LNP353 Ein Geisterfahrer? Tausende!

Guten Morgen Linus.

Guten Morgen, Tim.

In Hamburg ist einer freigesprochen worden, der beim G20 Bierdosen auf die Polizei geworfen hat. Wie kann das denn sein?

Der war selber Polizist.

Logbuchnetzpolitik Nummer dreihundertdreiundfünfzig vom elften Juli zwanzig zwanzig. Und langsam gehen einem die Storys aus.

Na ja, na ja, na.

Eigentlich kommt doch normalerweise kommt da immer so der ganze verrückte äh Kram dann irgendwie hoch, ne.

Kommt ja auch, kommt ja auch, keine Sorge, Tim, wir haben genug, wir haben genug, um den Blutdruck auch im Sommer äh. Zu halten, ja? Da müssen wir uns gar keine Sorgen machen. Dieser dieser Prozess in äh in Hamburg ist ja ein Traum, ne. Das das erinnert mich an diese weißt du? Ähm wenn man einer Katze so ein Marmeladenbrot hinten drauf klebt, ne, auf den Rücken und die dann vom Dach wirft, um zu gucken, ob jetzt das Gesetz eintritt, dass die, Katze auf ihrem Rücken landen, auf dem dass immer unten ist oder die Katze immer auf den Füßen, ne. So erinnerten sie sich daran, erinnert mich dieser ähm, Dieser G20-Prozess und das Schöne ist ja, die ebenfalls angeklagte Freundin des Mannes, äh die hatte auch eine Dose geworfen, die ähm. Äh wurde auch freigesprochen. Geil, oder? Da da könnte man ja mal in einigen weiteren Verfahren, die ja jetzt gerade da in Hamburg zum G20 stattfinden, äh drauf Bezug nehmen. Wir werden sicherlich einige dafür sorgen, dass das jetzt kein Präzedenzfall äh wird.

Das ist wirklich echt absurd.

Aber der der Mann hat äh Abbitte geleistet, ist jetzt auch nicht mehr Polizist. Der hat sich quasi in dem Moment auf dieser, wenn ich das richtig erinnere, war das bei der Welcome to Hell Demo und hat gesehen wie die Polizei da die Demonstranten angegriffen hat und hat sich in dem weiteren Verlauf, auch jetzt quasi von diesem Beruf getrennt.

War da nicht dann schon Expolizist zu dem Zeitpunkt?

Wenn ich das richtig verstanden habe, äh nicht, weil sonst hätten sie ihn ja äh sonst hätten sie ihn ja schuldig gesprochen, ja.

Hier ist irgendwie immer von ehemaligen Polizisten die.

Ja, ja, er ist, er ist danach. Er er ist jetzt ein ehemaliger Polizist. Ja, weil er sich darauf ähm daraufhin entschieden hat, ja? Ähm nicht mehr. Zu sein. Und der ist sogar geständig, ja? Na ja, wir wünschen ihm eine erfolgreiche Resozialisierung. Übrigens ähm wir haben ja viel über die über die Stuttgarter Geschichte gesprochen, ne. Ähm.

Das ist das Aufregerthema überhaupt.

Also, man muss das folgendermaßen, da, da streten ja noch weitere soziale Konflikte. Ähm ans Licht. Und zwar die Stuttgarter Partyszene. Die trifft sich ja jetzt in den in diesem Park. Ne und der Park ist natürlich das natürliche Habit Habitat von den Punks und ähm, die machen den jetzt quasi da den Lebensraum strittig. Und jetzt hast du quasi, Party gegen Punk, ja? Und da gibt's ein ein bemerkenswerten, einen bemerkenswerten Ausschnitt aus der Sendung Report Mainz, wo ein Team sich offenbar in diesem Schlosspark da umgehört hat und sich mit Leuten unterhalten hat und die haben sich mit einer Gruppe Punks unterhalten. Das sind sie also sehr, sehr eindeutig Punk äh bunter Haare und die, Hauptinterviewpartnerin hat auch nochmal, um sicherzustellen, dass jeder es versteht, auf ihrem T-Shirt stehen wir sind Punks. Also zweifelsohne sind das wahrscheinlich Punks. Und es ist, wie gesagt, wirklich bemerkenswert, wie dieses Interview verlaufen ist. Vielleicht hören wir da mal ganz kurz rein.

Das machen wir mal. Wie einen auf Papa machen. Geil. Tja.

Ey, leg dich nicht mit den Stuttgarter Punks an, ne? Ich meine, weißt du so, da ist er, boah.

Ja. Wenn du wenn du den Punks quer kommst, dann äh bist du sofort so wirst du gleich zur Kehrwoche. Du musst gleich zur Kehrwoche verurteilt.

Und vor allem dieser dieser Kommentar, wie immer, ja, der ist aber natürlich auch ähm. Also in Stuttgart, Leute, ihr habt jetzt hier wirklich in den Kommentaren wirklich viel versucht, uns irgendwie Stuttgart näher zu bringen, ne? Aber man muss schon sagen, das ist schon etwas eigentümliche Region da unten, also das.

Sagen wir mal, wir kennen das nicht so gut, ne? Also das ist dann.

Ja das ist bei uns unüblich. Ja, also in in Berlin ist das unüblich, dass die Pax die Polizei.

Zumindest bei den Punks.

Andere andere Bundesländer, andere Sitten. Ähm.

So sieht's aus. Da mischen wir uns überhaupt nicht mehr ein. Macht doch, was ihr wollt.

Ja, aber auf jeden Fall, Leben gehört sich mit dem Parks in Stuttgart an. Ähm, Wir haben Feedback bekommen, einen und zwar das würde ich gerne hier vorlesen. Wir haben ja vor einigen Sendungen schon uns darüber gewundert, wie es denn zu diesem dann doch sehr komischen Artikel bei Heise kam, in dem äh der, TÜV sich quasi über die. Corona-App sehr negativ äh geäußert hatte oder so wiedergegeben wurde und ich habe mich hier sehr ausführlich darüber gewundert, dass ich mir das einfach überhaupt nicht vorstellen kann, dass, Herr Kretschmer, das so, gemacht hat ja? Oder zumindest das ist für ihn ökonomisch eine sehr dumme Entscheidung gewesen wäre aus einem Auftrag in den in der Presse zu berichten, Und äh ich kenne Herrn Kretschmer und der hat mir geschrieben, und äh das würde ich gerne einfach mal vorlesen, weil's ja auch eine wichtige Ergänzung und Gegendarstellung ist. Hallo Herr Neumann, ich wollte mich kurz zur Podcast-Folge, Netzpolitik mit Ihnen und Tim Pritlaff melden. Siehe beide haben mich ja nicht gut aussehen lassen, aber erstaunlich richtige Überlegungen zu meinen Aussagen angestellt. So war bei mir fast der Eindruck entstanden, dass sie genau wissen, Dass diese Aussagen so nicht von mir kommen konnten. Aber soweit ging ihr Fazit leider nicht. Es gibt eben viele Gegner der App und so wurde ich völlig fehlerhaft mit meinen Aussagen vor einigen Wochen zu Beginn, Tests zitiert, als noch der zehnte sechste als Veröffentlichungstermin stand und wir genau zwei Tage Zeit gehabt hätten. Auch sollten wir zunächst alle Feindings selbst veröffentlichen. Einhundertprozentige Transparenz, was dann aber auf Kommunikationspannen beruhte und zurückgenommen wurde. Kein NDA wurde somit verletzt und ich habe nur theoretische Angriffe umschrieben, da ich gefragt wurde, was denn so passieren könnte. Daraus wurden dann auf einmal tatsächliche Finings im Artikel. Kam dann alles zur Unzeit, als die Situation eine völlig, andere waren, Also damit meint er, um das kurz zu ergänzen. Der Artikel kam eben sehr viel später, als er dieses Gespräch geführt hat, ne, also um das nochmal, um das kurz in Erinnerung zu rufen, dieser Artikel erschienen irgendwie, weiß ich nicht, wenige Tage vor Veröffentlichung der Corona-App. Ich glaube, am Freitag, Abend und die App wurde dann am Dienstag veröffentlicht und er sagt jetzt, dass die quasi das Interview nicht länger zurück und bezog sich noch auf eine komplett andere Situation. Also, kam dann alles zur Unzeit, als die Situation eine völlig andere war. Aber. Wer glaubt das dann schon? Mich stört eigentlich nur, dass alle sich fragen, warum ich das öffentlich gemacht habe und niemand, ob ich das eigentlich gemacht habe. Das habe ich nicht. Grüße, Dirk Kretschmann. Ja, also ich denke, dass äh finde ich so nachvollziehbar und ich hatte das ja auch in der Sendung, wie Herr Kretschmer ja auch selber sagt, so ein bisschen vermutet, dass das irgendwie nicht sein kann, was da, passiert ist, wird der Veröffentlichung dieses Artikels und ich glaube, das erklärt das hier sehr gut, dass er offenbar, dass es sich um eine sehr altes äh, Tages aktuelles Interview gehalten äh gehandelt hat, was äh oder Gespräch gehandelt hat, was dann eben sehr viel, oder mit mit Verspätung veröffentlicht wurde und damit nicht mehr die aktuelle Situation getroffen hat. Insbesondere dieser Teil mit wir brauchen mehr Zeit, ist natürlich vorm Hintergrund von zwei Tagen oder zwei Wochen. Ähm komplett anders zu bewerten. Insofern danke ich dem Dirk Kretschmer für dieses Feedback und bin froh, dass ich das hier dann auch nochmal vollständig so mit seiner Einverständnis vortragen durfte.

Ja, absolut nachvollziehbar und äh der der Artikel machte wirklich auch schon ein merkwürdigen, Eindruck, ne? Also wie er schon ganz richtig gesagt hat so, man hätte sich vielleicht, noch mehr Fragen können äh, ob das Gespräch in der Form überhaupt so, zumindest zu dem Zeitpunkt hat stattfinden können, weil es war einfach nicht schlüssig, so diese ganzen Ansagen mit Zeit und alles passt da irgendwie überhaupt nicht.

Ja, also haben wir das geklärt. Ähm TÜV, äh weiterhin äh und und dieser Funk, er hat kein, also NDA nicht gebrochen, ne, ist ja zum Beispiel auch ein wichtiger Punkt, dass das ursprünglich offenbar geplant war, dass dass die selber ihren Bericht veröffentlichen, was ja durchaus auch manchmal üblich ist, äh hier jetzt aber nicht, insofern alles gut. So, dann kommen wir zum Feedback. Ähm von unseren Hörerinnen und Hörern. Und zwar haben da Gerhard und Dennis kommentiert zu Zero Rating und DPI. Wir erinnern uns, wir haben über das Zero-Rating der Corona-App gesprochen und haben damit auch nochmal mit Thomas gesprochen, der ja, Maßgeblich bestimmt war für die Netzneutralitätsrichtlinie der Europäischen Union und Thomas oder dass das schreibt Gerd Gerhard auch hier. Gerhard schreibt Thomas macht den Vorschlag, dass ein okay wäre wenn es sich auf Domänen bezieht wie Dot Gof, dort Edio oder irgendwas Health Verwandtes. Wie soll das aber möglich sein, wenn DPI verboten ist? Momentan nutzen viele Internetserviceproviders unter anderem URL und SNI Infos beim Zero-Rating. Äh SMI-Server name Identification ist im Prinzip im weitesten Sinne das, was bei einem. Bei dem Herstellen einer TLS-Verbindung noch liegen kann über mit welcher Domain du da tatsächlich redest. Und DPI bedeutet ja also DPI bedeutet du guckst in den Teil. IP Paketes, der für das Routing nicht mehr relevant ist, mit anderen Worten also den Inhalt. Und.

Oder der eigentliche Datenstrom.

