LNP353 Ein Geisterfahrer? Tausende!

Feedback — Malware as a Service — Kontaktlisten — CWA-Scammer — PIMeyes — Blueleaks

Ganz viel Feedback von Euch, dem wir eingangs Raum geben, ansonsten wenden wir uns wie gewohnt den aktuellen Dystopien der Woche zu. Die Bundesregierung will jetzt alle Internet Provider zu Komplizen beim Installieren von Malware machen und in der Schweiz begegnet man der Herausforderungen von Corona-Kontaktlisten mit der Sicherheitsattitüde der 90er während in Polen fleissig Gesichtserkennung privatisiert wird. Die AfD wiederum versucht Geld aus der Corona-Krise zu schlagen und fabuliert über das Design der Corona-Warn-App, hat aber leider entweder nichts verstanden oder lügt einfach darüber. Wäre beides traurig genug. Aber auch andere Aktivisten lassen es an Kompetenz fehlen.

Dauer: 1:42:19

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Linus.
Linus Neumann
Guten Morgen Tim.
Tim Pritlove
Du in Hamburg ist einer freigesprochen worden, der beim G zwanzig Bierdosen auf die Polizei geworfen hat, wie kann das denn sein.
Linus Neumann
Der war selber Polizist.
Aux
Tim Pritlove
Lokbuchnetzpolitik Nummer dreihundertdreiundfünfzig vom elften Juli zwanzig zwanzig und langsam gehen einem die Storys aus.
Linus Neumann
Na ja, na ja.
Tim Pritlove
Eigentlich kommt doch normalerweise kommt da immer sehr ganze verrückte äh Kram dann irgendwie hoch, ne.
Linus Neumann
Kommt ja auch, kommt ja auch, keine Sorge, Tim, wir haben genug. Wir haben genug um den Blutdruck auch im Sommer äh. Halten. Ja, da müssen wir uns gar keine Sorgen machen. Dieser dieser Prozess in äh in Hamburg ist ja ein Traum, ne? Das erinnert mich an diese Weise wenn man eine Katze, so ein Marmeladenbrot hinten draufklebt, ne, auf den Rücken und die dann vom Dach wirft, um zu gucken, ob jetzt das Gesetz eintritt, dass die, Katze auf ihrem Rücken landen, auf dem das beim Ladebrot immer unten ist oder die Katze immer auf den Füßen, ne? So erinnert dann immer dieser ähm, dieser G zwanzig Prozess und das Schöne ist, ja, die ebenfalls Angeklagte, Freundin des Mannes, äh die hatte auch eine Dose geworfen, die ähm. Äh wurde auch freigesprochen. Geil, oder? Das soll mal, also da da könnte man ja mal in einigen weiteren Verfahren, die ihr jetzt gerade da in Hamburg zum G zwanzig stattfinden, äh drauf bezugnehmen, ja, werden sicherlich einige dafür sorgen, dass das jetzt kein Präzidenzfall äh wird.
Tim Pritlove
Wirklich et absurd.
Linus Neumann
Aber der der Mann hat äh abbitte geleistet, ist jetzt auch nicht mehr Polizist. Der hat sich quasi in dem Moment auf dieser, wenn ich das richtig erinnere, weil das bei der ähm und hat gesehen, wie die Polizei da, die Demonstranten angegriffen hat und hat sich in dem weiteren Verlauf ähm, auch jetzt quasi von diesem Beruf getrennt.
Tim Pritlove
War da nicht dann schon expolizist zu dem Zeitpunkt.
Linus Neumann
Wenn ich das richtig verstanden habe, äh nicht, weil sonst hätten sie ihn ja äh sind ja schuldig gesprochen, ja.
Tim Pritlove
Was nicht ist und wie immer von Ehemaligen Polizisten die Rede.
Linus Neumann
Er ist er ist danach, er ist jetzt ein ehemaliger Polizist. Ja, weil er sich darauf ähm daraufhin entschieden hat, ja ähm nicht mehr. Zu sein. Und der ist sogar geständig, ja? Na ja, wir wünschen ihm eine erfolgreiche Resozialisierung. Übrigens ähm wir haben ja viel über die über die Stuttgarter Geschichte gesprochen, ne? Äh.
Tim Pritlove
Das ist das Aufregerthema überhaupt.
Linus Neumann
Also man muss das folgendermaßen ja noch weitere soziale Konflikte. Ähm ans Licht. Und zwar die Stuttgarter Partyszene. Die trifft sich ja jetzt in diesem Park, ne? Und der Park ist natürlich das natürliche Habite-Habitat von den Punks und ähm, den, die machen den jetzt quasi da den Lebensraum strittig. Und jetzt hast du quasi, Party gegen Punk, ja und da gibt's ein ein bemerkenswerten, ein bemerkenswerten Ausschnitt aus der Sendung äh Report Mainz, wo ein Team sich offenbar in diesem Schlosspark da umgehört hat und sich mit Leuten unterhalten hat und die haben sich mit einer Gruppe Punks unterhalten. Das sind sie also sehr, sehr eindeutig Punk äh bunter Haare und die, Hauptinterviewpartnerin hat auch nochmal um sicherzustellen, dass jeder es versteht auf ihrem T-Shirt, den wir sind Panks. Also zweifelsohne sind das wahrscheinlich Angst. Und es ist, wie gesagt, wirklich bemerkenswert, wie dieses Interview verlaufen ist, vielleicht haben wir da mal ganz kurz rein.
Tim Pritlove
Das machen wir mal.
Aux
Tim Pritlove
Ja, lauf, Baba machen. Geil. Tja.
Linus Neumann
Ey, leg dich nicht mit den Stuttgarter Punks an, ne? Ich meine.
Tim Pritlove
Ja, wenn du den Punks quer kommst, dann äh bist du sofort so, wirst du gleich zur Cheerwoche zur Carwoche verurteilt.
Linus Neumann
Und weil dieser dieser Kommentar, wie immer, ja, der ist aber natürlich auch. Äh also in Stuttgart Leute, ihr habt jetzt hier wirklich in den Kommentaren wirklich viel versucht, uns irgendwie Stuttgart näher zu bringen, ne? Aber man muss schon sagen, das ist schon etwas eigentümliche Region da unten. Also, das.
Tim Pritlove
Sagen wir mal, wir kennen das nicht so gut, ne? Also das ist dann.
Linus Neumann
Ja das ist bei uns unüblich. Ja, also in, in Berlin ist das unüblich, dass die Parks die Polizei.
Tim Pritlove
Zumindest bei den.
Linus Neumann
Aber ne, andere andere Bundesländer, andere sind. Ähm.
Tim Pritlove
So sieht's aus. Da mischen wir uns überhaupt nicht mehr ein. Macht doch, was ihr wollt.
Linus Neumann
Ja, aber auf jeden Fall, neben wird's nicht mit dem Park in Stuttgart ein. Ähm, Wir haben Feedback bekommen, eine, und zwar, das würde ich gerne hier vorlesen. Wir haben ja vor einigen Sendungen schon uns darüber gewundert, wie es denn zu diesem dann doch sehr komischen Artikel bei Heise kam, in dem äh der. TÜV sich quasi über die. Corona-App sehr negativ äh geäußert hatte oder so wiedergegeben wurde und ich habe mich hier sehr ausführlich darüber gewundert, dass ich mir das einfach überhaupt nicht vorstellen kann, dass. Der Herr Kretschmer, dass so, äh gemacht hat, ja? Oder zumindest, dass es für ihn ökonomisch eine sehr dumme Entscheidung gewesen wäre, aus einem Auftrag in den, in der Presse zu berichten, Und äh ich kenne Herrn Kretschmer und der hat mir geschrieben und äh das würde ich gerne einfach mal vorlesen, weil es ja auch eine wichtige Ergänzung und Gegendarstellung ist. Hallo Herr Neumann, ich wollte mich kurz zur Podcast-Folge, von Lokbuchnetzpolitik mit ihnen und Tim melden. Sie beide haben mich ja nicht gut aussehen lassen, aber erstaunlich richtige Überlegungen zu meinen Aussagen angestellt. So war bei mir fast der Eindruck entstanden, dass sie genau wissen, dass diese Aussagen so nicht von mir kommen konnten. Aber soweit ging ihr Fazit leider nicht. Es gibt eben viele Gegner der App und so wurde, ich völlig fehlerhaft mit meinen Aussagen vor einigen Wochen zu beginnen, der Tests zitiert, als noch der zehnte sechste als Veröffentlichungstermin stand und wir genau zwei Tage Zeit gehabt hätten. Auch sollten wir zunächst alle Feindings selbst veröffentlichen. Einhundertprozentige Transparenz, was dann aber auf Kommunikationspannen beruhte und zurückgenommen wurde. Kein NDA wurde somit verletzt und ich habe nur Theoretische Angriffe umschrieben, da ich gefragt wurde, was denn so passieren könnte. Daraus wurden dann auf einmal tatsächliche Findings im Artikel. Kam dann alles zur Unzeit als die Situation eine völlig, andere waren, Also damit meint er, um das kurz zu ergänzen. Der Artikel kam eben sehr viel später, als er dieses Gespräch geführt hat. Ne, also um das kurz ist kurz in Erinnerung zu rufen, dieser Artikel erschienen, irgendwie weiß ich nicht wenige Tage vor veröffentlich und der Corona-App. Ich glaube, am Freitag, Abend und die App wurde dann am Dienstag veröffentlicht und er sagt jetzt, dass sie quasi das Interview liegt länger zurück und bezog sich noch auf eine komplett andere Situation. Also, kam dann alles zur Unzeit, als die Situation eine völlig andere war. Aber. Wer glaubt das dann schon? Mich stört eigentlich nur, dass alle sich fragen, warum ich das öffentlich gemacht habe und niemand, ob ich das eigentlich gemacht habe. Das habe ich nicht. Grüße Dirk Kretschmer. Ja, also ich denke, dass äh finde ich so nachvollziehbar und ich hatte das ja auch in der Sendung wie Herr Kretschmer ja auch selber sagt so ein bisschen vermutet, dass das irgendwie nicht sein kann, was da, passiert ist, wird der Veröffentlichung dieses Artikels und ich glaube, das erklärt das hier sehr gut, dass er offenbar, dass es sich um eine sehr altes, tagesaktuelles Interview gehalten gehandelt hat, was oder Gespräch gehandelt hat, was dann eben sehr viel, oder mit Verspätung veröffentlicht wurde und damit nicht mehr die aktuelle Situation getroffen hat. Insbesondere dieser Teil mit wir brauchen mehr Zeit, ist natürlich vor dem Hintergrund von zwei Tagen oder zwei Wochen. Ähm komplett anders zu bewerten. Insofern danke ich dem dir Kretschmer für dieses Feedback und bin froh, dass ich das hier dann auch nochmal vollständig so mit seiner Einverständnis vortragen durfte.
Tim Pritlove
Ja, absolut nachvollziehbar und äh der Artikel macht wirklich auch schon einen merkwürdigen, Eindruck, ne? Also wie er schon ganz richtig gesagt hat, so, man hätte sich vielleicht, noch mehr fragen können, äh ob das Gespräch in der Form überhaupt so zumindest zu dem Zeitpunkt hat stattfinden können, weil es war einfach nicht schlüssig. So diese ganzen Ansagen mit Zeit und alles passt da irgendwie überhaupt nicht.
Linus Neumann
Ja, also haben wir das geklärt ähm TÜV äh weiterhin und und dieser Funk, er hat kein, also NDA nicht gebrochen, ne? Ist ja zum Beispiel auch ein wichtiger Punkt, dass das ursprünglich offenbar geplant war, dass dass die selber ihren Bericht veröffentlichen, was ja durchaus auch manchmal üblich ist. Äh hier jetzt aber nicht, insofern, alles gut. So, dann kommen wir zum Feedback. Ähm von unseren Hörerinnen und Hörern. Und zwar haben da Gerhard und Dennis, kommentiert zu und erinnern uns, wir haben über das gesprochen und haben damit auch nochmal mit Thomas gesprochen, der ja. Maßgeblich bestimmt war für die Netzneutralitätsrichtlinie der Europäischen Union. Und Thomas äh oder dass das schreibt die hat auch Gerhard auch hier. Gerd schreibt äh Thomas macht den Vorschlag, dass ein Zero Rating okay wäre, wenn es sich auf Domänen bezieht, wie Dot Golf, dort edio oder irgendwas verwandtes, Wie soll das aber möglich sein, wenn die PI verboten ist. Momentan nutzen vieles Antenne Service Providers unter anderem URL und SNI Infos beim Zero Rating. Äh SMI Server Name Identificication ist im Prinzip im weitesten Sinne das, was bei einem. Bei dem Herstellen einer TLS-Verbindung noch liegen kann über mit welcher Domän du da tatsächlich redest. Und die PI bedeutet ja, also bedeutet du guckst in den Teil. IP-Paketes, der für das Routing nicht mehr relevant ist. Mit anderen Worten, also den Inhalt. Und.
Tim Pritlove
Pilot oder der eigentliche Datenstrom.
Linus Neumann
Und wenn man sich jetzt TLS-Verbindungen anschaut, dann, ähm ist es so, also die Stellen einen verschlüsselten Tunnel her, ja? Und dieser Tunnel befindet sich aber komplett in der PayLote. Das heißt, um irgendetwas von diesem TLS überhaupt mitzubekommen, musst du, Die Pi machen da der GHT voll ständig recht. Und das wird von Dennis noch ein bisschen ergänzt. Der sagt, das ist keine Theorie. Ich war zeitweise Kunde eines Mittel, europäischen Anbieters, mit einem Zero Rating in Angebot, während meiner Zeit dort habe ich mit dem System mal ein bisschen herumgeschmiert, um zu schauen, ob ich abitrieren treffe lassen kann. Die Antwort war ja, wo in der Traffic ging, was dabei vollkommen, egal, ob ich zu einem Server in den USA zu einer Büchse beim lokalen Billow-Hoster, solange in Leyer fünf aufwärts bestimmte Erkennungsmerkmale vorhanden waren, wurde der Traffic gewaltlistet und nicht von meinem Datenvolumen abgezogen. Mit anderen Worten, Dennis sagt, hier wurde also, keinerlei äh Rating auf IP-Ebene, sondern nur auf Leer fünf aufwärts, also nur im Bereich die Packet-Inspection, dieses gemacht und, ja, da haben ähm Gerhard und Dennis Recht, dass, wenn wir sagen, wir wollen überhaupt kein DPI haben, dann eben auch das in der Form nicht funktioniert, nur zur Ergänzung, warum kann man nicht auf IP-Ebene machen, also kann man schon, aber. Wird nicht im Sinne der Provider sein, weil sich das einfach viel zu viel ändert. Also was unter welcher IP-Adresse verfügbar ist, durch diese ganzen CDNs und Sonstiges und weil, auf einer IP-Adresse mitunter. Unterschiedliche Services laufen können, ne? Also, was weiß ich, du hast dann irgendwo in der Cloud dein Ballert Netflix ein bisschen rum, irgendwo in der gleichen Cloud, ballert ein anderer Service, so ein bisschen rum, die, IP-Adressen sind flüchtig und vor allem. Auch nicht überall auf der Welt gleich, ja? Also Deutsche werden dann woanders hingelenkt, als andere und da wird das dann eine sehr, sehr unsauber, wenn man sagt, wir wir machen das Sero Grate Sirups, kriege ich echt die, Wir machen das Sero Rading einfach auf ein AP, weißt du.
Tim Pritlove
Auf eine andere IP. Äh aber wenn ich mich richtig erinnere, ist das doch bei Stream Ohren, genau so.
Linus Neumann
Stream on, da gab's ja, wir haben uns damals diesen Bogen angeschaut, da kannst du mit IP-Adressen, da musst du aber auch zum Beispiel die äh Server Name Idea. Also du musst auch die Domänen namen und so nennen, weil gerade weil es eben nicht so einfach nur auf IP-Adressenebene geht.
Tim Pritlove
Ja gut, aber das ist sozusagen so eine Vorschrift, aber ähm in dem Moment, wo der Treffer komplett verschlüsselt ist, wie kann denn dann das normale DPI überhaupt noch greifen.
Linus Neumann
Weil du beim äh zumindest bei älteren TLS-Versionen trotzdem noch liegst, zu welcher Domain du dich verbindest. Also eine. Eine IP mit mehreren Domains, ja. Muss ja beim zu Beginn des Herstellens der der des TLS Tunnels, musst du ja trotzdem sagen. Du gerade reden möchtest, damit dir der Server das richtige Zertifikat präsentiert.
Tim Pritlove
Bevor es dann verschlüsselt ist, alles. Mhm.
Linus Neumann
Bevor dann der tatsächliche Kontext hergestellt wird.
Tim Pritlove
Das ist das, was jetzt Dennis, meinte mit fünf äh.
Linus Neumann
Nee mit SMI.
Tim Pritlove
Ja, gut, aber dann äh frage ich mich, wie das jetzt bei diesem Provider, den er da bezogen hat, äh.
Linus Neumann
Na, das erklärt er nicht, weil er nicht möchte, dass man das nachmacht, aber was ich glaube, ist, dass ich einfach ein, äh, dass er sich einfach einen Service gebaut hat, der sich als ein der sich in seinem SSL-Zertifikat als ein Service ausgibt, seine eigene Büchse so, manipuliert hat, dass sie dieses Zertifikat einfach akzeptiert und dann der Provider gedacht hat, ach super, hier können wir Sero Radness in Ordnung so ungefähr klingt das, was der Nister beschreibt. Und das war überhaupt nicht auf IP-Ebene, sondern eben auf der, TLS eben und damit eben auf Laier fünf aufwärts. Und damit heißt das, die haben das Sero Reting bei diesem Provider, den er beschreibt. Nur, anhand von DPI gemacht und überhaupt nicht anhand von IP-Adressen.
