Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP350 Der Gästeblock muss in Quarantäne

Corona Warn App FAQ — Facebook und FBI hacken — Twitter will dass man Artikel liest — Raubkopierer-Oma

Die heutige Sendung steht ganz im Zeichen der Veröffentlichung der Corona-Warn-App (CWA) die mit viel Tamtam am letzten Dienstag über die Bühne ging. Entsprechend groß war die Diskussion rund um die App und wir versuchen in dieser Folge die häufigsten Fragen, die aufkamen, hier hoffentlich zufriedenstellend zu beantworten.

Dazu noch ein Bericht von Facebook und dem FBI, die gemeinsam auf Hackertour gehen, eine interessante Neuerung bei Twitter und die traurige Geschichte der Raubkopierer-Oma

https://logbuch-netzpolitik.de/lnp350-der-gaesteblock-muss-in-quarantaene
Veröffentlicht am: 17. Juni 2020
Dauer: 2:04:19


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:42.278
  3. UKW-Interview mit CWA-Entwicklern 00:03:49.308
  4. Corona-Warn-App FAQ 00:07:51.626
  5. CWA FAQ: Location-Dienste auf Android 00:12:12.238
  6. CWA FAQ: Batteriebedarf und Gerätesupport 00:20:35.912
  7. CWA FAQ: Datenverbrauch 00:27:34.724
  8. CWA FAQ: Internationale Nutzung 00:30:22.268
  9. CWA FAQ: Security 00:36:53.807
  10. CWA FAQ: Laboranbindung und Fehlalarme 00:47:41.970
  11. CWA FAQ: App-Zwang 00:55:57.360
  12. CWA FAQ: Entwicklungszeit 01:09:23.196
  13. Fleischhauers Reaktion auf unsere Richtigstellungen 01:14:59.244
  14. CWA: Open Source 01:17:54.578
  15. CWA: Risikominimierung 01:26:46.821
  16. CWA: TÜVit-Bericht 01:28:12.622
  17. CWA: Rolle des CCC 01:38:06.597
  18. Facebook und FBI hacken gemeinsam 01:40:55.221
  19. Twitter will dass man Artikel liest 01:52:47.720
  20. Raubkopierer-Oma 01:54:19.707
  21. Epilog 01:56:06.966
  22. Bonus Track 02:00:35.241

Transkript

Tim Pritlove
0:00:00
Linus Neumann
0:00:01
Tim Pritlove
0:00:03
Linus Neumann
0:00:10
Tim Pritlove
0:00:42
Linus Neumann
0:00:55
Tim Pritlove
0:00:56
Linus Neumann
0:01:01

Ja

Tim Pritlove
0:01:03
Linus Neumann
0:01:11
Tim Pritlove
0:01:35
Linus Neumann
0:01:47
Tim Pritlove
0:01:54
Linus Neumann
0:01:56
Tim Pritlove
0:02:44
Linus Neumann
0:02:51
Tim Pritlove
0:02:54
Linus Neumann
0:02:57
Tim Pritlove
0:03:05
Linus Neumann
0:03:13
Tim Pritlove
0:03:52
Linus Neumann
0:03:54
Tim Pritlove
0:03:59
Linus Neumann
0:04:01
Tim Pritlove
0:04:26
Linus Neumann
0:04:28
Tim Pritlove
0:05:36
Linus Neumann
0:06:26
Tim Pritlove
0:06:39
Linus Neumann
0:07:51

Ich habe in den letzten zwei Tagen, glaube ich, ähm sehr viele. Tausend der tausend Male nicht, aber sehr viel of sehr viel häufig mich wiederholen müssen zu dieser Chorona-App und äh ich würde hier in dieser Sendung nochmal so ganz kurz ein paar häufig gestellte Fragen dazu ähm beantworten, wollen einfach, damit wir das hier auch gemacht haben. Ähm einiges davon ist vielleicht auch für. Unsere Hörerinnen, eine Wiederholung, ja, weil wir das vielleicht vor zwei Monaten schon mal besprochen haben oder vor zwei Wochen, deswegen versuchen wir das jetzt so ein bisschen kurz zu halten. Und äh nochmal so die wichtigsten Fragen zu beantworten. Es gibt auch einige, die äh denke ich neu sind. Ähm ich würde nochmal, wie gesagt, Eingangs sagen, mir ist wichtig, dass Leute verstehen, was das Ding macht und verstehen, was es nicht macht. Und das, die Entscheidung, das kannst du jetzt nutzen oder nicht, die soll wirklich jede Person selber treffen, vor ihrem individuellen äh Schutzbedarf und äh ihrer Potenzial ihrer eigenen Risikoeinschätzung. Ich habe das in diesen Presse äh Interviews in den letzten Tagen gerne mal so verglichen. Ne, wenn du jetzt eine Teenagerin Hass, die mehrere Stunden am Tag auf ähm, Instagram, Facebook, Twitter, WhatsApp und YouTube verbringt. Dann wäre ich jetzt vorsichtig der Annahme, dass jetzt für ihre Privatsphäre, die Nutzung dieser App im Zweifelsfall eine sekundäre Sorge wäre ja, um das mal diplomatisch auszudrücken. Wenn ich mir aber jetzt eine investigative Journalistin vorstelle, ne, die vielleicht irgendwie mit. Höchst ähm brisanten Quellen sich trifft oder sowas, ja, da die kann vielleicht auch die Entscheidung haben, zu sagen, auch in einer dezentralen Datenspeicherung ähm, mit irgendwie Verschlüsselung und einem kann ich von Berufsgründen jegliches Risiko, dass sie irgendeine Aufzeichnung von irgendetwas stattfindet. Überhaupt nicht, tolerieren und in in Erwägung ziehen, und die könnte dann jetzt zum Beispiel die Entscheidung treffen, zu sagen, ich werde diese App nicht benutzen, ich werde diese App nicht installieren oder ich lasse mein Handy zu Hause oder ich mache von der Funktion äh gebraucht diese App, auszuschalten. Diese Funktion bringt die App ja auch mit, ja? Und dass solche Entscheidungen und Erwägungen informiert, getroffen werden, ist unser Ziel, das wird bei dieser Sendung von Tim sehr gut äh im Detail nochmal beschrieben und das äh denke ich. Würden wir hier uns auch nochmal als Ziel setzen und vor diesem Hintergrund sollen Menschen dann eine Entscheidung treffen. Vor. Von Seiten des CCC, für den ich ja auch sehr ausführlich mich in diese Debatte eingebracht habe, haben wir mit der Veröffentlichung der zehn Prüfsteine gesagt, wenn wir, Große Bauschmerzen mit einer App haben, dann werden wir vor der Verwendung warnen. Und das wäre dann eben dann, so die, Vollaussage für alle Menschen gewesen, so, nein, das unter kein kommt unter keinen Umständen, für irgendwem in Frage und ähm wir haben aber auch gesagt, wir werden niemals irgendetwas konkret empfehlen, und äh genau das tun wir jetzt nämlich auch. Nichts empfehlen und nicht davon abraten. Das ist das, was der CC jetzt an dieser Stelle macht.

Tim Pritlove
0:11:16
Linus Neumann
0:11:18
Tim Pritlove
0:11:25

Ja.

Linus Neumann
0:11:27
Tim Pritlove
0:11:30
Linus Neumann
0:12:01
Tim Pritlove
0:13:12
Linus Neumann
0:14:04

Genau, also der ist ganz fürchterlich formuliert, aber es ist korrekt, ja? Und wenn man versteht, was sich dahinter verbirgt, dann ist auch klar, warum das da genauso steht. Also ähm. Dass das Betriebssystem selber hat einen Service, und dieser Service, den sie den es Apps bereitstellen kann, heißt. Lokationsdienste. Und über diese Lokationsdienste gibt es mehrere Quellen über die sich das. Telefon bedienen und lokalisieren kann. Drei Beispielhafte sind AGPS B, WLAN äh Signale, also es gibt quasi Android pflegt eine äh oder Google pflegt eine Karte der WLAN-Empfangsstärken an verschiedenen Orten und Mapp darauf auf eine Lokation. Und ähm der Dritte ist eben die Bluetooth Beatens, die ja hier auch bei der Kurve äh neunzehn Corana Corona Warn-App. Anwendung finden, deren ursprüngliche Anwendungszweck ja, die Indoor-Navigation ist in der Navigation deshalb, weil wenn du jetzt in hatte ja immer das Beispiel eines Museums genannt, in diesem Museum, das hatten vielleicht ein großes Dach oben drüber, deswegen hast da kein GPS und wenn man jetzt ähm. Eine App eine Begleitapp für das Museum haben möchte, machen wir einfach an jedes Exponat zum Bluetooth bieten und die, Museumsapp zeigt ihr einfach immer die Information zu dem Exponat an, dessen biegen sie am stärksten empfängt, ne? Das ist also diese Bluetooth-Bieten, die da verwendet werden, sind eigentlich für Indoor Navigation gedacht gewesen, Nun ist es also so, dass, diese App ja auf diese Bluetooth bietens zugreifen muss. Da sind wir jetzt aber auf der Appebene, Der Schalter lokationsdienste ist auf der ähm, auf der Betriebssystemebene. Also ihr könnt quasi in Android für das gesamte Telefon. An und alle nachgeordneten Apps und alles, was das Telefon tut, die Möglichkeit des Zugriffs auf Lokationsdienste ausschalten. Die Folge ist dann, dass dieses Gerät diese Dienste überhaupt nicht verwendet, die sind aus, So, demnach gelagert gibt es die zweite Ebene ähm. Welcher App erlaube ich denn den Zugriff? Also, du kannst zum Beispiel sagen, ich mache Lokations, mein Telefon soll grundsätzlich Lokationsdienste nutzen. Aber WhatsApp darf nicht darauf zugreifen, Instagram darf nicht darauf zugreiben, aber was weiß ich, Telegramm darf darauf zugreifen. Ja, das ist die zweite Ebene, wo also bei einer App gesagt wird, du darfst, du darfst nicht, du darfst du das nicht.

