LNP353 Ein Geisterfahrer? Tausende!

Feedback — Malware as a Service — Kontaktlisten — CWA-Scammer — PIMeyes — Blueleaks

Ganz viel Feedback von Euch, dem wir eingangs Raum geben, ansonsten wenden wir uns wie gewohnt den aktuellen Dystopien der Woche zu. Die Bundesregierung will jetzt alle Internet Provider zu Komplizen beim Installieren von Malware machen und in der Schweiz begegnet man der Herausforderungen von Corona-Kontaktlisten mit der Sicherheitsattitüde der 90er während in Polen fleissig Gesichtserkennung privatisiert wird. Die AfD wiederum versucht Geld aus der Corona-Krise zu schlagen und fabuliert über das Design der Corona-Warn-App, hat aber leider entweder nichts verstanden oder lügt einfach darüber. Wäre beides traurig genug. Aber auch andere Aktivisten lassen es an Kompetenz fehlen.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Linus.
Linus Neumann
Guten Morgen, Tim.
Tim Pritlove
In Hamburg ist einer freigesprochen worden, der beim G20 Bierdosen auf die Polizei geworfen hat. Wie kann das denn sein?
Linus Neumann
Der war selber Polizist.
Tim Pritlove
Logbuchnetzpolitik Nummer dreihundertdreiundfünfzig vom elften Juli zwanzig zwanzig. Und langsam gehen einem die Storys aus.
Linus Neumann
Na ja, na ja, na.
Tim Pritlove
Eigentlich kommt doch normalerweise kommt da immer so der ganze verrückte äh Kram dann irgendwie hoch, ne.
Linus Neumann
Kommt ja auch, kommt ja auch, keine Sorge, Tim, wir haben genug, wir haben genug, um den Blutdruck auch im Sommer äh. Zu halten, ja? Da müssen wir uns gar keine Sorgen machen. Dieser dieser Prozess in äh in Hamburg ist ja ein Traum, ne. Das das erinnert mich an diese weißt du? Ähm wenn man einer Katze so ein Marmeladenbrot hinten drauf klebt, ne, auf den Rücken und die dann vom Dach wirft, um zu gucken, ob jetzt das Gesetz eintritt, dass die, Katze auf ihrem Rücken landen, auf dem dass immer unten ist oder die Katze immer auf den Füßen, ne. So erinnerten sie sich daran, erinnert mich dieser ähm, Dieser G20-Prozess und das Schöne ist ja, die ebenfalls angeklagte Freundin des Mannes, äh die hatte auch eine Dose geworfen, die ähm. Äh wurde auch freigesprochen. Geil, oder? Da da könnte man ja mal in einigen weiteren Verfahren, die ja jetzt gerade da in Hamburg zum G20 stattfinden, äh drauf Bezug nehmen. Wir werden sicherlich einige dafür sorgen, dass das jetzt kein Präzedenzfall äh wird.
Tim Pritlove
Das ist wirklich echt absurd.
Linus Neumann
Aber der der Mann hat äh Abbitte geleistet, ist jetzt auch nicht mehr Polizist. Der hat sich quasi in dem Moment auf dieser, wenn ich das richtig erinnere, war das bei der Welcome to Hell Demo und hat gesehen wie die Polizei da die Demonstranten angegriffen hat und hat sich in dem weiteren Verlauf, auch jetzt quasi von diesem Beruf getrennt.
Tim Pritlove
War da nicht dann schon Expolizist zu dem Zeitpunkt?
Linus Neumann
Wenn ich das richtig verstanden habe, äh nicht, weil sonst hätten sie ihn ja äh sonst hätten sie ihn ja schuldig gesprochen, ja.
Tim Pritlove
Hier ist irgendwie immer von ehemaligen Polizisten die.
Linus Neumann
Ja, ja, er ist, er ist danach. Er er ist jetzt ein ehemaliger Polizist. Ja, weil er sich darauf ähm daraufhin entschieden hat, ja? Ähm nicht mehr. Zu sein. Und der ist sogar geständig, ja? Na ja, wir wünschen ihm eine erfolgreiche Resozialisierung. Übrigens ähm wir haben ja viel über die über die Stuttgarter Geschichte gesprochen, ne. Ähm.
Tim Pritlove
Das ist das Aufregerthema überhaupt.
Linus Neumann
Also, man muss das folgendermaßen, da, da streten ja noch weitere soziale Konflikte. Ähm ans Licht. Und zwar die Stuttgarter Partyszene. Die trifft sich ja jetzt in den in diesem Park. Ne und der Park ist natürlich das natürliche Habit Habitat von den Punks und ähm, die machen den jetzt quasi da den Lebensraum strittig. Und jetzt hast du quasi, Party gegen Punk, ja? Und da gibt's ein ein bemerkenswerten, einen bemerkenswerten Ausschnitt aus der Sendung Report Mainz, wo ein Team sich offenbar in diesem Schlosspark da umgehört hat und sich mit Leuten unterhalten hat und die haben sich mit einer Gruppe Punks unterhalten. Das sind sie also sehr, sehr eindeutig Punk äh bunter Haare und die, Hauptinterviewpartnerin hat auch nochmal, um sicherzustellen, dass jeder es versteht, auf ihrem T-Shirt stehen wir sind Punks. Also zweifelsohne sind das wahrscheinlich Punks. Und es ist, wie gesagt, wirklich bemerkenswert, wie dieses Interview verlaufen ist. Vielleicht hören wir da mal ganz kurz rein.
Tim Pritlove
Das machen wir mal. Wie einen auf Papa machen. Geil. Tja.
Linus Neumann
Ey, leg dich nicht mit den Stuttgarter Punks an, ne? Ich meine, weißt du so, da ist er, boah.
Tim Pritlove
Ja. Wenn du wenn du den Punks quer kommst, dann äh bist du sofort so wirst du gleich zur Kehrwoche. Du musst gleich zur Kehrwoche verurteilt.
Linus Neumann
Und vor allem dieser dieser Kommentar, wie immer, ja, der ist aber natürlich auch ähm. Also in Stuttgart, Leute, ihr habt jetzt hier wirklich in den Kommentaren wirklich viel versucht, uns irgendwie Stuttgart näher zu bringen, ne? Aber man muss schon sagen, das ist schon etwas eigentümliche Region da unten, also das.
Tim Pritlove
Sagen wir mal, wir kennen das nicht so gut, ne? Also das ist dann.
Linus Neumann
Ja das ist bei uns unüblich. Ja, also in in Berlin ist das unüblich, dass die Pax die Polizei.
Tim Pritlove
Zumindest bei den Punks.
Linus Neumann
Andere andere Bundesländer, andere Sitten. Ähm.
Tim Pritlove
So sieht's aus. Da mischen wir uns überhaupt nicht mehr ein. Macht doch, was ihr wollt.
Linus Neumann
Ja, aber auf jeden Fall, Leben gehört sich mit dem Parks in Stuttgart an. Ähm, Wir haben Feedback bekommen, einen und zwar das würde ich gerne hier vorlesen. Wir haben ja vor einigen Sendungen schon uns darüber gewundert, wie es denn zu diesem dann doch sehr komischen Artikel bei Heise kam, in dem äh der, TÜV sich quasi über die. Corona-App sehr negativ äh geäußert hatte oder so wiedergegeben wurde und ich habe mich hier sehr ausführlich darüber gewundert, dass ich mir das einfach überhaupt nicht vorstellen kann, dass, Herr Kretschmer, das so, gemacht hat ja? Oder zumindest das ist für ihn ökonomisch eine sehr dumme Entscheidung gewesen wäre aus einem Auftrag in den in der Presse zu berichten, Und äh ich kenne Herrn Kretschmer und der hat mir geschrieben, und äh das würde ich gerne einfach mal vorlesen, weil's ja auch eine wichtige Ergänzung und Gegendarstellung ist. Hallo Herr Neumann, ich wollte mich kurz zur Podcast-Folge, Netzpolitik mit Ihnen und Tim Pritlaff melden. Siehe beide haben mich ja nicht gut aussehen lassen, aber erstaunlich richtige Überlegungen zu meinen Aussagen angestellt. So war bei mir fast der Eindruck entstanden, dass sie genau wissen, Dass diese Aussagen so nicht von mir kommen konnten. Aber soweit ging ihr Fazit leider nicht. Es gibt eben viele Gegner der App und so wurde ich völlig fehlerhaft mit meinen Aussagen vor einigen Wochen zu Beginn, Tests zitiert, als noch der zehnte sechste als Veröffentlichungstermin stand und wir genau zwei Tage Zeit gehabt hätten. Auch sollten wir zunächst alle Feindings selbst veröffentlichen. Einhundertprozentige Transparenz, was dann aber auf Kommunikationspannen beruhte und zurückgenommen wurde. Kein NDA wurde somit verletzt und ich habe nur theoretische Angriffe umschrieben, da ich gefragt wurde, was denn so passieren könnte. Daraus wurden dann auf einmal tatsächliche Finings im Artikel. Kam dann alles zur Unzeit, als die Situation eine völlig, andere waren, Also damit meint er, um das kurz zu ergänzen. Der Artikel kam eben sehr viel später, als er dieses Gespräch geführt hat, ne, also um das nochmal, um das kurz in Erinnerung zu rufen, dieser Artikel erschienen irgendwie, weiß ich nicht, wenige Tage vor Veröffentlichung der Corona-App. Ich glaube, am Freitag, Abend und die App wurde dann am Dienstag veröffentlicht und er sagt jetzt, dass die quasi das Interview nicht länger zurück und bezog sich noch auf eine komplett andere Situation. Also, kam dann alles zur Unzeit, als die Situation eine völlig andere war. Aber. Wer glaubt das dann schon? Mich stört eigentlich nur, dass alle sich fragen, warum ich das öffentlich gemacht habe und niemand, ob ich das eigentlich gemacht habe. Das habe ich nicht. Grüße, Dirk Kretschmann. Ja, also ich denke, dass äh finde ich so nachvollziehbar und ich hatte das ja auch in der Sendung, wie Herr Kretschmer ja auch selber sagt, so ein bisschen vermutet, dass das irgendwie nicht sein kann, was da, passiert ist, wird der Veröffentlichung dieses Artikels und ich glaube, das erklärt das hier sehr gut, dass er offenbar, dass es sich um eine sehr altes äh, Tages aktuelles Interview gehalten äh gehandelt hat, was äh oder Gespräch gehandelt hat, was dann eben sehr viel, oder mit mit Verspätung veröffentlicht wurde und damit nicht mehr die aktuelle Situation getroffen hat. Insbesondere dieser Teil mit wir brauchen mehr Zeit, ist natürlich vorm Hintergrund von zwei Tagen oder zwei Wochen. Ähm komplett anders zu bewerten. Insofern danke ich dem Dirk Kretschmer für dieses Feedback und bin froh, dass ich das hier dann auch nochmal vollständig so mit seiner Einverständnis vortragen durfte.
Tim Pritlove
Ja, absolut nachvollziehbar und äh der der Artikel machte wirklich auch schon ein merkwürdigen, Eindruck, ne? Also wie er schon ganz richtig gesagt hat so, man hätte sich vielleicht, noch mehr Fragen können äh, ob das Gespräch in der Form überhaupt so, zumindest zu dem Zeitpunkt hat stattfinden können, weil es war einfach nicht schlüssig, so diese ganzen Ansagen mit Zeit und alles passt da irgendwie überhaupt nicht.
Linus Neumann
Ja, also haben wir das geklärt. Ähm TÜV, äh weiterhin äh und und dieser Funk, er hat kein, also NDA nicht gebrochen, ne, ist ja zum Beispiel auch ein wichtiger Punkt, dass das ursprünglich offenbar geplant war, dass dass die selber ihren Bericht veröffentlichen, was ja durchaus auch manchmal üblich ist, äh hier jetzt aber nicht, insofern alles gut. So, dann kommen wir zum Feedback. Ähm von unseren Hörerinnen und Hörern. Und zwar haben da Gerhard und Dennis kommentiert zu Zero Rating und DPI. Wir erinnern uns, wir haben über das Zero-Rating der Corona-App gesprochen und haben damit auch nochmal mit Thomas gesprochen, der ja, Maßgeblich bestimmt war für die Netzneutralitätsrichtlinie der Europäischen Union und Thomas oder dass das schreibt Gerd Gerhard auch hier. Gerhard schreibt Thomas macht den Vorschlag, dass ein okay wäre wenn es sich auf Domänen bezieht wie Dot Gof, dort Edio oder irgendwas Health Verwandtes. Wie soll das aber möglich sein, wenn DPI verboten ist? Momentan nutzen viele Internetserviceproviders unter anderem URL und SNI Infos beim Zero-Rating. Äh SMI-Server name Identification ist im Prinzip im weitesten Sinne das, was bei einem. Bei dem Herstellen einer TLS-Verbindung noch liegen kann über mit welcher Domain du da tatsächlich redest. Und DPI bedeutet ja also DPI bedeutet du guckst in den Teil. IP Paketes, der für das Routing nicht mehr relevant ist, mit anderen Worten also den Inhalt. Und.
Tim Pritlove
Oder der eigentliche Datenstrom.
Linus Neumann
Und wenn man sich jetzt TLS-Verbindungen anschaut, dann, ist es so, also die stellen einen verschlüsselten Tunnel her, ja? Und dieser Tunnel befindet sich aber komplett in der Playload. Das heißt, um irgendetwas von diesem TLS überhaupt mitzubekommen, musst du, machen, da hat der Gerhard vollständig recht und das wird von Dennis noch ein bisschen ergänzt. Der sagt, das ist keine Theorie, ich war zeitweise Kunde eines Mittel europäischen Anbieters mit einem Zero-Rating während meiner Zeit dort habe ich mit dem System mal ein bisschen herumgespielt, um zu schauen, ob ich Abituren, Traffic, Zero raten lassen kann. Die Antwort war ja. Wohin der Traffic ging, war dabei vollkommen egal, ob ich zu einem Server in den USA zu einer Büchse beim lokalen Billo-Hoster, solange in Layer fünf aufwärts bestimmte Erkennungsmerkmale vorhanden waren, wurde der Traffic geweiht listet und nicht von meinem Datenvolumen abgezogen. Mit anderen Worten, Dennis sagt, hier wurde also, keinerlei äh Rating of IP-Ebene, sondern nur auf Lea fünf aufwärts, also nur im Bereich die Package Inspection, dieses Zero-Rating gemacht und, Ja, da haben ähm Gerhard und Dennis recht, dass, wenn wir sagen wir wollen überhaupt kein haben dann eben auch das in der Form nicht funktioniert. Nur zur Ergänzung warum kann man Zero-Rating nicht auf IP-Ebene machen? Also kann man schon, aber. Wird nicht im Sinne der Provider sein, weil sich das einfach viel zu viel ändert, also welch was unter welcher IP-Adresse verfügbar ist durch diese ganzen CDNs und sonstiges. Und weil, Adresse mitunter. Unterschiedliche Services laufen können, ne, also was weiß ich, du hast dann irgendwo in der Cloud dein Netflix ein bisschen rum, irgendwo in der gleichen Cloud ballert ein anderer Service so ein bisschen rum, die, IP-Adressen sind flüchtig und vor allem. Auch nicht überall auf der Welt gleich, ja, also Deutsche werden dann woanders hingelenkt, als andere und da wird das dann eine sehr, sehr, sehr unsauber, wenn man sagt, wir wir machen das Zerorate. Zero, boah, das kriege ich echt nicht. Zero-Rading, Wir machen das Zero-Reading einfach auf ein IP, weißt du?
Tim Pritlove
Auf einer Android. Äh aber wenn wenn ich mich richtig erinnere, ist das doch bei Stream on genau so.
Linus Neumann
Stream on, da gab's ja, wir haben uns damals diesen Bogen angeschaut, da kannst du mit IP-Adressen, da musst du aber auch. Zum Beispiel die äh Servername Identify. Also du musst auch die Domainnamen und so nennen, weil grade weil es eben nicht so einfach nur auf IP-Adressenebene geht.
Tim Pritlove
Ja gut, aber das ist sozusagen so eine Vorschrift, aber ähm in dem Moment, wo der Traffic komplett verschlüsselt ist, wie kann denn dann das normale DPI überhaupt noch greifen?
Linus Neumann
Weil du beim äh zumindest bei älteren TLS-Versionen trotzdem noch liegst, zu welcher Domain du dich verbindest. Also eine. Eine IP mit mehreren Domains, ja? Muss ja beim zu Beginn des Herstellens der der des TLS Tunnels musst du ja trotzdem sagen, Domain du gerade reden möchtest, damit dir der Server das richtige Zertifikat präsentiert.
Tim Pritlove
Bevor es dann verschlüsselt ist alles.
Linus Neumann
Bevor dann der tatsächliche Kontext hergestellt wird.
Tim Pritlove
Das ist das, was jetzt Dennis meinte mit Lea fünf äh.
Linus Neumann
Nee, mit SNI.
Tim Pritlove
Ja gut, aber dann äh frage ich mich, wie das jetzt bei diesem Provider, den der da bezogen hat, äh.
Linus Neumann
