LNP371 Der Kunde will es ohne Fehlstelle haben

Feedback — BND-Gesetz — Tutanota — Corona-Warn-App — RKI — Gesichtserkennung

Achtung Fanboy-Content. Wir outen uns als heimliche Merkelfans und schütteln stattdessen über ein paar Freunde den Kopf. Ansonsten Katastrophe wie immer: BND will alle ausspähen (geht gar nicht) und Gerichte zwingen verschlüsselnde E-Mail-Provider, ihre Kunden auszuspähen. Wir diskutieren landläufige Vorwürfe gegenüber der Corona-Warn-App und verstehen nicht, warum dem RKI nicht mehr Digitalkompetenz zugestanden wird. Dazu ein paar Spendenempfehlungen zum Jahresende.

Dauer: 1:32:58

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

Intro

RC3

Feedback

Pushie, der Verkehrshamster

Schwurbler und Hippies

BND-Gesetz

Tutanota

Corona-Warn-App und Datenschutz

RKI bekommt 4 von 68 beantragten IT-Stellen

Corona-kompatible Gesichtserkennung

Psychische Gesundheit bei Social Distancing und Isolation

fragdenstaat sucht Volljuristin

Spenden zum Jahresende

NGOs

LNP

Bonus Track

41 Gedanken zu „LNP371 Der Kunde will es ohne Fehlstelle haben

  1. Die Welt schreibt ja, “Damit stimmte der Parlamentsausschuss einem Entwurf der Bundesregierung zu”. Entsprechend kann man ja mal in den Entwurf der Bundesregierung schauen (Bt-Drs. 19/22600 [http://dipbt.bundestag.de/dip21/btd/19/226/1922600.pdf]): BMG EInzelplan 15 (Ab Seite 2293 im PDF) und dort dann Kapitel 1517 Robert Koch-Institut (Ab Seite 2486). Der Stellenplan des RKI ist ab Seite 2526:

    Beamte:
    Ist 1.6.2020: 73,2
    Soll 2020: 131
    Soll 2021: 135 (+4)

    Angestellte:
    Ist 1.6.2020: 243
    Soll 2020: 266,8
    Soll 2021: 271,5 (+4,7)

    Dann noch ein paar Einzelstellen:
    1 Stelle (+-0) Abordnung an das ECDC
    1 Stelle (+-0) Langfristig Beurlaubt (§§ 90, 92, 95 BBG, § 7 DBeglG, § 6 MuSchEltZV, § 24 GAD) (
    1 Stelle (+-0) AIDS und andere übertragbare Krankheiten

    Zentrum für Künstliche Intelligenz in der Public Health-Forschung
    Beamte:
    Ist 1.6.2020: 0
    Soll 2020: 0
    Soll 2021: 35 (+35)

    Arbeitnehmer:
    Ist 1.6.2020: 0
    Soll 2020: 0
    Soll 2021: 66 (+66)

    Insofern bekommt das RKI im Kernbereich 8,7 Stellen mehr. Aktuell sind bis zum Ende des Jahres aber auch noch 81,6 (57,8 + 23,8) Stellen unbesetzt, die jetzt besetzt werden können. Das heit das beim RKI aktuell 20 % der Stellen unbesetzt sind.

  2. Uff, die Antwort auf den teilvorgelesenen Kommentar von Matthäus Gordon schreib ich mal der Akualität wegen hier:

    Ken Jebsens wirre Mail über die “Erfinder des Holocausts”, die zu seiner Entlassung beim rbb geführt hatte, ging nicht etwa direkt an Hendryk M. Broder, sondern wurde diesem laut eigenen Aussagen vom eigentlichen Empfänger weitergeleitet. [1]
    Auch auffällig ist das Framing von Broder (a) und Amadeu-Antonio-Stiftung (b) als 2 entgegengesetzte, aber ebenso extreme Pole:
    Egal was man von Zionismus und insbesondere dem mittlerweile in die Neue Rechte abgedrifteten Broder hält, ist die Gleichsetzung des Bestrebens eines Staats für Jüd:innen (a) mit der rassistisch herbeifantasierten Zuschreibung negativer Eigenschaften gegenüber jüdischen Menschen allein auf Grund ihres Seins und ihrer Abstammung (b) eine unhaltbare rhetorische Figur.

