Corona Warn App FAQ — Facebook und FBI hacken — Twitter will dass man Artikel liest — Raubkopierer-Oma
Die heutige Sendung steht ganz im Zeichen der Veröffentlichung der Corona-Warn-App (CWA) die mit viel Tamtam am letzten Dienstag über die Bühne ging. Entsprechend groß war die Diskussion rund um die App und wir versuchen in dieser Folge die häufigsten Fragen, die aufkamen, hier hoffentlich zufriedenstellend zu beantworten.
Dazu noch ein Bericht von Facebook und dem FBI, die gemeinsam auf Hackertour gehen, eine interessante Neuerung bei Twitter und die traurige Geschichte der Raubkopierer-Oma
Linus Neumann
Tim Pritlove
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Tim Pritlove 0:00:00
Guten Morgen Linus.
Linus Neumann 0:00:01
Guten Morgen Tim.
Tim Pritlove 0:00:03
Mensch Lilos, SAP, Telekom und Bundesregierung haben eine Wahnapp veröffentlicht und du hast nicht davor gewarnt.
Linus Neumann 0:00:10
Ja, also das war echt lustig, da waren irgendwie kurzfristig zweitausendachthundertsiebzehn Aktienoptionen im Angebot. Ich glaube, es war ein Fehler.
Tim Pritlove 0:00:42
Lokbuch, Netzpolitik, Nummer dreihundertfünfzig, Linus. Dreihundertfünfzig, vom siebzehnten, siebzehnten, siebzehnten Juni, zwanzig zwanzig.
Linus Neumann 0:00:55
Siebzehn bis siebzehnter sech.
Tim Pritlove 0:00:56
Genau, ein ein Tag nach Corona ab.
Linus Neumann 0:01:01
Ja
Tim Pritlove 0:01:03
Die neue Zeitrechnung. Jetzt werden wir alle ausgeforscht. Ja ja, von wegen.
Linus Neumann 0:01:11
Äh wir hatten doch in der letzten Sendung noch äh Geräte mit der Zeitrechnung, ne? Ähm.Ähm Ano Domini und so weiter und das ist ganz einfach, äh wurde ich dann auch korrigiert, die Zeitrechnung ist eigentlich ne, in amerikanischen, ganz einfach äh BC und AC,wie vor Chorona in After Corona, ja, ganz muss man gar nicht in den, in den lateinischen Bereich gehen.
Tim Pritlove 0:01:35
Aber das bezieht sich dann, glaube ich, dann doch eher auf den ersten Januar nicht so sehr auf den sechzehnten Juni. Aber auf den sechzehnten Juni gehen wir heute ein bisschen mehr ein.Und was jetzt mit deinen Aktienoptionen.
Linus Neumann 0:01:47
Ja, keine Ahnung, der Abenteuer wollte die ja dann doch nicht mehr haben. Ähm nee, ich fahre.
Tim Pritlove 0:01:54
Der war wahrscheinlich zu jung dafür.
Linus Neumann 0:01:56
Also, das ist ja kein Thementhema der Netzpolitik, aber ich würde trotzdem gerne ganz kurz ganz vorsichtig anmerken, ne?Dass ich, dass es mich schüttelt, wenn ich leseder Antwortstünde unter Lobbyismusverdacht. Das nennt sich nicht Lobby, es muss das nennt sich Korruption. Und wenn er behauptet, er wäre nicht käuflich, dann frage ich mich, warum er denn dann seine Aktienoption zurückgegeben hat. Er war doch nicht käuflich. Er hat jedoch gar nicht für eine Gegenleistung bekommen, dass er mit Bundestagsbriefpapierirgendwie bei der Bundesregierung sich für ein Unternehmen einsetzt, an dem er danach beteiligt wird. Also ist das äh das ist so,Hm? Da sieht man, der Typ ist wirklich durch und durch CDU, ne? Das ist äh der schnell gelernte junge Christ.
Tim Pritlove 0:02:44
Aber aber Linas, der ist doch erst siebenundzwanzig, dann da gilt doch quasi noch Welpenschutz.
Linus Neumann 0:02:51
Der muss sich doch erstmal noch ein Vermögen aufbauen.
Tim Pritlove 0:02:54
Ja. Also da kann man doch nicht alle Tricks drauf haben.
Linus Neumann 0:02:57
Alter ist der doch offenbar hatte. Ja also na ja den einen trägt den er nicht drauf hat ist sicher halt einfach nicht erwischen zu lassen ne.
Tim Pritlove 0:03:05
Ja. Sollte sich mal ein Vortrag über Obst anschauen. Hast du doch nicht was im Angebot?
Linus Neumann 0:03:13
Nee, also Schwarz-Gelb-Zahlungen und Korruptionen gehört einfach nicht zu meinem äh Expertisebereich, aber ähm,könnte im Laufe der Sendung habe ich dann doch noch eine kleine Obsecmpfehlung, die interessanterweise tatsächlich erneut, ja, ähm jemand einen Fehler gemacht, den ähm,den Thorsten und ich zumindest in diesem Obstex-Vortrag mit erwähnt haben, dass man ähm.Dass man in, dass man dass dieser Architektur, die dort verwendet wurde, eben Risikoreich ist. Aber okay. Tim, ich möchte eine Sendung empfehlen.
Tim Pritlove 0:03:52
Ja, mach mal.
Linus Neumann 0:03:54
Du darf ich ja nur, weil weil du weißt welche. Ähm.
Tim Pritlove 0:03:59
Gab's auch sonst ihn dann empfehlen?
Linus Neumann 0:04:01
Im Podcast UKW, wo Timja regelmäßig ähm mit Pavel Meier über die,Corona, Situation in Deutschland, sprich im Corona Wikley, äh hatte er jetzt auch am Montag ähm schon zu Gast zwei.Personen aus dem SAP, Entwicklerteam für die Corona Warn-App, die dort, ich glaube, es war anderthalb Stunden oder war das sogar.
Tim Pritlove 0:04:26
Zweieinhalb Stunden.
Linus Neumann 0:04:28
Zweieinhalb Stunden, ja? Sehr ausführliches äh Gespräch führen. Und ich finde auch, also ne so diesen guten.Äh Niveau, einerseits da sitzen halt äh Experte, Experten, die sich mit dem Thema auseinandergesetzt haben, die es selber geschrieben haben und haben ein Moderator, der ihnen dabei,gar nicht so viel helfen muss, diese Debatte auch noch auf den Allgemeinverständlichen Niveau zu führen und das denke ich ist eine, der eine der wichtigen.Aufklärungsquellen für Menschen, die jetzt vor der Entscheidung stehen, ob sie diese App nutzen möchten oder nicht. Und das denke ich, ist da enorm gut gelungen und ist ein sehr, sehr interessanter Einblick, deswegen würde ich das empfehlen, weil,ja klar ist, dass ähm ich schon,vor Monaten hier auch angekündigt habe, dass ich nicht diese App empfehlen werde, weil ich möchte, dass jede Personähm eine eigene informierte Entscheidung trifft und dabei finde ich ist diese Sendung eine der der wichtigen Ressourcen.
Tim Pritlove 0:05:36
Ja, das ist wirklich ganz gut gelaufen. Kann man, kann man so sagen, es war sehr angenehmes äh.Sprechen, da kam eigentlich auch irgendwie nahezu alles zur Sprache, was äh zur Sprache kommen konnte,So, da sind natürlich die Perspektive des SAP-Teams hatten, waren jetzt so Details, wie es grad so bei der Telekom gelaufen ist, natürlich nicht so vertreten, aber.Denke, man hat auch gemerkt, dass.Wir mittlerweile äh glaube ich auch an so einem Punkt angekommen sind, wo in den Unternehmen, die wir mal so ein bisschen.Leichtfertig auch so als Digitalverweigerer äh verschreien. Gut, dass kann man jetzt SAP selber jetzt konkret vielleicht nicht ganz so vorwerfen, ne, aber auch so was so die Digitalkultur betrifft, insbesondere Open Source.
Linus Neumann 0:06:26
Die haben die, die haben diese Tankerkultur wie unterstellt man den da doch noch? Ne, Öltankerkultur, ne? Wenn der, wenn du möchtest, dass das Schiff in in sieben Jahren äh eine Rechtskurve fährt, musst du jetzt anfangen äh an an dem, an dem Lenkrad zu drehen, ne?
Tim Pritlove 0:06:39
Ja, ich kenne was ich habe irgendwann mal so eine schöne Late Nights Geschichte gehört, wo so einer erzählt so, ja, er werde in der Bar und da saß dann immer,immer wenn er da war, saß er dieser dicke Typ an der Bar und hat sich irgendwie überhaupt nicht,bewegt, mit niemandem geredet, immer nur an seinem Dring rumgelutscht und so weiter und hat sich immer gefragt, was ist mit dem eigentlichund dann gab's irgendwann mal so eine Schlägerei und jemand ähordentlich hauer abbekommen hat, äh der es nicht verdient hatte und dann ist der Typ auf einmal aufgestanden, hat sich irgendwie diese Typen vorgenommen und wie aus diesem Laden rausgeprügelt auf eine Art und Weise, wie es nie für möglich gehalten hätte und er dachte sich nochwow das und so ein bisschen ist das manchmal auch bei so,großen Unternehmen, dass man sich dann doch irgendwie wundert, so, ah, okay, da ist dann also durchaus nochmal ein bisschen äh Potential,was man so nicht gedacht hat, ne? Aber es konnte diesem Gespräch auch ganz gut rüber.Dass dass das eben auch so so ein schrittweiser, kultureller Wandel ist und das auch im Rahmen dieses Projektes,wieder da weitere Schritte äh gegangen werden. Mussten und dann auch gegangen wurden.
Linus Neumann 0:07:51
Ich habe in den letzten zwei Tagen, glaube ich, ähm sehr viele.Tausend der tausend Male nicht, aber sehr viel of sehr viel häufig mich wiederholen müssen zu dieser Chorona-App und äh ich würde hier in dieser Sendung nochmal so ganz kurz ein paar häufig gestellte Fragen dazu ähmbeantworten, wollen einfach, damit wir das hier auch gemacht haben. Ähm einiges davon ist vielleicht auch für.Unsere Hörerinnen, eine Wiederholung, ja, weil wir das vielleicht vor zwei Monaten schon mal besprochen haben oder vor zwei Wochen, deswegen versuchen wir das jetzt so ein bisschen kurz zu halten.Und äh nochmal so die wichtigsten Fragen zu beantworten. Es gibt auch einige, die äh denke ich neu sind. Ähm ich würde nochmal, wie gesagt, Eingangs sagen, mir ist wichtig, dass Leute verstehen, was das Ding macht und verstehen, was es nicht macht. Und das,die Entscheidung, das kannst du jetzt nutzen oder nicht, die soll wirklich jede Person selber treffen, vor ihrem individuellen äh Schutzbedarfund äh ihrer Potenzial ihrer eigenen Risikoeinschätzung. Ich habe das in diesen Presse äh Interviews in den letzten Tagen gerne mal so verglichen. Ne, wenn du jetzteine Teenagerin Hass, die mehrere Stunden am Tag auf ähm,Instagram, Facebook, Twitter, WhatsApp und YouTube verbringt.Dann wäre ich jetzt vorsichtig der Annahme, dass jetzt für ihre Privatsphäre, die Nutzung dieser App im Zweifelsfall eine sekundäre Sorge wäreja, um das mal diplomatisch auszudrücken. Wenn ich mir aber jetzt eine investigative Journalistin vorstelle, ne, die vielleicht irgendwie mit.Höchst ähm brisanten Quellen sich trifft oder sowas, ja, da die kann vielleicht auch die Entscheidung haben, zu sagen, auch in einer dezentralen Datenspeicherung ähm,mit irgendwie Verschlüsselung und einem kann ich von Berufsgründen jegliches Risiko, dass sie irgendeine Aufzeichnung von irgendetwas stattfindet.Überhaupt nicht,tolerieren und in in Erwägung ziehen, und die könnte dann jetzt zum Beispiel die Entscheidung treffen, zu sagen, ich werde diese App nicht benutzen, ich werde diese App nicht installieren oder ich lasse mein Handy zu Hause oder ich mache von der Funktion äh gebraucht diese App,auszuschalten. Diese Funktion bringt die App ja auch mit, ja? Und dass solche Entscheidungen und Erwägungen informiert, getroffen werden, ist unser Ziel,das wird bei dieser Sendung von Tim sehr gut äh im Detail nochmal beschrieben und das äh denke ich.Würden wir hier uns auch nochmal als Ziel setzen und vor diesem Hintergrund sollen Menschen dann eine Entscheidung treffen. Vor.Von Seiten des CCC, für den ich ja auch sehr ausführlich mich in diese Debatte eingebracht habe, haben wir mit der Veröffentlichung der zehn Prüfsteine gesagt, wenn wir,Große Bauschmerzen mit einer App haben, dann werden wir vor der Verwendung warnen. Und das wäre dann eben dann, so die,Vollaussage für alle Menschen gewesen, so, nein, das unter kein kommt unter keinen Umständen, für irgendwem in Frage und ähm wir haben aber auch gesagt, wir werden niemals irgendetwas konkret empfehlen,und äh genau das tun wir jetzt nämlich auch. Nichts empfehlen und nicht davon abraten. Das ist das, was der CC jetzt an dieser Stelle macht.
Tim Pritlove 0:11:16
Auch wenn's ein bisschen schwierig ist für dich.
Linus Neumann 0:11:18
Du sprichst auf diesen äh Tweet von von Bericht aus äh von Bericht aus Berlin an, ne.
Tim Pritlove 0:11:25
Ja.
Linus Neumann 0:11:27
Kann man den Katze den einspielen? Das Audio.
Tim Pritlove 0:11:30
Äh den kann ich äh auch mal einspielen.Ja. Solche Tage gibt's.
Linus Neumann 0:12:01
Solche Tage geht's ja.Komm da muss man mal aus seinen äh Gewohnheiten ausbrechen. Ist ja auch nicht allen gelungen. Ähm kommen wir zum,zu der, ich glaube, der die erste und wahrscheinlich auf wichtigste Frage, die so gestern,aufkam, als die Leute anfing, diese Äpfel installieren, da meldeten sich dann einige Android-Nutzerinnen und sagten äh diese App.Verlangt, die Aktivierung der Locationdienste. Fuck, ich habe gedacht, dass sie genau das nicht.Tutauf meine Location zugreifen. Und interessanterweise, also ich hatte dann ähm, ich hatte auch gerade so ein Android, mein Android-Testgerät hier in der Hand und hatte da immer die Institut, diese Warnung auch bekommen, habt ihr dann gelesen, sie ist,das muss ich auch zugeben. Also.Sie ist natürlich total missverständlich und hinderlich, wenn man sie genau liest, ist sie aber koinhaltlich korrekt, aber natürlich ist sie für die, für die Experience der Nutzerin ein Problem. Jetzt muss man erklären, wie kommt es zu dieser.Zu dieser Meldung.
Tim Pritlove 0:13:12
Erstmal sagen, was diese Meldung sagt, also man startet halt diese äh App und dann möchte sie gerne ein Feature.Freigeschaltet bekommen vom Betriebssystem, man kennt ja dieseMeldungen, die dann hochgebracht werden und ich äh besitze das jetzt hier mal frei, also ist ja hier auf Englisch, also äh möchte gerne halt die weißlocation haben, als als Featureund äh das sei halt jetzt äh erforderlich, um Bluetooth Geräte in der Nähe zu erkennen,und äh die Kuh wird neunzehn Benachrichtigungen äh benutzt es aber nicht.Ja, so andere Apps mit diesem Zugriff äh werden dann zu meiner, zu meinem, zu meiner Device-Location Zugriff haben. Also, man hätte es wirklich nicht bekloppt, da formulieren können.
Linus Neumann 0:14:04
Genau, also der ist ganz fürchterlich formuliert, aber es ist korrekt, ja? Und wenn man versteht, was sich dahinter verbirgt, dann ist auch klar, warum das da genauso steht. Also ähm.Dass das Betriebssystem selber hat einen Service,und dieser Service, den sie den es Apps bereitstellen kann, heißt.Lokationsdienste. Und über diese Lokationsdienste gibt es mehrere Quellen über die sich das.Telefon bedienen und lokalisieren kann. Drei Beispielhafte sind AGPS B, WLAN äh Signale, also es gibt quasi Android pflegt eineäh oder Google pflegt eine Karte der WLAN-Empfangsstärken an verschiedenen Orten und Mapp darauf auf eine Lokation. Und ähm der Dritte ist eben die BluetoothBeatens, die ja hier auch bei der Kurve äh neunzehn Corana Corona Warn-App.Anwendung finden, deren ursprüngliche Anwendungszweck ja, die Indoor-Navigation ist in der Navigation deshalb, weil wenn du jetzt inhatte ja immer das Beispiel eines Museums genannt, in diesem Museum, das hatten vielleicht ein großes Dach oben drüber, deswegen hast da kein GPS und wenn man jetzt ähm.Eine App eine Begleitapp für das Museum haben möchte, machen wir einfach an jedes Exponat zum Bluetooth bieten und die,Museumsapp zeigt ihr einfach immer die Information zu dem Exponat an, dessen biegen sie am stärksten empfängt, ne? Das ist also diese Bluetooth-Bieten, die da verwendet werden, sind eigentlich für Indoor Navigation gedacht gewesen,Nun ist es also so, dass,diese App ja auf diese Bluetooth bietens zugreifen muss. Da sind wir jetzt aber auf der Appebene,Der Schalter lokationsdienste ist auf der ähm,auf der Betriebssystemebene. Also ihr könnt quasi in Android für das gesamte Telefon.An und alle nachgeordneten Apps und alles, was das Telefon tut, die Möglichkeit des Zugriffs auf Lokationsdienste ausschalten. Die Folge ist dann, dass dieses Gerät diese Dienste überhaupt nicht verwendet, die sind aus,So, demnach gelagert gibt es die zweite Ebene ähm.Welcher App erlaube ich denn den Zugriff? Also, du kannst zum Beispiel sagen, ich mache Lokations, mein Telefon soll grundsätzlich Lokationsdienste nutzen.Aber WhatsApp darf nicht darauf zugreifen, Instagram darf nicht darauf zugreiben, aber was weiß ich, Telegramm darf darauf zugreifen.Ja, das ist die zweite Ebene, wo also bei einer App gesagt wird, du darfst, du darfst nicht, du darfst du das nicht.
Tim Pritlove 0:16:50
Was ich so nochmal so eine feiere, also eine positive Negativliste.
Linus Neumann 0:16:54
Genau, da wird also gerade App Application, ne, diese App darf auf diese zugreifen, diese nicht. Undbei denjenigen, die das auf dem ganzen Telefon ausgeschaltet haben, dieses also zum Beispiel auch die können dann nicht, wenn sie Google Maps aufmachen, sehen sie auch nicht, wo sie sind. Ne? Das Telefon kann das einfach überhaupt nichtUnd wenn man das, wenn man diesen Schalter hatte, dann sagt diese App, du musst das jetzt machen, damit.Überhaupt dein Gerät diese Bluetooth-Biekens nutzen kann. So und dann sagt es konsequent, wir werden aber nicht auf GPS oder irgendwelche Lokationen zugreifen.Können und dürfen sie auch nicht, haben Apple und Google schon im ich glaube im Mai oder April im Mai glaube ich bekannt gegeben.Ja, also die, das ginge nicht, wenn diese App auf die Location zugreifen würde, dann würde würde Apple und Google sie jeweils nicht freischalten, die Cam nicht auf euer Handy. Und jetzt kommt hier diese letzte, letzte Hinweis, andere Apps,mit der Erlaubnis auf die Location zuzugreifen,werden dann auch den Zugriff haben. Wenn du nun diese Locationdienste einschaltest. Wenn du diesen anderen Apps das aber auch nicht gegeben hast, dann hast du halt auch überhaupt gar kein Problem. Jetzt kommt die Konsequenz.Und das ist das, was äh richtig geraten wurde, von vielen auf Twitter. Na ja, dann macht doch die Location-Dienste an und schalte aber wie der GPS aus. Das geht nämlich. Denn Locationdienste selber ist wieder eine Abstraktion für diese unterschiedlichen Dienste.Erstaunliche, also ich meine, ich hoffe, ich hab's jetzt gut erklärt und ich habe auch etwas länger gebraucht oder wir. Und er ist, es ist.Erstaunlich, dass auch in seriösen Mediendieser Zusammenhang falsch und oder sage ich mal, sehr stark missverständlich dargestellt wurde, ist aber auch bei dieser Art Fehlermeldung und dieser Eile, mit der sich die Journalisten und Journalistinnen damit auseinandersetzen mussten, vielleicht auch kein Wunder.
Tim Pritlove 0:18:49
Also, ganz ehrlich, ich habe mir das dreimal durchgelesen und ich habe immer noch nicht geschnallt, was die, was sie mir sagen wollen.
Linus Neumann 0:18:56
Aber jetzt hast du es geschnallt.
Tim Pritlove 0:18:58
Das ihr jetzt habe ich's, glaube ich, ansatzweise begriffen, aber so ein Hinweis wie, ja.Bitte erlaube mir Zugriff auf die auf diese Lokationsdienste, aber deine App braucht die gar nicht.Aber die anderen Apps, die haben sie dann alle.
Linus Neumann 0:19:14
Aber nur wenn du die ihn gegeben hast.
Tim Pritlove 0:19:15
Das ist.
Linus Neumann 0:19:19
Ist korrekt.
Tim Pritlove 0:19:20
Nein, nein,nee, sorry, da gibt's überhaupt gar keine Entschuldigung für. Das ist einfach die Definition von schlechten User-Interface-Design. Also das, das ist einfach, da muss man das, das ist das, was ich auch an Android soHasse. So. Ja, ich meine auf Eiweiß, da kommt die App hoch und sagt, ja, hier möchtest du Kontaktprotokoll für Kurve haben? Ja.Anschalten, willst du Nachrichten kriegen? Ja, anschalten, fertig.Und so einfach jetzt sein können und verstehe auch überhaupt nicht, warum sie da nicht einfach nochmal einen zweiten Kanal daneben gemacht haben, der mit diesen ganzen anderen Quatschen nichts zu tun hat. Na, egal. Äh Google, was weiß ich.