Na das erklärt er nicht, weil er nicht möchte, dass man das nachmacht, aber was ich glaube, ist, dass sich einfach ein, äh dass er sich einfach einen Service gebaut hat, der sich als ein der sich in seinem SSL-Zertifikat als ein Service ausgibt, seine eigene Büchse so manipuliert hat, dass sie dieses Zertifikat einfach akzeptiert und dann der Provider gedacht hat, ach super, hier können wir Zero Raten ist in Ordnung so ungefähr klingt das, was Dennis da beschreibt. Und das war überhaupt nicht auf IP-Ebene, sondern eben auf der, TLS-Ebene und damit eben auf Layer fünf aufwärts. Und damit heißt das, die haben das Zero-Rating bei diesem Provider, den er beschreibt, nur, anhand von gemacht und überhaupt nicht anhand von IP-Adressen.
Tim Pritlove
Ja, was schließen wir da jetzt draus? Also.
Linus Neumann
Nö, daraus schließen wir, dass dass sie Recht haben, dass äh dass es schwierig wird, ähm weil also gerade bei einer, wenn du eine Domain ähm, Also eine zu listen oder eine eine Top-Level Domain dot go oder so was White zu listen. Wer noch schwieriger, weil die Information steht ja dann im DNS und die IPA, das ist eben eine andere. Jut ähm und deswegen geht's nicht ohne die haben die beiden vollkommen recht. So, dann haben wir äh auch noch zum Gespräch mit Thomas. Thomas hat beiläufig gesagt, Traffic kostet nichts. Und da beschwert sich Richard mit starken Worten. Zu sagen, dass Datenvolumen den Provider nichts kostet, finde ich verwerflich, weil sträflich naiv. Und im weiteren Verlauf sagt er, es geht darum, die riesigen Investments für Hardware und Funkbänder zurückzuverdienen, deinem Argument müsste zum Beispiel auch jede Lizenz für eine Software gratis sein, weil die wurde ja auch irgendwann programmiert und, jetzt wo sie fertig ist, kostet die Soft die Lizenz den Hersteller nichts mehr. Das ist eine grobe Verzerrung, und das geht so nicht. Ja, jein, Richard Jein. Ähm richtig ist, Der teure Teil des Mobilfunknetzbaus ist der Bau des Mobilfunknetzes. Das Datenvolumen, was dann dadrüber geht, macht an den Kosten nur noch einen geringen Teil aus. Quasi keinen. Ähm im Vergleich zu, ne, was was jetzt, was weiß ich, anmiete, bezahlst für den Funkmast und an Anwälten, um irgendwie die die Waves in Kleßen-Görne irgendwie vor Gericht niederzuringen oder was auch immer, ne?
Tim Pritlove
Aber durch die Daten selber entstehen jetzt unmittelbar äh erstmal keine Kosten.
Linus Neumann
Der Punkt, den Thomas machen wollte, ist, ob das Mobilfunknetz jetzt grade unter voller Last läuft oder im Leerlauf, ist quasi, winzig geringer Teil deiner Kosten. Und der Vergleich mit der Software, den du da bringst, der falsche, der stimmt so nicht, wie du ihn gemacht hast, weil der Vergleich ist Ähm das wäre eine Software, bei der man dann für die Nutzungszeit bezahlt. Also wenn du jetzt beispielsweise Photoshop dir holen würdest, ja? Photoshop kriegst du zu einer Flatrate, Nämlich, was, ich glaube, zehn Euro oder sowas im Monat, kostet dich die Lizenz von Photoshop. Und es macht dann keinen Unterschied, ob du acht Stunden am Tag photoshop nutzt oder es nicht nutzt, Insofern ist genau der der Vergleich, den du bringst mit der Software, ist genau der Zutreffende hier für dieses Datenvolumen, ja? Also da muss ich deinen Vergleich leider äh am hinken, hindern und ihm ein Bein stellen, Ähm und das ist, war hier Thomas Punkt und ähm ein sehr guter Freund von mir, der im Telekommunikationsbereich arbeitet und mit mir auch schon gearbeitet hat, sagte immer ähm. Telefonnetze sind so teuer, weil es so kompliziert ist, Rechnungen dafür zu schreiben Und das ist ein ähm sehr schöner Punkt, den ich immer äh mir immer wieder in in Erinnerung rufe. Es ist unglaublich mit unglaublichem Aufwand verbunden Den ganzen Mist abzurechnen, ja? Weil du hast diese Netze funktionieren ja einfach erstmal. Ja, die das funktioniert. Das sind ein paar Regeln und ein paar Konfigurationen, dann funktioniert dein Netz. Und jetzt quasi da was dran zu pflanzen, was dem wieder, im Prinzip Telemetrieinformationen entnimmt und sagt, ah, jetzt müssen wir dir aber, acht Euro mehr und du darfst nur noch ein Gigabyte oder so. Das kostet ein Schweinegeld. Und das könntest du quasi alles sparen, indem du sagst, Leute, macht einfach. Ne? Und die These ist. Dass es im Zweifelsfall günstiger wäre, wenn du den ganzen billigen Kram einfach weglassen würdest und ähm keine Nutzungsbasierten Abrechnungen mehr machst. Das ist die These. So, auf der anderen Seite steht natürlich die, Internetprovider möchten in irgendeiner Form 'ne faire oder eine Preisgestaltung haben und die wollen natürlich sagen, okay, wer mehr davon nutzt, bezahlt mehr. An denen wollen wir mehr verdienen, für die haben wir auch mehr Netz gebaut. Ja, also es gibt natürlich eine Korrelation zu, was weiß ich den Leuten, die das Ding den ganzen Tag, Benutzen, für die musst du halt auch irgendwann mal LTE gebaut werden. Ähm und für die, die es nicht nutzen, hätte man LTE nicht gebaut. Insofern stimmt das schon, aber. Ähm ich denke, ökonomisch ist der Punkt, zumindest erstmal richtig, dass dich Traffic am Ende kaum etwas kostet. Jetzt gibt's natürlich einen Unterschied. Das kommt darauf an, wer du bist. Weil ähm wenn du einer der großen. Internetanbieter bist, ich nehme jetzt als Beispiel einen großen Mobilfunkanbieter in Deutschland, völlig egal, der kann natürlich mit der Masse seiner Kundinnen und Kunden ganz anders an andere Peeringpartner herantreten. Als irgendein kleiner Internetprovider. Denn tatsächlich, ja, die bezahlen sich äh die die rechnen auch untereinander ab. Der, ich glaube, es war sogar mit der gleichen Richtlinie, mit der Netzneutralitätsrichtlinie, wurde aber der Verrechnungspreis für EU-Roaming festgelegt. Das hatten wir hier auch damals ähm besprochen, dass Das ist quasi ein Gigabyte Preis gibt von was weiß ich. EU-Land zum anderen EU-Land. Das heißt, das kostet dann tatsächlich, also Roaming kostet in wirklich aber. Der Grund, warum das kostet, ist wieder, dass einige Interesse daran haben, das es kostet, nämlich die Länder, wo viele in den Urlaub hinfahren, Ja, also ist ähm das ist hier der der Punkt, quasi diejenigen, die viel anbieten, wollen natürlich dann auch irgendwie dafür wieder Rechnungen stellen. Gleichzeitig diejenigen, die weniger Kunden haben, kriegen müssen aber dann diese Preise bezahlen. Das heißt, du hast hier zwar ein Abrechnungswesen, aber das ist wieder nur zum Vorteil der großen und zum Nachteil der Kleinen. Ja, also meinst ja nicht, dass irgend irgendjemand zur deutschen Telekom sagen kann und sagt, pass mal auf, wenn ihr in unsere Netze irgendwie schnell ruhten wollt und wir hier am Detexperi und dann müsst ihr uns aber so und so viel Geld dafür geben für die fünfhundert Leute, die unsere Webseite aussuchen. Da sagt die Deutsche Deko, als kleiner, finden wir die eben nicht oder gehen die halt über über irgendeinen über den billigsten Weg an. Also ganz so einfach ist es nicht und würde man das einfach alles weglassen, glaube ich, tatsächlich, könnte es sogar sein, dass man am Ende, Ähm profitabler arbeitet. Und das ist, denke ich, der Punkt, den Thomas hier, machen wollte, gleichzeitig klar, wenn Leute mehr Datenvolumen nutzen, müssen auch bessere Netze gebaut werden. Die müssen aber ohnehin gebaut werden.
Tim Pritlove
Ja und die Abrechnungen zwischen verschiedenen Providern, also die sich sozusagen gegenseitig ihr Datenvolumen schicken. Das rechnet sich ja auch gegen. Also, was so in die eine Richtung schickst und was in die andere Richtung geht und dann wird dann am Ende nur irgendwie so einen Überhang letzten Endes bezahlt. Zumindest mein letzter äh Stand dabei. Ich meine, diese Vision, dass ähm, man einfach das Netz so wie es ist, zur Verfügung stellt, sowohl ich meine das ist ja natürlich nicht so, dass jetzt keine, nach Investitionen erforderlich werden. Klar, der Bedarf steigt insgesamt. Leute, nutzen das immer mehr, dass es eben dann die die Pflege des Netzes, dass du deine Kapazitäten weiter bauen muss so und das wird dann aber eben getragen durch die Zahlung von allen, ne? Also Ja, es ist vielleicht ein etwas schlechter Vergleich so, aber beim Gesundheitssystem, da zahlen dann irgendwie auch alle, irgendwie so ein bisschen ein und manche brauchen halt mal mehr davon und die meisten halt nicht und passt auch.
Linus Neumann
Ja und alle vierzehn Tage kommt einer von der von der CDU CSU und sagt äh die Kranken sollen jetzt mehr zahlen, weil die das System mehr belasten. Oder die Alten oder was auch immer, ne.
Tim Pritlove
Die Raucher alle, genau.
Linus Neumann
Auch äh äh ja. Ähm.
Tim Pritlove
Wir brauchen ein solidarisches Netzwerk.
Linus Neumann
Also das das war zumindest die These, die Thomas hier gemacht hat. Ich glaube, haben wir dann jetzt auch ganz gut erklärt. So, dann über das andere Thema, da wo es, wo sich eine interessante Diskussion entfaltet hat, war dieser AMS-Algorithmus, da haben wir viel Feedback und viele Kommentare zu. Ich habe die mal ähm in den Shownotes verlinkt. Und zwar geht es da prinzipiell, hauptsächlich ein bisschen darum, ne, klar der Computer trifft eine anhand der Daten, die ihm zur Verfügung stehen ähm. Eine Entscheidung anhand der Daten, die ihnen zur Verfügung stehen und die trifft er im Prinzip eindeutig und reproduzierbar. Menschen haben potenziell in die eine oder in die andere Richtung, Ja, also was weiß ich, da kommen dann ihre Vorurteile in positiver und negativer Art zum Tragen, und da wird auch meine Ausnahme gemacht für eine junge, hübsche Frau und äh auch mal gerne der äh Weg, des des Pflicht der Pflicht gegangen, wenn die Person männlich ist und die falsche Hautfarbe hat. Oder, oder, oder, ne? Diese Aspekte spielen natürlich da auch mit rein. Und da entfaltet sich eine interessante Diskussion darüber, ob das nur gut ist oder, nicht. Ähm ein weiterer Punkt, über den wir gesprochen hatten, war dieser diese sehr unglaubliche Zahl von dreißigtausend Verdachtsfällen im Bereich des dokumentierten Kindesmissbrauchs, wo ich auch schon sagte, das kann irgendwie alles nicht sein, aber, Es war der Justizminister von NRW, Peter Biesenbach von der CDU, der mehrfach betont hatte, Ich wiederhole dreißigtausend eine ungeheure Menge an Gleichgesinnten, ein ein die einschlägiges Bild und Videomaterial anbieten und konsumieren. So der Justizminister Peter Biesenbach von NRW sehr eindeutig. Allerdings ähm das war Unsinn ähm und es handelte sich nicht, um dreißigtausend Tatverdächtige, sondern um dreißigtausend Datenspuren wie IP-Adressen. Ja, es kann also sein, dass ein Täter mit mehreren Geräten oder IP-Adressen operiert hat und Tatsächlich, ne, wenn du jetzt irgendwie davon ausgehst, dass sich die IP-Adresse deiner Heimanschlüsse, glaube ich, alle vierundzwanzig Stunden ändert. Beim Mobiltelefon weiß ich's nicht so genau. Ich glaube, äh die werden aber wahrscheinlich auch äh genattet Ähm in den meisten Fällen ich weiß nicht, wie das mit den V sechs Adressen ist. Ähm insofern diese dreißigtausend, wenn man da jetzt noch den Zeitraum dazu nimmt, dann kannst du im Zweifelsfall mal, durch die durch die Anzahlen und dann wahrscheinlich nochmal durch zwei, ja? Und entsprechend wurden bislang, Seit Oktober bundesweit zweiundsiebzig, Verdächtige und es kommt jetzt wirklich tatsächlich darauf an, ne, wie viele Alpi-Adressen du hast, um daraus abzuleiten, wie viele Menschen sich da tatsächlich hinter verbergen.
Tim Pritlove
Dreißigtausendzweiundsiebzig, ich bitte dich, das sind doch alles nur Größenordnungen.
Linus Neumann
Es sind bürgerliche Kategorien. So, dann will ich noch kurz äh zwei Updates machen zur äh Themen, die wir behandelt haben. Und zwar hatten wir hier eine schöne Folge. Über das Patientendatenschutzgesetz mit, Zebro und Martin und Martin war dann auch vor einigen Wochen nochmal als Sachverständiger, Vertreter des Chaos Computerclubs in den. Gesundheitsausschuss wahrscheinlich, ne? Ja, am Ende. In den äh zumindest in den Ausschuss, der diesen Gesetzesentwurf diskutiert hat. Ich meine, das war der Gesundheitsausschuss. Äh geladen über äh ich glaube oder irgendwie so ein Ding. War ganz äh schön, wenn du den Stream angeschaut, also ähm, saßen sie da alle in ihren Wohnzimmern oder in ihren Arbeitszimmern haben sich zu Wort gemeldet und Martin hat äh dann nochmal ein bisschen zurückgemeldet, als er sagt, Erstens, dass Patientendatenschutzgesetz wurde jetzt verabschiedet und zwar mit einem Änderungsantrag der Koalition. Der ziemlich klar auf Stellungnahme eingeht, die der Martin da für den Chaoscomputerclub eingebracht hat. Und jetzt sollen also die Gesundheitskarten, also die, die Patientinnen und Patienten oder die Versicherten bekommen, Künftig persönlich übergeben oder per Postzustellauftrag ohne Ersatzzustellung oder Niederlegung, zugestellt werden. Das heißt, an der Haustür gegen Vorzeigen eines Ausweis, Dokumentes, um sicherzustellen, dass sie direkt in den Besitz der Versicherten gehen. Ähm und das ist quasi eine ein Ergebnis, Name von Martin. Wir erinnern uns, Martin und Zebro hatten ja beim Congress diesen, diese Schwachstellen vorgeführt, in der sie Patientenkarten, aber auch Heilberufe, Ausweiskarten, quasi also Praxiskarten sich im Prinzip anretäre Adressen haben liefern können. Jetzt gibt es ähm. Natürlich immer noch kleinere Schwächen, es gibt ein paar Kann-Regelungen, die werden natürlich von den Krankenkassen stets als äh könnte äh interpre, interpretiert. Dann sagt er, beim Postzustellauftrag, der passt zu schnell auftragt, kann keine Identifikation mit einer echten Ausweisprüfung ersetzen, deswegen ist Post-Ident auch sehr viel teurer als im Postzustellauftrag, weil nämlich beim Postzustellauftrag nur Vor- und Nachname als Identitätsatribut abgeglichen, aber nicht das Geburtsdatum und das Foto. So, aber ne, das sind ja jetzt eher Kleinigkeiten. Ich denke, hier diese, Zustellungsmöglichkeiten sind jetzt auf jeden Fall um einiges verbessert worden. Jetzt sagt Martin aber und das ist natürlich ein wichtiger Punkt. Mir scheint der Post zu schnell Auftrag ziemlich undurchführbar in der Praxis, da die Empfängerin zu Hause anwesend sein muss. Ein paar Tage Urlaub äh alle fünf Jahre zur, Entgegennahme der neuen äh elektronischen Gesundheitskarte ist völlig realitätsfern. Daher wird im Zweifelsfall dann die sichere persönliche Übergabe, zum Beispiel an der Filiale wohl die Regel wert. Ähm und jetzt sagt er, jetzt ist natürlich auch zu erwarten, dass die Ausgabe der viel sicherheitskritischeren Praxisausweise daran angepasst wird. Die wollen aber jetzt nicht in diesem Gesetz geregelt. Das kommt dann noch. Die zweite Forderung war die Streichung der Ausnahmeregelung, wonach äh gegen Krankenkassen keine DSGVO Bußgelder verhängt werden können. Äh, Wurde nicht übernommen, aber immerhin hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg jetzt in dieser Woche erstmalig eine, nämlich die AOK als Wirtschaftsunternehmen eingeprüft und mit einem DSGVO Bußgeld von eins Komma zwei Millionen Euro belegt. Weil sie unzureichende Informationssicherheit nach Artikel zweiunddreißig DSGVO haben walten lassen. Ja, Martin schreibt als Kommentar, Der Einsatz ist hat sich allein deswegen schon gelohnt. Also wenn ihr demnächst mit eure neue Gesundheitskarte haben wollt und äh bei der Post in der Schlange steht, mit eurem Ausweis, dank Martin.