Und wenn man sich jetzt TLS-Verbindungen anschaut, dann, ist es so, also die stellen einen verschlüsselten Tunnel her, ja? Und dieser Tunnel befindet sich aber komplett in der Playload. Das heißt, um irgendetwas von diesem TLS überhaupt mitzubekommen, musst du, machen, da hat der Gerhard vollständig recht und das wird von Dennis noch ein bisschen ergänzt. Der sagt, das ist keine Theorie, ich war zeitweise Kunde eines Mittel europäischen Anbieters mit einem Zero-Rating während meiner Zeit dort habe ich mit dem System mal ein bisschen herumgespielt, um zu schauen, ob ich Abituren, Traffic, Zero raten lassen kann. Die Antwort war ja. Wohin der Traffic ging, war dabei vollkommen egal, ob ich zu einem Server in den USA zu einer Büchse beim lokalen Billo-Hoster, solange in Layer fünf aufwärts bestimmte Erkennungsmerkmale vorhanden waren, wurde der Traffic geweiht listet und nicht von meinem Datenvolumen abgezogen. Mit anderen Worten, Dennis sagt, hier wurde also, keinerlei äh Rating of IP-Ebene, sondern nur auf Lea fünf aufwärts, also nur im Bereich die Package Inspection, dieses Zero-Rating gemacht und, Ja, da haben ähm Gerhard und Dennis recht, dass, wenn wir sagen wir wollen überhaupt kein haben dann eben auch das in der Form nicht funktioniert. Nur zur Ergänzung warum kann man Zero-Rating nicht auf IP-Ebene machen? Also kann man schon, aber. Wird nicht im Sinne der Provider sein, weil sich das einfach viel zu viel ändert, also welch was unter welcher IP-Adresse verfügbar ist durch diese ganzen CDNs und sonstiges. Und weil, Adresse mitunter. Unterschiedliche Services laufen können, ne, also was weiß ich, du hast dann irgendwo in der Cloud dein Netflix ein bisschen rum, irgendwo in der gleichen Cloud ballert ein anderer Service so ein bisschen rum, die, IP-Adressen sind flüchtig und vor allem. Auch nicht überall auf der Welt gleich, ja, also Deutsche werden dann woanders hingelenkt, als andere und da wird das dann eine sehr, sehr, sehr unsauber, wenn man sagt, wir wir machen das Zerorate. Zero, boah, das kriege ich echt nicht. Zero-Rading, Wir machen das Zero-Reading einfach auf ein IP, weißt du?

Auf einer Android. Äh aber wenn wenn ich mich richtig erinnere, ist das doch bei Stream on genau so.

Stream on, da gab's ja, wir haben uns damals diesen Bogen angeschaut, da kannst du mit IP-Adressen, da musst du aber auch. Zum Beispiel die äh Servername Identify. Also du musst auch die Domainnamen und so nennen, weil grade weil es eben nicht so einfach nur auf IP-Adressenebene geht.

Ja gut, aber das ist sozusagen so eine Vorschrift, aber ähm in dem Moment, wo der Traffic komplett verschlüsselt ist, wie kann denn dann das normale DPI überhaupt noch greifen?

Weil du beim äh zumindest bei älteren TLS-Versionen trotzdem noch liegst, zu welcher Domain du dich verbindest. Also eine. Eine IP mit mehreren Domains, ja? Muss ja beim zu Beginn des Herstellens der der des TLS Tunnels musst du ja trotzdem sagen, Domain du gerade reden möchtest, damit dir der Server das richtige Zertifikat präsentiert.

Bevor es dann verschlüsselt ist alles.

Bevor dann der tatsächliche Kontext hergestellt wird.

Das ist das, was jetzt Dennis meinte mit Lea fünf äh.

Nee, mit SNI.

Ja gut, aber dann äh frage ich mich, wie das jetzt bei diesem Provider, den der da bezogen hat, äh.

Na das erklärt er nicht, weil er nicht möchte, dass man das nachmacht, aber was ich glaube, ist, dass sich einfach ein, äh dass er sich einfach einen Service gebaut hat, der sich als ein der sich in seinem SSL-Zertifikat als ein Service ausgibt, seine eigene Büchse so manipuliert hat, dass sie dieses Zertifikat einfach akzeptiert und dann der Provider gedacht hat, ach super, hier können wir Zero Raten ist in Ordnung so ungefähr klingt das, was Dennis da beschreibt. Und das war überhaupt nicht auf IP-Ebene, sondern eben auf der, TLS-Ebene und damit eben auf Layer fünf aufwärts. Und damit heißt das, die haben das Zero-Rating bei diesem Provider, den er beschreibt, nur, anhand von gemacht und überhaupt nicht anhand von IP-Adressen.

Ja, was schließen wir da jetzt draus? Also.

Nö, daraus schließen wir, dass dass sie Recht haben, dass äh dass es schwierig wird, ähm weil also gerade bei einer, wenn du eine Domain ähm, Also eine zu listen oder eine eine Top-Level Domain dot go oder so was White zu listen. Wer noch schwieriger, weil die Information steht ja dann im DNS und die IPA, das ist eben eine andere. Jut ähm und deswegen geht's nicht ohne die haben die beiden vollkommen recht. So, dann haben wir äh auch noch zum Gespräch mit Thomas. Thomas hat beiläufig gesagt, Traffic kostet nichts. Und da beschwert sich Richard mit starken Worten. Zu sagen, dass Datenvolumen den Provider nichts kostet, finde ich verwerflich, weil sträflich naiv. Und im weiteren Verlauf sagt er, es geht darum, die riesigen Investments für Hardware und Funkbänder zurückzuverdienen, deinem Argument müsste zum Beispiel auch jede Lizenz für eine Software gratis sein, weil die wurde ja auch irgendwann programmiert und, jetzt wo sie fertig ist, kostet die Soft die Lizenz den Hersteller nichts mehr. Das ist eine grobe Verzerrung, und das geht so nicht. Ja, jein, Richard Jein. Ähm richtig ist, Der teure Teil des Mobilfunknetzbaus ist der Bau des Mobilfunknetzes. Das Datenvolumen, was dann dadrüber geht, macht an den Kosten nur noch einen geringen Teil aus. Quasi keinen. Ähm im Vergleich zu, ne, was was jetzt, was weiß ich, anmiete, bezahlst für den Funkmast und an Anwälten, um irgendwie die die Waves in Kleßen-Görne irgendwie vor Gericht niederzuringen oder was auch immer, ne?

Aber durch die Daten selber entstehen jetzt unmittelbar äh erstmal keine Kosten.

Der Punkt, den Thomas machen wollte, ist, ob das Mobilfunknetz jetzt grade unter voller Last läuft oder im Leerlauf, ist quasi, winzig geringer Teil deiner Kosten. Und der Vergleich mit der Software, den du da bringst, der falsche, der stimmt so nicht, wie du ihn gemacht hast, weil der Vergleich ist Ähm das wäre eine Software, bei der man dann für die Nutzungszeit bezahlt. Also wenn du jetzt beispielsweise Photoshop dir holen würdest, ja? Photoshop kriegst du zu einer Flatrate, Nämlich, was, ich glaube, zehn Euro oder sowas im Monat, kostet dich die Lizenz von Photoshop. Und es macht dann keinen Unterschied, ob du acht Stunden am Tag photoshop nutzt oder es nicht nutzt, Insofern ist genau der der Vergleich, den du bringst mit der Software, ist genau der Zutreffende hier für dieses Datenvolumen, ja? Also da muss ich deinen Vergleich leider äh am hinken, hindern und ihm ein Bein stellen, Ähm und das ist, war hier Thomas Punkt und ähm ein sehr guter Freund von mir, der im Telekommunikationsbereich arbeitet und mit mir auch schon gearbeitet hat, sagte immer ähm. Telefonnetze sind so teuer, weil es so kompliziert ist, Rechnungen dafür zu schreiben Und das ist ein ähm sehr schöner Punkt, den ich immer äh mir immer wieder in in Erinnerung rufe. Es ist unglaublich mit unglaublichem Aufwand verbunden Den ganzen Mist abzurechnen, ja? Weil du hast diese Netze funktionieren ja einfach erstmal. Ja, die das funktioniert. Das sind ein paar Regeln und ein paar Konfigurationen, dann funktioniert dein Netz. Und jetzt quasi da was dran zu pflanzen, was dem wieder, im Prinzip Telemetrieinformationen entnimmt und sagt, ah, jetzt müssen wir dir aber, acht Euro mehr und du darfst nur noch ein Gigabyte oder so. Das kostet ein Schweinegeld. Und das könntest du quasi alles sparen, indem du sagst, Leute, macht einfach. Ne? Und die These ist. Dass es im Zweifelsfall günstiger wäre, wenn du den ganzen billigen Kram einfach weglassen würdest und ähm keine Nutzungsbasierten Abrechnungen mehr machst. Das ist die These. So, auf der anderen Seite steht natürlich die, Internetprovider möchten in irgendeiner Form 'ne faire oder eine Preisgestaltung haben und die wollen natürlich sagen, okay, wer mehr davon nutzt, bezahlt mehr. An denen wollen wir mehr verdienen, für die haben wir auch mehr Netz gebaut. Ja, also es gibt natürlich eine Korrelation zu, was weiß ich den Leuten, die das Ding den ganzen Tag, Benutzen, für die musst du halt auch irgendwann mal LTE gebaut werden. Ähm und für die, die es nicht nutzen, hätte man LTE nicht gebaut. Insofern stimmt das schon, aber. Ähm ich denke, ökonomisch ist der Punkt, zumindest erstmal richtig, dass dich Traffic am Ende kaum etwas kostet. Jetzt gibt's natürlich einen Unterschied. Das kommt darauf an, wer du bist. Weil ähm wenn du einer der großen. Internetanbieter bist, ich nehme jetzt als Beispiel einen großen Mobilfunkanbieter in Deutschland, völlig egal, der kann natürlich mit der Masse seiner Kundinnen und Kunden ganz anders an andere Peeringpartner herantreten. Als irgendein kleiner Internetprovider. Denn tatsächlich, ja, die bezahlen sich äh die die rechnen auch untereinander ab. Der, ich glaube, es war sogar mit der gleichen Richtlinie, mit der Netzneutralitätsrichtlinie, wurde aber der Verrechnungspreis für EU-Roaming festgelegt. Das hatten wir hier auch damals ähm besprochen, dass Das ist quasi ein Gigabyte Preis gibt von was weiß ich. EU-Land zum anderen EU-Land. Das heißt, das kostet dann tatsächlich, also Roaming kostet in wirklich aber. Der Grund, warum das kostet, ist wieder, dass einige Interesse daran haben, das es kostet, nämlich die Länder, wo viele in den Urlaub hinfahren, Ja, also ist ähm das ist hier der der Punkt, quasi diejenigen, die viel anbieten, wollen natürlich dann auch irgendwie dafür wieder Rechnungen stellen. Gleichzeitig diejenigen, die weniger Kunden haben, kriegen müssen aber dann diese Preise bezahlen. Das heißt, du hast hier zwar ein Abrechnungswesen, aber das ist wieder nur zum Vorteil der großen und zum Nachteil der Kleinen. Ja, also meinst ja nicht, dass irgend irgendjemand zur deutschen Telekom sagen kann und sagt, pass mal auf, wenn ihr in unsere Netze irgendwie schnell ruhten wollt und wir hier am Detexperi und dann müsst ihr uns aber so und so viel Geld dafür geben für die fünfhundert Leute, die unsere Webseite aussuchen. Da sagt die Deutsche Deko, als kleiner, finden wir die eben nicht oder gehen die halt über über irgendeinen über den billigsten Weg an. Also ganz so einfach ist es nicht und würde man das einfach alles weglassen, glaube ich, tatsächlich, könnte es sogar sein, dass man am Ende, Ähm profitabler arbeitet. Und das ist, denke ich, der Punkt, den Thomas hier, machen wollte, gleichzeitig klar, wenn Leute mehr Datenvolumen nutzen, müssen auch bessere Netze gebaut werden. Die müssen aber ohnehin gebaut werden.

Ja und die Abrechnungen zwischen verschiedenen Providern, also die sich sozusagen gegenseitig ihr Datenvolumen schicken. Das rechnet sich ja auch gegen. Also, was so in die eine Richtung schickst und was in die andere Richtung geht und dann wird dann am Ende nur irgendwie so einen Überhang letzten Endes bezahlt. Zumindest mein letzter äh Stand dabei. Ich meine, diese Vision, dass ähm, man einfach das Netz so wie es ist, zur Verfügung stellt, sowohl ich meine das ist ja natürlich nicht so, dass jetzt keine, nach Investitionen erforderlich werden. Klar, der Bedarf steigt insgesamt. Leute, nutzen das immer mehr, dass es eben dann die die Pflege des Netzes, dass du deine Kapazitäten weiter bauen muss so und das wird dann aber eben getragen durch die Zahlung von allen, ne? Also Ja, es ist vielleicht ein etwas schlechter Vergleich so, aber beim Gesundheitssystem, da zahlen dann irgendwie auch alle, irgendwie so ein bisschen ein und manche brauchen halt mal mehr davon und die meisten halt nicht und passt auch.