Linus Neumann 0:19:57
Also kurz gesagt, äh umso mal ganz einfach zu sagen, wenn ihr Lokationsdienste ausgeschaltet habtdann kann das Gerät nicht auf diese Bluetooth Schnittstelle zugreifen und deswegen muss das aktiviert werden, sonst funktioniert die App nicht. Sie greift aber nicht auf eure Lokation zu. Das ist, glaube ich, der Teil, den man sich merken muss und diese Warnung bekommen auch nur die Menschen, die Lokationsdienste vollständig deaktiviert hatten, was jetzt wieder darum führt.Dazu führte, dass andere, die das die Locationdize nicht aktiviert hatten, Angst hatten, weil sie diese Warnung nicht bekommen haben, also es ist äh, es ist unterhaltsam.Dann ähm eine Sorge, die das auch sehr geil ist, äh genau gehen wir mal wirklich die Sorgen durch die die zweitgrößte Sorge, die Menschen eigentlich hatten, war.Dass ihr Akku schneller leer geht,Das war wirklich, das war in allen irgendwie Social Dingern fragen so. Ja, aber mein Akku so. Ähm ja, das Ding hat, ich meine, alles, was euer Handy macht, hat Einfluss auf die Akku-Laufzeit, ähm, den tatsächlichen Effekt werden wir sehen,ich weiß, dass in den EP, also in den Diskussionen, mit Apple und Google, sich durchaus darüber Gedanken gemacht wurde.Und das ist auch einer der Punkte, warum diese App relativ, also eigentlich die ganze Zeit bietend sendet, aber nur alle fünf Minuten empfängt, weil äh interessanterweise also vielleicht für,für Menschen, die sich nicht so sehr mit Radiotechnik auseinandersetzen, äh überraschend ist es so, dass empfangen zumindest im digitalen Bereich mehr Energie braucht als Senden,den Sendenteil kann man einfach in Hardware,schmal vor sich hinsenden lassen, aber das Empfang erfordert ja immer auch eine Verarbeitung des Signales, potenziell das Schreiben in die ähm in die Datenbank, sodass hier ähm eben die Haup.CPU des Gerätes tatsächlich tätig sein muss, während man dieses Aussenden von Bietens eben in in Hardware mit wenig Energie einfach so vor sich hinlaufen lassen kann.Also, ja, alles, was euer Handy macht hatten, Einfluss auf den Energieverbrauch, aber ich halte es für relativ unwahrscheinlich, dass jetzt ähm.Lass jetzt auf einmal euer Akku nur noch einen halben Tag dauernd oder so, ne? Und jede Sekundejede Sekunde Display anzuhaben an dem Telefon und irgendwie mal eben Twitter zu checken, hat im Zweifelsfall einen stärkeren Effekt auf den Akku, als jetzt irgendwie eine Stunde oder zwei von dieser Bluetooth-Bietenverarbeitung.Vorsichtige schätzen.
Tim Pritlove 0:22:33
Ja, weil das jetzt auch gerade auf Twitter äh so rumgeht und ich bin auch durch einen etwas äh schlecht formulierten Twitter, habe ich ein bisschen mitschuldig gewesen. Ähm man kann,bei den iPhones äh in den Settings, der Batterie kann man sich so anzeigen lassen, welche Apps denn jetzt hier eigentlich am meisten Strom verbraucht haben.
Linus Neumann 0:22:53
Aha, stimmt.
Tim Pritlove 0:22:54
Und da gibt es dann, da gibt es dann tatsächlich für dieses Kontaktprotokoll einen eigenen Eintrag.Und wenn man das dann halt hoch aufruft, so, dann hat man dann sowas wie, ja, hier Kurve, Kontaktprotokoll.Hat vier Prozent von deinem Akku weggehabst hat. So und ähm ich hatte mich da kurz,zu einer Mc Weltredoren kurz drüber ausgetauscht und kam alle an so, ja, bei mir sind's sieben Prozent, bei mir sind's zehn Prozent und so weiter. Ähm merkte ich schon so, oh weia! Jetzt.Ist die Wahrnehmung irgendwie, ja, dass das jetzt zehn Prozent meines Akkus weghamstert, ja.
Linus Neumann 0:23:35
Aber das, das Miss doch nur, wenn die App im Vordergrund ist, oder?
Tim Pritlove 0:23:38
Ähm ich kann dir nicht genau sagen, was es mist, aber es sind Prozente. Das heißt, das bedeutet, umso weniger du dein Telefon benutzt hast,umso höher wird dieser Prozent.
Linus Neumann 0:23:49
Oh ja ja.
Tim Pritlove 0:23:50
Wenn du aber die ganze Zeit mit deinem Telefon rumduddelst, ja? Dann wird natürlich dieser Prozentanteil entsprechend sinken. Ja, da ist die ganze Zeit, wasaktiv, das verbraucht auch irgendwie Strom, weil es halt alle fünf Minuten mindestens mal ein Telefon aufweckt, aber wenn du Dinge die ganze Zeit sowieso am Feuern hast und durch dein Facebook Timeline durch äh brauchst soDas ist das, was wirklich Strom verbraucht. So. Also diese Prozentangabe ist an der Stelle im Prinzip eine Null Ansage.
Linus Neumann 0:24:18
Vor allem jetzt kommt auch noch auch das wieder, ne.In dieser Anzeige, ich habe hier mal meinen Test iPhone äh liegen. Ähm in dieser Anzeige ist ja, steht für die Chorona Warnapp null Prozent Akkuverwendung, weil die App ist ja nicht auf und fürvier Prozent, ja. Das ist äh äh zum Vergleich,Ähm ich das ist natürlich jetzt auch sehr außergekräftig, sagen wir mal so die die Anwendungen,für Twitter, für Webbrowsen und für Podcast hören, äh summieren sich bei mir zu sechzig Prozent Akku.
Tim Pritlove 0:25:00
Ja. Also, meine Leute ist auch nicht kleinreden, ja, es wird Batterieverbrauch geben.Und der wird auf älteren Geräten unter Umständen auch noch etwas mehr durchschlagen, als bei neueren Geräten? Weil die einfach.Besser optimiert sind und mehr Akku sowieso haben. Das äh gibt es einfach so mit sich. Und äh es gibt ja auch ein klare Lied äh von Leuten mit ganz alten Telefonen, dass das die jetzt nicht mehr unterstützt werden.Wobei man äh da sagen, also es gibt offensichtlich dann doch noch eine ganze Menge Leute, die mit so iPhone, sechs und iPhone fünf S äh rumlaufen.
Linus Neumann 0:25:37
Das würde dir nicht passieren.
Tim Pritlove 0:25:39
Na ja, ich hatte sowas bis vor kurzem hier auch noch rumliegen, aber ich äh werde mich da jetzt wenig drüber beklagen, dass äh dass die nicht unterstützt werden, weil da gibt'smehrere gute Gründe äh dafür, der der Hauptgrund ist natürlich, dass die ganz alten iPhones halt einfach über diese Bluetooth Energy Technologie nicht verfügen,so und ähm besondere Verwirrung gab's halt bei iPhone.Sechs, was sozusagen der Sex S ist unterstützt. Es ist konkret diese Sechserserie,die halt äh rausgefallen ist, die ja auch nicht das neueste Betriebssystem Update mehr bekommt, ne und.Da wird dann angemerkt, na ja, aber da ist ja Bluetoothlow Energy nachgerüstet worden. Das stimmt auch, aber das bezieht sich nur auf einen Teil dieser Technologie und diese Highspeed-Variante davon, die ist dann nicht drin. Also, da ist da fehlt auch diese Hardwareunterstützung,ja klar, also wer jetzt so ein Telefon noch benutzt und kein Geld und keine Lust hat, sich ein neues zu kaufen.Sorry ja, da ist dann einfach die Technologie, für die man sich jetzt entschieden hat, so noch nicht da und deswegen wird sie da auch nicht unterstützt werden. Und so ist es halt leider.
Linus Neumann 0:26:47
Das ist jetzt bei, das ist bei Apple noch ein ähm einfach zu kennzeichnendes Problem, ja, zu sagen, okay, die Linie verläuft zwischen Modellgeneration sechs und sechs S. Ähm.Viel Spaß in in der Android-Feld. Ja, äh wo du ja jetzt dann ähm ganz, ganze Reihe unterschiedlicher Hersteller hast, die unterschiedliche Betriebssystemähm Versionen unterstützen, unterschiedliche Hardware drin haben und dann noch,potentiell, ne, die Play-Services haben oder nicht, je nachdem, was für ein Android oder hast. Da kommen wir gleich in einer anderen Frage auch nochmal drauf zurück.Ich würde jetzt nochmal ganz kurz bei den Nutzerinnen sorgen sein, dass andere Dinge nach dem Akku, was ist das nächste, worüber die Leute sich Sorgen machen? Daten.Was mit meinen Daten. Also, Datenverbrauch. Und ähm also Datenspeicher, ne, die teure SD-Karte, die wir ins Android gesteckt haben und äh wenn das da jetzt regelmäßig Daten runterlädt, wie viele sind das denn.Und da kam eine Ankündigung, da muss ich sagen, die hatten mich überrascht, das da habe ich nicht mit gerechnet oder das wusste ich einfach nicht, dass das so sein würde, dass nämlich Tim Hötkes äh Vorstandsvorsitzender Deutsche Telekom sagtder Traffic zu diesen Servern wird bei allen deutschen Mobilfunkanbietern. Wusstest du das.
Tim Pritlove 0:28:12
Äh ich wusste, dass es Gespräche gab.Aber ich wusste nicht, dass es schon äh zu dieser Entscheidung gekommen ist. Und insofern war ich auch etwas äh überrascht. In gewisser Hinsicht angenehm überrascht, weil an der Stelle macht mal Seroritin mal,mal Sinn, weil ja hier kein äh einzelner Anbieter bevorteilt wird, sondern die Gesellschaft hier ihren Schärkrecht.
Linus Neumann 0:28:36
Ja ähm wir habenüber dieses ganze Zero Rating hier so oft und so viel gesprochen. Es ist eine Verletzung der Netzneutralität. Das ist ein komplettes riesiges Fass. Wir beide würden uns lieber wünschen, dass es einfach viel mehrbeziehungsweise viel mehr Datenvolumen beziehungsweise keine Grenzen mehr dafür gibt, dass sich solche Fragen nicht stellen. Es ist natürlich auch in der heutigen Zeit eben dann doch auch ein ein Zeichen für, für die, für den,Entwicklungsstand dieses Landes, dass wir uns bei sowas immer noch Sorgen machen müssen, ob wir unser Datenvolumen reicht, aber das ist, denke ich mal, hier die kurze und wichtige Antwort, es gibt dieses Zero Rating.
Tim Pritlove 0:29:16
Und das ist auch total sinnvoll, weil es halt einfach, wenn man mal die Zahlen hochrechnet, da kann schon einiges zusammenkommen,insbesondere wenn der nächste Schritt gemacht wird in der Entwicklung, der ja derzeit noch nicht genommen wurde, dass einfach die europäischen Länder zusammengelegt werden und äh.EUim ersten Schritt wahrscheinlich, vielleicht ja auch noch darüber hinaus. Also, dass diese Gatevase in andere Länder, die dieselbe äh Abtechnologie verwenden, dass die geöffnet werden unddann kann's halt schnell mal viel werden. So und dann.Kann's sein, dass man dann allein nur im Download bedarf, hm so im Jahr äh Entschuldigung, im Monat äh so eine anderthalb Gigabyte zusammenkommt.Und es gibt halt so all die Verträge und so weiter, die haben halt auch dann nicht mehr im Monat. Klar, wenn das über das WLAN geht, alles kein Problem und das wird vielleicht auch oft so sein, aber.Soll ja sofort funktionieren, wenn Informationen da sind, will man nicht erst auf WLAN warten. Insofern guter Move.
Linus Neumann 0:30:21
Äh das war auch eine der häufigen Fragen, die gestellt wurden. Ja, was ist denn mit der internationalen Nutzung,Ähm dazu.Ist die die Antwort, das ist zum jetzigen Zeitpunkt noch nicht möglich. Es liegt aber in meinen Augen,weniger an den technischen Gegebenheiten, als am Meldewesen. Meldewesen damit meine ichEs muss ja immer sichergestellt werden, dass eine Person, die sich dort als äh infiziert meldet und damit eine Warnung rausgeben möchte, dadurch, dass sie ihre Codes hochlädt, auch wirklich infiziert ist,Dieser Verifikationsprozess ähm ist das, worin sich die Länder ja potentiell unterscheiden. Und ich hatte.Ähm ja hier auch schon ähm vorher mal.Dieses, dieses, also, wir hatten hier angesprochen, dass Google und Apple der Spraywork gebaut haben, dass es überall gleich, also,die Apps, die darauf jetzt setzen, was nach meiner Kenntnis, die Schweiz, Lettland, ähm Österreich, Italien.Auf jeden Fall bis Ende dieses Monats sein werden. Bei anderen Ländern bin ich gerade nicht so im Bilde. Ich gehe aber davon aus, dass das jetzt sich sehr stark verbreiten wird. Aber ich hatte ja gesagtApple und Googles schaffen hier diese technischen, diesen technischen Standard, überlassen aber das Heavy Lifting,nämlich diesen ganzen Mist zu verwalten und zu kontrollieren, den Ländern oder den dortigen App-Herstellern. Und da wird sich jetzt zeigen.A, wie löst man technisch, dass ein Deutscher sagt, ich möchte auch in Italien und zweitens, wie sorgt man dafür, dass sie italienischen Behörden,diese Meldung des deutschen akzeptieren, das ist einfach bis jetzt noch nicht geregelt, gibt's verschiedene Ansätze, für werden auch in dem UKW,von Tim mit den Entwicklern genau im Detail mit Nachteil besprochen. Ich denke merken, muss man sich ähm im Moment gibt es diese, dieses internationale Meldewesen nicht, daran wird jetzt gearbeitet und das wird sicherlich nachgereicht undtechnische Grundlage in diesem Exporcher Notification Framework ist auf jeden Fall da.
Tim Pritlove 0:32:41
Genau, also was auf jeden Fall da ist, ist die Kompatibilitätalso die Art und Weise wie halt die ähm diese Funkfeuer äh gestaltet sind, die ausgestrahlt werden von den Telefon. Die sind halt inallen Teilnehmern des dezentralen Modells, sage ich mal, kompatibel. Das heißt, im Prinzip kann man die alle mischen und austauschen. Was noch fehlt und da erwarte ichdemnächst ein Up,dieser dieses Fremdworks und dieser ganzen AP, von Google und Apple, da wird sicherlich nochmal eine neue Version ausgerollt werden, wo dann eben die Telefone zumindest, also die Apps, dann diese Informationen bekommen,wenn ich jetzt so Kies hochlade, an welchem Tag war ich wo? Also, nichtwo war ich genau im Sinne von GPS und Standort, sondern in welchem Land.
Linus Neumann 0:33:31
Genau. Ja Tim, aber das ist jetzt auch nur ein Vorschlag von mehreren. Deswegen habe ich ja gerade auf deine Sendung verwiesen,ich würde das an dieser Stelle kurz halten, weildie das ist eine, das ist noch nicht technisch implementiert, die Abwägung habt ihr in eurem Podcast besprochen, ich würde an dieser Stelle aber noch eine Sache gerne korrigieren, weil nämlich die Leute davon ausgehenäh wenn ich jetzt aber irgendwie nach Italien fahre, muss ich dann die italienische installieren, die kriege ich ja gar nicht da drauf. Ich denke, das,sollte und dürfte eigentlich nicht der Fall sein, ja? Weil ähmdein Handy wird nichts anders machen, wenn du jetzt die italienische App drauf hast und wenn überhaupt müsstest du die italienische Potenziell nur zu melden dann noch installieren und eigentlich sollte der,die Lösung, dieses Problem ist, ähm, beinhalten, dass du immer nur eine App raus und in der Lage bist, in anderen äh Ländern zu einer, zu einer Auslösung zu führen. Es gibt ja noch das.Andere Problem, was ja auch noch gelöst werden muss, trifft eine deutsche in der Schweiz.Wen muss sie jetzt Neuti fallen? Ja, also wie gesagt, das wird noch spezifiziert werden, Details dazu gibt's bei KW. Sollen wir, sollen wir es dabei belassen.
Tim Pritlove 0:34:46
Ja, vielleicht noch eine Anmerkung. Also, gibt da zwei Ebenen, ne? Das eine ist so, welche App benutze ich unnotifiziert zu werden? Da kann man halt im Ausland auch die eigene Benutzen, dass es Sinn der Sache, dass man dabei bleibt. Was aber wirklich noch ein ungelöstes Problem ist, ist was ist, wenn ich jetzt,zwei Wochen in Italien bin und ich kriege dort.Die Mitteilung hier, mach mal Quarantäne, mach mal Test, da fahre ich ja dann nicht nach Deutschland zurück, um den Test zu machen, weil.Das heißt, dann muss man wirklich vor Ort den Test machen und dann ist das so mit dieser Kompaktibilität so eine Sache. Es ist aber so, dass man sehr wohl umschalten kann. Also man könnte tatsächlich sagen, oh jetzt lade ich mir mal hier Immuni, die italienische App runter,aktiviere die? Da gehen die Daten nicht verloren und dann kann ich halt auch einen in Italien gemachten Test,in mit dem weiß nicht ganz genau wie das da abläuft. Also mit deren Prozess äh dann auch äh melden. Das wäre möglich. Ist alles nicht so schön.
Linus Neumann 0:35:45
Würde sich also Lohn, aber das müsstest du erst machen, bei melden, weil dein Handy würde ja trotzdem.
Tim Pritlove 0:35:50
Genau, also benachrichtigt benachrichtigt wird man äh auch im Ausland, wenn diese ganze internationale Vernetzung dann,hergestellt ist, damit rechne ich so in den nächsten vier bis sechs Wochen vielleicht und äh diese Meldegeschichte ist dann der nächste Schritt, den man äh noch lösen muss. Viele Leute haben auch Probleme, die Apprunterzuladen, die nicht im deutschen App Store sind, zum Beispiel, das ist auch noch so ein Problem, was aufgekommen istäh meiner Erkenntnis nach soll sich das noch ändern, dass sie dann doch ein bisschen freier verfügbar ist, weil wir haben halt das weiß ich auch so türkische Mitbürger, die dann eben.Türkische App Store benutzen, also so quasi für das Telefon irgendwie mehr oder weniger in der Türkei leben, obwohl sie hier sind.Ähnliche äh Geschichten, mit Leuten, die auch hier für ein paar Monate äh wegen Fernstudium oder so weiter äh sind, aber nicht so ohne Weiteres dann mal so ein so ein Wechsel vornehmen könnendie derzeit an dieser App schlicht nicht rankommen, was natürlich Quatsch ist, deswegen liegt davon aus, dass diese Beschränkung aufgehoben werden wird.
Linus Neumann 0:36:47
Genau. Also, eine Reihe an Problemen, die an deren Lösung gerade gearbeitet wird.Was nicht um den Problem sind, an deren Lösung gerade gearbeitet wird, äh sind die dann doch medial an einigen ähm in einigen Medien.Aufgegriffenen Angriffe, die es auf dieses Protokoll.Gäbe und ich würde vorsichtig beurteilen, was da stattgefunden hat, ist etwas vergleichbar.Mit dem, was in der Diskussion,des Wissenschaftswissenschaftlichen Forschungspapers des Teams um Christian Drosten passiert ist,dass hier eine Akademische Auseinandersetzung geführt wird und eine akademische Forschung betrieben wird und.Äh mediale, die mediale Aufbereitung dieser.Auseinandersetzung nicht ganz so informiert erfolgt, wie die akademische Auseinandersetzung, um das mal vorsichtig und diplomatisch zu sagen.Es war eine Forschergruppe der Uni Darmstadt, wenn ich mich nicht täusche.Die verschiedene Angriffsszenarien, die wir schon im März diskutiert hatten.Die quasi bekannt waren unter Realweltbedingungen.Nachgestellt, hat und damit quasi belegt hat, ja, diese Angriffsszenarien bestehen.Und das betrifft spezifisch das sogenannte.Äh Warmholing, also Wurmlochen, ja und das die Idee wäre hier.Tim und ich das heißt für diese Zeit, die wir jetzt nicht miteinander verbringen,erhalten wir auch keine Notifications. Wenn es nun ein Gerät gäbe, was bei Tim ist und seine Bietensempfängt, dann.Im Zweifelsfall über das Internet an ein zweites Gerät sendet, was diese bietens dann auch wieder aussendet.Dann würde mein Testgerät mein Android-Testgerät, was hier liegt, ähm.Diese Bietensempfang und sammeln. Und dann würde sich vielleicht Potenziell der Tim irgendwann als Infektionsmelden oder als infiziert melden und mein Gerät hier würde ein ausgeben. Und jetzt,ist natürlich anzumerken. Ich bin dem Tim nicht begegnet, dieser wäre also zu einhundert Prozent falsch.Jadas ist eine vollkommen bekannte Schwäche des Systemes, die hier demonstriert wird mit eigens hergestellter Hardware, einem eigens gebauten System für diese Art Störung, ja? Jetzt.Ist aber euch sicherlich aufgefallen, damit ich da überhaupt irgendetwas von Merkel und irgendein Problem habe.Muss der Tim sich immer noch krank melden, ich merke also überhaupt nichts von diesem Angriff oder von diesem Problem, solange sich nicht diese Person, deren Bietens mir da gesendet werdenauch noch krank meldet. Ähm jetzt könnte man also sagen, okay, wir bauen so ein Gerät, wir nehmen ein Handy, ja? Und dann und dann senden wir diese Codes ganz viel.Überall hin geben ganz viel Geld aus, damit wir ein ein vielen Orten dieser Erde, diese Biegen senden können und dann melden wir uns krank und dann kriegen die Leute alle einen Alarm.Das äh ist möglich. Jetzt stellt sich natürlich die Frage wie stehen hier.Der von den Angreifern zu betreiben, der Aufwand im Verhältnis zu ihrem Ertrag. Das wäre.Jetzt relativ schwach, ja? Was ich mir eher vorstellen könnte, wäre, ich will jetzt hier niemand auf falsche Ideen bringen, aber zum Beispiel eine Schulklasse.Die in der Pause einfach mal ein Handy in die Mitte legt, die anderen im Kreis drum herum, das Ganze mal äh für die große Pause, eine halbe Stunde so liegen lässt und dann das Handy in der Mitte,gezielt krank meldet, damit alle anderen ein paar Tage frei bekommen, ja? Das wären eher so Szenarien, die ich erwarten würde. Das,Zweite, was die ähm beschrieben haben.Ist äh DANO Nimisierung ähm und Tracking,Und da bin ich ja schon, also da bin ich ja dann hellhörig geworden, ja? Und habe sie, wir können Bewegungsprofile anlegen. Aha, wie macht ihr das denn, ne? Tja, ganz einfach,sie schaffen sich,ein Sensornetzwerk aus Bluetoothempfängern, verteilen das an ganz vielen Orten und kombinieren dieses Sensornetzwerk mit einer anderen Identitätsfeststellenden Technologie, beispielsweise Gesichtserkennung,oder ähm.Äh oder was weiß ich, Kreditkartenzeit oder so. Irgendetwas, wo du eine eindeutige Identifizierung einer Person hast und dann gleichzeitig guckst, was sie, was sie zu dem Zeitpunkt von Bieten gesendet hat, ja?Und dann läuft die Person jetzt, also quasi durch dein Sensornetzwerk und alle äh alle regelmäßigen identifire Wechsel verlierst du eigentlich auch wieder, das Trackingja? Weil die Sende jetzt auf einmal neue Codes aus. Wenn sie sich aber nun,dann eine von den wenigen Personen ist die sich nachher als infiziert melden, dann hast du, dann hat sich der ganze Aufwand gelohnt, weil jetzt hast dukannst du sehen, wie diese Person, weil sie ihren Kieferöffentlich hat, wie sie sich durch deinen Weltumspannen des Bluetoothsensorennetzwerk bewegt hat, wer sie ist und.Ähm,äh was ihr äh Status ist, nämlich der, dass sie äh sich Infektions gemeldet hat. Also für, sage ich mal, ein Mittelstelligen, Milliardenbetrag äh könntest du also mit einemdeutschlandweiten Gesichtserkennungssystem und einer entsprechenden Anzahl von äh Bluetooth Sensoren hier eine vollständige Anonymisierungder äh Kurve erkrankten vornehmen und ich denke, dieser Business Case, der wird ja nicht lange auf sich warten lassen.
Tim Pritlove 0:43:13
Und das Ganze noch mit bis zu vierzehn Tagen Verzögerung. Also.