Tim Pritlove
Da muss ich jetzt nochmal kurz nachfragen, weil da waren mir jetzt so viele äh Degationen hintereinander, äh die Forderung nach der Streichung der Ausnahmeregelung, wonach gegen Krankenkasse keine Bußgelder verhängt werden können, hat keinen Eingang ins Gesetz gefunden. Können wir das mal irgendwie ohne dreifache.
Linus Neumann
War das Krankenkassen, der es ohne Diskussion. Den DSGVO, DSGVO, Bußgelder bezahlen müssen, wenn sie Datenschutz verletzen oder ähm mangelnde Informationssicherheit haben. Weil es in diesem Gesetz eine Ausnahmeregelung dafür gibt.
Tim Pritlove
Und das gibt es auch nach wie vor.
Linus Neumann
Diese Ausnahmeregelung ist drin geblieben.
Tim Pritlove
Okay, gut, dann habe ich's.
Linus Neumann
Und die Argumentation ist natürlich, weißt du, wenn wenn du so eine DSGVO machst, dann machst du die ja damit die damit die äh Leuten Sorge macht, damit sie ordentliche Informationssicherheit äh, Informationssicherheit und ordentlichen Datenschutz umsetzen. Und ausgerechnet da wo die kritischen und sensibelsten Daten verarbeitet werden, machst du das dann nicht. Ne, das ist natürlich schon sehr überraschend. Also keine Ahnung, irgendein. Open Table, Restaurant, Reservierungssystem fällt dann unter die DSGVO und deine Krankenkasse, die irgendwie die höchstsensiblen Daten von dir hatten, nicht. Das ist natürlich ein bisschen komisch.
Tim Pritlove
Ja, in der Tat. Also ich meine, es gibt ja, wenn ich das richtig sehe, klingt ja jetzt erst mal so ein bisschen illegal hier europäische Richtlinie oder Grundverordnung, äh einfach aussetzen, aber es gibt ja so eine Ausnahme, glaube ich, in der, GVO, dass Staaten das tun können. Ich glaube, das hatten wir auch schon mal mit Österreich. Äh das ähm Die Region, das äh auf bestimmte Bereiche anwenden wollte, halte ich allerdings auch wirklich für absolut, unangemessen, also gerade da, wo mit so sensiblen Daten gearbeitet wird, genau da jetzt die Strafen rauszunehmen, das arbeite ich Quatsch.
Linus Neumann
Absolut. Dann gibt es ein Update vom OTF, dem Open Tak. Wir hatten ja ähm hier darüber gesprochen, was da das da jetzt der wirklich Beispiellose Angriff der Trump-Administration. Gegen diesen ähm, die sehr Stiftungsfonds ähm eingeleiert wurde. Stiftung ist natürlich nicht der richtige Begriff Begriff. Es ist ja ein eine Regierungsfond, aber ähm wird eben in dieser Form einem, Zwecke zugeführt. Ähm der neue CEO des äh wie hieß das immer, U United States? Social Media Service oder wie auch immer. Also der dem der da quasi über drüber liegt, hatte ja den CEO-Präsident und der Sport of Directors vom OTF einfach mal geschafft.
Tim Pritlove
Global Media US.
Linus Neumann
Global Media genau. Und dann hat der quasi ein Emergency-Relief, äh vor Gericht beantragt, also quasi Notfallregelung, um das irgendwie zu verhindern. Ähm, Das hat die Richterin ihn nicht zugestanden, aber sie sagt, dass es hier äh wichtige Aspekte der Unabhängigkeit des OTF angegriffen werden und in einem, hoffen sie da jetzt, dass weiter klären zu können. Also die wehren sich quasi mittels Gerichten dagegen. Ähm. Außerdem, also sie der OTF geht davon aus, dass der äh Mister Pack eben nicht das tun darf, was er da tut. Ähm und, leider bleibt damit die Möglichkeit des OTFs in Zukunft weiter zu arbeiten. Quasi unsicher, denn ähm das äh ESAGM hat den. Quasi auch die Gelder eingefroren, die sie schon ähm per ähm also die sie schon quasi per.
Tim Pritlove
Zugesagt haben.
Linus Neumann
Zugesagt hatten, also wurden ihnen zugesagt und hatten sie anderen zugesagt, diese Gelder wurden jetzt äh also dieser, Diese Blockade wurde aufgelöst, das heißt, die Gelder, die ihnen quasi zum, schon zugestanden wurden, haben sie jetzt auch, können sie auch austeilen, ja, das sind ja auch laufende Projekte, aber die haben trotzdem noch, ungefähr die Hälfte des Geldes für zwanzig zwanzig halten die noch zurück. Und obwohl die quasi schon vom Kongress ihnen zugestanden wurden. Und das bedeutet jetzt für den, dass sie sagen, naja, wir wollen eigentlich keine eingehen. Wenn wir nicht wissen, ob wir dieses Geld bekommen mit anderen Worten, wir sind jetzt halt äh gelähmt. Sobald wir wissen, dieses Geld uns auch gegeben wird, dann geben wir das auch aus, aber im Moment können wir hier keine Versprechen machen. Das ist also nach wie vor eine, sehr unschöne Situation. Ich behandle das ja hier insbesondere auch deshalb, um mal zu sehen, so wie schnell das dann halt passiert, wenn man irgendwelche Gangster. In die Regierung holt, dass sie dann eben dir deine schönen Sachen kaputt machen, ne. Insofern die. Wenn ihr die Möglichkeiten habt, an verschiedenen Stellen euch dafür zu stärken Von politischer Seite, also sei es von Seiten der EU, sei es von Seiten der Landesregierung, seitens von Seiten der Bundesregierung, sei es von mir aus auch von Seiten, von Stiftungen oder Unternehmen, die Geld spenden wollen, in diesem Bereich zu investieren, irgendwo in Europa ähm, und irgendwo wo's unabhängig ist und sich den Fängen von Trump, AFD und ihresgleichen entzieht, dann äh wäre das gut, äh das zu tun. Okay, das waren jetzt, da waren quasi jetzt ja nur die Updates zu den zu den vergangenen Themen. Kommen wir mal zu dem.
Tim Pritlove
Neuen Kram.
Linus Neumann
Neuen, neuen, schlechten Nachrichten.
Tim Pritlove
Genau die aktuelle Dystopie da ist wieder einiges zu holen.
Linus Neumann
Ja, wir haben uns viel darüber unterhalten, ne, oder in den letzten Jahren und Monaten über diese ganze Geschichte mit den Staatstrianern. Und. Ihr wisst, soll ja bald wieder ein neues Gesetz entschieden werden, was dann den das Recht zur Infektion von Geräten auch den Geheimdiensten geben soll. Und. Was hier immer noch natürlich das Problem ist, wie kommt denn diese Schadsoftware auf das Gerät? Wir haben's hier hunderttausend Mal besprochen. Das Gerät braucht eine Schwachstelle, die Schwachstelle muss ausgenutzt werden. Und ähm die Schwachstelle sollte nach unserem nach unserer Überzeugung ähm eigentlich. Entfernt werden, ja? Und nicht einfach bestehen lassen auf den Geräten von potenziell vielen Nutzerinnen und Nutzern. Damit diese nicht auch von anderen gehackt werden. Diese Diskussion haben wir hier oft genug rauf und runter diskutiert. Jetzt findet sich in dem aktuellen Gesetzentwurf ein sehr interessanter, eine sehr interessante Formulierung. Die nämlich im Prinzip das Umleiten von Traffic zum Zwecke der. Infektion ermöglichen soll. Also die Installation von Staatsrehanern. Soll von den Providern, Durch Unterstützung bei der Umleitung von Telekommunikation ermöglicht werden. So, klingt erstmal komisch, ich erkläre das mal. Nehmen wir mal an, es gäbe eine Schwachstelle in eurem, Browser, die sich ausnutzen lässt, indem ein bestimmtes Java Skript, mit diesem Browser aufgerufen werden muss. Dann ist die nächste Aufgabe, die ich als Angreiferin habe, dafür zu sorgen, dass ihr mit eurem Browser eine Seite ladet, in der euch dieses Java Skript. Angezeigt wird. Ja, wenn ihr aber jetzt ein Surfverhalten habt, dass ihr, was weiß ich, nicht regelmäßig die Webseite des. Verfassungsschutzes besucht oder andere Webseiten, die ich als Angreifer kontrolliere, dann gelingt mir das nicht. Ja, also ich muss, ich müsste euch dann, was weiß ich, zum Beispiel, eine E-Mail schicken und sagen, klickt mal diesen Link oder, oder, oder, ne, es gibt noch andere Möglichkeiten, vielleicht versuchen Werbung zu schalten, dann hätte ich aber direkt wieder so einen Streuangriff auf sehr viele Leute. Eine Möglichkeit, das zu tun, wäre aber zu sagen, okay, pass mal auf, wenn diese Person, dieser Anschluss. Ähm HTTP-Seiten aufruft, Also unverschlüsselte äh Webverbindungen, dann leitet das mal um durch unseren Infection Proxy, Also ein ein quasi ein Proxiserver, der der dazwischen steht und sagt, alles klar, ich schreibe zum Beispiel in irgendwelche Seiten, die du aufrufst, dieses Java-Skript einfach rein, oder ich leite dich um auf eine andere Seite, wo dieses Java Skript dann kommt. Ja? Noch schöner. Und vielleicht als Beispiel noch viel einfacher, umzusetzen ist, eure Computer machen regelmäßig Updates. Also, was weiß ich, startest irgendeine Software, sagt die Software, ist ein Update da. Willst du updaten? Sagst du, ja. Und dann installierst du das Update. In der Regel werden diese Updates über. Das Internet heruntergeladen, ja klar, wo soll's auch sonst herkommen? Dabei kommt entweder HTTP oder HTP, S zum Einsatz. Äh inzwischen zum Glück viel mehr HTTPS. Noch vor einigen Jahren war das totaler Standard, dass diese Downloads einfach über HTTP gingen. Der Hintergrund dafür war, dass man. Potenziell diese Updates ja auf einmal sehr vielen Nutzerinnen zur Verfügung stellt und wenn die dann alle runterladen, hält man die Last auf dem Server geringer, wenn man einfach kein SSL macht. Er kein TLS macht. So, das hat eine sehr unangenehme Eigen. Weil ich quasi, wenn ich einen solchen, Praxiserver habe und deinen Traffic umleiten kann. Ich zum Beispiel sagen kann, statt deines neuen Updates für den VLC-Player oder was auch immer, kriegst du jetzt einen infizierten VLC-Player. Und das ist natürlich eine der elegantesten Methoden. Der Schadsoftware-Infektion. Unter der Voraussetzung, dass du, ein Betriebssystem verwendest, wo jetzt nicht weiter noch irgendeine Signaturprüfung stattfindet, ähm oder tue auf anderem Wege sicherstellst, die Software wirklich aus der Quelle zu bekommen, ähm die du haben möchtest. Leider, wenn du es aber hier mit einer staatlichen Stelle zu tun hast, sollte es am Ende wahrscheinlich auch nicht so schwer sein, dass sie dir tatsächlich einfach signierte Myware unterschieben und von mir aus auch äh TLS-Verbindungen bösartig umleiten. Das ist schon ein ganz schönes, ganz schön hartes Stück, weil also, Deutsche Telekom, ich nehme die jetzt als Beispiel, ne, wenn die dazu verpflichtet würde, die operieren ja auch eine Rot CA in in anderen Worten, mit anderen Worten, könntest du die dann auch, wenn du sagst, du bist gesetzlich äh verpflichtet, die Umleitung zu ermöglichen, dann kann man auch sagen, da machst du auch direkt noch ein Zertifikat dafür. Und dann hast du echt äh ein Problem. Also, oder wir oder die Gesellschaft.
Tim Pritlove
Ja und dann war's das mal mit der Integrität deiner äh deiner Systeme. Mich erinnert das übrigens auch gerade an äh nochmal an dieses Snowden Revolutions, unter anderem gab's ja dann auch die Dokumentation der Praxis, dass so Pakete, äh Bestellungen über Amazon, äh wo Leute sich dann so Switches und Router bestellt haben, teilweise von den ähm weiß nicht ob das jetzt NSA.
Linus Neumann
Dieses Special Operations, ne? CIA, Special Operation.
Tim Pritlove
Irgendwie so was. Also auf jeden Fall die Dienste, TM, die haben dann äh dieses Paket abgefangen, sich den Rauter äh genommen und entweder durch ein anderes Modell ersetzt oder an diesem Gerät noch Modifikationen vorgenommen, sprich die aktualisiert und das Teil, was dann halt tatsächlich zugestellt bekommen hast, das war dann quasi schon infiziert. Und das ist jetzt quasi die Online-Version davon, Ne, dass also jeder, jeder Download potentiell eben dazu verwendet werden kann. Und das ist ja, das ist das ist eben, Klar, es wird jetzt immer mehr harte DPS äh äh verwendet et cetera. Letzten Krypt hat da eine ganze Menge dazu beigetragen, das mindert so ein bisschen die Wahrscheinlichkeit, aber es kann ja im Prinzip für für richtige Malwehr reicht eigentlich so, alles irgendwie so ein bisschen aus, was irgendwie mal einmal kurz nicht verschlüsselt ist. Da gibt's immer mal was und mit größerem Aufwand kann man dann eben auch noch diese Verschlüsselung, auch noch äh imitieren, wie du das schon gerade angedeutet hast, dem halt diese ganze Zertifikatswesen ausgebremst wird und das ist ja, einfach mal nichts anderes als eine totale Attacke auf einen, selbst, also damit wird ja wirklich jeder Schutzmechanismus komplett äh ausgehebelt oder beziehungsweise wird ein Regime erschaffen, auf dem es, wenn es im Einzelfall technisch möglich ist, dann eben auch automatisch ermöglicht wird.
Linus Neumann
Und wo äh dann auch das Fundament, also einer der Aspekte, auf die wir vertrauen, ne, ähm ist, dass die Internetprovider uns, Internet Providen und dass die keinen Heckmeck machen. Das ist eines der, also das, das ist Infrastruktur, ne, die hat bisher eigentlich das gehört sich nicht die anzugreifen und wir gehen davon aus, dass wir denen vertrauen können, ne? Es gibt also, Es gibt ja eine ganze Reihe an auch äh ja esoterischen, Sicherheitsvorstellungen, die Leute pflegen, ne? Eine davon ist, was weiß ich, wenn ich im unverschlüsselten Wifi bin, ist es irgendwie gefährlicher, als wenn ich äh in einem in meinem Wifi zu Hause bin, ja? Kommt natürlich immer ganz darauf an, aber für um mal den Vergleich zu machen, das hieße, das Internet wird zu einem potenziell unsicheren Wifi. Und der Staat kann die Infrastruktur, in ihren fundamentalen Zusammenhängen umbiegen. Der Staat ist ein Machine in the mittel, Ähm wir haben hier vor, ich glaube, war auch letztes Jahr äh noch diese Fälle diskutiert, wo irgendwelche komischen Länder dann auf einmal Ruth C As äh kompromittieren und so, ne. Also das ist das ist wirklich, richtig gefährlich und ein ein riesen Problem, weil ich äh zitiere da. Gerne den, der im Prinzip sagt, oder das Argument gebracht hat so, weißt du, in diesem ganzen Cyber-Work und wat da alles stattfindet, ne, diejenigen, die die Infrastruktur bereitstellen oder die die Dienste bereitstellen, die sollten im Prinzip, sowie nach den Genfer Konventionen irgendwie wie so Sanitäterinnen und Sanitäter betrachtet werden, ne? Dass du sagst, so die brauchen wir. Und die greifen wir nicht an. Erst recht nicht verpflichten wir die äh äh und erst recht bewaffnen wir die nicht. Ne, das wäre jetzt also du kannst im Prinzip sagen, hier werden halt Zivilistinnen äh mit eingebunden. Und bewaffnet, die aber eigentlich in einer Situation sind, in der alle ihnen vertrauen sollen, müssen und äh das quasi das das Grundvertrauen, ist. Und das halte ich tatsächlich für ein riesiges Problem, diese äh, Gesetzgebung und ich kann tatsächlich sagen, ich habe äh gestern, Hier nochmal äh einige Sachen umgebaut in meinem in meiner Routing-Infrastruktur, um irgendwie sicherzustellen, dass ich möglichst ähm. Dass er schwere, dass ähm mein Traffic irgendwo ähm ja, manipuliert wird, zumindest auf Seiten meines Internet Providers. Ausschließen kann ich's aber nicht, weil die können ja von von der anderen Seite kommen, ne, also Beispiel, wenn du jetzt sagst OK die sollen nicht bei mein Internet Provider sitzen dann können die aber immer noch auf der anderen Seite bei meinem Internet Provider sitzen wo ich dann wieder ankomme ne? Selbst wenn ich mir jetzt wenn ich jetzt mit irgendwelchen VPNs erstmal, aus der Europäischen Union rausklettern und dann wieder reinkomme. Irgendwann ist der Traffic ja trotzdem wieder da. Und das ist, denke ich, etwas, was man unter keinen Umständen. Erlauben sollte. Es gibt dort ein ähm also Andre hat das in seinem Artikel, Andre Meister, hat das in seinem Artikel auch nochmal verlinkt. Das ist auch das, was mir da Als erstes in den Sinn zukommt, eine Werbebroschüre von zweitausendelf von Finn Fischer, ja, also den. Äh dem Staatstrojaner Lieferanten, den unter anderem Thorsten und ich, analysiert haben, aber auch sehr viele andere, sehr viel früher. Ähm die bieten das quasi als fertige, an und haben so ein so ein Video davon, wo das auch erklärt wird, ne? Da stellst du das Ding heißt, Und das wird quasi beim ISP hingestellt, und dann gehst du quasi als BKA oder oder in dem Fall jetzt natürlich als Geheimdienst, ne, gehst du einfach nur noch hin und sagst, okay, die Kiste steht da, jetzt sagst du, alles klar, jetzt wird diese Zielperson, wird jetzt dadurch geroutet Und der prüft dann automatisch die ganze Zeit werden hier irgendwelche zum Beispiel. Excel-Dateien oder Executives runtergeladen und live patched, so die Beschreibung. Ich denke mal, ehrlich gesagt, der äh hält das eher einfach, hält quasi eine Schadsoftware-Variante von möglichen, ähm Zielen bereit, was weiß ich, häufig, häufig genutzte Software, wer da das naheliegende, ne? Und wenn er dann sieht, ach gibt mal wieder eine neue Version. In dem Video ist das dann iTunes, dann wird eben beim nächsten Update kriegst du halt den die Schadsoftware, mit deinem iTunes-Update runtergeladen. Und um quasi so etwas einzubauen, brauchst du ja immer nicht viel, ne? Du kannst quasi jede Schadsoftware mit ein bisschen Mühe in. Andere legitime Software reinpatchen. Deswegen ist äh infizieren sich ja auch so viele mit Schadsoftware, weil sie meinen fünf Euro für irgendeine Programmsparent zu müssen und stattdessen aus dubiosen Quellen eine gecrackte, Version mit einigen Sonderfunktionen herunterladen.