Ja und alle vierzehn Tage kommt einer von der von der CDU CSU und sagt äh die Kranken sollen jetzt mehr zahlen, weil die das System mehr belasten. Oder die Alten oder was auch immer, ne.

Die Raucher alle, genau.

Auch äh äh ja. Ähm.

Wir brauchen ein solidarisches Netzwerk.

Also das das war zumindest die These, die Thomas hier gemacht hat. Ich glaube, haben wir dann jetzt auch ganz gut erklärt. So, dann über das andere Thema, da wo es, wo sich eine interessante Diskussion entfaltet hat, war dieser AMS-Algorithmus, da haben wir viel Feedback und viele Kommentare zu. Ich habe die mal ähm in den Shownotes verlinkt. Und zwar geht es da prinzipiell, hauptsächlich ein bisschen darum, ne, klar der Computer trifft eine anhand der Daten, die ihm zur Verfügung stehen ähm. Eine Entscheidung anhand der Daten, die ihnen zur Verfügung stehen und die trifft er im Prinzip eindeutig und reproduzierbar. Menschen haben potenziell in die eine oder in die andere Richtung, Ja, also was weiß ich, da kommen dann ihre Vorurteile in positiver und negativer Art zum Tragen, und da wird auch meine Ausnahme gemacht für eine junge, hübsche Frau und äh auch mal gerne der äh Weg, des des Pflicht der Pflicht gegangen, wenn die Person männlich ist und die falsche Hautfarbe hat. Oder, oder, oder, ne? Diese Aspekte spielen natürlich da auch mit rein. Und da entfaltet sich eine interessante Diskussion darüber, ob das nur gut ist oder, nicht. Ähm ein weiterer Punkt, über den wir gesprochen hatten, war dieser diese sehr unglaubliche Zahl von dreißigtausend Verdachtsfällen im Bereich des dokumentierten Kindesmissbrauchs, wo ich auch schon sagte, das kann irgendwie alles nicht sein, aber, Es war der Justizminister von NRW, Peter Biesenbach von der CDU, der mehrfach betont hatte, Ich wiederhole dreißigtausend eine ungeheure Menge an Gleichgesinnten, ein ein die einschlägiges Bild und Videomaterial anbieten und konsumieren. So der Justizminister Peter Biesenbach von NRW sehr eindeutig. Allerdings ähm das war Unsinn ähm und es handelte sich nicht, um dreißigtausend Tatverdächtige, sondern um dreißigtausend Datenspuren wie IP-Adressen. Ja, es kann also sein, dass ein Täter mit mehreren Geräten oder IP-Adressen operiert hat und Tatsächlich, ne, wenn du jetzt irgendwie davon ausgehst, dass sich die IP-Adresse deiner Heimanschlüsse, glaube ich, alle vierundzwanzig Stunden ändert. Beim Mobiltelefon weiß ich's nicht so genau. Ich glaube, äh die werden aber wahrscheinlich auch äh genattet Ähm in den meisten Fällen ich weiß nicht, wie das mit den V sechs Adressen ist. Ähm insofern diese dreißigtausend, wenn man da jetzt noch den Zeitraum dazu nimmt, dann kannst du im Zweifelsfall mal, durch die durch die Anzahlen und dann wahrscheinlich nochmal durch zwei, ja? Und entsprechend wurden bislang, Seit Oktober bundesweit zweiundsiebzig, Verdächtige und es kommt jetzt wirklich tatsächlich darauf an, ne, wie viele Alpi-Adressen du hast, um daraus abzuleiten, wie viele Menschen sich da tatsächlich hinter verbergen.

Dreißigtausendzweiundsiebzig, ich bitte dich, das sind doch alles nur Größenordnungen.

Es sind bürgerliche Kategorien. So, dann will ich noch kurz äh zwei Updates machen zur äh Themen, die wir behandelt haben. Und zwar hatten wir hier eine schöne Folge. Über das Patientendatenschutzgesetz mit, Zebro und Martin und Martin war dann auch vor einigen Wochen nochmal als Sachverständiger, Vertreter des Chaos Computerclubs in den. Gesundheitsausschuss wahrscheinlich, ne? Ja, am Ende. In den äh zumindest in den Ausschuss, der diesen Gesetzesentwurf diskutiert hat. Ich meine, das war der Gesundheitsausschuss. Äh geladen über äh ich glaube oder irgendwie so ein Ding. War ganz äh schön, wenn du den Stream angeschaut, also ähm, saßen sie da alle in ihren Wohnzimmern oder in ihren Arbeitszimmern haben sich zu Wort gemeldet und Martin hat äh dann nochmal ein bisschen zurückgemeldet, als er sagt, Erstens, dass Patientendatenschutzgesetz wurde jetzt verabschiedet und zwar mit einem Änderungsantrag der Koalition. Der ziemlich klar auf Stellungnahme eingeht, die der Martin da für den Chaoscomputerclub eingebracht hat. Und jetzt sollen also die Gesundheitskarten, also die, die Patientinnen und Patienten oder die Versicherten bekommen, Künftig persönlich übergeben oder per Postzustellauftrag ohne Ersatzzustellung oder Niederlegung, zugestellt werden. Das heißt, an der Haustür gegen Vorzeigen eines Ausweis, Dokumentes, um sicherzustellen, dass sie direkt in den Besitz der Versicherten gehen. Ähm und das ist quasi eine ein Ergebnis, Name von Martin. Wir erinnern uns, Martin und Zebro hatten ja beim Congress diesen, diese Schwachstellen vorgeführt, in der sie Patientenkarten, aber auch Heilberufe, Ausweiskarten, quasi also Praxiskarten sich im Prinzip anretäre Adressen haben liefern können. Jetzt gibt es ähm. Natürlich immer noch kleinere Schwächen, es gibt ein paar Kann-Regelungen, die werden natürlich von den Krankenkassen stets als äh könnte äh interpre, interpretiert. Dann sagt er, beim Postzustellauftrag, der passt zu schnell auftragt, kann keine Identifikation mit einer echten Ausweisprüfung ersetzen, deswegen ist Post-Ident auch sehr viel teurer als im Postzustellauftrag, weil nämlich beim Postzustellauftrag nur Vor- und Nachname als Identitätsatribut abgeglichen, aber nicht das Geburtsdatum und das Foto. So, aber ne, das sind ja jetzt eher Kleinigkeiten. Ich denke, hier diese, Zustellungsmöglichkeiten sind jetzt auf jeden Fall um einiges verbessert worden. Jetzt sagt Martin aber und das ist natürlich ein wichtiger Punkt. Mir scheint der Post zu schnell Auftrag ziemlich undurchführbar in der Praxis, da die Empfängerin zu Hause anwesend sein muss. Ein paar Tage Urlaub äh alle fünf Jahre zur, Entgegennahme der neuen äh elektronischen Gesundheitskarte ist völlig realitätsfern. Daher wird im Zweifelsfall dann die sichere persönliche Übergabe, zum Beispiel an der Filiale wohl die Regel wert. Ähm und jetzt sagt er, jetzt ist natürlich auch zu erwarten, dass die Ausgabe der viel sicherheitskritischeren Praxisausweise daran angepasst wird. Die wollen aber jetzt nicht in diesem Gesetz geregelt. Das kommt dann noch. Die zweite Forderung war die Streichung der Ausnahmeregelung, wonach äh gegen Krankenkassen keine DSGVO Bußgelder verhängt werden können. Äh, Wurde nicht übernommen, aber immerhin hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg jetzt in dieser Woche erstmalig eine, nämlich die AOK als Wirtschaftsunternehmen eingeprüft und mit einem DSGVO Bußgeld von eins Komma zwei Millionen Euro belegt. Weil sie unzureichende Informationssicherheit nach Artikel zweiunddreißig DSGVO haben walten lassen. Ja, Martin schreibt als Kommentar, Der Einsatz ist hat sich allein deswegen schon gelohnt. Also wenn ihr demnächst mit eure neue Gesundheitskarte haben wollt und äh bei der Post in der Schlange steht, mit eurem Ausweis, dank Martin.

Da muss ich jetzt nochmal kurz nachfragen, weil da waren mir jetzt so viele äh Degationen hintereinander, äh die Forderung nach der Streichung der Ausnahmeregelung, wonach gegen Krankenkasse keine Bußgelder verhängt werden können, hat keinen Eingang ins Gesetz gefunden. Können wir das mal irgendwie ohne dreifache.

War das Krankenkassen, der es ohne Diskussion. Den DSGVO, DSGVO, Bußgelder bezahlen müssen, wenn sie Datenschutz verletzen oder ähm mangelnde Informationssicherheit haben. Weil es in diesem Gesetz eine Ausnahmeregelung dafür gibt.

Und das gibt es auch nach wie vor.

Diese Ausnahmeregelung ist drin geblieben.

Okay, gut, dann habe ich's.

Und die Argumentation ist natürlich, weißt du, wenn wenn du so eine DSGVO machst, dann machst du die ja damit die damit die äh Leuten Sorge macht, damit sie ordentliche Informationssicherheit äh, Informationssicherheit und ordentlichen Datenschutz umsetzen. Und ausgerechnet da wo die kritischen und sensibelsten Daten verarbeitet werden, machst du das dann nicht. Ne, das ist natürlich schon sehr überraschend. Also keine Ahnung, irgendein. Open Table, Restaurant, Reservierungssystem fällt dann unter die DSGVO und deine Krankenkasse, die irgendwie die höchstsensiblen Daten von dir hatten, nicht. Das ist natürlich ein bisschen komisch.

Ja, in der Tat. Also ich meine, es gibt ja, wenn ich das richtig sehe, klingt ja jetzt erst mal so ein bisschen illegal hier europäische Richtlinie oder Grundverordnung, äh einfach aussetzen, aber es gibt ja so eine Ausnahme, glaube ich, in der, GVO, dass Staaten das tun können. Ich glaube, das hatten wir auch schon mal mit Österreich. Äh das ähm Die Region, das äh auf bestimmte Bereiche anwenden wollte, halte ich allerdings auch wirklich für absolut, unangemessen, also gerade da, wo mit so sensiblen Daten gearbeitet wird, genau da jetzt die Strafen rauszunehmen, das arbeite ich Quatsch.

Absolut. Dann gibt es ein Update vom OTF, dem Open Tak. Wir hatten ja ähm hier darüber gesprochen, was da das da jetzt der wirklich Beispiellose Angriff der Trump-Administration. Gegen diesen ähm, die sehr Stiftungsfonds ähm eingeleiert wurde. Stiftung ist natürlich nicht der richtige Begriff Begriff. Es ist ja ein eine Regierungsfond, aber ähm wird eben in dieser Form einem, Zwecke zugeführt. Ähm der neue CEO des äh wie hieß das immer, U United States? Social Media Service oder wie auch immer. Also der dem der da quasi über drüber liegt, hatte ja den CEO-Präsident und der Sport of Directors vom OTF einfach mal geschafft.

Global Media US.

Global Media genau. Und dann hat der quasi ein Emergency-Relief, äh vor Gericht beantragt, also quasi Notfallregelung, um das irgendwie zu verhindern. Ähm, Das hat die Richterin ihn nicht zugestanden, aber sie sagt, dass es hier äh wichtige Aspekte der Unabhängigkeit des OTF angegriffen werden und in einem, hoffen sie da jetzt, dass weiter klären zu können. Also die wehren sich quasi mittels Gerichten dagegen. Ähm. Außerdem, also sie der OTF geht davon aus, dass der äh Mister Pack eben nicht das tun darf, was er da tut. Ähm und, leider bleibt damit die Möglichkeit des OTFs in Zukunft weiter zu arbeiten. Quasi unsicher, denn ähm das äh ESAGM hat den. Quasi auch die Gelder eingefroren, die sie schon ähm per ähm also die sie schon quasi per.

Zugesagt haben.