    Kommen wir zur Amadeu-Antonio-Stiftung: Diese ist sicherlich nicht neutral, da sie als renommierte und langjährige Kämpferin und Expert:innensammlung zu Rassismus, Antisemitismus und Menschenhass für all diese Themen sicherlich sensibler und aufmerksamer ist als fachfremde Journalist:innen es wären. Das mindert IMHO ihre Einschätzungen über antisemitische Wurzeln und Figuren in Verschwürungserzählungen nicht, eher im Gegenteil.
    Und auch hier zeigt der Kommentarschreiber ein eindeutiges Framing, indem er die Amadeu-Antonio-Stiftung zuerst mit der langjährigen Vorsitzenden Kahane personifiziert.
    Die ist nämlich durch ihr langjähriges Engagement zu einer Hassfigur in rechtsradikalen und antisemitischen Kreisen geworden. Da sie außerdem auch noch Jüdin ist, kursieren auch zahlreiche eindeutig antisemitische Karikaturen von ihr. Auch stand sie auf diversen sog. “Todeslisten” zB von Franko A. – und das sicherlich nicht wegen ihrer Stasi-Vergangenheit, über deren Aufarbeitung ich mir kein Urteil zutraue.
    Aus sozialwissenschaftlicher Sicht haben die Aussagen der Stiftung zu Antisemitismus auch nichts, wie vom Kommentarschreiber behauptet, mit einer Neudefinition durch die angebliche “Israellobby” zu tun, denn Verschwörungserzählungen über eine jüdische Rothschild-Elite, die uns alle als Marionettenfäden in der Hand hielte, hat nichts mit Israel zu tun und pflegt ganz klar tradierte antisemitische Erzählungen.

    Zu guter Letzt Ken Jebsens Aussage, dass Jebsen erst seit 2019 besonders problematisch sei:
    Mein Eindruck, der auch durch Correctiv gestützt wird, ist dass Jebsen schon sehr lange den Zweifel nicht als Werkzeug zur Welterkenntnis nutzt und ihn dort wo es angebracht ist einsetzt, sondern ihn als Statussymbol vor sich her trägt und aus Prinzip einfach überall anwendet. Auch in früheren Videos aus 2014/15 kann da gerne mal die alleinige Tatsache, dass etwas der tradierten “Mainstream” Erkenntnislage widerspricht, über ein ansonsten eher löchriges Faktenbett hinweghelfen.
    Auch war Jebsen bereits 2014 stark in die sog. “Mahnwachen für den Frieden” [5] involviert, in der eine unangenehme Melange aus Friedensbewegten, Zinskritikern, Russlandfreunden und Verschwörungsideologen eine unangenehme Querfront bildeten, die letztendlich auch oftmals “die US-amerikanische FED” und “das Ostküstenkapital” als eigentliche Kriegsursachen zu identifizieren meinte und damit eindeutig strukturell antisemitisch ist.
    Und obwohl deutsche Gerichte sich mit der Bezeichnung “Antisemit” für nach 1945 Geborene sehr schwer tun [2] [3], durften Jebsen und seine Äußerungen bereits 2015 als antisemitisch bezeichnet werden. [6] [7]

    In der Hoffnung, Matthäus Gordons nicht ganz unproblematischem Kommentar etwas entgegensetzen zu könne.

    Kein Fuß breit!

    [1] https://donotlink.it/mPYQeE (Vorsicht, mittlerweile der neuen Rechten zuzurechnen)
    [2] https://taz.de/Saenger-hat-mit-Klage-Erfolg/!5522483/
    [3] https://taz.de/Xavier-Naidoo-und-Antisemitismus/!5633133/
    [4] https://correctiv.org/aktuelles/neue-rechte/2016/12/30/das-boese-ist-immer-und-ueberall/
    [5] https://de.wikipedia.org/wiki/Mahnwachen_f%C3%BCr_den_Frieden
    [6] https://rap.de/allgemein/53583-verschwoerungstheoretiker-ken-jebsen-verliert-vor-gericht-gegen-antilopen-gang/
    [7] https://blogs.taz.de/hausblog/taz-gewinnt-gegen-ken-jebsen/

  3. Hintergrund zum Stellen-Schaffen in Bundesbehörden

    Es geht im Folgenden um *Haushaltsplanstellen*, an denen sich das Unverständnis über die vier Stellen für das RKI entzündet. Ich arbeite für eine forschende Bundesbehörde, die auf derselben Hierarchieebene mit dem RKI angesiedelt, also direkt einem Bundesamt unterstellt ist. In meiner Behörde gab es im Zeitraum vor wenigen Jahren die sog. Personalbedarfsermittlung (PBE). Hierfür musste für die Dauer von zwei Jahren eine externe Firma engagiert werden (naja, “musste”), alle Mitarbeitenden hatten wirklich umfangreiche Fragebögen in Excel (natürlich!) auszufüllen und für ein Jahr tabellarisch abzubilden, welche Aufgaben der*die einzelne Mitarbeiter:in – von der WHK bis zur Institutsleitung – erfüllt und wieviel Zeit er*sie dafür braucht (in Stunden). Das Ergebnis war, dass umgerechnet 86 Vollzeitäquivalente, also 86 volle 40-Stunden-Stellen in den Bereichen Forschung und Verwaltung fehlen – ein Drittel Verwaltung, zwei Drittel Forschung. Dieses Ergebnis wurde dem übergeordneten Bundesamt vorgelegt und im Haushaltsausschuss des Bundestages besprochen. Schon vorher war über den Flurfunk klar, dass man eigentlich das Vierfache beantragen müßte, um einen signifikanten Teil der benötigten Planstellen für Daueraufgaben (wichtig!) zu bekommen. Das Ergebnis, das der Haushaltsausschuss des Bundestages meiner Behörde zubilligte, waren ebenfalls vier Stellen – alle in der Verwaltung. Ich spare mir an dieser Stelle einen Rant über die Sinnhaftigkeit eines FORSCHUNGSinstituts, das seinem Auftrag nicht satzungsgemäß nachgehen kann, weil die entsprechenden Stellen nicht geschaffen werden.
    Die Entscheidung des Haushaltsausschusses hat dann noch mal gut ein Dreivierteljahr auf sich warten lassen. Der PBE vorausgegangen waren lange und langwierige und wirklich sorgfältige “Begehungen”, sprich: Mitarbeitendenbefragungen und Begutachtung durch verschiedene Kommissionen wie etwa den Wissenschaftsrat und Prüfung durch den Bundesrechnungshof (turnusmäßig alle fünf Jahre) und so weiter. Am Ende konnte niemand mit dem Ergebnis zufrieden sein, nicht mal die Verwaltung mit den vier neuen Stellen. Was für eine Farce! Wieviel Geld da alleine für die externe Firma ausgegeben wurde, die die Fragebögen erstellt und ausgewertet hat und auf deren Ergebnis dann so gut wie nichts gegeben wurde… Hätte man sich einigermaßen komplett sparen können und von den Zehntausenden Euro lieber Wissenschaftler:innen beschäftigen. Großes Kopfschütteln bis heute.