Tim Pritlove
0:16:50
Linus Neumann
0:16:54

Genau, da wird also gerade App Application, ne, diese App darf auf diese zugreifen, diese nicht. Und bei denjenigen, die das auf dem ganzen Telefon ausgeschaltet haben, dieses also zum Beispiel auch die können dann nicht, wenn sie Google Maps aufmachen, sehen sie auch nicht, wo sie sind. Ne? Das Telefon kann das einfach überhaupt nicht Und wenn man das, wenn man diesen Schalter hatte, dann sagt diese App, du musst das jetzt machen, damit. Überhaupt dein Gerät diese Bluetooth-Biekens nutzen kann. So und dann sagt es konsequent, wir werden aber nicht auf GPS oder irgendwelche Lokationen zugreifen. Können und dürfen sie auch nicht, haben Apple und Google schon im ich glaube im Mai oder April im Mai glaube ich bekannt gegeben. Ja, also die, das ginge nicht, wenn diese App auf die Location zugreifen würde, dann würde würde Apple und Google sie jeweils nicht freischalten, die Cam nicht auf euer Handy. Und jetzt kommt hier diese letzte, letzte Hinweis, andere Apps, mit der Erlaubnis auf die Location zuzugreifen, werden dann auch den Zugriff haben. Wenn du nun diese Locationdienste einschaltest. Wenn du diesen anderen Apps das aber auch nicht gegeben hast, dann hast du halt auch überhaupt gar kein Problem. Jetzt kommt die Konsequenz. Und das ist das, was äh richtig geraten wurde, von vielen auf Twitter. Na ja, dann macht doch die Location-Dienste an und schalte aber wie der GPS aus. Das geht nämlich. Denn Locationdienste selber ist wieder eine Abstraktion für diese unterschiedlichen Dienste. Erstaunliche, also ich meine, ich hoffe, ich hab's jetzt gut erklärt und ich habe auch etwas länger gebraucht oder wir. Und er ist, es ist. Erstaunlich, dass auch in seriösen Medien dieser Zusammenhang falsch und oder sage ich mal, sehr stark missverständlich dargestellt wurde, ist aber auch bei dieser Art Fehlermeldung und dieser Eile, mit der sich die Journalisten und Journalistinnen damit auseinandersetzen mussten, vielleicht auch kein Wunder.

Tim Pritlove
0:18:49
Linus Neumann
0:18:56
Tim Pritlove
0:18:58
Linus Neumann
0:19:14
Tim Pritlove
0:19:15
Linus Neumann
0:19:19
Tim Pritlove
0:19:20
Linus Neumann
0:19:57

Also kurz gesagt, äh umso mal ganz einfach zu sagen, wenn ihr Lokationsdienste ausgeschaltet habt dann kann das Gerät nicht auf diese Bluetooth Schnittstelle zugreifen und deswegen muss das aktiviert werden, sonst funktioniert die App nicht. Sie greift aber nicht auf eure Lokation zu. Das ist, glaube ich, der Teil, den man sich merken muss und diese Warnung bekommen auch nur die Menschen, die Lokationsdienste vollständig deaktiviert hatten, was jetzt wieder darum führt. Dazu führte, dass andere, die das die Locationdize nicht aktiviert hatten, Angst hatten, weil sie diese Warnung nicht bekommen haben, also es ist äh, es ist unterhaltsam. Dann ähm eine Sorge, die das auch sehr geil ist, äh genau gehen wir mal wirklich die Sorgen durch die die zweitgrößte Sorge, die Menschen eigentlich hatten, war. Dass ihr Akku schneller leer geht, Das war wirklich, das war in allen irgendwie Social Dingern fragen so. Ja, aber mein Akku so. Ähm ja, das Ding hat, ich meine, alles, was euer Handy macht, hat Einfluss auf die Akku-Laufzeit, ähm, den tatsächlichen Effekt werden wir sehen, ich weiß, dass in den EP, also in den Diskussionen, mit Apple und Google, sich durchaus darüber Gedanken gemacht wurde. Und das ist auch einer der Punkte, warum diese App relativ, also eigentlich die ganze Zeit bietend sendet, aber nur alle fünf Minuten empfängt, weil äh interessanterweise also vielleicht für, für Menschen, die sich nicht so sehr mit Radiotechnik auseinandersetzen, äh überraschend ist es so, dass empfangen zumindest im digitalen Bereich mehr Energie braucht als Senden, den Sendenteil kann man einfach in Hardware, schmal vor sich hinsenden lassen, aber das Empfang erfordert ja immer auch eine Verarbeitung des Signales, potenziell das Schreiben in die ähm in die Datenbank, sodass hier ähm eben die Haup. CPU des Gerätes tatsächlich tätig sein muss, während man dieses Aussenden von Bietens eben in in Hardware mit wenig Energie einfach so vor sich hinlaufen lassen kann. Also, ja, alles, was euer Handy macht hatten, Einfluss auf den Energieverbrauch, aber ich halte es für relativ unwahrscheinlich, dass jetzt ähm. Lass jetzt auf einmal euer Akku nur noch einen halben Tag dauernd oder so, ne? Und jede Sekunde jede Sekunde Display anzuhaben an dem Telefon und irgendwie mal eben Twitter zu checken, hat im Zweifelsfall einen stärkeren Effekt auf den Akku, als jetzt irgendwie eine Stunde oder zwei von dieser Bluetooth-Bietenverarbeitung. Vorsichtige schätzen.

Tim Pritlove
0:22:33
Linus Neumann
0:22:53
Tim Pritlove
0:22:54
Linus Neumann
0:23:35
Tim Pritlove
0:23:38
Linus Neumann
0:23:49
Tim Pritlove
0:23:50
Linus Neumann
0:24:18
Tim Pritlove
0:25:00
Linus Neumann
0:25:37
Tim Pritlove
0:25:39
Linus Neumann
0:26:47
Tim Pritlove
0:28:12
Linus Neumann
0:28:36
Tim Pritlove
0:29:16
Linus Neumann
0:30:21

Äh das war auch eine der häufigen Fragen, die gestellt wurden. Ja, was ist denn mit der internationalen Nutzung, Ähm dazu. Ist die die Antwort, das ist zum jetzigen Zeitpunkt noch nicht möglich. Es liegt aber in meinen Augen, weniger an den technischen Gegebenheiten, als am Meldewesen. Meldewesen damit meine ich Es muss ja immer sichergestellt werden, dass eine Person, die sich dort als äh infiziert meldet und damit eine Warnung rausgeben möchte, dadurch, dass sie ihre Codes hochlädt, auch wirklich infiziert ist, Dieser Verifikationsprozess ähm ist das, worin sich die Länder ja potentiell unterscheiden. Und ich hatte. Ähm ja hier auch schon ähm vorher mal. Dieses, dieses, also, wir hatten hier angesprochen, dass Google und Apple der Spraywork gebaut haben, dass es überall gleich, also, die Apps, die darauf jetzt setzen, was nach meiner Kenntnis, die Schweiz, Lettland, ähm Österreich, Italien. Auf jeden Fall bis Ende dieses Monats sein werden. Bei anderen Ländern bin ich gerade nicht so im Bilde. Ich gehe aber davon aus, dass das jetzt sich sehr stark verbreiten wird. Aber ich hatte ja gesagt Apple und Googles schaffen hier diese technischen, diesen technischen Standard, überlassen aber das Heavy Lifting, nämlich diesen ganzen Mist zu verwalten und zu kontrollieren, den Ländern oder den dortigen App-Herstellern. Und da wird sich jetzt zeigen. A, wie löst man technisch, dass ein Deutscher sagt, ich möchte auch in Italien und zweitens, wie sorgt man dafür, dass sie italienischen Behörden, diese Meldung des deutschen akzeptieren, das ist einfach bis jetzt noch nicht geregelt, gibt's verschiedene Ansätze, für werden auch in dem UKW, von Tim mit den Entwicklern genau im Detail mit Nachteil besprochen. Ich denke merken, muss man sich ähm im Moment gibt es diese, dieses internationale Meldewesen nicht, daran wird jetzt gearbeitet und das wird sicherlich nachgereicht und technische Grundlage in diesem Exporcher Notification Framework ist auf jeden Fall da.