Zugesagt hatten, also wurden ihnen zugesagt und hatten sie anderen zugesagt, diese Gelder wurden jetzt äh also dieser, Diese Blockade wurde aufgelöst, das heißt, die Gelder, die ihnen quasi zum, schon zugestanden wurden, haben sie jetzt auch, können sie auch austeilen, ja, das sind ja auch laufende Projekte, aber die haben trotzdem noch, ungefähr die Hälfte des Geldes für zwanzig zwanzig halten die noch zurück. Und obwohl die quasi schon vom Kongress ihnen zugestanden wurden. Und das bedeutet jetzt für den, dass sie sagen, naja, wir wollen eigentlich keine eingehen. Wenn wir nicht wissen, ob wir dieses Geld bekommen mit anderen Worten, wir sind jetzt halt äh gelähmt. Sobald wir wissen, dieses Geld uns auch gegeben wird, dann geben wir das auch aus, aber im Moment können wir hier keine Versprechen machen. Das ist also nach wie vor eine, sehr unschöne Situation. Ich behandle das ja hier insbesondere auch deshalb, um mal zu sehen, so wie schnell das dann halt passiert, wenn man irgendwelche Gangster. In die Regierung holt, dass sie dann eben dir deine schönen Sachen kaputt machen, ne. Insofern die. Wenn ihr die Möglichkeiten habt, an verschiedenen Stellen euch dafür zu stärken Von politischer Seite, also sei es von Seiten der EU, sei es von Seiten der Landesregierung, seitens von Seiten der Bundesregierung, sei es von mir aus auch von Seiten, von Stiftungen oder Unternehmen, die Geld spenden wollen, in diesem Bereich zu investieren, irgendwo in Europa ähm, und irgendwo wo's unabhängig ist und sich den Fängen von Trump, AFD und ihresgleichen entzieht, dann äh wäre das gut, äh das zu tun. Okay, das waren jetzt, da waren quasi jetzt ja nur die Updates zu den zu den vergangenen Themen. Kommen wir mal zu dem.

Neuen Kram.

Neuen, neuen, schlechten Nachrichten.

Genau die aktuelle Dystopie da ist wieder einiges zu holen.

Ja, wir haben uns viel darüber unterhalten, ne, oder in den letzten Jahren und Monaten über diese ganze Geschichte mit den Staatstrianern. Und. Ihr wisst, soll ja bald wieder ein neues Gesetz entschieden werden, was dann den das Recht zur Infektion von Geräten auch den Geheimdiensten geben soll. Und. Was hier immer noch natürlich das Problem ist, wie kommt denn diese Schadsoftware auf das Gerät? Wir haben's hier hunderttausend Mal besprochen. Das Gerät braucht eine Schwachstelle, die Schwachstelle muss ausgenutzt werden. Und ähm die Schwachstelle sollte nach unserem nach unserer Überzeugung ähm eigentlich. Entfernt werden, ja? Und nicht einfach bestehen lassen auf den Geräten von potenziell vielen Nutzerinnen und Nutzern. Damit diese nicht auch von anderen gehackt werden. Diese Diskussion haben wir hier oft genug rauf und runter diskutiert. Jetzt findet sich in dem aktuellen Gesetzentwurf ein sehr interessanter, eine sehr interessante Formulierung. Die nämlich im Prinzip das Umleiten von Traffic zum Zwecke der. Infektion ermöglichen soll. Also die Installation von Staatsrehanern. Soll von den Providern, Durch Unterstützung bei der Umleitung von Telekommunikation ermöglicht werden. So, klingt erstmal komisch, ich erkläre das mal. Nehmen wir mal an, es gäbe eine Schwachstelle in eurem, Browser, die sich ausnutzen lässt, indem ein bestimmtes Java Skript, mit diesem Browser aufgerufen werden muss. Dann ist die nächste Aufgabe, die ich als Angreiferin habe, dafür zu sorgen, dass ihr mit eurem Browser eine Seite ladet, in der euch dieses Java Skript. Angezeigt wird. Ja, wenn ihr aber jetzt ein Surfverhalten habt, dass ihr, was weiß ich, nicht regelmäßig die Webseite des. Verfassungsschutzes besucht oder andere Webseiten, die ich als Angreifer kontrolliere, dann gelingt mir das nicht. Ja, also ich muss, ich müsste euch dann, was weiß ich, zum Beispiel, eine E-Mail schicken und sagen, klickt mal diesen Link oder, oder, oder, ne, es gibt noch andere Möglichkeiten, vielleicht versuchen Werbung zu schalten, dann hätte ich aber direkt wieder so einen Streuangriff auf sehr viele Leute. Eine Möglichkeit, das zu tun, wäre aber zu sagen, okay, pass mal auf, wenn diese Person, dieser Anschluss. Ähm HTTP-Seiten aufruft, Also unverschlüsselte äh Webverbindungen, dann leitet das mal um durch unseren Infection Proxy, Also ein ein quasi ein Proxiserver, der der dazwischen steht und sagt, alles klar, ich schreibe zum Beispiel in irgendwelche Seiten, die du aufrufst, dieses Java-Skript einfach rein, oder ich leite dich um auf eine andere Seite, wo dieses Java Skript dann kommt. Ja? Noch schöner. Und vielleicht als Beispiel noch viel einfacher, umzusetzen ist, eure Computer machen regelmäßig Updates. Also, was weiß ich, startest irgendeine Software, sagt die Software, ist ein Update da. Willst du updaten? Sagst du, ja. Und dann installierst du das Update. In der Regel werden diese Updates über. Das Internet heruntergeladen, ja klar, wo soll's auch sonst herkommen? Dabei kommt entweder HTTP oder HTP, S zum Einsatz. Äh inzwischen zum Glück viel mehr HTTPS. Noch vor einigen Jahren war das totaler Standard, dass diese Downloads einfach über HTTP gingen. Der Hintergrund dafür war, dass man. Potenziell diese Updates ja auf einmal sehr vielen Nutzerinnen zur Verfügung stellt und wenn die dann alle runterladen, hält man die Last auf dem Server geringer, wenn man einfach kein SSL macht. Er kein TLS macht. So, das hat eine sehr unangenehme Eigen. Weil ich quasi, wenn ich einen solchen, Praxiserver habe und deinen Traffic umleiten kann. Ich zum Beispiel sagen kann, statt deines neuen Updates für den VLC-Player oder was auch immer, kriegst du jetzt einen infizierten VLC-Player. Und das ist natürlich eine der elegantesten Methoden. Der Schadsoftware-Infektion. Unter der Voraussetzung, dass du, ein Betriebssystem verwendest, wo jetzt nicht weiter noch irgendeine Signaturprüfung stattfindet, ähm oder tue auf anderem Wege sicherstellst, die Software wirklich aus der Quelle zu bekommen, ähm die du haben möchtest. Leider, wenn du es aber hier mit einer staatlichen Stelle zu tun hast, sollte es am Ende wahrscheinlich auch nicht so schwer sein, dass sie dir tatsächlich einfach signierte Myware unterschieben und von mir aus auch äh TLS-Verbindungen bösartig umleiten. Das ist schon ein ganz schönes, ganz schön hartes Stück, weil also, Deutsche Telekom, ich nehme die jetzt als Beispiel, ne, wenn die dazu verpflichtet würde, die operieren ja auch eine Rot CA in in anderen Worten, mit anderen Worten, könntest du die dann auch, wenn du sagst, du bist gesetzlich äh verpflichtet, die Umleitung zu ermöglichen, dann kann man auch sagen, da machst du auch direkt noch ein Zertifikat dafür. Und dann hast du echt äh ein Problem. Also, oder wir oder die Gesellschaft.

Ja und dann war's das mal mit der Integrität deiner äh deiner Systeme. Mich erinnert das übrigens auch gerade an äh nochmal an dieses Snowden Revolutions, unter anderem gab's ja dann auch die Dokumentation der Praxis, dass so Pakete, äh Bestellungen über Amazon, äh wo Leute sich dann so Switches und Router bestellt haben, teilweise von den ähm weiß nicht ob das jetzt NSA.

Dieses Special Operations, ne? CIA, Special Operation.

Irgendwie so was. Also auf jeden Fall die Dienste, TM, die haben dann äh dieses Paket abgefangen, sich den Rauter äh genommen und entweder durch ein anderes Modell ersetzt oder an diesem Gerät noch Modifikationen vorgenommen, sprich die aktualisiert und das Teil, was dann halt tatsächlich zugestellt bekommen hast, das war dann quasi schon infiziert. Und das ist jetzt quasi die Online-Version davon, Ne, dass also jeder, jeder Download potentiell eben dazu verwendet werden kann. Und das ist ja, das ist das ist eben, Klar, es wird jetzt immer mehr harte DPS äh äh verwendet et cetera. Letzten Krypt hat da eine ganze Menge dazu beigetragen, das mindert so ein bisschen die Wahrscheinlichkeit, aber es kann ja im Prinzip für für richtige Malwehr reicht eigentlich so, alles irgendwie so ein bisschen aus, was irgendwie mal einmal kurz nicht verschlüsselt ist. Da gibt's immer mal was und mit größerem Aufwand kann man dann eben auch noch diese Verschlüsselung, auch noch äh imitieren, wie du das schon gerade angedeutet hast, dem halt diese ganze Zertifikatswesen ausgebremst wird und das ist ja, einfach mal nichts anderes als eine totale Attacke auf einen, selbst, also damit wird ja wirklich jeder Schutzmechanismus komplett äh ausgehebelt oder beziehungsweise wird ein Regime erschaffen, auf dem es, wenn es im Einzelfall technisch möglich ist, dann eben auch automatisch ermöglicht wird.

Und wo äh dann auch das Fundament, also einer der Aspekte, auf die wir vertrauen, ne, ähm ist, dass die Internetprovider uns, Internet Providen und dass die keinen Heckmeck machen. Das ist eines der, also das, das ist Infrastruktur, ne, die hat bisher eigentlich das gehört sich nicht die anzugreifen und wir gehen davon aus, dass wir denen vertrauen können, ne? Es gibt also, Es gibt ja eine ganze Reihe an auch äh ja esoterischen, Sicherheitsvorstellungen, die Leute pflegen, ne? Eine davon ist, was weiß ich, wenn ich im unverschlüsselten Wifi bin, ist es irgendwie gefährlicher, als wenn ich äh in einem in meinem Wifi zu Hause bin, ja? Kommt natürlich immer ganz darauf an, aber für um mal den Vergleich zu machen, das hieße, das Internet wird zu einem potenziell unsicheren Wifi. Und der Staat kann die Infrastruktur, in ihren fundamentalen Zusammenhängen umbiegen. Der Staat ist ein Machine in the mittel, Ähm wir haben hier vor, ich glaube, war auch letztes Jahr äh noch diese Fälle diskutiert, wo irgendwelche komischen Länder dann auf einmal Ruth C As äh kompromittieren und so, ne. Also das ist das ist wirklich, richtig gefährlich und ein ein riesen Problem, weil ich äh zitiere da. Gerne den, der im Prinzip sagt, oder das Argument gebracht hat so, weißt du, in diesem ganzen Cyber-Work und wat da alles stattfindet, ne, diejenigen, die die Infrastruktur bereitstellen oder die die Dienste bereitstellen, die sollten im Prinzip, sowie nach den Genfer Konventionen irgendwie wie so Sanitäterinnen und Sanitäter betrachtet werden, ne? Dass du sagst, so die brauchen wir. Und die greifen wir nicht an. Erst recht nicht verpflichten wir die äh äh und erst recht bewaffnen wir die nicht. Ne, das wäre jetzt also du kannst im Prinzip sagen, hier werden halt Zivilistinnen äh mit eingebunden. Und bewaffnet, die aber eigentlich in einer Situation sind, in der alle ihnen vertrauen sollen, müssen und äh das quasi das das Grundvertrauen, ist. Und das halte ich tatsächlich für ein riesiges Problem, diese äh, Gesetzgebung und ich kann tatsächlich sagen, ich habe äh gestern, Hier nochmal äh einige Sachen umgebaut in meinem in meiner Routing-Infrastruktur, um irgendwie sicherzustellen, dass ich möglichst ähm. Dass er schwere, dass ähm mein Traffic irgendwo ähm ja, manipuliert wird, zumindest auf Seiten meines Internet Providers. Ausschließen kann ich's aber nicht, weil die können ja von von der anderen Seite kommen, ne, also Beispiel, wenn du jetzt sagst OK die sollen nicht bei mein Internet Provider sitzen dann können die aber immer noch auf der anderen Seite bei meinem Internet Provider sitzen wo ich dann wieder ankomme ne? Selbst wenn ich mir jetzt wenn ich jetzt mit irgendwelchen VPNs erstmal, aus der Europäischen Union rausklettern und dann wieder reinkomme. Irgendwann ist der Traffic ja trotzdem wieder da. Und das ist, denke ich, etwas, was man unter keinen Umständen. Erlauben sollte. Es gibt dort ein ähm also Andre hat das in seinem Artikel, Andre Meister, hat das in seinem Artikel auch nochmal verlinkt. Das ist auch das, was mir da Als erstes in den Sinn zukommt, eine Werbebroschüre von zweitausendelf von Finn Fischer, ja, also den. Äh dem Staatstrojaner Lieferanten, den unter anderem Thorsten und ich, analysiert haben, aber auch sehr viele andere, sehr viel früher. Ähm die bieten das quasi als fertige, an und haben so ein so ein Video davon, wo das auch erklärt wird, ne? Da stellst du das Ding heißt, Und das wird quasi beim ISP hingestellt, und dann gehst du quasi als BKA oder oder in dem Fall jetzt natürlich als Geheimdienst, ne, gehst du einfach nur noch hin und sagst, okay, die Kiste steht da, jetzt sagst du, alles klar, jetzt wird diese Zielperson, wird jetzt dadurch geroutet Und der prüft dann automatisch die ganze Zeit werden hier irgendwelche zum Beispiel. Excel-Dateien oder Executives runtergeladen und live patched, so die Beschreibung. Ich denke mal, ehrlich gesagt, der äh hält das eher einfach, hält quasi eine Schadsoftware-Variante von möglichen, ähm Zielen bereit, was weiß ich, häufig, häufig genutzte Software, wer da das naheliegende, ne? Und wenn er dann sieht, ach gibt mal wieder eine neue Version. In dem Video ist das dann iTunes, dann wird eben beim nächsten Update kriegst du halt den die Schadsoftware, mit deinem iTunes-Update runtergeladen. Und um quasi so etwas einzubauen, brauchst du ja immer nicht viel, ne? Du kannst quasi jede Schadsoftware mit ein bisschen Mühe in. Andere legitime Software reinpatchen. Deswegen ist äh infizieren sich ja auch so viele mit Schadsoftware, weil sie meinen fünf Euro für irgendeine Programmsparent zu müssen und stattdessen aus dubiosen Quellen eine gecrackte, Version mit einigen Sonderfunktionen herunterladen.