    Ohne es zu wissen, kann ich mir vorstellen, dass beim RKI ein ähnlicher Prozess abgelaufen ist, möglicherweise in etwas beschleunigter Form.

    Davon losgelöst muss man sich aber schon fragen, wie Tim es ja auch angerissen hat, wieso beim RKI nicht zumindest schneller befristete Drittmittelstellen für zwei bis drei Jahre eingerichtet wurden. Hier hätten die zahlreichen industrienahen Stiftungen (beispielsweise Henkel, VW, Thyssen, die ja auch sonst Wissenschaft fördern, oder auf die DFG), die maßgeblich von der Arbeit des RKI profitieren, um ihren Laden am Laufen zu halten, spätestens einspringen können, wenn es nicht aus Bundesmitteln zu finanzieren ist, ein paar Stellen für besondere Aufgaben für einen kurzen Zeitraum zu schaffen. Gilt im Prinzip auch für die lokalen Gesundheitsämter. Mehr als peinlich.

    Aber wir sind ja hier im Deutschen.

    • “Davon losgelöst muss man sich aber schon fragen, wie Tim es ja auch angerissen hat, wieso beim RKI nicht zumindest schneller befristete Drittmittelstellen für zwei bis drei Jahre eingerichtet wurden.”
      Da muss man als ITler aber schon auf den Eintrag im Lebenslauf aus sein (“habe Corona bekämpft”), um derzeit aus einem (in der Regel) unbefristeten Arbeitsverhältnis auszuscheiden und einen befristeten Vertrag beim RKI anzunehmen.

  4. “[…] diese Meinung kannste haben […]”

    Mit der Betonung auf “du”, okay. Ich weiß ja nicht, wie es euch geht. Wenn Leute von meiner Meinung divergieren, sind sie doch recht schnell bei einer Meinung, die ich nicht haben will. :)

  5. Zum Lob an Angela Merkel: Ja, ich bin froh eine intelligente Kanzlerin zu haben und gerade in der aktuellen Lage bin ich froh um wissenschaftlichen Sachverstand. Ihr erwähntet aber auch den Eindruck, dass sie Dinge laufen lässt und erstmal die Alpha-Männchen machen lässt (meine zugespitzte Zusammenfassung, kein Zitat) das hat was gutes, aber es führt auch dazu dass sie scheinbar unpolitisch drüber steht und sich so jeder Debatte entzieht. Dies ist was zum Meme der “Alternativlosigkeit” geführt hat und in der Folge zur AfD. Ich hätte mir gewünscht, dass sie öfters frühzeitig sichtbar eine Position einnimmt und die vertritt und erklärt und so auch eine Debatte ermöglicht. Wobei man ihr zugestehen muss, dass sie das wohl inzwischen etwas gelernt hat, siehe z.B. die Befragung im Parlament einmal im Quartal (kein Vergleich zu den britischen PMQs, wobei die wohl das extrem sind, wo Show über Inhalt steht)