Tim Pritlove
Ja, was schließt man jetzt raus? Also.
Linus Neumann
Nö, daraus schließen wir, dass sie Recht haben, dass äh dass das schwierig wird, weil also gerade bei einer, wenn du eine Domain, also eine Tourin-White-Solisten oder eine Top-Level-Domain, dort oder sowas, White Solisten. Wer noch schwieriger, weil die Information steht ja dann im DNS und die IP-Adresse ist eben eine andere. Jut ähm und deswegen geht's nicht ohne DP. Da haben die beiden vollkommen recht. So, dann haben wir äh war auch noch zum Gespräch mit Thomas. Thomas hat beiläufig gesagt, Traffic kostet nichts. Und da beschwert sich Richard. Mit starken Worten. Zu sagen, das Datenvolumen den Provider nichts kostet, finde ich verwerflich, weil sträflich naiv und im weiteren Verlauf sagte, es geht darum, die riesigen Investments für Hardware und Funkbänder zurückzuverdienen, deinem Argument müsste zum Beispiel auch jede Lizenz für eine Software gratis sein, weil die wurde ja auch irgendwann programmiert, jetzt, wo sie fertig ist, kostet die Lizenz den Hersteller nichts mehr. Das ist eine grobe Verzerrung. Und das geht so nicht. Ja, jein, Richard Jain. Ähm richtig ist, der teure Teil des Mobilfunknetzbaus ist der Bau des Mobilfunknetzes. Das Datenvolumen, was dann da drüber geht, macht an den Kosten nur noch einen geringen Teil aus. Quasi keinen, Ähm im Vergleich zu ne? Was, was jetzt, was weiß ich, an Miete bezahlt, für den Funkmast und an Anwälten, um irgendwie die Wave in Kleßen-Görne irgendwie vor Gericht niederzuringen oder was auch immer, ne?
Tim Pritlove
Aber durch die Daten selber entstehen jetzt unmittelbar äh erstmal keine Kosten.
Linus Neumann
Der Punkt, den Thomas machen wollte, ist, ob das Mobilfunknetz jetzt grade unter voller Last läuft oder im Leerlauf ist quasi, ein winzig geringer Teil deiner Kosten. Und der Vergleich mit der Software, den du da bringst, der Falsche, der stimmt so nicht, wie du ihn gemacht hast, weil der Vergleich ist Das wäre eine Software, bei der man dann für die Nutzungszeit bezahlt. Also, wenn du jetzt beispielsweise Photoshop dir holen würdest, ja? Photoshop kriegst du zu einer, nämlich, was, ich glaube, zehn Euro oder sowas im Monat. Kostet dich die Lizenz von Photoshop? Und es macht dann keinen Unterschied, ob du acht Stunden am Tag Fotoshop nutzt oder es nicht nutzt, Insofern ist genau der, der Vergleich, den du bringst mit der Software, ist genau der Zutreffende hier für dieses Datenvolumen, ja? Also da muss ich dann im Vergleich leider äh am hinken, hindern und ihm ein Bein stellen. Ähm und das ist, weil hier Thomas Punkt und ähm ein sehr guter Freund von mir, der im Telekommunikationsbereich arbeitet und mit mir auch schon gearbeitet hat, sagte immer ähm. Telefonnetze sind so teuer, weil es so kompliziert ist, Rechnungen dafür zu schreiben Und das ist ein ähm sehr schöner Punkt, den ich immer äh wir immer wieder in in Erinnerung rufe. Es ist unglaublich mit unglaublichem Aufwand verbunden Den ganzen Mist abzurechnen, ja, weil du hast diese Netze funktionieren ja einfach erstmal. Ja, die, das funktioniert, jetzt sind ein paar Regeln und ein paar Konfigurationen und dann funktioniert dein Netz. Und jetzt quasi da was dran zu pflanzen, was dem wieder, im Prinzip Telemetrieinformationen entnimmt und sagt, ah, jetzt müssen wir dir aber, acht Euro mehr und du darfst nur noch einen Gigabyte oder so. Das kostet ein Schweinegeld. Und das könntest du quasi alle sparen, indem du sagst, Leute, macht einfach. Ne? Und die These ist. Dass es im Zweifelsfall günstiger wäre. Wenn du den ganzen billigen Kram einfach weglassen würdest und ähm keine Nutzungsbasierten Abrechnungen mehr machst. Das ist die These. So, auf der anderen Seite steht natürlich die, ähm Internetprovider möchten in irgendeiner Form eine faire oder eine Preisgestaltung haben und die wollen natürlich sagen, okay, wer mehr davon nutzt, bezahlt mehr, an denen wollen wir mehr verdienen, für die haben wir auch mehr Netz gebaut, ja? Also, es gibt natürlich eine Korrelation zu, was weiß ich, den Leuten, die das Ding den ganzen Tag, benutzen. Für die muss da auch irgendwann mal die LTE gebaut werden. Ähm und für die, die es nicht nutzen, hätte man LTE nicht gebaut. Insofern stimmt das schon, aber. Ähm ich denke, ökonomisch ist der Punkt zumindest erstmal richtig, dass dich Traffic am Ende kaum etwas kostet, Jetzt gibt's natürlich einen Unterschied. Das kommt darauf an, wer du bist, weil ähm wenn du einer der großen. Internetanbieter bist, Ich nehme jetzt als Beispiel äh weil wir nehmen wir einen großen Mobilfunkanbieter in Deutschland, völlig egal. Der kann natürlich mit der Masse seiner Kundinnen und Kunden ganz anders an andere Peringpartner herantreten. Als irgendein kleiner Internetprovider, denn tatsächlich, ja, die bezahlen sich äh die, die rechnen auch untereinander ab. Der, ich glaube, es war sogar mit der gleichen Richtlinie mit der Netz Neutralitätsrichtlinie wurde, aber der Verrechnungspreis für EU-Roaming festgelegt, das hatten wir hier auch damals besprochen, das das ist quasi ein Gigarby-Preis gibt von, was weiß ich. EU-Land zum anderen EU-Land. Das heißt, das kostet dann tatsächlich, also Roaming kostet in wirklich aber. Der Grund, warum das kostet, ist wieder, dass einige Interesse daran haben, dass es kostet, nämlich die Länder, wo viele in den Urlaub hinfahren. Ja? Also ist ähm das ist hier der der Punkt quasi diejenigen, die viel anbieten, wollen natürlich dann auch irgendwie dafür wieder Rechnungen stellen. Gleichzeitig diejenigen, die wenige Kunden haben, kriegen müssen, aber dann diese Preise bezahlen. Das heißt, du hast jetzt zwar ein Abrechnungswesen, aber das ist wieder nur zum Vorteil der Großen und zum Nachteil der Kleinen. Ja, also Mainzer nicht, dass irgendjemand zur deutschen Telekom sagen kann und sagt, pass mal auf, wenn ihr in unseren Netze irgendwie schnell roten wollt. Und wir hier am Dekixpieren, dann müsst ihr uns aber so zu viel Geld dafür geben für die fünfhundert Leute, die unsere Webseite aussuchen. Da sagt der Deutsche Theke, ist klar, dann, dann finden wir die eben nicht oder gehen die halt über über irgendein über dem billigsten Weg an. Also, ganz so einfach ist es nicht und würde man das einfach alles weglassen. Glaube ich tatsächlich, könnte es sogar sein, dass man am Ende. Ähm profitabler arbeitet. Und das ist, denke ich, der Punkt, den Thomas hier, machen wollte. Gleichzeitig klar, wenn Leute mehr Datenvolumen nutzen, müssen auch bessere Netze gebaut werden. Die müssen aber ohnehin gebaut werden.
Tim Pritlove
Ja und die Abrechnung zwischen verschiedenen Providern, also die sich sozusagen gegenseitig ihr Datenvolumen schicken. Das rechnet sich ja auch gegen. Also, was so in die eine Richtung schickst und was eine andere Richtung geht und dann wird dann am Ende nur irgendwie so ein Überhang letzten Endes bezahlt. Zumindest mein letzter Stand dabei. Ich meine diese Vision, dass, man einfach das Netz so, wie es ist zur Verfügung gestellt, so. Wo ich meine, das ist halt natürlich nicht so, dass jetzt keine, nach Investitionen erforderlich werden. Klar, der Bedarf steigt insgesamt Leute, nutzen das immer mehr, dass es eben dann die die Pflege des Netzes, dass sie deine Kapazitäten weiter aus bauen muss. So und das wird dann aber eben getragen durch die Zahlung von allen. Also Ja, es ist, es ist vielleicht etwas schlechter Vergleich so, aber beim Gesundheitssystem, da zahlen dann irgendwie auch alle, irgendwie so ein bisschen ein. Und manche brauchen halt mal mehr davon. Und die meisten halten nicht und es passt auch.
Linus Neumann
Ja und alle vierzehn Tage kommt einer von der von der CDU CSU und sagt die Kranken sollen jetzt mehr zahlen, weil ihr das System mehr belasten oder die Alten oder was auch immer, ne.
Tim Pritlove
Die Raucher alle genau.
Linus Neumann
Auch äh äh ja. Ähm.
Tim Pritlove
Wir brauchen ein solidarisches Netzwerk.
Linus Neumann
Dass wir, also das, das war zumindest die These, die Thomas hier gemacht hat. Ich glaube, haben wir dann jetzt auch ganz gut erklärt, So, dann über das andere Thema, da wusste, wo sich eine interessante Diskussion entfaltet hat, weil dieser AMS-Algorithmus, der wir viel Feedback und viele Kommentare zu. Ich habe die mal ähm in den Shownotes verlinkt. Und zwar geht es da prinzipiell, hauptsächlich ein bisschen darum, ne, klar, der Computer trifft eine, anhand der Daten, die ihn zur Verfügung stehen ähm. Eine eine Entscheidung an hat der Daten, die ihn zur Verfügung stehen und die trifft er im Prinzip ein eindeutig und reproduzierbar, Menschen haben potentielle in die eine oder in die andere Richtung, Ja, also was weiß ich, da kommen dann ihre Vorurteile in positiver und negativer Art zum Tragen, und da wird auch meine Ausnahme gemacht für eine junge, hübsche Frau und äh auch mal gerne der äh Weg, des des Pflicht der Pflicht gegangen, wenn die Person männlich ist, so die falsche Hautfarbe hat, oder, oder, oder, oder, oder, ne? Diese Aspekte spielen natürlich da auch mit rein faltet sich eine interessante Diskussion darüber, ob das nur gut ist oder, nicht. Ähm ein weiterer Punkt, über den wir gesprochen hatten, war dieser diese sehr unglaubliche Zeit von dreißigtausend Verdachtsfällen im Bereich des dokumentierten Kindesmissbrauchs, wo ich auch schon sagte, das kann irgendwie alles nicht sein, aber, es war der Justizminister von NRW, Peter Biesenbach von der CDU, der mehrfach betont hatte, ich wiederhole, dreißigtausend, eine ungeheure Menge an Gleichgesinnten, ein ein, die einschlägiges Bild und Videomaterial anbieten und konsumieren. So, der Justizminister Peter Biesenbach von NRW sehr eindeutig. Allerdings, ähm das war Unsinn, ähm und es handelte sich nicht, um dreißigtausend Tatverdächtige, sondern um dreißigtausend Datenspuren wie IP-Adressen. Ja, es kann also sein, dass ein Täter mit mehreren Geräten oder IP-Adressen operiert hat und tatsächlich, ne, wenn du jetzt irgendwie davon ausgehst, dass sich die IP-Adresse deiner Heimanschlüsse, glaube ich, alle vierundzwanzig Stunden ändert, bei Mobiltelefonen weiß ich's nicht so genau, ich glaub, die werden aber wahrscheinlich auch äh genattet ähm in den meisten Fällen, ich weiß nicht, wie das mit den V sechs Adressen ist. Ähm insofern diese dreißigtausend, wenn man da jetzt noch den Zeitraum dazu nimmt, dann kannst du im Zweifelsfall mal, äh durch die durch die und dann wahrscheinlich nochmal durch zwei. Ja? Und entsprechend wurden bislang, Seit Oktober bundesweit zweiundsiebzig, Verdächtige. Und es kommt jetzt wirklich tatsächlich darauf an, ne? Wie viele IP-Adressen? Du hast, um daraus abzuleiten, wie viele Menschen sich da tatsächlich hinter verbergen.
Tim Pritlove
Dreißigtausendzweiundsiebzig. Ich bitte dich, das sind doch alles nur Größenordnungen.
Linus Neumann
Das sind bürgerliche Kategorien. So, dann will ich noch kurz äh zwei Updates machen zu äh Themen, die wir behandelt haben. Und zwar hatten wir ja hier eine schöne Folge. Über das Patientendaten, Schutzgesetz mit, Zebro und Martin und Martin war dann auch vor einigen Wochen nochmal als Sachverständiger, Vertreter des Chaos Computerclubs in den. Der Gesundheitsausschuss wahrscheinlich, ne? Ja, wenn du in den äh zumindest in den Ausschuss, der diesen Gesetzesentwurf diskutiert hat, mein das war der Gesundheitsausschuss. Äh geladen über äh ich glaube, Fettbacks oder oder irgendwie so ein Ding, war ganz äh schön, wenn den Stream angeschaut, also ähm, saßen sie da alle in ihren Wohnzimmern ohne in ihren Arbeitszimmern, haben sich zu Wort gemeldet und Martin hat äh dann nochmal ein bisschen zurückgemeldet. Also er sagt, Erstens, dass Patientendatenschutzgesetz wurde jetzt verabschiedet und zwar mit einem Änderungsantrag der Koalition. Der ziemlich klar auf die Stellungnahme eingeht, die der Martin da für den Chaoscomputerclub eingebracht hat. Und jetzt sollen also die Gesundheitskarten, also die, die Patientinnen und Patienten oder die Versicherten bekommen, künftig persönlich übergeben oder per Postzustellauftrag ohne Ersatzzustellung oder Niederlegung, zugestellt werden. Das heißt, an der Haustür gegen Vorzeigen eines Ausweis, Dokumentes um sicherzustellen, dass sie direkt in den Besitz der Versicherten gehen. Ähm und das ist quasi eine, ein Ergebnis, der Stellungnahme von Martin. Wir erinnern uns, Martin und Coach hatten ja beim diesen, diese Schwachstellen vorgeführt, in der sie Patientenkarten aber auch Heilberufe, Ausweiskarten, quasi also praxiskarten sich im Prinzip anitrieren Adressen haben liefern können. Jetzt gibt es. Natürlich immer noch kleinere Schwächen, es gibt ein paar Kannenregelungen, die werden natürlich von den Krankenkassen stets als äh könnte, interpretiert. Und dann sagt er, beim Post zustellt, Der passt zu Stellauftrag, kann keine Identifikation mit einer echten Ausweisprüfung ersetzen, deswegen ist Postident auch sehr viel teurer als ein Postzustellauftrag, weil nämlich beim Postsuchauftrag nur vor und Nachname als Identitätsattribute abgeglichen, aber nicht das Geburtsdatum und das Foto, so, aber, ne, das sind ja jetzt eher Kleinigkeiten, ich denke, hier diese, Zustellungsmöglichkeiten sind jetzt auf jeden Fall um einiges verbessert worden. Jetzt sagt Martin, aber das ist natürlich ein wichtiger Punkt. Mir scheint der Post zustellt Auftrag ziemlich undurchführbar in der Praxis, da die Empfängerinnen zu Hause anwesend sein muss. Ein paar Tage Urlaub äh alle fünf Jahre zur, Entgegennahme der neuen äh Elektronischen Gesundheitskarte ist völlig Realitätsfern. Daher wird im Zweifelsfall dann die sichere persönliche Übergabe zum Beispiel an der Filiale wohl die Regel werden, Ähm und jetzt sagt er, jetzt ist natürlich auch zu erwarten, dass die Ausgabe, der viel sicherheitskritischeren Praxisausweise daran angepasst wird, die wollen aber jetzt nicht in diesem Gesetz geregelt, das kommt dann noch. Die zweite Forderung war die Streichung der Ausnahmeregelung, wonach äh gegen Krankenkassen keine DSGVO-Bußgelder verhängt werden können. Äh, Das wurde nicht übernommen, aber immerhin hat der Landesbeauftragte für Datenschutz und Informationsfrei Freiheit, Baden-Württemberg jetzt in dieser Woche erstmalig eine, Krankenkasse, nämlich die AOK, als Wirtschaftsunternehmen eingeprüft und mit einem DSGVO-Bußgeld von eins Komma zwei Millionen Euro belegt, weil sie unzureichende Informationssicherheit nach Artikel zweiunddreißig DSGVO haben walten lassen. Ja, Martin schreibt als Kommentar, Der Einsatz des CC hat sich allein deswegen schon gelohnt. Also wenn ihr demnächst mit eure neue Gesundheitskarte haben wollt und bei der Post in der Schlange steht mit eurem Ausweis dank Martin.