Sozusagen also man.

Wirklich übel. Das ist wirklich schlimm. Da sind auch also nur um das mal ähm der Bitcom ist dagegen, Eco ist dagegen, ne. Also die die Betroffenen Branchenverbände sind selber dagegen, weil sie sagen so, ey, das, geht an unser Vertrauensverhältnis mit den Kundinnen und Kunden. Und das ist wirklich ein Problem. Wir wollen nicht eure Hilfssheriffs werden. Und. Sie haben eine lange Liste mit den Zugangsanbietern, also im Internet Mobilfunkanschlüsse. Aber zum Beispiel auch Betreiber kommerzieller WLANs. Dann die Internetknoten, DKX, Backboard-Anbieter, Glasfaserbetreiber. Hosting Anbieter. Alle äh sollen quasi diesen dieser Mitwirkungspflicht unterliegen. Und das ist echt äh pfui ui ui. Das ist echt übel.

Also ich fand da im Vergleich so mit äh Vertrauenszerstörung auch ganz ganz treffend so, ne? Man stellt sich jetzt mal vor, man hätte jetzt beschlossen, so ja, wir müssen manchmal einfach was über Leute rausfinden, ähm wir heben dann halt einfach mal die ärztliche Schweigepflicht aus. Soweit kann ja sein, dass du da mal so eine Information mal gebrauchen können. Dann geht ja irgendwie keiner mehr zum Arzt. Also das.

Das mache ich aber nur bei den Bösen, ne? Ja.

Ach so, na dann. Das hatte ich jetzt vergessen.

Das ist also genau, ärztliche Schweigepflicht ist da auch nochmal ein echt guter Vergleich, ne? Die muss eben absolut sein.

Ja, aber sonst kannst du ja irgendwie niemanden mehr trauen.

Und ich kann dir aber sagen, was, also wenn sie das bekommen, ne, dann wird die Infektion mit Charts auf und das Verbreiten von Staatstrojanern echt easy? Dann wird das einfach, weil du, einfach so eine Menge an Traffic hast und so eine Menge auch an doch auch heute noch irgendwelchen unverschlüsselten Verbindungen, dass das echt schwierig ist, da noch für die äh Integrität der Software zu äh sorgen. Und sei es jetzt bei meinen Executives kriegt man noch hin, ne, beispielsweise ähm, die meisten Distributionen laden ja zum Beispiel ihre Softwarepakete auch einfach über HTTP, weil sie vorinstalliert quasi die Signing Keys haben. Das heißt schlimmstenfalls wenn die Software verändert ankommt dann merkt das System das, ne? Das ist eine ganz sinnvolle Möglichkeit, damit umzugehen. Und es ist natürlich so, dass dieses auch bei macOS und Windows jetzt zunehmend Einzug erhält, aber deswegen habe ich ja grade mal dieses Beispiel mit dem mit dem Java Scrip genommen. Das zeigt, dass tatsächlich nochmal, sehr, sehr gut das Problem. Insbesondere in einer Welt, in der sich jetzt eh alles in die Cloud bewegt, ne? Ähm werden vielleicht zukünftige, derartige Angriffe eh eher in Form von Java Skripten stattfinden als in Form von Code, der tatsächlich auf deiner Maschine ausgeführt wird.

Wir wir haben jetzt auch grade äh als Reaktion auf die Veröffentlichung der Corona-Warn-App ja auch gesehen, wie viele Leute es gibt die ganz stolz drauf sind, dass sie noch ein ganz altes Telefon verwenden und auf gar keinen Fall da auf neue Technik äh umsteigen wollen. Ja, das äh war teilweise schon etwas äh verstörend diese Diskussion Kann ich nur sagen, ja, ihr seid dann aber auch wirklich Open Game, also das ist äh genau das Ding. Bin halt einfach jeder beliebige Datenstrom mal eben im Umgang werden kann und dann gibt es halt irgendeinen was weiß ich, Sicherheitslücke bei irgendeiner alten Android-Version oder bei irgendeinem iPhone äh vier, was noch jemand in Betrieb so, dann ist das dann halt auch sehr schnell auszunutzen.

Ja, das ist also das ist echt ein, Das ist wirklich ein Problem, ne. Also und ich sehe das jetzt auch schon wirklich ehrlich gesagt hier in der äh in der Sommer im Sommerloch untergehen, ne? Und. Ja ich halte natürlich zum Glück die Möglichkeiten dagegen zu klagen, eigentlich relativ gut, aber. Allein die Idee, also die Idee ist so krass, ja und dann halt für Geheimdienste, nicht für Polizei, ne. Also nicht ein nicht nennenswerter Weise für Polizei, sondern direkt äh. Alle neunzehn Geheimdienste, die die Bundesregierung hat, soll diese Staat zueinander bekommen und es soll halt jetzt am nächsten Mittwoch auch schon beschlossen werden, das heißt.

Ach so, das ist gegen Terror. Na dann. Lehmus weiß ich gar nicht, warum du dich groß aufregst.

Ja, ich habe, äh du, ich habe hier wirklich gestern bis tief in die Nacht ähm Infrastruktur renoviert, ne? Und besser gemacht.

Was kann man denn da besser machen?

Ah, da gibt's immer äh Verbesserungsmöglichkeiten hier, ne.

Willst du uns an deinen Erfolgen nicht teilhaben lassen?

Ich mache jetzt, ich mache hier äh ich mache äh ja schon längere Zeit versuche ich ja. Zu vermeiden und äh und äh das äh kann man natürlich immer noch mal bessern.

Sterben.

Ja, das sind äh nicht so gute Nachrichten.

Aber es gibt auch schlechte Nachrichten aus anderen europäischen Staaten.

Ja. Ähm schöne Diskussion. Haben wir ja in letzter Zeit über diese Kontaktlisten. Also muss ich ja mal wirklich sagen, diese ganze Corona-Diskussion, ne. Ich finde das sowas von. Zum Heulen, über welche Themen da diskutiert wird und über welche Themen nicht. Du hast erst einerseits diese einfach wirklich völlig nicht ernstzunehmenden. Corona-App-Schwurbler, die sich irgendwelchen Unsinn dazu ausdenken und nur um irgendwie dagegen zu sein, weil sie schon immer dagegen waren. Du hast eine Diskussion über. Maskenpflicht, als wäre das jetzt die große Einschränkung unseres Lebens, dass man sich mal so eine blöden Mundschutz aufsetzt, wenn man mal einen Meter durchn durch durch den Biomarkt geht oder was, ne? Als wenn das jetzt die große Einschränkung wäre, ne? Großes Thema, ob man so eine blöde Maske aufziehen muss oder nicht, startet einfach mal zu machen. Ja? Und dann noch irgendwie das nächste worüber sie sich aufregen, ist dann. Dass man beim Restaurantbesuch ein Zettelchen ausfüllen muss mit seiner Adresse und dann sind sie auf einmal alle Datenschützer und beschweren sich bei Facebook, dass sie irgendeinen Zettel ausfüllen müssten im Restaurant. Als wäre das das große Problem. Und weil sie dann nämlich sagen, der Zettel ist so schlimm, halten sie sich dann für modern und sagen, was ich voll geil finde, kann man der halt nicht mit einer App machen, da brauchen wir dann auf einmal eine App. Ja, die Schweiz hat's gemacht. Wunderschön und hat eine, eine eine also da gibt's eine App, die heißt quasi und ich glaube, dass die, ich bin mir nicht ganz sicher, ob die nur für die diese Registrierung der Kundinnen und Kunden ist oder auch für Tischreservierungen, aber. Sie äh ich glaube hauptsächlich dient sie der Erfassung von Kontaktdaten, von Veranstaltungs- und Restaurantgästen, ja? Vorteil dieser App soll.

Es einfach eine Reservierungs-App generell für Restaurants.

Ist es auch, ja, dann haben sie das halt hinten dran gehackt. Dann haben sie das an ihre Reservierungs-App noch drangehackt, ja? Und, ne, die Idee, also die Vorteile einer solchen App, klar, du hast die muss nicht, hast keine Probleme mit der Schrift, ne? Du hast eine, du hast eine Speicherung an zentraler Stelle, hat natürlich bestimmten Komfort, die Nutzerinnen können sich eventuell, was weiß ich selber, schon da eintragen, bevor sie überhaupt dein Restaurant besuchen und so weiter. Welche alles gar nicht in Abrede stellen. Das Problem bei so einer App ist, dass du irgendwo eine Datenbank hast mit allen Restaurantbesucherinnen, ähm der letzten vierzehn Tage will man meinen. Will man meinen vierzehn Tage. Bei vierzehn Tage ja die Aufbewahrungspflicht ist. Die beste Lösung, die sich jemand für so etwas ausgedacht hat, ist folgende. Jeder Tisch oder jeder Besucherin kriegt irgendwie einen eigenen Zell, damit da nicht die Daten von den anderen schon draufstehen. Diese Zettel kommen am Ende des Tages in einen Umschlag auf den Umschlag, wird das Datum geschrieben und wenn der Umschlag vierzehn Tage alt ist, wird er beim Pizzaoffen mit ins Feuer geworfen. Ende der Geschichte. Aber nein, aber nein. Man kann doch eine Web-App machen. So, jetzt gibt's hier diese hat sich angeschaut der Joel Gunzen Rainer von Mot Zero. Jetzt hier kurzer äh Transparenzhinweis. Ist die Firma von Torsten oder unter anderem von Thorsten, führt er mit einem anderen Kollegen zusammen und mit der Firma arbeite ich auch regelmäßig zusammen, der sich mit Torsten regelmäßig zusammenarbeite, sieht man ja auch an unseren gemeinsamen Veröffentlichungen im CCC Bereich, gemeinsame Vorträge und so weiter. Also hier hat sich, Joel so eine äh App, der mal angeschaut for table dot com und festgestellt, die quasi also sobald du da ein Restaurant hast, kannst du dann eben deine Kundinnen anzeigen lassen und diese Kundin haben aber, im Prinzip fortlaufende Zahlen. Mit anderen Worten, du gehst einfach hin und sagst, ach, was ist denn Kunde fünf? Und findest dann einen Kunden von einem anderen Restaurant.

Sicherheitslücken aus den Neunzigern so.