    • Das ist ein sehr guter Kommentar.
      Merkel möge evtl. Sachverstand haben. Ich denke, es ist einfach nur Machtkalkül. Hört euch mal die Premierministerin von Neuseeland an.
      Und in diesem Zusammenhang stören mich auch Äußerungen die hier bzw. auf der Metaebene gefallen sind und die paraphrasiert so gehen: “Die aktuelle Lage ist so schlimm, weil die Leute sich nicht daran halten.”
      Das ist Schwarzmalerei und Beschimpfung der Bevölkerung.
      Es sind Politiker (und Druck gewisser Interessen sowie Druck gewisser Bevölkerungsteile), die zu der Situation geführt haben und weiter führt:
      “Experten in Europa und Ostasien setzten von Anfang an auf unterschiedliche Ansätze. Nach den Erfahrungen mit Sars im Jahr 2003 verfolgten die ostasiatischen Länder das «Unterdrückungsmodell». Nach dem gleichen Fahrplan strebte Australien auf Rat seiner grössten Universitäten hin danach, die Neuinfektionen möglichst vollständig zu unterbinden – mit Erfolg. In europäischen Staaten hingegen schien selbst die prinzipielle Möglichkeit der Virusausmerzung unvorstellbar oder zumindest unpraktisch. Stattdessen stellten Epidemiologinnen das bekannte «Influenzamodell», gemäss dem sich das Virus nicht stoppen lasse und letztlich eine langsame globale Durchseuchung akzeptiert werden müsse, als alternativlos dar.”
      https://www.nzz.ch/meinung/unterdrueckung-statt-ausmerzung-warum-den-europaeern-in-sachen-corona-das-lernen-von-ostasien-so-schwer-faellt-ld.1587172

      Daneben gibt es viele Entscheidungen in Deutschland, die uns zeigen, dass Ausmerzen bzw. Lastenausgleich nie das Ziel war. Es geht immer nur darum, das “Gesundheitssystem” knapp an der Grenze zu halten.
      Und dann gleichzeitig gibt es die absurdesten Entscheidungen, siehe Mitarbeiterstellen beim RKI.
      Anstelle eine Krise auch wie eine Krise inklusive Krisenwirtschaft zu behandeln haben wir durchwurschteln á la Merkel.
      Ein Beispiel für gutes Krisenwirtschaft: Leute kommen in ein Hotel und verbringen dort die Quarantäne,
      Messegesellschaften (alle in Kurzarbeit) stellen ihren reichhaltigen Platz für Schulen oder Fitnessclubs zur Verfügung, etc.

  6. Hey ihr beiden, bei Tutanota blase ich ein bisschen ins gleiche Horn wie beim letzten Mal, als es um das Thema ging.

    Es ist in meinen Augen nämlich ein echt großer Unterschied, ob man einen Anbieter zwingt, eine E2E-Verschlüsselung aktiv zu schwächen/zerstören, oder ob man ihm nur verbietet, bereits auf dem Server liegen Klartext zu löschen.

    Hier ist es halt so, dass der Klartext auf dem Server vorliegt und damit Tutanota auch bekannt ist. Dann erst wird der Klartext für das jeweilige Postfach verschlüsselt und gelöscht.
    Und da setzt auch das Urteil an – es wird einfach gesagt: Ihr dürft die bei euch im Klartext eingehende/vorliegenden Mails für dieses Postfach nicht einfach so löschen.

    Das hat meiner Meinung nach nichts mit den Crypto Wars im Sinne von schwachen Algorithmen/Protokollen oder irgendwelchen Nachschlüsseln/Hintertüren oder so zu tun; sondern im Prinzip ist das einfach nur ein Quick Freeze.
    IMHO ist das hier weniger ein Skandal, sondern fällt eher unter normale Ermittlungsarbeit – oder übersehe ich da was grundsätzliches?

  7. Hier eine interessanter Hinweis zum Thema Reisebestimmungen aufgrund der Pandemie.
    Hier hat sich jemand die Arbeit gemacht, und mal hinter das digitale Einreiseformular des RKI geschaut:

    “The German Federal Ministry of Health and the Robert Koch-Institut operate a web form which you have to fill out when you enter Germany from a COVID-19 high-risk area.
    I had to submit my data, so I took a glimpse at what it does in the background. […]
    https://chaos.social/@vidister/105278032481271274
    […]
    “From what I can see the web portal looks pretty well engineered.
    Assuming they haven’t fucked up their cryptography and don’t store their private keys on the server, your data should be pretty safe.”
    https://chaos.social/@vidister/105278049605523384
    […]
    “Still, there’s the possibility of compromising the server and handing over altered JavaScript code or delivering different pubkeys, but well, we’re still using the web, so that’ll always be a threat.”
    https://chaos.social/@vidister/105278050518162464

  8. Hier eine Ergänzung zur Corona-Warn-App (CWA) aus anderer Richtung:

    Unser erneu(er)tes NEIN zur Corona-Warn-App
    https://schwarzerpfeil.de/2020/12/06/unser-erneuertes-nein-zur-corona-warn-app/

    Das Engagement der Organisationen wie CCC ist Klasse, denn dadurch wurde schlimmeres verhindert. Im Podcast sprecht ihr aber auch davon, dass es zentral auch nicht besser geworden wäre.
    Es ist aber immer noch der Versuch einer technokratischen Lösung für an gesundheitspolitisches und gesellschaftliches Problem.
    Denn wie wollt ihr gegen Gesichtserkennung vorgehen, wenn die Speicherung (a) dezentral, (b) verschlüsselt auf einem (c) System mit offenem Quellcode geschieht?