Linus Neumann 0:43:17
Ja und also ich denke, man muss dazu sagen, ja, dass ähm muss da jetzt wirklich sehr vorsichtig zu sagen. Also, wenn ich.Derartige Erfassungsmöglichkeiten hätte, ja? Mit 'nem mit 'nem Gesichtserkennungssystem und riesigen Bluetooth Sensoren, Netzwerk, dann.Dann würde ich damit vielleicht was anderes machen, ne? Also da hätte ich, hätte ich jetzt wildere Fantasien, was ich damit anrichten kann, als ähm als das, was hier beschrieben ist.
Tim Pritlove 0:43:50
Ja, da wäre dann auch diese diese Warnapp auch nicht unbedingt das erste Ziel. Also da da könnte man auf ganz andere äh äh Dinge äh gehen und das.Das ist halt das Absurde an dieser ganzen Debatte, aber dann wie du ja schon ein ganz richtig gesagt hast, ne? Man muss einfach unterscheiden zwischen so einem Security Paper, was einfach mal sagt, okay, wir haben das jetzt auch mal ganz praktisch mal gemacht und wir zeigen auchwelchen Aufwand das braucht, ja und dann geht dasUnd dann ist das eine interessante äh wissenschaftliche äh logische Feststellung so, ja, so haben wir es gemacht und das sind die Ergebnisse und hier steht es jetzt alles in diesem Payper. So, aber daraus resultiert halt nicht automatischeine Bedrohung mit konkrete in einem real Weltszenario, sondern das ist natürlich etwas, was man da auch noch herauslesen muss. Und das ist jetzt in dieser Berichterstattung teilweise und in Kommentaren, zu dem, zu der Veröffentlichung der App einfach,teilweise überhaupt nicht gemacht wurden, da wurden dann einfach mehrere Paper zusammengeworfen und haben gesagt, so ja hier und da und hier noch eine Behauptung und und da noch einen Behauptung und das, also, wenn da so viel zusammenkommt, dann muss das ja unsicher sein,So und das ist dann einfach nicht seriös.
Linus Neumann 0:45:06
Ja, also, dass er das, ne, das das meine ich mit dem Unterschied zwischen einer Fachgelehrten Debatte. Großes Team da in Darmstadt, ne? Und das ist auch wichtig, also das ist wichtige Forschung, aber eben für die Forschung und nicht für irgendwelche unqualifizierten Artikel in den unqualifiziertenähm ja Veröffentlichung. Ähm trotzdem will ich da nochmal ganz kurz zu sagen, ne? Also.Bei Schwachstellen geht es immer auch um den Aufwand und den Ertrag und da sehe ich hier jetzt noch nicht so das Verhältnis. Ähm,und da muss man, glaube ich, auch sehr klar sagen, dank der dezentralität und der Datensparsamkeit ist eben das Risiko für die Nutzerinnen und Nutzer an dieser Stelle minimiert, selbst wenn jetzt noch Schwachstellen gefunden werden.Und das Gleiche Problem im zentralen Ansatz ist direkt ein viel größeres.Also es hätte direkt viel größeres Ausmaß gehabt und dafür haben wir uns jetzt CC eingesetzt, um die App nicht zu dem,Überwachungsalbtraum werden zu lassen, der da ursprünglich mal geplant war mit irgendwelchen Überwachung, ne? Und jetzt muss man ja immer noch sagen, das ist denke ich auch mal äh zu.In das Verhältnis zu setzen. Die negative, die negativste Konsequenz, die wir im Prinzip von dieser App zu erwarten hast, ist ein falscher Alarm und der ist relativ.Auch dann noch eine relativ geringe Beeinträchtigung, die du erfährst. Ähm trotzdem gehe ich davon aus, deswegen haben wir das ja hier jetzt auch nochmal besprochen.Es wird jetzt also Effektheischerische TV-Beiträge werden nicht lange auf sich warten lassen. Ich bin mir sehr sicher, dass irgendein,äh irgendeine jungen Hackerin oder irgendeinen jungen Hacker, auf jeden Fall,jetzt noch irgendwie. Guck mal hier und mit nur wenigen hundert Bluetooth oder wenn ich jetzt mehr von diesen acht Bluetooth äh Sensoren hätte, da könnte ich die ganze Welt immer wachen, hui ui, ich habe sofort ein Video auf Instagram gepostet. Ähmda da das wird sicherlich noch kommen. Und da wird, da wird sich schon jemand finden, dem dem solche Ängste zu schüren, nichtzu niedrig ist und da wird die wird diese Person wird auch ein Journalist oder eine Journalistinfinden, ähm die dann nicht in der Lage ist, dass ähm korrekt einzuordnen. Insofern würde ich schon erwarten, dass dass es da irgendwo noch was geben wird.Ja
Tim Pritlove 0:47:30
Kann aber ganz gut sein, dass dann Riso wieder ein Video aufnehmen muss. Lass den Jungen doch mal in Ruhe. Der hat auch noch was anderes zu tun.
Linus Neumann 0:47:42
Die falsche Meldung ist ähm ja, da muss man, glaube ich, auch, da muss man ganz klar sagen, hier.Ist die Technik besser als die deutsche Realität. Im Moment gibt's zur Meldung primär diese Hotline, bei der man anrufen muss.Und das ist das große, das große Manko.
Tim Pritlove 0:48:10
Also mit Meldungen meinst du erstmal die Information erhalten, wie der Test ausgegangen ist, um dann eine Meldung zu machen.
Linus Neumann 0:48:19
Die eine die eine Meldung zu machen. Gut, dass du das sagst, ne? Also ähm ich habe mein Testergebnis bekommen durch die App oder wie auch immer und gehe nun.Komme nun in die Situation, dass ich meine Kontakte warnen möchte. Ähm und.Um das zu tun, damit nicht andauernd irgendeinen Clown auf dem Schulhof auf den Knopf drückt, muss net, muss quasi eine Verifikation stattfinden. Und diese Ferifikation könnte.Technisch funktionieren und diese Wege sind auch von SAP deutscher Telekom spezifiziertähm auf ja, gibt verschiedene Möglichkeiten, das zu tun, die dort gewählte ist eine funktionierende und die hat ja zwei Schutzziele, einerseits natürlich trotzdem die Anonymität sicherzustellen und andererseits eben das Faking zu verhindern und dasist alles ganz in Ordnung. Leider kommen wir dieses Potential nicht ausgereizt, weil man jetzt startet mit einer Telefonhotline.Und das ist äh nicht so gut und liegt an einer mangelnden Anbindung der LaboreJa, weil diedie elegante Lösung wäre nämlich eigentlich gewesen, wenn du im Testzentrum bist und der Q-Tip gerade aus deinem Rachen gekommen ist, gibt's eben Symproben, Begleitschein, darauf scannst du einmal einen QR-Code und dann kriegst du quasi in der App, eine anonyme Benachrichtigung über dein Ergebnis und auch die Möglichkeit dann dieses Ergebnis zu melden unddiese Kette ist zum zum Launch der App noch nicht vollständig. Das ist, denke ich sehr zu bemängeln und erhöhtauch das Risiko des äh Scherze treibens mit dieser App, was was ärgerlich ist.
Tim Pritlove 0:50:12
Was ärgerlich ist. Ich meine, man muss sagen, jetzt ist die Infrastruktur halt hochgefahren worden, wie das mit jeder Infrastruktur ist,Es wird jetzt erstmal eine Weile äh dauern und ich weiß nicht ganz genau, wie viele Labore in Deutschland angebunden werden muss, aber es ist so eine niedrige mittelgroße, dreistellige Zahl,und äh das bedeutet ja, dass jedes Labor muss in seiner IT,äh eine entsprechende Erweiterung erhalten, wo dann eben dieser,ganze Berichtsflow reingeht und dann über entsprechende Protokolle mit der Außenwelt, sprich mit dieser Corona Warn-App-Infrastruktur kommunizieren muss.Das ist, da gibt's natürlich ganz natürlich viele Stolperfallen, ja? Weil Jesus Labor.Die betreiben ja jetzt ihre IT nicht nach irgendeinemLaborstandard, ja? Und das ist überall das Gleiche, sondern es ist halt mal so, mal so, mal so, da Max, ich kriege mich da nicht aus, da mag's ein paar Hersteller äh Softwarehersteller geben, die eben diesen Markt bedienen, aber sicherlich auch nicht nur einen einzigen,und das muss halt jetzt klein klein angepasst werden und wird sicherlich seine Zeit dauern. Man ist wohl noch nicht so weit. Ähm wie lange es dauern wird.Tja, keine Ahnung, weiß nicht, ob du da irgendwelche äh Erkenntnisse hast, aber Tatsache ist, die Hotline ist wahrscheinlich. Jetzt erstmal der,Einzige oder zumindest der primäre Weg, der benutzt wird, äh um das äh zu machen.
Linus Neumann 0:51:42
Ersten Missstand, der gehört abgeschalte.
Tim Pritlove 0:51:44
Ist auf jeden Fall ein Missstand der abgeschaltet bekommt, ne? Allerdings ist es natürlich auch so, jetzt haben wir gerade noch relativ wenige Fälle an sich und wir haben vor allem.Zumindest über die nächsten zehn Tagen auch erstmal.Keine Fälle, die jetzt durch die App hervorgerufen werden, weil das Ding muss sich jetzt erstmal verteilen, muss installiert werden und so weiter und dann wird, wir werden dann überhaupt erst im positiven Falle äh darüber ja äh entsprechende.Kontakte dann auch überhaupt erst motivieren können. Von daher rollt das alles langsam los.
Linus Neumann 0:52:20
Insgesamt ist eine sind einfach auch hauptsächlich ein Risiko für die Akzeptanz der App ähm,es wurde ja bei der Pressekonferenz auch gesagt, ja, dass sie ähm da der kursiert dieser Wert von zwanzig Prozentäh Fehler, ja? Ähm deswegen müsst ihr eben auch, dass auch das übrigens eine Forderung, die wir hier sehr oft diskutiert hatten. Die negativen Effekte eines Alarms so gering wie möglich sein und die positiven sohoch wie möglich und es ist so, dass eben diese App dann auch wie von uns empfohlen, zumindest in der jetzigen Zeit,bei dieser geringen Anzahl Fälle. Im Prinzip das Freiticket zum Test ist. Das,kann sich theoretisch ändern, wenn irgendwie die Laborkapazitäten in Deutschland.Irgendwelchen traurigen Gründen wieder an ihre Grenzen kämen, ja,dann würde da vielleicht nochmal anders agiert werden, aber im Moment, das schlimm, also das, was die App euch Schlimmes tun kann, ist.Dass ihr euch Fall falsch alarmiert und ihr dann ein paar Tage Vorsicht walten lasst und wer würde das nicht tun.Ja, das sieht ja äh also das ist,ich glaube doch für eben interessiert es Menschen. Jetzt ist natürlich das Problem, wenn das jetzt jede Woche passiert, dann sagt man irgendwann auch kommen, scheiß auf die App, ne? Und wenn dann,der richtige Alarm kommt, wo er wo erst dann wo ja wirklich infektiös seid und dann reist da irgendwie noch fünf Leute mit, weil ihr auf diesen Alarm nicht mehr gehört habt, dass es äh danndas wäre dann scheiße, aber das ist, glaube ich, das Feintuning, was jetzt in dieser Phase auch noch passieren wird und passieren muss. Auch darüber habt ihr ja in der Sendung noch sehr ausführlich gesprochen, dass man vielleicht bei geringen Fallzahlen,niedrigen Schwelle und somit vielleicht potenziell mehreren arbeitet und dann um dann die Daten zu sammeln, wo die richtige Entscheidungsschwelle,sein, der die Bessere sein muss.
Tim Pritlove 0:54:19
Um da ganz klar zu sein, was so diese Fehlalarmsachen betrifft. Also wir reden jetzt hier quasi von zwei, zweierlei Fehl,Alarm, so der eine istquasi so ein Angriff mit ihm mir gelingt es in irgendeiner Form, die Hotline auszutricksen und mich ja als positiven zu verkaufen, obwohl ich das eigentlich nicht bin und mein Telefonsende dann Kies raus. Was ja dann aber auchnur die Leute, die ich dann auch wirklich gesehen habe oder die mich gesehen haben, mit dem Telefon äh benachrichtigt. Das ist sozusagen.Etwas, was man verhindern will, aber was jetzt auch nicht so mega,große Auswirkungen haben wird, aber man könnte unter Umständen so eine gewisse Piergruppe damit treuen, wie du das ja vorhin schon dargelegt hast. Die andere Diskussion um Fehlalarme ist. Mir wird gesagt, ich sei jetzt in der Nähe gewesen von jemand, derähm positiv gemeldet ist. Der ist vielleicht auch wirklich wahr, aber ich war gar nicht in dessen Dingedas ist dann wiederum eine Frage der richtigen Einstellung der Parameter, das kann heute noch keiner beurteilen, wie problematisch diese dieser Aspekt sein wird,da ritzeln alle, weil das ist eine neue Technologie, die wird jetzt das erste Mal zum Einsatz gebracht, das wird ein bisschen Beobachtung und Entwicklung brauchen und dann sind wir in paar Monaten sicherlich schlauer.
Linus Neumann 0:55:35
Es kommt ja noch was dazu, ne? Was was auch äh glaube ich gerade nochmal zu betonen, weil du das ansprichst. In der Debatte.Oft davon ausgegangen, dass Kontakt gleich Infektion wäre und das ist ja auch nicht der Fall, ne? Also das du bist ja auch noch bedenken.Und äh so weiter und so fort. Gut. Ähmeine sehr breite Debatte. Eine sehr breite Debatte, die gerade auch äh mit dem Einbringen der grünen, feinen Gesetzesentwurf äh wieder eine Rolle spielt, ist die das App Zwangs, jegliche Form von Zwang, im Bereichdieser App. Und.Dazu habe ich ähm im ARD extra am Montagabend mal äh da ging's dann spezifisch um Gastronomie, ja? Also es wird ja jetzt auch von einigen eben die Sorge.Konkret verbreitet, dass ich zum Beispiel in eine, in ein Kino oder in eine Restaurant oder ähnliches nicht rein käme ohne diese App.So, dazu ist Folgendes zu sagen. Ich bin ja, habe ich hier auch öfter angesprochen, mit einigen Gastronomen befreundet,Die haben gerade genug Spaß damit, dass sie ja nach diesen Richtlinien die Kontaktdaten,ihrer Besucherinnen aufzeichnen müssen. Ne, setzte dich hin an den Tisch, kriegst einen Zettel, musst deine Adresse drauf schreiben,ja oder Kontaktmöglichkeiten. Dann gibt's Leute, die schreiben dat Unhalt, da hin, weil sie dasbesser finden und verzichten halt für sich selber auf die Wirksamkeit dieser Lösung, ne, andere schreiben schon was weiß ich, vielleicht hat man irgendeine anonyme E-Mail-Adresse unter der man dann motifiziert werden möchte oder sonstiges, ja?Diese Debatten, die die Gastronomen gerade über diesen Schnickschnack führenja? Da schlägt sich in größeren Restaurants tatsächlich darin nieder, dass man eine,extra Personen nochmal anstellen muss, weil sonst, dass die sonstigen Dienstleistungen, die dort erbracht werden, ne, Getränke holen und so weiter, nicht erbracht werden können, in ausreichender Geschwindigkeit.Weil jeder jede fünfte Besucherin diskutiert dann darüber und so weiter und so fort, ja? Ich halte das,unter diesen Bedingungen für diesen Gastronomiebereich für äußerst unwahrscheinlich, dass jetzt eineäh eine Betreiberin eines Restaurants. Das passt mal auf, Freunde, weil ich dat so geil finde, mit euch über diese Zettel zu diskutieren, will ich danach noch mit euch darüber diskutieren, dass ihr gezwungen werden sollt, eine App zu installieren. Im Moment sind die ja eigentlich froh über jedeäh Besucherin, die die das Restaurant beehrt. Und insofern halte ich das jetzt nicht für eine unmittelbare Gefahr, dass,dass Gastronominnen irgendwie jetzt spezifisch so eine so etwas versuchen durchzudrücken. Ähm es wäre auch.Unsinnig, weil sie dieser Zettelpflicht nicht entbunden würdenja? Sie würden sich nur ein zweites Problem mit aufbürden. Das soll aber wiederum nicht heißen, dass nicht vielleicht eine gesetzliche Regelung, Vertrauensstiften wäre, denn ich habe auch schonäh Kontakte äh hier Nachrichten bekommen. Ich habe ja ein E-Mail-Postfach. Offenbar ein relativ großes, weil da passt sehr viel rein.Ähm wo sich jetzt Arbeitgeber bei mir melden, die sagen, ich habe mein,angestellten Verboten diese Äpfel zu installieren. Was genauso nicht geht, ja? Und da fragst du dich dann auch. So Leute, könnt ihr einfach mal auf den Teppich bleiben und,der demokratischen Maßgabe folgen, dass es einfach freiwillig ist, diese App zu installieren. Und das bedeutet, du kannst wieder jemanden dazu zwingen, noch jemanden.Ähm jemanden, das verbieten.
Tim Pritlove 0:59:15
Was man allerdings auch, ähm, was hier auch schon gehört habe, ist, dass verschiedene Unternehmen, die so ähm.So enterpreismäßig ihre Telefone der Mitarbeiter ohnehin mit Software bespielen können, darüber nachdenken, diese App einfach zu installieren, ja? Wobei installieren ungleich im Betrieb.
Linus Neumann 0:59:34
Ja. Ah guter Punkt. Ja, die muss immer nochmal aktiviert werden.
Tim Pritlove 0:59:38
Genau, die muss auf jeden Fall nochmal gestartet werden. Da finden gerade, glaube ich, ganz angeregte Debatten, mit den äh Hausdatenschützern statt habe ich jetzt nur gehört, dass die stattfinden, noch nicht wohin die tendieren,hätte ich jetzt auch erstmal ehrlich gesagtrelativ wenig gegen Einzuwenden, ne. Äh ich bin jetzt überrascht, dass dass du das Beispiel gebracht hast mit Unternehmen äh Lehnen wollen, nicht, dass die App installiert wird.
Linus Neumann 1:00:06
Äh Realweltbeispiel. Ich hab's, also ich habe auch nicht gedacht, ich habe auch gedacht, wer mich jetzt irgendwie jemand.
Tim Pritlove 1:00:10
Ja, was weiß ich, wenn du da so ein Aluhut äh als als als Chef hast.
Linus Neumann 1:00:15
Ich habe keine, da ist dieser Chef war, der mich da angeschrieben hat, möchte ich jetzt keine Beurteilung der Person vornehmen.
Tim Pritlove 1:00:22
Ja, der aber ist ja durchaus vorstellbar, ne? Das weiß ja, fünf G und dann wird der Virus vielleicht noch durch die App verbreitet oder so.So hier. Gut, aber das mag eher so ein Randproblem sein.Ähm andererseits gibt es auch Unternehmen, die sagen, wir wollen euch jetzt alle hier wieder im Büro haben, aber wir wissen, dass Büro ein Problem ist, so bitte installiert auch alle diese App.Also, dass das sozusagen Companypolity wird, werden wir sehen. Also, ich bin mir relativ, weil ich weiß, dass.Dass es auch solche Überlegungen gibt bei einzelnen Unternehmen und.Ich finde es in gewisser Hinsicht auch nachvollziehbar, ja, wenn man das jetzt mal aus dieser Perspektive, der ähm des des Arbeitsschutzes sieht.Ich muss ja auch dafür sorgen, dass meine Mitarbeiter geschützt sindJa, die dürfen die bisschen ordentliche Stühle haben. Die müssen ihre Arbeitszeiten einhalten dürfen. Die müssen Pausen haben, et cetera. Äh es muss für Lüftung gesorgt werden, dürfen hier keine giftigen äh Materialien in der Wand verbaut werden, wo in den ganzenumhängt und so möchte ich jetzt auch in dieser Krise, dass ihr,zumindest gewarnt werden könnt, wenn in unserem Unternehmen irgendwo was auftritt, ne, was natürlich auch diesen Aspekt hat mit okay, wie viel Prozent meines Unternehmens muss ich jetzt runterfahren, wenn jetzt ein Mitarbeiter auf einmal positiv gemeldet ist,in dem Moment, wo man diese App hat, kann man zumindest sagen, na ja, okay, die sind jetzt aber auch irgendwie notifiziert wordenWeil ich habe ja dafür gesorgt, dass alle das betreibt. Also habe da noch keine wirkliche Meinung dazu, wie ich damit umgehen will. Ich sage nur, solche Debatten haben wir jetzt und.Damit müssen wir uns jetzt in irgendeiner Form auseinandersetzen. Nun um denen nochmal was obendrauf zu setzen.Ähm was jetzt auch schon gehört habe, ist halt es gibt ja noch etwas, was derzeit noch gar nicht stattfindet. Das sind die Großveranstaltungen. Das ändert sich zwar jetzt langsam, aber ich nehme jetzt mal so das extrem Beispielfußball.Steht ja immer auch im Mittelpunkt. Ne? Unter welchen Bedingungen kann Fußball mit Zuschauern wieder stattfinden.Klar, wenn man so in der Neuseelandsituation ist, mit der Virus ist besiegt,dann strömen vierzigtausend Leute und schon wieder äh sich irgendwie die an und haben Spaß miteinander. Diesen Zustand werden wir in Deutschland so nie erreichen,Also wir werden nicht virus frei sein. Und dann ist halt die Frage, ja, ab wann können wir denn wieder alle,in größeren Gruppen eng zusammenstehen und laut singen. Also Fußball sei ein gewisser Hitze. Abgesehen davon, dass es draußen ist,ja? Äh bringt es alles mit, was derzeit als Bedrohung angesehen wird. Von allen Sportarten will ich da mal gar nicht reden.Und auch da gibt's natürlich dann so Überlegungen, wie na ja, wenn ich aber jetzt als Anbieter dieser Veranstaltung, also als Veranstalter.Also sprich der Heimverein, der das Spiel äh stattfinden lässt in seinem Stadion, sage naja wer geil, wenn ihr alle mal äh die App am Start habt.Und das schreiben wir jetzt mal hier in unser Bundesligakonzept rein als Angebot an die Bundesregierung ähm.Um das alles wieder zu ermöglichen. Wie geht man denn damit um.
Linus Neumann 1:03:42
Also ich denke, da muss man tatsächlich äh sich die Frage stellen und das da wäre ich jetzt vorsichtig, weil ich davon ausgehe, dass.Solche super Sprayer-Events, wie so ein singender Fußballknabenchor, auf jeden Fall eines wäre. Ähm da müsste man natürlich mal prüfen, wie gut funktioniert ihr diese App da. Und ist, denn diese Mess.Diese Messart, ne, solange beieinander und so nah in einem Fußballstadion noch das, was man eigentlich messen möchte.Und ich halte das für,ich kann mir nicht vorstellen, dass diese App mit ihrer Messmethode und mit ihren Entscheidungskriterien in so einem Fußballstadion unbedingt die besten Ergebnisse bringen würde. Ähnliches gilt übrigens hier für das ähm.Berliner Berliner äh super Spradder-Event in Anfangszeichen, ne? War ja kein Supersprayer Event, aber äh hier ging es ja in einem äh Musikclub los in Berlin oder zwei Fälle gab es da, ne, irgendeinen Trompetenclub oder sowas, hieß der.Und ähm Kater Blau in den ähm dann an, ganz zu Beginn der Zeitals es noch gar nicht Thema war, infektiöse Personen waren. Und da wäre ich jetzt auch mal überrascht gewesen, an so einer Situation, mal so eine Chorona Warn-App zu validieren. Ich denke, die hätte da aber sehr schlechte Ergebnisse.