Irgendwie so um die hunderttausende Datensätze daraus geholt. Also ging, waren da rauszuholen. Und, Alles, was du dafür brauchst, ist im Prinzip dich dort anzumelden als ähm als eigenes Restaurant und da mal zu sagen, jetzt, jetzt grasen wir mal die Restaurant, die die Kundinnen der anderen Restaurants ab. Und kriegst alle Restaurantbesuche der Schweiz. Für einen Zeitraum von, jetzt kommt's, länger als vierzehn Tagen, weil sie noch nicht einmal gelöscht haben, Ja, also die ältesten Daten, die sie dort äh rausgeholt haben, waren eben quasi seit Beginn dieser Funktionalität und nicht äh das Älteste vierzehn Tage. Also mit anderen Worten, dieses nicht nur haben die ja nur unsicher gespeichert, sondern auch noch zu lange. So, jetzt wisst ihr, warum man so etwas nicht digitaler haben möchte. Weil das dann schnell hingestrickt wird von irgendwelchen ähm. Leuten, die sich vielleicht nicht ganz im Klaren darüber sind, was sie da basteln, und ich denke tatsächlich, hier mit den ähm vierzehn Mittel mit der Verletzung dieser Speicherfrist. Ich kenne jetzt die rechtliche Situation in der Schweiz nicht so genau, aber ich glaube, wenn ich das richtig verstanden habe, gab es da eine Verordnung. Und in dieser Verordnung, das ist die Corona-Verordnung, da gibt es den Artikel fünf, Und da müssen sie das zwar erheben, aber da ist auch eine Löschung nach vierzehn Tagen vorgeschrieben. Das heißt, dagegen haben sie dann auch noch verstoßen. Herzlichen Glückwunsch.

Super, Fehlerkultur wie in den neunziger Jahren, für Web-Apps irgendwie. Ich meine, so dieses all dies durchzählen und so weiter, das sind so die Klassiker da, damit fing äh Security im Prinzip an Ne, das waren so die ersten, die ersten Dinge, die so richtig groß waren. Und ähm ja, ich kann mir schon vorstellen, wie das gelaufen ist. Da kommt dann so der Geschäftsführer irgendwie in die Entwicklerabteilung und sagt, ja, wir müssen jetzt hier irgendwie das mit den Kontaktlisten auch einbauen, hakt das mal rein und ähm vierundzwanzig Stunden später war's da.

Also hat das dann ähm gemeldet? Ich weiß nicht, am und haben sehr schnell, eine E-Mail vom Managingpartner der Lunchgate AG erhalten, die dieses Ding da hackt, also gebastelt hat und die teilten mit, sie hätten die Schwachstelle behoben, Kurz davor hatten sie das Ding dann auch sofort abgeschaltet. Also sie haben halbwegs ordentlich reagiert zu der Verletzung der vierzehn Tage Löschfrist haben sie sich aber nicht geäußert. Ja, Ich würde sagen, wenn wir schon bei ähm Corona-Face sind, dann können wir auch noch ganz kurz auf diesen äh Scam, eingehen. Ja, es gibt nämlich jetzt einen Corona-Warn-App-Scammer. Ich habe ja hier zur Veröffentlichung der der Corona-Warn-App gesagt. Dass ich davon ausgehe, dass sich irgendjemand nicht zu niedrig sein wird oder dass es irgendjemanden nicht zu niedrig sein wird, zu behaupten, er oder sie habe irgendetwas an dieser Corona-App gehackt. Und ich sollte Recht behalten, Tim. Ich habe mich ja zwischendurch schon gefragt, weil's jetzt die App gibt's jetzt bald einen Monat, habe ich gedacht, komisch, dass sich keiner die Blöße gibt, noch irgendeinen Scheiß darüber zu behaupten und vielleicht sogar noch einen finanziellen Vorteil daraus zu ziehen. War fast vorbei, die die Zeit, aber natürlich gibt's jemanden, der es tut und zwar ist es Peter Felsner. Das ist der stellvertretende Fraktionsvorsitzende der AfD. Was hat der gemacht? Nee, nee, nee, nee, nee, nee, das macht der quasi im Rahmen seiner äh privatwirtschaftlichen Tät.

Nein, nein, ich meine, Fraktion, welcher welcher Fraktion äh sitzt davor? Ja, äh im Bundestag.

Gehe ich von aus, ne? Sitzen die also.

Frage ich sie jetzt gerade, ob da irgendein Land.

So äh äh der kommt irgendwo aus Baden-Württemberg, insofern vielleicht sitzt der auch da unten irgendwo. Äh ich im Bundestag.

Im Bundestag sehe ich. Ja. Peter Felser.

So. Okay, ja, sorry, ich kenne diese ganzen.

Ich auch nicht, aber ich hab's nachgeschlagen. Peter Felser.

Pfälzer, Peter Felser. So, ähm als diese, also wir wissen, diese Corona-Warn-App sendet. Bluetooth Beekens. Und diese Biegens ändern sich regelmäßig und die werden auch von sich ändernden MAC-Adressen gesendet. Das dient dem Zweck, dass man nicht die Leute nachverfolgen kann, Da diese Bluetooth Beatens natürlich mit jeder Bluetooth-Hardware zu empfangen sind und es Bluetooth-Hardware sehr günstig gibt, hat sich schon mit der Veröffentlichung der App haben sich ja eine ganze Reihe an, sage ich mal findigen interessierten da dran gemacht, im Prinzip zu bauen. Du kannst dir für Android direkt auch einen runterladen, den gibt's quasi fertig, wo du wo du die gesamte Funktionalität schon hast. Der ist kostenlos und heißt Ramble, Ähm der da kannst du quasi sagen, okay, mach mal den Scanner. Du kannst auch filtern, quasi auf Messages vom Typ ähm, Content äh tracing notification oder Content tracing bieten. Und kannst damit quasi immer sehen, ach guck mal, da hat grade wieder jemand was gesendet. Kannst du im Prinzip hier, ne, dein Telefon hinlegen und kannst du gucken, was, was, was ist denn so, Bluetooth grade los. Das ist ja eine Eigenschaft von Funk ist ja, dass man Funk empfangen kann. So eine, so eine wahnsinnige Eigenschaft von Funk. Und deswegen, ja, ja, doch, kann man empfangen. Funk kann man empfangen. Und, und deswegen macht man ja verschlüsselt man ja entweder was man funkt, wie zum Beispiel euer WLAN oder in dem Fall, dass die Nachricht nicht verschlüsselt werden kann, äh und nicht verschlüsselt werden soll, wie bei diesem Corona-Warn-App. Dann ändert man einfach andauernd den Identifier, damit man dann nicht getrackt wird. Ende der Geschichte. Und jetzt haben eben, Diese Scanner Apps, die Leute so gebastelt haben. Frank hat sich Frank Rieger hat auch so ein kleines Ding gebaut mit so einem Stick irgendwie, der dir quasi immer anzeigt, wie viele Leute, wie viele Apps empfängt der gerade? Hm? Also der äh guckt sich einfach die Anzahl Biegens an, geht natürlich davon, also mittelt natürlich, weil die sich ja andauernd ändern. Und sage dir so, ah okay, so und so viele Leute benutzen hier die App und der hat dann so anfangs mal so Scherze gemacht, ähm irgendwie in der Nähe vom Biergarten mal einmal mit der Hand die Leute zählen und dann mit dem Scanner gucken, wie viele App bieten's eher so empfängt, um dann quasi damit mal so ein Mittel zu schätzen, wie viele Leute benutzen denn ungefähr die App? Hatte auch ganz gute Schätzungen, ne. Dann gab's ja diese anderen beiden, die hättest du, glaube ich, Weiß nicht, ob wir die hier behandelt hatten. Mit dem die mit Ramble mal durch die Stadt gefahren sind und einfach geguckt haben, wo häuft sich die Nutzung dieser App und haben dann quasi so eine Heatmap.

Genau, diese Heatmaps, das ist alles schon am ersten Tag gewesen, ich weiß nicht mal ganz genau, wo es war, Karlsruhe oder irgendwie sowas.

Die waren genau die, weil das nicht Osnabrück oder sowas.

Ich weiß nicht mehr, irgendeine irgendeine Stadt auf jeden Fall und sind einfach mal durch die Fußgängerzone gelaufen und haben einfach genau im Prinzip genau dasselbe gemacht. Also was was dieser Art.

Ich glaube, das war so, war das nicht sogar Bochum? Ich glaube, der eine von denen war in der an der Ruhr Uni Bochum oder.

Bochum. Ja, Bochum ist, glaube ich, richtig. Ähm ist auch letztlich egal.

Security Security Standort in Deutschland, ne, Ruhr Uni Bochum, bekannt für seine IT Security und so weiter, ne? Also Leute, die von dem Thema Ahnung haben, haben das am ersten Tag gemacht mit Bordmitteln, mit allen möglichen kleinsten Dingern. Und äh haben damit Spaß gehabt und haben das Ergebnis gehabt, yo die App funktioniert, wie sie es sagt, nämlich indem sie diese bieten, ist die ganze Zeit ändert. Wir finden kaum Fläche für eine für weitergehendes Tracking und Identifikation der Geräte, Kleiner Hinweis, es gibt äh eine Möglichkeit zu unterscheiden, ob der Big von einem Apple und oder von einem äh Android-Gerät gesendet wird, kann man kritisch sehen, ist auf jeden Fall eine Auffälligkeit, liegt aber dann eben an Apple und Google. Das heißt, der so ein Dashboard machen, wo du sagst, hier gibt's so und so viel iOS und so viel Android und so weiter, ne.

Ich glaube, das ist nicht, ich glaube, das ist nicht mehr so, wenn ich das richtig verfolgt habe, es war am Anfang so, weil Google da irgendein Bit gesetzt hat und äh das tun sie jetzt, glaube ich, nicht mehr. Mhm.

Also Leute, die echt Ahnung haben, machen das seit Tag eins und kommen zu dem Ergebnis, die App funktioniert wie versprochen, sie sehen keine weiteren Angriffsflächen als ähm gemeldet wurden, alles gut. Einen Monat später kommt dann dieser Peter Felser von der AfD, und stellt eine App in den Google Play Store. Ähm. Und sagt, das ist jetzt der Corona-Warnwarner oder sowas, ne.

App, die Späher App.

Also eine und kostet, EW eins fünfzig oder so was und hat dann so ein Video, in dem er irgendwie rumschrubbelt, ja hier kann man das sehen, wer die App nutzt. Wir spielen ihn jetzt zurück und ich bin mir nicht sicher, dass die sicher ist. Und ähm sagt dann irgendwie ja, wenn die Kohl äh das Geld geht erstmal zu Refinanzierung. Seiner seiner App-Entwicklung da und ähm ansonsten in die politischen Projekte mit anderen Worten. Kannst du dir ungefähr vorstellen, welche politischen Projekte die AfD so hat, ne? Ähm, Also, jetzt gibt's zwei Möglichkeiten, entweder der Typ hat fundamental absolut nicht verstanden, wie diese App funktioniert, und konnte dieses Unverständnis wie die App funktioniert aufrecht erhalten über den gesamten Zeitraum, dass irgendwelche Humpalumpers für ihn diese App gecodet haben. Oder aber der täuscht gezielt seine Wählerinnen und Kundinnen und bringt sie dabei auch noch um ihr Geld. Ist doch irre, oder?

Ja. Also klar, darum geht's ja hier auch. Also das ist. Wird dich so überrascht jetzt. Ja, ich meine, er behauptet hier irgendwie theoretisch könnten die Ergebnisse manipuliert werden, da es sehr leicht sei, an die IDs über Bluetooth heranzukommen. Ja, okay, gut, es ist klar, guck mal an die IDs, aber da können keine Ergebnisse manipuliert werden, haben wir ja schon eine Million Mal erzählt.

Haben wir alles schon.

Krimineller Angreifer können das ganze System sabotieren und boykottieren, dem gefälschte IDs von infizierten ins System der Regierung zurückgespielt werden, Ja, nur wenn sie irgendwie eine Tat kriegen, haben wir ja auch alles schon irgendwie erklärt. Also das sind.

Alles schon geklärt.

Ja, das sind alles leere Behauptungen. Eins neunzehn will er übrigens nur haben, ist äh im Angebot.

Da ist jetzt günstiger geworden.

Ja. Mhm.

Also ich habe tatsächlich, wir haben das von mehreren Hörerinnen und Hörern und Freundinnen natürlich auch zugesendet bekommen. Und ich habe ernsthaft noch darüber nachgedacht, ob ich das jetzt irgendwie ähm. Ob ich das, ob wir das hier überhaupt behandeln und so einem so einem Scammer, ja, also es ist ja quasi ein ein betrügerisches Angebot.