    • „Denn wie wollt ihr gegen Gesichtserkennung vorgehen, wenn die Speicherung (a) dezentral, (b) verschlüsselt auf einem (c) System mit offenem Quellcode geschieht?“

      So (ungefähr) funktioniert Gesichtserkennung zum Beispiel auf Android-Telefonen.
      Das Problem mag sein, dass damit der Respekt vor der Technik genommen wird, aber aus Überwachungserwägungen spricht da erstmal wenig gegen.

      Das nur, um kurz vor Augen zu führen dass dein Vergleich leider hinkt.

    • Es ist aber immer noch der Versuch einer technokratischen Lösung für an gesundheitspolitisches und gesellschaftliches Problem.

      Es ist eine technische Lösung. Masken tragen ist ein anderes Beispiel einer technischen Lösung.

    • Ich habe jetzt mal versucht, diesen Text zu lesen. Das ist schwierig, weil er einfach relativ viel Zeug drin steht das überhaupt nichts zur Sache tut, aber vermutlich Kompetenz signalisieren soll. Nach den technischen Aussagen und Begründungen des „NEINs“ muss man regelrecht suchen.

      Neben einigen ja nun doch wirklich nicht mit den technischen Tatsachen zu vereinbarenden Behauptungen, habe ich auch sonst den Eindruck, dass die Autoren sich in einer anderen Lebensrealität befinden. Zum Beispiel, wenn von Bluetooth geschrieben wird.

      Immer wenn es mal wirklich ans Eingemachte geht, bleibt ja nicht viel übrig außer „Ja, jedes Risiko ist weg, aber wir vertrauen nicht und es könnte in irgendeiner fernen düsteren Zukunft anders sein oder geändert werden. Und was wenn es gar nicht stimmt?!“

      Das ist schön und gut, aber dafür braucht man nicht so einen langen Text zu schreiben und so tun als gäbe es irgendein faktisches technisches Argument.

      Irgendwie erfreut mich der Gedanke, dass dieser Text jetzt wahrscheinlich in irgendwelchen Telegram-Gruppen geteilt wird :)

    • Der Artikel ist schon in einigen Teilen merkwürdig. Symptomatisch dafür auch:
      Die Autorin geht auf eine Schwachstelle im BT-Stack von Android 8/9-Devices ein und bringt das Argument, dass man sich mit einem BT-Wurm infizieren würde, wenn man die App nutzt. Gleichzeitig sagt die Autorin auch, dass heutzutage BT ein integraler Bestandteil von technischen Geräten ist.

      Für mich offenbart diese Schilderung gleich mehrere Probleme:
      1. Android 9 ist seit einem Jahr und drei Monaten obsolet. Wer kein Update fährt oder ein Gerät hat, was nicht mehr supportet wird, macht einen gewaltigen Fehler: denn er/sie hört offensichtlich kein Logbuch Netzpolitik.
      2. Wir haben eine Masse an Geräten, die nach kürzester Zeit keinen Support mehr erfährt. Wir brauchen endlich einen politischen Hebel, der analog zur Mindestgewährleistung auch softwareseitigen Support für Geräte erzwingt (Grüße gehen raus an Frank, Konstanze und Fefe)
      3. CVE-2020-0022 ist eine BT-Schwachstelle, keine CWA-Schwachstelle. Wenn BT (wie von der Autorin beschrieben) ein integraler Bestandteil von unseren Geräten ist, dann ist es im Zweifel auch egal, ob uns die Malware greift, weil wir über unser Headset Musik hören oder weil wir die CWA angeschaltet haben.

      Wie man aus der Problematik, dass die Leute Elektroschrott nutzen, schließen kann, dass das Problem die CWA ist, und nicht, dass die Leute nicht schauen (können), was sie sich ins Haus holen, bleibt mir absolut unverständlich.

      Im Dezember nutzen übrigens nur noch circa 21% der Nutzer überhaupt Android 8 oder 9 [1], von denen wiederum ein Teil gepatcht wurde.

      [1] https://www.googlewatchblog.de/2020/12/android11-googles-update-turbos-dezember/

      • In besonders in dieser Pandemie immer öfter anzutreffendes Phänomen. Leute finden im Intenet Zahlen, die sie dann völlig falsch interpretieren. Dein Link zeigt nach eigener Aussage den Anteil der Android-Nutzer verschiedener Plattformen bei den Lesern des dortigen Blogs an. Das ist ja wohl überhaupt nicht repräsentativ.

        Die echten Zahlen zu den verwendeten Android-Versionen gibt es an anderer Stelle:
        https://9to5google.com/2020/04/10/google-kills-android-distribution-numbers-web/

        Android 9 ist mitnichten obsolet. Mein schon etwas in die Jahre gekommenes Nokia 6 hat ein Android 9 mit aktuellerem Patchlevel als so manches Samsung-Phone da draußen.