Tim Pritlove
Da muss ich jetzt nochmal kurz nachfragen, weil Melder war mir jetzt zu viele äh Degationen hintereinander, äh die Forderung nach der Streichung der Ausnahmeregelungen, wonach gegen Krankenkasse keine Bußgelder verhängt werden können, hat kein Eingang ins Gesetz gefunden. Können wir das mal irgendwie ohne dreifache.
Linus Neumann
Dass Krankenkassen ohne Diskussion. Den DSGVO DSGVO-Bußgelder bezahlen müssen, wenn sie Datenschutz verletzen oder ähm mangelnde Informationssicherheit haben. Weil es in diesem Gesetz eine Ausnahmeregelung dafür gibt.
Tim Pritlove
Und das gibt es auch nach wie.
Linus Neumann
Diese Ausnahmeregelung ist drin geblieben. Und die Argumentation ist natürlich, weißt du, wenn du so eine DSGVO machst, dann machst du dir damit die, damit die äh Leuten Sorge macht, damit sie ordentliche Informationssicherheit äh und, ordentliche Informationssicherheit und ordentlichen Datenschutz umsetzen. Und ausgerechnet da wo die kritischsten und sensibelsten Daten verarbeitet werden, machste das dann nicht, ne? Das ist natürlich schon sehr überraschend, also keine Ahnung. Open Table Restaurant Reservierungssystem fällt dann unter die DSGVO und der eine Krankenkasse, die irgendwie die höchst sensiblen Daten von dir hatten nicht. Das ist natürlich ein bisschen komisch.
Tim Pritlove
Ja, in der Tat. Also ich meine, es gibt ja, wenn ich das richtig sehe, klingt ja jetzt erstmal so ein bisschen illegal hier, europäische Richtlinie oder Grundverordnung äh einfach aussetzen, aber es gibt ja so eine Ausnahme, glaube ich, in der, GVO, das starten das tun können. Ich glaube, das hatten wir auch schon mal mit Österreich äh das ähm die Regierung, dass äh auf bestimmte Bereiche anwenden wollte, halte ich allerdings auch wirklich für absolut, unangemessen. Also gerade da, wo mit so sensiblen Daten gearbeitet wird, genau da als die Strafen rauszunehmen, ist ja auch nicht Quatsch.
Linus Neumann
Absolut. Dann gibt es ein Update vom OTF, dem Open Tech Pfand. Wir hatten ja ähm hier darüber gesprochen, was da, dass da jetzt der wirklich Beispiellose Angriff der Trump Administration. Gegen diesen ähm, ging die sehr Stiftungsfond. Ähm ein angeleiert wurde. Stiftung ist natürlich nicht der richtige Begriff Begriff, es ist ja ein eine Regierungsfonds, aber ähm wird eben in dieser Form einem, Zwecke zugeführt. Ähm der neue CEO deshalb wie ist das immer. Ähm Media Service, wie auch immer. Also der, dem, der da quasi drüber liegt, hatte ja den CEO Präsident und das vom OTF einfach mal geschasst.
Tim Pritlove
US Agency vor Global Media US.
Linus Neumann
Glaube im Media genau. Und dann hat der OTF quasi ein Emergencer, äh vor Gericht beantragt, also quasi Notfallregelung, um das irgendwie zu verhindern. Ähm, das hat die Richterin ihn nicht zugestanden, aber sie sagt, dass es hier äh wichtige Aspekte der Unabhängigkeit des OTF angegriffen werden. Und in einem, hoffen sie da jetzt das weiterklären zu können. Also die wehren sich quasi mittels Gerichten dagegen. Ähm. Außerdem, also sie, der OTF geht davon aus, dass der äh Mister Pack eben nicht das tun darf, was er da tut. Ähm und, leider bleibt damit die Möglichkeit des in Zukunft weiter zu arbeiten. Quasi unsicher, denn ähm das äh USA GM hat den. Quasi auch die Gelder eingefroren, die sie schon ähm per ähm also die sie schon quasi per Kong.
Tim Pritlove
Gesagt haben, hm.
Linus Neumann
Zugesagt hatten, also wurden ihnen zugesagt, hatten sie anderen zugesagt, diese Gelder wurden jetzt aufge, also dieser, dieser Blockade wurde aufgelöst. Das heißt, die Gelder, die ihnen quasi schon zugestanden wurden, haben sie jetzt auch, können sie auch austeilen. Ja, das sind ja auch laufende Projekte, aber die haben trotzdem noch, ungefähr die Hälfte des Geldes für zwanzigzwanzig halten die noch zurück. Und obwohl die quasi schon vom Kongress ihn zugestanden wurden. Und das bedeutet jetzt für den OTF, dass sie sagen, naja, wir wollen eigentlich keine Funding-Commitments eingehen, wenn wir nicht wissen, ob wir dieses Geld bekommen. Mit anderen Worten, wir sind jetzt halt äh gelähmt, sobald wir wissen. Dieses Geld uns auch gegeben wird, dann geben wir das auch aus, aber im Moment können wir hier keine Versprechen machen. Das ist also nach wie vor eine, sehr unschöne Situation, nicht behandelt, dass ja hier insbesondere auch deshalb, um mal zu sehen, so wie schnell, dass dann halt passiert, wenn man irgendwelche Gangster. In die Regierung holt, dass sie dann eben dir deine schönen Sachen kaputt machen, ne. Insofern die. Wenn ihr die Möglichkeiten habt, an verschiedenen Stellen euch dafür zu stärken von politischer Seite, also sei es von Seiten der EU, sei es von Seiten der Landesregierung, Salz von Seiten der Bundesregierung, sei es von mir aus auch von Seiten von Stiftungen oder Unternehmen, die Geld spenden wollen, in diesem Bereich zu investieren, irgendwo in Europa ähm, und irgendwo wo's unabhängig ist und sich den Fängen von Trump AfD und ihres Gleichen entzieht, dann äh wäre das gut. Äh das zu tun. Okay, das waren jetzt, da war quasi jetzt ja nur die Updates zu den zu den vergangenen Themen. Kommen wir mal zu dem.
Tim Pritlove
Neuen Kram.
Linus Neumann
Neuen, neuen, schlechten Nachricht.
Tim Pritlove
Neu, genau und die aktuelle Diskopiel. Da ist wieder einiges zu holen.
Linus Neumann
Ja, wir haben uns viel darüber unterhalten, ne oder in den letzten Jahren und Monaten über diese ganze Geschichte mit den Staatstrieren an. Und. Wie ihr wisst soll ja bald wieder ein neues Gesetz entschieden werden, was dann den das Recht zur Infektion von Geräten auch den Geheimdiensten geben soll. Und. Was hier immer noch natürlich das Problem ist, wie kommt denn diese Schadsoftware auf das Gerät? Wir haben's hier hunderttausend Mal besprochen. Das Gerät braucht eine Schwachstelle, die Schwachstelle muss ausgenutzt werden. Und ähm die Schwachstelle sollte nach unserem nach unserer Überzeugung ähm eigentlich. Entfernt werden, ja? Und nicht einfach bestehen lassen auf den Geräten, von potenziell vielen Nutzerinnen und Nutzern. Damit diese nicht auch von anderen gehackt werden. Diese Diskussion haben wir hier oft genug rauf und runterdiskutiert. Jetzt findet sich in dem aktuellen Gesetzentwurf ein sehr interessanter, eine sehr interessante Formulierung. Die nämlich im Prinzip das Umleiten von Traffic zum Zwecke, der. Infektion ermöglichen soll. Also die Installation von Staatsfrieranern. Soll von den Providern. Durch Unterstützung bei der Umleitung von Telekommunikation ermöglicht werden. So, klingt erstmal komisch, ich erkläre das mal. Nehmen wir mal an. Es gäbe eine Schwachstelle in eurem, Browser, die sich ausnutzen lässt, indem ein bestimmtes Java Skript, mit diesem Browser aufgerufen werden muss. Dann ist die nächste Aufgabe, die ich als Angreiferin habe, dafür zu sorgen, dass ihr mit euren Browser eine Seite ladet, in der euch dieses Java Skript. Angezeigt wird. Ja, wenn ihr aber jetzt einen Surfer halten habt, dass ihr was weiß ich nicht regelmäßig, die Webseite des. Verfassungsschutz des Besucht oder andere Webseiten, die ich als Angreifer kontrolliere, dann gelingt mir das nicht. Ja, also ich muss, ich müsste euch dann was, weiß ich, zum Beispiel, eine E-Mail schicken und sagen, klick mal diesen Link oder, oder, oder, ne? Es gibt noch andere Möglichkeiten, vielleicht versuchen Werbung zu schalten, dann hätte ich aber direkt wieder so einen Streuangriff auf sehr viele Leute. Eine Möglichkeit, das zu tun, wäre aber zu sagen, okay, pass mal auf, wenn diese Person dieser Anschluss. Ähm HTP-Seiten aufruft, Also unverschlüsselte äh Webverbindungen, dann leite das mal um, durch unseren Infektion Proxy, Also ein, ein quasi ein Proxis-Server, der der dazwischen steht und sagt, alles klar, ich schreibe zum Beispiel in irgendwelche Seiten, die du aufrufst, dieses Javas kriegt einfach rein, oder ich leite dich um auf eine andere Seite, wo dieses Javas gibt, dann kommt. Ja. Noch schöner. Ähm und vielleicht als Beispiel noch viel äh einfacher, umzusetzen ist, eure Computer machen regelmäßig Updates. Also, was weiß ich, starte es irgendeine Software, sagt die Software ist ein Update da. Willst du update, sagst du, ja. Und dann installierst du das Update. In der Regel werden diese Updates über. Das Internet heruntergeladen. Ja klar, wo sollen sie auch sonst herkommen? Dabei kommt entweder HTTP oder HTTP, es zum Einsatz. Äh inzwischen zum Glück viel mehr HTPS, noch vor einigen Jahren war das totaler Standard, dass diese Downloads einfach über HTP ging, Der Hintergrund dafür war, dass man. Potenziell diese Updates ja auf einmal sehr vielen Nutzerinnen zur Verfügung stellt und wenn die dann alle runterladen, hält man die Last auf dem Server geringer, wenn man einfach kein SSL macht, macht. So, das hat eine sehr unangenehme Eigen. Halt, weil ich quasi, wenn ich einen solchen, Proxisurverhabe und dein Traffic umleiten kann. Ich zum Beispiel sagen kann, Stadt deines neuen Updates für den VLC-Player oder was auch immer. Kriegst du jetzt einen infizierten VEC-Player, Und das ist natürlich eine der elegantesten Methoden. Der Schadsoffer Infektion. Unter der Voraussetzung, dass du, ein Betriebssystem verwendet, wo jetzt nicht weiter noch irgendeine Signaturprüfung stattfindet, ähm oder du auf anderem Wege sicherstellst, die Software wirklich aus der Quelle zu bekommen, ähm die du haben möchtest. Leider, wenn du es aber hier mit einer staatlichen Stelle zu tun hast, sollte es am Ende wahrscheinlich auch nicht so schwer sein, dass sie dir tatsächlich einfach signierte unterschieben und von mir aus auch äh TLS-Verbindungen bösartig umleiten. Das ist schon ein ganz schönes, ganz schön hartes Stück, weil also, gerade zum Beispiel deutsche Telekom, ich nehme die jetzt als Beispiel, ne, wenn die dazu verpflichtet würde, die operieren ja auch eine rot C ein. In anderen mit anderen Worten könntest du die dann auch, wenn du sagst, du bist gesetzlich äh verpflichtet die Umleitung zu ermöglichen. Dann kann man auch sagen, dann machst du auch direkt noch ein Zertifikat dafür. Und dann hast du echt äh ein Problem. Also, oder wir oder die Gesellschaft.
Tim Pritlove
Ja und dann war's das mal mit der Integrität deiner äh deiner Systeme. Michael hat das wohl gesagt, gerade an äh nochmal an dieses Snowden-Revolations, unter anderem gab's ja dann auch die Dokumentation, der Praxis, das so Pakete äh Bestellungen über Amazon äh wo Leute sich dann so Switches und Router bestellt haben, dann teilweise von den ähm was jetzt, welche NSA.
Linus Neumann
Es war diese Special Operationsness hier.
Tim Pritlove
Irgendwie sowas. Also auf jeden Fall die Dienste, TM. Die haben dann äh dieses Paket abgefangen, sich den Rauter äh genommen und entweder durch ein anderes Modell ersetzt oder an diesem Gerät noch Modifikationen vorgenommen, sprich die Firmwer aktualisiert und das Teil was dann halt tatsächlich zugestellt bekommen hast. Das war dann quasi schon infiziert. Und das ist jetzt quasi die Online-Version davon, Ne, das, also jeder, jeder äh Download potentiell eben dazu verwendet werden kann. Und das ist, ja, das ist, das ist eben, klar, es wird jetzt immer mehr harte DPS äh äh verwendet, et cetera, letzten Krypto hat da eine ganze Menge dazu beigetragen, das mindert so ein bisschen die Wahrscheinlichkeit, aber es ist kann ja im Prinzip für für richtige Mal, wer reicht eigentlich so, alles irgendwie so ein bisschen aus, was irgendwie mal einmal kurz nicht verschlüsselt ist, dann gibt's immer mal was und mit größerem Aufwand kann man dann eben auch noch diese Verschlüsselung, auch noch äh imitieren, wie du das schon gerade angedeutet hast, dem halt diese ganze Zertifikatswesen ausgebremst wird und das ist ja, einfach mal nichts anderes als eine totale Attacke auf einen, selbst, also damit wird ja wirklich jeder Schutzmechanismus komplett äh ausgehebelt oder beziehungsweise wird ein Regime erschaffen, auf dem es, wenn es im Einzelfall technisch möglich ist, dann eben auch automatisch ermöglicht wird.
Linus Neumann
Und wo äh dann auch das Fundament, also einer der Aspekte, auf die wir vertrauen, ne? Ähm ist, dass die Internetprovider uns, Internetproviden und dass die keinen Heckmac machen. Das ist eines der also das das ist Infrastruktur, ne? Die hat bisher eigentlich das gehört sich nicht die anzugreifen und wir gehen davon aus, dass wir den Vertrauen können, ne? Es gibt also, Es gibt ja eine ganze Reihe an auch äh ja esoterischen, Sicherheitsvorstellungen, die Leute pflegen, ne? Eine davon ist, was weiß ich, wenn ich im Unverschlüsse einen Waifi bin, ist es irgendwie gefährlicher, als wenn ich äh in einem in meinem Zuhause bin, ja, kommt natürlich immer ganz darauf an, aber für um mal den Vergleich zu machen, das hieße das Internet wird zu einem potenziell unsicheren Wifi. Und der Staat kann die Infrastruktur, in ihren fundamentalen zusammenhängen, umbiegen. Der Staat ist ein Maschine in, Ähm wir haben hier, glaube, war auch letztes Jahr äh noch diese Fälle diskutiert, wo irgendwelche komischen Länder dann auf einmal Ruhe CAS äh Kompromisieren und so, ne? Also das ist das ist wirklich richt, richtig gefährlich und ein riesen Problem, weil ich äh zitiere da. Gerne den Chris to going, der im Prinzip sagt, oder das Argument gebracht hat so, weißt du, in diesem ganzen Cyber War und was da alles stattfindet, ne? Diejenigen, die die Infrastruktur bereitstellen oder die die Dienste bereitstellen, die sollten im Prinzip, äh so wie nach den Genfer Konventionen irgendwie wie so Sanitäterinnen und Sanitäter betrachtet werden, ne? Das ist das so, die brauchen wahr. Und die greifen wir nicht an. Erst recht sich verpflichten wir die und erst recht bewaffnen wie die nicht. Ne? Das wäre jetzt also du kannst im Prinzip sagen, hier werden halt Zivilistinnen mit eingebunden. Und bewaffnet die aber eigentlich in einer Situation sind, in der alle ihnen vertrauen sollen müssen und äh das quasi das das Grundvertrauen, ist. Und das halte ich tatsächlich für ein riesiges Problem, diese äh, diese Gesetzgebung. Und ich kann tatsächlich sagen, ich habe äh gestern, hier nochmal äh einige Sachen umgebaut in meinem, in meiner routing Infrastruktur, um irgendwie sicherzustellen, dass ich möglichst ähm. Das erschwere, dass ähm mein Traffic irgendwo ähm ja manipuliert wird, zumindest auf Seiten meines Internet Providers. Ausschließen kann ich's aber nicht, weil die können ja von der anderen Seite kommen, ne? Also Beispiel, wenn jetzt sagst OK die sollen nicht bei meinem Internet Provider sitzen, dann könnt ihr aber immer noch auf der anderen Seite bei meinem Internetprovider sitzen, wo ich dann wieder ankommen, ne? Selbst wenn ich mir jetzt wenn ich jetzt mit irgendwelchen VPNs erstmal aus, aus der Europäischen Union, raus, Kletter und dann wieder reinkomme. Irgendwann ist der Traffic ja trotzdem wieder da. Und das ist, denke ich, etwas, was man unter keinen Umständen. Erlauben sollte. Es gibt dort ein ähm also Andreatas in seinem Artikel, André Meister, hat das in seinem Artikel auch nochmal verlinkt, das ist auch das, was mir da als erstes in den Sinn zukommt, eine Werbebroschüre von zweitausendelf von Finnfischer, ja, also den. Äh dem Staatstrojaner lieferanten den unter anderem Thorsten und ich, analysiert haben, aber auch sehr viele andere, sehr viel früher. Ähm die bieten das quasi als fertige, Kiste an und haben so ein, so ein Video davon, wo das auch äh klärfeld, ne? Da stellst du, das Ding heißt Finnfly, ISP, Und das wird quasi beim ISP hingestellt, Und dann gehst du quasi als BKA oder in dem Fall jetzt natürlich als Geheimdienst, ne? Gehst du einfach nur noch hin und sagst, okay, die Kiste steht da, jetzt sagst du alles klar, jetzt wird diese Zielperson wird jetzt dadurch gerutet Und der prüft dann automatisch die ganze Zeit Aletten, werden hier irgendwelche, zum Beispiel. Excel Dateien oder Executives runtergeladen und live patch, so so die Beschreibung. Ich denke mal, ehrlich gesagt, der äh hält das eher einfach hält quasi eine Schadsoftwarevariante von möglichen, ähm Zielen bereit, was weiß ich, häufig, häufig genutzte Software, werde das naheliegende, ne? Und wenn er dann sieht, ach, gibt mal wieder eine neue Version. In dem Video ist das dann iTunes, dann wird eben beim nächsten Update kriegst du den die Schadsoftware, mit deinem iTunes-Update runtergeladen und um quasi so etwas einzubauen, brauchst du immer nicht viel, ne? Du kannst quasi jede Software mit ein bisschen Mühe in. Andere legitime Software reinpatchen. Deswegen ist äh infizieren sich ja auch so viele mit Schatzerfair, falls in meinen fünf Euro für irgendeine Programm sparen zu müssen und stattdessen aus dubiosen Quellen eine gecreckte, Version mit einigen Sonderfunktionen herunterladen.
