsstand und Best Practice ist in der IT-Sicherheit eklatant verstoß. 02:00:47.347 --> 02:00:54.618 Nicht mal irgendwie gegen jetzt nochmal den ganz weit draußen stand, sondern so gegen so den so das das normale Handwerk, ja? Also. 02:00:54.318 --> 02:01:01.246 Richtig, gegen, es wurde es wurde gegen Basiswissen, ja, nicht irgendwie oh guck mal hier, es braucht ähm, 02:01:01.379 --> 02:01:15.409 ähm ne, irgendwelche Curus, die dir jetzt da oder oder irgendwelche Russgurus, die dir erklären, warum das jetzt irgendwie noch ein Fehler war, sondern einfach Schwachstellen, die wir bei denen wir nie Probleme hatten, die der Öffentlichkeit auch zu vermitteln und zu erklären, guck mal, da ist die Schwachstelle 02:01:15.338 --> 02:01:22.055 ja. Eigentlich würdest du also bei einer Schwachstelle in einem nach nach heutigen best Practice gebauten System 02:01:21.906 --> 02:01:31.663 Die kriegst ja den meisten Leuten gar nicht mehr erklärt. Da können wir dann irgendwie akademische Diskussionen darüber führen, ne? Aber wenn das ist irgendwie so, wie bist du reingekommen? Ja, Passwort, eins, zwei, drei, das kriegen wir allen erklärt, 02:01:31.922 --> 02:01:37.023 ähm und ich habe da so eine, so eine Meta-Theorie zu. Es gibt im Prinzip so. 02:01:37.973 --> 02:01:43.357 In diesem ganzen wie Digitalisierung stattfindet. Wenn man jetzt mal extrem extrem pol, 02:01:43.550 --> 02:01:52.262 China, ja? Extrem pool oder auch andere asiatische Länder. Ganz ganz krass, risikoblind, 02:01:52.468 --> 02:01:57.136 voll Digitalisierung von allem Gesichtserkennung im öffentlichen Raum. 02:01:57.551 --> 02:02:07.550 Alles was geht, gib ihm, gib ihm, gib ihm und ähm natürlich auch sogar noch ganz offensichtlich die die Nachteile der Digitalisierung eigentlich gar nicht, 02:02:07.910 --> 02:02:11.907 Gar nicht als Nachteile sehen, ne? Ähm. 02:02:12.430 --> 02:02:20.019 Das heißt, da hast du so eine ganz Blindeninnovationsgetriebenes Vorgehen und dem gegenüber würdest du eigentlich sowas sehen in 02:02:19.911 --> 02:02:30.637 was Deutsche versuchen, ja wir machen das aber sicher und gründlich. Deswegen, man muss nicht immer der Erste sein, der alles digitalisiert, sondern wir machen das dann ordentlich. Und dieses ordentlich kriegt Deutschland eben auch nicht hin. 02:02:30.337 --> 02:02:40.161 Genau, das hat das hat er sich so ein Problem, weil wir hätten halt die Chance ordentlich zu machen, aber wir verkacken es halt. Also es wird halt einfach nicht richtig durchgezogen, 02:02:40.432 --> 02:02:46.224 den Vorteil, den wir da haben könnten, auch wirklich auszuspielen, so. Und, 02:02:46.495 --> 02:02:58.188 Das hat auch so eine der Forderungen, die wir haben ist zusammen. Deutschland braucht halt eine defensive Strategie für den Umgang. Äh mit möglichen Angriffen im digitalen Raum. Wir brauchen halt einen. 02:02:58.886 --> 02:03:05.477 Herangehen, was sagt, wir setzen auf Verträge und wir setzen auf tatsächlich mehr effektive Sicherheit, 02:03:05.772 --> 02:03:13.409 und nicht darauf, dass wir halt irgendwie Offensivkapazitäten aufbauen in der Hoffnung, dass wir da irgendjemand abschrecken können, was sowieso nicht funktioniert. Dieses. 