Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de
Feedback — Lego — Datenautobahn — Telekommunikationsgesetzes — IT-Sicherheitsgesetz 2.0
In dieser Folge reden wir zwar viel über Lego und die Datenautobahn, doch der klare Schwerpunkt liegt auf dem IT-Sicherheitsgesetz "2.0", für das in dieser Woche eine Expertenanhörung im Bundestag stattfand. Linus war vor Ort und hat die Stellungnahme des Chaos Computer Club erläutert und entsprechende Fragen beantwortet. Wir sprechen über den Inhalt der Stellungnahme und wie es so abläuft in den Anhörungen (und dieser Anhörung im besonderen).
https://logbuch-netzpolitik.de/lnp383-dann-sagen-wir-es-eben-nochmal
Veröffentlicht am: 3. März 2021
Dauer: 2:30:21
Äh und zwar hatten wir äh ja in der letzten Sendung über die Wasseranlage da in. In äh Florida oder wo das war, gesprochen. Und da haben wir von Andre, Feedback bekommen, der auch sich so mit so Skada Systemen auseinandersetzt. Er schreibt uns. Also Siemens hat da zum Beispiel mit SIMATIG, PCS sieben, mehr oder minder ein Monopol bei der, Industriesteuerung, ja? Dies lief zu meiner Zeit als Chemikant auf Windows zweitausend, schon mit chipkarten zum Absichern und so weiter. Die neuen Versionen laufen logischerweise auf neueren Windows-Versionen. Hast du mit der Maus bedienbar ein komplettes Schaltbild der Chemieanlage Von der Pumpensteuerung bis hin zur Dosiermenge. Die Grenzen der Einstellungen übernimmt die Prozesse Leitelektronik. In dem Fall die Elektronikerinnen. Dieses findet natürlich vorher, Absprache mit den Ingenieurinnen und Doktorinnen. Äh statt den einfachsten mal so, stellt man dort gar nichts auf feste Werte ein. Dafür gibt es dann Benutzerkonten mit Rechteverwaltung. Sprich. Messwagenfahrerin sollte nie die Rechte der PLT haben und so weiter, PLT Prozess Leittechnik und so weiter. Also quasi antwortet im Prinzip auf die Frage, warum konnte da jemand den Wert auf das tausendfache Stelle, auf der hundertzehnfach stellen. Auch sollten Alarme konfiguriert sein, damit im Falle einer Fehldosierung oder eines Fehlers im Allgemeinen ziemlich zügig der Leitstand informiert wird Das Feature Lizenzabhängig an PCS sieben ist die App-Steuerung, also mit VPN und Userberechtigung, kann der kleine Chemikant vom Donnerbalken trotzdem auf das System einwirken Was da in den USA falsch lief, keine Ahnung, was die benutzen, ebenso keine Ahnung. Ich denke mir aber mal, am falschen Ende wird immer gespart und nicht über Sicherheit und Co nachgedacht. Wer konnte auch damit vor zwanzig Jahren rechnen, dass die Geräte wirklich richtig online gehen, wie vom Hersteller, vorgeschlagen? Übrigens, der Shut von Stucksnett setzte genau auf die Software, Siematik, PCS sieben Stuckset war dieser, ja, äh, Cyber-Angriff, Trojaner, äh gegen die iranischen, Uran Anreicherungsanlagen, wo dort die Zentrifugensteuerung. Ein bisschen aus dem Tritt gebracht wurde und zwar nur so wenig, dass die Anreicherung eben nicht auf das Kritische, Also die liefen so so ungenau, dass die Anreicherung nicht zu einem kritischen Niveau gelingen konnte. Ja, also äh sehr schön mit anderen Worten, äh die Software bildet das ab, was die Geräte können und nicht das, was sie sollen, hätte man sich halt mehr Gedanken drüber machen müssen.
Äh jein. Also ich habe natürlich, ich hatte Elektronik und äh wenn dann natürlich irgendwie auf Seite drei steht, nicht die Batterie dranhalten, dann probierst du natürlich aus, warum nicht? Und ja, dann waren halt nach kürzester Zeit der größere Teil der relevanten Bauteile äh in diesem Kasten kaputt. Insofern habe ich da. Konnte ich dann am Ende das Transistor Radio nicht mehr bauen. Aber sonst klar.
Ja, das habe ich aber auch gemacht, aber ich hatte viel Lego. Weil das Tolle an Lego ist ja, also Lego wird geil mit viel. Das ist einfach die die also an der Stelle macht Quantität wirklich den Unterschied, weil dann kannst du's einfach krass bauen, ja, es muss einfach viel sein. Und ich hatte, ich hatte wirklich auch für damalige Verhältnisse enorm viel Lego. Das war toll damals.