Tim Pritlove
0:32:41
Linus Neumann
0:33:31
Tim Pritlove
0:34:46
Linus Neumann
0:35:45
Tim Pritlove
0:35:50
Linus Neumann
0:36:47

Genau. Also, eine Reihe an Problemen, die an deren Lösung gerade gearbeitet wird. Was nicht um den Problem sind, an deren Lösung gerade gearbeitet wird, äh sind die dann doch medial an einigen ähm in einigen Medien. Aufgegriffenen Angriffe, die es auf dieses Protokoll. Gäbe und ich würde vorsichtig beurteilen, was da stattgefunden hat, ist etwas vergleichbar. Mit dem, was in der Diskussion, des Wissenschaftswissenschaftlichen Forschungspapers des Teams um Christian Drosten passiert ist, dass hier eine Akademische Auseinandersetzung geführt wird und eine akademische Forschung betrieben wird und. Äh mediale, die mediale Aufbereitung dieser. Auseinandersetzung nicht ganz so informiert erfolgt, wie die akademische Auseinandersetzung, um das mal vorsichtig und diplomatisch zu sagen. Es war eine Forschergruppe der Uni Darmstadt, wenn ich mich nicht täusche. Die verschiedene Angriffsszenarien, die wir schon im März diskutiert hatten. Die quasi bekannt waren unter Realweltbedingungen. Nachgestellt, hat und damit quasi belegt hat, ja, diese Angriffsszenarien bestehen. Und das betrifft spezifisch das sogenannte. Äh Warmholing, also Wurmlochen, ja und das die Idee wäre hier. Tim und ich das heißt für diese Zeit, die wir jetzt nicht miteinander verbringen, erhalten wir auch keine Notifications. Wenn es nun ein Gerät gäbe, was bei Tim ist und seine Bietensempfängt, dann. Im Zweifelsfall über das Internet an ein zweites Gerät sendet, was diese bietens dann auch wieder aussendet. Dann würde mein Testgerät mein Android-Testgerät, was hier liegt, ähm. Diese Bietensempfang und sammeln. Und dann würde sich vielleicht Potenziell der Tim irgendwann als Infektionsmelden oder als infiziert melden und mein Gerät hier würde ein ausgeben. Und jetzt, ist natürlich anzumerken. Ich bin dem Tim nicht begegnet, dieser wäre also zu einhundert Prozent falsch. Ja das ist eine vollkommen bekannte Schwäche des Systemes, die hier demonstriert wird mit eigens hergestellter Hardware, einem eigens gebauten System für diese Art Störung, ja? Jetzt. Ist aber euch sicherlich aufgefallen, damit ich da überhaupt irgendetwas von Merkel und irgendein Problem habe. Muss der Tim sich immer noch krank melden, ich merke also überhaupt nichts von diesem Angriff oder von diesem Problem, solange sich nicht diese Person, deren Bietens mir da gesendet werden auch noch krank meldet. Ähm jetzt könnte man also sagen, okay, wir bauen so ein Gerät, wir nehmen ein Handy, ja? Und dann und dann senden wir diese Codes ganz viel. Überall hin geben ganz viel Geld aus, damit wir ein ein vielen Orten dieser Erde, diese Biegen senden können und dann melden wir uns krank und dann kriegen die Leute alle einen Alarm. Das äh ist möglich. Jetzt stellt sich natürlich die Frage wie stehen hier. Der von den Angreifern zu betreiben, der Aufwand im Verhältnis zu ihrem Ertrag. Das wäre. Jetzt relativ schwach, ja? Was ich mir eher vorstellen könnte, wäre, ich will jetzt hier niemand auf falsche Ideen bringen, aber zum Beispiel eine Schulklasse. Die in der Pause einfach mal ein Handy in die Mitte legt, die anderen im Kreis drum herum, das Ganze mal äh für die große Pause, eine halbe Stunde so liegen lässt und dann das Handy in der Mitte, gezielt krank meldet, damit alle anderen ein paar Tage frei bekommen, ja? Das wären eher so Szenarien, die ich erwarten würde. Das, Zweite, was die ähm beschrieben haben. Ist äh DANO Nimisierung ähm und Tracking, Und da bin ich ja schon, also da bin ich ja dann hellhörig geworden, ja? Und habe sie, wir können Bewegungsprofile anlegen. Aha, wie macht ihr das denn, ne? Tja, ganz einfach, sie schaffen sich, ein Sensornetzwerk aus Bluetoothempfängern, verteilen das an ganz vielen Orten und kombinieren dieses Sensornetzwerk mit einer anderen Identitätsfeststellenden Technologie, beispielsweise Gesichtserkennung, oder ähm. Äh oder was weiß ich, Kreditkartenzeit oder so. Irgendetwas, wo du eine eindeutige Identifizierung einer Person hast und dann gleichzeitig guckst, was sie, was sie zu dem Zeitpunkt von Bieten gesendet hat, ja? Und dann läuft die Person jetzt, also quasi durch dein Sensornetzwerk und alle äh alle regelmäßigen identifire Wechsel verlierst du eigentlich auch wieder, das Tracking ja? Weil die Sende jetzt auf einmal neue Codes aus. Wenn sie sich aber nun, dann eine von den wenigen Personen ist die sich nachher als infiziert melden, dann hast du, dann hat sich der ganze Aufwand gelohnt, weil jetzt hast du kannst du sehen, wie diese Person, weil sie ihren Kieferöffentlich hat, wie sie sich durch deinen Weltumspannen des Bluetoothsensorennetzwerk bewegt hat, wer sie ist und. Ähm, äh was ihr äh Status ist, nämlich der, dass sie äh sich Infektions gemeldet hat. Also für, sage ich mal, ein Mittelstelligen, Milliardenbetrag äh könntest du also mit einem deutschlandweiten Gesichtserkennungssystem und einer entsprechenden Anzahl von äh Bluetooth Sensoren hier eine vollständige Anonymisierung der äh Kurve erkrankten vornehmen und ich denke, dieser Business Case, der wird ja nicht lange auf sich warten lassen.

Tim Pritlove
0:43:13
Linus Neumann
0:43:17
Tim Pritlove
0:43:50
Linus Neumann
0:45:06

Ja, also, dass er das, ne, das das meine ich mit dem Unterschied zwischen einer Fach gelehrten Debatte. Großes Team da in Darmstadt, ne? Und das ist auch wichtig, also das ist wichtige Forschung, aber eben für die Forschung und nicht für irgendwelche unqualifizierten Artikel in den unqualifizierten ähm ja Veröffentlichung. Ähm trotzdem will ich da nochmal ganz kurz zu sagen, ne? Also. Bei Schwachstellen geht es immer auch um den Aufwand und den Ertrag und da sehe ich hier jetzt noch nicht so das Verhältnis. Ähm, und da muss man, glaube ich, auch sehr klar sagen, dank der dezentralität und der Datensparsamkeit ist eben das Risiko für die Nutzerinnen und Nutzer an dieser Stelle minimiert, selbst wenn jetzt noch Schwachstellen gefunden werden. Und das Gleiche Problem im zentralen Ansatz ist direkt ein viel größeres. Also es hätte direkt viel größeres Ausmaß gehabt und dafür haben wir uns jetzt CC eingesetzt, um die App nicht zu dem, Überwachungsalbtraum werden zu lassen, der da ursprünglich mal geplant war mit irgendwelchen Überwachung, ne? Und jetzt muss man ja immer noch sagen, das ist denke ich auch mal äh zu. In das Verhältnis zu setzen. Die negative, die negativste Konsequenz, die wir im Prinzip von dieser App zu erwarten hast, ist ein falscher Alarm und der ist relativ. Auch dann noch eine relativ geringe Beeinträchtigung, die du erfährst. Ähm trotzdem gehe ich davon aus, deswegen haben wir das ja hier jetzt auch nochmal besprochen. Es wird jetzt also Effektheischerische TV-Beiträge werden nicht lange auf sich warten lassen. Ich bin mir sehr sicher, dass irgendein, äh irgendeine jungen Hackerin oder irgendeinen jungen Hacker, auf jeden Fall, jetzt noch irgendwie. Guck mal hier und mit nur wenigen hundert Bluetooth oder wenn ich jetzt mehr von diesen acht Bluetooth äh Sensoren hätte, da könnte ich die ganze Welt immer wachen, hui ui, ich habe sofort ein Video auf Instagram gepostet. Ähm da da das wird sicherlich noch kommen. Und da wird, da wird sich schon jemand finden, dem dem solche Ängste zu schüren, nicht zu niedrig ist und da wird die wird diese Person wird auch ein Journalist oder eine Journalistin finden, ähm die dann nicht in der Lage ist, dass ähm korrekt einzuordnen. Insofern würde ich schon erwarten, dass dass es da irgendwo noch was geben wird. Ja

Tim Pritlove
0:47:30
Linus Neumann
0:47:42
Tim Pritlove
0:48:10
Linus Neumann
0:48:19

Die eine die eine Meldung zu machen. Gut, dass du das sagst, ne? Also ähm ich habe mein Testergebnis bekommen durch die App oder wie auch immer und gehe nun. Komme nun in die Situation, dass ich meine Kontakte warnen möchte. Ähm und. Um das zu tun, damit nicht andauernd irgendeinen Clown auf dem Schulhof auf den Knopf drückt, muss net, muss quasi eine Verifikation stattfinden. Und diese Ferifikation könnte. Technisch funktionieren und diese Wege sind auch von SAP deutscher Telekom spezifiziert ähm auf ja, gibt verschiedene Möglichkeiten, das zu tun, die dort gewählte ist eine funktionierende und die hat ja zwei Schutzziele, einerseits natürlich trotzdem die Anonymität sicherzustellen und andererseits eben das Faking zu verhindern und das ist alles ganz in Ordnung. Leider kommen wir dieses Potential nicht ausgereizt, weil man jetzt startet mit einer Telefonhotline. Und das ist äh nicht so gut und liegt an einer mangelnden Anbindung der Labore Ja, weil die die elegante Lösung wäre nämlich eigentlich gewesen, wenn du im Testzentrum bist und der Q-Tip gerade aus deinem Rachen gekommen ist, gibt's eben Symproben, Begleitschein, darauf scannst du einmal einen QR-Code und dann kriegst du quasi in der App, eine anonyme Benachrichtigung über dein Ergebnis und auch die Möglichkeit dann dieses Ergebnis zu melden und diese Kette ist zum zum Launch der App noch nicht vollständig. Das ist, denke ich sehr zu bemängeln und erhöht auch das Risiko des äh Scherze treibens mit dieser App, was was ärgerlich ist.