Tim Pritlove 1:05:13
Warum denkst du das?
Linus Neumann 1:05:15
Weil in diesen.Engkontakten und in diesen warmen Indoor-Situationen und so weiter äh die Annahmen nicht gelten, ne? Die Menschen bewegen sich vielleicht auch ganz viel in diesemArtikel, den ich etwas unterhaltsam fand, äh der das Auseinander nahm von dieser äh Kater Holsticks Situation ähm.Da war irgendwie die Räder davon, dass diese eine Person mit ungefähr fünfzig Menschen geknutscht und gekuschelt habe und sowas, ne? Was, wo ich jetzt auch dachte, das ist offenbar.Sehr.
Tim Pritlove 1:05:53
Gutes Zeug.
Linus Neumann 1:05:54
Sehr engagiert. Äh auf jeden Fall setzt sich sehr viel Nächstenliebe.Ähm stattgefunden hat. So, da bin ich mal vorsichtig, weil das Kriterium äh irgendwie über eine viertel Stunde und unter einen Meter fuffzig ist in diesen Situationen nicht anwendbar, aber Tim, ich weiß, du sprichst jetzt dagegen,lass uns mal dabei bleiben, das muss, muss man dann sehen.
Tim Pritlove 1:06:20
Genau, das das macht man sich, aber ich sah nur diese Diskussion haben wir jetzt so, ne?
Linus Neumann 1:06:25
Ich würde mal so sagen, man kann ja auf jeden Fall einfach sagen, der Gästeblock muss in Karentäne.
Tim Pritlove 1:06:31
Also, nur eine Sache noch zu deiner Einschätzung, die ich jetzt so nicht teile. Ich glaube, dass diese Messmethode gerade beim Fußball.Sehr gut funktionieren würde, weil dieses alle fünf Minuten mal gucken und wer es in meiner Umgebung und da ist dann einer dabei gewesen, dann hast du so ein Teil eines Blogs, aber du musst nicht gleich das ganze Stadion irgendwie evakuieren,Das ist schon mal äh schon mal ein Vorteil. Die das andere Beispiel, was du genannt hast, so größerer Club und so, da ist auch viel Bewegung mit dem Spiel. Und derzeit funktioniert die App halt so, sie schaut halt alle fünf Minuten mal nachJa, das heißt, da muss dann auch noch so eine gewisse Wahrscheinlichkeitsrechnung mit reinkommen, weil wenn du dich die ganze Zeit bewegst.
Linus Neumann 1:07:14
Also Tim, wenn du wenn du mit fünfzig Personen kuschelst und knutscht, ne? Dann musst du gucken, ob du überhaupt pro Person fünf Minuten hättest, ja? Je nachdem.
Tim Pritlove 1:07:22
Vielleicht liegen die ja auch alle ganz passend beieinander. Man weiß es ja.
Linus Neumann 1:07:28
Okay, komm. Also, wir waren gerade beim App Zwang, ähm um das nochmal einzuordnen. Es gibt jetzt diese Forderungen.Und die Positionen sind ähm.Beide nachvollziehbar, nämlich die eine Position, die sagt, passt auf. Wenn hier, wenn ich hier keinen Zwang geben soll, dann könnt ihr auch gleichzeitig das mit einem Gesetz flankieren.Das ist die Positiondie jetzt hier von den GRÜNEN eingebracht wird von den Linken ich weiß nicht wie AfD ist glaub ich eh nur noch auf also ich meine erstens würden die nie gemeinsame Sachen machen und zweitens die AfD ja eh gradedie müssen erstmal wieder von ihrem Baum runterkommen und ähm auf denen sie da geklettert sind. Und jetzt ähm.Gibt es eben dem Punkt dieses Argument, was ich einleuchtend finde. Und es gibt das Gegenargument, welches besagt.Die aktuellen Datenschutzgesetze und Antidiskriminierungs und sonst was Gesetze reichen aus.Und wenn wir jetzt überhaupt nur ein Chorona-App-Gesetz haben, dann wird das bei Atila Hildmann im Telegramm Kanal wieder rappeln, ja? Weil die dann denken, die äh dieDeutschland GmbH äh setzt jetzt den mit einem gesetzten App-Zwang durch mit der Bigates Corona Chip-App, ne? Also,Das ist, das ist die andere Perspektive und ähm dann eben mit Blick auf die Realität quasi zu sagen, okay, gibt es hier eine, gibt es hier.Momentan, Motivationen für Leute, eine solche Zwang durchzusetzen. Ähm,die gibt es offensichtlich im Einzelfall, aber die sind schwer begründbar. Insofern bin ich gespannt, wie diese Debatte weitergeht.Ähm,eine weitere Sache, die man, glaube ich, die haben wir auch vor kurzem schon mal erklärt, aber ich will's nochmal machen, weil das auch wirklich immer das begleitet diese äh App-Diskussion wirklich irre stark in jedem Bericht eigentlich,es hat so lange gedauert. Und die App kommt zu spät.Wird da häufig behauptet, ne? Und da denke ich, muss ich nochmal in Erinnerung rufen, ich habe das sogar mal rausgesucht hier, ja? Ähm,neunten oder zehnten April, also Ostern, Gründonnerstag Karfreitag, haben Apple und Google das gemeinsame Fragework angekündigt. Ab dem Moment konntest du quasi mit der,Entwicklung beginnen,Am fünfundzwanzigsten April hat die Bundesregierung die Entscheidung bekannt gegeben nun auch auf diesen Apple Google dezentralen Ansatz zu setzen davor haben sie auf den zentralisierten Ansatz gesetzt,Ja, wenn ich jetzt äh sehe, dass der fünfundzwanzigste April war, der Sonntag, glaube ich, wo das bekannt gegeben wurdedie Entscheidung war aber schon eigentlich an dem Samstag oder den Freitagabend gefällt. Wenn wir da jetzt mal auf Werktage gucken, dann haben wir also zwei Wochen zehn Werktage Entwicklungszeit verloren, zehn Werktage.Am einundzwanzigsten Mai wurde iOS dreizehn fünf released. Ich weiß nicht genau wann das Framework über die Play Services gepusht wurde bei Android.
Tim Pritlove 1:10:39
Das war auch am selben Tag.
Linus Neumann 1:10:41
War das am selben Tag, ja? Ich hatte das nämlich dann auf einmal auf dem Telefon drauf und gut, das kann sein, war das derselbe Tag, um so einfacher für meine äh Zeitrechnung hier. Die ersten Apps wurden am,neunundzwanzigsten Mai vorgestellt. Gefeiert als Erste wurde diese Schweizer App,die aber nur in der Testphase ist. Das heißt, sie ist nicht im Produktivbetrieb, ne? Ähm, ich glaube, neunundzwanzigsten gab's dann die lettische App oder so, ne? Also, wenn man jetzt auf den Tag genau nicht rechnet, sagen wir, Ende Mai gab's die ersten Apps, oder?
Tim Pritlove 1:11:14
Ja, ich glaube, äh falls es sich ganz genau, wenn die rausgekommen ist, aber so in etwa. Mhm.
Linus Neumann 1:11:18
Du, ich hatte äh.Tim hatte Tim hat mir dabei den Zusammentrag ein bisschen geholfen. Äh deswegen frage ich, ich war nochmal sicher, aber ungefähr Ende Mai. Ich müssen jetzt auf den Tag genau nicht rechnen. Ähm und wenn wir jetzt schauen, jetzt äh releast also Deutschland am sechzehnten Juni.Ähm also zwei,etwas über zwei Wochen später, dann sind das genau die zehn Werktage Entwicklungszeit, die verloren gegangen sind. Ja, das heißt, die Entwicklerin bei SAP und deutsche Telekom haben hier,es geschafft, dass nicht noch weiter zu verzögern das Projekt. Ähm insofern denke ich, dass hier eine.Natürlich ist in Zeiten der Panämie sind zwei Wochen auch oder je nachde können auch drei Wochen sein, je nachdem, wie man zählt, ne, dann zweieinhalb. Das ist keine kurze Zeit. Nur ich würde die halt gerne,einen in ein Verhältnis setzen, weil ja behauptet wurde und das ist ja auch der andere Punkt, der noch gemacht werden muss. Das,unter die App früher da gewesen wäre und das ist ja einfach nicht der Fall, denn,sie wäre nicht funktionsfähig gewesen, hätte die Bundesregierung auf den zentralen Ansatz gepocht, dann hätte sie nun eine nicht funktionale App, wenn überhaupt,siehe Frankreich.Der hat uns heute noch einen höherer äh einen Link geschickt zur da war ähm ich habe den mein französisch ist ja,ähm etwas eingerostet, aber da ist, glaube ich, immer noch von so sechsstelligen Nutzerinnenzahlen, die Rede. Und Deutschland hat ja jetzt schon irgendwie mehrere Millionen äh ähm,angegeben.Ne, sodass man da also den die äh die die französische App nicht als besonderes Beispiel nehmen kann und der hier ja auch immer öfter erwähnte oder öfters schon erwähnte.Kubi, hat mir gerade noch auf Twitter äh den Hinweis nochmal gezeigt, dass in Österreich sie ihre App äh.
Tim Pritlove 1:13:22
Nee, das ist Norwegen. Österreich hast du gesagt.
Linus Neumann 1:13:26
Oh, nee, Entschuldigung, äh, Verzeihung. Natürlich, Norwegen. Äh danke, danke, bei der wäre aber jetzt was gewesen. Ne, in Norwegen natürlich, die müssen diese App ähm.Nach einer äh Prüfung durch die Datenschutzaufsichtsbehörde ähm.Beenden. Ja, die müssen alle bisher erfassen, da löschen. Also die Sasta.
Tim Pritlove 1:13:47
Haben sie auch schon getan, genau.
Linus Neumann 1:13:49
Ja
Tim Pritlove 1:13:51
Ja, also das, das ist halt eigentlich das ist eigentlich das, was wir auch vorhergesagt haben. Also.Diese ganzen Lösungen, die ohnehin nur bekloppte Insellösungen sind und die also selbst wenn da was funktioniert hätte.Es kann einfach nicht sein, dass wir mindestens in Europa und im Prinzip auch weltweit nicht ein einheitliches System haben. Undes ist einfach klar, welches System das sein wird,so. Und äh Frankreich und Ungarn, die glaube ich noch so den letzten in der Europäischen Union sindwerden da irgendwie klein beigeben äh müssen. Frankreich wahrscheinlich als erstes, das kann nicht mehr so weit weg sein. Ungarn ist halt nochmal ein anderes Problem,So und dann,wird's auch Skandinavien äh erreichen, et cetera, also auch im Baltikum, gibt's ähnliche Bewegungen, also litausche App ist da äh die auch einen anderen Weg gehen, wollte es da irgendwie auch durch.
Linus Neumann 1:14:46
Also Tim ist ganz klar die App, die App geht jetzt viral.
Tim Pritlove 1:14:50
Sowas.
Linus Neumann 1:14:59
Das ist ja auch etwas, das wissen wir vielleicht gar nicht, das haben wir hier in der Sendung schon öfter besprochen, ähm aber an dieser Stelle möchte ich nochmal ganz kurz auf den ähm Jan Fleischhauer aufmerksam machen.
Tim Pritlove 1:15:08
Dein Freund.
Linus Neumann 1:15:12
Ich hatte ja hier in der Sendung dann auch ausführlich korrigiert, was seine falsch darstellung im Fokus angeht.Ähm eine direkte Reaktion blieb aus, aber er hat dann ähm vor ein paar Tagen einen Tweet von Alice Weidel, der AfD, welche Rolle hat ja nicht bei der AfD.Sei ja egal, ne?
Tim Pritlove 1:15:35
Ich glaube Fraktionschefin ist sehr.
Linus Neumann 1:15:38
So, also Alice Weidel, AfD. Ähm.Hat einen Tweet abgesetzt, dieser Tweet von Alice Weidel lautet. Corona App,sinnlos und gefährlich. Wir brauchen kein wir wollen und brauchen keine vorgeschobene Überwachung, ja? Also die geben jetzt volles von Aluhut, ne? Wie ähm nur wenige,Institutionen in Deutschland es sich in dieser Lage trauen, ja? Mit so einer auf so einer dann doch sehr dünnen ähm Faktenbasis zu argumentieren, aber das ist jetzt für die AfD nie ein Problem. Jan Fleischschauer verbreitet das mit dem Kommentar.Der Chaos Computerclub hat eine neue Vorsitzende. Ein wichtiger Schritt zur Sichtbarmachung von Frauen, auch in der Nerdwelt.Ja, also das ist halt die, das Niveau dieses Menschen in der Auseinandersetzung, mit diesem Thema und ich glaube, dass.Braucht man, also es ist, das ist so erbärmlich, da spare ich mir jeden Kommentar. Ähm auch, dass er meine Korrekturen und richtig Stellungen zu sein, falsch Behauptungen nicht.In richtig Stellung hat Münden lassen da muss man eben alles selber machen, dann habe ich gestern dann noch ein Livestream von Chip und Fokus mitgemacht, zu dem ich eingeladen wurde,Und dann habe ich gedacht, naja, okay, dann mache ich mal was mit dem Fokus und.Habe dann da die Gelegenheit genutzt, an verschiedenen Stellen darauf hinzuweisen, welche Falschbehauptungen eben im,im Fokus verbreitet werden und von wem, zu einer Kommentare von den Moderatoren so.Wahrgenommen. In der FAZ habe ich das übrigens auch gemacht. Die FAZ hat mich auch zu der App interviewt und gefragt, das war so ein Video-Interview. Da habe ich auch gesagt, diese, auch wenn dasin ihre, auch wenn das in der FAZ von einigen Autoren falsch behauptet wird. Den Teil haben wir rausgeschnitten. Aus dem Video.Ja, das hat aber Tim, das musst du so sehen. Das hat Redaktionell einfach nicht gepasst, ne? Das Video musste ein bisschen kürzer sein und so, ne? Wir haben uns ja auch nur auf die wichtigen Punkte kurz und knackig konzentriert und so, ne?Na ja, so ist das. Ähm Open Source, müssen wir auch nochmal drüber sprechen, oder?
Tim Pritlove 1:17:58
Äh klar, immer.
Linus Neumann 1:18:00
Die App ist Open Fours, auch das äh ausführlich äh in dem UKW besprochen, hier mit äh welche Lizenz und so. Ähm.Jetzt ist es so, dass der,Google Apple teil, nämlich das Senden und Empfang dieser Biekens und auch die Speicherung nicht. Ähm quell offen ist.Und jetzt ist natürlich den die Frage wie bewerte wir das, dass das nicht Open Source ist. Da gibt's zweiProbleme bei, dass dieser Teil nicht open Source ist. Das eine ist dieser ganze äh Vertrauen, transparent, Security Teilja, können wir draufgucken, dass es auch das tut, was es tut. Und das Zweite ist, ähm.Open Source hat ja den Vorteil, dass unsere ähm französischenSchwestern und Brüder. Wenn sie dann mit ihrer App jetzt äh vollständig gescheitert sind, zumindest den Quellcode von unserer äh implementierungproblemlos benutzen können. Sie haben dann noch das Heavy Lifting des Meldewesens vor sich, aber sie können so etwas da können sie von unsäh profitieren.
Tim Pritlove 1:19:11
Müssen nur ihrem äh äh beliebtesten und größten Staatsfranzösischen Staatskonzern irgendwie beibringen, dass das jetzt irgendwie SAP-Code ist, der hier zum Einsatz kommt.
Linus Neumann 1:19:23
Ja, aber also ich äh ne, gucken wir mal. So, jetzt ähm.So, das ist der, der Vorteil von Open Source. Das ist auch andere verwenden können. Transparenz und das können auch andere verwenden. Den Transparenzaspekt, also es gibt jetzt dann auch einige, die sich melden und sagen, ja Google und Apple haben wir aber hier jetzt eine Hintertür und das ist jetzt alles die Corona Überwachung,Das halte ich für eine, sage ich mal, ein äh Problem,wirklich ganz, ganz stark untergeordneter äh Priorität, weil die hätten sich genauso gut für einen zentralen Ansatz entscheiden können und die,könnten auch ohne, jetzt gut, der Witz, auch oder eine Schwachstelle in diesem Ex-Forscher-Notification Framework, könnten sie, weil sie nun mal diese Betriebssysteme kontrollieren, trotzdem in alles einblicken. Ja, das heißt, ähm.Die Sorge, dass Apple und Google hier jetzt irgendwie anderhändet, eine Backdore reingebaut haben, die ist nicht begründet, weil sie die nicht bräuchten,Das hatte ich hier auch schon mal gesagt. Wir haben die äh nicht schöne,und nicht wünschenswerte, aber die nun mal nicht zu diskutieren, der Reiher Realität, dass wir diesen Betriebssystem herstellen dann vertrauen müssen, wenn wir das iOS benutzen und ein Google äh Android mit mitmit Play Services. Das ist nun mal leider so. Ähm für den Security-Aspekt, da wäre es gut, wenn das wird undrichtig problematisch wird's aber eben in der Weiternutzung, denn es melden sich nun die Leute, die ihre von Google befreiten, Telefone benutzen, also beispielsweise Linage OS, mit einem da dran, ja,die können diese App jetzt nicht benutzen, weil die eben auf die Play Services aufsetzt und diese PlayService sind eben bei den Google freien Geräten nicht dabei und die können also jetzt diese App nicht,verwenden. Und das gleiche trifft zu äh für bestimmte Geräte, aufgrund dieser ähm.Der Auslöser dafür sind ja diese ähm Exportrestriktionen von dem verrückten Orangenäh gegen der ja unbedingten Handelskrieg mit China anzählen möchte. Da hat aber immerhin jetzt schon gesagt, okay, wir implementieren das jetzt einfach auch, unseren Teil dieser,äh dieser Sache. Aber auch musstet jetzt eben irgendwie selber basteln, ne? Das ist auch zu beklagen. Also.Ähm es wäre sinnvoll und notwendig hier durch quelloffenheit.Für die Transparenz zu sorgen. Und vor allem für die.Interoperabilität mit anderen Systemen. Das, das sehe ich hier am Ende, als das schwerwiegendere Problem. Ähm ich würde noch vorsichtig dazu sagen,also es gab ja auch irgendwelche Spezialistinnen, Expertinnen irgendwie, ich habe gehört, dass,DE, die haben die die Corona-App aus dem aus, von Gitup, irgendwie kompliziert und zum Download angeboten, haben gesagt, bei uns kriegen sie Corona App schon heute,ja, die funktioniert aber nicht, weil die eben nicht äh weil ihr jetzt quasi von einer von einer Anbieterin ist, die,die auf dieses Framework gar nicht zugreifen darf. Also hier arbeitet dann und spätestens da gehen dann eben die Sicherheit des Betriebssystemes,die der Anspruch der Nutzerinnen auf Freiheit dessen, was sie mit dem Gerät machen. Auf einmal gegeneinander,Und das ist immer schwierig, abzuwägen. Ähmich will da jetzt nicht ins Detail gehen, äh aber äh vielleicht sollte das klassische Beispiel ist, äh es gibt relativ wenig Schadsoftware fürs iPhone und das liegt primär daran, dass das Ganze Ding ähCode Signing verwendet, also jede App, die das iPhone ausführt, muss von Apple für die Verwendung auf diesem iPhone freigegeben worden sein. Das haben sie so gemacht, damit,sie Raubkopien, damit es keine Raubkopien von App Store.Geben kann und einer der Nebeneffekte ist eben, dass es auch wenig Schadsoftware gibt und genauso ist das bei diesen restriktion,restringierten Zugriff auf diese, dass sie eben sagen, okay, wir lassen eine Epro Land zu und das machen wir spezifisch und die prüfen wirDie Folge dessen ist das jetzt nicht jeder irgendwie hingehen kann und sich auch noch eine bautUnd da stehen diese Schutzziele oder diese Nutzeransprüche eben leider auch äh entgegen. Ich hoffe, dass Google,es irgendwie ermöglicht, der der wirklich google freien Open Source Community eben auch dieses zu verwenden.
Tim Pritlove 1:24:01
Also ich bin mir jetzt nicht so sicher, ob eigentlich aus äh das, was im Play Services enthalten ist, überhaupt irgendwas, Open-Source ist oder ist das komplett geschlossen? Weißt du das.
Linus Neumann 1:24:12
Ich kann nicht sagen, ob das äh hat und aber es ist auf jeden Fall propreitär.Sonst würden die Leute ja einfach sagen, alles klar, wir nehmen die, wir bauen uns die Play Service auch nochmal aus dem Source oder so, aber da bin ich, da bin ich nicht im Detail drin.
Tim Pritlove 1:24:28
Es ist zumindest vorstellbar, dass dieser Teil, der ja letzten Endes was mit Bluetooth und Networking und so weiter zu tun hat. Vielleicht auchin dem nächsten Android Release tatsächlich ins Betriebssystem wandert und dann ja auch automatisch Open Source wäre, dass sie das in diese Playservices reingebaut haben, das ist ja einfach nur dem Umstand geschuldetdass man das schnell ausliefern wollte und dass das halt derzeit derjenige Weg ist, über die man es am schnellsten ausliefern kann. Na ja.Ja, aber diese ganze Open Source Sache also bei Apple wurde natürlich dann auch gleich gefordert, aber wie du schon richtig gesagt hast.Es würde halt nichts beweisen. Also da könnt ihr jetzt irgendein Source Code vorgelegt werden, dann machst du halt irgendwas da drunter oder daneben oder in einem ganz anderen Framework und.Wie auch immer, wenn so eine Aushorchung in irgendeiner Form ein Ziel, dieser Unternehmen wäre, was ich wirklich, ehrlich gesagt, nicht glaube, ja.
Linus Neumann 1:25:26
Da können sie es auf jeden Fall machen.
Tim Pritlove 1:25:27
Dann dann hätten sie das schon immer machen können, da brauchen sie auch diese Chorona Warn-App nicht für.Also da ist schon alles da, ja und äh diese dieses dieses Kontaktdrasing fügt dem nichts hinzu, mit dem sie,irgendwie groß wochern können. Was, was für eine Information soll daraus gewonnen werden.
Linus Neumann 1:25:48
Ja, absolut und ähm da gibt's dann natürlich, also da gibt's dann wirklich da kommen, dann bestimmte,Fundamentalistin und Fundamentalistinnen zu Wort, bei denen man sich schon dann auch fragtWarum die jetzt ausgerechnet über Geräte reden, die sehr offensichtlich selber noch nicht mal haben können bei ihrem bei ihrem Schutzniveau. Aber wie gesagt, das mit dem freienäh dass dass die freien Androids jetzt nicht in der Lage sind, das zu nutzen, ist inakzeptabel, muss geklärt werden.
Tim Pritlove 1:26:22
Ist aber ein lösbares Problem. Also ich meine in dem Moment, wo es wusste, solide Open Source äh Leibrie gibt die dasselbe macht und anbietet und äh dann das CBA-Team auch überzeugt werden kann, dass das etwas ist, worauf man auch basieren kann,dann wäre es der durchaus vorstellbar. Aber ich erwarte auch, dass dieses Fremdwerk sich noch schnell weiterentwickeln wird. Von daher ist es noch nicht so final.