Tim Pritlove
Sozusagen also man.
Linus Neumann
Wirklich übel. Das ist wirklich schlimm. Da sind auch also nur um das mal ähm der Bitcom ist dagegen, Eco ist dagegen, ne. Also die die Betroffenen Branchenverbände sind selber dagegen, weil sie sagen so, ey, das, geht an unser Vertrauensverhältnis mit den Kundinnen und Kunden. Und das ist wirklich ein Problem. Wir wollen nicht eure Hilfssheriffs werden. Und. Sie haben eine lange Liste mit den Zugangsanbietern, also im Internet Mobilfunkanschlüsse. Aber zum Beispiel auch Betreiber kommerzieller WLANs. Dann die Internetknoten, DKX, Backboard-Anbieter, Glasfaserbetreiber. Hosting Anbieter. Alle äh sollen quasi diesen dieser Mitwirkungspflicht unterliegen. Und das ist echt äh pfui ui ui. Das ist echt übel.
Tim Pritlove
Also ich fand da im Vergleich so mit äh Vertrauenszerstörung auch ganz ganz treffend so, ne? Man stellt sich jetzt mal vor, man hätte jetzt beschlossen, so ja, wir müssen manchmal einfach was über Leute rausfinden, ähm wir heben dann halt einfach mal die ärztliche Schweigepflicht aus. Soweit kann ja sein, dass du da mal so eine Information mal gebrauchen können. Dann geht ja irgendwie keiner mehr zum Arzt. Also das.
Linus Neumann
Das mache ich aber nur bei den Bösen, ne? Ja.
Tim Pritlove
Ach so, na dann. Das hatte ich jetzt vergessen.
Linus Neumann
Das ist also genau, ärztliche Schweigepflicht ist da auch nochmal ein echt guter Vergleich, ne? Die muss eben absolut sein.
Tim Pritlove
Ja, aber sonst kannst du ja irgendwie niemanden mehr trauen.
Linus Neumann
Und ich kann dir aber sagen, was, also wenn sie das bekommen, ne, dann wird die Infektion mit Charts auf und das Verbreiten von Staatstrojanern echt easy? Dann wird das einfach, weil du, einfach so eine Menge an Traffic hast und so eine Menge auch an doch auch heute noch irgendwelchen unverschlüsselten Verbindungen, dass das echt schwierig ist, da noch für die äh Integrität der Software zu äh sorgen. Und sei es jetzt bei meinen Executives kriegt man noch hin, ne, beispielsweise ähm, die meisten Distributionen laden ja zum Beispiel ihre Softwarepakete auch einfach über HTTP, weil sie vorinstalliert quasi die Signing Keys haben. Das heißt schlimmstenfalls wenn die Software verändert ankommt dann merkt das System das, ne? Das ist eine ganz sinnvolle Möglichkeit, damit umzugehen. Und es ist natürlich so, dass dieses auch bei macOS und Windows jetzt zunehmend Einzug erhält, aber deswegen habe ich ja grade mal dieses Beispiel mit dem mit dem Java Scrip genommen. Das zeigt, dass tatsächlich nochmal, sehr, sehr gut das Problem. Insbesondere in einer Welt, in der sich jetzt eh alles in die Cloud bewegt, ne? Ähm werden vielleicht zukünftige, derartige Angriffe eh eher in Form von Java Skripten stattfinden als in Form von Code, der tatsächlich auf deiner Maschine ausgeführt wird.
Tim Pritlove
Wir wir haben jetzt auch grade äh als Reaktion auf die Veröffentlichung der Corona-Warn-App ja auch gesehen, wie viele Leute es gibt die ganz stolz drauf sind, dass sie noch ein ganz altes Telefon verwenden und auf gar keinen Fall da auf neue Technik äh umsteigen wollen. Ja, das äh war teilweise schon etwas äh verstörend diese Diskussion Kann ich nur sagen, ja, ihr seid dann aber auch wirklich Open Game, also das ist äh genau das Ding. Bin halt einfach jeder beliebige Datenstrom mal eben im Umgang werden kann und dann gibt es halt irgendeinen was weiß ich, Sicherheitslücke bei irgendeiner alten Android-Version oder bei irgendeinem iPhone äh vier, was noch jemand in Betrieb so, dann ist das dann halt auch sehr schnell auszunutzen.
Linus Neumann
Ja, das ist also das ist echt ein, Das ist wirklich ein Problem, ne. Also und ich sehe das jetzt auch schon wirklich ehrlich gesagt hier in der äh in der Sommer im Sommerloch untergehen, ne? Und. Ja ich halte natürlich zum Glück die Möglichkeiten dagegen zu klagen, eigentlich relativ gut, aber. Allein die Idee, also die Idee ist so krass, ja und dann halt für Geheimdienste, nicht für Polizei, ne. Also nicht ein nicht nennenswerter Weise für Polizei, sondern direkt äh. Alle neunzehn Geheimdienste, die die Bundesregierung hat, soll diese Staat zueinander bekommen und es soll halt jetzt am nächsten Mittwoch auch schon beschlossen werden, das heißt.
Tim Pritlove
Ach so, das ist gegen Terror. Na dann. Lehmus weiß ich gar nicht, warum du dich groß aufregst.
Linus Neumann
Ja, ich habe, äh du, ich habe hier wirklich gestern bis tief in die Nacht ähm Infrastruktur renoviert, ne? Und besser gemacht.
Tim Pritlove
Was kann man denn da besser machen?
Linus Neumann
Ah, da gibt's immer äh Verbesserungsmöglichkeiten hier, ne.
Tim Pritlove
Willst du uns an deinen Erfolgen nicht teilhaben lassen?
Linus Neumann
Ich mache jetzt, ich mache hier äh ich mache äh ja schon längere Zeit versuche ich ja. Zu vermeiden und äh und äh das äh kann man natürlich immer noch mal bessern.
Tim Pritlove
Sterben.
Linus Neumann
Ja, das sind äh nicht so gute Nachrichten.
Tim Pritlove
Aber es gibt auch schlechte Nachrichten aus anderen europäischen Staaten.
Linus Neumann
Ja. Ähm schöne Diskussion. Haben wir ja in letzter Zeit über diese Kontaktlisten. Also muss ich ja mal wirklich sagen, diese ganze Corona-Diskussion, ne. Ich finde das sowas von. Zum Heulen, über welche Themen da diskutiert wird und über welche Themen nicht. Du hast erst einerseits diese einfach wirklich völlig nicht ernstzunehmenden. Corona-App-Schwurbler, die sich irgendwelchen Unsinn dazu ausdenken und nur um irgendwie dagegen zu sein, weil sie schon immer dagegen waren. Du hast eine Diskussion über. Maskenpflicht, als wäre das jetzt die große Einschränkung unseres Lebens, dass man sich mal so eine blöden Mundschutz aufsetzt, wenn man mal einen Meter durchn durch durch den Biomarkt geht oder was, ne? Als wenn das jetzt die große Einschränkung wäre, ne? Großes Thema, ob man so eine blöde Maske aufziehen muss oder nicht, startet einfach mal zu machen. Ja? Und dann noch irgendwie das nächste worüber sie sich aufregen, ist dann. Dass man beim Restaurantbesuch ein Zettelchen ausfüllen muss mit seiner Adresse und dann sind sie auf einmal alle Datenschützer und beschweren sich bei Facebook, dass sie irgendeinen Zettel ausfüllen müssten im Restaurant. Als wäre das das große Problem. Und weil sie dann nämlich sagen, der Zettel ist so schlimm, halten sie sich dann für modern und sagen, was ich voll geil finde, kann man der halt nicht mit einer App machen, da brauchen wir dann auf einmal eine App. Ja, die Schweiz hat's gemacht. Wunderschön und hat eine, eine eine also da gibt's eine App, die heißt quasi und ich glaube, dass die, ich bin mir nicht ganz sicher, ob die nur für die diese Registrierung der Kundinnen und Kunden ist oder auch für Tischreservierungen, aber. Sie äh ich glaube hauptsächlich dient sie der Erfassung von Kontaktdaten, von Veranstaltungs- und Restaurantgästen, ja? Vorteil dieser App soll.
Tim Pritlove
Es einfach eine Reservierungs-App generell für Restaurants.
Linus Neumann
Ist es auch, ja, dann haben sie das halt hinten dran gehackt. Dann haben sie das an ihre Reservierungs-App noch drangehackt, ja? Und, ne, die Idee, also die Vorteile einer solchen App, klar, du hast die muss nicht, hast keine Probleme mit der Schrift, ne? Du hast eine, du hast eine Speicherung an zentraler Stelle, hat natürlich bestimmten Komfort, die Nutzerinnen können sich eventuell, was weiß ich selber, schon da eintragen, bevor sie überhaupt dein Restaurant besuchen und so weiter. Welche alles gar nicht in Abrede stellen. Das Problem bei so einer App ist, dass du irgendwo eine Datenbank hast mit allen Restaurantbesucherinnen, ähm der letzten vierzehn Tage will man meinen. Will man meinen vierzehn Tage. Bei vierzehn Tage ja die Aufbewahrungspflicht ist. Die beste Lösung, die sich jemand für so etwas ausgedacht hat, ist folgende. Jeder Tisch oder jeder Besucherin kriegt irgendwie einen eigenen Zell, damit da nicht die Daten von den anderen schon draufstehen. Diese Zettel kommen am Ende des Tages in einen Umschlag auf den Umschlag, wird das Datum geschrieben und wenn der Umschlag vierzehn Tage alt ist, wird er beim Pizzaoffen mit ins Feuer geworfen. Ende der Geschichte. Aber nein, aber nein. Man kann doch eine Web-App machen. So, jetzt gibt's hier diese hat sich angeschaut der Joel Gunzen Rainer von Mot Zero. Jetzt hier kurzer äh Transparenzhinweis. Ist die Firma von Torsten oder unter anderem von Thorsten, führt er mit einem anderen Kollegen zusammen und mit der Firma arbeite ich auch regelmäßig zusammen, der sich mit Torsten regelmäßig zusammenarbeite, sieht man ja auch an unseren gemeinsamen Veröffentlichungen im CCC Bereich, gemeinsame Vorträge und so weiter. Also hier hat sich, Joel so eine äh App, der mal angeschaut for table dot com und festgestellt, die quasi also sobald du da ein Restaurant hast, kannst du dann eben deine Kundinnen anzeigen lassen und diese Kundin haben aber, im Prinzip fortlaufende Zahlen. Mit anderen Worten, du gehst einfach hin und sagst, ach, was ist denn Kunde fünf? Und findest dann einen Kunden von einem anderen Restaurant.
Tim Pritlove
Sicherheitslücken aus den Neunzigern so.
Linus Neumann
Irgendwie so um die hunderttausende Datensätze daraus geholt. Also ging, waren da rauszuholen. Und, Alles, was du dafür brauchst, ist im Prinzip dich dort anzumelden als ähm als eigenes Restaurant und da mal zu sagen, jetzt, jetzt grasen wir mal die Restaurant, die die Kundinnen der anderen Restaurants ab. Und kriegst alle Restaurantbesuche der Schweiz. Für einen Zeitraum von, jetzt kommt's, länger als vierzehn Tagen, weil sie noch nicht einmal gelöscht haben, Ja, also die ältesten Daten, die sie dort äh rausgeholt haben, waren eben quasi seit Beginn dieser Funktionalität und nicht äh das Älteste vierzehn Tage. Also mit anderen Worten, dieses nicht nur haben die ja nur unsicher gespeichert, sondern auch noch zu lange. So, jetzt wisst ihr, warum man so etwas nicht digitaler haben möchte. Weil das dann schnell hingestrickt wird von irgendwelchen ähm. Leuten, die sich vielleicht nicht ganz im Klaren darüber sind, was sie da basteln, und ich denke tatsächlich, hier mit den ähm vierzehn Mittel mit der Verletzung dieser Speicherfrist. Ich kenne jetzt die rechtliche Situation in der Schweiz nicht so genau, aber ich glaube, wenn ich das richtig verstanden habe, gab es da eine Verordnung. Und in dieser Verordnung, das ist die Corona-Verordnung, da gibt es den Artikel fünf, Und da müssen sie das zwar erheben, aber da ist auch eine Löschung nach vierzehn Tagen vorgeschrieben. Das heißt, dagegen haben sie dann auch noch verstoßen. Herzlichen Glückwunsch.
Tim Pritlove
Super, Fehlerkultur wie in den neunziger Jahren, für Web-Apps irgendwie. Ich meine, so dieses all dies durchzählen und so weiter, das sind so die Klassiker da, damit fing äh Security im Prinzip an Ne, das waren so die ersten, die ersten Dinge, die so richtig groß waren. Und ähm ja, ich kann mir schon vorstellen, wie das gelaufen ist. Da kommt dann so der Geschäftsführer irgendwie in die Entwicklerabteilung und sagt, ja, wir müssen jetzt hier irgendwie das mit den Kontaktlisten auch einbauen, hakt das mal rein und ähm vierundzwanzig Stunden später war's da.
Linus Neumann
Also hat das dann ähm gemeldet? Ich weiß nicht, am und haben sehr schnell, eine E-Mail vom Managingpartner der Lunchgate AG erhalten, die dieses Ding da hackt, also gebastelt hat und die teilten mit, sie hätten die Schwachstelle behoben, Kurz davor hatten sie das Ding dann auch sofort abgeschaltet. Also sie haben halbwegs ordentlich reagiert zu der Verletzung der vierzehn Tage Löschfrist haben sie sich aber nicht geäußert. Ja, Ich würde sagen, wenn wir schon bei ähm Corona-Face sind, dann können wir auch noch ganz kurz auf diesen äh Scam, eingehen. Ja, es gibt nämlich jetzt einen Corona-Warn-App-Scammer. Ich habe ja hier zur Veröffentlichung der der Corona-Warn-App gesagt. Dass ich davon ausgehe, dass sich irgendjemand nicht zu niedrig sein wird oder dass es irgendjemanden nicht zu niedrig sein wird, zu behaupten, er oder sie habe irgendetwas an dieser Corona-App gehackt. Und ich sollte Recht behalten, Tim. Ich habe mich ja zwischendurch schon gefragt, weil's jetzt die App gibt's jetzt bald einen Monat, habe ich gedacht, komisch, dass sich keiner die Blöße gibt, noch irgendeinen Scheiß darüber zu behaupten und vielleicht sogar noch einen finanziellen Vorteil daraus zu ziehen. War fast vorbei, die die Zeit, aber natürlich gibt's jemanden, der es tut und zwar ist es Peter Felsner. Das ist der stellvertretende Fraktionsvorsitzende der AfD. Was hat der gemacht? Nee, nee, nee, nee, nee, nee, das macht der quasi im Rahmen seiner äh privatwirtschaftlichen Tät.
Tim Pritlove
Nein, nein, ich meine, Fraktion, welcher welcher Fraktion äh sitzt davor? Ja, äh im Bundestag.
Linus Neumann
Gehe ich von aus, ne? Sitzen die also.
Tim Pritlove