Tim Pritlove
Ja es ist Service sozusagen. Also man.
Linus Neumann
Wirklich übel, das ist wirklich schlimm. Da sind auch also nur um das mal der Bitcoin ist dagegen, Eco ist dagegen, ne? Also die betroffenen Branchenverbände sind selber dagegen, weil sie sagen, ey, das, geht an unser Vertrauensverhältnis mit den Kundinnen und Kunden. Und das ist wirklich ein Problem. Wir wollen nicht eure Hilfsschere werden. Und. Sie haben eine lange Liste mit den Zugangsanbietern, also Internetmobilfunkanschlüsse. Aber zum Beispiel auch Betreiber kommerzieller WLANs, dann die Internetknotende Kicks, Backbownanbieter, Glasfaserbetreiber. Hostinganbieter, alle äh sollen quasi diesem dieser Mitwirkungspflicht unterliegen. Und das ist echt äh poyo you. Das ist echt übel.
Tim Pritlove
Also ich hatte im Vergleich so mit äh Vertrauenszerstörung auch ganz ganz treffend so, ne, man stellt sich jetzt mal vor, man werde jetzt beschlossen, so, ja, wir müssen manchmal einfach was über Leute rausfinden, ähm wir heben dann halt einfach mal die ärztliche Schweigepflicht aus. So, weil kann ja sein, dass du da mal so eine Information mal gebrauchen können. Dann geht er irgendwie keiner zum Arzt. Also das.
Linus Neumann
Das mache ich aber nur bei den Bösen, ne? Ja.
Tim Pritlove
Ach so, na dann. Das hatte ich jetzt vergessen.
Linus Neumann
Das ist also genau ärztliche Schweigepflicht ist da auch nochmal ein echt guter Vergleich, ne? Die Team muss eben absolut sein.
Tim Pritlove
Ja, aber sonst kannst du ja irgendwie niemanden mehr trauen.
Linus Neumann
Und ich kann dir aber sagen, was also wenn sie das bekommen, ne, dann wird die Infektion mit Charts offair und das verbreiten von Staatstrianern echt easy. Dann wird das einfach, weil du, einfach so eine Menge an Traffic hast und so eine Menge auch an doch auch heute noch irgendwelchen Unverschlüsse Verbindungen. Dass das echt schwierig ist, da noch für die äh Integrität der Software zu äh sorgen. Und sei es jetzt mein Excuts kriegt man noch hin, ne? Beispielsweise ähm, die meisten Linux Distributionen laden jetzt zum Beispiel ihre Softwarepakete auch einfach über HTP, weil sie vor installiert quasi die Signing Kies haben. Das heißt, im schlimmstenfalls, wenn die Software verändert ankommt, dann merkt das System das, ne? Das ist eine ganz sinnvolle Möglichkeit, damit umzugehen. Und es ist natürlich so, dass dieses Code-Signing auch bei Macoes und Windows jetzt zunehmend Einzug erhält, aber deswegen habe ich ja gerade mal dieses Beispiel mit dem, mit dem genommen. Das zeigt, dass tatsächlich nochmal. Sehr, sehr gut, das Problem, insbesondere in einer Welt, in der sich jetzt eh alles in die Cloud bewegt, ne? Ähm werden vielleicht zukünftige, derartige Angriffe eh eher in Form von Java Skripten stattfinden als in Form von Code, der tatsächlich auf deiner Maschine ausgeführt.
Tim Pritlove
Ja, wir haben jetzt auch gerade äh als Reaktion auf die Veröffentlichung der Kroner Warn-App ja auch gesehen, wie viele Leute es die ganz stolz drauf sind, dass sie noch ein ganz altes Telefon verwenden und auf gar keinen Fall da auf neue Technik äh umsteigen wollen, ja? Es war teilweise schon etwas äh verstörend diese Diskussion Da kann ich nur sagen, ja, ihr seid dann aber auch wirklich Open Game. Also das ist äh genau das Ding. Wenn halt einfach jeder beliebige Datenstrom mal eben im Umgang werden kann und dann gibt es halt irgendein was weiß ich, Sicherheitslücke bei irgendeiner alten Android-Version oder bei irgendeinem iPhone äh vier, was noch jemand in Betrieb so, dann ist das dann halt auch sehr schnell auszunutzen.
Linus Neumann
Ja, das ist, also das ist echt ein, das ist wirklich ein Problem, ne? Also äh da und ich ich sehe das jetzt auch schon wirklich, ehrlich gesagt, hier in der in der Sommer im Sommerloch untergehen, ne und. Ja ich halte natürlich zum Glück die Möglichkeiten dagegen zu klagen, eigentlich relativ gut, aber. Allein die Idee, also die Idee ist so krass, ja. Und dann halt für Geheimdienste, nicht für Polizei, ne? Also nicht nennenswerterweise für Polizei, sondern direkt äh. Alle neunzehn Geheimdienste, die die Bundesregierung hat, soll diese Stadt zu einer bekommen und es soll halt jetzt am nächsten Mittwoch auch schon beschlossen werden. Das heißt.
Tim Pritlove
Ach so, das ist gegen Terror, na dann Linus weiß ich gar nicht, warum du dich groß aufregst.
Linus Neumann
Ja, ich habe, äh, du, ich habe hier wirklich gestern bis tief in die Nacht ähm Infrastruktur renoviert, ne? Und besser gemacht.
Tim Pritlove
Was kann man denn da besser machen.
Linus Neumann
Ah, da gibt's immer äh Verbesserungsmöglichkeiten hier, ne.
Tim Pritlove
So, so, willst du denn dann nachfolgen, nicht teilhaben lassen.
Linus Neumann
Ich mache jetzt, ich mache hier, ich mache äh ja schon längere Zeit, versuche ich ja. Schlandroutin zu vermeiden und äh und äh das äh kann man natürlich immer nochmal bessern.
Tim Pritlove
Da stehen.
Linus Neumann
Ja, das sind äh nicht so gute Nachrichten.
Tim Pritlove
Aber es gibt auch nach schlechte Nachrichten aus anderen europäischen Staaten.
Linus Neumann
Ja äh schöne Diskussion. Haben wir ja in letzter Zeit über diese Kontaktlisten. Also muss ich ja mal wirklich sagen, diese ganze Chorona Diskussion, ne. Ich finde das sowas von. Zum über welche Themen der diskutiert wird und über welche Themen nicht. Du hast erst einerseits diese einfach wirklich völlig nicht ernst zu nehmen, denn. Corona App schwurbler, die sich irgendwelchen Unsinn dazu ausdenken und nur um irgendwie dagegen zu sein, weil sie schon immer dagegen waren. Du hast eine Diskussion über. Ähm Maskenpflicht, als wäre das jetzt die große Einschränkung unseres Lebens, dass man sich mal so 'ne blöden Mundschutz aufsetzt, wenn man mal einen Meter durch durch den Biomarkt geht oder was, ne? Als wenn das jetzt die große Einschränkung wäre, ne, großes Thema, ob man so eine blöde Maske aufziehen muss oder nicht. Statt äh einfach mal zu machen. Ja und dann noch irgendwie das Nächste, worüber sie sich aufregen, ist dann. Dass man beim Restaurantbesuch ein Zettelchen ausfüllen muss mit seiner Adresse und dann sind sie auf einmal alle Datenschützer und beschweren sich bei Facebook, dass sie irgendein Zell ausfüllen müssen im Restaurant. Als wäre das das große Problem. Und weil sie dann nämlich sagen, der Zell ist so schlimm, halten sie sich dann für modern und sagen, was ich voll geil finde, kann man ja halt nicht mit einer App machen, da braucht man dann auf einmal eine App. Ja, die Schweiz hat's gemacht. Wunderschön und hat eine, eine eine, also da gibt's eine App, die heißt quasi fortable und ich glaube, dass die, ich bin mir nicht ganz sicher, ob die nur für die diese Registrierung der Kundinnen und Kunden ist oder auch für Tischreservierungen, aber. Sie äh ich glaube hauptsächlich Diensti der Erfassung von Kontaktdaten von Veranstaltungs- und Restaurantgästen. Ja, Vorteil dieser App soll.
Tim Pritlove
Einfach eine Reservierungsapp generell für Restaurants.
Linus Neumann
Ist es auch, ja, dann haben sie das halt hinten dran gehackt, dann haben sie das an ihre Reservierungsapp noch dran gehackt, ja? Und, ne? Die Idee, also die Vorteile einer solchen App klar, du hast die, musst nicht, hast keine Probleme mit der Schrift, Ne, du hast eine, du hast eine Speicherung an zentraler Stelle, hat natürlich bestimmt einen Komfort, die Nutzerin können sich eventuell was weiß ich selber schon da eintragen, bevor sie überhaupt dein Restaurant besuchen und so weiter. Will ja alles gar nicht in Abrede stellen. Das Problem bei so einer App ist, dass du irgendwo eine Datenbank hast, mit allen Restaurantbesucherinnen ähm der letzten vierzehn Tage will man meinen will man meinen vierzehn Tage. Bei vierzehn Tage ja die Aufbewahrungspflicht ist. Die beste Lösung, die sich jemand für so etwas ausgedacht hat, ist folgende. Jeder Tisch oder jede Besucherin kriegt irgendwie einen eigenen Zell, damit da nicht die Daten von den anderen schon draufstehen. Diese Zelle kommen am Ende des Tages in einen Umschlag auf den Umschlag, wird das Datum geschrieben und wenn der Umschlag vierzehn Tage alt ist, wird der beim Pizzaofen mit ins Feuer geworfen Ende der Geschichte. Aber nein, aber nein, man kann auch eine Web-App machen. So, jetzt gibt's hier diese hat sich angeschaut, der Joel Gunstenreiner von. Jetzt hier kurzer äh Transparenzhinweis. Ist die Firma von Thorsten oder unter anderem von Thorsten führt er mit einem anderen Kollegen zusammen und mit der Firma arbeite ich auch regelmäßig zusammen, der sich mit Thorsten regelmäßig zusammenarbeite, sieht man ja auch an unseren gemeinsamen Veröffentlichungen im CCC-Bereich, gemeinsam Vorträge und so weiter. Also, hier hat sich, Joel, so eine äh App da mal angeschaut. Fortable dot com. Und festgestellt, dass die quasi, also sobald du da ein Restaurant hast, kannst du dann eben deine Kundinnen anzeigen lassen. Und diese Kundinnen haben aber, im Prinzip fortlaufende Zahlen. Mit anderen Worten, du gehst einfach hin und sagst, ach, was ist denn Kunde fünf? Und finde es dann ein Kunden von einem anderen Restaurant.
Tim Pritlove
Sicherheitslücken aus den Neunzigern so.
Linus Neumann
Ich irgendwie so um die hunderttausende Datensätze daraus geholt, also ging waren daraus zu holen. Und. Alles was du dafür brauchst ist im Prinzip dich dort anzumelden als als eigenes Restaurant und da mal zu sagen, jetzt grasen war mal die Restaurant, die die Kundinnen, der anderen Restaurants ab. Und kriegst alle Restaurantbesuche der Schweiz. Für ein Zeitraum von, jetzt kommt's länger als vierzehn Tagen, weil sie noch nicht einmal gelöscht haben, Ja, also die ältesten Daten, die sie dort äh rausgeholt haben, waren eben quasi seit Beginn dieser Funktionalität und nicht äh das älteste vierzehn Tage. Ja, also mit anderen Worten, dieses nicht nur haben die Diaten unsicher gespeichert, sondern auch noch zu lange. So, jetzt wisst ihr, warum man so etwas nicht digital haben möchte, weil das dann schnell hingestrickt wird von irgendwelchen ähm. Leuten, die sich vielleicht nicht ganz im Klaren darüber sind, was sie da basteln, und ich denke tatsächlich hier mit den ähm vierzehn Mittel, mit der Verletzung dieser Speicherfrist. Ich kenne jetzt die rechtliche Situation in der Schweiz, nicht so genau, aber ich glaube, wenn ich das richtig verstanden habe, gab es da eine Verordnung. Und in dieser Verordnung, das ist die Corona-Verordnung, da gibt es den Artikel fünf, Und da müssen sie das zwar erheben, aber da ist auch eine Löschung nach vierzehn Tagen vorgeschrieben. Das heißt, dagegen haben sie dann auch noch verstoßen. Herzlichen Glückwunsch.
Tim Pritlove
Super, mit so einer Fehlerkultur wie in den neunziger Jahren, für Web-Apps und wie sie also dieses IDs durchzählen und so weiter. Das sind so die Klassiker, damit fing äh Security im Prinzip an Ne, das waren so die ersten die ersten Dinge, die so richtig groß waren und ähm ja, kann mir schon vorstellen, wie das gelaufen ist, da kommt dann so seine Geschäftsführer irgendwie in die Entwicklerabteilung und sagt, ja, wir müssen jetzt hier irgendwie das mit den Kontaktlisten noch einbauen, hang doch mal rein und äh vierundzwanzig Stunden später war's da.
Linus Neumann
Also Mozio hat das dann ähm gemeldet. Ich weiß nicht ähm und haben sehr schnell, eine E-Mail vom Managing Partner der Lunch-Gate-AG erhalten die dieses Ding da gehackt hat, also gebastelt hat und die teilten mit, sie hätten die Schwachstelle behoben. Kurz davor hatten sie das Ding dann auch sofort abgeschaltet. Also, sie haben halbwegs ordentlich reagiert, zu der Verletzung der vierzehn Tage Löschfrist haben sich aber nicht geäußert. Ja, Ich würde sagen, wenn wir schon bei ähm Corona Fels sind, dann können wir auch noch ganz kurz auf diesen äh Scam. Eingehen. Ja, es gibt nämlich jetzt einen Korona Warn-App Scammer. Ich habe ja hier zu veröffentlichen und der Corona Warn-App gesagt. Dass ich davon ausgehe, dass sich irgendjemand nicht zu niedrig sein wird, weil es ist irgendjemand nicht zu niedrig sein wird zu behaupten, er oder sie habe irgendetwas an dieser Chorona-App gehackt. Und ich sollte recht behalten Tim Ich habe mich ja zwischendurch schon gefragt, weil es jetzt die App gibt's jetzt bald einen Monat, habe ich gedacht, komisch, dass sich keiner die Blöße gibt, noch irgendeinen Scheiß darüber zu behaupten und vielleicht sogar noch einen finanziellen Vorteil daraus zu ziehen, war fast vorbei, die die Zeit, aber natürlich gibt's jemanden, der es tut und zwar ist es Peter Felsner, das ist der stellvertretende Fraktionsvorsitzende der AfD. Was hat der gemacht? Nee, nee, nee, nee, nee, nee, nee, nee, nee, nee, nee, das macht er quasi im Rahmen seiner äh Privatwirtschaftlichen T.
Tim Pritlove
Nein, nein, ich meine Fraktion, welcher welcher Fraktion äh sitzt davor? Ja, im Bundestag.