02:03:13.939 --> 02:03:21.293 Also dieses dieses Problem zu verstehen, dass es ein lösbares Problem ist, dass es nur Geld kostet und wenn man sich da mal. 02:03:22.219 --> 02:03:29.406 Wirklich eine Strategie überlegen wird, die den Namen verdient und nicht in Sammelsorium von Verantwortungsdiffusionen mit äh, 02:03:29.604 --> 02:03:33.004 Dutzend Behörden, die alle mehr Plan stellen wollen, 02:03:33.186 --> 02:03:43.094 dann könnte man da sicherlich was tun. So, also das wäre halt, also ich bin jetzt nicht für einen Digitalministerium oder sowas. Es wurde halt auch nicht funktionieren, aber tatsächlich eine, 02:03:44.152 --> 02:03:54.914 Ressort übergreifender Maßnahmen, um halt die effektive Sicherheit zu erhöhen, indem man halt zum Beispiel mit relativ viel Geld Open Source Software, Auditing und open Source Software neu schreiben, 02:03:55.077 --> 02:04:05.256 nach sicheren Maßstäben fördert, was dafür sorgt, dass wir über ein paar Jahre hinweg unsere Softwarebasis neu bauen. Wäre zum Beispiel so ein Ding, eine andere Sache, wäre Kennzeichnung von Geräten. 02:04:05.767 --> 02:04:20.710 Warum kann ich immer noch ein Tablet kaufen irgendwie äh äh wenn ich in in Elektromarkt laufe, was de facto Elektroschrott ist in dem Augenblick, wo ich aus der Tür laufe, weil es für den Herr vom Hersteller keine Updates mehr gibt und ich mich damit nicht mehr ins Internet trauen darf eigentlich? 02:04:20.495 --> 02:04:27.898 Und das wäre nämlich, das wäre ja genau der Punkt, wo wo jetzt auch mal so gesetzliches Handeln überhaupt eine Wirkung entfalten kann. 02:04:27.651 --> 02:04:39.681 Genau, also eine Kennzeichnungspflicht, ne, so statt halt wie Böse Roter TA, wo wir halt irgendwie am Ende mit einer freiwilligen, möglichen Selbstverpflichtung für so diese Update-Geschichten, 02:04:40.037 --> 02:04:49.981 daher kommen, die du aber auch folgenlos halt nicht beachtet werden kann äh und es äh letzten Endes nicht mal eine Verpflichtung dazu gab zu sagen, okay, wenn du halt, 02:04:50.126 --> 02:04:57.204 auf den Router eine sichere, nämlich Open Source äh Firma wie Open Werte installieren willst, dafür, 02:04:57.415 --> 02:05:09.228 hast du kein Recht darauf, obwohl's eigentlich dein Router ist? Das war halt super enttäuschend. Das haben wir den BSI dann aber auch intensiv und mehrfach gesagt und auch den Leuten im BMI, dass diese Router TA Nummer aus unserer Sicht 02:05:09.126 --> 02:05:17.376 genau so war, wie es nicht hätte laufen sollen, weil die sich halt komplett haben, einbuttern lassen äh von den den Kabelnetzlobbyisten, 02:05:17.629 --> 02:05:24.846 und also auch teilweise in den Sitzungen halt Sachen gelaufen sind, wo man sich fragte, wer jetzt hier eigentlich die Moderation hat und deshalb so 'ne, 02:05:25.195 --> 02:05:34.880 so ein Vorgehen, was halt zeigt, wie man's genau nicht machen sollte. Trotzdem interessanterweise ein Satz dazu noch, sieht es BSI diese Router TR als Erfolg. 02:05:36.191 --> 02:05:37.248 Bizarre Weise. 02:05:37.921 --> 02:05:39.844 Wie kommt ihr dazu. 02:05:39.712 --> 02:05:42.770 Die kommen dazu, weil sie sagen, wir haben einen ersten Schritt gemacht. 