Tim Pritlove
0:50:12
Linus Neumann
0:51:42
Tim Pritlove
0:51:44
Linus Neumann
0:52:20

Insgesamt ist eine sind einfach auch hauptsächlich ein Risiko für die Akzeptanz der App ähm, es wurde ja bei der Pressekonferenz auch gesagt, ja, dass sie ähm da der kursiert dieser Wert von zwanzig Prozent äh Fehler, ja? Ähm deswegen müsst ihr eben auch, dass auch das übrigens eine Forderung, die wir hier sehr oft diskutiert hatten. Die negativen Effekte eines Alarms so gering wie möglich sein und die positiven so hoch wie möglich und es ist so, dass eben diese App dann auch wie von uns empfohlen, zumindest in der jetzigen Zeit, bei dieser geringen Anzahl Fälle. Im Prinzip das Freiticket zum Test ist. Das, kann sich theoretisch ändern, wenn irgendwie die Laborkapazitäten in Deutschland. Irgendwelchen traurigen Gründen wieder an ihre Grenzen kämen, ja, dann würde da vielleicht nochmal anders agiert werden, aber im Moment, das schlimm, also das, was die App euch Schlimmes tun kann, ist. Dass ihr euch Fall falsch alarmiert und ihr dann ein paar Tage Vorsicht walten lasst und wer würde das nicht tun. Ja, das sieht ja äh also das ist, ich glaube doch für eben interessiert es Menschen. Jetzt ist natürlich das Problem, wenn das jetzt jede Woche passiert, dann sagt man irgendwann auch kommen, scheiß auf die App, ne? Und wenn dann, der richtige Alarm kommt, wo er wo erst dann wo ja wirklich infektiös seid und dann reist da irgendwie noch fünf Leute mit, weil ihr auf diesen Alarm nicht mehr gehört habt, dass es äh dann das wäre dann scheiße, aber das ist, glaube ich, das Feintuning, was jetzt in dieser Phase auch noch passieren wird und passieren muss. Auch darüber habt ihr ja in der Sendung noch sehr ausführlich gesprochen, dass man vielleicht bei geringen Fallzahlen, niedrigen Schwelle und somit vielleicht potenziell mehreren arbeitet und dann um dann die Daten zu sammeln, wo die richtige Entscheidungsschwelle, sein, der die Bessere sein muss.

Tim Pritlove
0:54:19
Linus Neumann
0:55:35

Es kommt ja noch was dazu, ne? Was was auch äh glaube ich gerade nochmal zu betonen, weil du das ansprichst. In der Debatte. Oft davon ausgegangen, dass Kontakt gleich Infektion wäre und das ist ja auch nicht der Fall, ne? Also das du bist ja auch noch bedenken. Und äh so weiter und so fort. Gut. Ähm eine sehr breite Debatte. Eine sehr breite Debatte, die gerade auch äh mit dem Einbringen der grünen, feinen Gesetzesentwurf äh wieder eine Rolle spielt, ist die das App Zwangs, jegliche Form von Zwang, im Bereich dieser App. Und. Dazu habe ich ähm im ARD extra am Montagabend mal äh da ging's dann spezifisch um Gastronomie, ja? Also es wird ja jetzt auch von einigen eben die Sorge. Konkret verbreitet, dass ich zum Beispiel in eine, in ein Kino oder in eine Restaurant oder ähnliches nicht rein käme ohne diese App. So, dazu ist Folgendes zu sagen. Ich bin ja, habe ich hier auch öfter angesprochen, mit einigen Gastronomen befreundet, Die haben gerade genug Spaß damit, dass sie ja nach diesen Richtlinien die Kontaktdaten, ihrer Besucherinnen aufzeichnen müssen. Ne, setzte dich hin an den Tisch, kriegst einen Zettel, musst deine Adresse drauf schreiben, ja oder Kontaktmöglichkeiten. Dann gibt's Leute, die schreiben dat Unhalt, da hin, weil sie das besser finden und verzichten halt für sich selber auf die Wirksamkeit dieser Lösung, ne, andere schreiben schon was weiß ich, vielleicht hat man irgendeine anonyme E-Mail-Adresse unter der man dann motifiziert werden möchte oder sonstiges, ja? Diese Debatten, die die Gastronomen gerade über diesen Schnickschnack führen ja? Da schlägt sich in größeren Restaurants tatsächlich darin nieder, dass man eine, extra Personen nochmal anstellen muss, weil sonst, dass die sonstigen Dienstleistungen, die dort erbracht werden, ne, Getränke holen und so weiter, nicht erbracht werden können, in ausreichender Geschwindigkeit. Weil jeder jede fünfte Besucherin diskutiert dann darüber und so weiter und so fort, ja? Ich halte das, unter diesen Bedingungen für diesen Gastronomiebereich für äußerst unwahrscheinlich, dass jetzt eine äh eine Betreiberin eines Restaurants. Das passt mal auf, Freunde, weil ich dat so geil finde, mit euch über diese Zettel zu diskutieren, will ich danach noch mit euch darüber diskutieren, dass ihr gezwungen werden sollt, eine App zu installieren. Im Moment sind die ja eigentlich froh über jede äh Besucherin, die die das Restaurant beehrt. Und insofern halte ich das jetzt nicht für eine unmittelbare Gefahr, dass, dass Gastronominnen irgendwie jetzt spezifisch so eine so etwas versuchen durchzudrücken. Ähm es wäre auch. Unsinnig, weil sie dieser Zettelpflicht nicht entbunden würden ja? Sie würden sich nur ein zweites Problem mit aufbürden. Das soll aber wiederum nicht heißen, dass nicht vielleicht eine gesetzliche Regelung, Vertrauensstiften wäre, denn ich habe auch schon äh Kontakte äh hier Nachrichten bekommen. Ich habe ja ein E-Mail-Postfach. Offenbar ein relativ großes, weil da passt sehr viel rein. Ähm wo sich jetzt Arbeitgeber bei mir melden, die sagen, ich habe mein, angestellten Verboten diese Äpfel zu installieren. Was genauso nicht geht, ja? Und da fragst du dich dann auch. So Leute, könnt ihr einfach mal auf den Teppich bleiben und, der demokratischen Maßgabe folgen, dass es einfach freiwillig ist, diese App zu installieren. Und das bedeutet, du kannst wieder jemanden dazu zwingen, noch jemanden. Ähm jemanden, das verbieten.

Tim Pritlove
0:59:15
Linus Neumann
0:59:34
Tim Pritlove
0:59:38
Linus Neumann
1:00:06
Tim Pritlove
1:00:10
Linus Neumann
1:00:15
Tim Pritlove
1:00:22

Ja, der aber ist ja durchaus vorstellbar, ne? Das weiß ja, fünf G und dann wird der Virus vielleicht noch durch die App verbreitet oder so. So hier. Gut, aber das mag eher so ein Randproblem sein. Ähm andererseits gibt es auch Unternehmen, die sagen, wir wollen euch jetzt alle hier wieder im Büro haben, aber wir wissen, dass Büro ein Problem ist, so bitte installiert auch alle diese App. Also, dass das sozusagen Companypolity wird, werden wir sehen. Also, ich bin mir relativ, weil ich weiß, dass. Dass es auch solche Überlegungen gibt bei einzelnen Unternehmen und. Ich finde es in gewisser Hinsicht auch nachvollziehbar, ja, wenn man das jetzt mal aus dieser Perspektive, der ähm des des Arbeitsschutzes sieht. Ich muss ja auch dafür sorgen, dass meine Mitarbeiter geschützt sind Ja, die dürfen die bisschen ordentliche Stühle haben. Die müssen ihre Arbeitszeiten einhalten dürfen. Die müssen Pausen haben, et cetera. Äh es muss für Lüftung gesorgt werden, dürfen hier keine giftigen äh Materialien in der Wand verbaut werden, wo in den ganzen umhängt und so möchte ich jetzt auch in dieser Krise, dass ihr, zumindest gewarnt werden könnt, wenn in unserem Unternehmen irgendwo was auftritt, ne, was natürlich auch diesen Aspekt hat mit okay, wie viel Prozent meines Unternehmens muss ich jetzt runterfahren, wenn jetzt ein Mitarbeiter auf einmal positiv gemeldet ist, in dem Moment, wo man diese App hat, kann man zumindest sagen, na ja, okay, die sind jetzt aber auch irgendwie notifiziert worden Weil ich habe ja dafür gesorgt, dass alle das betreibt. Also habe da noch keine wirkliche Meinung dazu, wie ich damit umgehen will. Ich sage nur, solche Debatten haben wir jetzt und. Damit müssen wir uns jetzt in irgendeiner Form auseinandersetzen. Nun um denen nochmal was obendrauf zu setzen. Ähm was jetzt auch schon gehört habe, ist halt es gibt ja noch etwas, was derzeit noch gar nicht stattfindet. Das sind die Großveranstaltungen. Das ändert sich zwar jetzt langsam, aber ich nehme jetzt mal so das extrem Beispielfußball. Steht ja immer auch im Mittelpunkt. Ne? Unter welchen Bedingungen kann Fußball mit Zuschauern wieder stattfinden. Klar, wenn man so in der Neuseelandsituation ist, mit der Virus ist besiegt, dann strömen vierzigtausend Leute und schon wieder äh sich irgendwie die an und haben Spaß miteinander. Diesen Zustand werden wir in Deutschland so nie erreichen, Also wir werden nicht virus frei sein. Und dann ist halt die Frage, ja, ab wann können wir denn wieder alle, in größeren Gruppen eng zusammenstehen und laut singen. Also Fußball sei ein gewisser Hitze. Abgesehen davon, dass es draußen ist, ja? Äh bringt es alles mit, was derzeit als Bedrohung angesehen wird. Von allen Sportarten will ich da mal gar nicht reden. Und auch da gibt's natürlich dann so Überlegungen, wie na ja, wenn ich aber jetzt als Anbieter dieser Veranstaltung, also als Veranstalter. Also sprich der Heimverein, der das Spiel äh stattfinden lässt in seinem Stadion, sage naja wer geil, wenn ihr alle mal äh die App am Start habt. Und das schreiben wir jetzt mal hier in unser Bundesligakonzept rein als Angebot an die Bundesregierung ähm. Um das alles wieder zu ermöglichen. Wie geht man denn damit um.