Linus Neumann 1:26:47
Wir haben schon darüber gesprochen, ähm die App hat eine Fehlerquote, ja hat sie ähm die negativen Konsequenzen sind.Verhältnismäßig gering, hast ein paar Ruhe und dann Test ähm es gab schon schlimmere negative Konsequenzen.Für Menschen,äh die bestimmte Apps äh installiert haben. Und äh zu der Grundsicherheit, also jetzt überhaupt auch Überlegung, Schwachstellen und so weiter, nemöchte ich nochmal betonen durch diesen dezentralen Ansatz und durch die Datensparsamkeit wird eben der größere Teil des Risikos minimiert. Und das istdas Entscheidende bei IT-Sicherheit zu sagen, wenn etwas schiefgeht,dann muss der Schaden minimiert werden, ja? Und das war zum Beispiel ist genau die Maßgabe auch vondieser ähm Verbesserung in den äh in den Datenbank Zugriffsrechten, die da eingebracht wurde von verschiedenen, unter anderem Alverfreude, der es halt eingebracht hat, einen Tag zu spät, alsoschon andere eingebracht hat, also auch egal, die uns beide einen validen Punkt gemacht, der nämlich darin besteht, dass man immer bei jedem Zugriff bei allem, was man tut, den minimal.Die das minimale Schadenspotential macht. Und das tut diese App nun mal durch diesen dezentralen Ansatz und deswegen sind alle Schwachstellen, die da noch drinnen sein könnten oder so sowie möglich in ihrem Schadenspotential minimiert und das war auch der Grund, warum wir uns da so für eingesetzt haben. Ähm.Jetzt gab es noch, was ich sehr spannend fand. Also das war wirklich, weil ich kann es nicht anders. Ich kann dich anders als das hier zu behandeln. Ähm weil das so kurios war.Auf heiße Online geht am Freitagabend eine Meldung online,in der der TÜV sich in relativ vollmundigen Worten über die Chorona Warn-App.Echoffiert,Und in dem und sagt irgendwie, das ist sicher und das ist noch gar nicht alles geprüft und die ist überhaupt nicht Produktreif und äh und die Tanz sind unsicher und, und, und, und. Ja?Und ich dachte mir so, äh das kann nicht sein. Und der Grund, warum das nicht sein kann, ist.Ganz einfacher. Der TÜV gibt in diesem.Ähm Bericht an, dass er mit der, mit dem BSI zusammenarbeitend, ein,äh Security-Check oder Review von mehreren Teilen der Applikation vorgenommen hat. Beklagt sich aber zum Beispiel auch, dass sie nicht alle geprüft worden sein.So, was ist, was ist daran, äh, warum sage ich, da kann was nicht stimmen. Nun, ich bin ja selber in dieser Branche tätig und ich weiß, wenn du den Auftrag für ein Security-Review hast, insbesondere vom BSI, da hast du mit dem BSI eine.Geheimhaltungsvereinbarung, nämlich ein NDA und das bedeutet, sämtliche Geheimnisse, die du in diesem Zusammenhang in Erfahrung bringst. Äh.Darfst du nicht dritten verraten und die Vereine in den Vereinbarungen mit dem BSI ist halt eben auch so, ne, wenn du eine Schwachstelle findest, musst du sie dem BSI melden. Und das BSI entscheidet wieder mit zu verfahren, ist insbesondere in diesem Fall, wo das BSI ja im Prinzip,Arbeit von einem von anderen irgendwie da, prüft und koordiniert.Insofern es war mir unerklärlich, wie der dir Kretschmer vom TÜV IT mit heiße Online über Details.Seiner Arbeit für das BSI spricht. Und.Will jetzt, also ich kann mir nicht vorstellen, dass das BSI.Die deutsche Telekom oder SAP, das besonders witzig oder unterhaltsam fanden, wenn einer ihrer äh vertrauten.Mit äh Streiter,Äh nun mit vermeintlichen interner in die Öffentlichkeit geht, insbesondere dann auch noch Schwachstellen beklagt die, wenn man dann mal in den Quelltext auf Git Up schaut, schon längst weg sind.Ja, also auch da wieder eine Reise in die Vergangenheit. Der TÜV hat da offenbar eine äh Schwachstelle gemeldet, waszu zu geringe Entropie der Tanz angeht und wenn du dann jetzt später in den Code guckst, dann siehst du, die sind jetzt länger und dat auch schon irgendwie seit Wochen. Ähm,jetzt muss man dazu sagen, der TÜV hat ähm sich außerdem darüber beschwert, dass diese App Open Source sei.Und sagt, dadurch, dass die App Source ist.Ähm konnten die andere auch da reingucken und standen jetzt in Konkurrenz zu meinen Mitarbeitern. Ja sicher,dass die Idee von Obst, was das andere auch reingucken. Und die haben sogar Sachen gemeldet und äh die dievielleicht die TÜV-Mitarbeiterin nicht gesehen haben, ne? Das ist das Spiel. Die Idee von Transparenz und Öffentlichkeit. Und er hat sich dann auch noch irgendwie vollmundig gegen dieses Haus gewendet und man hat, also ich habe wirklich mich gefragt, was hat diesenman geritten, wenn der wieder nüchtern wird, muss hindert unglaublich leidtun. Und was passiert, keine zwölf Stundenknallrote, große DPA-Meldung. TÜV. Die Corona Warleb istbeste seid geschnitten, Brot. Ich habe hier keine Lücken gesehen, das ist unglaublich, ne, was hier passiert und ähm erstaunlich, was was hier alles passiert ist. Ich,und das war, äh, das war halt eben Samstagmorgen. Also, ich gehe, er hat noch ich sehe gerade, äh er hat noch äh dann auch dadrunter kommentiert, äh du schickst dir gerade den L.Zusammenarbeit zwischen SAP, Telekom, den BSI äh meine Bedenken von damals sind relativiert und Kritik steht mir nicht zu.Also ich möchte jetzt TÜV IT ist nicht ganz so klein, ne?Dass die durchaus den ein oder anderen Auftrag,vielleicht von, SHP, BSI oder Telekom hatten in der Vergangenheit und ich könnte mir vorstellen, dass sie auch Wert darauf legen in der Zukunft, noch welche zu.
Tim Pritlove 1:32:48
Als der als diesen Kommentar und dann ist der Ticket geschrieben hat, da hat ihm wahrscheinlich das Ohr von den letzten Telefonaten noch geblutet.
Linus Neumann 1:32:55
Also ich denke, ich kann mir ehrlich gesagt, glaube ich, noch nicht mal, dass dem, dass den irgendjemand etwas sagen musste.Weil also dass den irgendjemand zu sau machen musste, weil als der Artikel online gegangen ist, muss der äh muss dem das Herz in die Hose gerutscht sein. Ähm,na? Und das ist jetzt, ich sage das jetzt wirklich all das, sage ich jetzt vor dem Hintergrund dessen, was in dieser Branche üblich ist. Und in dieser Branche üblich ist, Geheimhaltungsvereinbarung, an die man sich hält. Und was sicherlich unüblich ist,als Beauftragter Auditor, Ergebnisse eines in der Öffentlichkeit zu diskutieren, noch dazu den Eindruck zu erwecken, dass diese Schwachstellen vielleicht nicht,ähm ähm behoben sein. Ja, das ist alles sehr ähm sehr sehr überraschend,ähm entsprechend hat er dann ja auch offenbar mit ganz, ganz, ganz, ganz großen Schuhen äh versucht, dieses Feuer wieder auszutreten und äh wenn ich das jetzt bewerte, tue ich das wirklich vor dem Hintergrund der ökonomischen Interessen des Hilfs, weil das warmit Sicherheit, das hat wirklich keinen guten Blick auf keinen Blick auf das Unternehmen geworfen. Ähm es macht nämlich ein, also,ich würde mal so sagen, was ist so ein NDA? Das kannst du in deiner Karriere nur einmal brechen.Und da muss ich dann schon lohnen, ne? Und was er da von dieser App erzählt hat, dafür hat sich das halt nicht gelohnt, insofern ähmer hat hat es mich dann nicht überrascht, dass er diesen Eindruck korrigierte, er sagt außerdem damals und das deutet ja in seinem Kommentar so ein bisschen darauf hin.Ähm das unter Umständen dieses Telefonat oder diese Meldung oder was auch immer er da der heiße Online-Redaktion erzählt hat.Schon etwas in der Vergangenheit liegt. Das deute ich da jetzt mal so draus, ja? Und da würde ich vermuten, dass ähm das.Vielleicht äh von der Seiten der Redaktion bei Heise online vielleicht noch Bemühungen gab, ähm,SAP, Deutsche Telekom, BSI, vielleicht zu erreichen und vielleicht eine Stellungnahme zu bekommen oder so. Und dann haben sie die vielleicht nicht bekommen oder er später bekommen, äh insofern, ja, das wird dem Herrn Kretschmer auf jeden Fall.Leid getan habe, fand ich auf jeden Fall unterhaltsam.
Tim Pritlove 1:35:18
Es war ja auch ein inhaltlich, was ja auch dünne. Also es war ja jetzt nicht nur, dass da jetzt was rausgekommen ist und irgendwelche Geheimhaltungs äh Vereinbarungen gebrochen sind. Das, was da moniert wurde, war wirklich.Unsinn. Also da da wurde von einem ominösen Algorithmus gesprochen und ich habe mir dann ins Haus angeschaut, es handelt sich dabei einfach um die Zufallszahl.Also.
Linus Neumann 1:35:42
Ja, das ich glaube, es ging ihnen darum, um die Länge, ne, also er hat die Länge dieser Tannen äh bemängelt und ähm also ich glaube, dass Angriffsszenario wäre gewesen, du hast jetzt eine eine siebenstellige Tannen,und dann ich glaub die Zeichen, Anzeige, die dazugelassen sind sie zu im Bereich einunddreißig,müsste ich nochmal genau schauen, aber jetzt hast du halt einunddreißig hoch sieben und du gehst gegen diesen Vercation Server, da könntest du natürlich einen selbst implementierten Brutblut Brutforcangriff machen, auf diese Tanz, aberähm das habe ich dann auch an dem Abend, glaube ich, noch getwittert, weißt du, bevor ich ähm einunddreißig Uhr sieben oder jetzt in der neuen einunddreißig hoch neun Brutforce,da rufe ich doch schon lieber einfach bei der, bei der Hotline an. Also, also es ist ja nicht so, als wird ein Angreifer unbedingt den Weg des höchsten Widerstandes für sich aus.
Tim Pritlove 1:36:36
Ja und auch hier ist der Angriff, ja, also da wird ja nichts groß angegriffen sollen, man kauft sich quasi nur den Zugang zu veröffentlichen und auch das, also das.
Linus Neumann 1:36:48
Ich möchte, dass vor allen Dingen jetzt hier gar nicht so äh kritisieren, dass wir schon blöd gewesen, wenn du jetzt in der Lage gewesen wärst, ähm oder jeder Angriff, der es ermöglicht, ohne Niverifizierten.Äh oder ein Verifiziertes, positives Testergebnis, eine Meldung zu veranlassen, ist ein großes, ist ein Problem für diese Infrastruktur und muss,äh muss beseitigt werden und dieses Fining hatte der TÜV jetzt hier und diesem Feind wurde begegnet. Er hat sich dann halt nur danach noch in der Öffentlichkeit darüber beschwert, dass es nicht.
Tim Pritlove 1:37:18
Ja, aber es ist, es bleibt wirklich pur-akademisch, weil klar kannst du da irgendwas Blut forsten, aber es funktioniert auch nur, wenn genau in dem Moment so eine Tarn auch erzeugt wurde und vorliegt. Weil die ja nicht sozusagen nur.
Linus Neumann 1:37:29
Sind immer nur eine Stunde gültig, wenn du ja, also.
Tim Pritlove 1:37:31
Genau, also es ist einfach Quatsch. Also es ist äh.
Linus Neumann 1:37:35
Ja, ich würde nicht sagen, Quatsch, aber ist also ist auf jeden Fall Quatsch, sich darüber ähm stellt sich zu freuen, dass man den Beitrag geleistet hat, hier die Entropie der Tanz zu erhöhen.
Tim Pritlove 1:37:45
Ja, okay, gut.
Linus Neumann 1:37:48
JaOkay, haben wir jetzt auch lange genug äh ich ich sage nur, das es beschäftigt mich wirklich einfach nur, weil ich dachte so, oh mein Gott. So TÜV, verkaufen, verkauft, nächsten Verein, hast du keine Aktien dann? Okay, alles klar.Ähm okay, dann gab es äh auf Twitter, einige Leute, die sich beschwert haben.In der Pressekonferenz, äh dass dort äh bei der Vorstellung der Chorona Warn-App nicht im gedankt wurde,auf Twitter. Wenigstens mal dem CCC danken, der jetzt hier über Monate, die Debatte begleitet hat und so. Ähm.Ich sage mal vorsichtig ich habe an einigen Stellendie vorsichtige Warnung davor ein Klicken lassen, uns für diese App zu vereinen haben. Und ähm, dass da der Community Gedanke wurde, die Open Source,draufgeschaut hat und Verbesserungen eingebracht hat das ist schon genau richtig so. Das finde ich da wurde den richtigen Gedank. Alles andere ist 'ne politische Auseinandersetzung und da muss auch nicht gedankt werden.
Tim Pritlove 1:38:56
Ist ja auch nicht so, dass der Zitze jetzt hier die einzige Organisation gewesen wäre, also dieser offene Brief, der äh an die Bundesregierung ging. Der war ja dann.
Linus Neumann 1:39:05
Ja, ja, Kampf kam von mehreren, ich bezweifle, dass der offene Brief jetzt wirklich das ausschlaggebende war, aber ich wollte das nur kurz sagen, dass sich dasdass sich das ist auch unüblich wäre sich hier zu bedanken, ne? Wenn die, wenn ihr ein Gesetz verabschiedet, ist das ja auch nicht danke an die Opposition, für die, für die guten Ideen.Kurze Rolle des CC nochmal, wir haben ja eben vormehr als zwei Monaten die Prüfsteine definiert. Wir haben dann gesagt, okay, wir werden vor etwas warnen, was diesen Prüfstein scheitert und ähm wir,sehen uns in dieser Debatte ihnen beraten, dann kontrollierende RolleÄhm SAP und deutsche Telekom, auch das hatte ich hier glaube ich erwähnt, haben eben sich auch selber nach diesem Prüfstein geprüft. Das hatten wir nämlich auch gesagt, so wir machen das nicht. Muss man ja auch mal sagen, das ist ein Millionenprojekt. Soll ich da jetzt auch noch ehrenamtlich mich hinsetzen und äh und denden irgendwie eine Zertifizierung ausstellen. Das machen wir nämlich auch nichtja? Und ähm wir haben gefordert die App muss Quell offen sein und da gab's jetzt die Verbesserungsvorschläge und das ist doch allessehr schön. Grundsätzlich, wir haben unsere Bedenken geäußert, als wir welche hatten. Ähm wir.Empfehlen aus grundsätzlichen Erwägungen nie irgendetwas, weil wir wissen, dass es viele von sich von uns wünschen.Und uns vereinnahmen möchten, dafür stehen wir nicht zur Verfügung und in dem Kontext sich eben auch das, das ist hier jetzt keine großartige Erwähnung des CC oder was weiß ich, äh,dieser App gab und das ist auch genauso richtig gelaufen. Da kann man ja auch einfach mal äh.Ne, Politik ist, läuft mal gut, ne? Mal verlierst du, mal gewinnen, die anderen und ähm wenn dann mal von dieser Regel wichen wird, dann kann man sich auch einfach so darüber freuen.Kommen wir zu den allseits beliebten Logbuch, Netzpolitik, Kurzmeldungen.
Tim Pritlove 1:41:00
Die immer nicht so kurz sind. Die.
Linus Neumann 1:41:05
Eine eine Meldung von weiß, dot com, die denke ich auch,Also die wir auch nochmal in Zukunft öfter diskutieren werden, aber wir ich fahre jetzt hier mal kurz in einer kurzen zusammen. Und zwar gab es offenbar ein notorischen.Belästiger auf Facebook, der über mehrere Jahre junge Mädchen irgendwie angemacht hat, belästigt hatirgendwie versucht hat Fotos von ihnen zu erpressen und irgendwie sie mit Mord und Vergewaltigung zu bedrohen, also irgendwelche eine ganz schräge Scheiße, ja? Und.Das hat er offenbar über Jahre gemacht, in ganz ekelhaften äh ganz ekelhafter Art und Weise. Und das war Facebook hat daserkannt und Facebook war das ein Dorn im Auge und dem äh das Facebook hat dann auch das FBI eingeschaltet und mit denen zusammenzuarbeiten, um diesen Menschen,das Handwerk zu legen. So, was hat er gemacht, um es zu erschweren, dass man ihnen detektiert, der hat einfach überden Anonymisierungsdienst Tor auf Facebook zugegriffen. Jetzt muss ich mal sagen, welcher Handlungsoptionen,hatte Facebook an dieser Stelle. Ähm sie hätten beispielsweise,auch einfach sagen können, okay, wir blockieren Tor. Das haben sie nicht getan, das wäre problemlos möglich gewesen, das haben sie nicht getan. Aus verschiedenen Gründen. Erstens, weil sie sagen, nee, der anonymisierte Zugriff auf unsere Systeme muss ja möglich sein.Ähm Facebook ist da kein, also ich will jetzt nicht genau Facebookrolle zu Tor diskutieren, das ist auch wieder kompliziert, sagen, was kurz da ohnehin die Leute sich dort anmelden,und eigentlich unter kleinerem Zwang stehen, ist natürlich das Nutzen von Facebook, über Tor, äh ein.Eine ähm marginal ein maginalinteresse, ähm,da wird man jetzt nicht mehr viel Schutz bekommen, aber immerhin, sie haben sich nicht entschieden, den anonymisierten Zugang auf ihre Dienste zu verhindernDer Grund, warum sie sich wahrscheinlich auch nicht getan haben, ist, dass ihr konkretes Ziel war, diesen Menschen der Strafverfolgung zuzuführen. Und da hatte Facebook offenbar sehr große Motivation zu, denn.Selbst mit dem FBI haben sie's nicht geschafft, diesen Bastar Herr Nandes zu enttarnen und haben dann.Hat Facebook quasi ein Experte gekauft oder entwickeln lassen für,Tales, das Betriebssystem, was der ähm.Was dieser äh Typ benutzt hat. Tales ist wie, oh, ich kann das Wort immer nicht auf Deutsch aussprechen. Ähm.Dass äh das Inkorgnito Live-System mit Amnesie heißt das auf Deutsch. Auf Deutsch kann ich's sagen. Ähm ein ein man startet das im Prinzip von einemäh USB-Stick und äh es soll eigentlich allen Traffic immer durch Torruten und es hatwenn man's nicht spezifisch nochmal eine verschlüsselte Patition anlegt, auch kein State. Das heißt, das Ding merkt sich nichts, ne? Das das macht alles im im,Ramm und wenn du dann irgendwie den den Stick rausziehst, ist auf dem Computer nichts zurückgeblieben und in der Standardkonfiguration auch in den Tails nichts zurückgeblieben. So.Ähm relativ beliebt eben für so für den Sicherheitsbereichäh indem man na sicher Dateien scheren muss sich ja recherchieren muss, keine äh keine Information über sich selbst zurücklassen muss. Es ist aber nicht mein präferiertes äh Anonymisierungssystem. Und zwar,weil die Anonymisierung, das Tor-Routing bei Tales auf dem gleichen Betriebssystem stattfindet, auf der gleichen mit der kompletten anders Oberfläche dieses Betriebssystem ist. Und was ich auch in dem Vortrag mit Thorsten, wir beide,Thorsten und ich betonen ist, du willst die anonymisierung, eigentlich auf einer anderen haben, damit dir niemand die Anonymisierung kaputt,Das System, was das macht, äh nennt sich Hunix. Ähm wenn man das in virtuellen Maschinen betrachtet und ansonsten baust du die halt einfach einen eigenen Torruter,quasi der transparent in Tor reinrutet, damit egal was auf deiner Arbeitsmaschine passiert, du unter keinen Umständen niemals ein IP-Paket außerhalb von Tor sendest, ja.Ähm,Jetzt hat der Typ halt Tales genutzt und Facebook hat äh offenbar irgendjemanden bei äh gefunden und damit beauftragt einen Explot zu entwickeln, der spezifisch auf Tales zugeschnitten ist.Und dieser Explot diesen Export hat Facebook dann dem FBI über dritte Zukommen lassen.Also Facebook hat dem FBI ein Exploice gesponsort.Und die haben den äh dankend angenommen und haben dann eine Videodatei,äh äh angefertigt, in der sich dieser Explodio verparkt, der Explod war in den Medienplayer, der bei Tales drin ist und der Explot war geeignet, diesen Medienplayer so zu übernehmen, dass der dann,außerhalb von Tor, ein echtes IP-Paket sendet. Äh und zwar mit der IP-Adresse, die du versuchst, zu verschleiern. Und dann ist dann dieses Geschenk, ne, dann schickst du einIP irgendwohin und sagst, alles klar. Ist angekommen, der ist es jetzt beim Mobilfunk äh oder Netzwerkprovider herausfinden, wo der äh wo der sich aufhält und dann äh treten wir denn die Tür, eine Zähne da raus.Das ist dann auch passiert. Und äh Junge, Junge. Also, was für eine StoryAlso Facebook-Zeit für einen Explot auf den Open Source anonymisierungsbetriebssystem und schenkt in dem FBI und das FBI-Heck damit jemanden,jetzt muss man natürlich sagen, diese Schwachstelle hatte jedes Talesähm mit anderen Worten genau das, was wir hier meinen, ne? Hier wurde eine Schwachstelle gefunden und dann zumindest geheim gehalten, bis sie ausgenutzt wurde und,noch der Zug Zeit hier in privatwirtschaftliches Unternehmen, ne, wenn ich's jetzt mal den Begriff verwenden darf, eine Cyberwaffe für eine strafverfolgungsbehörde. Also.
Tim Pritlove 1:47:10
Kannst du einschätzen, was das für eine Größenordnung ist, so finanziell? Ich meine, das ist ja schon ein ziemlicher ziemlicher Brocken, so ein so ein Explod.
Linus Neumann 1:47:19
Na ja, müsste ein Routexploid sein, damit du irgendwie überhaupt an die Netzwerk-Routing-Sachen drankommst. Andererseits in einem Medienplayer, das das überrascht mich jetzt nicht, weil ne ähMedien zu passen, diese ganzen.Äh diese ganzen ähm Kodex, die da zum Einsatz kommen, das ist, das ist, sind sehr viele, ne, so ein Medienplayer muss Unmengen an Codex unterstützen, diese Kodex wiederum werden so geschrieben, dass sie schnell sind,Ja, also ne, das heißt äh die, die müssen ihre Aufgabe schnell ermöglichen und,dann klingt es, scheint es mir so, dass sie wahrscheinlich irgendwo ein äh,Buffer-Overflow in irgendeinem der Kodex gefunden haben, die dieser Medienplayer verwendet und dann noch äh von 'ne hattenPreis, ihr habt jetzt sicherlich nicht bitte ich sein, vor allem, wenn in dem in dem Artikel, wird der Eindruck erweckt, dass sie den Tagetit.In Auftrag gegeben haben und der nicht schon von irgendjemandem äh so,quasi äh der den vielleicht eh schon in der Schublade liegen hatte. Kann sein, ne? Aber da wird der wird schon nicht günstig gewesen sein.
Tim Pritlove 1:48:34
Also sechsstellig.