Das ist schon gut das zu erwähnen, weil ich hatte dann auch so diverse äh Leute auf äh Twitter, die auch keines Besseren zu belehren waren und immer wieder mit irgendwelchen Links auf irgendwelchen Studien, die eigentlich alle immer wieder dasselbe erzählt haben, nämlich man kann diese Bluthose all dies per Funk empfangen und speichern und sich was bei denken, ja? Nur das war's dann halt auch schon, ja? Das das ist ja was all diese Studien durchgehend immer wieder nur erzählt haben und ja, dann kam dann auch wieder noch mal dieser Link und so, ja, hier so, ich so, äh, nee, sorry, keine neuen Erkenntnisse. Lies dir doch irgendwie auch mal durch was da steht.

Äh dann schreibt er noch, hätte allein in Berlin über eintausendfünfhundert Nutzer der Corona-Warn-App innerhalb von vier Tagen auf der Speer-App dokumentiert. So. Das heißt, der hatte Kontakt mit vierhundert Personen im Schnitt, knapp vierhundert Personen pro Tag. Entweder muss die die App hat, ne? Die App ist grade mal im Moment verbreitet bei sagen wir mal zwanzig Prozent, maximal der Leute, die da draußen so rumrennen, ne. Das heißt, an jedem dieser Tage müsste der zweitausend Menschen begegnet sein. Um auf diese tausendfünfhundert Corona-Warn-App-Nutzer innerhalb von vier Tagen zu kommen, Das wäre ein extrem verantwortungsloses Verhalten. Ich kann mir vorstellen, dass der Typ noch nicht mal weiß, dass diese App eben alle paar Minuten den Identify ändert. Also ich kann. Mann, ey. Leute, das, das, so sind die drauf. Also, es ist so, so was so so unseriös, Tim, das ist überhaupt nicht fundiert, ja? Absoluter Unsinn und äh da habe ich besseres zu tun. Deswegen widmen wir uns dem nächsten Thema denke nur, man sollte sich merken, mit welchen, also ist jetzt nicht neu, dass das Politikerinnen und Politiker mit unseriösen äh Behauptungen äh hausieren gehen, ne? Aber das ist ja auch nur eins neunzehn dafür haben wollen finde ich. Fühl dich frech.

Das nehmen wir jetzt einfach auch. Eins neunzehn. Für für unsere Seriösität nehmen wir eins dreiundzwanzig vielleicht. Einen kleinen Aufschlag. Eure richtige Seriösität kostet auch extra.

Mann, ey. Aber schön. Playstore aus technischem Interesse heruntergeladen und wieder erstatten lassen. Die App ist sinnlos, selbst für Paranoica. Das dürfte jedem klar sein. Die App braucht mehr Berechtigung als die Corona-Warn-App und findet einfach nur Bluetooth, Signale. Also ja, es gibt auf jeden Fall. Habe mir das Geld wieder erstatten lassen. Das Ding findet einfach alles. Kopfhörer Fitnessarmbänder, weiß Gott noch was. Es handelt sich nicht um einen Sniffer, der nach, entsprechende Bluetooth äh Ehesignaturen sucht, sondern einfach alles. Antwort, vielen Dank für Ihre Rezension. App installiert und endlich meinen Bluetooth Headset gefunden. Die Äpfel ziemlich viele Daten von mir. Wieso will die AfD meine Daten? Ich will sofort mein Geld zurück.

Ja, vor allem wenn dafür könnte es vielleicht ganz praktisch sein, falls ihr vergessen habt, wo ihr euren Fernseher hingestellt habt, ne, dann vielleicht, aber bei Corona-Warn-App hilft euch das jetzt nicht weiter.

Aber auch ähm auch, auch eine es gibt natürlich auch Rezensionen wie folgende. Sehr schöne App, um zu sehen, wie viele Domköpfe jeden Tag an einem so vorbeilaufen. Vielen Dank an NTV DE, ohne eure Fake News zu der App hätte ich sie nicht gefunden Ja, das ist schön, dass die App dir zeigt, wie viele Domköpfe an dir vorbeilaufen. Ein Geisterfahrer, Tausende. Aber wirklich, das das ist irgendwie. Mann, ey, das ist also ich kann herrje. Okay, kommen wir zur nächsten schlechten Nachricht. So.

Gut, die ist auch richtig schlecht.

Wir haben ja hier schon behandelt ähm Clearview, den, Facial Record Nation Service. Heute ist mein Englisch aber echt gut. Ähm diesen Gesichtserkennungsdienst, der äh spezifisch. Strafverfolgungsbehörden angeboten wurde, ne? Die haben Facebook und andere soziale Netzwerke gescrapt, haben die haben darauf Gesichtserkennungsalgorithmen laufen lassen und dann konntest du da quasi ein Bild hochladen. Und hast dann die im Internet zu diesem zu diesem Gesicht erhältlichen Informationen, gefunden. Als Servicedienstleistung für Strafverfolgungsbehörden, Gab ein war ein riesiger Skandal, haben wir hier auch behandelt. So. Jetzt dachte sich äh ein eine Firma aus Polen, halt mal mein Wodka, Das machen wir nicht nur für Strafverfolgungsbehörden, das machen wir einfach öffentlich für alle. Und zwar wir wir Pimm-Eis heißt dieses dieser Service, damit von neunhundert Millionen Fotos ähm. Quasi darüber ihren Algorithmus laufen lassen zu haben und du kannst dann quasi ein Bild dort hochladen, um dich in diesen Bildern zu finden, Cleview AI war nur meine Hausnummer größer, die haben wir von drei Milliarden gesprochen. Ähm aber was das im Prinzip ist, ist eine Biometriedatenbank, ne, das ist nicht irgendwie Kugelbildersuche, guck mal ähnliche Bilder oder so, wo das ja auch teilweise sehr gut schon funktioniert, muss man echt sagen. Was was wir hier haben, ist für die allgemeine Öffentlichkeit so ein Dienst, wobei die auch sagen, ne, irgendwie die die limitieren ihre API so ein bisschen und ab äh weiß ich nicht, hundert Millionen Zugriffe oder sowas, musst du dann, musst du auch bezahlen oder. Also du musst schon früher bezahlen, aber kannst bis zu hundert Millionen irgendwie Zugriffe bekommen und geben das einfach der der allgemeinen Öffentlichkeit. So, was kann mit so etwas gemacht werden? Im, Das Thema wurde sehr gut aufbereitet von unseren Freundinnen und Kollegen bei Netzpolitik Org. Wenn auch mal gesagt wurde so, ja was ist mit Stalkern? Was ist mit dem ähm Outing von irgendwelchen Sexarbeiterinnen? Was ist mit dem Auffinden von sogenannten Rachepornos? Ja auch so eine absolut asoziale äh Schiene, ne? Und. Was ist zum Beispiel, ähm wenn du bei der Polizei irgendwie äh, Demonstration des Films, ne, was die ja die ganze Zeit machen und dann nachher einfach mal die Bilder, die so die Gesichter, die dich interessieren, einfach mal in so eine Gesichtserkennungs-Cloud wirfst. Das ist wirklich ein Problem. Und ähm ich kann mir nicht vorstellen. Dass das legal ist, einen solchen Service zu betreiben, aus verschiedenen Gründen. Erstens denke ich, dass die betroffenen sozialen Netzwerke, die die da scrapen, auf jeden Fall AGB Regeln dagegen haben, Zweitens, ist das ja eine Profilbildung, weil du ja, von einer Person ein biometrisches, einen biometrischen Fingerabdruck in Anführungszeichen, ein biometrisches Gesichtsabdruck in dieser Datenbank Speichers und öffentlich durchsuchbar maß. Ich, also das kann gar nicht legal sein, und das ist echt problematisch. Ja, wenn, also was da alles für Mist passiert. Es gibt ja diese ähm wie heißt nochmal, diese nicht Black Lives Matter, sondern, Sorry. Ähm, diese Black Mirror Episode wurde wo du quasi diese Gesichtserkennung und Personenerkennung mit eingebaut hast, ne? Gibt's ja mehrere Episoden, glaube ich, sogar von, die diese Dystopie behandeln, dass du irgendjemanden fotografierst und dir in irgendeiner Cloud sofort sagen lässt, wer das ist ne? Das ist äh äh so so sehr man sich das manchmal wünschen würde. Für vielleicht auch den ein oder anderen sagen wir mal legitimen Anwendungszweck fallen einfach so viele missbräuchliche Sachen dazu ein, dass das wirklich äh.

Verboten gehört, vor allem, verboten gehört.

Ja, deswegen ist es ja auch verboten.

Die Profilbildung, aber generell die Gesichts äh Erkennung und Überwachung dadurch äh ist halt noch nicht verboten.

Also Markus Beckerdal hat da auch einen äh Kommentar nochmal zugeschrieben, ne, setzt unsere Datenschutzrechte endlich auch durch, weil hier sieht man ja jetzt wirklich, wo, Reise hingeht und das ist ein Problem.

Diese DSGVO, die ist echt nicht zu früh gekommen.

Ja, aber Markus Becker, der schreibt ja auch. Es ist vor allem ein institutionelles Problem. Wenn die überwiegende Mehrheit der Expertinnen der Meinung ist, dass das nicht mit der DSGVO kompatibel ist, warum können Unternehmen in der Europäischen Union, so agieren. Wer klagt dagegen, wann bekommen wir endlich eine effektive Datenschutzdurchsetzung, Ja, das sind natürlich schon vernünftige Fragen, die ihr hier stellt, ja. Und ja, also ich denke, man braucht da eine klares Verbot für die Entwicklung und Nutzung von solchen automatisierten Gesichtserkennungssystemen im öffentlichen Raum. Das ist äh uner dieses PIM Eis sagt natürlich ja ja du darfst nur dich selber hochladen, du musst hier dieses Häkchen aktivieren, dass das auch wirklich du bist, ne? Wobei ja keiner so bescheuert ist, sein eigenes Bild da hochlädt, Ja, den den DDR so ist ja wirklich, ne, natürlich lädst du da nur andere hoch. Ich habe Markus Beckel da da hochgeladen. Nein, fand.

Also ich habe dich dichter hochgeladen.

Ja, ich dich, dein.

Barbara war nur ein Versehen. Ich dachte, das wäre ich. Wir sehen uns so ähnlich.

Oh je, okay, kommen wir zum letzten Thema, würde ich sagen. Das könnte jetzt das letzte Thema sein. Ähm. In den USA gibt es ja jetzt inzwischen seit mehreren Wochen eine Diskussion über, Polizeigewalt und ähm ja, institutionellen Rassismus in den Strafverfolgungsbehörden. Und diese wurde unter anderem auch begleitet von, der den sogenannten Blue Leaks. Das waren um die zweihundertsiebzig Gigabyte an Daten, über mehrere Jahre erstrecken und irgendwie Daten von mehr als zweihundert Polizeirevieren der USA umfassen. Teile dieser Datenschienen nicht unbedingt ähm irgendwie. Äh geheim oder nichtöffentlich zu sein, also einiges davon stammte aus so Freedom of Information. Äh, Also im Prinzip ähm hier so, frag den Staat Style Sachen, ne. Informationsfreiheitsgesetzanfragen, ähm einige Sachen aus unklarer äh, unklarer Quelle, potenziell auch äh potenziell steht die Frage im Raum, ob davon Sachen auch gehackt waren, ja? Und, veröffentlicht wurde, dass von einem Kollektiv mit dem Namen Didio Secrets District, die Night of Secrets. Ich weiß nicht, wie sie auf diesen Namen gekommen sind. Ähm soll also eine Anspielung sein an Dedos und, geheime Sachen, ja? Verstehen sich als eine Transparenzplattform, im Stile Leaks Wiki Leaks, aber äh kritisieren gleichzeitig, dass Wiki Leaks eben durch die Konzentration auf eigene Interessen. Und auf eine spezifische Person von seinen Idealen abgewichen sei. So also die das Selbstverständnis dieses Kollektivs, die noch dazu meinen, sie wären alle Journalistinnen. Ja, ähm, Die haben also diese Daten veröffentlicht und dann haben sie das getwittert und kurz darauf war ihr Twitter-Account weg, weil ähm Verstoß gegen Twitterregeln, Verbreiten von illegal erlangten Daten. Und dann war nach einigen Tagen auch ihr Server weg, denn der wurde jetzt von der Staatsanwaltschaft Zwickau bei dem, aus dem Regal gezogen und beschlagnahmt im Rahmen eines Amtshilfeersuchens des FPIs.

Zwickau. Mhm.