Linus Neumann
1:03:42
Tim Pritlove
1:05:13
Linus Neumann
1:05:15
Tim Pritlove
1:05:53
Linus Neumann
1:05:54
Tim Pritlove
1:06:20
Linus Neumann
1:06:25
Tim Pritlove
1:06:31
Linus Neumann
1:07:14
Tim Pritlove
1:07:22
Linus Neumann
1:07:28

Okay, komm. Also, wir waren gerade beim App Zwang, ähm um das nochmal einzuordnen. Es gibt jetzt diese Forderungen. Und die Positionen sind ähm. Beide nachvollziehbar, nämlich die eine Position, die sagt, passt auf. Wenn hier, wenn ich hier keinen Zwang geben soll, dann könnt ihr auch gleichzeitig das mit einem Gesetz flankieren. Das ist die Position die jetzt hier von den GRÜNEN eingebracht wird von den Linken ich weiß nicht wie AfD ist glaub ich eh nur noch auf also ich meine erstens würden die nie gemeinsame Sachen machen und zweitens die AfD ja eh grade die müssen erstmal wieder von ihrem Baum runterkommen und ähm auf denen sie da geklettert sind. Und jetzt ähm. Gibt es eben dem Punkt dieses Argument, was ich einleuchtend finde. Und es gibt das Gegenargument, welches besagt. Die aktuellen Datenschutzgesetze und Antidiskriminierungs und sonst was Gesetze reichen aus. Und wenn wir jetzt überhaupt nur ein Chorona-App-Gesetz haben, dann wird das bei Atila Hildmann im Telegramm Kanal wieder rappeln, ja? Weil die dann denken, die äh die Deutschland GmbH äh setzt jetzt den mit einem gesetzten App-Zwang durch mit der Bigates Corona Chip-App, ne? Also, Das ist, das ist die andere Perspektive und ähm dann eben mit Blick auf die Realität quasi zu sagen, okay, gibt es hier eine, gibt es hier. Momentan, Motivationen für Leute, eine solche Zwang durchzusetzen. Ähm, die gibt es offensichtlich im Einzelfall, aber die sind schwer begründbar. Insofern bin ich gespannt, wie diese Debatte weitergeht. Ähm, eine weitere Sache, die man, glaube ich, die haben wir auch vor kurzem schon mal erklärt, aber ich will's nochmal machen, weil das auch wirklich immer das begleitet diese äh App-Diskussion wirklich irre stark in jedem Bericht eigentlich, es hat so lange gedauert. Und die App kommt zu spät. Wird da häufig behauptet, ne? Und da denke ich, muss ich nochmal in Erinnerung rufen, ich habe das sogar mal rausgesucht hier, ja? Ähm, neunten oder zehnten April, also Ostern, Gründonnerstag Karfreitag, haben Apple und Google das gemeinsame Fragework angekündigt. Ab dem Moment konntest du quasi mit der, Entwicklung beginnen, Am fünfundzwanzigsten April hat die Bundesregierung die Entscheidung bekannt gegeben nun auch auf diesen Apple Google dezentralen Ansatz zu setzen davor haben sie auf den zentralisierten Ansatz gesetzt, Ja, wenn ich jetzt äh sehe, dass der fünfundzwanzigste April war, der Sonntag, glaube ich, wo das bekannt gegeben wurde die Entscheidung war aber schon eigentlich an dem Samstag oder den Freitagabend gefällt. Wenn wir da jetzt mal auf Werktage gucken, dann haben wir also zwei Wochen zehn Werktage Entwicklungszeit verloren, zehn Werktage. Am einundzwanzigsten Mai wurde iOS dreizehn fünf released. Ich weiß nicht genau wann das Framework über die Play Services gepusht wurde bei Android.

Tim Pritlove
1:10:39
Linus Neumann
1:10:41
Tim Pritlove
1:11:14
Linus Neumann
1:11:18

Du, ich hatte äh. Tim hatte Tim hat mir dabei den Zusammentrag ein bisschen geholfen. Äh deswegen frage ich, ich war nochmal sicher, aber ungefähr Ende Mai. Ich müssen jetzt auf den Tag genau nicht rechnen. Ähm und wenn wir jetzt schauen, jetzt äh releast also Deutschland am sechzehnten Juni. Ähm also zwei, etwas über zwei Wochen später, dann sind das genau die zehn Werktage Entwicklungszeit, die verloren gegangen sind. Ja, das heißt, die Entwicklerin bei SAP und deutsche Telekom haben hier, es geschafft, dass nicht noch weiter zu verzögern das Projekt. Ähm insofern denke ich, dass hier eine. Natürlich ist in Zeiten der Panämie sind zwei Wochen auch oder je nachde können auch drei Wochen sein, je nachdem, wie man zählt, ne, dann zweieinhalb. Das ist keine kurze Zeit. Nur ich würde die halt gerne, einen in ein Verhältnis setzen, weil ja behauptet wurde und das ist ja auch der andere Punkt, der noch gemacht werden muss. Das, unter die App früher da gewesen wäre und das ist ja einfach nicht der Fall, denn, sie wäre nicht funktionsfähig gewesen, hätte die Bundesregierung auf den zentralen Ansatz gepocht, dann hätte sie nun eine nicht funktionale App, wenn überhaupt, siehe Frankreich. Der hat uns heute noch einen höherer äh einen Link geschickt zur da war ähm ich habe den mein französisch ist ja, ähm etwas eingerostet, aber da ist, glaube ich, immer noch von so sechsstelligen Nutzerinnenzahlen, die Rede. Und Deutschland hat ja jetzt schon irgendwie mehrere Millionen äh ähm, angegeben. Ne, sodass man da also den die äh die die französische App nicht als besonderes Beispiel nehmen kann und der hier ja auch immer öfter erwähnte oder öfters schon erwähnte. Kubi, hat mir gerade noch auf Twitter äh den Hinweis nochmal gezeigt, dass in Österreich sie ihre App äh.

Tim Pritlove
1:13:22
Linus Neumann
1:13:26
Tim Pritlove
1:13:47
Linus Neumann
1:13:49

Ja

Tim Pritlove
1:13:51
Linus Neumann
1:14:46
Tim Pritlove
1:14:50
Linus Neumann
1:14:59
Tim Pritlove
1:15:08
Linus Neumann
1:15:12
Tim Pritlove
1:15:35
Linus Neumann
1:15:38

So, also Alice Weidel, AfD. Ähm. Hat einen Tweet abgesetzt, dieser Tweet von Alice Weidel lautet. Corona App, sinnlos und gefährlich. Wir brauchen kein wir wollen und brauchen keine vorgeschobene Überwachung, ja? Also die geben jetzt volles von Aluhut, ne? Wie ähm nur wenige, Institutionen in Deutschland es sich in dieser Lage trauen, ja? Mit so einer auf so einer dann doch sehr dünnen ähm Faktenbasis zu argumentieren, aber das ist jetzt für die AfD nie ein Problem. Jan Fleischschauer verbreitet das mit dem Kommentar. Der Chaos Computerclub hat eine neue Vorsitzende. Ein wichtiger Schritt zur Sichtbarmachung von Frauen, auch in der Nerdwelt. Ja, also das ist halt die, das Niveau dieses Menschen in der Auseinandersetzung, mit diesem Thema und ich glaube, dass. Braucht man, also es ist, das ist so erbärmlich, da spare ich mir jeden Kommentar. Ähm auch, dass er meine Korrekturen und richtig Stellungen zu sein, falsch Behauptungen nicht. In richtig Stellung hat Münden lassen da muss man eben alles selber machen, dann habe ich gestern dann noch ein Livestream von Chip und Fokus mitgemacht, zu dem ich eingeladen wurde, Und dann habe ich gedacht, naja, okay, dann mache ich mal was mit dem Fokus und. Habe dann da die Gelegenheit genutzt, an verschiedenen Stellen darauf hinzuweisen, welche Falschbehauptungen eben im, im Fokus verbreitet werden und von wem, zu einer Kommentare von den Moderatoren so. Wahrgenommen. In der FAZ habe ich das übrigens auch gemacht. Die FAZ hat mich auch zu der App interviewt und gefragt, das war so ein Video-Interview. Da habe ich auch gesagt, diese, auch wenn das in ihre, auch wenn das in der FAZ von einigen Autoren falsch behauptet wird. Den Teil haben wir rausgeschnitten. Aus dem Video. Ja, das hat aber Tim, das musst du so sehen. Das hat Redaktionell einfach nicht gepasst, ne? Das Video musste ein bisschen kürzer sein und so, ne? Wir haben uns ja auch nur auf die wichtigen Punkte kurz und knackig konzentriert und so, ne? Na ja, so ist das. Ähm Open Source, müssen wir auch nochmal drüber sprechen, oder?