Frage ich sie jetzt gerade, ob da irgendein Land.
Linus Neumann
So äh äh der kommt irgendwo aus Baden-Württemberg, insofern vielleicht sitzt der auch da unten irgendwo. Äh ich im Bundestag.
Tim Pritlove
Im Bundestag sehe ich. Ja. Peter Felser.
Linus Neumann
So. Okay, ja, sorry, ich kenne diese ganzen.
Tim Pritlove
Ich auch nicht, aber ich hab's nachgeschlagen. Peter Felser.
Linus Neumann
Pfälzer, Peter Felser. So, ähm als diese, also wir wissen, diese Corona-Warn-App sendet. Bluetooth Beekens. Und diese Biegens ändern sich regelmäßig und die werden auch von sich ändernden MAC-Adressen gesendet. Das dient dem Zweck, dass man nicht die Leute nachverfolgen kann, Da diese Bluetooth Beatens natürlich mit jeder Bluetooth-Hardware zu empfangen sind und es Bluetooth-Hardware sehr günstig gibt, hat sich schon mit der Veröffentlichung der App haben sich ja eine ganze Reihe an, sage ich mal findigen interessierten da dran gemacht, im Prinzip zu bauen. Du kannst dir für Android direkt auch einen runterladen, den gibt's quasi fertig, wo du wo du die gesamte Funktionalität schon hast. Der ist kostenlos und heißt Ramble, Ähm der da kannst du quasi sagen, okay, mach mal den Scanner. Du kannst auch filtern, quasi auf Messages vom Typ ähm, Content äh tracing notification oder Content tracing bieten. Und kannst damit quasi immer sehen, ach guck mal, da hat grade wieder jemand was gesendet. Kannst du im Prinzip hier, ne, dein Telefon hinlegen und kannst du gucken, was, was, was ist denn so, Bluetooth grade los. Das ist ja eine Eigenschaft von Funk ist ja, dass man Funk empfangen kann. So eine, so eine wahnsinnige Eigenschaft von Funk. Und deswegen, ja, ja, doch, kann man empfangen. Funk kann man empfangen. Und, und deswegen macht man ja verschlüsselt man ja entweder was man funkt, wie zum Beispiel euer WLAN oder in dem Fall, dass die Nachricht nicht verschlüsselt werden kann, äh und nicht verschlüsselt werden soll, wie bei diesem Corona-Warn-App. Dann ändert man einfach andauernd den Identifier, damit man dann nicht getrackt wird. Ende der Geschichte. Und jetzt haben eben, Diese Scanner Apps, die Leute so gebastelt haben. Frank hat sich Frank Rieger hat auch so ein kleines Ding gebaut mit so einem Stick irgendwie, der dir quasi immer anzeigt, wie viele Leute, wie viele Apps empfängt der gerade? Hm? Also der äh guckt sich einfach die Anzahl Biegens an, geht natürlich davon, also mittelt natürlich, weil die sich ja andauernd ändern. Und sage dir so, ah okay, so und so viele Leute benutzen hier die App und der hat dann so anfangs mal so Scherze gemacht, ähm irgendwie in der Nähe vom Biergarten mal einmal mit der Hand die Leute zählen und dann mit dem Scanner gucken, wie viele App bieten's eher so empfängt, um dann quasi damit mal so ein Mittel zu schätzen, wie viele Leute benutzen denn ungefähr die App? Hatte auch ganz gute Schätzungen, ne. Dann gab's ja diese anderen beiden, die hättest du, glaube ich, Weiß nicht, ob wir die hier behandelt hatten. Mit dem die mit Ramble mal durch die Stadt gefahren sind und einfach geguckt haben, wo häuft sich die Nutzung dieser App und haben dann quasi so eine Heatmap.
Tim Pritlove
Genau, diese Heatmaps, das ist alles schon am ersten Tag gewesen, ich weiß nicht mal ganz genau, wo es war, Karlsruhe oder irgendwie sowas.
Linus Neumann
Die waren genau die, weil das nicht Osnabrück oder sowas.
Tim Pritlove
Ich weiß nicht mehr, irgendeine irgendeine Stadt auf jeden Fall und sind einfach mal durch die Fußgängerzone gelaufen und haben einfach genau im Prinzip genau dasselbe gemacht. Also was was dieser Art.
Linus Neumann
Ich glaube, das war so, war das nicht sogar Bochum? Ich glaube, der eine von denen war in der an der Ruhr Uni Bochum oder.
Tim Pritlove
Bochum. Ja, Bochum ist, glaube ich, richtig. Ähm ist auch letztlich egal.
Linus Neumann
Security Security Standort in Deutschland, ne, Ruhr Uni Bochum, bekannt für seine IT Security und so weiter, ne? Also Leute, die von dem Thema Ahnung haben, haben das am ersten Tag gemacht mit Bordmitteln, mit allen möglichen kleinsten Dingern. Und äh haben damit Spaß gehabt und haben das Ergebnis gehabt, yo die App funktioniert, wie sie es sagt, nämlich indem sie diese bieten, ist die ganze Zeit ändert. Wir finden kaum Fläche für eine für weitergehendes Tracking und Identifikation der Geräte, Kleiner Hinweis, es gibt äh eine Möglichkeit zu unterscheiden, ob der Big von einem Apple und oder von einem äh Android-Gerät gesendet wird, kann man kritisch sehen, ist auf jeden Fall eine Auffälligkeit, liegt aber dann eben an Apple und Google. Das heißt, der so ein Dashboard machen, wo du sagst, hier gibt's so und so viel iOS und so viel Android und so weiter, ne.
Tim Pritlove
Ich glaube, das ist nicht, ich glaube, das ist nicht mehr so, wenn ich das richtig verfolgt habe, es war am Anfang so, weil Google da irgendein Bit gesetzt hat und äh das tun sie jetzt, glaube ich, nicht mehr. Mhm.
Linus Neumann
Also Leute, die echt Ahnung haben, machen das seit Tag eins und kommen zu dem Ergebnis, die App funktioniert wie versprochen, sie sehen keine weiteren Angriffsflächen als ähm gemeldet wurden, alles gut. Einen Monat später kommt dann dieser Peter Felser von der AfD, und stellt eine App in den Google Play Store. Ähm. Und sagt, das ist jetzt der Corona-Warnwarner oder sowas, ne.
Tim Pritlove
App, die Späher App.
Linus Neumann
Also eine und kostet, EW eins fünfzig oder so was und hat dann so ein Video, in dem er irgendwie rumschrubbelt, ja hier kann man das sehen, wer die App nutzt. Wir spielen ihn jetzt zurück und ich bin mir nicht sicher, dass die sicher ist. Und ähm sagt dann irgendwie ja, wenn die Kohl äh das Geld geht erstmal zu Refinanzierung. Seiner seiner App-Entwicklung da und ähm ansonsten in die politischen Projekte mit anderen Worten. Kannst du dir ungefähr vorstellen, welche politischen Projekte die AfD so hat, ne? Ähm, Also, jetzt gibt's zwei Möglichkeiten, entweder der Typ hat fundamental absolut nicht verstanden, wie diese App funktioniert, und konnte dieses Unverständnis wie die App funktioniert aufrecht erhalten über den gesamten Zeitraum, dass irgendwelche Humpalumpers für ihn diese App gecodet haben. Oder aber der täuscht gezielt seine Wählerinnen und Kundinnen und bringt sie dabei auch noch um ihr Geld. Ist doch irre, oder?
Tim Pritlove
Ja. Also klar, darum geht's ja hier auch. Also das ist. Wird dich so überrascht jetzt. Ja, ich meine, er behauptet hier irgendwie theoretisch könnten die Ergebnisse manipuliert werden, da es sehr leicht sei, an die IDs über Bluetooth heranzukommen. Ja, okay, gut, es ist klar, guck mal an die IDs, aber da können keine Ergebnisse manipuliert werden, haben wir ja schon eine Million Mal erzählt.
Linus Neumann
Haben wir alles schon.
Tim Pritlove
Krimineller Angreifer können das ganze System sabotieren und boykottieren, dem gefälschte IDs von infizierten ins System der Regierung zurückgespielt werden, Ja, nur wenn sie irgendwie eine Tat kriegen, haben wir ja auch alles schon irgendwie erklärt. Also das sind.
Linus Neumann
Alles schon geklärt.
Tim Pritlove
Ja, das sind alles leere Behauptungen. Eins neunzehn will er übrigens nur haben, ist äh im Angebot.
Linus Neumann
Da ist jetzt günstiger geworden.
Tim Pritlove
Ja. Mhm.
Linus Neumann
Also ich habe tatsächlich, wir haben das von mehreren Hörerinnen und Hörern und Freundinnen natürlich auch zugesendet bekommen. Und ich habe ernsthaft noch darüber nachgedacht, ob ich das jetzt irgendwie ähm. Ob ich das, ob wir das hier überhaupt behandeln und so einem so einem Scammer, ja, also es ist ja quasi ein ein betrügerisches Angebot.
Tim Pritlove
Das ist schon gut das zu erwähnen, weil ich hatte dann auch so diverse äh Leute auf äh Twitter, die auch keines Besseren zu belehren waren und immer wieder mit irgendwelchen Links auf irgendwelchen Studien, die eigentlich alle immer wieder dasselbe erzählt haben, nämlich man kann diese Bluthose all dies per Funk empfangen und speichern und sich was bei denken, ja? Nur das war's dann halt auch schon, ja? Das das ist ja was all diese Studien durchgehend immer wieder nur erzählt haben und ja, dann kam dann auch wieder noch mal dieser Link und so, ja, hier so, ich so, äh, nee, sorry, keine neuen Erkenntnisse. Lies dir doch irgendwie auch mal durch was da steht.
Linus Neumann
Äh dann schreibt er noch, hätte allein in Berlin über eintausendfünfhundert Nutzer der Corona-Warn-App innerhalb von vier Tagen auf der Speer-App dokumentiert. So. Das heißt, der hatte Kontakt mit vierhundert Personen im Schnitt, knapp vierhundert Personen pro Tag. Entweder muss die die App hat, ne? Die App ist grade mal im Moment verbreitet bei sagen wir mal zwanzig Prozent, maximal der Leute, die da draußen so rumrennen, ne. Das heißt, an jedem dieser Tage müsste der zweitausend Menschen begegnet sein. Um auf diese tausendfünfhundert Corona-Warn-App-Nutzer innerhalb von vier Tagen zu kommen, Das wäre ein extrem verantwortungsloses Verhalten. Ich kann mir vorstellen, dass der Typ noch nicht mal weiß, dass diese App eben alle paar Minuten den Identify ändert. Also ich kann. Mann, ey. Leute, das, das, so sind die drauf. Also, es ist so, so was so so unseriös, Tim, das ist überhaupt nicht fundiert, ja? Absoluter Unsinn und äh da habe ich besseres zu tun. Deswegen widmen wir uns dem nächsten Thema denke nur, man sollte sich merken, mit welchen, also ist jetzt nicht neu, dass das Politikerinnen und Politiker mit unseriösen äh Behauptungen äh hausieren gehen, ne? Aber das ist ja auch nur eins neunzehn dafür haben wollen finde ich. Fühl dich frech.
Tim Pritlove
Das nehmen wir jetzt einfach auch. Eins neunzehn. Für für unsere Seriösität nehmen wir eins dreiundzwanzig vielleicht. Einen kleinen Aufschlag. Eure richtige Seriösität kostet auch extra.
Linus Neumann
Mann, ey. Aber schön. Playstore aus technischem Interesse heruntergeladen und wieder erstatten lassen. Die App ist sinnlos, selbst für Paranoica. Das dürfte jedem klar sein. Die App braucht mehr Berechtigung als die Corona-Warn-App und findet einfach nur Bluetooth, Signale. Also ja, es gibt auf jeden Fall. Habe mir das Geld wieder erstatten lassen. Das Ding findet einfach alles. Kopfhörer Fitnessarmbänder, weiß Gott noch was. Es handelt sich nicht um einen Sniffer, der nach, entsprechende Bluetooth äh Ehesignaturen sucht, sondern einfach alles. Antwort, vielen Dank für Ihre Rezension. App installiert und endlich meinen Bluetooth Headset gefunden. Die Äpfel ziemlich viele Daten von mir. Wieso will die AfD meine Daten? Ich will sofort mein Geld zurück.
Tim Pritlove
Ja, vor allem wenn dafür könnte es vielleicht ganz praktisch sein, falls ihr vergessen habt, wo ihr euren Fernseher hingestellt habt, ne, dann vielleicht, aber bei Corona-Warn-App hilft euch das jetzt nicht weiter.
Linus Neumann
Aber auch ähm auch, auch eine es gibt natürlich auch Rezensionen wie folgende. Sehr schöne App, um zu sehen, wie viele Domköpfe jeden Tag an einem so vorbeilaufen. Vielen Dank an NTV DE, ohne eure Fake News zu der App hätte ich sie nicht gefunden Ja, das ist schön, dass die App dir zeigt, wie viele Domköpfe an dir vorbeilaufen. Ein Geisterfahrer, Tausende. Aber wirklich, das das ist irgendwie. Mann, ey, das ist also ich kann herrje. Okay, kommen wir zur nächsten schlechten Nachricht. So.
Tim Pritlove
Gut, die ist auch richtig schlecht.
Linus Neumann
Wir haben ja hier schon behandelt ähm Clearview, den, Facial Record Nation Service. Heute ist mein Englisch aber echt gut. Ähm diesen Gesichtserkennungsdienst, der äh spezifisch. Strafverfolgungsbehörden angeboten wurde, ne? Die haben Facebook und andere soziale Netzwerke gescrapt, haben die haben darauf Gesichtserkennungsalgorithmen laufen lassen und dann konntest du da quasi ein Bild hochladen. Und hast dann die im Internet zu diesem zu diesem Gesicht erhältlichen Informationen, gefunden. Als Servicedienstleistung für Strafverfolgungsbehörden, Gab ein war ein riesiger Skandal, haben wir hier auch behandelt. So. Jetzt dachte sich äh ein eine Firma aus Polen, halt mal mein Wodka, Das machen wir nicht nur für Strafverfolgungsbehörden, das machen wir einfach öffentlich für alle. Und zwar wir wir Pimm-Eis heißt dieses dieser Service, damit von neunhundert Millionen Fotos ähm. Quasi darüber ihren Algorithmus laufen lassen zu haben und du kannst dann quasi ein Bild dort hochladen, um dich in diesen Bildern zu finden, Cleview AI war nur meine Hausnummer größer, die haben wir von drei Milliarden gesprochen. Ähm aber was das im Prinzip ist, ist eine Biometriedatenbank, ne, das ist nicht irgendwie Kugelbildersuche, guck mal ähnliche Bilder oder so, wo das ja auch teilweise sehr gut schon funktioniert, muss man echt sagen. Was was wir hier haben, ist für die allgemeine Öffentlichkeit so ein Dienst, wobei die auch sagen, ne, irgendwie die die limitieren ihre API so ein bisschen und ab äh weiß ich nicht, hundert Millionen Zugriffe oder sowas, musst du dann, musst du auch bezahlen oder. Also du musst schon früher bezahlen, aber kannst bis zu hundert Millionen irgendwie Zugriffe bekommen und geben das einfach der der allgemeinen Öffentlichkeit. So, was kann mit so etwas gemacht werden? Im, Das Thema wurde sehr gut aufbereitet von unseren Freundinnen und Kollegen bei Netzpolitik Org. Wenn auch mal gesagt wurde so, ja was ist mit Stalkern? Was ist mit dem ähm Outing von irgendwelchen Sexarbeiterinnen? Was ist mit dem Auffinden von sogenannten Rachepornos? Ja auch so eine absolut asoziale äh Schiene, ne? Und. Was ist zum Beispiel, ähm wenn du bei der Polizei irgendwie äh, Demonstration des Films, ne, was die ja die ganze Zeit machen und dann nachher einfach mal die Bilder, die so die Gesichter, die dich interessieren, einfach mal in so eine Gesichtserkennungs-Cloud wirfst. Das ist wirklich ein Problem. Und ähm ich kann mir nicht vorstellen. Dass das legal ist, einen solchen Service zu betreiben, aus verschiedenen Gründen. Erstens denke ich, dass die betroffenen sozialen Netzwerke, die die da scrapen, auf jeden Fall AGB Regeln dagegen haben, Zweitens, ist das ja eine Profilbildung, weil du ja, von einer Person ein biometrisches, einen biometrischen Fingerabdruck in Anführungszeichen, ein biometrisches Gesichtsabdruck in dieser Datenbank Speichers und öffentlich durchsuchbar maß. Ich, also das kann gar nicht legal sein, und das ist echt problematisch. Ja, wenn, also was da alles für Mist passiert. Es gibt ja diese ähm wie heißt nochmal, diese nicht Black Lives Matter, sondern, Sorry. Ähm, diese Black Mirror Episode wurde wo du quasi diese Gesichtserkennung und Personenerkennung mit eingebaut hast, ne? Gibt's ja mehrere Episoden, glaube ich, sogar von, die diese Dystopie behandeln, dass du irgendjemanden fotografierst und dir in irgendeiner Cloud sofort sagen lässt, wer das ist ne? Das ist äh äh so so sehr man sich das manchmal wünschen würde. Für vielleicht auch den ein oder anderen sagen wir mal legitimen Anwendungszweck fallen einfach so viele missbräuchliche Sachen dazu ein, dass das wirklich äh.