  9. Danke für die Videoempfehlung. Unter den zahlreichen weiteren Interviews von Günter Gaus scheinen sich einige bedeutsame Zeitdokumente zu befinden, wie der Wikipedia-Eintrag erwarten lässt: https://de.wikipedia.org/wiki/Zur_Person Leider ist nur eine Minderzahl davon auf den einschlägigen Videoportalen zu finden, weshalb an dieser Stelle einmal mehr der Forderung nach öffentlicher Zugänglichmachung der Archive des öffentlich-rechtlichen Rundfunks Nachdruck verliehen werden soll. Auch hier gilt euer Sendungstitel; der Kunde will es ohne Fehlstelle haben. Die Fehlstelle ist in dem Fall der unhaltbare Zustand, dass der Kunde (sprich Beitragszahler) ein nicht geringes Entgelt für die Produktion von Medieninhalten entrichtet, wobei ihm der freie Zugriff auf diese von ihm mitfinanzierten Inhalte jedoch verwehrt bleibt.

  10. Hallo.

    Ich hätte ja in dieser Folge damit gerechnet das Linus mal darauf eingeht das mitterweile ein komplett freies Kontakt Tracing unter Android möglich ist.
    https://www.heise.de/news/Corona-Warn-App-Quelloffene-Version-verfuegbar-bald-bei-F-Droid-4979962.html

    Aber vielleicht lag es daran das die APP bisher nur über ein RePo für F-Droid zu beziehen war.
    https://mastodon.technology/@IzzyOnDroid/105295218389783481
    Mittlerweile gibt es die freie Corona Tracing-APP inklusive freiem Framework auf F-Droid.
    https://f-droid.org/de/packages/de.corona.tracing/

    Vielleicht kann ja Linus in der kommenden Sendung doch noch mal einiges dazu sagen.

  11. Zur Frage Datenschutz vs. CWA:

    Ich hätte ein Beispiel, inwiefern der Datenschutz einer guten Funktion im Wege stehen kann, aber ich muss dazusagen, dass die gute Funktion eine eher indirekte ist.

    Ich habe viel Zeit, während der ich die App schon hatte, relativ isoliert verbracht, d.h. 0 Freunde getroffen, 4-5 von 7 Tagen die Woche nicht aus dem Haus gegangen, wenn aus dem Haus, dann nur zum Einkaufen (Fahrrad) wo ich nie auch nur annähernd 15 Minuten in der Nähe zu einem anderen Appnutzer in Folge verbracht habe. Ein Gruppentreffen pro Woche im Café, wo ich 1-3 andere Leute traf, aber die Person, die für das mindestens 1 steht, ist ein wenig “ich will nicht überwacht werden”-phobisch, eher amorph, da gehe ich fest davon aus, dass sie die App nicht hat. Ich meine damit, sie telefoniert nur mit dem Smartphone und benutzt weder ein Café-WLAN, noch Internet über Simkarte.

    Dennoch bekam ich ab irgendeinem Update im Spätsommer jede Woche die Meldung, es hätten 150-200 Kontaktüberprüfungen stattgefunden. Wo konnten die herkommen?

    Im Café 2 Leute über 2 Stunden sind 8 Viertelstunden oder 16 Kontakte, sehr großzügig gerechnet – keine Ahnung, ob die Tokenverwürflung so extrem arbeitet. Da die App nicht weiß, wann sich jemand von denen testen lässt und das Ergebnis veröffentlicht wird so ein einziger Kontakt wohl 7 oder 10 oder 14 Tage, immer wieder überprüft, und so komme ich auf (10 Tage) 160 Überprüfungen eines einzigen Caféaufenthalts mit 2 anderen Appnutzern über 2h.

    Oder schnallt die App, dass das jeweils nur ein Kontakt ist, weil der Token nicht so rasch geswappt wird? Das scheint mir plausibler, aber dann komme ich in 14 Tagen auf maximal 2×14=28 Überprüfungen, es waren aber knapp 200.

    Also nahm ich meinen Nachbarn in Verdacht.

    Wenn mir die App nun mitteilt, “Kontakt zu einem Meldefall am 1.12”, dann kann ich überprüfen, ob ich da überhaupt aus dem Haus war. Schlecht für meinen Nachbarn, dem ich so auf die Schliche komme aber gut für mich, denn ich kann die Warnung dann selbständig in den Wind schlagen. Vielleicht hatte der Nachbar aber ja auch Besuch oder reparierte das Smartphone eines Freundes an dem Tag.

    Man kann darüber streiten, ob dessen Recht auf Anonymität stärker wiegt, als mein Recht auf körperliche Unversehrtheit und Selbstbestimmung – immerhin muss ich ja mehrere Stunden Aufwand treiben, wenn ich mich wg. eines Fehlalarms testen lasse und belaste das Gesundheitssystem und die Probennahme soll teils schmerzbehaftet sein. Die Belastung ist natürlich nur relevant, wenn ein signifikanter Anteil an Warnungen an Leute geht, die mit mehr Informationen die Warnungen zurecht in den Wind schlagen könnten.

    Viele Wenns und Abers.