02:05:43.384 --> 02:05:44.658 Ja genau, das ist. 02:05:44.358 --> 02:05:45.751 Das ist halt so, weißt du so. 02:05:45.571 --> 02:06:00.095 Das ist genau das, da wollte ich nämlich noch kurz zu setzen zu sagen, das ist genauso diese äh wenn du gerade zuschaust, wie in den letzten viertel Jahrhundert, ja, sich dein gesamtes Land digitalisiert, dann kannst du IT-Sicherheit, 02:06:00.323 --> 02:06:03.346 nicht als Kompromiss 02:06:03.256 --> 02:06:17.160 sehen. Ähm und diese einfach mal kompromisslos an eine Sache ranzugehen und IT-Sicherheit kompromisslos zu sehen, das fehlt mir in all diesen Debatten. Weil ich gerade, ich habe ja gesagt, so dieses, also es gibt im Prinzip dieses Innovationsgetriebene 02:06:17.077 --> 02:06:20.015 und dem gegenüber gibt's diesen Stabilitätsgedank. 02:06:20.832 --> 02:06:27.231 Und dieser Stabilitätsgedanke, den finde ich ja auch sehr gut, denn ähm nur ein, also ne, nur wenn man diese, 02:06:27.382 --> 02:06:37.723 Systeme mit Bedacht baut und ordentlich baut, dann können die auch ne irgendwie vielleicht mal paar Jahre halten, so und das das ist auch das, wo wir hin müssen. Was wir aber hin, was, 02:06:37.970 --> 02:06:47.020 in Deutschland eigentlich der, also der Nachteil von Stabilität wäre quasi diese Trägheit, ja? In Deutschland haben wir aber im Prinzip die beiden Nachteile, 02:06:47.146 --> 02:06:50.144 kombiniert. Also Innovationsinnovation 02:06:50.097 --> 02:07:04.163 Nachteil, ähm! Unsicherheit, ja? Stabilität, Nachteilträger, wir haben aber träge Unsicherheit. Wir haben also wir haben keins von, wir haben nirgendwo den Vorteil, wir haben alle Nachteile dieser Digitalisierung kriegen wir voll zu 02:07:04.116 --> 02:07:11.837 so den den Hals runter und die Vorteile kriegen wir noch nicht einmal äh genossen. Und ich glaube tatsächlich. 02:07:12.529 --> 02:07:21.241 Dass ähm die Probleme in der IT-Sicherheit in diesem Beispiel ähm Telematik, DML, Bea und so weiter. Was wir da sehen, ist. 02:07:21.849 --> 02:07:31.583 Schwachstellen, die dort gefunden werden, die sind in der Regel kannst du ganz klar sagen, das ist der Kompromiss, der eingegangen wurde, weshalb sich dort diese Schwachstelle befindet 02:07:31.505 --> 02:07:40.001 Hier ist die ähm so und dann hast du weiterhin sind diese Systeme durch diese Kompromisse unglaublich komplex. 02:07:40.591 --> 02:07:50.042 Komplexität ist schon immer der Gegner von IT-Sicherheit gewesen, sodass ich äh irgendwann mal gesagt habe, das fand ich sehr klug. Äh Komplexität ist im Prinzip, 02:07:50.343 --> 02:07:53.504 fehlpraktizierte, falsch praktizierte Stabilität 02:07:53.384 --> 02:08:06.940 Und das ist so ein bisschen das deutsche, das deutsche Ingenieurwesen, um jetzt nochmal noch größere Partners aufzumachen, ist jetzt so die Sachen so komplex zu bauen, dass man sagte, da kann jetzt nichts mehr schiefgehen so. Das haben wir so komplex gebaut, das kann doch nicht mal mir jemand verstehen 02:08:06.827 --> 02:08:11.477 Und genau da glaube ich geht auch IT-Sicherheit eben den Bach runter. Bei. 02:08:11.177 --> 02:08:13.617 IP-Säcke sagt. 02:08:13.317 --> 02:08:25.707 Beispiel kannst jedes Beispiel nehmen, ne? Äh insbesondere jetzt hier Telematik, die mir äh Notarpostfach und so. Ja, das muss aber dann noch mit dem IT-System funktionieren und das wieder das Ding. Longtale 02:08:25.683 --> 02:08:31.403 Legacy und so weiter, da jeder der IT-Sicherheit macht, jeder der Pantest macht 02:08:31.308 --> 02:08:43.764 guckt sich ein