Tim Pritlove
Verboten gehört, vor allem, verboten gehört.
Linus Neumann
Ja, deswegen ist es ja auch verboten.
Tim Pritlove
Die Profilbildung, aber generell die Gesichts äh Erkennung und Überwachung dadurch äh ist halt noch nicht verboten.
Linus Neumann
Also Markus Beckerdal hat da auch einen äh Kommentar nochmal zugeschrieben, ne, setzt unsere Datenschutzrechte endlich auch durch, weil hier sieht man ja jetzt wirklich, wo, Reise hingeht und das ist ein Problem.
Tim Pritlove
Diese DSGVO, die ist echt nicht zu früh gekommen.
Linus Neumann
Ja, aber Markus Becker, der schreibt ja auch. Es ist vor allem ein institutionelles Problem. Wenn die überwiegende Mehrheit der Expertinnen der Meinung ist, dass das nicht mit der DSGVO kompatibel ist, warum können Unternehmen in der Europäischen Union, so agieren. Wer klagt dagegen, wann bekommen wir endlich eine effektive Datenschutzdurchsetzung, Ja, das sind natürlich schon vernünftige Fragen, die ihr hier stellt, ja. Und ja, also ich denke, man braucht da eine klares Verbot für die Entwicklung und Nutzung von solchen automatisierten Gesichtserkennungssystemen im öffentlichen Raum. Das ist äh uner dieses PIM Eis sagt natürlich ja ja du darfst nur dich selber hochladen, du musst hier dieses Häkchen aktivieren, dass das auch wirklich du bist, ne? Wobei ja keiner so bescheuert ist, sein eigenes Bild da hochlädt, Ja, den den DDR so ist ja wirklich, ne, natürlich lädst du da nur andere hoch. Ich habe Markus Beckel da da hochgeladen. Nein, fand.
Tim Pritlove
Also ich habe dich dichter hochgeladen.
Linus Neumann
Ja, ich dich, dein.
Tim Pritlove
Barbara war nur ein Versehen. Ich dachte, das wäre ich. Wir sehen uns so ähnlich.
Linus Neumann
Oh je, okay, kommen wir zum letzten Thema, würde ich sagen. Das könnte jetzt das letzte Thema sein. Ähm. In den USA gibt es ja jetzt inzwischen seit mehreren Wochen eine Diskussion über, Polizeigewalt und ähm ja, institutionellen Rassismus in den Strafverfolgungsbehörden. Und diese wurde unter anderem auch begleitet von, der den sogenannten Blue Leaks. Das waren um die zweihundertsiebzig Gigabyte an Daten, über mehrere Jahre erstrecken und irgendwie Daten von mehr als zweihundert Polizeirevieren der USA umfassen. Teile dieser Datenschienen nicht unbedingt ähm irgendwie. Äh geheim oder nichtöffentlich zu sein, also einiges davon stammte aus so Freedom of Information. Äh, Also im Prinzip ähm hier so, frag den Staat Style Sachen, ne. Informationsfreiheitsgesetzanfragen, ähm einige Sachen aus unklarer äh, unklarer Quelle, potenziell auch äh potenziell steht die Frage im Raum, ob davon Sachen auch gehackt waren, ja? Und, veröffentlicht wurde, dass von einem Kollektiv mit dem Namen Didio Secrets District, die Night of Secrets. Ich weiß nicht, wie sie auf diesen Namen gekommen sind. Ähm soll also eine Anspielung sein an Dedos und, geheime Sachen, ja? Verstehen sich als eine Transparenzplattform, im Stile Leaks Wiki Leaks, aber äh kritisieren gleichzeitig, dass Wiki Leaks eben durch die Konzentration auf eigene Interessen. Und auf eine spezifische Person von seinen Idealen abgewichen sei. So also die das Selbstverständnis dieses Kollektivs, die noch dazu meinen, sie wären alle Journalistinnen. Ja, ähm, Die haben also diese Daten veröffentlicht und dann haben sie das getwittert und kurz darauf war ihr Twitter-Account weg, weil ähm Verstoß gegen Twitterregeln, Verbreiten von illegal erlangten Daten. Und dann war nach einigen Tagen auch ihr Server weg, denn der wurde jetzt von der Staatsanwaltschaft Zwickau bei dem, aus dem Regal gezogen und beschlagnahmt im Rahmen eines Amtshilfeersuchens des FPIs.
Tim Pritlove
Zwickau. Mhm.
Linus Neumann
Da ist irgendwo ein Hetzner, Datenzentrum in der Ecke und da sind die dann äh deswegen von dieser Staatsanwaltschaft. Ja und jetzt ist die Frage, man muss ja sagen, es gibt jetzt kein. Über diese Beschlagnahme, sondern dieser dieser das Rechenzentrum Falkenstein wurde als Zeuge durchsucht, Was im Rahmen der SDPO möglich ist und also quasi, ne, die haben das das Rechenzentrum als Zeuge durchsucht und dabei den Server mitgenommen, Ist jetzt nicht so, als gäbe es eine richterliche Anordnung über die Beschlagnahme dieses Servers. Die sind einfach dahin gegangen und haben ihn mitgenommen. Was schon ein ziemlich krasser Punkt ist, insbesondere weil das eigentlich nur für Straftaten nach deutschem Recht gilt, aber, hier jetzt quasi für das FBI gemacht wird. Ja, das ist schon eine ziemlich mhm. Interessante Rechtsauslegungen, ne, das jetzt irgendwie ohne Gerichtsbeschluss, dass FBI sagt, ey, könnt ihr mal als Zeuge diesen Computer davon nehmen und den mal festhalten? Das ist schon ähm. Denke nicht, dass das eine eine juristischer Schritt ist, der in der Form astrein ist oder der uns vorbildlich sein sollte.
Tim Pritlove
Also kurze Erklärung, du sagst Falkenstein, Rechtenzentrum Falkenstein, also das ist bei bei Zwickau. Dahinten Plauen, da die Ecke.
Linus Neumann
Mhm. Ja, anderer Punkt ist. Diese Server, bei dem die auf dem die Daten von sind. Der ist also jetzt weg und die kriegen's seit Tagen nicht hin, einfach neuen aufzustellen, was ähm. Also, sagen wir mal, vorsichtig, ne? Wenn wir von einer Leaking-Plattform reden. Die sich irgendwie anschickt das bessere Wiki Leaks zu werden. Und die auf einem Hetzner Server. Irgendwo in Falkenschein Falkenstein bei Zwickau und der Server ist wenn den der Server aus dem Regal gezogen wird, sind die mehrere Tage offline, dann schätze ich, dass die ihr Handwerk nicht so ganz im Griff haben. Weil das sollte natürlich haben sie auch auf Twitter geschrieben, zu deinem zu deinem Standardprozessen gehören, dass du davon ausgehst, dass dir die Büchs aus dem Regal gezogen wird und du dann sagen wir mal innerhalb von Stunden in der Lage sein musst, woanders deine Daten wieder bereitzustellen, Das ist ja nicht so schwer, Also, ne, du hast ja dann einfach quasi fertige Server irgendwo stehen, die du nur für diesen Fall hast und die du dann in Betrieb nimmst. Ja, das Server kostet ja auch nicht viel. Also mir ist völlig unklar, also das ist ein absoluter Dilettantismus, da mehrere Tage down zu sein, nur weil der weil der Server aus dem Regal gezogen wurde. Es kostet ja nichts.
Tim Pritlove
Die haben halt gedacht, im Vogtland da im tiefen Sachsen da.
Linus Neumann
Da kommen die Polizisten nicht.
Tim Pritlove
Dann kommen die nie drauf, dass da was ist.
Linus Neumann
Nee, also sorry. Das äh also dafür braucht man Kontingenzpläne und das muss ganz ganz zügig und ganz einfach gehen, ja? Und die haben ja vor allem, was ich erst recht nicht verstehe, die bieten den größeren Teil ihrer Daten ohnehin auch als Towers an. Anderen Worten das Aufsetzen eines neuen Servers ist das Ziehen deiner eigenen Torens. Ja, das machst du das muss doch in kürzester Zeit gehen.
Tim Pritlove
Dich jetzt Ruhe aufregen. Ist halt so. Ich sehe gerade hier das dieses Rechenzentrum, das liegt da sehr schön im Falkenstein, schön gelegen am Ortsrand mit der mit der schönen Adresse am Datacenter Park eins.
Linus Neumann
Das finden die nie.
Tim Pritlove
Nee, das ist total versteckt. Da sind auch Bäume drauf rum und so.
Linus Neumann
Ja, also sorry, dass ähm äh ich bin jetzt, also ich bin Underwald und wer vorsichtig. Das so so wenn du wenn du sagst, du bist eine Leaking-Plattform, dann darf dir soweit nicht passieren.
Tim Pritlove
So wird das nichts mit der Revolution.
Linus Neumann
Also Hetzner muss man dazu sagen, ist ein ein Hoster, der dafür bekannt ist, ähm, also ich benutze auch Hetzener Server, ja, weil die einfach sehr schön günstig sind. Und die geben dir in der Regel sage ich mal, deren Geschäftsmodell basiert ein bisschen darauf, im Prinzip diese Server auf Consumer Hardware zu fahren. Das heißt, du hast dann eben keine XEON Prozessoren, sondern irgendwelche Core I drei fünf sieben Prozessoren, kein ECC-Rahmen, ne und ähm. Einfach halt Consumer Hardware, die aber natürlich für den größeren Teil dessen, wofür Leute sich Server holen, völlig ausreichend ist, ne? Und deswegen sind die halt ähm, relativ günstig. Ja, aber äh, wenn du sagst, du bist die große, das große, neue und du hast eine Büchse bei Hetzner stehen, äh dann. Dann hast du dann hast du dich wahrscheinlich mit zweihundertsiebzig Gigabyte irgendwelcher Polizeidaten, auf jeden Fall verhoben. Da haste hättest du vielleicht ein bisschen kleiner fahren müssen. Sorry, da bin ich enttäuscht. Also das das wenn man meint, man hätte aus gelernt, dann muss man auch aus allen Angriffen gegen Wiki Leaks gelernt haben. Ich bin mal gespannt, wie das weitergeht. Also diese Daten, ja. Also zweihundertsiebzig Gigabyte irgendwelcher Daten, da ist natürlich relativ einfach. Ähm, Grund zu finden, dass man die halt auch offline nehmen will oder dass man das deren Veröffentlichung und Zugänglichmachung strafrechtlich im Zweifelsfall verfolgt, ja, also ich habe nicht in die Daten reingeschaut, aber ich würde vermuten, Da sind irgendwelche persönlichen Daten drin und da da da findest du bei zweihundertsiebzig Gigabyte Polizeidaten findest du schnell einen Grund, die offline zu nehmen, ne? Das ist äh sollte, kann man sich vorher denken. Und jetzt müssen wir natürlich auch sagen, wichtiger Punkt, die sagen von sich, na ja, wir haben diese Daten nicht selber erbeutet, sie wurden uns zugespielt und wir sind eine Veröffentlichungsplattform Ähm in und und zwar mit journalistischem Anspruch. Und wenn diese Daten jetzt hier, wenn unsere Server hier weggenommen werden, dann ist das ein Angriff auf die Pressefreiheit. Ähm lasse ich gelten, müsste ich müsste man aber natürlich auch vor dem Hund Hintergrund dieser Daten dann noch einmal bewerten, also ich bin da vorsichtig. Wir, also erstmal klar, ich finde die Pressefreiheit gehört geschützt und gerade diejenigen, die. Daten von von öffentlichem Interesse öffentlich machen, dürfen nicht, verfolgt werden. Wir haben da in Deutschland ja insbesondere auch dieses Problem, wo die Weitergabe von Informationen, die illegal erlangt wurden, irgendwie unter Strafe gestellt wird, was eben so etwas wie die Panama Leaks, äh Panama Papers und so weiter, de facto unter Strafe stellt, das ist nicht in Ordnung, ja? Ähm. Ich kann den Inhalt dieser Daten jetzt nicht bewerten. Die haben auch noch andere Daten zur Verfügung gestellt. Ähm kann ich auch nicht so genau bewerten. Aber auf jeden Fall kritisch ist, dass hier einfach mehr oder weniger ohne Gerichtsbeschluss einen Server aus dem Regal gezogen wird, Da werden wir dann mal schauen, wie sich dieses Verfahren weiter ergibt. Und ich bin mal gespannt, ob die, ob die in der Lage sind, ihren Betrieb da nochmal in in Griff zu kriegen oder so.
Tim Pritlove
Dass sie da Park.
Linus Neumann
Na ja, okay.
Tim Pritlove
Das war's dann eigentlich schon, oder?
Linus Neumann
Also, Ja, was ich, was ich mich halt da tatsächlich frage, ist also wenn du dich auf Journalismus berufst, ne, was ich ja völlig in Ordnung finde auch, also kann ja sehr gut sein. Oder also ich glaube, dass sie in diesen Daten sich sicherlich etwas befunden hat, was ähm von öffentlichem Interesse, sein kann. Ähm insbesondere, da wir ja auch die, Ziele der Informationsfreiheit verfolgen und denken, dass ja ohnehin viel zu viel Intransparenz bei diesen Behörden herrscht, dann stelle ich mir aber schon die Frage, wenn du dann sagst, du bist Journalist, dann musste natürlich auch. Ähm eventuell eine Aufarbeitung dieser Daten vorgenommen haben, ne? Das weiß ich nicht genau, ob sie das getan haben. Also insgesamt agieren die da gerade. Überraschend ähm tja, wie soll ich das sagen? Unprofessionell.
Tim Pritlove
Das scheint deine Einschätzung zu sein. Das kam jetzt schon relativ deutlich rüber. Ist halt so, also gut, ne, äh Leute machen Dinge und manchmal machen sie halt äh ganz cool und hier äh haben sie sich vielleicht Sonnenbrillen gekauft, aber den Rest nicht gedacht.
Linus Neumann
Immerhin, also was äh genau, aber sie sind natürlich auch vielen, müssen wir natürlich auch sagen, sie sind vielen Angriffen. Ausgesetzt. Äh sie werden also beschuldigt, das selber gehackt zu haben, sie werden beschuldigt aus dem Dunklen agieren äh zu aus dem Dunklen zu agieren. Das ist alles nicht korrekt, ne? Die haben ganz klar ihre, also diese Daten als, Veröffentlichungsplattform entgegengenommen, genauso wie Wiki Leaks, die haben auch ganz klar auf der Seite stehen, wer sie sind. Ja, also man hätte auch einfach zu ihnen fahren können. Und das jetzt hier irgendwie bei Reddet die Sachen gebloggt werden bei Twitter und so, das ist schon alles ähm ja, Übel. Also den mit unabhängig von ihrer eigenen Professionalität wird denen gerade übel mitgespielt und das sieht ähm nicht gut aus. Da werden wir mal dranbleiben. So
Tim Pritlove
Aber für heute machen wir erstmal Schluss.
Linus Neumann
Heute machen wir Schluss. Ich denke mir noch irgendwas aus, wofür ich dich jetzt anzeige. Babo, baba. Da bin ich ja mal gespannt, wie die Babbas das finden werden mit der.
Tim Pritlove
Mehr mehr kann nichts passieren. Ich war äh früher Polizist. Da kommt nichts durch. Verstehst du? Also ich war nur ganz.
Linus Neumann
War eine Scheiße. War, war eine Scheißaktion, sorry.
Tim Pritlove
War nur ganz kurz Polizist. Ja, ich war nur ganz kurz Polizist, aber das reicht ja eigentlich. Also so als Fünfjähriger oder so wollte ich mal Polizist sein und dann reicht das ja eigentlich auch als Erklärung.
Linus Neumann
Immer Bulle.
Tim Pritlove
So, lass uns noch ein bisschen danke sagen und dann machen wir Schluss.
Linus Neumann
Genau, ich möchte, ich möchte äh sehr herzlich danken dem Kenneth. Der auch äh selber schon festgestellt hat, dass er verrückt ist, insofern brauche ich das hier nicht mehr zu betonen. Ähm und sehr freundlich der Elina danken. Und dann äh wollte ich generell mal nochmal so in die Listen geschaut und äh habe, jetzt einfach mal nachalphabet sortiert, möchte an dieser Stelle noch einmal herzlich danken Alexander, Andreas, Arne, Benedikt, Benjamin Björn, Christoph, Dirk, Fabian, Franziska, Jannik, herzlichen Dank, Jens, Johannes, Christian, Marco, Markus, Martin, Matthias, Michael, Mona. Ralph, Sarah. Sascha, Simon, Steffen, Stefan, Tanja, Thomas, Tore, Tim. Und Tobias, herzlichen Dank.
Tim Pritlove
Ich danke dir auch, Linus. Keine Ursache.
Linus Neumann
Katze auch mal ruhig. Sonst werfe ich den mit einer Bierdose auf dich.
Tim Pritlove
Christ, mild, ich verstecke mich im Datencenter. So Leute, äh genießt den Sommer. Wir kommen wieder Also wir sind jetzt nicht weg oder so, aber wir wissen da nicht so ganz genau, wie wir äh unseren Takt halten sollen. Das muss jetzt alles ein bisschen mehr Remote äh laufen, als es ohnehin schon äh läuft. Ähm kriegen wir aber irgendwie hin. Und dann hören wir uns wieder die Tage.
Linus Neumann
Bis dahin, ciao, ciao.
Tim Pritlove
Tschüss.