Spezial Lego. Die sind ja die sind ja das ist ja das Geile, also das, wie heißt das, das ist ja nicht, also das ist nicht Lego-Technik, sondern sie sind größtenteils wirklich mit so Standard-Legosteinen gebaut. Musst du dir mal angucken. Gib mal ein, warte mal, Lego Bully, BULLI, ja? Da müsste sie den, der Bully Camper. Lego-Creator, genau, Lego-Creator. Ja, Moment, den gibt's in klein und in groß, der große, weiß-rote. Siehst du den? So und der ist ja größtenteils wirklich mit mit Standard Legosteinen. Siehst du? Geiles Teil. Und in der in dem Ding gibt's eben auch einen Käfer, der ist blau. Der ist auch sehr schick mit einem äh jetzt wollte ich Skateboard sagen, mit so einem Surfboard oben drauf, der blaue Käfer.
Guck dir mal den da gibt's halt die Mini Cooper, der ist auch sehr schick. Und ähm. Wenn du das nämlich jetzt mal vergleichst mit was du heute, wenn du dir ein Lego Star Wars kaufst, Da kriegste, also das, da kriegst du ja das äh gut, da gibt's jetzt auch noch andere Beispiele, aber äh so modernes Lego, da sind nur noch Special Parts dabei.
Das Hansekop, die haben ihr eigenes Konzept einfach so kaputt gemacht, dass sie das, also die haben sich einfach so kannibalisiert äh fürchterlich. Und dann sind natürlich die Leute, stehen natürlich dann auf die, wenn es so halbwegs noch die Old School Teile sind. Das sind dann auf einmal die. Ja, die sehr teuren Legos, ne? Aber wenn du irgendwie so ein so ein Waldwald und Wiesen-Lego kaufst, ja das ist eigentlich in der von der ist wie ein Überraschungsei, Spezialteile, da ist dann wirklich einfach kannst du wahrscheinlich auch bei Lego nachbestellen von dem Starfighter der linke Flügel, was überhaupt kein, also immer weniger Standard-Lego drin ist. Und da sind diese hier Creator-Dinger noch wirklich so die, die, die Oldschool Varianten gewinnen.
Ja, aber Lego muss sich einfach, das ist einfach, ist das einfach nicht mehr die die reine Lehre. Wie gesagt, Vierer und Achter wirklich mal so halbwegs rund zu kriegen und wenn dir das nicht aufgelöst genug ist, dann musst du einfach deinen Maßstab vergrößern und dann brauchst du größere. Bodenplatten und damit muss gearbeitet werden, dann ist es halt einfach scheiße groß, dann ist es auch ordentlich rund, da muss man irgendwie auch nichts abflachen und glattmachen und so weiter. Aber na ja, das ist halt auch echt das Problem, wenn du nicht genug so von von dem ganzen Standardkram hast, also ich äh war vor ein paar Tagen in der Situation, dass ich mal ein Münzzähler in Lego bauen musste, Und ähm ja, da fehlte mir dann irgendwann so ein bisschen einfach das das Rohmaterial, um das irgendwie zu perfektionieren.
Das, was, ja, ich hatte leider, ich habe natürlich meine meine riesigen Vorräte von damals irgendwann dann auch mal äh verscherbelt oder verschenkt oder was weiß ich. Auf jeden Fall bin ich fünfmal mit umgezogen Und äh irgendwie ist es mir nicht gelungen, äh in den letzten Jahren für die Kids, die dieselben Mengen ähm wieder neu aufzubauen. Weil ja irgendwie die sich ja auch mehr für diese ganze Computerscheiße interessiert. Ich weiß gar nicht, wo sie das her haben. Aber mein Sohn ist gut unterwegs in Minecraft, das ist ja irgendwie sein Lego und da äh entstehen auch bemerkenswerte Dinge, kann ich dir sagen. Bemerkenswerte.