Linus Neumann 1:48:35
Würde ich jetzt auf jeden Fall sagen.
Tim Pritlove 1:48:37
Okay, ne?
Linus Neumann 1:48:38
Noch dazu ist ja eine der immer doch sehr hervorgehobenen.Ähm eines der immer halt sehr hervorgehobenen Schutzsysteme, die vielen Leuten empfohlen werden, die gerade im Journalismusbereich vielen ähm empfohlen werden und so.Und obwohl Teil zu vielen Leuten empfohlen wird.Es ist nicht mein präferiertes System, weil dieses so Torhuting auch auf der gleichen Büchse stattfindet und der Computer, der hat eine Netzwerkdose, die ist,von dem Betriebssystem, mit dem ich da arbeite, zugreifbar,so schaffst du es natürlich dann eben auch da irgendein IP-Paket woanders hinzuschicken. Wenn du gut bist und das da verteidigt sich Tails mit allen möglichen Mitteln gegen, aber offenbar hier,nicht äh richtig. Und ja, insofern überrascht mich diese Explodien nicht. Interessant ist.Dass sie hier spezifisch auch auf den Videoplayer gehen konnten, weil der Typ ja irgendwelche Videos von den von den,ähm Menschen erpressen wollte. Und sie haben's im Zweifelsfall stelle ich mir jetzt Hypothetisiere ich. Sie konnten wahrscheinlich sehr einfach erkennen, dass der wieder einen Account angelegt hat bei Facebook.Werden sie ja jedes Mal stilllegen, ne, aber es ging ja hier nicht darum, denen das Handwerk zu legen, sondern den der Strafverfolgung zuzuführen. Mit anderen Worten, ich gehe davon aus, Facebook hat dann einfach in Zusammenarbeit mit dem FBI mal geguckt, okay.Was gibt's hier für neu angelegte Accounts von Leuten, die über Tor kommen? Dann beobachten wir die mal.Aha, alles klar, der zeigt in seinen Messages und in seinem Suchverhalten das Verhalten der Zielperson, dann schlagen wir dem doch jetzt mal ein paar äh hübsche, junge Mädels vor. Einige davon sind unsere Fake-Accounts,oder wahrscheinlich vielleicht alle,und äh dann lassen wir uns mal äh brav von dem erpressen und äh sagen, ja, ja, okay, wir schicken dir ein Video. Und dann haben sie ihm das Video geschickt und dann hat er das geöffnet und abgespielt und dann kam das IPund dann haben sie den Knast gebracht. Also es ist eine Zusammenarbeit, die äh hart ist. Also das äh das ist schon eine krasse Sache.Und da fällt mir, da fehlen mir so ein bisschen die äh die Worte.
Tim Pritlove 1:51:02
Dir fehlen die Worte zu.
Linus Neumann 1:51:04
Zur Einordnung, ja? Weil, weil wenn das jetzt jemand, ne, weißt du, dass die.Die Wahrnehmung dessen, was sie da getan haben, wird natürlich jetzt dadurch gefärbt, dass sie es gegen ein jahrelangen Serientäter, der es cool fand, äh Kinder zu erpressen, getan haben, ne? Das äh,Das ist natürlich eine eine Bewertung den Aspekte dann in die Bewertung mit einfließt.Aber grundsätzlich ist das schon einfach Präzedenzfall und absoluter.Ja eine gewisse Sprachlosigkeit.
Tim Pritlove 1:51:43
Ja, weil man ja auch nicht weiß, wo.Wo es sozusagen die Grenze, ja, wenn das FPI jetzt mit einem anderen Fall kommt, der nicht so einfach moralisch zu bewerten ist. Sage ich mal, ne und.Sieht man auf jeden Fall was was möglich ist und was äh die Gefahren sind.
Linus Neumann 1:52:01
Ja und hätte fest, also Handlungsalternative, wenn Facebook jetzt gesagt hätte, okay, wir sperren anonymisierungsdienste, dann muss man natürlich auch echt sagen, dann hätten sie einen riesigen Kollateralschaden ange.Ähm.Angezerrt. Na? Und also, ich fänd's super, das können wir doch mal hier an äh unsere Kommentarschreiberinnen und Schreiber äh,übergeben. Das scheint mir echt eine spannende,ethische Diskussion zu sein, die so in nämlich dem weißer Ticket eben auch innerhalb von Facebook sehr kontrovers geführt wurde, man offenbar ne, hat weiß ja dann offenbar auch von einem.Der Facebook-Mitarbeiter oder Mitarbeiterin diesen Hinweis bekommen.Auch von Twitter haben wir was Neues, ja, Twitter hat jetzt so einen Testteil, dass sie die Leute, wenn wenn jetzt quasi etwas und einen Artikel verbreitet und der Twitter klein nicht den Eindruck hat, desto.Ähm den Artikel gelesen hast, dass sie dich dann darauf hinweisen, sagen übrigens, du verbreitest hier gerade etwas, was du selber nicht gelesen hast, willst du nicht nochmal reingucken.Interessante Idee, oder?
Tim Pritlove 1:53:16
Ja, net hat. Also funktioniert, ich weiß nicht so ganz genau, ähm auf welcher Basis das funktioniert.Aber sie werden sicherlich getestet haben, bevor sie damit öffentlich gegangen sind. Sie bemühen sich zumindest. Ich weiß nicht, ob es viel helfen wird, aber.Gibt auf jeden Fall ein Bienchen für für die Bemühung.
Linus Neumann 1:53:37
Ich find's interessant. Das testen sie in der Android-Version. Also nur bei Retreats ähm woihr im Prinzip quasi nicht auch schon auf den verlinkten Artikel geklickt habt. Ich bin mal gespannt, wie lange das dauert bis Donald Trump äh das merkt.
Tim Pritlove 1:54:01
Meinst du, muss ich jetzt die Dinger auch noch durchlesen, die er da die ganze Zeit raushaut?
Linus Neumann 1:54:08
Na, ich glaube, also das, was er da raushaut, das hat er sich ja auch angeguckt, das ist ja immer auch sehr kurz und von geringer Komplexität. Ähm.Da, na jaund wir haben eine, das wird jetzt auch wieder Thema, ein Thema, von dem man eigentlich dachte, dass das langsam vorbei ist, Fallsharing und Freifunk, ne? Da gibt's jetzt wieder ein ein Urteil äh vom AmtsgerichtKöln, Köster vom Amtsgericht Köln, der Richter heißt äh Eislerfunke. Da geht's in einer Auseinandersetzung,eben über die Störerhaftung von Anbieterinnen von freien Netzwerken und da hatte ich ja eigentlich den Eindruck, dass dieser Teil jetzt,inzwischen geklärt sei, äh mit der TMG Novelle, ja, wo nämlich gesagt wurde, es gibt ausdrücklich ähm,das war das ausdrückliche Ziel, die Haftungsgefahr für Ausschluss in Anschlussinhaber auszuschließen. Und eigentlich dachte ich, nämlich dieses Thema, wer jetzt seit gut zwei Jahren erledigt, aber hier gibt's jetzt wieder ein, ein Urteil, wo eine.Ich glaube irgendwie über siebzig Jahre alte Frau, die da in irgendwie mehr Generationenhaus die Eignerin des Telefonanschlusses ist zur Zahlung von zweitausend Euro an,verurteilt wurde, weil sie da eben frei freies Netz betreibt. Und selber überhaupt gar keinen Computer hat. Also das scheint auch wieder wirklich so ein irrsinniges Fehlurteil zu sein, was da eingegangen ist und da haben wir eigentlich gedacht, dass wir sowas nicht mehr hätten.
Tim Pritlove 1:55:39
Meine Oma klar und mit Freifunk deine oh ge.
Linus Neumann 1:55:49
Ja, unglaublich.Ja, also nur nur, damit jetzt hier nicht alle denken, es gibt nur noch gute Nachrichten.
Tim Pritlove 1:55:57
Ich glaube, diese Gefahr sieht keiner. Oder? Wir wissen's.
Linus Neumann 1:56:04
Okay.
Tim Pritlove 1:56:05
Jetzt können wir auch mal ein bisschen durchschnaufen, was irgendwie Corona App und so weiter betrifft, glaube ich. Ähm.Aber gut, das habe ich jetzt gesagt, ist wahrscheinlich nächste Woche schon wieder hinfällig. Mal gucken. Wird sicherlich noch spannend sein, dass äh weiter zu verfolgen. Aber gibt auch noch andere Themen.
Linus Neumann 1:56:24
Wir müssen ja noch ganz kurz sagen, ne? Den Epidemiolologischen Wert und nutzen und so weiter, dieser App äh haben wir uns nie angemaß beurteilen zu können.Das ist ein großes Experiment und wir werden sehen, wie das dieses Experiment weitergeht. Wieso viele Experimente,die wir hier machen. Hast du übrigens mitbekommen, dass jetzt der deutsche Impfstoff, ne, der kann am Menschen geprüft werden. Und ich würde ja vorschlagen, nein,Entschuldigung, ich weiter nur nochmal einen Paco oder äh daran erinnern, dass wir das, weil sie schon noch Chip gechipt kriegen.
Tim Pritlove 1:56:58
Euch kriegen wir schon noch gechipt.
Linus Neumann 1:57:04
Kriegen wir auch noch gechipt. Da wird echt Zeit. Also bei dem Attilerhelm, man wird's auf jeden Fall Zeit, dass der war langsam gechipt wird. Also der ist ja schon ganz wuschig.Dem wurde übrigens irgend so ein komischer äh Telegramm-Kanal jetzt aufgemacht von habe ich heute Morgen auf Twitter gelesen.
Tim Pritlove 1:57:18
Ja, habe ich auch gelesen.
Linus Neumann 1:57:20
Ja, so ist das. Ich sage mal, da sind natürlich auch diese Verschwörungstheoretikergruppen echt anfällig für für ähm.
Tim Pritlove 1:57:31
Andere ja.
Linus Neumann 1:57:31
Angriffe, weil die ideologische Festigkeit der Leute zu prüfen oder ne, sage ich mal, oder die,Wenn du, wenn du eine Verschwörung hast, ja? Und du möchtest die ideologische Festigkeit einer Kandidatin prüfen,ja? Dann ist das im rationalen Bereich relativ kompliziert, das zu faken, ne? Also wenn jetzt zum Beispiel, sagen wir mal, du bist irgendwie,Ne, was weiß ich. Du möchtest in den Geheim in den Geheimkreis, der äh Raketenwissenschaft,aufgenommen werden, ne? Dann müsstest, müsstest du relativ viel über Raketen, Wissenschaft wissen, um die davon zu überzeugen, dass du ihrer würdig bist. Wenn du aber wenn du Verschwörungstheoretiker Zirkel zirka willst, ne, dann musst du ja einfach nur ungeachtet jeder,Eisenhardt bei der Story bleiben, ja? Und wenn die dir dann sagen, wie bewertest du diese Veröffentlichung ähm was weiß ich.In der ARD, da musst du einfach nur sagen, ah, das ist die Medien-Lügenpresse. Ja, und also es ist halt relativ einfach, dich da reinzusocialenieren,weil du, weil du jetzt nicht mal relativ wenige Risiken hast, dich versehentlich zu verraten, solange du einfach nur dabei.
Tim Pritlove 1:58:42
Ja du musst einfach nur mitschreien.
Linus Neumann 1:58:45
Also solange du das Risiko minimierst, dich versehentlich durch rationale Argumente zu verraten. Ähm hast du dein leichtes Spiel.
Tim Pritlove 1:58:55
Ja. Einfach auch nochmal irgendwas abstruses selber noch erfinden. Am besten einfach Postion, äh Artikel reinpasten und sich total drüber aufregen.Kommt richtig gut.
Linus Neumann 1:59:10
Was ist das?
Tim Pritlove 1:59:12
Hier und überhaupt und da habt ihr diesen Twitter-Account schon gesehen, die haben jetzt wieder neue Kämpferelles angekündigt.Jetzt ist das Twitter-Account Kim, Kim Trails vierundzwanzig.
Linus Neumann 1:59:23
Ich glaube, den, ich glaube, der folge ich auch, den immer so Flugzeuge, ne? Schöne Flugzeuge fotos dazu.
Tim Pritlove 1:59:28
Ja, da wird war das was soll ich sag.
Linus Neumann 1:59:32
Von irgendwelchen Fässern am Flughafen und so weiter.
Tim Pritlove 1:59:35
Ist nicht.
Linus Neumann 1:59:39
Piloten oder sowas? Ja, ich habe auf, ich kenne auf jeden Fall aus der Twitter-Account hin.
Tim Pritlove 1:59:44
Ja, ich weiß jetzt nicht ganz genau, wie er heißt, aber äh der der sagt dann immer durch, wenn wieder neue Flüge sind und ja, die haben sich dann auch äh haben sich dann auch entschuldigt, dass dann irgendwie nichts liefingen, Corona und so, ne.Da konnte ja nicht geflogen werden.Aber der Service wird bald wiederhergestellt. Ist mal ganz ganz mein Humor.Ja, das war's für heute, würde ich sagen.
Linus Neumann 2:00:11
Okay? Das war's für heute. Mir bleibt nur noch kurz Manuela, Britta und Malte zu danken.
Tim Pritlove 2:00:19
Alles klar, vielen Dank fürs Zuhören, hört auch mal bei UKW rein und wie euch das interviewt gefallen hat und äh nächste Woche gibt's dann wieder mehr LNP und äh so weiter und so weiter und so weiter. Und so weiter. Bis bald, tschüs.
Linus Neumann 2:00:31
Ciao ciao.
Shownotes
Prolog
- tagesschau.de: CDU-Politiker Amthor: “Ich bin nicht käuflich” | tagesschau.de
- spiegel.de: Philipp Amthor: Ist der CDU-Jungstar käuflich? – DER SPIEGEL
- spiegel.de: Philipp Amthor zieht sich aus Untersuchungsausschuss zurück – DER SPIEGEL
CWA Release
- ukw.fm: UKW030 Die Corona-Warn-App | UKW
- heise.de: Corona-Warn-App: „Alles ist Made in Germany, alle Daten, alle Projekte“
- kraftfuttermischwerk.de: Für all jene, die seit Tagen ausgerechnet auf Facebook bezüglich der Corona-Warnapp rumheulen – Das Kraftfuttermischwerk
CWA FAQ
Location-Dienste auf Android
- twitter.com: Tweet von Linuzifer
Batteriebedarf und Gerätesupport
- blog.google: Exposure Notification FAQ
Datenverbrauch
Internationale Nutzung
- ukw.fm: UKW030 Die Corona-Warn-App | UKW
Security
App-Zwang
- netzpolitik.org: Diskriminierung – Grüne legen Gesetzentwurf für Corona-Warn-App vor Grüne legen Gesetzentwurf für Corona-Warn-App vor – netzpolitik.org
Entwicklungszeit
- netzpolitik.org: Kontaktverfolgung – Wie die Corona-App Frankreich in Europa isoliert Wie die Corona-App Frankreich in Europa isoliert – netzpolitik.org
- netzpolitik.org: Amnesty International – Große Missstände bei internationalen Corona-Tracing-Apps Große Missstände bei internationalen Corona-Tracing-Apps – netzpolitik.org
- lemonde.fr: L’application StopCovid, activée seulement par 2 % de la population, connaît des débuts décevants
- twitter.com: Tweet von qbi
- insecurity.radio.fm: Smittestopp gestoppt – Radio (In)Security
- nrk.no: FHI stoppar all innsamling av data i Smittestopp – NRK Norge – Oversikt over nyheter fra ulike deler av landet
Jan Fleischhauers Reaktion auf unsere Richtigstellungen
- twitter.com: Tweet von me_netzpolitik
CWA
- youtu.be: Corona-Warn-App: Experten beantworten Fragen | CHIP
- faz.net: Fünf Fragen zur Corona-App
Open Source
- xda-developers.com: Huawei releases its „Contact Shield“ API for COVID–19 contact tracing
Risikominimierung
TÜVit-Bericht
- heise.de: TÜV-Prüfung der Corona-App: Lücken gefunden, Kritik am Veröffentlichungstermin
- heise.de: heise online
- heise.de: TÜV-Prüfung der Corona-App: App soll stabil und sicher laufen
- handelsblatt.com: Prüffirma TÜV-IT: Corona-Warn-App ist stabil und sicher
Rolle des CCC
- ccc.de: CCC | 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps
- github.com: cwa-documentation/pruefsteine.md at master · corona-warn-app/cwa-documentation · GitHub
Facebook und FBI hacken gemeinsam
- vice.com: Facebook Helped the FBI Hack a Child Predator – VICE
- tails.boum.org: Tails – Home
- whonix.org: Whonix – Software That Can Anonymize Everything You Do Online
Twitter will dass man Artikel liest
- twitter.com: Tweet von twittersupport
Raubkopierer-Oma
- http:: Die alte Dame › Freifunk statt Angst
- heise.de: Freifunk-Störerhaftung: „Raubkopier-Oma“ ohne PC muss für Filesharing blechen
Epilog
- twitter.com: Tweet von AnonNewsDE
- Chemtrail24
- Chemtrail24 @ Twitter
Hallo Tim und Linus,
euer Ansatz, die real vorhandenen Sorgen um die bestehenden Schwächen der App klein zu reden, und mit dem Argument zu kommen, es gibt schlimmeres, irgendwie nicht sachgemäß. Weil man erstens nicht erwarten kann, dass einfacher Bürger den nötigen Sachverstand mitbringen, wenn selbst die Presse da seine Schwächen hat. Und zum zweiten, bringt das nicht wirklich einen benefit im Sinne des Gewinns einer Erkenntnis. Die meisten Bedenken rühren von einer einfachen Tatsache, der desaströsen Informations- und Kommunikationspolitik des ganzen Vorhabens. Des ganzen, nicht nur dem Teil über die App. Der Teil hinter der App ist im übrigen aus dem Blick der Kontrolle der Pandemie auch deutlich wichtigerer. Und wenn man sich den Start anschaut, dann muss man sich fragen, wie das passieren konnte. In beiden Stores war die App kaum auffindbar. Das ist ein absolutes Unding. Die meisten Labore sind nicht angebunden. Und die Sache mit dem nicht im Vorfeld kommunizierten Problem, bzw. der Verwirrung mit den Locations-dienst auf Android. Bei den Millionen die ausgegeben wurden, ist das eine ziemlich dilettantische Herangehensweise.
Naja, hat halt gedauert, bis in Cupertino und Mountain View die Sonne aufgangen ist, bis das Featuring (und ggf. die Aktualisierung des Suchindex) freigeschaltet war. Finde ich jetzt nicht so ein Drama, aber liegt nicht in der Kontrolle des Projekts
Ja, das ist ein Problem, aber das haben wir ja auch angesprochen. Ist mir jetzt etwas unklar, warum Du meinst, wir würden das „kleinreden“. Aber nach einer Entwicklungszeit von nur 7 Wochen über zwei Unternehmen hinweg muss man schon auch etwas Quellzeit zugestehen. Wenn das in einem Monat immer noch so ist, dann wird es peinlich. Solange die Hotline-Methode funktioniert (und das können wir derzeit nicht bewerten), ist die Grundfunktionalität sichergestellt und darauf kommt es an.
Kann man so sehen, kann man auch anders sehen. Denn das Problem taucht ja wie erwähnt nur bei den Leuten auf, die die Lokationsdienste für alle abgeschaltet haben. Das dürften die wenigsten sein (aber das kann ich nicht quantitiv abschätzen). Unglücklich, aber eben die Schuld von Android und nicht der App.
Ich muss sagen, dass wenn das so die Hauptkritikpunkte bei so einem Projekt sind, dann kann ich damit vorerst leben.
Hier sind die Angaben der Gesundheitsämter aus dem Artikel in der ZEIT ONLINE. Daraus kann man erkennen, das so lange dort mit Fax und Telex hantiert wird, man nicht wirklich Ergebnisse aus der Nutzung der App zu erwarten hat. Der Störfaktor Mensch, ist ein großes Problem.
Aus dem Artikel:
„Bis heute ist bei der Befundübermittlung der Einsatz von Faxgeräten Standard. Wünschenswert wäre, technische Schnittstellen bereitzustellen, um digital mit den Laboren kommunizieren zu können.
Gesundheitsamt Nienburg, Niedersachsen
„Für die Bewältigung von Pandemiegeschehen ist eine bundesweit einheitliche Software zu fordern. Diese muss die Vernetzung aller Akteure ermöglichen: Arztpraxen, Krankenhäuser, Labore, Gesundheitsämter, Ortspolizeibehörden, Ministerien, RKI, Patienten, Kontaktpersonen etc.
Gesundheitsamt St. Wendel, Saarland“
https://www.zeit.de/wissen/gesundheit/2020-06/gesundheitsaemter-corona-infektionsketten-nachverfolgung-meldeverfahren-tests/seite-2
Zu dem Thema „auch die die nicht Google-Play-Services benutzer können müssen zugriff bekommen“. Das scheint mit überschaubaren Entwicklungsaufwand möglich zu sein. Zumindest hieß es ja von Huawei das sie diese Funktion nachgebaut haben.
Relevanterer Frage: Spielt es eine _grosse_ Rolle? Sure es wäre nett, wenn alle das verwenden können. Aber wir haben endliche Ressourcen für sowas und gerade der HW Support ist ja das teure (zumindest wenn es überall sinnvoll funktionieren soll). Ist das wirklich worauf die Bundesregierung Geld werfen sollte? Die Diskussion geht ja jetzt schon los von wegen 20 Mio Euro ist zu teuer… (Mich wuerde eine Aufteilung in App vs Backend (für App) vs Frontend für die Labore interessieren, meine Vermutung wäre letzteres dominiert).
Generell hätte ich es gerne, dass die BRD diese Art Software finanziert, auch um Apple und Android zumindest ne Tokenkonkurrenz zu bieten, aber das kostet halt massiv Geld…
Akt 1: Tim meckert, dass die Warnung zur Nutzung von Standortdaten unverständlich ist. Typisches Android-Problem, würde bei iOS nicht passieren.
Akt 2: Tim erklärt Minuten später, wie super verständlich die Infos zum Akkuverbrauch der App auf iOS sind.
Moin!
Es konnten keine Audio Dateien vom Server geladen werden. Entweder du hast gerade keine Verbindung zum Internet oder die Dateien sind nicht auf dem Server verfügbar erscheint, wenn ich den Podcast starten will. Also Internetverbindung läuft und ich scheine die einzige Person mit diesem Problem zu sein. Gibt es noch eine Möglichkeit den Cast woanders zu hören?
Lg
es liegt entweder an meiner linuxdis
und an den applications
oder was weiss ich
eher wahrscheinlich trolling
sry wenn ich was falsch gemaxht hab
ffs
Zur Deanonymisierung von COVID-Erkrankten:
Gibt es nicht ohnehin eine Meldepflicht? Da hätte ja der Staat wenig gewonnen und dass Bill Gates jetzt in Deutschland so ein Erkennungsnetz installiert halte ich für relativ unwahrscheinlich.
Ja gibt es, deswegen ist die Diskussion auch oft so durcheinander. Oder anders ausgedrückt: es gibt bisher noch kein überzeugendes Angriffsmodell auf das System, weil einfach kaum relevante Daten überhaupt den geschützten Bereich der Telefone verlassen. Der einzige Moment wo das geschieht ist die Meldung. Aber aus den veröffentlichten Daten lassen sich nun mal weder die Identität noch irgendwelche weiteren Metadaten ableiten. Die beim Upload genutzte IP-Adresse, die eine Identifikation des Telefonanschlusses ermöglichen würde, wird vom Upload-Server verworfen und nicht mit den veröffentlichen Keys gespeichert.