Shownotes

Prolog

Neues aus Stuttgart

Feedback: Zero-Rating und DPI

Feedback: Traffic-Kosten

Feedback: AMS-Algorithmus

Feedback: 30.000 Verdachtsfälle

Update: Patientendatenschutzgesetz (PDSG)

Provider sollen bei Installation von Schadsoftware helfen

Kontaktlisten

CWA-Scammer

PIMeyes

Blueleaks

Bonus Track

50 Gedanken zu „LNP353 Ein Geisterfahrer? Tausende!

  1. Moin,
    vielen Dank für unfassbar ausdauernd gute Arbeit!
    Ich höre die Folgen jetzt zum zweiten Mal von Anfang an und bin begeistert wie gut ihr von Anfang an Quellen gepflegt und Dinge in einen Kontext gerückt habt.

    Auch eure Fehlerkultur ist bemerkenswert.

    Nun zum aktuellen Anlass :

    Es wurde ja der Encrochat hochgenommen.
    https://www.heise.de/news/Encrochat-geknackt-Schwerer-Schlag-gegen-organisierte-Kriminalitaet-4802419.html

    Ich hatte gehofft, dass ihr den Vorfall besprecht.
    Soweit ich das verstanden habe wurden da mit nicht wenig Aufwand Telefone mit custom OS bespielt um dann eine platform für Kriminelle zu schaffen. Inklusive Abo Modell und verschlüsselter Kommunikation.
    Könntet ihr was zum technischen Aufbau und ggf zu den Schwächen sagen wenn ihr Informationen dazu habt.
    Was wurde denen zum Verhängnis?

    Ich hatte das als relevantes Thema empfunden und war überrascht, dass es nicht aufgefasst wurde. Wenn das Thema uninteressant für euch ist, könntet ihr erklären warum, damit ich meinen Radar justieren kann :)

    Vielen Dank und viele Grüße

  2. Langsam bräuchte man ein logbuch it-sicherheit um neben dem politischen Aspekt auch mal praktische Tipps zu verbreiten in regelmäßigen Abständen.
    Apps anzuschauen, Anwendungen, deren Umgang.

    Der Großteil der Verbindungen ist seit den Snowden Leaks auf Verschlüsselung umgestiegen.
    Das wenige im Klartext was ich hier noch auf Port 80 rausgehen sehe sind Captive Portal Checks und OSCP Zertifikatsprüfungen.
    Wollen sie wirklich so weit gehen und CAs verbrennen dafür?
    Zeit für mehr DNSSEC DANE und TOR.

  3. Super!, eine Sonntagsfolge.

    Und täglich grüßt das Murmeltier. Wie bei der #Blueleaks-Geschichte zu sehen, etabliert sich das spontane Durchsuchen von Zeugen ohne richterlichen Beschluss. Das führt dann natürlich zu der rabiaten Vorstellung es rennt ein Beamter durch das Zentrum und „zieht den Server aus dem Regal“. Wie sieht es eigentlich mit etwaigem Beifang bei solchen Aktionen aus? So ein Server in einem Rack beinhaltet doch sicherlich weitere Systeme. Sind diese dann auch Zeugen?

    Zu DDoSecrets: Das bloße Leaken von Daten allein solte kein Journalismus sein. Zu Journalismus gehört auch eine Aufbereitung und Einordnung, sowie ggfs. eine Auswahl der weiteren Journalist_innen, die die Daten erhalten sollen. Um sich auf die Pressefreiheit berufen zu können, sollte auch ein gewissenhafter Umgang mit Quellen erfolgen.

  4. Der Vergleich mit den Geisterfahrern mag im geschilderten Fall zutreffen, ist aber ansonsten eher ein schwaches Argument: Kollektive können durchaus irren, und Individuen, die konträre Positionen einnehmen, können durchaus richtig liegen. Eine Sophie Scholl wird in der Gesellschaft ihrer Zeit sicher auch tausenden Geisterfahrern begegnet sein. Heute missbilligen wir den damals in Deutschland vorherrschenden Common Sense – und benennen Schulen nach Sophie Scholl.

  5. Danke für die abschließende Darstellung zu DPI. Dem Kontext und der Wortwahl entnehme ich, dass ihr zwar Netze ohne DPI schöner findet, aber grundsätzlich kein Problem mit DPI habt. Ist dann halt so.

    Ich sage Laien, die mich fragen – ich arbeite in der TK-Branche – immer, dass man davon ausgehen/unterstellen muss, dass ein ISP alles mit liest. Alles andere ist blauäugig.

    Wenn ich das verhindern will, muss ich halt verschlüsseln. Im besten Fall TLS Version 1.3. Zusätzlich noch auf DNS achten. Da sind wir dann beim Thema eigenen/vertrauswürdigen DNS-Resolver und DoH.

    • Dem Kontext und der Wortwahl entnehme ich, dass ihr zwar Netze ohne DPI schöner findet, aber grundsätzlich kein Problem mit DPI habt. Ist dann halt so.

      Dem Kontext und deiner Wortwahl entnehme ich, dass es sich nicht lohnt, weiter mit dir zu diskutieren.

      • Tschuldigung. So habe ich das nicht gemeint. War nur überrascht keine negative Bewertung gehört zu haben. Gut die Fakten, dass ISPs oft DPI machten wurden dar gestellt. Aber es wurde nicht erwähnt ob und wenn ja warum das nicht okay ist (z.B. juristisch). Das meinte ich mit Kontext.

        Der Aspekt wurde thematisiert.

        • DPI: Mehr als Recht geben kann ich dir ja nicht ;)
          Zero-rating: wir haben sowohl in der letzten als auch in dieser Sendung gesagt, dass einfach alles zero-rated sein soll, das löst viele Probleme ;)

  6. Eine Sonderfolge zum Thema IT Sicherheit faende ich auch mal super. Es ist ja selbst unter Linux so das ich mich mittlerweile oefter frage ob ich den verschiedenen Distributionen wirklich „trauen“ kann, so ein paar Empfehlungen waeren da wirklich hilfreich.
    Ansonsten danke fuer die tolle Sendung, macht weiter so.

  7. Hallihallo
    danke erstmal für die guten Podcasts :)
    Gibt es eine Liste aller Bonustracks? Ich würde nämlich gerne ein Logbuch:Netzpolitik Playlist mit den ganzen Lieder erstellen.

  8. Hi. Ich freue mich als neuer Hörer immer auf die nächste Folge. Als Exil-Schwabe finde ich auch jedes herziehen über die Hauptstadt des Grauens großartig. Was mir in den letzten Folgen in den Witzen über Stuttgart fehlte: Die Thematisierung von Rassismus in dem Kontext. So gab es mehrere Stimmen, die einen Zusammenhang zwischen einer (vermutlich ) rassistischen Polizeikontrolle (im kurzen Zeitlichen Abstand zum Mord an George Floyd) und den anschließenden Krawallen sahen. Dann habt ihr euch zurecht über die Spießer schwaben „Punks“ lustig gemacht, dann aber dabei nicht erwähnt, dass die junge Person rassistisch argumentierte. Letztendlich beweisen auch die neusten Entwicklungen (Stammbaumforschung und rassistische Funksprüche), dass Rassismus Teil & aktuellen Problems ist.
    Warum ihr es nicht erwähnt habt, wisst nur ihr. Was aber mir immer wieder begegnet ist der Blick vom Berlin auf Ba-Wü in dem nur über Autos, Sprache und P’Berg gesprochen wird – die Menschen die aber auch in so einer Stadt Rassismus und Diskriminierung entgegenwirken wollen ist damit wenig geholfen.
    Alles Gute,

  9. Zum Thema IDs durchprobieren bei Webapps um an fremde Daten zu gelangen schildere ich hier mal einen Fall aus dem letzten Jahr:

    Ich hatte mit einer unserer deutschen Behören zu tun bei welcher bestimmte Anträge über die Website abgebildet werden. Zu diesen Anträgen müssen Dokumente zum Nachweis hochgeladen werden (welche Dokumente spezifiziere ich jetzt nicht – sonst wird die Behörde offensichtich) mit persönlichen Daten die man auf jede Fall nicht öffentlich haben möchte, die Missbrauchspotential haben und bei denen jeder Upload einen eindeutigen Rückschluss auf die Person zulässt.

    Ich verrichte dort also meine Tätigkeit, lade meine Dokumente hoch und erhalte eine Ansicht meiner Uploads. Aus Spaß habe ich dann mal die URL einer der Dateien kopiert und die ID am Ende um eins verringert. Ergebnis: ein Upload einer anderen Person. Das ging sogar ohne Session (sprich von einer anderen IP mit blankem Browsertab).

    Ich habe an der Stelle dann aufgehört und ein großes deutsches IT Portal für die Unterstützung/Durchführung der Responsible Disclosure kontaktiert, da ich wenig Lust auf eine „Fehlinterpretation“ meiner Meldung hatte – immerhin war meine Identität zweifelsfrei über meinen Antrag im System feststellbar.
    Auch ohne weiter getestet zu haben gehe ich aber davon aus, dass zehn- oder hunderttausende Dokumente anderer Nutzer des Portals (mit aufsteigenden IDs) frei zugänglich waren. Solche „Features“ bekommen wir also auch in Deutschland hin und das an Stellen die weitaus kritischere Daten als den Restaurantbesuch verarbeiten.

    Ergebnis war damals: Nach 1-2 Wochen war das Verhalten nicht mehr reproduzierbar (getestet mit unauthentifiziertem Zugriff auf meine eigenen Uploads), es gab meines Wissens nach weder eine Berichterstattung dazu noch eine (öffentliche) DSGVO Meldung zum potentiellen Datenmissbrauch.

  10. Hallo,

    ich möchte auch nochmal sammys Punkt stark machen. beim Thema Stuttgart Rassismus zu thematisieren wäre angebracht und rassistischen mist wie von den Punks unkommentiert stehen zu lassen geht gar nicht. bitte. danke

    • Kinder, ihr habt es doch alle selber gemerkt.
      Wofür muss das denn noch kommentiert werden?
      Damit am Ende niemand denkt „Wow, das ist aber eine coole Punkerin, so möchte ich auch sein“ und sich 10 Jahre später denkt „Oh mein Gott, hätten Linus und Tim mich nur gewarnt, dass sie verächtliche Begriffe für Migrantinnen verwendet, das hab ich ja gar nicht gemerkt. Wenn Tim und Linus das kommentiert hätten, wäre ich selbst nie Rassistin geworden…“?

      • Das geht am Punkt vorbei Linus. Ihr thematisiert ein gesellschaftliches Ereignis ohne die NotwendigeEinordnung. Und dann zu sagen, ihr merkt es ja selbst ist echt ein lahmer Umgang mit Kritik. Gerade bei Rassismus ist es doch so essentiell das anzusprechen und zu widersprechen weil das viel zu selten passiert.
        Mein Feedback oben macht zusätzlich den Punkt, dass die reine Thematisierung von Geld etc die Auseinandersetzung mit Rassismus erschwert.

        • Einspruch. Journalismus (und als solchen betrachte ich das, was Tim und Linus hier machen), kann auch mal bedeuten, einen O-Ton unkommentiert für sich sprechen zu lassen. Eine rudimentäre Fähigkeit zur Einordnung von Sachverhalten darf auch von Hörerinnen mit maximaler Konsummentalität erwartet werden. Zumal Tim und Linus, wenn auch nicht explizit, so doch durch ihre Metakommunkiation, deutlich ihre Distanz und ablehnende Haltung zum Redebeitrag der Jugendlichen zu verstehen gaben. Wenn sich jemand als Punk bezeichnet und gleichzeitig andere Menschen K***** nennt, dann ist der Mangel an Konsistenz so offensichtlich, dass sich diese Person selbst desavouiert. Hier noch eine einordnende Bewertung zu fordern halte ich für vermessen und intellektuell nicht satisfaktionsfähig.

        • Phishers Phritz war schneller, das wäre ebenfalls unser erster Punkt gewesen ;)

          Wenn sich eine Punkerin u.a. mit fremdenfeindlichen Widersprüchen blamiert und das als Realsatire daherkommt, braucht das nicht notwendigerweise eingeordnet werden. Wegen der vielen Widerspruchsebenen, die hier zur Belustigung beitragen, muss Mensch sich nicht unbedingt diese eine offensichtliche Facette herauspicken.

          Ein zweiter Aspekt, der vielleicht erwähnenswert ist: Sie macht die fremdenfeindlichen Äußerungen vor der Kamera in der Öffentlichkeit. Im Gesprochenen wirkt es komplett schamlos, was ebenfalls zum spontanen Lachreflex beiträgt. Das wäre eher wert diskutiert zu werden. Warum sagt sie das so in der Öffentlichkeit?

          Es wäre wünschenswert, wenn Menschen ihren Rassismus überwinden könnten, aber einstweilen wünschen wir uns das Schamgefühl zurück, was unsere Gesellschaft bis dahin zusammenhält. Das aber – und hier liegt Linus richtig – haben wir in der Erziehung mitbekommen… oder eben nicht.

          • Es gibt hier noch einen anderen Punkt zu bedenken. Das ist eine Schülerin. Keine Ahnung, ob sie überhaupt 16, geschweige denn 18 ist.
            Ich denke mal, dass sie sich mit diesem Auftritt genug Ärger eingehandelt hat – die nächsten Wochen in der Schule werden nicht die schönsten ihrer Kindheit.
            Da braucht sie jetzt nicht auch noch eine ausführliche Einordnung als Rassistin von zwei doppelt so alten Berlinern.

            • Ich würde noch weiterhin sagen, dass die Krawalle als Reaktion auf vermutliche rassistische Polizeigewalt sein könnte. Es geht hier nicht nur um den blöden Spruch des jungen Menschen sondern die Frage ob unterkomplex nur über VW und Mercedes gelacht wird oder ob die Frage nach Auslösung der Krawalle gestellt wird.

  11. Hallo Linus,
    Hallo Tim,
    vielen Dank für die regelmäßigen Folgen. Macht bitte weiter so.

    Ich habe eine Frage an alle. Bisher habe ich euren Podcast heruntergeladen und am heimischen PC gehört.
    Jetzt bin ich aber mehr unterwegs und suche ein Podcast Programm welches auf Windows und Android läuft. Zudem sollten sie sich synchronisieren. Am besten sogar den genauen Zeitstempel, wo ich gestoppt habe, damit ich am anderen Gerät weiter hören kann.
    Kennt jemand so eine Lösung? Egal ob freeware oder zum kaufen.

  12. Fedora, Arch Linux und Qubes (mit Updates über Tor) machen https Updates von Haus aus.
    Auch Debian, Ubuntu und Linux Mint kann man auf https umstellen.
    Hier ein Video mit ausführlicher Anleitung dazu: https://youtube.com/watch?v=YYF8jfE5xq0
    Hilft dann auch gegen zukünftige Fehler in apt wie https://www.heise.de/security/meldung/Pufferueberlauf-im-Debian-Paketmanager-Apt-2402367.html
    oder neulich https://justi.cz/security/2019/01/22/apt-rce.html
    Übrigens die Server der Charite bei Ubuntu helfen bestimmt auch gegen Verschwörungstheoretiker :o)

  13. Heho,
    Schubladen sind scheisse, aber Leute, die mit Straftaten prahlen, anzuzeigen finde ich gut.
    Ist mir egal wer, mit welchem Äußeren, politischem HIntergrund, wen mit welchem Äußeren, politischen Hintergrund anzeigt.
    Babo – Gelaber, so what ?
    Gwen

  14. PIMeyes

    Wollte meine Ex stalken und musste feststellen, dass die Bildquellen wohl überwiegend aus Osteuropa / Russland stammen. Vermutlich hauptsächlich aus dem russischen Facebook Clone vk.