Äh widmen wir uns. Okay, So, also wir haben äh in dieser Woche oder in dieser Woche ist ja Dienstag, ja? Und gestern waren zwei, Anhörungen des Deutschen Bundestages bei den der Chaos Computerclub Stellungnahmen eingereicht hat. Und zwar einmal, dass. Gesetz zur Modernisierung der Telekommunikation, also das TK Mock. Da war die Anhörung im Ausschuss für Wirtschaft und Energie. Da ist der Frank hingegangen, Frank Rieger. Und dann war noch die Anhörung zum IT-Sicherheitsgesetz, die äh ich besucht habe. Ähm, CK Mock ist, ich da ist ein Monster von vierhundert Seiten und äh die Anhörung war auch vier Stunden und die haben die aber offenbar so gesplittet, dass quasi. Frank, wenn ich das richtig in Erinnerung habe, nur nur zwei Stunden dran teilnehmen musste, als dann sein Teil dran war, weil das eben so ein absolutes Mammut. Ding ist. Und da, ist es im Prinzip äh geht es in dem Teil mit dem Frank sich da behandelt hat äh äh auseinandergesetzt hat, geht's im Prinzip um Netzwerkausbau, ja? Also was muss passieren, ne? Wie wird äh, wie wie kann man vielleicht noch darauf hinwirken, dass auch Deutschland ein modernes Kommunikationsnetz bekommt, ja? Es gibt da ja gerade, geht auch, glaube ich, so ein bisschen rund, diese äh ähm ich will immer Neo-Magazin, aber ZDF-Magazin Royale Sendung, wo Böhmermann auch nochmal erklärt hat, warum in Deutschland eben, es kein kein Glasfaser gibt, sondern Kupfer, ne, dass er Helmut Schmidt hat ja gesagt, ey okay, könnte man eigentlich mal machen und dann hat äh Helmut Kohl gesagt, äh nee, der Leok hier, ich will das nicht, lass uns mal lieber äh Koaxialkabel legen, das ist günstiger für Kabelfernsehen, ne?
Ja, aber das finde ich sehr schön, dass das das mal so rausgearbeitet hat als ähm als die Ursünde, Ja, also ich wusste, kannte das schon vorher, diesen Umstand, aber es äh ist ein bisschen in Vergessenheit geraten, dass wir tatsächlich in den, in den, in den ja, Ende achtziger Mitte achtziger eigentlich schon, falsch abgebogen sind und seitdem immer noch durch den Waldweg fahren. Einfach, das findet einfach keiner raus aus dem Wald. Es ist einfach zu viele Bäume auch.
Das hatte ich tatsächlich ein bisschen anders in Erinnerung Also ich äh für mich war eigentlich immer Helmut Kohl selber der Erfinder dieses Begriffs, weil oder kam das nicht sogar da irgendwie drin vor, dass er da irgendwie gefragt wurde? Doch, da war doch sogar noch so ein Clip, ne, wo er so gefragt wurde und, Nach der Daten nach Datenautobahn gefragt wurde. Und er äh und und er einfach nur zur Autobahn geantwortet hat oder irgendwie sowas, keine Ahnung. Auf jeden Fall war das damals so der Begriff und ich finde ja nach wie vor, man lacht da ja gerne drüber, ne, aber ich.
Den Begriff Datenautobahn, über den lacht man ja äh ungern, aber hätten sie mal hätten sie mal die Idee der Autobahn, auch wirklich ins Internet übertragen, dann wäre ja eigentlich alles gut gewesen. Nur das einzige, was sie daraus abgeleitet hat, ja, da kann ich so rumfahren, wie ich will, irgendwie und so schnell wie ich will. So, das das war so ein bisschen ihr Traum.
Genau, das ist mal so eine so eine grundsozialisierte Infrastruktur ist, die man einfach mal ausrollt und wo die Zugänge frei sind und jeder darf auf jeder Ausfahrt fahren und von jeder Ausfahrt auch wieder runter. Es gibt keine Privatausfahrten und so und ähm ja. Leider hat es nicht so ganz verfangen. Und ich find's gut, dass man über sowas diskutiert, aber ehrlich gesagt in den letzten Tagen habe ich auch nochmal so ein bisschen drüber nachgedacht. Ich glaube wirklich und das sage ich als Optimist, ne. Ah, ich glaube, wir kriegen das nicht mehr hin. Ich glaube, es ist einfach vorbei. Dieses Land kriegt es nicht mehr auf die Kette. Wir werden diesen letzten Platz niemals aufgeben. Wir kriegen's nicht mehr gedreht. Ist einfach vorbei. Ich warte jetzt seit dreißig Jahren drauf. Es kommt einfach nicht. Es ist schlimm.