Linus Neumann
Gehe ich von aus, ne? Sitzen die, also.
Tim Pritlove
Ob da irgendein Land.
Linus Neumann
Der kommt insofern vielleicht sitzt der auch da unten irgendwo ich im Bundesta.
Tim Pritlove
Im Bundestag sei es. Mhm. Ja. Peter Fellser.
Linus Neumann
Okay, ja, sorry, ich kenne diese ganzen.
Tim Pritlove
Ich auch nicht, aber ich hab's nachgeschlagen, Peter Felser.
Linus Neumann
Felser, Peter Felser. So ähm als diese, also wir wissen, diese Corona Warn-App sendet. Bluetooth-Bietens. Und diese Biegens ändern sich regelmäßig und die werden auch von sich ändernden Make-ud gesendet. Das dient dem Zweck, dass man nicht die Leute nachverfolgen kann, Da diese Bluetooth-Beatens natürlich mit jeder Bluetooth Hardware zu empfangen sind und es Blutdruckfahrtwehr sehr günstig gibt, hat sich schon mit der Veröffentlichung der App, haben sich ja eine ganze Reihe an, sage ich mal Findigen interessierten Technis da dran gemacht. Im Prinzip Scanner zu bauen. Du kannst dir für Android direkt auch einen runterladen, den gibt's quasi fertig, wo du, wo du die gesamte Funktionalität schon hast, der ist kostenlos und heißt Ramble, Ähm der da kannst du quasi sagen, okay, mach mal den Scanner, du kannst auch Filtern quasi auf Messages vom Typ ähm, Content, äh Tracing Notification oder Content Tracing bieten. Und kannst damit quasi immer sehen, ach guck mal, da hat gerade wieder jemand was gesendet, kannst du im Prinzip hier ne, dein Telefon hinlegen und kannst du gucken, was was ist denn so, Bluetooth gerade los. Das ist ja eine Eigenschaft von Funk ist ja, dass man Funk empfangen kann. Das ist ja so eine so eine wahnsinnige Eigenschaft von Funk. Und deswegen, ja, doch, kann man empfangen. Funk kann man empfangen. Und. Und deswegen macht man ja, verschlüsselt man ja entweder, was man funkt, wie zum Beispiel euer WLAN oder in dem Fall, dass die Nachricht nicht verschlüsselt werden kann, äh und in die verschlüsselt werden soll, wie bei diesem Chorona Warn-App, dann ändert man einfach andauernd den identifire, damit man dann nicht getrackt wird. Ende der Geschichte. Und jetzt haben eben. Diese Scanner-Apps, die Leute so gebastelt haben. Frank hat sich Frank Rieger hat auch so ein kleines Ding gebaut mit so einem Stick irgendwie, der dir quasi immer anzeigt, wie viele Leute, wie viele Apps empfängt der gerade? Also der äh guckt sich einfach, die Anzahl bieten's an, geht natürlich davon, also natürlich, weil die sicher andauernd ändern. Und sagt dir so, ah okay, so und so viele Leute benutzen hier die App und er hat dann so anfangs mal so Scherze gemacht ähm irgendwie in der Nähe vom Biergarten mal einmal mit der Hand, die Leute zählen und dann mit dem Scanner gucken, wie viele er bieten's er so empfängt, um dann quasi damit mal so ein Mittel zu schätzen, wie viele Leute benutzen denn ungefähr die App, hatte auch ganz gute Schätzungen, ne? Dann gab's ja diese anderen beiden, die hättest du, glaube ich, weiß nicht, ob wir die hier behandelt hatten. Diese mit dem die mit Remble mal durch die Stadt gefahren sind und einfach geguckt haben wo häuft sich die Nutzung dieser App und haben dann quasi so eine.
Tim Pritlove
Genau, diese Headmaps, das ist ja schon am ersten Tag gewesen, ich weiß nicht, mal ganz genau, wo es war, Karlsruhe oder irgendwie sowas.
Linus Neumann
Die waren genau die war das nicht Osnabrück oder so was?
Tim Pritlove
Ich weiß nicht mehr, irgendeine irgendeine Stadt, auf jeden Fall und sind einfach mal durch den Fußgängerzone gelaufen und haben einfach genau im Prinzip genau das Selbe gemacht. Also, was, was dieser A.
Linus Neumann
War das nicht sogar Bochum? Ich glaube, der eine von denen war in der, an der Ruhe in die Bochum.
Tim Pritlove
Ja Bochum ist glaube ich richtig. Ist auch letztlich egal.
Linus Neumann
Security, Standort in Deutschland, Neuro und die Bochum bekannt für seine IT-Security und so weiter. Ne? Also Leute, die von dem Thema Ahnung haben, haben das am ersten Tag gemacht mit Bortenmitteln, mit allen möglichen kleinsten Dingern. Und äh haben damit Spaß gehabt und haben das Ergebnis gehabt, jo die App funktioniert, wie sie es sagt, nämlich, indem sie diese Bieten die ganze Zeit ändert. Wir finden kaum Fläche für eine für weitergehende und Identifikation der Geräte, kleiner Hinweis, es gibt äh eine Möglichkeit zu unterscheiden, ob der von dem Apple und oder von einem äh Android-Gerät gesendet wird. Kann man kritisch sehen, ist auf jeden Fall eine Auffälligkeit, liegt aber dann eben an Apple und Google. Das heißt, der kannst hier so ein Dashboard machen, wo du das hier gezogen so viel iOS und Sophie, Android und so weiter, ne.
Tim Pritlove
Ich glaube, das ist nicht, ich glaube, es ist nicht mehr so, wenn ich das richtig verfolgt habe. Es war am Anfang so bei Google ein Bittgesetz hat und äh das tun sie jetzt, glaube ich, nicht mehr.
Linus Neumann
Also, Leute, die echt Ahnung haben, machen das seit Tag eins und kommt zu dem Ergebnis, die App funktioniert wie versprochen, sie sehen keine weiteren Angriffsflächen als ähm gemeldet wurden, alles gut. Ein Monat später kommt dann dieser Peter Felser von der AfD, und stellt eine App in den Google Playstore. Ähm. Und sagt, das ist jetzt der Corona-Warnwarner oder sowas, ne?
Tim Pritlove
Die Sperpp.
Linus Neumann
Also eine und kostet, eins fünfzig oder sowas und hat dann so ein Video, indem er irgendwie rumschwurbelt, ja hier kann man das sehen, wer die App nutzt. Wir spielen ihn jetzt zurück und ich bin mir nicht sicher, dass die sicher ist und ähm sagt dann irgendwie ja, wenn die Kohl äh das Geld geht erstmal zur Refinanzierung. Seiner seiner App-Entwicklung da und ähm ansonsten in die politischen Projekte, mit anderen Wolken, hat's ja ungefähr vorstellen, welche politische Projekte, die AfD so hat, ne? Ähm, Also jetzt geht's zwei Möglichkeiten. Entweder der Typ hat fundamental absolut nicht verstanden, wie diese App funktioniert, und konnte dieses Unverständnis wie die App funktioniert aufrecht erhalten, über den gesamten Zeitraum, dass irgendwelche Humpalompass für ihn diese App gecodet haben. Oder aber der täuscht gezielt seine Wählerinnen und Kundinnen und bringt sie dabei auch noch um ihr Geld. Das ist doch irre, oder?
Tim Pritlove
Ja. Also klar, darum geht's ja hier auch. Also es ist. Wirklich so überrascht jetzt. Ja, ich meine er behauptet hier irgendwie theoretisch, könnten die Ergebnisse manipuliert werden, da es sehr leicht sei, an die IDs über Bluetooth heranzukommen, Ja, okay, gut, das ist klar, komm mal an die ID, aber da könnt keine Ergebnisse manipuliert werden, haben wir ja schon eine Million Mal erzählt.
Linus Neumann
Alles schon.
Tim Pritlove
Kriminelle Angreifer können das Ganze System sabotieren und boykottieren, in dem gefälschter IDs, von infizierten System der Regierung zurückgespielt werden, Ja, nur, wenn sie irgendwie eine Tarn kriegen, haben wir auch alles schon irgendwie erklärt. Also, das sind.
Linus Neumann
Alles schon geklärt.
Tim Pritlove
Ja, das sind alles leere Behauptungen. Eins neunzehn wird übrigens nur haben, ist ähm Angebot.
Linus Neumann
Da ist jetzt günstiger geworden.
Tim Pritlove
Ja
Linus Neumann
Also, ich habe tatsächlich, wir haben das von mehreren Hörerinnen und Hörern und Freundinnen natürlich auch zugesendet bekommen. Und ich habe ernsthaft noch darüber nachgedacht, ob ich das jetzt irgendwie ähm. Ob ich das, ob wir das hier überhaupt behandeln und so einem so einem Scammer, ja, also ist ja quasi ein ein betrügerisches Angebot.
Tim Pritlove
Ja, das ist schon gut das zu erwähnen, weil ich hatte dann auch so diverse äh Leute auf äh Twitter, die auch keines besseren zu belehren waren und immer wieder äh mit irgendwelchen Links auf irgendwelchen Studien, die eigentlich alle immer wieder das selber erzählt haben, nämlich, man kann diese Bluetooth IDs per Funk empfangen und speichern und sich was bei denken, ja. Das war's dann halt auch schon, ja. Das das ist ja ein, was all diese Studien durchgehend immer wieder nur erzählt haben und ja, dann kann man auch wieder nochmal dieser Link und so, ja, hier ist so, äh, nee, sorry, keine neuen Erkenntnisse, lieste doch irgendwie auch mal durch steht.
Linus Neumann
Äh dann schreibt er noch, hätte allein in Berlin über eintausendfünfhundert Nutzer der Corona Waren-App innerhalb von vier Tagen auf der Speerapp dokumentiert, so. Das heißt, der hatte Kontakt mit vierhundert Personen im Schnitt, knapp vierhundert Personen pro Tag. Entweder muss die die App hat, ne? Die App ist gerade mal im Moment verbreitet bei, sagen wir mal zwanzig Prozent maximal der Leute, die da draußen so rumrennen, ne. Das heißt, an jedem dieser Tage müsste der zweitausend Menschen begegnet sein. Um auf diese tausendfünfhundert Krone Warnappnutzer innerhalb von vier Tagen zu kommen. Das wäre ein extrem verantwortungsloses Verhalten. Ich kann mir vorstellen, dass der Typ noch nicht mal weiß, dass diese App eben alle paar Minuten den Identifier ändert. Also ich kann. Oh man ey. Leute, das, das so sind die drauf. Also es ist so, sowas so so unseriös Tim, das ist überhaupt nicht fundiert, ja? Absoluter Unsinn und äh da habe ich besseres zu tun. Deswegen widmen wir uns demnächst ein Thema. Denke nur man sollte sich merken, mit welchen also ist jetzt nicht neu, dass dass Politikerinnen und Politiker mit unseriösen Behauptungen hausieren gehen, ne? Aber das ist ja auch nur eins neunzehn dafür haben wollen ähm finde ich. Bin ich frech.
Tim Pritlove
Ja, das nehmen wir jetzt einfach auch. Eins neunzehn für für unsere seriösität nehmen wir eins dreiundzwanzig vielleicht einen kleinen Aufschlag. Richtige Seriösität kostet auch extra.
Linus Neumann
Ja, Mann, ey. Ja, auch schön. Playstore aus technischem Interesse heruntergeladen und wieder erstatten lassen. Die App ist sinnlos, selbst für Paranoika. Das dürfte jedem klar sein. Die App braucht mehr Berechtigung als die Corona Warn-App und findet einfach nur Bluetooth, Signale. Also, ja, es gibt auf jeden Fall. Habe mir das Geld wieder erstatten lassen. Das Ding findet einfach alles, Kopfhörer findet Fitnessarmbänder, und weiß Gott noch was? Es handelt sich nicht um ein Sniffer, der nach, entsprechende Bluetooth LE Signaturen sucht, sondern einfach alles. Antwort, vielen Dank für ihre Resension. Habe die App installiert und endlich meinen Bluetooth Headset gefunden. Die Äpfel ziemlich viele Daten von mir. AfD meine Daten. Wir sind von mein Geld zurück.
Tim Pritlove
Ja, vor allem, wenn dafür könnte es vielleicht ganz praktisch sein, falls ihr vergessen habt, Feuer einen Fernseher hingestellt habt, ne, dann vielleicht, aber bei Corona Walep hilft euch das jetzt nicht weiter.
Linus Neumann
Aber auch ähm auch eine, auch eine Ritze, es gibt natürlich auch Rezensionen wie folgende. Sehr schöne App, um zu sehen, wie viele dummköpfe jeden Tag an einem so vorbeilaufen. Vielen Dank an NTV DE, ohne eure Fake News zu der App hätte ich sie nicht gefunden Ja, das ist schön, dass die App dir zeigt, wie viele Dummköpfe an dir vorbeilaufen. Ein Geisterfahrer? Tausende. Aber wirklich, das das ist irgendwie. Mann, ey, das ist, also ich ja, je. Okay, kommen wir zu den nächsten schlechten Nachrichten. So.
Tim Pritlove
Gott, die ist auch richtig schlecht.
Linus Neumann
Wir haben ja hier schon behandelt, ähm Clear View, den, fashill, Record Nission Service. Heute ist mein Englisch, aber echt gut. Ähm diesen Gesichtserkennungsdienst, der äh spezifisch. Strafverfolgesbehörden angeboten wurde, ne? Die haben Facebook und andere soziale Netzwerke gescrapt, haben die haben darauf Gesichtserkennungsalgorithmen laufen lassen und dann konntest du da quasi ein Bild hochladen. Und hast dann die im Internet zu diesem zu diesem Gesicht erhältlichen Informationen, gefunden. Als Servicedienstleistung für Strafverfolgungsbehörden, Garten war ein riesiger Skandal, haben wir hier auch behandelt. So, jetzt dachte sich äh ein, eine Firma aus Polen, halt mal mein Wodka, Das machen wir nicht nur für Strafverfolgungsbehörden. Das machen wir einfach öffentlich für alle. Und zwar wir wir Pim Eis heißt dieses, dieser Service, damit von neunhundert Millionen Fotos ähm. Quasi darüber ihren Algorithmus laufen lassen zu haben und du kannst dann quasi ein Bild dort hochladen, um dich in diesen Bildern zu finden, Clever Eiwan um meine Hausnummer größer, die haben ja von drei Milliarden gesprochen. Ähm aber was das im Prinzip ist, ist eine Biometrie-Datenbank, ne? Das ist nicht irgendwie Kugel, Bildersuche, guck mal, ähnliche Bilder oder so, wo das ja auch teilweise sehr gut schon funktioniert, muss man echt sagen. Was, was wir hier haben, ist für die allgemeine Öffentlichkeit so ein Dienst, wobei die auch sagen, ne, irgendwie die limitiert ihre Epic ein bisschen. Und ab äh, weiß ich nicht, hundert Millionen Zugriff oder sowas, musste dann, musst du auch bezahlen oder. Also du musst schon früher bezahlen, aber kannst bis zu hundert Millionen irgendwie Zugriffe bekommen und geben das einfach der allgemeine Öffentlichkeit. So, was kann mit so etwas gemacht werden? Im, die das Thema wurde sehr gut aufbereitet von unseren Freundinnen und Kollegen bei Netzpolitik org. Wenn du auch mal gesagt wurdest, ja was mit Stalkern, was ist mit dem ähm Outing, von irgendwelchen Sexarbeiterinnen, was ist mit dem Auffinden von sogenannten Rachepornos ja auch so eine absolut asoziale äh Schiene, ne? Und. Was ist zum Beispiel ähm wenn du bei der Polizei irgendwie äh, Demonstranten demonstrierende Films, ne, was die ja die ganze Zeit machen. Und dann nachher einfach mal die Bilder, die so die Gesichter, die dich interessieren, einfach mal in so 'ne Gesichtserkennungscloud wirst. Das ist wirklich ein Problem. Und ähm ich kann mir nicht vorstellen. Dass das legal ist, einen solchen Service zu betreiben, aus verschiedenen Gründen. Erstens, denke ich, dass die betroffenen sozialen Netzwerke, die die da scrapen, auf jeden Fall AGB-Regeln dagegen haben, Zweitens, ist das ja eine Profilbildung? Weil du ja, von einer Person, ein biometrisches, ein biometrischen Fingerabdruck in Anführungszeichen, einen gemetrischen Gesichtsabdruck in dieser Datenbank, Speichers und öffentlich durchsuchbar Maß. Ich, also das kann gar nicht legal sein, und das ist echt problematisch. Ja, wenn. Also was da alles für Mist passiert. Es gibt ja diese ähm wie heißt nochmal die nicht Black Life Meda, sondern, Black Mirror, sorry. Ähm, diese Black Mirror Episode, wo du quasi diese Gesichtserkennung und Personenerkennung mit eingebaut hast, ne? Gibt's ja mehrere Episoden, glaube ich sogar von, die diese Dystopie behandeln, dass du irgendjemanden fotografierst und dir in irgendeiner Cloud sofort sagen lässt, wer das ist Ne? Das ist äh so so sehr man sich das manchmal wünschen würde. Für vielleicht auch den ein oder anderen sagen wir mal legitimen Anwendungszweck fallen einfach so viele missbräuchliche Sachen dazu ein, dass das wirklich äh.