Da ist irgendwo ein Hetzner, Datenzentrum in der Ecke und da sind die dann äh deswegen von dieser Staatsanwaltschaft. Ja und jetzt ist die Frage, man muss ja sagen, es gibt jetzt kein. Über diese Beschlagnahme, sondern dieser dieser das Rechenzentrum Falkenstein wurde als Zeuge durchsucht, Was im Rahmen der SDPO möglich ist und also quasi, ne, die haben das das Rechenzentrum als Zeuge durchsucht und dabei den Server mitgenommen, Ist jetzt nicht so, als gäbe es eine richterliche Anordnung über die Beschlagnahme dieses Servers. Die sind einfach dahin gegangen und haben ihn mitgenommen. Was schon ein ziemlich krasser Punkt ist, insbesondere weil das eigentlich nur für Straftaten nach deutschem Recht gilt, aber, hier jetzt quasi für das FBI gemacht wird. Ja, das ist schon eine ziemlich mhm. Interessante Rechtsauslegungen, ne, das jetzt irgendwie ohne Gerichtsbeschluss, dass FBI sagt, ey, könnt ihr mal als Zeuge diesen Computer davon nehmen und den mal festhalten? Das ist schon ähm. Denke nicht, dass das eine eine juristischer Schritt ist, der in der Form astrein ist oder der uns vorbildlich sein sollte.

Also kurze Erklärung, du sagst Falkenstein, Rechtenzentrum Falkenstein, also das ist bei bei Zwickau. Dahinten Plauen, da die Ecke.

Mhm. Ja, anderer Punkt ist. Diese Server, bei dem die auf dem die Daten von sind. Der ist also jetzt weg und die kriegen's seit Tagen nicht hin, einfach neuen aufzustellen, was ähm. Also, sagen wir mal, vorsichtig, ne? Wenn wir von einer Leaking-Plattform reden. Die sich irgendwie anschickt das bessere Wiki Leaks zu werden. Und die auf einem Hetzner Server. Irgendwo in Falkenschein Falkenstein bei Zwickau und der Server ist wenn den der Server aus dem Regal gezogen wird, sind die mehrere Tage offline, dann schätze ich, dass die ihr Handwerk nicht so ganz im Griff haben. Weil das sollte natürlich haben sie auch auf Twitter geschrieben, zu deinem zu deinem Standardprozessen gehören, dass du davon ausgehst, dass dir die Büchs aus dem Regal gezogen wird und du dann sagen wir mal innerhalb von Stunden in der Lage sein musst, woanders deine Daten wieder bereitzustellen, Das ist ja nicht so schwer, Also, ne, du hast ja dann einfach quasi fertige Server irgendwo stehen, die du nur für diesen Fall hast und die du dann in Betrieb nimmst. Ja, das Server kostet ja auch nicht viel. Also mir ist völlig unklar, also das ist ein absoluter Dilettantismus, da mehrere Tage down zu sein, nur weil der weil der Server aus dem Regal gezogen wurde. Es kostet ja nichts.

Die haben halt gedacht, im Vogtland da im tiefen Sachsen da.

Da kommen die Polizisten nicht.

Dann kommen die nie drauf, dass da was ist.

Nee, also sorry. Das äh also dafür braucht man Kontingenzpläne und das muss ganz ganz zügig und ganz einfach gehen, ja? Und die haben ja vor allem, was ich erst recht nicht verstehe, die bieten den größeren Teil ihrer Daten ohnehin auch als Towers an. Anderen Worten das Aufsetzen eines neuen Servers ist das Ziehen deiner eigenen Torens. Ja, das machst du das muss doch in kürzester Zeit gehen.

Dich jetzt Ruhe aufregen. Ist halt so. Ich sehe gerade hier das dieses Rechenzentrum, das liegt da sehr schön im Falkenstein, schön gelegen am Ortsrand mit der mit der schönen Adresse am Datacenter Park eins.

Das finden die nie.

Nee, das ist total versteckt. Da sind auch Bäume drauf rum und so.

Ja, also sorry, dass ähm äh ich bin jetzt, also ich bin Underwald und wer vorsichtig. Das so so wenn du wenn du sagst, du bist eine Leaking-Plattform, dann darf dir soweit nicht passieren.

So wird das nichts mit der Revolution.

Also Hetzner muss man dazu sagen, ist ein ein Hoster, der dafür bekannt ist, ähm, also ich benutze auch Hetzener Server, ja, weil die einfach sehr schön günstig sind. Und die geben dir in der Regel sage ich mal, deren Geschäftsmodell basiert ein bisschen darauf, im Prinzip diese Server auf Consumer Hardware zu fahren. Das heißt, du hast dann eben keine XEON Prozessoren, sondern irgendwelche Core I drei fünf sieben Prozessoren, kein ECC-Rahmen, ne und ähm. Einfach halt Consumer Hardware, die aber natürlich für den größeren Teil dessen, wofür Leute sich Server holen, völlig ausreichend ist, ne? Und deswegen sind die halt ähm, relativ günstig. Ja, aber äh, wenn du sagst, du bist die große, das große, neue und du hast eine Büchse bei Hetzner stehen, äh dann. Dann hast du dann hast du dich wahrscheinlich mit zweihundertsiebzig Gigabyte irgendwelcher Polizeidaten, auf jeden Fall verhoben. Da haste hättest du vielleicht ein bisschen kleiner fahren müssen. Sorry, da bin ich enttäuscht. Also das das wenn man meint, man hätte aus gelernt, dann muss man auch aus allen Angriffen gegen Wiki Leaks gelernt haben. Ich bin mal gespannt, wie das weitergeht. Also diese Daten, ja. Also zweihundertsiebzig Gigabyte irgendwelcher Daten, da ist natürlich relativ einfach. Ähm, Grund zu finden, dass man die halt auch offline nehmen will oder dass man das deren Veröffentlichung und Zugänglichmachung strafrechtlich im Zweifelsfall verfolgt, ja, also ich habe nicht in die Daten reingeschaut, aber ich würde vermuten, Da sind irgendwelche persönlichen Daten drin und da da da findest du bei zweihundertsiebzig Gigabyte Polizeidaten findest du schnell einen Grund, die offline zu nehmen, ne? Das ist äh sollte, kann man sich vorher denken. Und jetzt müssen wir natürlich auch sagen, wichtiger Punkt, die sagen von sich, na ja, wir haben diese Daten nicht selber erbeutet, sie wurden uns zugespielt und wir sind eine Veröffentlichungsplattform Ähm in und und zwar mit journalistischem Anspruch. Und wenn diese Daten jetzt hier, wenn unsere Server hier weggenommen werden, dann ist das ein Angriff auf die Pressefreiheit. Ähm lasse ich gelten, müsste ich müsste man aber natürlich auch vor dem Hund Hintergrund dieser Daten dann noch einmal bewerten, also ich bin da vorsichtig. Wir, also erstmal klar, ich finde die Pressefreiheit gehört geschützt und gerade diejenigen, die. Daten von von öffentlichem Interesse öffentlich machen, dürfen nicht, verfolgt werden. Wir haben da in Deutschland ja insbesondere auch dieses Problem, wo die Weitergabe von Informationen, die illegal erlangt wurden, irgendwie unter Strafe gestellt wird, was eben so etwas wie die Panama Leaks, äh Panama Papers und so weiter, de facto unter Strafe stellt, das ist nicht in Ordnung, ja? Ähm. Ich kann den Inhalt dieser Daten jetzt nicht bewerten. Die haben auch noch andere Daten zur Verfügung gestellt. Ähm kann ich auch nicht so genau bewerten. Aber auf jeden Fall kritisch ist, dass hier einfach mehr oder weniger ohne Gerichtsbeschluss einen Server aus dem Regal gezogen wird, Da werden wir dann mal schauen, wie sich dieses Verfahren weiter ergibt. Und ich bin mal gespannt, ob die, ob die in der Lage sind, ihren Betrieb da nochmal in in Griff zu kriegen oder so.

Dass sie da Park.

Na ja, okay.

Das war's dann eigentlich schon, oder?

Also, Ja, was ich, was ich mich halt da tatsächlich frage, ist also wenn du dich auf Journalismus berufst, ne, was ich ja völlig in Ordnung finde auch, also kann ja sehr gut sein. Oder also ich glaube, dass sie in diesen Daten sich sicherlich etwas befunden hat, was ähm von öffentlichem Interesse, sein kann. Ähm insbesondere, da wir ja auch die, Ziele der Informationsfreiheit verfolgen und denken, dass ja ohnehin viel zu viel Intransparenz bei diesen Behörden herrscht, dann stelle ich mir aber schon die Frage, wenn du dann sagst, du bist Journalist, dann musste natürlich auch. Ähm eventuell eine Aufarbeitung dieser Daten vorgenommen haben, ne? Das weiß ich nicht genau, ob sie das getan haben. Also insgesamt agieren die da gerade. Überraschend ähm tja, wie soll ich das sagen? Unprofessionell.

Das scheint deine Einschätzung zu sein. Das kam jetzt schon relativ deutlich rüber. Ist halt so, also gut, ne, äh Leute machen Dinge und manchmal machen sie halt äh ganz cool und hier äh haben sie sich vielleicht Sonnenbrillen gekauft, aber den Rest nicht gedacht.

Immerhin, also was äh genau, aber sie sind natürlich auch vielen, müssen wir natürlich auch sagen, sie sind vielen Angriffen. Ausgesetzt. Äh sie werden also beschuldigt, das selber gehackt zu haben, sie werden beschuldigt aus dem Dunklen agieren äh zu aus dem Dunklen zu agieren. Das ist alles nicht korrekt, ne? Die haben ganz klar ihre, also diese Daten als, Veröffentlichungsplattform entgegengenommen, genauso wie Wiki Leaks, die haben auch ganz klar auf der Seite stehen, wer sie sind. Ja, also man hätte auch einfach zu ihnen fahren können. Und das jetzt hier irgendwie bei Reddet die Sachen gebloggt werden bei Twitter und so, das ist schon alles ähm ja, Übel. Also den mit unabhängig von ihrer eigenen Professionalität wird denen gerade übel mitgespielt und das sieht ähm nicht gut aus. Da werden wir mal dranbleiben. So

Aber für heute machen wir erstmal Schluss.

Heute machen wir Schluss. Ich denke mir noch irgendwas aus, wofür ich dich jetzt anzeige. Babo, baba. Da bin ich ja mal gespannt, wie die Babbas das finden werden mit der.

Mehr mehr kann nichts passieren. Ich war äh früher Polizist. Da kommt nichts durch. Verstehst du? Also ich war nur ganz.

War eine Scheiße. War, war eine Scheißaktion, sorry.

War nur ganz kurz Polizist. Ja, ich war nur ganz kurz Polizist, aber das reicht ja eigentlich. Also so als Fünfjähriger oder so wollte ich mal Polizist sein und dann reicht das ja eigentlich auch als Erklärung.

Immer Bulle.

So, lass uns noch ein bisschen danke sagen und dann machen wir Schluss.

Genau, ich möchte, ich möchte äh sehr herzlich danken dem Kenneth. Der auch äh selber schon festgestellt hat, dass er verrückt ist, insofern brauche ich das hier nicht mehr zu betonen. Ähm und sehr freundlich der Elina danken. Und dann äh wollte ich generell mal nochmal so in die Listen geschaut und äh habe, jetzt einfach mal nachalphabet sortiert, möchte an dieser Stelle noch einmal herzlich danken Alexander, Andreas, Arne, Benedikt, Benjamin Björn, Christoph, Dirk, Fabian, Franziska, Jannik, herzlichen Dank, Jens, Johannes, Christian, Marco, Markus, Martin, Matthias, Michael, Mona. Ralph, Sarah. Sascha, Simon, Steffen, Stefan, Tanja, Thomas, Tore, Tim. Und Tobias, herzlichen Dank.

Ich danke dir auch, Linus. Keine Ursache.

Katze auch mal ruhig. Sonst werfe ich den mit einer Bierdose auf dich.

Christ, mild, ich verstecke mich im Datencenter. So Leute, äh genießt den Sommer. Wir kommen wieder Also wir sind jetzt nicht weg oder so, aber wir wissen da nicht so ganz genau, wie wir äh unseren Takt halten sollen. Das muss jetzt alles ein bisschen mehr Remote äh laufen, als es ohnehin schon äh läuft. Ähm kriegen wir aber irgendwie hin. Und dann hören wir uns wieder die Tage.

Bis dahin, ciao, ciao.

Tschüss.