Tim Pritlove
1:17:58
Linus Neumann
1:18:00
Tim Pritlove
1:19:11
Linus Neumann
1:19:23

Ja, aber also ich äh ne, gucken wir mal. So, jetzt ähm. So, das ist der, der Vorteil von Open Source. Das ist auch andere verwenden können. Transparenz und das können auch andere verwenden. Den Transparenzaspekt, also es gibt jetzt dann auch einige, die sich melden und sagen, ja Google und Apple haben wir aber hier jetzt eine Hintertür und das ist jetzt alles die Corona Überwachung, Das halte ich für eine, sage ich mal, ein äh Problem, wirklich ganz, ganz stark untergeordneter äh Priorität, weil die hätten sich genauso gut für einen zentralen Ansatz entscheiden können und die, könnten auch ohne, jetzt gut, der Witz, auch oder eine Schwachstelle in diesem Ex-Forscher-Notification Framework, könnten sie, weil sie nun mal diese Betriebssysteme kontrollieren, trotzdem in alles einblicken. Ja, das heißt, ähm. Die Sorge, dass Apple und Google hier jetzt irgendwie anderhändet, eine Backdore reingebaut haben, die ist nicht begründet, weil sie die nicht bräuchten, Das hatte ich hier auch schon mal gesagt. Wir haben die äh nicht schöne, und nicht wünschenswerte, aber die nun mal nicht zu diskutieren, der Reiher Realität, dass wir diesen Betriebssystem herstellen dann vertrauen müssen, wenn wir das iOS benutzen und ein Google äh Android mit mit mit Play Services. Das ist nun mal leider so. Ähm für den Security-Aspekt, da wäre es gut, wenn das wird und richtig problematisch wird's aber eben in der Weiternutzung, denn es melden sich nun die Leute, die ihre von Google befreiten, Telefone benutzen, also beispielsweise Linage OS, mit einem da dran, ja, die können diese App jetzt nicht benutzen, weil die eben auf die Play Services aufsetzt und diese PlayService sind eben bei den Google freien Geräten nicht dabei und die können also jetzt diese App nicht, verwenden. Und das gleiche trifft zu äh für bestimmte Geräte, aufgrund dieser ähm. Der Auslöser dafür sind ja diese ähm Exportrestriktionen von dem verrückten Orangen äh gegen der ja unbedingten Handelskrieg mit China anzählen möchte. Da hat aber immerhin jetzt schon gesagt, okay, wir implementieren das jetzt einfach auch, unseren Teil dieser, äh dieser Sache. Aber auch musstet jetzt eben irgendwie selber basteln, ne? Das ist auch zu beklagen. Also. Ähm es wäre sinnvoll und notwendig hier durch quelloffenheit. Für die Transparenz zu sorgen. Und vor allem für die. Interoperabilität mit anderen Systemen. Das, das sehe ich hier am Ende, als das schwerwiegendere Problem. Ähm ich würde noch vorsichtig dazu sagen, also es gab ja auch irgendwelche Spezialistinnen, Expertinnen irgendwie, ich habe gehört, dass, DE, die haben die die Corona-App aus dem aus, von Gitup, irgendwie kompliziert und zum Download angeboten, haben gesagt, bei uns kriegen sie Corona App schon heute, ja, die funktioniert aber nicht, weil die eben nicht äh weil ihr jetzt quasi von einer von einer Anbieterin ist, die, die auf dieses Framework gar nicht zugreifen darf. Also hier arbeitet dann und spätestens da gehen dann eben die Sicherheit des Betriebssystemes, die der Anspruch der Nutzerinnen auf Freiheit dessen, was sie mit dem Gerät machen. Auf einmal gegeneinander, Und das ist immer schwierig, abzuwägen. Ähm ich will da jetzt nicht ins Detail gehen, äh aber äh vielleicht sollte das klassische Beispiel ist, äh es gibt relativ wenig Schadsoftware fürs iPhone und das liegt primär daran, dass das Ganze Ding äh Code Signing verwendet, also jede App, die das iPhone ausführt, muss von Apple für die Verwendung auf diesem iPhone freigegeben worden sein. Das haben sie so gemacht, damit, sie Raubkopien, damit es keine Raubkopien von App Store. Geben kann und einer der Nebeneffekte ist eben, dass es auch wenig Schadsoftware gibt und genauso ist das bei diesen restriktion, restringierten Zugriff auf diese, dass sie eben sagen, okay, wir lassen eine Epro Land zu und das machen wir spezifisch und die prüfen wir Die Folge dessen ist das jetzt nicht jeder irgendwie hingehen kann und sich auch noch eine baut Und da stehen diese Schutzziele oder diese Nutzeransprüche eben leider auch äh entgegen. Ich hoffe, dass Google, es irgendwie ermöglicht, der der wirklich google freien Open Source Community eben auch dieses zu verwenden.

Tim Pritlove
1:24:01
Linus Neumann
1:24:12
Tim Pritlove
1:24:28
Linus Neumann
1:25:26
Tim Pritlove
1:25:27
Linus Neumann
1:25:48
Tim Pritlove
1:26:22
Linus Neumann
1:26:47