Tim Pritlove
Verboten gehört, vor allem verboten gehört.
Linus Neumann
Ja. Deswegen ist es ja auch verboten.
Tim Pritlove
Die Profilbildung, aber generell die Gesichtserkennung und Überwachung dadurch äh das halt man nicht verboten.
Linus Neumann
Also Markus Beckedal hat da auch ein äh Kommentar nochmal zugeschriebene, setzt unsere Datenschutzrechte endlich auch durch, weil hier sieht man ja jetzt wirklich wo, die Reise hingeht und das ist ein Problem.
Tim Pritlove
Diese DSGVO, die ist echt nicht zu früh gekommen.
Linus Neumann
Ja, aber mal, also Markus Becker, da schreibt ja auch, ist vor allem ein institutionelles Problem, wenn die überwiegende Mehrheit der Expertin der Meinung ist, dass das nicht mit der DSGVO kompatibel ist, warum können Unternehmen in der europäischen Union, so agieren. Wer klagt dagegen? Wann bekommen wir endlich eine effektive Datenschutzdurchsetzung. Ja, das sind natürlich schon vernünftige Fragen, die ihr hier stellt, ja. Und ja, also ich denke, man braucht da eine klares Verbot für die Entwicklung und Nutzung von solchen automatisierten Gesichtserkennungssystemen im öffentlichen Raum. Das ist äh und ja dieses Pim-Eis sagt natürlich, ja, ja, du darfst nur dich selber hochladen, du musst hier dieses Häkchen aktivieren, dass das auch wirklich du bist, ne? Wobei ja keiner so bescheuert ist, sein eigenes Bild da hochlädt, Ja, denn der also ist ja wirklich natürlich letzte dann nur andere hoch. Ich habe Markus hochgeladen. Nein, man.
Tim Pritlove
Also ich habe dich dichter hochgeladen.
Linus Neumann
Ja, ich dich dann mal gesehen.
Tim Pritlove
Fahrbar war nur ein Versehen. Ich dachte, das wäre ich. Wir sehen uns so ähnlich.
Linus Neumann
Oh je. Okay, kommen wir zum letzten Thema, würde ich sagen. Das könnte jetzt das letzte Thema sein. Ähm. In den USA gibt es ja jetzt inzwischen seit mehreren Wochen eine Diskussion über, Polizeigewalt und ähm ja, institutionellen Rassismus, in den Strafverfolgungsbehörden. Und diese wurde unter anderem auch begleitet von, der den sogenannten. Das waren um die zweihundertsiebzig Gigabyte an Daten, über die sich über mehrere Jahre erstrecken und irgendwie Daten von mehr als zweihundert Polizeirevieren der USA umfassen, Teile dieser Datenschienen nicht unbedingt ähm irgendwie. Äh geheim oder nicht öffentlich zu sein, also einiges davon stammte auch so Freedom auf Information, Also im Prinzip hier so, frag den Start, Style-Sachen, ne. Informationsfreiheitsgesetzanfragen, ähm einige Sachen aus unklarer äh, und klarer Quelle, potentiell auch äh potenziell steht die Frage im Raum, ob davon Sachen auch gehackt waren, ja? Und, Veröffentlicht wurde, dass von einem Kollektiv mit dem Namen ich weiß nicht, wie sie auf diesen Namen gekommen sind, ähm soll also eine Anspielung sein, an Dedos und, äh geheime Sachen, ja. Verstehen sich als eine Transparenzplattform. Im Stile Wiki Leaks, aber kritisieren gleichzeitig das im durch die Konzentration auf Eigeneigene Interessen. Und auf eine spezifische Person ist von seinen Idealen abgewichen, sei so, also die das Selbstverständnis dieses Kollektivs, die noch dazu meinen, sie werden alle Journalistinnen. Ja, ähm. Die haben also diese Daten veröffentlicht und dann haben sie das getwittert und kurz darauf war ihr Twitter-Account weg, weil äh Verstoß gegen Twitterregeln verbreiten von illegal Erlangen Daten. Und dann war nach einigen Tagen auch ihr Server weg, denn der wurde jetzt von der Staatsanwaltschaft Zwickau bei dem, Provider aus dem Regal gezogen und beschlagnahmt, im Rahmen eines Amtshilfeersuchens des FPIs.
Tim Pritlove
Zwickau.
Linus Neumann
Da ist irgendwo ein Hetzner Datenzentrum in der Ecke. Und da sind die dann äh deswegen von dieser Staatsanwaltschaft. Ja und jetzt ist die Frage, man muss ja dann, es gibt jetzt kein. Plus über diese Beschlagnahme, sondern dieser Service, dieser das Rechenzentrum Falkenstein, wurde als Zeugedurchsucht, Was im Rahmen der FDP unmöglich ist und also quasi net die haben, dass das Rechenzentrum als Zeuge durchsucht und da bei den Server mitgenommen, ist jetzt nicht so als gäbe es eine richterliche Anordnung über die Beschlagnahme dieses Servers. Die sind einfach da hingegangen, haben ihn mitgenommen. Was schon ziemlich krasser Punkt ist, insbesondere, weil das eigentlich nur für Straftaten nach deutschem Recht gilt, aber, hier jetzt quasi für das FBI gemacht wird. Ja, das ist schon äh ziemlich. Interessante Rechtsauslegung, ne, dass jetzt irgendwie ohne Gerichtsbeschluss des FBI sagt, ey könnt ihr mal als Zeuge diesen Computer davon nehmen und den mal festhalten. Das ist schon ähm. Denke nicht, dass das eine ein juristischer Schritt ist, der in der Form Astrein ist oder der uns vorbildlich sein sollte.
Tim Pritlove
Also kurze Erklärung, du sagst Falkenstein, Rechtenzentrum, Falkenstein, also das ist bei bei Zwickau. Da hinten Plauen, da die Ecke.
Linus Neumann
Mhm. Ja. Anderer Punkt ist. Diese die dieser Server, bei dem die auf den die Daten von sind, der ist also jetzt weg und die kriegen's seit Tagen nicht hin, einfach einen neuen aufzustellen, was ähm. Also sagen wir mal, vorsichtig, ne, wenn wir von einer Leaking-Plattform reden. Die sich irgendwie anschickt, das bessere zu werden. Und die Hosten auf einem Server. Irgendwo in Falkenschein Falkenstein bei Zwickau und der Server ist wenn die, wenn denen der Server aus dem Regal gezogen wird, sind die mehrere Tage offline, dann schätze ich, dass die ihr Handwerk nicht so ganz im Griff haben. Weil das sollte natürlich haben sie auch auf Twitter geschrieben, zu deinem zu deinem Standardprozessen gehören, dass du davon ausgehst, dass dir die Büchs aus dem Regal gezogen wird und du dann, sagen wir mal, innerhalb von Stunden in der Lage sein musst, woanders deine Daten wieder bereit zu stellen, das ist ja nicht so schwer. Also, ne, du hast ja dann einfach quasi fertiges Firma irgendwo stehen, die du nur für diesen Fall hast und die du dann in Betrieb nimmst. Ja, das kostet ja auch nicht viel. Also mir ist völlig unklar, also das ist absoluter Dilettantismus, da mehrere Tage down zu sein, nur weil der, weil der Server aus dem Regal gezogen wurde. Er kostet ja nichts.
Tim Pritlove
Sie haben halt gedacht im Vogtland da im tiefen Sachsen da.
Linus Neumann
Da kommt, da kommen die Polizisten nicht.
Tim Pritlove
Kommt, dann kommen die nie drauf, dass da was ist.
Linus Neumann
Nee, also sorry das äh also dafür braucht man Kontingenzpläne und das muss ganz ganz zügig und ganz einfach gehen, ja. Und die haben ja vor allem, was ich erst recht nicht verstehe, die bieten den größeren Teil ihrer Daten ohnehin auch als Torence an, mit anderen Worten, das aufsetzen eines neuen Servers ist, das Ziehen deiner eigenen Torence. Ja, das machst du, das muss doch in kürzester Zeit gehen.
Tim Pritlove
Kannst dich jetzt drüber aufregen. Ist halt so, ich sehe gerade hier das dieses Rechenzentrum, das liegt da sehr schön in Falkenstein, schön gelegen am Ortsrand mit der, mit der schönen Adresse am Data Centerpark eins.
Linus Neumann
Das finden die nie.
Tim Pritlove
Nee, das ist total versteckt. Da sind auch Bäume und Rohre und so.
Linus Neumann
Ja, also, sorry, dass ähm ich bin jetzt, also ich bin und wer vorsichtig. Das so so, wenn du, wenn du sagst, du bist eine Leaking-Plattform, dann darf dir soweit nicht passi.
Tim Pritlove
So wird das nichts mit der Revolution.
Linus Neumann
Also Hetzner muss man dazu sagen, ist ein ein Hoster, der dafür bekannt ist, ähm, also ich benutze auch Hetzener Server, ja? Weil die einfach sehr schön günstig sind. Und die geben dir in der Regel sage ich mal, der Geschäftsmodell basiert ein bisschen darauf im Prinzip dieses Server auf Consumer Hardware zu fahren. Das heißt, du hast dann eben keine XEON-Prozessoren, sondern irgendwelche Chori drei fünf sieben Prozessoren, kein ECC-Rahmen, ne? Und. Einfach halt Consumer Great Hardware, die aber natürlich für den größeren Teil dessen, wofür Leute sich Server holen, völlig ausreichend ist, ne? Deswegen sind die halt ähm, relativ günstig, ja? Aber äh, wenn du sagst, du bist die große, das große neue Wiki liegst und du hast eine Büchse bei Hetzner stehen? Äh. Dann hast du, dann hast du dich wahrscheinlich mit zweihundertsiebzig Gigabyte irgendwelcher Polizeidaten, auf jeden Fall verhoben, da haste vielleicht ein bisschen kleiner fahren müssen. So, da bin ich enttäuscht. Also das, das, wenn man meint, man hätte aus Wikidics gelernt, dann muss man auch aus allen Angriffen gegen Wiki Leaks gelernt haben. Ich bin mal gespannt, wie das weitergeht. Also diese Daten ja, also zweihundertsiebzig Gigabyte irgendwelcher Daten, da ist natürlich relativ einfach. Ähm, einen Grund zu finden, dass man die halt auch offline nehmen will oder dass man das deren Veröffentlichung und zugänglich Machung strafrechtlich im Zweifelsfall verfolgt, ja? Also, ich habe nicht in die Daten reingeschaut, aber ich würde vermuten, da sind irgendwelche persönlichen Daten drin und da da findest du bei zweihundertsiebzig Gigabyte Polizeidaten findest du schnellen Grund, die offline zu nehmen, ne? Das ist äh sollte man sich vorher denken. Und jetzt muss man natürlich auch sagen, wichtiger Punkt, die sagen von sich, na ja, wir haben diese Daten nicht selber erbeutet, sie wurden uns zugespielt und wir sind eine Veröffentlichungsplattform Ähm in und zwar mit journalistischem Anspruch. Und wenn diese Daten jetzt hier, wenn unsere Server hier weggenommen werden, dann ist das ein Angriff auf die Pressefreiheit Ähm lasse ich gelten, müsste ich, müsste man aber natürlich auch vor dem Hund Hintergrund dieser Daten dann noch einmal bewerten, Also ich bin da vorsichtig, wir, also erstmal, klar, ich finde, die Pressefreiheit gehört geschützt und gerade diejenigen, die. Daten von öffentlichem Interesse öffentlich machen dürfen nicht, verfolgt werden. Wir haben da in Deutschland ja insbesondere auch dieses Problem, wo die Weitergabe von Informationen, die illegal erlangt wurden, irgendwie unter Strafe gestellt wird, was eben so etwas wie die Panama liegt, äh, Panama Papers und so weiter, die Faktor unter Strafe stellt, das ist nicht in Ordnung, ja. Ähm. Ich kann den Inhalt dieser Daten jetzt nicht bewerten, die haben auch noch andere Daten zur Verfügung gestellt, ähm kann ich auch nicht so genau bewerten. Aber auf jeden Fall kritisch ist, dass ihr einfach mehr oder weniger ohne Gerichtsbeschluss einen Server aus dem Regal gezogen wird, Da werden wir dann mal schauen, wie sich dieses Verfahren weiterergibt und ich bin mal gespannt, ob die, ob die in der Lage sind, ihren Betrieb da noch mal in den Griff zu kriegen oder so.
Tim Pritlove
Am Datacenter Park.
Linus Neumann
Na ja. Okay.
Tim Pritlove
Das war's dann eigentlich schon, oder?
Linus Neumann
Also, Ja, was ich, was ich mich halt da tatsächlich frage ist, also wenn du dich auf Journalismus berufst, ne, was ich ja völlig in Ordnung finde auch, also kann ja sehr gut sein oder also ich glaube, dass in diesen Daten sich sicherlich etwas befunden hat, was ähm von öffentlichem Interesse, sein kann. Ähm insbesondere da wir ja auch die, Ziele der Informationsfreiheit verfolgen und denken das ja ohnehin viel zu viel ins Randtransparenz bei diesen Behörden herrscht, dann stelle ich mir aber schon die Frage, wenn du dann sagst, du bist Journalist, dann musste natürlich auch. Ähm eventuell eine Aufbauarbeit, Aufarbeitung dieser Daten vorgenommen haben, ne? Das weiß ich nicht genau, ob sie das getan haben. Also insgesamt agieren die da gerade. Überraschend. Ähm tja, wie soll ich das sagen? Und professionell.
Tim Pritlove
Das scheint deine Einschätzungszeit. Das kam jetzt schon relativ deutlich rüber Ist halt so. Also gut, äh Leute machen Dinge und manchmal machen sie ja halt äh ganz cool und hier äh haben sie sich vielleicht Sonnenbrillen gekauft, aber den Rest nicht gedacht.
Linus Neumann
Immerhin, also was äh genau, weil sie sind natürlich auch vielen, müssen wir natürlich auch sagen, sie sind vielen Angriffen. Ausgesetzt. Äh sie werden also beschuldigt, dass selber gehackt zu haben. Sie werden beschuldigt aus dem Dunklen agieren äh zu aus dem Dunklen zu agieren. Das ist alles nicht korrekt, ne? Die haben ganz klar ihre, also diese Daten als, Veröffentlichungsplattform entgegengenommen, genauso wie Wiki Leaks, die haben auch ganz klar auf der Seite stehen, wer sie sind. Ja, also man hätte auch einfach zu ihnen fahren können. Und das jetzt hier irgendwie bei redded die Sachen geblockt werden bei Twitter und so, das ist schon alles ähm ja. Übel. Also den mit unabhängig von ihrer eigenen Professionalität wird denen gerade übel mitgespielt und das sieht ähm nicht gut aus. Da werden wir mal dranbleiben. So
Tim Pritlove
Aber für heute machen wir erstmal Schluss.
Linus Neumann
Für heute machen wir Schluss, ich denk mir noch irgendwas aus wo fühle ich dich jetzt anzeige. Babbo, Baba. Da bin ich aber gespannt, wie die Bambers das finden werden wir dann.
Tim Pritlove
Mehr kann nichts passieren. Ich war äh früher Polizist. Guck nichts durch. Verstehst du? Also ich fahre nur ganz.
Linus Neumann
War eine Scheiße. War eine Scheißaktion, sorry.
Tim Pritlove
War nur ganz kurz Polizist? Ja, ich war nur ganz kurz Polizist, aber das reicht ja eigentlich. Also so als fünfjähriger oder so, wollte ich mal Polizist sein und dann reicht das ja eigentlich auch als Erklärung.
Linus Neumann
Einmal Bulle über Bulle.
Tim Pritlove
So, lass uns noch ein bisschen danke sagen und dann machen wir Schlus.
Linus Neumann
Genau, ich möchte, ich möchte äh sehr herzlich danken dem Kenners. Der auch äh selber schon festgestellt hat, dass er verrückt ist. Insofern brauche ich das hier nicht mehr zu betonen. Ähm und sehr freundlich der Elina danken. Und dann äh wollte ich generell mal nochmal so in die Listen geschaut und äh habe, jetzt einfach mal nach Alphabet sortiert, möchte an dieser Stelle noch einmal herzlich danken, Alexander, Andreas, Ane, Benedikt, Benjamin Björn, Christoph. Dirk, Fabian, Franziska, Jannik, herzlichen Dank. Jens Johannes, Christian, Marco, Markus, Martin, Matthias Michael, Mona. Ralf, Sara. Sascha, Simon, Steffen, Stefan, Tanja, Thomas Tore, Tim und Tobias. Herzlichen Dank.
Tim Pritlove
Ich danke dir auch, Linus. Hallo Sache.
Linus Neumann
Katze auch mal ruhig. Sonst werde ich den mit einer Bierdose auf dich.
Tim Pritlove
Christmin, ich versteck mich im Datencenter. Ganze Dals. So Leute, äh genießt den Sommer, wir kommen wieder Also wir sind jetzt nicht weg oder so, aber wir wissen da nicht so ganz genau, wie wir äh unseren Takt halten sollen. Das muss jetzt alles ein bisschen mehr Remote äh laufen. Also so die hin schon äh läuft. Ähm kriegen wir aber irgendwie hin ne und dann hören wir uns wieder die Tage.
Linus Neumann
Bis dahin, tschau, tschau.
Tim Pritlove
Tschüs.
Aux