System an und sagt, erklär mal bitte, wo wir jetzt komplex oder gibt's hier irgendwelche Legissy Downgrades, das ist das, was du noch vier Stunden beim Kunden anfangst, zu machen, da findest du die ersten Schwachstellen. Und diese gesamten deutschen Systeme sind 02:08:43.728 --> 02:08:56.605 Voll davon, die ganzen Deutschen Herangehensweisen sind von, ja, aber dann können wir unsere Legacy-Systeme nicht mehr unterstützen oder dann können wir hier im Moment mal, dann wird das ja zusichern, dann kann man das auf einmal nicht mehr abhören. Wir haben ja hier eine äh Vorgabe einer Abhörst, 02:08:56.714 --> 02:09:05.986 Demail, ja? Und all das, also du findest diese gesamte all das, was wir an der Router TR diskutieren, 02:09:06.160 --> 02:09:09.831 oder oder kritisiert, nämlich dieses das wird diskutiert, da wird. 02:09:10.799 --> 02:09:17.980 Kompromittiert, wollte ich schon sagen, da wird erst ein Kompromiss gemacht und dann wird's kompromittiert. Deswegen sind diese beiden Begriffe wahrscheinlich auch so nah beieinander. 02:09:18.827 --> 02:09:22.907 Das fehlt mir und dieses in diesem IT-Sicherheitsgesetz, 02:09:23.214 --> 02:09:34.330 das war das, was ich beim IT-Sicherheitsgesetz eins kritisiere, äh kritisiert habe und ich glaube, diesen Kritikpunkt würde ich auch beim IT-Sicherheitsgesetz zwei sagen, da wird wieder nichts. 02:09:34.769 --> 02:09:39.588 Keine erkennbaren mutigen Schritte in eine Richtung gegangen am Status quo etwas zu ändern. 02:09:40.514 --> 02:09:47.640 Also letzten Endes, was halt passieren müsste, wären halt ein bisschen größere Würfe, die den. 02:09:48.849 --> 02:09:58.582 Genau diesen Status Quo langfristig auch ändern. Ne? Also dazu gehört zum Beispiel sowas wie äh die Erarbeitung von Ausbildungsmaterial. Ne, das ist halt irgendwie, 02:09:58.673 --> 02:10:08.149 Warum haben wir in Deutschland kein Open Source für frei verfügbares Ausbildungsmaterial, für Informatikunterricht? Für die gängigen Programmiersprachen, die da irgendwie üblich sind 02:10:08.143 --> 02:10:18.124 in denen es halt die Module gibt, wie man sicher programmiert und zwar grundsätzlich von Anfang an mit der Erklärung dazu. Und irgendwie in dem Augenblick, wo man Leuten mal zeigt, wie ein Buffer Oberflow-Explort zum Beispiel funktioniert. 02:10:18.930 --> 02:10:24.692 Oder mit Steck Exploid oder so, also entweder einfache Sachen, dann verstehen die plötzlich auch. 02:10:25.306 --> 02:10:29.733 Warum es wichtig ist, darauf zu achten und halt irgendwie einfach, 02:10:30.119 --> 02:10:40.880 Zum Beispiel Programmiersprache zu nehmen, indem einem sowas nicht passieren kann. Ja, also geht ja auch so, ne? Und die äh also wenn ich da zum Beispiel halt so Wissenschaftler sehe, 02:10:41.086 --> 02:10:47.196 halt dann einfach irgendwie weil sie's nicht anders gelernt haben da halt mit Cerumfuchteln, 02:10:47.269 --> 02:10:57.929 und da halt so irgendwie Pointer und einem Copy Höhlen haben, wo man denkt so, Japan, das System sollte besser nirgendwo, wo irgendwie auch nur entfernt, Internetrelle ist. Äh, 02:10:58.296 --> 02:11:04.539 Warum denn, ja? Also muss ja nicht sein, geht ja auch einfacher und besser. Na ja, jedenfalls diese. 