Wir haben schon darüber gesprochen, ähm die App hat eine Fehlerquote, ja hat sie ähm die negativen Konsequenzen sind. Verhältnismäßig gering, hast ein paar Ruhe und dann Test ähm es gab schon schlimmere negative Konsequenzen. Für Menschen, äh die bestimmte Apps äh installiert haben. Und äh zu der Grundsicherheit, also jetzt überhaupt auch Überlegung, Schwachstellen und so weiter, ne möchte ich nochmal betonen durch diesen dezentralen Ansatz und durch die Datensparsamkeit wird eben der größere Teil des Risikos minimiert. Und das ist das Entscheidende bei IT-Sicherheit zu sagen, wenn etwas schiefgeht, dann muss der Schaden minimiert werden, ja? Und das war zum Beispiel ist genau die Maßgabe auch von dieser ähm Verbesserung in den äh in den Datenbank Zugriffsrechten, die da eingebracht wurde von verschiedenen, unter anderem Alverfreude, der es halt eingebracht hat, einen Tag zu spät, also schon andere eingebracht hat, also auch egal, die uns beide einen validen Punkt gemacht, der nämlich darin besteht, dass man immer bei jedem Zugriff bei allem, was man tut, den minimal. Die das minimale Schadenspotential macht. Und das tut diese App nun mal durch diesen dezentralen Ansatz und deswegen sind alle Schwachstellen, die da noch drinnen sein könnten oder so so wie möglich in ihrem Schadenspotential minimiert und das war auch der Grund, warum wir uns da so für eingesetzt haben. Ähm. Jetzt gab es noch, was ich sehr spannend fand. Also das war wirklich, weil ich kann es nicht anders. Ich kann dich anders als das hier zu behandeln. Ähm weil das so kurios war. Auf heiße Online geht am Freitagabend eine Meldung online, in der der TÜV sich in relativ vollmundigen Worten über die Chorona Warn-App. Echoffiert, Und in dem und sagt irgendwie, das ist sicher und das ist noch gar nicht alles geprüft und die ist überhaupt nicht Produktreif und äh und die Tanz sind unsicher und, und, und, und. Ja? Und ich dachte mir so, äh das kann nicht sein. Und der Grund, warum das nicht sein kann, ist. Ganz einfacher. Der TÜV gibt in diesem. Ähm Bericht an, dass er mit der, mit dem BSI zusammenarbeitend, ein, äh Security-Check oder Review von mehreren Teilen der Applikation vorgenommen hat. Beklagt sich aber zum Beispiel auch, dass sie nicht alle geprüft worden sein. So, was ist, was ist daran, äh, warum sage ich, da kann was nicht stimmen. Nun, ich bin ja selber in dieser Branche tätig und ich weiß, wenn du den Auftrag für ein Security-Review hast, insbesondere vom BSI, da hast du mit dem BSI eine. Geheimhaltungsvereinbarung, nämlich ein NDA und das bedeutet, sämtliche Geheimnisse, die du in diesem Zusammenhang in Erfahrung bringst. Äh. Darfst du nicht dritten verraten und die Vereine in den Vereinbarungen mit dem BSI ist halt eben auch so, ne, wenn du eine Schwachstelle findest, musst du sie dem BSI melden. Und das BSI entscheidet wieder mit zu verfahren, ist insbesondere in diesem Fall, wo das BSI ja im Prinzip, Arbeit von einem von anderen irgendwie da, prüft und koordiniert. Insofern es war mir unerklärlich, wie der dir Kretschmer vom TÜV IT mit heiße Online über Details. Seiner Arbeit für das BSI spricht. Und. Will jetzt, also ich kann mir nicht vorstellen, dass das BSI. Die deutsche Telekom oder SAP, das besonders witzig oder unterhaltsam fanden, wenn einer ihrer äh vertrauten. Mit äh Streiter, Äh nun mit vermeintlichen interner in die Öffentlichkeit geht, insbesondere dann auch noch Schwachstellen beklagt die, wenn man dann mal in den Quelltext auf Git Up schaut, schon längst weg sind. Ja, also auch da wieder eine Reise in die Vergangenheit. Der TÜV hat da offenbar eine äh Schwachstelle gemeldet, was zu zu geringe Entropie der Tanz angeht und wenn du dann jetzt später in den Code guckst, dann siehst du, die sind jetzt länger und dat auch schon irgendwie seit Wochen. Ähm, jetzt muss man dazu sagen, der TÜV hat ähm sich außerdem darüber beschwert, dass diese App Open Source sei. Und sagt, dadurch, dass die App Source ist. Ähm konnten die andere auch da reingucken und standen jetzt in Konkurrenz zu meinen Mitarbeitern. Ja sicher, dass die Idee von Obst, was das andere auch reingucken. Und die haben sogar Sachen gemeldet und äh die die vielleicht die TÜV-Mitarbeiterin nicht gesehen haben, ne? Das ist das Spiel. Die Idee von Transparenz und Öffentlichkeit. Und er hat sich dann auch noch irgendwie vollmundig gegen dieses Haus gewendet und man hat, also ich habe wirklich mich gefragt, was hat diesen man geritten, wenn der wieder nüchtern wird, muss hindert unglaublich leidtun. Und was passiert, keine zwölf Stunden knallrote, große DPA-Meldung. TÜV. Die Corona Warleb ist beste seid geschnitten, Brot. Ich habe hier keine Lücken gesehen, das ist unglaublich, ne, was hier passiert und ähm erstaunlich, was was hier alles passiert ist. Ich, und das war, äh, das war halt eben Samstagmorgen. Also, ich gehe, er hat noch ich sehe gerade, äh er hat noch äh dann auch dadrunter kommentiert, äh du schickst dir gerade den L. Zusammenarbeit zwischen SAP, Telekom, den BSI äh meine Bedenken von damals sind relativiert und Kritik steht mir nicht zu. Also ich möchte jetzt TÜV IT ist nicht ganz so klein, ne? Dass die durchaus den ein oder anderen Auftrag, vielleicht von, SHP, BSI oder Telekom hatten in der Vergangenheit und ich könnte mir vorstellen, dass sie auch Wert darauf legen in der Zukunft, noch welche zu.

Tim Pritlove
1:32:48
Linus Neumann
1:32:55

Also ich denke, ich kann mir ehrlich gesagt, glaube ich, noch nicht mal, dass dem, dass den irgendjemand etwas sagen musste. Weil also dass den irgendjemand zu sau machen musste, weil als der Artikel online gegangen ist, muss der äh muss dem das Herz in die Hose gerutscht sein. Ähm, na? Und das ist jetzt, ich sage das jetzt wirklich all das, sage ich jetzt vor dem Hintergrund dessen, was in dieser Branche üblich ist. Und in dieser Branche üblich ist, Geheimhaltungsvereinbarung, an die man sich hält. Und was sicherlich unüblich ist, als Beauftragter Auditor, Ergebnisse eines in der Öffentlichkeit zu diskutieren, noch dazu den Eindruck zu erwecken, dass diese Schwachstellen vielleicht nicht, ähm ähm behoben sein. Ja, das ist alles sehr ähm sehr sehr überraschend, ähm entsprechend hat er dann ja auch offenbar mit ganz, ganz, ganz, ganz großen Schuhen äh versucht, dieses Feuer wieder auszutreten und äh wenn ich das jetzt bewerte, tue ich das wirklich vor dem Hintergrund der ökonomischen Interessen des Hilfs, weil das war mit Sicherheit, das hat wirklich keinen guten Blick auf keinen Blick auf das Unternehmen geworfen. Ähm es macht nämlich ein, also, ich würde mal so sagen, was ist so ein NDA? Das kannst du in deiner Karriere nur einmal brechen. Und da muss ich dann schon lohnen, ne? Und was er da von dieser App erzählt hat, dafür hat sich das halt nicht gelohnt, insofern ähm er hat hat es mich dann nicht überrascht, dass er diesen Eindruck korrigierte, er sagt außerdem damals und das deutet ja in seinem Kommentar so ein bisschen darauf hin. Ähm das unter Umständen dieses Telefonat oder diese Meldung oder was auch immer er da der heiße Online-Redaktion erzählt hat. Schon etwas in der Vergangenheit liegt. Das deute ich da jetzt mal so draus, ja? Und da würde ich vermuten, dass ähm das. Vielleicht äh von der Seiten der Redaktion bei Heise online vielleicht noch Bemühungen gab, ähm, SAP, Deutsche Telekom, BSI, vielleicht zu erreichen und vielleicht eine Stellungnahme zu bekommen oder so. Und dann haben sie die vielleicht nicht bekommen oder er später bekommen, äh insofern, ja, das wird dem Herrn Kretschmer auf jeden Fall. Leid getan habe, fand ich auf jeden Fall unterhaltsam.

Tim Pritlove
1:35:18
Linus Neumann
1:35:42
Tim Pritlove
1:36:36
Linus Neumann
1:36:48
Tim Pritlove
1:37:18
Linus Neumann
1:37:29
Tim Pritlove
1:37:31
Linus Neumann
1:37:35
Tim Pritlove
1:37:45
Linus Neumann
1:37:48
Tim Pritlove
1:38:56
Linus Neumann
1:39:05

Ja, ja, Kampf kam von mehreren, ich bezweifle, dass der offene Brief jetzt wirklich das ausschlaggebende war, aber ich wollte das nur kurz sagen, dass sich das dass sich das ist auch unüblich wäre sich hier zu bedanken, ne? Wenn die, wenn ihr ein Gesetz verabschiedet, ist das ja auch nicht danke an die Opposition, für die, für die guten Ideen. Kurze Rolle des CC nochmal, wir haben ja eben vor mehr als zwei Monaten die Prüfsteine definiert. Wir haben dann gesagt, okay, wir werden vor etwas warnen, was diesen Prüfstein scheitert und ähm wir, sehen uns in dieser Debatte ihnen beraten, dann kontrollierende Rolle Ähm SAP und deutsche Telekom, auch das hatte ich hier glaube ich erwähnt, haben eben sich auch selber nach diesem Prüfstein geprüft. Das hatten wir nämlich auch gesagt, so wir machen das nicht. Muss man ja auch mal sagen, das ist ein Millionenprojekt. Soll ich da jetzt auch noch ehrenamtlich mich hinsetzen und äh und den den irgendwie eine Zertifizierung ausstellen. Das machen wir nämlich auch nicht ja? Und ähm wir haben gefordert die App muss Quell offen sein und da gab's jetzt die Verbesserungsvorschläge und das ist doch alles sehr schön. Grundsätzlich, wir haben unsere Bedenken geäußert, als wir welche hatten. Ähm wir. Empfehlen aus grundsätzlichen Erwägungen nie irgendetwas, weil wir wissen, dass es viele von sich von uns wünschen. Und uns vereinnahmen möchten, dafür stehen wir nicht zur Verfügung und in dem Kontext sich eben auch das, das ist hier jetzt keine großartige Erwähnung des CC oder was weiß ich, äh, dieser App gab und das ist auch genauso richtig gelaufen. Da kann man ja auch einfach mal äh. Ne, Politik ist, läuft mal gut, ne? Mal verlierst du, mal gewinnen, die anderen und ähm wenn dann mal von dieser Regel wichen wird, dann kann man sich auch einfach so darüber freuen. Kommen wir zu den allseits beliebten Logbuch, Netzpolitik, Kurzmeldungen.