Shownotes

Prolog

Neues aus Stuttgart

Feedback: Zero-Rating und DPI

Feedback: Traffic-Kosten

Feedback: AMS-Algorithmus

Feedback: 30.000 Verdachtsfälle

Update: Patientendatenschutzgesetz (PDSG)

Provider sollen bei Installation von Schadsoftware helfen

Kontaktlisten

CWA-Scammer

PIMeyes

Blueleaks

Bonus Track

50 Gedanken zu „LNP353 Ein Geisterfahrer? Tausende!

  1. Moin,
    vielen Dank für unfassbar ausdauernd gute Arbeit!
    Ich höre die Folgen jetzt zum zweiten Mal von Anfang an und bin begeistert wie gut ihr von Anfang an Quellen gepflegt und Dinge in einen Kontext gerückt habt.

    Auch eure Fehlerkultur ist bemerkenswert.

    Nun zum aktuellen Anlass :

    Es wurde ja der Encrochat hochgenommen.
    https://www.heise.de/news/Encrochat-geknackt-Schwerer-Schlag-gegen-organisierte-Kriminalitaet-4802419.html

    Ich hatte gehofft, dass ihr den Vorfall besprecht.
    Soweit ich das verstanden habe wurden da mit nicht wenig Aufwand Telefone mit custom OS bespielt um dann eine platform für Kriminelle zu schaffen. Inklusive Abo Modell und verschlüsselter Kommunikation.
    Könntet ihr was zum technischen Aufbau und ggf zu den Schwächen sagen wenn ihr Informationen dazu habt.
    Was wurde denen zum Verhängnis?

    Ich hatte das als relevantes Thema empfunden und war überrascht, dass es nicht aufgefasst wurde. Wenn das Thema uninteressant für euch ist, könntet ihr erklären warum, damit ich meinen Radar justieren kann :)

    Vielen Dank und viele Grüße

  2. Langsam bräuchte man ein logbuch it-sicherheit um neben dem politischen Aspekt auch mal praktische Tipps zu verbreiten in regelmäßigen Abständen.
    Apps anzuschauen, Anwendungen, deren Umgang.

    Der Großteil der Verbindungen ist seit den Snowden Leaks auf Verschlüsselung umgestiegen.
    Das wenige im Klartext was ich hier noch auf Port 80 rausgehen sehe sind Captive Portal Checks und OSCP Zertifikatsprüfungen.
    Wollen sie wirklich so weit gehen und CAs verbrennen dafür?
    Zeit für mehr DNSSEC DANE und TOR.

  3. Super!, eine Sonntagsfolge.

    Und täglich grüßt das Murmeltier. Wie bei der #Blueleaks-Geschichte zu sehen, etabliert sich das spontane Durchsuchen von Zeugen ohne richterlichen Beschluss. Das führt dann natürlich zu der rabiaten Vorstellung es rennt ein Beamter durch das Zentrum und „zieht den Server aus dem Regal“. Wie sieht es eigentlich mit etwaigem Beifang bei solchen Aktionen aus? So ein Server in einem Rack beinhaltet doch sicherlich weitere Systeme. Sind diese dann auch Zeugen?

    Zu DDoSecrets: Das bloße Leaken von Daten allein solte kein Journalismus sein. Zu Journalismus gehört auch eine Aufbereitung und Einordnung, sowie ggfs. eine Auswahl der weiteren Journalist_innen, die die Daten erhalten sollen. Um sich auf die Pressefreiheit berufen zu können, sollte auch ein gewissenhafter Umgang mit Quellen erfolgen.

  4. Der Vergleich mit den Geisterfahrern mag im geschilderten Fall zutreffen, ist aber ansonsten eher ein schwaches Argument: Kollektive können durchaus irren, und Individuen, die konträre Positionen einnehmen, können durchaus richtig liegen. Eine Sophie Scholl wird in der Gesellschaft ihrer Zeit sicher auch tausenden Geisterfahrern begegnet sein. Heute missbilligen wir den damals in Deutschland vorherrschenden Common Sense – und benennen Schulen nach Sophie Scholl.

  5. Danke für die abschließende Darstellung zu DPI. Dem Kontext und der Wortwahl entnehme ich, dass ihr zwar Netze ohne DPI schöner findet, aber grundsätzlich kein Problem mit DPI habt. Ist dann halt so.

    Ich sage Laien, die mich fragen – ich arbeite in der TK-Branche – immer, dass man davon ausgehen/unterstellen muss, dass ein ISP alles mit liest. Alles andere ist blauäugig.

    Wenn ich das verhindern will, muss ich halt verschlüsseln. Im besten Fall TLS Version 1.3. Zusätzlich noch auf DNS achten. Da sind wir dann beim Thema eigenen/vertrauswürdigen DNS-Resolver und DoH.

    • Dem Kontext und der Wortwahl entnehme ich, dass ihr zwar Netze ohne DPI schöner findet, aber grundsätzlich kein Problem mit DPI habt. Ist dann halt so.

      Dem Kontext und deiner Wortwahl entnehme ich, dass es sich nicht lohnt, weiter mit dir zu diskutieren.

      • Tschuldigung. So habe ich das nicht gemeint. War nur überrascht keine negative Bewertung gehört zu haben. Gut die Fakten, dass ISPs oft DPI machten wurden dar gestellt. Aber es wurde nicht erwähnt ob und wenn ja warum das nicht okay ist (z.B. juristisch). Das meinte ich mit Kontext.

        Der Aspekt wurde thematisiert.

        • DPI: Mehr als Recht geben kann ich dir ja nicht ;)
          Zero-rating: wir haben sowohl in der letzten als auch in dieser Sendung gesagt, dass einfach alles zero-rated sein soll, das löst viele Probleme ;)

  6. Eine Sonderfolge zum Thema IT Sicherheit faende ich auch mal super. Es ist ja selbst unter Linux so das ich mich mittlerweile oefter frage ob ich den verschiedenen Distributionen wirklich „trauen“ kann, so ein paar Empfehlungen waeren da wirklich hilfreich.
    Ansonsten danke fuer die tolle Sendung, macht weiter so.

  7. Hallihallo
    danke erstmal für die guten Podcasts :)
    Gibt es eine Liste aller Bonustracks? Ich würde nämlich gerne ein Logbuch:Netzpolitik Playlist mit den ganzen Lieder erstellen.

  8. Hi. Ich freue mich als neuer Hörer immer auf die nächste Folge. Als Exil-Schwabe finde ich auch jedes herziehen über die Hauptstadt des Grauens großartig. Was mir in den letzten Folgen in den Witzen über Stuttgart fehlte: Die Thematisierung von Rassismus in dem Kontext. So gab es mehrere Stimmen, die einen Zusammenhang zwischen einer (vermutlich ) rassistischen Polizeikontrolle (im kurzen Zeitlichen Abstand zum Mord an George Floyd) und den anschließenden Krawallen sahen. Dann habt ihr euch zurecht über die Spießer schwaben „Punks“ lustig gemacht, dann aber dabei nicht erwähnt, dass die junge Person rassistisch argumentierte. Letztendlich beweisen auch die neusten Entwicklungen (Stammbaumforschung und rassistische Funksprüche), dass Rassismus Teil & aktuellen Problems ist.
    Warum ihr es nicht erwähnt habt, wisst nur ihr. Was aber mir immer wieder begegnet ist der Blick vom Berlin auf Ba-Wü in dem nur über Autos, Sprache und P’Berg gesprochen wird – die Menschen die aber auch in so einer Stadt Rassismus und Diskriminierung entgegenwirken wollen ist damit wenig geholfen.
    Alles Gute,

  9. Zum Thema IDs durchprobieren bei Webapps um an fremde Daten zu gelangen schildere ich hier mal einen Fall aus dem letzten Jahr:

    Ich hatte mit einer unserer deutschen Behören zu tun bei welcher bestimmte Anträge über die Website abgebildet werden. Zu diesen Anträgen müssen Dokumente zum Nachweis hochgeladen werden (welche Dokumente spezifiziere ich jetzt nicht – sonst wird die Behörde offensichtich) mit persönlichen Daten die man auf jede Fall nicht öffentlich haben möchte, die Missbrauchspotential haben und bei denen jeder Upload einen eindeutigen Rückschluss auf die Person zulässt.

    Ich verrichte dort also meine Tätigkeit, lade meine Dokumente hoch und erhalte eine Ansicht meiner Uploads. Aus Spaß habe ich dann mal die URL einer der Dateien kopiert und die ID am Ende um eins verringert. Ergebnis: ein Upload einer anderen Person. Das ging sogar ohne Session (sprich von einer anderen IP mit blankem Browsertab).

    Ich habe an der Stelle dann aufgehört und ein großes deutsches IT Portal für die Unterstützung/Durchführung der Responsible Disclosure kontaktiert, da ich wenig Lust auf eine „Fehlinterpretation“ meiner Meldung hatte – immerhin war meine Identität zweifelsfrei über meinen Antrag im System feststellbar.
    Auch ohne weiter getestet zu haben gehe ich aber davon aus, dass zehn- oder hunderttausende Dokumente anderer Nutzer des Portals (mit aufsteigenden IDs) frei zugänglich waren. Solche „Features“ bekommen wir also auch in Deutschland hin und das an Stellen die weitaus kritischere Daten als den Restaurantbesuch verarbeiten.

    Ergebnis war damals: Nach 1-2 Wochen war das Verhalten nicht mehr reproduzierbar (getestet mit unauthentifiziertem Zugriff auf meine eigenen Uploads), es gab meines Wissens nach weder eine Berichterstattung dazu noch eine (öffentliche) DSGVO Meldung zum potentiellen Datenmissbrauch.

  10. Hallo,

    ich möchte auch nochmal sammys Punkt stark machen. beim Thema Stuttgart Rassismus zu thematisieren wäre angebracht und rassistischen mist wie von den Punks unkommentiert stehen zu lassen geht gar nicht. bitte. danke

    • Kinder, ihr habt es doch alle selber gemerkt.
      Wofür muss das denn noch kommentiert werden?
      Damit am Ende niemand denkt „Wow, das ist aber eine coole Punkerin, so möchte ich auch sein“ und sich 10 Jahre später denkt „Oh mein Gott, hätten Linus und Tim mich nur gewarnt, dass sie verächtliche Begriffe für Migrantinnen verwendet, das hab ich ja gar nicht gemerkt. Wenn Tim und Linus das kommentiert hätten, wäre ich selbst nie Rassistin geworden…“?

      • Das geht am Punkt vorbei Linus. Ihr thematisiert ein gesellschaftliches Ereignis ohne die NotwendigeEinordnung. Und dann zu sagen, ihr merkt es ja selbst ist echt ein lahmer Umgang mit Kritik. Gerade bei Rassismus ist es doch so essentiell das anzusprechen und zu widersprechen weil das viel zu selten passiert.
        Mein Feedback oben macht zusätzlich den Punkt, dass die reine Thematisierung von Geld etc die Auseinandersetzung mit Rassismus erschwert.

        • Einspruch. Journalismus (und als solchen betrachte ich das, was Tim und Linus hier machen), kann auch mal bedeuten, einen O-Ton unkommentiert für sich sprechen zu lassen. Eine rudimentäre Fähigkeit zur Einordnung von Sachverhalten darf auch von Hörerinnen mit maximaler Konsummentalität erwartet werden. Zumal Tim und Linus, wenn auch nicht explizit, so doch durch ihre Metakommunkiation, deutlich ihre Distanz und ablehnende Haltung zum Redebeitrag der Jugendlichen zu verstehen gaben. Wenn sich jemand als Punk bezeichnet und gleichzeitig andere Menschen K***** nennt, dann ist der Mangel an Konsistenz so offensichtlich, dass sich diese Person selbst desavouiert. Hier noch eine einordnende Bewertung zu fordern halte ich für vermessen und intellektuell nicht satisfaktionsfähig.

        • Phishers Phritz war schneller, das wäre ebenfalls unser erster Punkt gewesen ;)

          Wenn sich eine Punkerin u.a. mit fremdenfeindlichen Widersprüchen blamiert und das als Realsatire daherkommt, braucht das nicht notwendigerweise eingeordnet werden. Wegen der vielen Widerspruchsebenen, die hier zur Belustigung beitragen, muss Mensch sich nicht unbedingt diese eine offensichtliche Facette herauspicken.

          Ein zweiter Aspekt, der vielleicht erwähnenswert ist: Sie macht die fremdenfeindlichen Äußerungen vor der Kamera in der Öffentlichkeit. Im Gesprochenen wirkt es komplett schamlos, was ebenfalls zum spontanen Lachreflex beiträgt. Das wäre eher wert diskutiert zu werden. Warum sagt sie das so in der Öffentlichkeit?

          Es wäre wünschenswert, wenn Menschen ihren Rassismus überwinden könnten, aber einstweilen wünschen wir uns das Schamgefühl zurück, was unsere Gesellschaft bis dahin zusammenhält. Das aber – und hier liegt Linus richtig – haben wir in der Erziehung mitbekommen… oder eben nicht.

          • Es gibt hier noch einen anderen Punkt zu bedenken. Das ist eine Schülerin. Keine Ahnung, ob sie überhaupt 16, geschweige denn 18 ist.
            Ich denke mal, dass sie sich mit diesem Auftritt genug Ärger eingehandelt hat – die nächsten Wochen in der Schule werden nicht die schönsten ihrer Kindheit.
            Da braucht sie jetzt nicht auch noch eine ausführliche Einordnung als Rassistin von zwei doppelt so alten Berlinern.

            • Ich würde noch weiterhin sagen, dass die Krawalle als Reaktion auf vermutliche rassistische Polizeigewalt sein könnte. Es geht hier nicht nur um den blöden Spruch des jungen Menschen sondern die Frage ob unterkomplex nur über VW und Mercedes gelacht wird oder ob die Frage nach Auslösung der Krawalle gestellt wird.

  11. Hallo Linus,
    Hallo Tim,
    vielen Dank für die regelmäßigen Folgen. Macht bitte weiter so.

    Ich habe eine Frage an alle. Bisher habe ich euren Podcast heruntergeladen und am heimischen PC gehört.
    Jetzt bin ich aber mehr unterwegs und suche ein Podcast Programm welches auf Windows und Android läuft. Zudem sollten sie sich synchronisieren. Am besten sogar den genauen Zeitstempel, wo ich gestoppt habe, damit ich am anderen Gerät weiter hören kann.
    Kennt jemand so eine Lösung? Egal ob freeware oder zum kaufen.

  12. Fedora, Arch Linux und Qubes (mit Updates über Tor) machen https Updates von Haus aus.
    Auch Debian, Ubuntu und Linux Mint kann man auf https umstellen.
    Hier ein Video mit ausführlicher Anleitung dazu: https://youtube.com/watch?v=YYF8jfE5xq0
    Hilft dann auch gegen zukünftige Fehler in apt wie https://www.heise.de/security/meldung/Pufferueberlauf-im-Debian-Paketmanager-Apt-2402367.html
    oder neulich https://justi.cz/security/2019/01/22/apt-rce.html
    Übrigens die Server der Charite bei Ubuntu helfen bestimmt auch gegen Verschwörungstheoretiker :o)

  13. Heho,
    Schubladen sind scheisse, aber Leute, die mit Straftaten prahlen, anzuzeigen finde ich gut.
    Ist mir egal wer, mit welchem Äußeren, politischem HIntergrund, wen mit welchem Äußeren, politischen Hintergrund anzeigt.
    Babo – Gelaber, so what ?
    Gwen

  14. PIMeyes

    Wollte meine Ex stalken und musste feststellen, dass die Bildquellen wohl überwiegend aus Osteuropa / Russland stammen. Vermutlich hauptsächlich aus dem russischen Facebook Clone vk.