02:11:05.374 --> 02:11:20.354 Diese diese grundsätzliche Raniere zusammen, man versucht es halt äh mal im großen Wurf zu lösen, fehlt halt, dieses Gesetz ist halt ein Rumdokter an Symptomen äh was parallel dafür sorgt, dass die Leute, die helfen könnten, das Problem zu lösen, 02:11:20.409 --> 02:11:25.684 äh nämlich die Hacker-Komödie und der die Security Research Community unnötig. 02:11:26.303 --> 02:11:36.122 Ja muss man sagen zu Feinden gemacht werden, ne? Also weil ganz viele dieser Dinge sind halt grundsätzlich, gehen halt nicht okay. So, die da drin stehen und das. 02:11:36.627 --> 02:11:40.082 Wird halt eher fürs Gegenteil sein. Es wird halt nicht viel mehr IT-Sicherheit sorgen. 02:11:39.806 --> 02:11:49.456 Tja, ich denke damit sind wir ähm so langsam am Ende unserer Bewertung. 02:11:51.458 --> 02:12:02.538 Ich danke dir für die Zeit, die du dir genommen hast. Ich merke auch, dass es langsam hängen wird und wir beide noch ein bisschen arbeiten müssen und ähm, 02:12:02.562 --> 02:12:03.854 Ich hoffe, dass, 02:12:04.179 --> 02:12:17.326 das für dass es uns gelungen ist das Thema ein bisschen auch näher zu bringen, weil es ja immer so ein bisschen bei bei IT-Sicherheit, ich hab das, ich hab häufig so den Eindruck, ne, bei Ärzten gibt's irgendwie die. 02:12:17.801 --> 02:12:28.810 Die Halbgötter in weiß und bei Hackern ist so ein bisschen so die Halbgötter in schwarz, ne? Das das wenig verstanden wird was die tun. Und ich bleibe eigentlich bei der äh bei der Ansicht, dass. 02:12:29.681 --> 02:12:43.117 Möglich ist, sicherer zu werden und es schön wäre, wenn wir da irgendwie hinkämen und es wäre wirklich toll, wenn wir ein IT-Sicherheitsgesetz hätten, was äh Anreize in diese Richtung auch geben würde. 02:12:44.770 --> 02:12:50.682 Ja, na ja, mal gucken, vielleicht ändert sich ja noch was am Referentenentwurf. 02:12:50.893 --> 02:12:55.664 Vielleicht ändert sich noch was am Referententwurf. Immerhin, ich fand das ganz toll, dass du da bei der das 02:12:55.562 --> 02:13:07.250 dass diese Anhörung mal ein bisschen vorher war und das war auch ein bisschen der Grund, warum ich äh dich gebeten habe, dass wir nochmal eine Logbuch Spezial quasi zu dem Thema machen, weil wir sonst 02:13:07.178 --> 02:13:10.452 sehr häufig die Erfahrung gemacht haben im Prinzip, 02:13:10.465 --> 02:13:21.948 am fertigen den fertigen Entwurf im Ausschuss nochmal einmal kritisieren zu dürfen und uns da selten die Ehre zu Teil geworden ist, dass da nochmal irgendwas daran geändert wurde, 02:13:21.948 --> 02:13:23.233 mit. 02:13:22.933 --> 02:13:37.626 Mal gucken, ich meine es hat also vielleicht, wenn die SPD halt irgendwie entdeckt, dass sie bei dem Thema doch mal risikofrei auch äh sich vielleicht äh mal Richtung Positives bewegen könnte, eigentlich na wie immer, bei der SPD ist die Hoffnung natürlich gering. 02:13:37.560 --> 02:13:44.019 Also liebe innere Sicherheitspartei Deutschland, hier könnt ihr punkten, äh, indem ihr. 02:13:42.643 --> 02:13:54.372 Genau. Ihr könnt es mal wirklich was für die Sicherheit tun und nicht nur äh so tun, als würdet ihr das, was die CSU als Sicherheit verkaufen würde und wir auch gut finden. Hauptsache, ihr fällt am Ende nicht um. Genau. 02:13:51.675 --> 02:14:01.728 Hauptsache ihr feilt am Ende nicht um. Also, Cyber Ahoi, vielen Dank Frank. Alles klar. Ciao ciao.