Oh man, ja, aber damit hast du jetzt eigentlich auch die ähm die Stellungnahme äh schon ganz gut zusammengefasst. Also, ne, es geht darum, in dem TK Mock oder in dem Teil, der mit dem Frank sich auseinandergesetzt hat, geht's eben genauer um die um den Breitbandausbau, ja, wo es also geht so, okay, Deutschland soll eine Datenautobahn bekommen, ja? Und ähm. Jetzt ist es aber in diesem Gesetz so definiert, dass es quasi einfach nicht fest ist. Da ist nicht nichts klar definiert, wo du jetzt mal eine Anforderung hast, wo gesagt wird, okay, es gibt eine breite und die kannst du notfalls auch einklagen, ja? Und da gibt's eine also irgendetwas, was dafür sorgen würde, dass jemand auch tatsächlich einen einen Rechtsanspruch gewissermaßen hat, ja? Ähm. Wäre halt äh mal schön gewesen, ne, aber nein, es bleibt an den entscheidenden Stellen eben zahllos und äh schafft zahnlos und und schafft vor allem auch die Hindernisse nicht aus dem Weg, ne. Es gibt zum Beispiel immer noch keine Mindestbandbreite, und auch keine Sanktionen, wenn du die nicht erfüllst. Oder unter erfüllst. Ende. So ja dann wird's schön. Ne dann gibt's natürlich auch. Das, was man ja sieht, ist ja, also es gibt ja diese Förderungen, ne, für kommunale Ausbauprojekte, die niemand abgreift, ne. Da wurde ja gesagt, hier gibt's Geld. Und dann haben die gesagt, boah Alter, das ist aber ein kompliziertes, kompliziertes Fax, was wir da schicken müssen. Lasst uns das mal lieber, äh lass uns versuchen, das nicht zu machen, ne? Und ähm. Ja, es gibt jetzt auch zum Beispiel keine Möglichkeit für Mieter äh zum Beispiel eine schwache Anbindung als Mietminderungsgrund anzugeben, ne? Oder irgendwie das Planungsverfahren zu beschleunigen, für den Ausbau oder so. Und gibt's halt einfach alles gar nix so, ne. Also es wird gesagt, ja, das wird jetzt alles toll, aber das steht halt nicht drin, dass es jemand kann Also ne Frank, also Frank hat außerdem noch so symmetrische Bandbreiten wäre natürlich auch mal super, ne vor allem gerade wenn du Glasfaser ausbaust, dann kannst du es auch wirklich einfach mal machen, ne? Und, Damit kannst du ja dann eben auch, ne, wie sagt man so schön, äh den den ländlichen Raum attraktiver machen. Ich habe heute mit einer äh Freundin telefoniert, die, ähm kennst du auch, die ein Grundstück äh etwas außerhalb von Berlin hat, in Brandenburg, so Stunde ungefähr raus. Und nachdem sie quasi dort sich niedergelassen haben, kam eine Woche später der Brief, Telekom so, ja, wir legen hier Glas hin, ne, wo wir auch gesagt haben, so okay, da hat sich ja schon gelohnt, ne, also wenn wenn du das Ding gekauft hast und dann wird da Gras hingelegt, weißt du halt so, geil, ich bin, also so boah was für ein Volltreffer, wo ich auch sachte, boah geil, kann man toll, ne? Toll, ihr werdet Glasfaser haben, ne. Ich meine äh wie du ja schon sagtest, ich ich komme ja aus dem Opal-Ghetto. Jackpot ne ich ich kenne noch Zeiten da gab's noch nicht mal DSL. Okay, aber okay. Lange, langer Rede, kurzer Sinn. Irgendwelche äh dass da mal gesagt wird, okay, es muss hier mal ordentliche, also und eine Qualität einfach mal, dass man sagt, okay, Bandbreite, Latenz, Paketverlustrad oder irgendwelche, äh äh Qualitätsmerkmale, hier einfach nicht, nicht benannt. Und natürlich wäre eben auch eine wichtige Forderung gewesen, dass man die lokalen und kommunalen Ausbauprojekte stärkt, damit eben. Leute sich selber zusammenrotten können und wie du eben auch schon so oft erklärt hast und so oft gefordert hast, dass du jetzt sagst, okay. Dann dann schaffen wir die Infrastruktur und wer mir am Ende die Bits dadrüber liefert, das kann ich ja dann noch mal autonom verhandeln, ne? Auch das ist hier. Nicht wirklich gegeben. Rest der Welt hat Gigabit-Anschlüsse einfach auf Masten in den Masten, die Glasfaser mit reingeworfen, innerhalb von Tagen. Und in Deutschland äh, sind die Tiefer Tiefbaukapazitäten ausgeschöpft und ja, kennen wir ja alles, ne? Oh die Glasfaser, die haben wir jetzt aber vergessen mit reinzuwerfen, als der Bagger da einmal durchgefahren ist. Und jetzt können wir den schönen Asphalt ja nicht nur mal kaputt machen, ne.