    Der Kelch scheint für den Moment an uns Biodeutschen vorüber gegangen zu sein.

    Der Algorithmus findet aber schon sehr ähnliche Gesichter zu dem hochgeladnen Templates.

    Irgendwann kommt eine funktionierende Suchmaschine, ich glaube nicht, dass sich das aufhalten lassen wird. …. leider!

  15. Ich bin jetzt grad etwas unsicher inwiefern das mit den Providern und den Geheimdienst ein neues Problem ist.
    Ist nicht spätestens seid Snowden bekannt das man keinem Netz trauen sollte?
    Da wurden ja sogar die Kabel zwischen den Datencentern angezapft.

  16. Vielleicht solltet ihr nochmal rausstellen, was der Unterschied Papier zu digital ist:

    Bei Papier haben zwar viele Wirte, die das sammeln, sicherlich einen Blick drauf, aber der Missbrauch wäre nur lokal. Mir ist auch nicht so wohl, wenn ich in einem fremden Restaurant, gibt auch z.B. Mafia-Restaurants, meine Adresse abgeben soll und fälsche Eine. Bei der Datenbank wird es gleich um einige Dimensionen mehr Schaden am Datenschutz geben, wenn ein Missbrauch stattfindet, sobald Adressen aus einer ganzen Region gesammelt werden.

    Mich würde mal die Erfahrung der sogenannten „Containment scouts“ interessieren wie brauchbar diese Informationen sind? Sicherlich gäbe es auch Informationen, wer sich kaum an die Verordnung hält, oder welche Klientel schön brav den Zettel wie gewollt ausfüllt und welche nicht.

    https://www.weser-kurier.de/bremen/bremen-stadt_artikel,-enge-grenzen-bei-datenerfassung-in-der-gastronomie-_arid,1914935.html

    Mein Eindruck ist, das Prozedere läuft derzeit doch in einer rechtlichen Grauzone und es soll einfach den Gastwirten nicht das Leben noch schwerer gemacht werden als es schon ist.

  17. Moin Linus & Tim,

    ich vermute mal, dass ich in der nächsten Folge auch auf NSU 2.0 und die Polizeiabfragen von personenbezogenen Daten eingeht. Dazu hätte ich ein Anliegen bzw. Frage, die ich bisher gar nicht in den Medien wiederfinde:

    Wie kann es eigentlich sein, dass man mit der Aussage „war zwar mein PC, aber ich war es nicht“ so eifnach durchkommt?! – Jede Organisation hat doch individuelle Benutzerkonto für Zugriffe auf E-Mails, Datenbanken und Cloud-Systems. Wenn mit meinem Benutzerkonto eine Straftat/Ordnungswidrigkeit/usw. begangen wird, bin ich als Inhaber:in jenes Konto nicht zur Verantwortung zu ziehen? Reicht es wirklich aus, zu sagen: „Ich war es nicht“ und einem wird geglaubt?

    Wie seht ihr das? – Wie ihr seht, ich finde das sich die relevanten Polizeibeamten (nach aktuellem Wissensstand) doch relativ leicht aus der Affäre ziehen können.

    Besten Dank, bester Netzpolitischer Podcast!

    Love aus Neukölln

  18. Eine Sicherheitsschwankung aus der selben Liga wie bei den Adresslisten für Restaurants gabs grad beim Niedersächsischen Kultusministerium:
    https://heise.de/-4844398
    Einfach nur „NutzerID=“ in der URL ändern um auf die Daten anderer Leute zuzugreifen…

  19. PIMeyes:
    Eure Forderung, hier die europäische DSGVO endlich mal durchzusetzen, geht mir zu sehr am Problem vorbei. Dann gibt’s das gleiche Angebot demnächst eben aus einem fernen Land außerhalb der EU.
    Klar, man könnte dann versuchen, die Nutzung (mit fremden Bildern) innerhalb der EU zu verbieten. Heimlich wird es jedoch weiterhin geschehen.

    Könntet ihr nochmal erläutern, wieso genau dieses Vorgehen gegen die DSGVO verstößt? Weil die vorher gescannten Bilder zwar freiwillig, aber nicht zu diesem Zweck veröffentlicht wurden?

    • Hi Martino!
      Ich würde gerne mal antworten, auch wenn ich nicht angesprochen wurde.

      Zu deinem Punkt, ein Anbieter außerhalb der EU würde diese Dienstleistung bereitstellen, falls man es innerhalb der EU auf Grundlage der DSGVO verbietet:
      Dem kann ich nicht zustimmen. Der räumliche Anwendungsbereich (Art. 3 DSGVO) regelt, dass die DSGVO auch dann gilt, wenn die Verarbeitung der Date nicht innerhalb der EU erfolgt falls Menschen betroffen sind, die sich in der EU befinden und der Verarbeitende den Betroffenen Dienstleistungen anbietet. (Der einzige aus meiner Sicht strittige Punkt möge hier das Angebot der Dienstleistung sein. Den sehe ich aber erfülllt, wenn EU-Bürger die Plattform nutzen können)

      Zu der Frage, weshalb das Vorgehen gegen die DSGVO verstoße, hier meine Sicht auf die Dinge:
      Da ein Foto prinzipiell erstmal einer Person zugeordnet werden kann, handelt es sich um ein personenbezogenes Datum im Sinne der DSGVO. Wenn jemand ein Foto auf irgendeine Plattform hochlädt, die der DSGVO unterliegt, darf das Foto lediglich für die Zwecke verarbeitet werden, denen der Nutzer zugestimmt hat. Hier teilen sich zwei Pfade: Entweder die Plattform arbeitet mit PimEyes zusammen, dann muss das natürlich in der Datenschutzerklärung transparent dargestellt sein. Weiterhin hat dann natürlich auch jeder das Recht, die Zustimmung zur Verarbeitung jederzeit zu widerrufen. Für den Fall, dass die Plattform nicht mit PimEyes zusammenarbeitet und man nicht selbst der Verarbeitung der Bilder durch PimEyes zugestimmt hat, hat die Firma dann auch keine Grundlage, die Bilder zu verarbeiten. Und damit würde es sich um eine nicht-rechtmäßige Verarbeitung handeln, die durch Durchsetzung der DSGVO untersagt werden kann.

      (Alles nach bestem Wissen und Gewissen beschrieben. Für den Fall, dass jemandem ein Fehler auffällt, würde ich mich um Korrektur freuen.)

      • zum ersten Punkt: Wenn der Anbieter außerhalb der EU sitzt, wird das mit der Durchsetzung aber de facto unmöglich. (siehe Steueroasen) Ganz notfalls müsste der Service ins Darknet abwandern.
        Was ich sagen wollte: Diese Daten sind jetzt da, die Technik ist da und wir müssen damit umgehen. Das juristische Unterbinden wird uns nicht lange weiterhelfen.

        zur DSGVO: Heißt das, ich darf keine Bilder von Personen, die ich im Internet finde, mehr indizieren? (Zumindest nicht ohne explizite Zustimmung/Kooperation?) Was ist mit einfachem Text, d.h. Seiten, auf denen Namen stehen?
        Wie macht Google das? Darf ich Leute nicht mehr googlen? Muss Google von mir eine Checkbox verlangen, dass das wirklich mein Name ist, den ich gerade google?

        Was PIMeyes hier anbietet ist auf den ersten Blick eine einfache Suchmaschine, bei denen man keinen Text, sondern ein Bild eingibt. (Hat Google übrigens auch schon.)

        • Zum ersten Punkt:
          Da hast du wohl Recht. Wobei ich schon denke, dass der juristische Weg der einzig legitime und effektive ist. Der Datenschutz in Europa die sog, TOMs (technische und organisatorische Maßnahmen). Wenn man dieses Modell als Grundlage nimmt, hat man also drei Wege: akzeptieren, organisatorisch wehren und technisch wehren. Akzeptanz ist (hoffentlich) für die meisten Menschen keine alternative.
          Organisatorisch kann man sich entweder juristisch wehren oder private Maßnahmen treffen. Letzteres würde sich dann wohl darauf beschränken, keine Fotos in soziale Netzwerke zu laden.
          Die technischen Gegenmaßnahmen könnte man wieder in Offensiv und Defensiv gliedern, wobei sich offensiv wieder in offensiv-legal (staatlich) oder offensiv-illegal (aktivistisch) teilen lässt. Technisch-offensiv ist an der Stelle also schon mal ungeeignet, aus m.M.n. bekannten und offensichtlichen Gründen.
          Technisch-defensiv könnte man sich nur mit der Hilfe der sozialen Netzwerke wehren, wobei ein effektives Abwehren auch schwer bis kaum umzusetzen sein dürfte. Man müsste dazu immerhin sicherstellen, dass PimEyes zu keiner Zeit Zugriff auf die Bilder bekommt.

          Zur DSGVO:
          Dafür würde ich kurz auf den sachlichen Anwendungsbereich der DSGVO konsolidieren. Dort (Art. 2 Abs. 2 c)) ist geregelt, dass die DSGVO keine Anwendung findet, wenn du deine Tätigkeit ausschließlich im familiäreren oder privateb Rahmen ausübst. Mit dieser Grundlage würde ich dir als Person auch das Indizieren der Bilder gestatten.
          Die Google-Frage kann ich ab hier nur spekulativ beantworten: Technisch gesehen zeigt dir Google möglicherweise nur Teile und Ausschnitte aus anderen Websites und verbreitet (oder verarbeitet) die Daten damit selbst womöglich nicht. Für die Verarbeitung, die Google mit den Daten wirklich betreibt, wird man vermutlich vorfiltern, ob es sich dabei um personenbezogene Daten oder um andere Bilder (z.B. Gegenstände) handelt. Daher wirst du in Google Captchas auch nie sowas gefragt wie „Klicken Sie alle Teile des Bildes mit Schwarzweißfotos von Christian Lindner an“, obwohl sehr viele davon existieren. (Okay, Spaß wieder beiseite.)
          Wenn man trotzdem Bilder von Personen auf Google findet liegt das vermutlich daran, dass die Bilder gemeinsam mit Metadaten veröffentlicht wurden und somit keine Verarbeitung wie bei PimEyes notwendig ist.
          Googles Rolle verglichen mit der von PimEyes auf die Realität projeziert sehe ich ungefähr so: Ich lese heute Zeitung und sehe eine Foto mit Namen von jemandem aus meinem Ort. Wenn ich diese Zeitung mitnehme und jedem zeige, der mich danach fragt, ist das grundlegend in Ordnung.
          Wenn ich aber stattdessen (hier die Rolle von PimEyes) dieses Foto (und den Namen) nehme, einscanne und auf meine eigene Website hochlade, wäre das ohne die Zustimmung der Person nicht okay. (Annahme hierbei ist, dass „ich“ eine Organisation bin und die DSGVO anwendbar ist)

          (Falls ich mich irgendwo vertan habe, bin ich auch hier wieder für Korrekturen dankbar.)

  20. CWA-Scammer:
    Als ich euren Beitrag gehört habe, dachte ich: Das ist aber etwas daneben, das schon unter „Scammer“ zu sortieren, nur weil die App Geld kostet und Dinge tut, die man auch gratis haben kann. (Das gibt’s ja durchaus häufiger.)

    Ich habe mir nun die Eingendarstellung angesehen und muss euch vollkommen recht geben: Der Übergang von „erfahre, wer die Corona-App nutzt“ zu „Kriminelle können das ausnutzen“, gemeinsam mit dem Unterton „wenn jemand in deiner Umgebung die App nutzt, bist du gefährdet“ passt schon in das klassische Schwurbler-Muster.

    Und bei dem Hintergrund ist dann leider auch nicht auszuschließen, dass einige „Geisterfahrer“ die „Warnungen“ ihrer Späher-App zum Anlass nehmen, die identifizierten Nutzer anzugehen.

  21. Hallo Linus,
    zu Kapitel 11 bei 59:00 min meintest du, dass das schon am Mittwoch beschlossen werden soll. Wo soll das beschlossen werden? Der Bundestag ist doch in der Sommerpause und kommt erst wieder im September zusammen. Würde mich freuen, wenn du das spezifizierst, danke :)
    LG

  22. Ich hoffe das es hier nicht allzu unpassend ist, aber da die Corona Warn App auch in LNP schon öfter Thema war kommentiere ich das einfach mal hier.
    In älteren LNP Folgen und heute in diesem Tagesschaubericht (https://www.tagesschau.de/inland/corona-warn-app-111.html) spricht Linus von antiker IT in Laboren und Ämtern. Über die Gesundheitsämter möchte ich gar nicht diskutieren, auch wenn ich auch da die Probleme eher an anderer Stelle sehe.
    Bei den Laboren würde mich aber interessieren welche Einblicke du da hast. Ich habe in meiner Arbeit im Krankenhaus und bei dem was ich selbst in Laboren gesehen und von Laborärzten/Laborbetreibern gehört habe nie den Eindruck gewonnen das da irgendetwas antik sei, eher im Gegenteil. Elektronische Anbindung (Order Entry, Befunde) ist zB. seit Jahren möglich und was die Kliniken angeht auch absoluter Standard.
    Dem zufolge was die Labore selbst verlautbaren (https://www.alm-ev.de/files/site-files/Corona/Corona-Warn-App-Status-Laboranbindung-180620.pdf) oder in diesem Artikel (https://www.golem.de/news/qr-codes-erst-zwei-drittel-der-testlabore-an-corona-app-angeschlossen-2007-149656-2.html) liegt das Problem eher in der Komplexität der Laborinformationssysteme und der Vielzahl an (propiertären) Softwaresystemen/Schnittstellen die zum Einsatz kommen oder durch Dienstleister bereitgestellt werden. Auch scheint die Telekom nicht nur hilfreich zu sein.

    Da mir die Behauptung über die mangelhafte Digitalisierung/ antike IT der Labore schon in mehreren Podcasts die ich im weiteren Sinn dem Berliner CCC-Umfeld zurechnen würden begegnet ist, würde mich ehrlich interessieren worauf diese Einschätzung basiert.

    • Ähnliches gilt übrigens für die hier (https://www.heise.de/news/Ein-Monat-Corona-Warn-App-Bisher-bleibt-der-Effekt-aus-4846827.html) und im Twitter-Video von Linus getätigte Aussage, dass viele Infizierte über den Postweg informiert würden.
      Das überrascht mich doch sehr, weil es nach meinem Kenntnisstand völlig unüblich ist das ein Patient durch einen Brief (zuerst) von seiner Erkrankung erfährt, speziell im Kontext Covid19. In dem Umfeld das sehen kann wird der Patient für gewöhnlich von demjenigen der den Test beauftragt hatte, also meist Arzt oder Gesundheitsamt, telefonisch über das positive Ergebnis informiert. Meist an dem Tag an dem das Ergebnis vorliegt. Negative Ergebnisse werden oft nicht aktiv kommuniziert.
      Hier ist sicherlich eine Beschleunigung durch die App denkbar, gerade weil oft die Ergebnisse die das Labor am Nachmittag erzeugt oft erst am nächsten Tag durch Arzt/Gesundheitsamt gesehen und bearbeitet werden. Bei dem einmal täglichen Abruf durch die App würde ich mir da aber nicht zu viel versprechen.
      Nichtsdestotrotz halte ich genau diese Funktion für den interessantesten Teil der App, gerade weil sie so einen Mehrwert bieten kann, unabhängig davon ob die Bluetooth-Komponente wie erhofft funktioniert. Das ist ja ehrlicherweise noch völlig unklar. Gerade bezüglich negativer Ergebnisse (immerhin über 99% aktuell) kann hier Entlastung geschaffen werden.
      Mich würden nähere Infos zu diesem Postweg sehr interessieren.

  23. Zum Thema AMS in Österreich bzw. computergestützte Entscheidungen allgemein möchte ich noch ein Paper empfehlen.

    https://link.springer.com/article/10.1007/s11023-019-09513-7

    „the tendency of the human agent within a human–machine control loop to become complacent, over-reliant or unduly diffident when faced with the outputs of a reliable autonomous system.“

    „Somewhat alarmingly, it seems to afflict experts as much as novices, and is largely resistant to training“

    Mittlerweile versuchen uns, meist Innenminister, zu erklären, dass ja am Ende der biometrischen Überwachung nicht die Maschine entscheidet sondern ein Mensch! Das Paper zeigt: die Aussagen sind wenig wert und sollen nur beruhigen bis der Zeitpunkt passt, um alles zu Automatisieren. Also müssen wir so einen Mist vorher verhindern.

    Hier z.B. in Mannheim:
    https://www.heise.de/newsticker/meldung/Mannheim-testet-verhaltensbasierte-Videoueberwachung-4239279.html
    „Es entscheidet nicht die Maschine, es entscheidet der Mensch.“
    „Pionierarbeit made in Baden-Württemberg“ LOL

    Findet man aber auch im Abschlussbericht zum Südkreuz:
    „Auch fehlerhafte Treffermeldungen („false-positive Treffer“) des Systems können auf diese Weise durch Polizeivollzugsbeamtinnen und Polizeivollzugsbeamte korrigiert werden.“ S.37

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.