    Aber die Nutzer sind ja Humanoide, und wenn die mitdenken, kommen sie auf derartige Überlegungen, und eine Warnung, der sie misstrauen, weil sie annehmen, dass sie wahrscheinlich ein Fehlalarm ist, weil die Zahl der ermittelten Kontakte so unplausibel hoch ist, wird natürlich auch seltener befolgt – da müssen wir mein persönliches Verantwortungsgefühl und meine Opferbereitschaft gar nicht diskutieren.

    Aus dem Sicherheitsbereich kennt Ihr natürlich die Abwägung: Wenn ich die Wahl habe, ob ich 10 Verdachtsfälle zu viel oder 10 Verdachtsfälle zu wenig prüfe, dann lieber 10 zu viel als zu wenig.
    Aber je asymmetrischer das Verhältnis, (lieber einen zu wenig und dafür 100 zu viel testen? 1:1000?), desto berechtigter wird die Frage.

    • Die Antwort darauf ist relativ simpel und hat nichts mit Datenschutz, dafür aber mit unklaren Formulierungen zu tun:

      Ein Kontaktüberprüfung passiert nicht aus dem Grund, dass du irgend eine Person überhaupt nur getroffen bzw. ihre ausgesendeten keys empfangen hast, sondern automatisch mindestens 1x täglich.
      Das Senden, Empfangen & Spechern der Keys wird gar nicht durch die App selbst gemacht sondern von einer Hintergrundkomponente, die meist vom Betriebssystem gestellt wird. Dementsprechend muss die CWA App erst diese Komponente fragen, ob überhaupt Keys empfangen wurden und wenn ja ob diese mit einer Liste der als infektiös gemeldeten übereinstimmt. Egal ob dein Gerät in der Einöde in der Schublade lag oder 24/7 S-Bahn fuhr – die CWA kann das nicht unterscheiden und fragt daher regelmäßig bei der Betriebssystemkomponente nach.

      • Ups, abschließendes Fazit vergessen:
        Jeder dieser Nachfragevorgänge zählt dann als eine “Kontaktüberprüfung”, dieser Begriff ist offenbar missverständlich.
        Die Benachrichtigung kam zudem vermutlich nicht von der CWA, sondern von der Komponente im Hintergrund die dich stolz benachrichtigt hat, wie viele dieser Überprüfungsanfragen sie beantwortet hat.
        Warum auch immer dein Betriebssystemhersteller (Apple?) das für notwendig hielt… Auch die Formulierung geht daher auf deren Kappe.

        • Ich vermute, hinter dem Genöle über lästigen Datenschutz verbirgt sich vor allem das Problem peripherer Bürokratie, die sich infolge von “Datenschutz” mehr oder weniger sinnvoll aufbaut. Auch bei der CWA führt das zu Fehlfunktionen: Wer beim Labor-Test der Übermittlung seiner Testdaten an RKI-Server nicht schriftlich zustimmt (95% der Leute können vrmtl. nicht einschätzen, was diese Aussage bedeutet und für Auswirkungen hat, daher wird wohl sehr häufig nicht zugestimmt, was legitim ist wenn man es nicht überblickt), dann ist die FUNKTION der App nicht mehr voll gegeben, weil der eigene Corona-Befund nicht mehr per vorher eingelesenem Barcode im Labor aufs eigene Gerät übertragen und andere Menschen warnen kann. Dass die Übertragung des Laborbefunds nicht funzt, sieht der Nutzer dann zwar in der App, aber er weiß nicht, warum. Dazu gibt es keine Info. So war es jedenfalls bisher, ob sich daran in den letzten Wochen was geändert hat, weiß ich nicht. Aber wenn das noch immer so ist, wäre es m.E. eine echte und relevante Dysfunktion der App aufgrund von äußerst hakelig umgesetzten Datenübermittlungseinwilligungsprozessen, die man durchaus im Ökosystem “Datenschutz” ansiedeln darf.

          Da steckt vrmtl. das generelle Problem dahinter, dass digitale Selbstbestimmung derzeit mit den falschen Mitteln versucht wird, zu erreichen. Dem Nutzer wird mit Transparenzen und Häkchen setzen eine scheinbare Selbstbestimmung konstruiert, die entweder aufgrund mangelhafter Detailkenntnisse, oder aber mangels Alternativen (stimme zu oder tschüss) gar nicht real vorhanden ist und deshalb entweder zur genötigten Zustimmung oder aber zur Dysfunktion der App führt. Dieser Zustand bringt den Dateschutz an sich leider schnell in Verruf, so ist sicherlich auch die Haltung im ZEIT-Podcast zu erklären auf die Linus da offenbar stieß.