Wie in der Sendung ausgedrückt: ein überzeugendes Angriffsszenario muss beschreiben, wer in dem Fall der Interessent wäre (Identitiät und Motivation) und welche Daten über wen in dem Fall gewonnen werden könnten und welche Nutzen man daraus ziehen könnte. Da gibt es nichts Überzeugendes.
Zu Thema Fussballspiele, Konzerte, Gastronomie und Freiwilligkeit der App finde ich dass es eindeutig nicht legal sein darf in irgendeiner Weise da Vorschriften zu machen.
Will sagen wenn die App freiwillig ist, muss grundsätzlich ausgeschlossen werden, dass irgendwelche Vereinbarungen halbfreiwilliger Natur getroffen werden. Also alle gemeinsamen Verabredungen sei es kleine Firma oder Olympiastadium müssen grundsätzlich ausbleiben.
Ansonsten bedeutet das ja doch wieder Zwang durch die Hintertür bzw. ansteigend je nach Zeitdauer.
Heute noch sehr freiwillig, morgen halbfreiwillig, in 2 Jahren kein Job oder kein Eintritt ohne diese
(oder auch die nächste, Begehrlichkeiten sind schnell geweckt) App.
Dann behaupte einfach Du hattest Covid schon bevor es die App gab, milder Verlauf und bist inzwischen vorläufig immun.
Die derzeitige Pflicht der Dokumentation ist ja auch nicht ohne Aufwand für die Gastronomie.
Mein Vorschlag, zwei Optionen, Adresse aufschreiben, oder App zeigen.
Beides muss angeboten werden und ich vermute die App, da deutlich einfacher, wird sich schnell durchsetzen.
Bei der App wäre es vielleicht sinnvoll eine Anzeige zu haben wie lange sie denn aktiv ist, oder ob sie die letzte x Minuten aktiv war, damit man sie nicht nur beim vorzeitigen abschaltet um die namentliche Registrierung zu umgehen.
Ich denke nicht, dass das ginge:
Die Gastronominnen müssen ja garantieren, jeden Tisch benachrichtigen zu können.
Mit der App ist das je nach Distanz nicht garantiert.
aber halt mal, hier sollte doch die App ins Spiel kommen.
Wenn der Tisch weit genug weg ist wenden keine Tokens gespeichert und umgekehrt.
In zweiter Überlegung müssen natürlich die Tische an denen Gäste ohne App sitzen auch berücksichtigt werden.
Zu eure Diskussion bzgl Facebook und FBI: Warum empfindet ihr das _Entwickeln_ der Schwachstelle als problematisch? Die war ja die ganze Zeit da, die ist ja nicht dafür eingebaut worden. Aus dem gleichen Grund verstehe ich den Vorbehalt nicht gegenüber Exploit _Aufkauf_ bzw _Entwicklung_ durch das BSI. Das ist für mich das gleiche wie Security through Obscurity („solange wir nicht hinschauen wird der Bug schon nicht da sein“). Das Problem hier ist halt, dass jemand anders das hinschauen auch machen kann. Natürlich verstehe ich euer Vorbehalt, dass die „Bekanntheit“ durch solche Untersuchungen steigt. Aka die organisierte Kriminalität „findet“ solche Exploits wahrscheinlich relativ flott, nachdem sie in irgendeiner offiziellen Datenbank gelandet sind. Damit erhöht sich schon die Anzahl der Exploits im Umlauf wahrscheinlich schon, auf der anderen Seite „leaken“ wahrscheinlich auch mehr zurück zu den Autoren, von daher: Selbst hier ist mir nicht klar, dass es schadet.
Natürlich wäre es mir lieber (und ich verstehe auch nicht wirklich warum es nicht so ist), dass die Exploits die offiziellen Stellen bekannt sind auch direkt allgemein veröffentlicht werden. Wegen mir sogar gerne mit nem Timeout für nachrichtendienstliche Ausnutzung (der CCC hat hier bestimmt ne stark andere Meinung) und man muss nochmal drüber reden wie man mit „unresponsive“ Autoren umgehen will. Aber egal wie: Man selbst hat den Bug gefunden (oder vielleicht auch nur gekauft), d.h. im _besten_ Fall war man der erste, aber man ist garantiert nicht sicher der _einzige_ der über diese Lücke stolpert.
Übersehe ich etwas oder ist die Problematik von Exploits in den Händen von offiziellen Stellen nicht einfach nur das _Geheimhalten_ derselben und nicht das Beschaffen?
„Aus dem gleichen Grund verstehe ich den Vorbehalt nicht gegenüber Exploit _Aufkauf_ bzw _Entwicklung_ durch das BSI. “
1lEine der Aufgaben des BSI ist für die Sicherheit (von Bürgern und Firmen) in der IT zu sorgen. Dieses Ziel steht in einem starken Interessenkonflikt zum Entwickeln/Aufkaufen von Exploits.
Ich würde auch das Aufkaufen vs das Entwickeln von Exploits nicht auf die gleiche Stufe stellen: Entwickel ich Exploits, dann suche ich nach Sicherheitslücken und verschweige die gefundenen dem Hersteller.
Wenn ich Exploits aufkaufe, dann halte ich auch existierende Schwachstellen geheim. Allerdings finanziere ich darüber hinaus auch noch halbkrimminelle (e.g. FinF***er) und kriminelle Gruppierungen und helfe ihnen somit dabei die gesamte Sicherheit aktiv zu senken.
> Dieses Ziel steht in einem starken Interessenkonflikt zum Entwickeln/Aufkaufen von Exploits.
Das ist was ich nicht verstehe. Das _Geheimhalten_ der Exploits ist was den Konflikt erzeugt, _nicht_ das Entwickeln/Kaufen (bei letzterem wird man wahrscheinlich nicht häufig Dinge Verkauft bekommen okay).
Also in dem konkreten Fall jetzt: FB bezahlt den Exploit, gibt ihn dem FBI, wartet bis der Kerl verurteilt ist und gibt den Exploit jetzt _auch_ den Entwicklern von Tails. Ist das jetzt gutes Verhalten oder immer noch nicht?
Im Bezug auf die Modus Wahl der Standortermittlung. Bei Android 9 kann man nur zwischen 2 Modi Wählen. Zwischen genauer Erfassung bei dem Mobilfunknetzte, GPS, Sensoren und Wlan erfasst wird und zwischen dem ungenaueren Modus bei dem nur GPS erfasst wird.
Daher muss auf Android 9 für Nutzung der Standortdienst und damit der Corona Warn App das GPS tracking aktiviert sein, auch wenn die Corona App nicht selbst darauf zugreift.
Dann bleibt mir nur die Wahl alle Berechtigung für das GPS zu tracken zurückzuziehen, damit die entsprechenden Apps nicht parallel mein GPS Standort tracken.
Zum Facebook/FBI-Hack: dass die Kosten sechsstellig waren, stand doch in Medienartikeln, z.b. bei SPON: https://www.spiegel.de/netzwelt/web/facebook-teure-jagd-auf-den-schlimmsten-kriminellen-nutzer-a-4901365e-e96d-4828-a1b5-6ce6b29b74a7
Zu den Informatik-Drostens: Das PDF ist afaik nirgends akzeptiert. Es geht also nicht darum ein Paper vor der Konferenz oder der Publikation in einem Journal zur Verfügung zu stellen. Fragt sich also, warum das kurz vor dem Release der CWA unbedingt raus muss. Ist das Thema (wie bei Drosten) wirklich so wichtig für die Informatik? Ich denke nicht. Aber na gut — kann man machen.
Die mit dem PDF verbundene Berichterstattung ist aber nicht ganz ungewollt: Die TU titelt „Corona-Warn-Apps haben Defizite bei Sicherheit und Datenschutz“ (https://www.cysec.tu-darmstadt.de/cysec/index.de.jsp) …mal ein Blogeintrag davor schauen: Oh, eigene Corona-App ist beste von Welt! Und mit ihrem Alter Ego treiben die Autoren die „unglückliche Berichterstattung“ selbst aktiv voran (https://twitter.com/tracecoronaapp). Journalisten die das ähnlich wie ihr einordnen wird explizit widersprochen.
Mein Problem mit den Standortdiensten ist folgendes:
Ich habe diese standardmäßig geräteseitig deaktiviert. Nur wenn ich diese aktiv benötige, gebe ich die Positionsbestimmung über GPS frei. Dann haben ausgewählte Apps Zugriff auf meinen Standort (wie z.B. Google Play Dienste und Google Maps damit die Navigation funktioniert). Damit die Corona Warn App funktioniert, muss ich, wie ihr schon sagt, zumindest die ungefähre Lokalisierung (ohne GPS) dauerhaft geräteseitig zulassen. Mach ich das, haben aber automatisch auch alle anderen Apps, die auf meinen Standort zugreifen dürfen, dauerhauft Zugriff auf meinen ungefähren Standort. Gerade die Google Dienste nutzen diese Berechtigung auch dauerhaft.
Ich möchte ungern jedes mal, wenn ich eine Navigation benötige, in den Einstellungen den entsprechenden Apps die Berechtigung geben und hinterher wieder entziehen müssen.
Was fehlt, ist eine Einstellung, die die Positionsbestimmtung ausschließlich über Bluetooth erlaubt, oder noch besser eine Berechtigung (für jede App separat), die es der Apps erlaubt, auf GPS, nicht aber auf andere Lokalisierungsmöglichkeiten zuzugreifen.
Solange es für dieses Problem keine Lösung gibt, werde ich die App wohl nicht verwenden. Eine Lösung seitens Google wäre vermutlich nicht besonders kompliziert, ist aber vielleicht gar nicht gewollt.
Ich finde es sehr gut, dass ihr nochmal fast eine ganze Folge zu den FAQ zur Corona-App gemacht habt. Allerdings ist es schade, dass die meisten Leute, die sich ebenfalls diese Fragen stellen werden, vermutlich nicht die Motivation haben werden, zu suchen, bis sie euren Podcast finden. Stattdessen werden wohl viele aufgrund ihrer Bedenken die App einfach nicht installieren.
Eigentlich müsste im öffentlich rechtlichen Fernsehen jetzt mal eine Sondersendung zur prime time mit einer verständlichen, ausführlichen und neutralen Erklärung der App gesendet werden. Dann würden die Öffentlich-Rechtlichen endlich mal ihrem Bildungsauftrag gerecht werden.
Hallo Tim.
Wegen dem Nachbau einer freien Play Service Alternative.
Da gibt/gab es bei github eine Diskussion u.a. mit dem Malte den du in deinem UKW30 hattest.
https://github.com/corona-warn-app/cwa-app-android/issues/75
Es wird wohl schon an einer Alternative gearbeitet:
https://github.com/theScrabi/CoraLibre-android-sdk
Ja, das war da auch schon in den Shownotes :)
Vielleicht hier auch oben mit angeben?
Die Google Play-Dienste wollen, dass man einen Google-Account einrichtet. Das kommt mir nicht auf’s Gerät.
(Und jetzt weiß ich auch, warum mein Bluetooth noch nicht ging. Die Ortungsdienste werde ich auch nicht anmachen, in der Vergangenheit haben die ohne Zustimmung eine Historie geloggt und verschickt.)
CWA gerne, aber Ortungsdienste und Google-Account nein danke.
Wollen und müssen sind 2 verschiedene Paar Schuhe.
Ich nutze die Play-Dienste ohne Google Konto angemeldet zu haben.
Zum Thema Standort unter Android.
Ich habe hier ein Samsung J3 SM-J330FN unter Android9 da liegen.
Ich finde da nichts wo ich beim Standort „nur“ GPS aus machen kann?
Ich kann Nur Standort an/aus + zusätzlich „genauer Standort“ mit Nutzung WLAN + Blauzahn?
Hey Tim, Hey Linus,
Ich arbeite in der Veranstaltungsbranche und bin aktuell Teil einer Arbeitsgruppe die sich mit der Fragestellung auseinandersetzt wie im Herbst unter Einhaltung der Corona Regeln wieder Veranstaltungen stattfinden können und was das für den Veranstaltungsbetrieb bedeutet.
In diesem Zusammenhang wurde auch über die Corona App und andere Möglichkeiten der Nachverfolgung von Kontakten gesprochen.
Es wird von Seiten der genehmigenden Behörden in jedem Fall eine Anforderung an Veranstalter geben, dass auf der Veranstaltung ein Contact Tracing möglich sein muss und der Veranstalter dazu wie auch im Restaurant die Daten der Teilnehmer vorhält.
Das mag bei einer Einzel Veranstaltung wie einem Konzert sogar noch relativ gut über Zettel zu lösen sein.
Wie allerdings soll das auf einer Veranstaltung die in mehreren Spielstätten über mehre Tage stattfindet (z.B. Congress) gelöst werden?
Auch da hätte man natürlich die Möglichkeit zu sagen wir machen das beim Betreten des Veranstaltungsgeländes mit Zetteln und im Zweifel bekommt die Behörde dann halt einfach alle.
Man könnte die Teilnehmer auch bei der Teilnahme an jedem Vortrag, Seminar, Bereichs der Veranstaltung so nen Zettel ausfüllen lassen um ein genaueres Tracing zu ermöglichen.
Beide Varianten erscheinen mir weder besonders praktikabel noch besonders Datensparsam.
Würde man In diesem Szenario einen Veranstalter haben der sich sehr für das Verhalten seiner Teilnehmer interessiert ließen sich aus so einer Zettelflut mit ein bisschen Fleißarbeit sehr schnell Profile über die Teilnehmer und ihre Interessen anlegen.
Auch wenn man so ein System Zettellos mach droht Ähnliches.
In meine Wahrnehmung wäre die vermutlich einfachste Lösung die zur Nachverfolgung benötigten Daten beim ersten Zutritt zum Veranstaltungsgelände (Einlösen des Tickets) einmal aufzunehmen und alle Teilnehmer zu verpflichten die Corona Warn App installiert und aktiviert auf dem Telefon zu haben.
So schützt man die Teilnehmer der Veranstaltung vor der Neugier kommerzieller Akteure im Veranstaltungsbereich und muss im Zweifel( Bsp. Congress) nicht mehrere 10.000 Menschen warnen weil 1 Person die die Veranstaltung besucht hat positiv getestet wurde.
Ich würde mich sehr darüber freuen eure Gedanken dazu zu hören. :)
Vielen Dank für die gute Arbeit die ihr mit eurem Podcast macht!
Das wäre dann genau der befürchtete Einstieg in die Beendung der Freiwilligkeit. Man kann dann ohne Smartphone mit App nicht auf bestimmte Veranstaltungen.
Und wenn das dann so gut klappt, kommt man auch irgendwann nicht mehr in den Supermarkt…
Siehe auch meinen ersten Kommentar.
Tut mir leid, Veranstaltungen müssen ohne ZwangsApps möglich sein.
Ich sehe kein Problem darin, verpflichtend eine Emailadresse zur Verfügung zu stellen, bzw die ist in den vielen Fällen ja eh schon im System.
Dann bekommen 30000 Teilnehmer halt ne Email, ist doch machbar.
Hallo Bernd!
Ich finde die App auch ziemlich gut und würde sie mir installieren. Ich habe aber sehr bewusst ein recht altes Smartphone (iphone 4) und bin deshalb raus. Auf Konzerte würde ich trotzdem gerne gehen können :)
Und wie Georg richtig sagt, wenn das einreißt, sind schnell auch andere Dinge im Gespräch…!
(Eine Diskussion darüber warum ich mir kein neueres / gebrauchtes phone holen will, ist ein gesonderter Schauplatz. Das ist meine klare Entscheidung – am liebsten hätte ich gar kein handy, aber das pack ich bisher nicht.
Da manche Menschen die Entscheidung mit „so einem Ding rumzulafen“ nicht leicht akzeptieren können, infrage stellen und mich zu neuem Smartphone-Glück überzeugen wollen, ein paar Stichworte die für mich zu dieser Entscheidung führen:
Ökologie (auch dem Gebrauchtmarkt will ich keine Geräte entziehen), Technikunabhängigkeit, Suffizienz (Genügsamkeit), Zeitgewinn,…
Sehr gut sind meine Motive auch erklärt z.B. von Niko Paech bei Jung & Naiv 405 [1]
Oder auch auf media.ccc.de [2]
[1] https://www.jungundnaiv.de/2019/03/17/postwachstums-oekonom-niko-paech-ueber-kapitalismus-barbarei-nachhaltigkeit-folge-405/
[2] z.B. bei 18’13“ https://media.ccc.de/v/bub2018-208-digitale_suffizienz_wie_kann_die_smarte_welt_auch_grun_werden#t=1093
)
Das Reeperbahn Festival, also eine Veranstaltung mit vielen unterschiedlichen Locations, hat da schon sehr konkrete Pläne:
„Wir sehen außerdem eine Nachverfolgung des individuellen Besuchsverhaltens mit der so genannten RFID- Technik vor. Alle Besucherinnen und Besucher bekommen ein Einlassband mit einen Chip, der am Eingang und Ausgang jeder Spielstätte gescannt wird. Wer das nicht möchte, kann in diesem Jahr leider nicht teilnehmen.“
https://www.zeit.de/hamburg/2020-06/reeperbahn-festival-coronavirus-tracking-alexander-schulze (+)
Dort wurden bis vor einigen Jahren auch schon Beacons für andere Zwecke eingesetzt
https://kontakt.io/blog/beacons-at-music-festivals/
Hallo Tim,
gibt es eine Möglichkeit direkt auf das Audio mit Timestamp eines Kapitel zu verlinken? Würde gern einigen Bekannten direkt euer Kapitel mit der Erklärung der Lokalisierungs-Dienste unter Android schicken.
Ja. Den Link kannst Du im Web Player im Share Tab erzeugen.
Danke, jetzt hab ich es auch gefunden ;)
Beim Thema „iPhone 6 bekommt kein Contact Tracing von Apple“ hat Tim leider Quatsch erzählt, das Gerät hat alle notwendige Hardware (andernfalls könnte man ja z.B. nicht die Beacons in nRF Connect sehen), es ist einfach Apples Entscheidung dafür kein Update mit Contact Tracing API zu liefern und dafür gehören sie dann halt auch kritisiert.
Ok, das holen wir nach!
Danke für den Hinweis!
Hallo,
gibt es wohl einen technischen Grund dafür, warum aktuelle iPads (A12X) und iPods (A10) auch von der Corona-Warn-App ausgeschlossen sind? Bluetooth 5.0 bzw. 4.1 ist vorhanden und iOS 13.5.1 jeweils installiert. Es scheint so, als sein Mobilfunk-Fähigkeiten zwingend erforderlich, doch mir ist nicht ersichtlich, warum das so wäre.
Natürlich ist mir klar, dass Leute ohne Smartphone ehr einer Minderheit angehören und somit für den epidemiologischen Erfolg dieser App womöglich nicht relevant sind. Ich bin jedoch ein regelmäßiger Hörer dieses Podcasts und dachte bisher, das Funktionsprinzip der App wenigstens im Ansatz verstanden zu haben (wohl ein Trugschluss).
Also beim iPad kann man wohl durchaus weniger dauerhafte Nähe annehmen, ein iPod ist da schon was anderes.
Ich benutze das iPad recht regelmäßig auf längeren Zugfahrten, wo ich durchaus nicht ganz alleine sitze. Da Mobilfunk nach meinem Verständnis optional sein sollte, kommt der Support für weitere Geräte vielleicht etwas später. Es macht schon Sinn, dass Smartphones priorisiert wurden.
Verwundert hat mich nur die Meldung „Für diese App werden bestimmte Funktionen benötigt, die auf diesem Gerät nicht verfügbar sind.“ Ist wohl etwas unglücklich formuliert.
Jetzt ist aber mal gut! Wer seid Ihr, und was habt Ihr mit Tim und Linus gemacht?
Seit Wochen und Monaten stimmen die beiden jeglichen Corona-Maßnahmen zu, egal aus welcher Ecke und mit welcher Begründung sie kommen, solange sie nur scharf genug sind. Waren (noch) nicht erfolgreich? Dann müssen härtere Maßnahmen her! Haben eine Erkrankung verhindert? Na, dann waren sie ja richtig! Merkt Ihr was? Genauso werden uns die ganzen Unterdrückungsmaßnahmen „wegen Terror und so“ verkauft.
Aber jetzt? Die Sicherheitslücke im Design braucht schon etwas Aufwand, um sie zur Totalüberwachung gebrauchen zu können? Hey, ich dachte, seit Snowden sei dieses Argument gegessen: GENAU DAS MACHEN DIE! DIE HABEN DIE MITTEL!
Und schmierige Typen, die sich an Kinder heranmachen, die taugen jetzt mit einem Mal dazu, den Kauf eines 0days zu rechtfertigen? Holt alle Uschis Stopp-Schilder ‚raus!
Aber was jetzt noch das Fass zum Überlaufen bringt: jetzt verteidigen die zwei auch noch Zero Rating. Aus. Vorbei. Glaubwürdigkeit verspielt, alles am Ende.
Doch warte: solange sie den Fleischhauer nicht auch noch zum Ziel ihrer persischen Lobhudeleien machen, so lange ist noch ein Funken ihres wahren Bewusstseins vorhanden! Haltet durch, Jungs, befreit Euch vom Joch der Hirnfresser!
Das sind halt die Auswirkungen der Gates-Chips *shrug*
Wie jetzt? Ich bin doch noch garnicht geimpft gechippt! 100%ig nicht!
Ehrlich gesagt fühle ich unsere Positionen in deinem Beitrag nicht korrekt wiedergegeben.
Hallo Tim und Linus,
Danke für euren Beitrag heute zum Thema Corona App, der hat wieder mal den Nagel auf den Kopf getroffen. Ihr habt über das Paper der TU Berlin gesprochen, welches auch bei uns in der Schweiz Aufsehen erregt hat – aber wenn ihr wissen wollt, wie weit diese rechthaberischen Streitereien gehen können, schaut mal hier rein:
https://infoscience.epfl.ch/record/278048
(wohlgemerkt von derselben Hochschule, die DP3T entwickelt haben, aber offenbar von einer rivalisierenden Forschergruppe). Die Reports des NCSC, welche dort erwähnt wurden, finden sich hier: https://www.melani.admin.ch/melani/en/home/public-security-test/current_findings.html – ich hoffe, euch in Deutschlang bleibt dies erspart. Ach ja, offizielles Launch Date in der Schweiz soll der 25. Juni sein, falls nicht aufgrund dieser und ähnlicher Publikationen der vorzeitige Tod eintritt.
Die Erklärung, warum der Energieverbrauch beim Senden geringer ist als beim Empfangen, ist nicht korrekt. Der reine Energiebedarf im Dauerbetrieb ist recht ähnlich (siehe https://infocenter.nordicsemi.com/pdf/nRF51822_PS_v3.1.pdf ). Der große Unterschied entsteht durch das Rendezvous-Problem (ist, denke ich, den meisten Ingenieuren vertraut): Da die Systeme nicht synchronisiert sind, muss entweder der Sender dauerhaft senden oder der Empfänger dauerhaft empfangen, damit sich beide „treffen“. In der Praxis ist dauerhaft senden eher unvorteilhaft, da es den Kanal verstopft. Daher sendet man nur kurz und empfängt dafür lang. Das macht den Großteil des Unterschiedes im Energieverbrauch zwischen Senden und Empfangen aus.