    Der Kelch scheint für den Moment an uns Biodeutschen vorüber gegangen zu sein.

    Der Algorithmus findet aber schon sehr ähnliche Gesichter zu dem hochgeladnen Templates.

    Irgendwann kommt eine funktionierende Suchmaschine, ich glaube nicht, dass sich das aufhalten lassen wird. …. leider!

  15. Ich bin jetzt grad etwas unsicher inwiefern das mit den Providern und den Geheimdienst ein neues Problem ist.
    Ist nicht spätestens seid Snowden bekannt das man keinem Netz trauen sollte?
    Da wurden ja sogar die Kabel zwischen den Datencentern angezapft.

  16. Vielleicht solltet ihr nochmal rausstellen, was der Unterschied Papier zu digital ist:

    Bei Papier haben zwar viele Wirte, die das sammeln, sicherlich einen Blick drauf, aber der Missbrauch wäre nur lokal. Mir ist auch nicht so wohl, wenn ich in einem fremden Restaurant, gibt auch z.B. Mafia-Restaurants, meine Adresse abgeben soll und fälsche Eine. Bei der Datenbank wird es gleich um einige Dimensionen mehr Schaden am Datenschutz geben, wenn ein Missbrauch stattfindet, sobald Adressen aus einer ganzen Region gesammelt werden.

    Mich würde mal die Erfahrung der sogenannten „Containment scouts“ interessieren wie brauchbar diese Informationen sind? Sicherlich gäbe es auch Informationen, wer sich kaum an die Verordnung hält, oder welche Klientel schön brav den Zettel wie gewollt ausfüllt und welche nicht.

    https://www.weser-kurier.de/bremen/bremen-stadt_artikel,-enge-grenzen-bei-datenerfassung-in-der-gastronomie-_arid,1914935.html

    Mein Eindruck ist, das Prozedere läuft derzeit doch in einer rechtlichen Grauzone und es soll einfach den Gastwirten nicht das Leben noch schwerer gemacht werden als es schon ist.

  17. Moin Linus & Tim,

    ich vermute mal, dass ich in der nächsten Folge auch auf NSU 2.0 und die Polizeiabfragen von personenbezogenen Daten eingeht. Dazu hätte ich ein Anliegen bzw. Frage, die ich bisher gar nicht in den Medien wiederfinde:

    Wie kann es eigentlich sein, dass man mit der Aussage „war zwar mein PC, aber ich war es nicht“ so eifnach durchkommt?! – Jede Organisation hat doch individuelle Benutzerkonto für Zugriffe auf E-Mails, Datenbanken und Cloud-Systems. Wenn mit meinem Benutzerkonto eine Straftat/Ordnungswidrigkeit/usw. begangen wird, bin ich als Inhaber:in jenes Konto nicht zur Verantwortung zu ziehen? Reicht es wirklich aus, zu sagen: „Ich war es nicht“ und einem wird geglaubt?

    Wie seht ihr das? – Wie ihr seht, ich finde das sich die relevanten Polizeibeamten (nach aktuellem Wissensstand) doch relativ leicht aus der Affäre ziehen können.

    Besten Dank, bester Netzpolitischer Podcast!

    Love aus Neukölln

  18. Eine Sicherheitsschwankung aus der selben Liga wie bei den Adresslisten für Restaurants gabs grad beim Niedersächsischen Kultusministerium:
    https://heise.de/-4844398
    Einfach nur „NutzerID=“ in der URL ändern um auf die Daten anderer Leute zuzugreifen…

  19. PIMeyes:
    Eure Forderung, hier die europäische DSGVO endlich mal durchzusetzen, geht mir zu sehr am Problem vorbei. Dann gibt’s das gleiche Angebot demnächst eben aus einem fernen Land außerhalb der EU.
    Klar, man könnte dann versuchen, die Nutzung (mit fremden Bildern) innerhalb der EU zu verbieten. Heimlich wird es jedoch weiterhin geschehen.

    Könntet ihr nochmal erläutern, wieso genau dieses Vorgehen gegen die DSGVO verstößt? Weil die vorher gescannten Bilder zwar freiwillig, aber nicht zu diesem Zweck veröffentlicht wurden?

    • Hi Martino!
      Ich würde gerne mal antworten, auch wenn ich nicht angesprochen wurde.

      Zu deinem Punkt, ein Anbieter außerhalb der EU würde diese Dienstleistung bereitstellen, falls man es innerhalb der EU auf Grundlage der DSGVO verbietet:
      Dem kann ich nicht zustimmen. Der räumliche Anwendungsbereich (Art. 3 DSGVO) regelt, dass die DSGVO auch dann gilt, wenn die Verarbeitung der Date nicht innerhalb der EU erfolgt falls Menschen betroffen sind, die sich in der EU befinden und der Verarbeitende den Betroffenen Dienstleistungen anbietet. (Der einzige aus meiner Sicht strittige Punkt möge hier das Angebot der Dienstleistung sein. Den sehe ich aber erfülllt, wenn EU-Bürger die Plattform nutzen können)

      Zu der Frage, weshalb das Vorgehen gegen die DSGVO verstoße, hier meine Sicht auf die Dinge:
      Da ein Foto prinzipiell erstmal einer Person zugeordnet werden kann, handelt es sich um ein personenbezogenes Datum im Sinne der DSGVO. Wenn jemand ein Foto auf irgendeine Plattform hochlädt, die der DSGVO unterliegt, darf das Foto lediglich für die Zwecke verarbeitet werden, denen der Nutzer zugestimmt hat. Hier teilen sich zwei Pfade: Entweder die Plattform arbeitet mit PimEyes zusammen, dann muss das natürlich in der Datenschutzerklärung transparent dargestellt sein. Weiterhin hat dann natürlich auch jeder das Recht, die Zustimmung zur Verarbeitung jederzeit zu widerrufen. Für den Fall, dass die Plattform nicht mit PimEyes zusammenarbeitet und man nicht selbst der Verarbeitung der Bilder durch PimEyes zugestimmt hat, hat die Firma dann auch keine Grundlage, die Bilder zu verarbeiten. Und damit würde es sich um eine nicht-rechtmäßige Verarbeitung handeln, die durch Durchsetzung der DSGVO untersagt werden kann.

      (Alles nach bestem Wissen und Gewissen beschrieben. Für den Fall, dass jemandem ein Fehler auffällt, würde ich mich um Korrektur freuen.)

      • zum ersten Punkt: Wenn der Anbieter außerhalb der EU sitzt, wird das mit der Durchsetzung aber de facto unmöglich. (siehe Steueroasen) Ganz notfalls müsste der Service ins Darknet abwandern.
        Was ich sagen wollte: Diese Daten sind jetzt da, die Technik ist da und wir müssen damit umgehen. Das juristische Unterbinden wird uns nicht lange weiterhelfen.

        zur DSGVO: Heißt das, ich darf keine Bilder von Personen, die ich im Internet finde, mehr indizieren? (Zumindest nicht ohne explizite Zustimmung/Kooperation?) Was ist mit einfachem Text, d.h. Seiten, auf denen Namen stehen?
        Wie macht Google das? Darf ich Leute nicht mehr googlen? Muss Google von mir eine Checkbox verlangen, dass das wirklich mein Name ist, den ich gerade google?

        Was PIMeyes hier anbietet ist auf den ersten Blick eine einfache Suchmaschine, bei denen man keinen Text, sondern ein Bild eingibt. (Hat Google übrigens auch schon.)

        • Zum ersten Punkt:
          Da hast du wohl Recht. Wobei ich schon denke, dass der juristische Weg der einzig legitime und effektive ist. Der Datenschutz in Europa die sog, TOMs (technische und organisatorische Maßnahmen). Wenn man dieses Modell als Grundlage nimmt, hat man also drei Wege: akzeptieren, organisatorisch wehren und technisch wehren. Akzeptanz ist (hoffentlich) für die meisten Menschen keine alternative.
          Organisatorisch kann man sich entweder juristisch wehren oder private Maßnahmen treffen. Letzteres würde sich dann wohl darauf beschränken, keine Fotos in soziale Netzwerke zu laden.
          Die technischen Gegenmaßnahmen könnte man wieder in Offensiv und Defensiv gliedern, wobei sich offensiv wieder in offensiv-legal (staatlich) oder offensiv-illegal (aktivistisch) teilen lässt. Technisch-offensiv ist an der Stelle also schon mal ungeeignet, aus m.M.n. bekannten und offensichtlichen Gründen.
          Technisch-defensiv könnte man sich nur mit der Hilfe der sozialen Netzwerke wehren, wobei ein effektives Abwehren auch schwer bis kaum umzusetzen sein dürfte. Man müsste dazu immerhin sicherstellen, dass PimEyes zu keiner Zeit Zugriff auf die Bilder bekommt.

          Zur DSGVO:
          Dafür würde ich kurz auf den sachlichen Anwendungsbereich der DSGVO konsolidieren. Dort (Art. 2 Abs. 2 c)) ist geregelt, dass die DSGVO keine Anwendung findet, wenn du deine Tätigkeit ausschließlich im familiäreren oder privateb Rahmen ausübst. Mit dieser Grundlage würde ich dir als Person auch das Indizieren der Bilder gestatten.
          Die Google-Frage kann ich ab hier nur spekulativ beantworten: Technisch gesehen zeigt dir Google möglicherweise nur Teile und Ausschnitte aus anderen Websites und verbreitet (oder verarbeitet) die Daten damit selbst womöglich nicht. Für die Verarbeitung, die Google mit den Daten wirklich betreibt, wird man vermutlich vorfiltern, ob es sich dabei um personenbezogene Daten oder um andere Bilder (z.B. Gegenstände) handelt. Daher wirst du in Google Captchas auch nie sowas gefragt wie „Klicken Sie alle Teile des Bildes mit Schwarzweißfotos von Christian Lindner an“, obwohl sehr viele davon existieren. (Okay, Spaß wieder beiseite.)
          Wenn man trotzdem Bilder von Personen auf Google findet liegt das vermutlich daran, dass die Bilder gemeinsam mit Metadaten veröffentlicht wurden und somit keine Verarbeitung wie bei PimEyes notwendig ist.
          Googles Rolle verglichen mit der von PimEyes auf die Realität projeziert sehe ich ungefähr so: Ich lese heute Zeitung und sehe eine Foto mit Namen von jemandem aus meinem Ort. Wenn ich diese Zeitung mitnehme und jedem zeige, der mich danach fragt, ist das grundlegend in Ordnung.
          Wenn ich aber stattdessen (hier die Rolle von PimEyes) dieses Foto (und den Namen) nehme, einscanne und auf meine eigene Website hochlade, wäre das ohne die Zustimmung der Person nicht okay. (Annahme hierbei ist, dass „ich“ eine Organisation bin und die DSGVO anwendbar ist)

          (Falls ich mich irgendwo vertan habe, bin ich auch hier wieder für Korrekturen dankbar.)

  20. CWA-Scammer:
    Als ich euren Beitrag gehört habe, dachte ich: Das ist aber etwas daneben, das schon unter „Scammer“ zu sortieren, nur weil die App Geld kostet und Dinge tut, die man auch gratis haben kann. (Das gibt’s ja durchaus häufiger.)

    Ich habe mir nun die Eingendarstellung angesehen und muss euch vollkommen recht geben: Der Übergang von „erfahre, wer die Corona-App nutzt“ zu „Kriminelle können das ausnutzen“, gemeinsam mit dem Unterton „wenn jemand in deiner Umgebung die App nutzt, bist du gefährdet“ passt schon in das klassische Schwurbler-Muster.

    Und bei dem Hintergrund ist dann leider auch nicht auszuschließen, dass einige „Geisterfahrer“ die „Warnungen“ ihrer Späher-App zum Anlass nehmen, die identifizierten Nutzer anzugehen.

  21. Hallo Linus,
    zu Kapitel 11 bei 59:00 min meintest du, dass das schon am Mittwoch beschlossen werden soll. Wo soll das beschlossen werden? Der Bundestag ist doch in der Sommerpause und kommt erst wieder im September zusammen. Würde mich freuen, wenn du das spezifizierst, danke :)
    LG

  22. Ich hoffe das es hier nicht allzu unpassend ist, aber da die Corona Warn App auch in LNP schon öfter Thema war kommentiere ich das einfach mal hier.
    In älteren LNP Folgen und heute in diesem Tagesschaubericht (https://www.tagesschau.de/inland/corona-warn-app-111.html) spricht Linus von antiker IT in Laboren und Ämtern. Über die Gesundheitsämter möchte ich gar nicht diskutieren, auch wenn ich auch da die Probleme eher an anderer Stelle sehe.
    Bei den Laboren würde mich aber interessieren welche Einblicke du da hast. Ich habe in meiner Arbeit im Krankenhaus und bei dem was ich selbst in Laboren gesehen und von Laborärzten/Laborbetreibern gehört habe nie den Eindruck gewonnen das da irgendetwas antik sei, eher im Gegenteil. Elektronische Anbindung (Order Entry, Befunde) ist zB. seit Jahren möglich und was die Kliniken angeht auch absoluter Standard.
    Dem zufolge was die Labore selbst verlautbaren (https://www.alm-ev.de/files/site-files/Corona/Corona-Warn-App-Status-Laboranbindung-180620.pdf) oder in diesem Artikel (https://www.golem.de/news/qr-codes-erst-zwei-drittel-der-testlabore-an-corona-app-angeschlossen-2007-149656-2.html) liegt das Problem eher in der Komplexität der Laborinformationssysteme und der Vielzahl an (propiertären) Softwaresystemen/Schnittstellen die zum Einsatz kommen oder durch Dienstleister bereitgestellt werden. Auch scheint die Telekom nicht nur hilfreich zu sein.

    Da mir die Behauptung über die mangelhafte Digitalisierung/ antike IT der Labore schon in mehreren Podcasts die ich im weiteren Sinn dem Berliner CCC-Umfeld zurechnen würden begegnet ist, würde mich ehrlich interessieren worauf diese Einschätzung basiert.

    • Ähnliches gilt übrigens für die hier (https://www.heise.de/news/Ein-Monat-Corona-Warn-App-Bisher-bleibt-der-Effekt-aus-4846827.html) und im Twitter-Video von Linus getätigte Aussage, dass viele Infizierte über den Postweg informiert würden.
      Das überrascht mich doch sehr, weil es nach meinem Kenntnisstand völlig unüblich ist das ein Patient durch einen Brief (zuerst) von seiner Erkrankung erfährt, speziell im Kontext Covid19. In dem Umfeld das sehen kann wird der Patient für gewöhnlich von demjenigen der den Test beauftragt hatte, also meist Arzt oder Gesundheitsamt, telefonisch über das positive Ergebnis informiert. Meist an dem Tag an dem das Ergebnis vorliegt. Negative Ergebnisse werden oft nicht aktiv kommuniziert.
      Hier ist sicherlich eine Beschleunigung durch die App denkbar, gerade weil oft die Ergebnisse die das Labor am Nachmittag erzeugt oft erst am nächsten Tag durch Arzt/Gesundheitsamt gesehen und bearbeitet werden. Bei dem einmal täglichen Abruf durch die App würde ich mir da aber nicht zu viel versprechen.
      Nichtsdestotrotz halte ich genau diese Funktion für den interessantesten Teil der App, gerade weil sie so einen Mehrwert bieten kann, unabhängig davon ob die Bluetooth-Komponente wie erhofft funktioniert. Das ist ja ehrlicherweise noch völlig unklar. Gerade bezüglich negativer Ergebnisse (immerhin über 99% aktuell) kann hier Entlastung geschaffen werden.
      Mich würden nähere Infos zu diesem Postweg sehr interessieren.

  23. Zum Thema AMS in Österreich bzw. computergestützte Entscheidungen allgemein möchte ich noch ein Paper empfehlen.

    https://link.springer.com/article/10.1007/s11023-019-09513-7

    „the tendency of the human agent within a human–machine control loop to become complacent, over-reliant or unduly diffident when faced with the outputs of a reliable autonomous system.“

    „Somewhat alarmingly, it seems to afflict experts as much as novices, and is largely resistant to training“

    Mittlerweile versuchen uns, meist Innenminister, zu erklären, dass ja am Ende der biometrischen Überwachung nicht die Maschine entscheidet sondern ein Mensch! Das Paper zeigt: die Aussagen sind wenig wert und sollen nur beruhigen bis der Zeitpunkt passt, um alles zu Automatisieren. Also müssen wir so einen Mist vorher verhindern.

    Hier z.B. in Mannheim:
    https://www.heise.de/newsticker/meldung/Mannheim-testet-verhaltensbasierte-Videoueberwachung-4239279.html
    „Es entscheidet nicht die Maschine, es entscheidet der Mensch.“
    „Pionierarbeit made in Baden-Württemberg“ LOL

    Findet man aber auch im Abschlussbericht zum Südkreuz:
    „Auch fehlerhafte Treffermeldungen („false-positive Treffer“) des Systems können auf diese Weise durch Polizeivollzugsbeamtinnen und Polizeivollzugsbeamte korrigiert werden.“ S.37

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.