  12. Ein kleiner Einblick zur Kontaktnachverfolgung:
    Ich bin coronapostitv. Mich hat dann nach ein paar Tagen das Gesundheitsamt angerufen und mir nach einem vielleicht zweiminütigen Telefonat eine Mail geschickt. An diese sehr kurze Mail war ein Excel-Sheet angehängt. Ein schlecht formatiertes Excel-Sheet. Hier musste ich dann Name, Adresse, Geburtsdatum, Mailadresse, Telefonnummer, Art der Beziehung, Ort und Zeit des Kontakt, usw. aller meiner engen und nicht engen Kontakte der letzten Tage eintragen. Es gab nirgends ein Hinweis zum Datenschutz oder weitere Erklärungen. Dann musste ich meine Kontakte logo unverschlüsselt per Mail dem Gesundheitsamt wieder zurückschicken. Das ist schon sehr bitter alles. Ich finde selbstverständlich, dass meine paar Kontakte und ich in Isolation und Quarantäne sind, aber ein mies formatiertes, unkommentiertes, unverschlüsseltes Excel-Sheet führt bei mir erst Mal zu Schnappatmung und ich krieg Dank Corona seit Tagen eh schon schlecht Luft.

  13. Kurzer Hinweis bzgl. der Fehlerquote bei der Gesichtserkennung: die 5 Prozent waren hier die falsch negativen, wenn man die falsch positiven auf 0,001 Prozent fixiert (1 von 100.000). Im Bild, das bei netzpolitik.org zitiert wurde, ist das beschriftet mit “FNMR at FMR = 0.000010” (false non-match rate und false match rate).

    Es besteht ein tradeoff zwischen falsch negativen und falsch positiven und letztere kann man immer auf 0 reduzieren, indem man alles ablehnt. Außerdem möchte man am liebsten eine einzelne Kennziffer für den Vergleich von Systemen. Daher ist es nicht ungewöhnlich, die falsch positiven auf einem “akzeptabel” niedrigen Niveau zu fixieren und dann die falsch negativen zu vergleichen.

  14. Warum gibt es kein Preview?
    Da sind ja tausend Fehler drin.
    Hier die korrigierte Fassung, bitte die alte löschen, sofern möglich.

    Dass eine Hashfunktion, angewendet auf eine Telefonnummer leicht zurück gerechnet werden kann, haben schon auf dem 35C3 schon die erfolgreichen Teilnehmer der Winkekarten-Challenge der Telnet-Assembly gezeigt.
    Eine Teilaufgabe um die Katze zum Winken zu bekommen und damit ein “Telnet-Klartext Reden” T-Shirt zu gewinnen war es, aus einem gegebenen SHA256-Wert einer Telefonnummer diese zu berechnen.
    Das ist innerhalb von 3 Tagen über 40 Kongressbesuchern gelungen.
    In der Regel wurden dazu normale Notebooks verwendet.
    Hinweis: Der schlechteste Angriff wäre es, alle Nummern durchzugehen. Bei zehn signifikanten Ziffern (z.B: Berlin “30” + 8 Stellen) wären es 100 Giga-Hashes die man berechnen müsste. Es gibt aber nur 5202 Ortsnetze, man könnte hier also erheblich optimieren.
    Der 1000 Euro teure Bitcoin-Miner “Antminer R9” schafft 8.6 TH/s, kann also den gesamten Raum in einer Sekunde 86 Mal durchsuchen.
    Und selbst bei elf signifikanten Ziffern würde er den gesamten Suchraum 8 Mal pro Sekunde berechnen können.

  15. Moin,
    kurze Anmerkung zum BND-Gesetz und den E-Mail-Anbietern, speziell Mailbox.org: Mailbox.org bietet nur an, den Posteingang zu verschlüsseln. Dazu hinterlegt man den eigenen öffentlichen Schlüssel – logischerweise ist dazu kein Passwort nötig. Anschließend werden die Nachrichten einzeln an dich mit GPG verschlüsselt, als wären sie von Anfang an verschlüsselt gewesen. Allerdings gehen die E-Mails natürlich unverschlüsselt ein. Mailbox.org müsste im Grunde also nichts ändern.

    Viele Grüße und herzlichen Dank für diese unterhaltsame Folge. :-)

  16. Bei CWA und Datenschutz wird ja immer darüber gesprochen, was die App dem User anzeigt, aber für meinen Datenschutz ist doch eigentlich entscheident was die App sendet. Über das was andere mit den gesendeten Daten machen, hat der User ja kein Einfluss.
    Die App sendet ja Datenpakete an ihre Umgebung, und lädt die im Corona positiv Fall auf einen Server, wo sie andere herunterladen und vergleichen können. Es könnte sich also eigentlich jeder selbst eine App bauen die auch speichert wann sie die Pakete empfangen hat und wo man da war, und nach dem Abgleich hätte man dann die strittigen Daten.
    Oder habe ich da was falsch verstanden?
    Und wenn das jeder andere theoretisch kann, sind die Daten eigentlich sowieso schon in der Welt, und sie in der offiziellen App anzuzeigen wäre nicht weniger Datenschutz sondern ein zusätzlicher Service.

    Viele Grüße
    Alex

  17. Das ginge nur, wenn wir uns alle bekennen und die Fragen automatisiert abrufbar für jeden bereitwillig und begeistert zur Verfügung stellen – aus lauter Freude, dass andere sich interessieren für einen… Nichts ist schlimmer als uninteressant sein … we are all agents of the BND. Wo immer wir uns gerade befinden.. Es lebe Avokadolf.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.