Sorry, aber das trifft glaube ich nicht zu – zumindest in diesem Fall:
https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-BluetoothSpecificationv1.2.pdf#page5
Hallo Linus
Es trifft auch hier zu, ist jedoch etwas versteckter.
Ein Broadcasting-Intervall von 250ms bedeutet, dass dein Sender in einem 250ms-Zyklus ca. 1ms aktiv ist (ungefähre Länge eines Advertisements) und 249ms schläft.
Damit der Empfänger mit hoher Wahrscheinlichkeit das Advertisement empfängt, muss er mindestens 250ms dauerhaft aktiv sein. Das heißt, dass er im gleichen Zyklusintervall 250 mal länger aktiv ist. Bei nahezu gleicher Stromaufnahme von TX und RX (siehe BLE-Datenblatt von ersten Kommentar) bedeutet das, dass das Empfangen in etwa die 250-fache Energie benötigt.
Im Fall des Contact-Tracings braucht man bei einem 250ms-Zyklus natürlich nicht jedes Paket zu empfangen. Im einfachsten Fall kann man alle 5min den Empfänger für mindestens 250ms aktivieren und kann damit den Energiebedarf von Empfangen wieder deutlich reduzieren.
Zusammengefasst: Bei BLE ist die Stromaufnahme von aktiver Sende- und Empfangseinheit nahezu gleich. Der Hauptunterschied der gemittelten Stromaufnahme von Senden und Empfangen entsteht durch unterschiedliche Zeitmuster, in denen die Sende- und Empfangseinheiten aktiv sind, nicht durch konstruktive Unterschiede.
Man gebe Tim mal ein paar Wochen ein Google Pixel, damit er sich Android mal in aktueller Version ansehen kann.
Alles nicht mehr so schlimm mit diesem Android. (Quatsch-Hersteller mit eigener Oberfläche sind hier explizit ausgeschlossen)
Und das beste am Pixel, man kann es mit Graphene OS flashen und bekommt, das Beste Betriebssystem für sein Mobilgerät was wo gibt :o)
Hey Linus,
in der Folge vor dieser hattest du zum Ende erwähnt, dass du vergessen hast dich bzgl. der Geschehnisse in Münster im Kontext des Kindesmissbrauchsnetzwerkes zu äußern. Auch wenn ich glaube, dass es schwierig für euch / dich ist zu jeder Sache die eigene Meinung halbwegs sachlich und angriffsfrei zu äußern, so hab ich doch gehofft, dass ich eure Einschätzung zu den Vorfall in dieser Folge höre.
Da Kindesmissbrauch und Terrorismus immer das Endgegner*innenargument für jeder Sicherheitsdiskussion bei vielen zu sein scheint, so denke ich, dass auch hier wieder deutlich hervorzuheben ist, dass nicht die Technik die Ursache war, dass so nen Scheiß passieren konnte, sondern, dass es immer noch die Menschen sind die dahinter stecken.
Und siehe da, wie es heute auch wieder in einigen Medien (mal ersten Suchtreffer rausgegriffen [1]) zu beobachten ist, versuchen verschiedene Innenminister wieder mittels etwaiger Vorratsdatenspeicherung gegen Kindesmissbrauch vorzugehen.
Langsam bin ich mir nicht mehr so sicher, ob die Vorratsdatenspeicherung nicht vllt. doch irgendwann umgesetzt wird, weil wenn man auch nur mit geringen Wahrscheinlichkeit das Thema doch durch kommen könnte, so tritt dieses Ereigniss vllt. doch nach mehr als 13 Jahren irgendwann mal ein : /
[1] https://www.welt.de/politik/deutschland/article209936417/Kindesmissbrauch-Innenminister-wollen-die-Vorratsdatenspeicherung.html
In den Shownotes ist euch wohl ein Missgeschik passiert. „Titel nicht gedunden“ ist nicht wirklich die Überschrift des Handelsblattartikels. ;-)
Ich gebe zu dass mein Script in einigen absurden Sonderfällen nicht den Titel korrekt erkennt.
Aber dass wir das Handelsblatt verlinken ist wirklich ein besonders absurder Sonderfall.
WONTFIX ;)
Kurze Anmerkung zum Thema Corona-App auf Diensthandys. Nicht wenige haben zwei Smartphones. Wenn immer beide dabei sind, ist dasjenige Problem. Trägt man die Geräte wechselseitig dienstlich und privat, müsste man im Falle eines positiven Tests den Test auf beiden Geräten melden. Ist das denn technisch möglich?
Ich denke das müsste man auf jeden Fall gut verargumentieren an der Hotline.
Meine Vermutung ist jedoch, dass die meisten Menschen ihr Privat-Gerät immer, das Dienst-Gerät nur zu Dienstzeiten bei sich tragen?
Hallo Tim, hallo Linus!
Ich habe eine Verständnisfrage zur Corona-App, die ihr vielleicht beantworten könnt: die App ist ja Open-Source und der Code liegt auf Github für jedermann einsehbar. Aber wie kann man denn nachvollziehen, ob dieser Code auch bei Google & Apple eingereicht wurde? Das geht doch gar nicht, oder? Mir geht es hier nicht um die Aluhut-Perspektive, sondern eher ums Verständnis. Grundsätzlich könnte doch ein völlig anderer Code in der App stecken, oder?
Vielen Dank für Eure Arbeit! Würde mich über eine Antworten freuen!
Du kannst dir zumindest das Android APK herunterladen und reversen.
Es gibt verschiedene Techniken, diesen Beweis auch führen zu können (reproducible builds).
Bei den meisten Apps, da hast du recht, könnte ein anderer Quelltext drin stecken als auf Github steht.
In diesem Fall wäre das wohl der größte Skandal seit Snowden, wenn hier bösartig anderer Code drin wäre.
Was aber öfters der Fall ist: marginale Abweichungen zwischen dem Test- und Entwicklungs-Setup und der tatsächlichen Production-Lösung – zum Beispiel Domainnamen usw.
Vielen Dank für die Antwort! Wie gesagt, mir ging es gar nicht darum zu behaupten, dass das der Fall ist, oder sei könnte, sondern eher darum, dass es eben schwierig ist nachzuvollziehen, ob es denn der selbe Code ist.
Lg und weiterhin ein schönes Wochenende!
Hallo Linus, hallo Tim,
erst mal: Glückwunsch zur 350. Sendung und vielen Dank, dass es nochmal ein Wrap-Up zur Corona-Warn-App gab :-)
In einem Punkt bin ich nicht ganz einer Meinung mit Euch, und das ist das „Mind the GAP“-Paper. Ich verstehe sehr gut, dass ihr kein WissenschaftlerInnen-Bashing machen wollt, trotzdem wollte ich das nicht so stehenlassen und versuche mich mal an einem laienhaften Review:
Was mir an diesem Paper nicht gefällt, ist sowohl die Vermarktung (hat „blubb“ auch schon was dazu geschrieben) als auch der ‚Stil‘. Von einem wissenschaftlichen Paper erwarte ich Objektivität, die – in der Regel – ergebnisoffene(*) Beantwortung einer Fragestellung und dass Behauptungen auch bewiesen oder zumindest belegt werden. Das „Mind the GAP“-Paper verfolgt meinem Eindruck nach eine sehr klare Zielsetzung, nämlich die Schnittstelle von Google und Apple als massiv unsicher und datenschutzfeindlich darzustellen. Dazu werden an vielen Stellen unbelegte oder nur sehr schlecht begründete Tatsachen aneinandergereiht.
(*) Wenn es um den Beweis eines mathematischen Satzes geht, entfällt das mit dem ‚ergebnisoffen‘ natürlich ;-)
Mal ein paar Eindrücke aus dem Paper – verbunden mit der Einladung an alle, sich das komplette PDF selbst anzuschauen (ist nicht sooo lang und ganz gut lesbar, weil eben wenig technische Inhalte drin sind).
Kapitel 1 ist eine klassische Introduction (also Einführung ins Thema der Arbeit). Hier machen die Autorinnen und Autoren auch deutlich klar, wohin die Reise gehen soll:
„The goal of this work is to perform a reality check towards providing empirical real-world evidence for the above two privacy and security risks discussed in the literature.“
Mir persönlich wäre ein ergebnisoffenerer Ansatz lieber gewesen.
Außerdem wird angedeutet, dass man einen Beitrag im Prozess des Testens und Zertifizierens solcher Apps leisten will – den habe ich leider nirgendwo im Paper entdeckt:
„We hope that our findings provide valuable input in the process of testing and certifying contact tracing apps, e.g.,as planned for the German Corona-Warn-App, ultimately guiding improvements for secure and privacy-preserving design and implementation of digital contact tracing systems.“
Dann gibt es noch einen sehr knappen Überblick über „related Work“, also im Wesentlichen eine Sammlung auf Referenzen ähnlicher Arbeiten, auf die man zum Teil aufgebaut hat. Was hier interessanterweise nicht auftaucht, ist ein Überblick über die weiteren Kapitel, was man in anderen Arbeiten häufig sieht (ich bin mir nicht sicher, ob und wenn ja wie man das bewerten sollte).
Kapitel 2 heißt „Privacy and Security Risks of Contact Tracing Apps“
Hier wird dann gleich in Kapitel 2.1 Stimmung gemacht:
„Compared to many other types of applications, an app for contact tracing inevitably collects an exceptionally large amount of sensitive information about the contacts and relationships between individual users in great detail. In addition, for a mobile app to be effective for its intended purpose, as many citizens as possible should voluntarily install the app and actively use it. For this reason,the system infrastructure related to contact tracing apps will collect vast amounts of information about the mutual contacts of people – considerably more than any other approach currently used by health authorities!“
Zwei Dinge gefallen mir hier nicht: sowohl die Behauptung, dass Contact Tracing Apps „unausweichbar außergewöhnliche große Mengen sensible Daten sammeln“ – das stimmt so im Allgemeinen einfach nicht, sowie die darauf aufsetzende Behauptung, dass die Infrastruktur große Mengen an Daten über gegenseitige Kontakte von Menschen sammelt – auch das ist für den dezentralen Ansatz schlichtweg falsch.
Anschließend werden noch ein paar allgemeine Aussagen zu Privacy getroffen (im Stile von „Menschen sollten Kontrolle über ihre Daten haben“), den man natürlich nicht widersprechen will, die für mich hier aber etwas deplaziert sind.
In den Unterkapiteln 2.1.1 – 2.1.3 werden Privacy-Probleme von verschiedenen Ansätze für Contact Tracing (GPS, Bluetooth, Zentral vs. Dezentral) kurz beschrieben. Insbesondere das Kapitel 2.1.2 finde ich sehr absurd – die Behauptung ist hier, dass es mithilfe von strategisch platzierten BLE Sensoren problemlos möglich ist „to identify a large fraction of users with high probability.“. Hierfür liefert die Arbeit im Weiteren keinerlei Belege oder auch nur plausible Begründungen. Und ja, der Punkt den Tim (?) auch schon angesprochen hatte, dass man mit Hilfe von Gesichtserkennung hier noch bessere Ergebnisse erhält, steht da auch drin – kein Kommentar dazu…
Kapitel 2.2 zu den Sicherheitsrisiken verweist nochmal auf eine andere Arbeiten zum Thema Relay-Angriffe und gibt kurz wider, was Probleme an Gegenmaßnahmen sein könnten.
Kapitel 3 beschreibt das „Privacy Risiko“ des Google-Apple-Protokolls, wenn man überall BLE Sensoren aufstellt.
Eine echt spannende Info (zumindest für mich) – und damit einer der wenigen positiven Aspekte der Arbeit – war die Unterscheidung zwischen ‚Rolling Proximity Identifiers‘ (RPIs), die sich alle paar Minuten ändern und ‚Daily Tracing Keys‘ (DTKs), aus denen die RPIs generiert werden und die im Falle einer bestätigten Infektion auf den Server geladen werden können. Ich hatte das in allen Erklärungen bisher immer so verstanden, dass die RPIs im Falle einer Infektion geteilt werden, nicht die DTKs – ich glaube, so wurde das tatsächlich auch oft vereinfachend erklärt. [Aus didaktischen Gründen verstehe ich gut, dass man hier eine Reduktion der Komplexität beim Erklären macht – war aber beim Lesen des Papers tatsächlich ein Punkt, wo ich sehr stutzig wurde, bis ich das für mich klären konnte, dass das tatsächlich so ist, wie in der Arbeit beschrieben. Hier würde mich eine Erklärung, warum man die DTKs und nicht die RPIs hochlädt, interessieren. Meine Vermutung wäre ja, dass bei den RPIs hinterher das Runterladen ein Problem mit der Datenmenge liefert – stimmt das?]
Nun zum Angriff selbst – Kapitel 3.2: „We used commodity smartphones as the sniffers that can capture Bluetooth LE signals at a distance of up to 6 meters.“. Ok, dann deckt also ein Sniffer eine Fläche von ca 113 Quadratmetern ab. Darmstadt hat laut Wikipedia eine Fläche von 122 Quadratkilometer, also braucht man rund eine Million Sniffer, um die Stadtfläche von Darmstadt abzudecken (ja, mir ist klar, dass das nicht sauber gerechnet ist – geht mir hier aber auch nur um die grobe Größenordnung). Aber die Autorinnen und Autoren sagen auch gleich dazu, dass man mit speziellen Antennen auf größere Distanzen Signale aufnehmen kann (hier sind leider keine Werte angegeben – möglicherweise sind solche Geräte aber auch unproportional teurer).
Das tatsächliche Experiment bestand dann leider nur aus 6 Bluetooth-Sniffern und 2 Nutzern, die durch die Innenstadt gelaufen sind. Sehr ärgerlich finde ich in diesem Kontext Abbildung 2 „An example of observation points“, wo auf der Karte insgesamt 12 (!!) Bluetooth-Sniffer eingezeichnet sind – also die 6 tatsächlich eingesetzten und dann noch… ja, ich weiß auch nicht?! Würde ein Studi sowas in einer Bachelor-Arbeit abliefern, würde ich doch sehr hoffen, dass die zuständige Betreuerin oder der zuständige Betreuer das mit der Begründung „Das ist aber nicht sauberes wissenschaftliches Arbeiten!“ direkt zurückweist. Sorry, aber … sowas will ich in einem Paper wirklich nicht sehen. Ich frage mich immer noch, ob das „nur Pfusch“ oder ein bewusster Versuch war, einen falschen Eindruck zu erwecken.
Was ich auch nicht sehe, ist der Mehrwert dieses „Experiments“. Dass man theoretisch Leute mit genügend Sniffern tracken kann, war vorher schon klar – was ist hier die neue Erkenntnis? Dass es tatsächlich geklappt hat mit 6 Sniffern und 2 Personen. Das ist… beeindruckend?
Für ein Real-World-Experiment, das in der Introduction angekündigt wurde, hätte ich hier gerne ein De-Anoynimisierung anhand von realen Daten gesehen. Vielleicht mal die Sniffer nach Start der App zwei Wochen auf dem Uni Campus laufen lassen und kucken, ob man Mitarbeiterinnen und Mitarbeiter oder auch Studis deanonymisiert kriegt? Das wäre eher meine Vorstellung eines Real-World-Experiments und die Ergebnisse fände ich schon deutlich interessanter.
Leider schließt das Kapitel dann schon wieder mit wilden – zwar korrekten, aber in dem Kontext nicht wirklich relevanten – Behauptungen: „Moreover, de-anonymization becomes easier if the adversary has access to additional information about social relationships of users, e.g., the social graph of an online social network (OSN). This graph can be used to identify the infected users and their social contacts by comparing the social graph of the infected users obtained by the profiling attack to the OSN social graph.“ Ich sag mal so: Was man mit Social Graphen anstellen kann, ist durchaus beeindruckend – aber wofür brauche ich dann noch genau die Bluetooth-Sniffer? Das fällt für mich klar unter ‚Thema verfehlt‘.
Kapitel 4 beschreibt dann noch das „Security Risiko“ des Google-Apple-Protokolls, insbesondere einen Wormholing-Angriff. Hier fehlt mir das technische Know-How, dieses Kapitel sinnvoll zu beurteilen – mag das wer anders übernehmen?
Die Zusammenfassung in Kapitel 5 liest sich im Vergleich zu anderen Stellen dann schon wieder relativ sachlich. Was hier natürlich nicht fehlen darf, ist die an ganz vielen Stellen im Paper wieder und wieder angeführte Kritik, dass die Google-Apple-API nicht open source und daher nicht wissenschaftlich überprüfbar ist, verbunden mit der Forderung, den Code der API offenzulegen. Diese Forderung kann ich aus wissenschaftlicher Sicht voll und ganz nachvollziehen, finde aber, dass dieser Punkt in der Arbeit sehr gebetsmühlenartig wieder und wieder aufgeführt wird – zumal sich die Autorinnen und Autoren ja dadurch nicht davon abhalten lassen haben, ein wissenschaftliches Paper zu veröffentlichen.
Insgesamt kann ich nur sagen: Für mich ist das leider keine wichtige akademische Arbeit, sondern viel heiße Luft um ein recht dürftiges Resultat.
Den „Exploit“ mit der der Deanonymisierung beim gleichzeitigen Aufstellen von Kameras würde ich jetzt nicht komplett von der Hand weisen.
Das Problem ist hier natürlich nicht Deanonymisierung/Tracking an sich, sondern dass ich dann zu jeder Person, von der ich Foto + Corona-App-Beacon habe, weiß, ob sie infiziert ist, sobald sie nach einem positiven Test ihre Codes veröffentlicht.
Das ist der Zeitpunkt, ab dem die Zuordnung ein Problem darstellt (wenn auch meiner Ansicht nach ein in Kauf zu nehmendes).
Ja, das hatten wir doch auch so geschildert.
Zur rechtlichen Einschätzung habe ich keine Ahnung, aber immer wenn davon die Rede war, fiel auch der Begriff „meldepflichtig“, durch den Infizierte wohl auch Teil ihres Anspruchs auf Anonymität verlieren. Auch die Tatsache, dass ich infiziert bin, kann ich im Bekanntenkreis ja kaum geheim halten.
Das müssten Juristinnen jetzt nochmal genau erklären, wie da die Hintergründe sind.
Ich stimme mit deiner Einschätzung überein, dass das in Kauf zu nehmend ist – nicht akzeptabel wäre es, wenn solche Daten bulk ohne Pseudonymisierung rausgehauen würden.
Linus Hinweis zu dem Aufwand der Profilbildung durch eines großen Sensornetzwerkes ist natürlich richtig. Aber man sollte auch bedenken, dass es bereits größere Bluetooth Mess-Netze gibt, z.B. für das Messen und Verfolgen von Besucher- oder Verkehrsströmen, wie etwa in meiner Stadt: http://www.verkehrslage-mv.de/vlz.html
Als direkte Bedrohung sehe ich das zwar nicht, aber natürlich ist das Ausrollen und syncronisieren von BT Scannern auch nicht völlig unwahrscheinlich. Ich vermute, das Low energy bzw. das opt-in von Sichtbarkeit steht dem erst einmal im Weg. Aber wären so 10Eur pro Sensor https://github.com/cyberman54/ESP32-Paxcounter
Lieber Tim und Linus
Danke für euren super Podcast. Ich habe noch eine Frage bezgl der Corona Warn app: aktuell benötigt die APP bei Android ja Google Dienste. Ich persönlich benutze Lineage OS ohne proprietäre Google services. Damit funktioniert die Grundfunktionen der app nicht mehr. Welche technischen Voraussetzungen werden benötigt damit die APP auch ohne Google sevices läuft. Wäre das auf APP Seite zu lösen oder auf OS Seite? Vielen dank schon mal für eure Einschätzung.
Es ist richtig, dass man bei Android Standort generell aktivieren und den Zugriff einzelner Apps beschränken kann.Eine Ausnahme bildet offenbar der Google Playstore, diese bei Android notwendige App unterbindet es ihr die Berechtigung zu entziehen.
„Wir werden vor etwas warnen, was an diesen Prüfsteinen scheitert“
Prüfstein Nr. 4: Transparenz und Prüfbarkeit
„[…] Durch Reproducible-Build-Techniken ist sicherzustellen, dass Nutzer überprüfen können, dass die App, die sie herunterladen aus dem auditierten Quelltext gebaut wurde.“
Gelistet ist es als „Gesellschaftliche Anforderung“ und die Dokumentation der CWA schreibt, dass allen „Technischen Anforderungen“ (also ab Prüfstein Nr. 5) genüge getan werde.
Wie hat der CCC abgewogen, dann doch nicht vor der App zu warnen? Ist es
– „Naja, wenn sie das verkacken, ist der Fallout aber enorm“
-> Und was, wenn sie es verkacken? Dann könnte man nachlesen: „Oh hm, das war doch Prüfstein des CCC, warum haben sie uns nicht gewarnt?“
Die Abwesenheit von Reproducible Builds ist übrigens Bug #14 in deren Repo (https://github.com/corona-warn-app/cwa-documentation/issues/14) und scheint so schnell nicht angegangen zu werden.
Moin,
ich finde reproducible builds ja selbst wichtig, sonst hätte ich sie nicht in die Prüfsteine aufgenommen.
Wenn du oder ich aber auf jede Software verzichten würden, die wir nicht reproduzierbar bauen können, dann hätten wir Geräte mit sehr eingeschränktem Funktionsumfang. Ich bin mir nicht mal sicher, ob sie booten würden.
Siehe ansonsten noch hier, warum das Risiko nun wirklich enorm gering ist, dass Bundesregierung, Telekom, SAP und RKI sich verschworen haben, eine andere App auszurollen als die, die auf Github zu sehen ist: https://logbuch-netzpolitik.de/lnp350-der-gaesteblock-muss-in-quarantaene#comment-141735
Hi Linus, vielen Dank für deine Antwort!
Moin Linus, Moin Tim,
habe gerade LNP350 gehört. Als über „Google-freie“ Geräte geredet wurde, ist mir aufgefallen, dass du MicroG nicht zu kennen scheinst. Das ist eine freie Alternative zu den Google Play Diensten. Man kann damit auch den Play Store nutzen, und so manche andere API, siehe auch nanolx.org
Die Corona App kann man damit natürlich nicht nutzen. Vielleicht interessant für dich.
LG, Langzeit-Hörer des Podcasts der zum ersten mal einen Kommentar von sich gibt
Kleine Anmerkung zu Whonix:
Während die technologische Architektur des Projekts definitiv solide aussieht, legt der Hauptentwickler offenbar Wert darauf, das Projekt mit einem Account in dem angeblichen Free Speech (sprich: Nazi-Echokammer) Microblogging Netzwerk Gab vertreten zu haben.
Statt sich dazu zu äußern, nimmt er lieber testimonials von der Whonix Website. https://micahflee.com/2020/06/is-the-whonix-project-run-by-fascists/
Das macht das Projekt technisch nicht schlechter, aber ob 1 ein Projekt das expliziten Wert darauf legt, auch rechtsradikale aktiv mit anonymem Internetzugang auszustatten (statt es nur in Kauf zu nehmen), fördern will ist schon eine Überlegung wert.
Das ist ja voll schlimm. Wie soll man denn jemanden vertrauen schenken, der womöglich nahe rechts steht bzw. sich nicht einmal konkret dazu äußert, wenn er damit direkt konfrontiert wird. Hatte mich schon gewundert, warum Nina die Arbeit hat ruhen lassen. Leider ziemlich traurig. Danke für den Link.
Und zurück zu Tails …