Tim Pritlove
1:41:00
Linus Neumann
1:41:05

Eine eine Meldung von weiß, dot com, die denke ich auch, Also die wir auch nochmal in Zukunft öfter diskutieren werden, aber wir ich fahre jetzt hier mal kurz in einer kurzen zusammen. Und zwar gab es offenbar ein notorischen. Belästiger auf Facebook, der über mehrere Jahre junge Mädchen irgendwie angemacht hat, belästigt hat irgendwie versucht hat Fotos von ihnen zu erpressen und irgendwie sie mit Mord und Vergewaltigung zu bedrohen, also irgendwelche eine ganz schräge Scheiße, ja? Und. Das hat er offenbar über Jahre gemacht, in ganz ekelhaften äh ganz ekelhafter Art und Weise. Und das war Facebook hat das erkannt und Facebook war das ein Dorn im Auge und dem äh das Facebook hat dann auch das FBI eingeschaltet und mit denen zusammenzuarbeiten, um diesen Menschen, das Handwerk zu legen. So, was hat er gemacht, um es zu erschweren, dass man ihnen detektiert, der hat einfach über den Anonymisierungsdienst Tor auf Facebook zugegriffen. Jetzt muss ich mal sagen, welcher Handlungsoptionen, hatte Facebook an dieser Stelle. Ähm sie hätten beispielsweise, auch einfach sagen können, okay, wir blockieren Tor. Das haben sie nicht getan, das wäre problemlos möglich gewesen, das haben sie nicht getan. Aus verschiedenen Gründen. Erstens, weil sie sagen, nee, der anonymisierte Zugriff auf unsere Systeme muss ja möglich sein. Ähm Facebook ist da kein, also ich will jetzt nicht genau Facebookrolle zu Tor diskutieren, das ist auch wieder kompliziert, sagen, was kurz da ohnehin die Leute sich dort anmelden, und eigentlich unter kleinerem Zwang stehen, ist natürlich das Nutzen von Facebook, über Tor, äh ein. Eine ähm marginal ein maginalinteresse, ähm, da wird man jetzt nicht mehr viel Schutz bekommen, aber immerhin, sie haben sich nicht entschieden, den anonymisierten Zugang auf ihre Dienste zu verhindern Der Grund, warum sie sich wahrscheinlich auch nicht getan haben, ist, dass ihr konkretes Ziel war, diesen Menschen der Strafverfolgung zuzuführen. Und da hatte Facebook offenbar sehr große Motivation zu, denn. Selbst mit dem FBI haben sie's nicht geschafft, diesen Bastar Herr Nandes zu enttarnen und haben dann. Hat Facebook quasi ein Experte gekauft oder entwickeln lassen für, Tales, das Betriebssystem, was der ähm. Was dieser äh Typ benutzt hat. Tales ist wie, oh, ich kann das Wort immer nicht auf Deutsch aussprechen. Ähm. Dass äh das Inkorgnito Live-System mit Amnesie heißt das auf Deutsch. Auf Deutsch kann ich's sagen. Ähm ein ein man startet das im Prinzip von einem äh USB-Stick und äh es soll eigentlich allen Traffic immer durch Torruten und es hat wenn man's nicht spezifisch nochmal eine verschlüsselte Patition anlegt, auch kein State. Das heißt, das Ding merkt sich nichts, ne? Das das macht alles im im, Ramm und wenn du dann irgendwie den den Stick rausziehst, ist auf dem Computer nichts zurückgeblieben und in der Standardkonfiguration auch in den Tails nichts zurückgeblieben. So. Ähm relativ beliebt eben für so für den Sicherheitsbereich äh indem man na sicher Dateien scheren muss sich ja recherchieren muss, keine äh keine Information über sich selbst zurücklassen muss. Es ist aber nicht mein präferiertes äh Anonymisierungssystem. Und zwar, weil die Anonymisierung, das Tor-Routing bei Tales auf dem gleichen Betriebssystem stattfindet, auf der gleichen mit der kompletten anders Oberfläche dieses Betriebssystem ist. Und was ich auch in dem Vortrag mit Thorsten, wir beide, Thorsten und ich betonen ist, du willst die anonymisierung, eigentlich auf einer anderen haben, damit dir niemand die Anonymisierung kaputt, Das System, was das macht, äh nennt sich Hunix. Ähm wenn man das in virtuellen Maschinen betrachtet und ansonsten baust du die halt einfach einen eigenen Torruter, quasi der transparent in Tor reinrutet, damit egal was auf deiner Arbeitsmaschine passiert, du unter keinen Umständen niemals ein IP-Paket außerhalb von Tor sendest, ja. Ähm, Jetzt hat der Typ halt Tales genutzt und Facebook hat äh offenbar irgendjemanden bei äh gefunden und damit beauftragt einen Explot zu entwickeln, der spezifisch auf Tales zugeschnitten ist. Und dieser Explot diesen Export hat Facebook dann dem FBI über dritte Zukommen lassen. Also Facebook hat dem FBI ein Exploice gesponsort. Und die haben den äh dankend angenommen und haben dann eine Videodatei, äh äh angefertigt, in der sich dieser Explodio verparkt, der Explod war in den Medienplayer, der bei Tales drin ist und der Explot war geeignet, diesen Medienplayer so zu übernehmen, dass der dann, außerhalb von Tor, ein echtes IP-Paket sendet. Äh und zwar mit der IP-Adresse, die du versuchst, zu verschleiern. Und dann ist dann dieses Geschenk, ne, dann schickst du ein IP irgendwohin und sagst, alles klar. Ist angekommen, der ist es jetzt beim Mobilfunk äh oder Netzwerkprovider herausfinden, wo der äh wo der sich aufhält und dann äh treten wir denn die Tür, eine Zähne da raus. Das ist dann auch passiert. Und äh Junge, Junge. Also, was für eine Story Also Facebook-Zeit für einen Explot auf den Open Source anonymisierungsbetriebssystem und schenkt in dem FBI und das FBI-Heck damit jemanden, jetzt muss man natürlich sagen, diese Schwachstelle hatte jedes Tales ähm mit anderen Worten genau das, was wir hier meinen, ne? Hier wurde eine Schwachstelle gefunden und dann zumindest geheim gehalten, bis sie ausgenutzt wurde und, noch der Zug Zeit hier in privatwirtschaftliches Unternehmen, ne, wenn ich's jetzt mal den Begriff verwenden darf, eine Cyberwaffe für eine strafverfolgungsbehörde. Also.

Tim Pritlove
1:47:10
Linus Neumann
1:47:19
Tim Pritlove
1:48:34
Linus Neumann
1:48:35
Tim Pritlove
1:48:37
Linus Neumann
1:48:38

Noch dazu ist ja eine der immer doch sehr hervorgehobenen. Ähm eines der immer halt sehr hervorgehobenen Schutzsysteme, die vielen Leuten empfohlen werden, die gerade im Journalismusbereich vielen ähm empfohlen werden und so. Und obwohl Teil zu vielen Leuten empfohlen wird. Es ist nicht mein präferiertes System, weil dieses so Torhuting auch auf der gleichen Büchse stattfindet und der Computer, der hat eine Netzwerkdose, die ist, von dem Betriebssystem, mit dem ich da arbeite, zugreifbar, so schaffst du es natürlich dann eben auch da irgendein IP-Paket woanders hinzuschicken. Wenn du gut bist und das da verteidigt sich Tails mit allen möglichen Mitteln gegen, aber offenbar hier, nicht äh richtig. Und ja, insofern überrascht mich diese Explodien nicht. Interessant ist. Dass sie hier spezifisch auch auf den Videoplayer gehen konnten, weil der Typ ja irgendwelche Videos von den von den, ähm Menschen erpressen wollte. Und sie haben's im Zweifelsfall stelle ich mir jetzt Hypothetisiere ich. Sie konnten wahrscheinlich sehr einfach erkennen, dass der wieder einen Account angelegt hat bei Facebook. Werden sie ja jedes Mal stilllegen, ne, aber es ging ja hier nicht darum, denen das Handwerk zu legen, sondern den der Strafverfolgung zuzuführen. Mit anderen Worten, ich gehe davon aus, Facebook hat dann einfach in Zusammenarbeit mit dem FBI mal geguckt, okay. Was gibt's hier für neu angelegte Accounts von Leuten, die über Tor kommen? Dann beobachten wir die mal. Aha, alles klar, der zeigt in seinen Messages und in seinem Suchverhalten das Verhalten der Zielperson, dann schlagen wir dem doch jetzt mal ein paar äh hübsche, junge Mädels vor. Einige davon sind unsere Fake-Accounts, oder wahrscheinlich vielleicht alle, und äh dann lassen wir uns mal äh brav von dem erpressen und äh sagen, ja, ja, okay, wir schicken dir ein Video. Und dann haben sie ihm das Video geschickt und dann hat er das geöffnet und abgespielt und dann kam das IP und dann haben sie den Knast gebracht. Also es ist eine Zusammenarbeit, die äh hart ist. Also das äh das ist schon eine krasse Sache. Und da fällt mir, da fehlen mir so ein bisschen die äh die Worte.

Tim Pritlove
1:51:02
Linus Neumann
1:51:04
Tim Pritlove
1:51:43
Linus Neumann
1:52:01
Tim Pritlove
1:53:16
Linus Neumann
1:53:37
Tim Pritlove
1:54:01
Linus Neumann
1:54:08
Tim Pritlove
1:55:39
Linus Neumann
1:55:49
Tim Pritlove
1:55:57
Linus Neumann
1:56:04
Tim Pritlove
1:56:05
Linus Neumann
1:56:24
Tim Pritlove
1:56:58
Linus Neumann
1:57:04
Tim Pritlove
1:57:18
Linus Neumann
1:57:20
Tim Pritlove
1:57:31
Linus Neumann
1:57:31
Tim Pritlove
1:58:42
Linus Neumann
1:58:45
Tim Pritlove
1:58:55
Linus Neumann
1:59:10
Tim Pritlove
1:59:12
Linus Neumann
1:59:23
Tim Pritlove
1:59:28
Linus Neumann
1:59:32
Tim Pritlove
1:59:35
Linus Neumann
1:59:39
Tim Pritlove
1:59:44
Linus Neumann
2:00:11
Tim Pritlove
2:00:19
Linus Neumann
2:00:31