Und dann natürlich, was auch spannend ist, äh ich zitiere da jetzt so aus der äh Stellungnahme, die absehbare Verfügbarkeit von schnellen Satellitenverbindungen mit niedriger, niedrige Latenz zu niedrigen Kosten, wie etwas Darling, sollte im Gesetz berücksichtigt werden. Anbieter solcher Dienste in Deutschland müssen denselben Verpflichtungen für Bandbreite, Kundenservice, Beschwerdemanagement, Datenschutz und Vertraulichkeit unterliegen. Gerade für die Versorgung geografisch, gelegener Regionen, bei denen eine Glasfaserbindung nicht zeitnah realisierbar oder extrem äh unökonomisch ist, bieten die neuen Satellitendienste eine sinnvolle Ergänzung zur Glasfaserinfrastruktur, die entsprechende Regulierung sollte jedoch einerseits gleiche Bedingungen für alle Anbieter sicherstellen und andererseits ihre Realisierung nicht unnötig behindern. Ist ja ohnehin so, muss man jetzt ganz einfach sagen, so, wenn du jetzt in Deutschland äh eine eine entlegene Region wie ein Vorort von Berlin zum Beispiel mit Internet erschließen möchtest, ist es im Zweifelsfall einfacher, Satelliten ins All zu schießen, als die die Erde aufzureißen und eine Glasfaser hinzulegen, ne. Das ist und oh je, oh je, oh je. Naja, also da gibt's wenig Hoffnung. Und äh ja, Stellungnahme des CCC haben wir verlinkt und die Aufzeichnung der Sachverständigenanhörung ähm haben wir dann auch verlinkt. Da hat sich dann, Frank drum gekümmert. Im Prinzip 'ne kleine vom Umfang her 'ne kleine Stellungnahme. Vier Seiten oder so, weil es äh ich gucke mal, wie viele Seiten sind das? Ja, vier Seiten, weil es ähm.
Genau und dann gab es quasi eine Stunde später war dann die Anhörung, sie waren zeitversetzt, aber zeitgleich zeitversetzt war die Anhörung im Innenausschuss zum. Gesetz zum Entwurf eines zweiten Gesetzes zur Erhöhung der Informationssicherheit informationstechnischer Systeme, dem sogenannten IT-Sicherheitsgesetz zwei Punkt null Und ich war ja auch schon zum ersten IT-Sicherheitsgesetz als Sachverständiger im Innenausschuss des Deutschen Bundestags und hat mich sehr gefreut, dass ich jetzt noch einmal dort eingeladen wurde. Das habe ich in der letzten Sendung auch schon. Erzählt, wie das da gelaufen ist. Und äh ja, die meisten haben ja schon äh oder einige haben mich ja auf Twitter schon angesprochen, ich habe mich dann am Ende dazu entschieden. Vor Ort aufzutreten und in den Bundestag zu gehen, in das Paul-Löbe-Haus. Erstens, weil ich da lange nicht mehr war, und äh zweitens, weil ich mir dachte, ah, remote Teilnahme und so, wer weiß, ob die das hinkriegen, So, ne? Äh i bin da nicht, dass ich denen das nicht zutraue, aber man hat ja schon Pferde kotzen sehen, direkt vor der Apotheke und so, ne? Und ich wollte es ja auch nicht beschreien und dann saß ich da pünktlich um sechzehn Uhr. Oder um vierzehn Uhr war das in diesem, in dem Raum mit den mit den mit den Parlamentarierinnen, die es die dort waren, also einige hatten sich auch remote zuschalten lassen, zum Beispiel äh Anke Domscheid Berg, die ist ja auch im Innenausschuss. Die wohnt ja erstens weit weg und die hat ja auch schon, ne, sich auf diese, also sie hat ja mal diese, Corona-Warnung und so. Aus der äh quasi aus ihrer Pendelei von außerhalb von Berlin äh insofern hat die sich äh remote anbinden äh eingewählt, und auch äh Tabea Rüßner, die Konstantin von Notz äh vertreten hat, hat sich Remote eingewählt und, alle anderen Sachverständigen ähm außer Sebastian Ar. Und äh ich waren auch Remote angebunden. So und äh. Insofern war natürlich auch klar, wenn du jetzt so viel darauf setzt, ne, dass das dann in dem Fall nicht funktioniert. Ja, die anderen Sachverständigen übrigens waren, Manuel, Ich sehe gerade auf Bundestag DE falsch geschrieben. Manuel Arthof steht hier auf Bundestag DE. Es war aber Manuel Attuck, der hier auch schon mal äh in der Sendung war mit der. Dann der Staatsrechter Professor Klaus Gerds, dann noch äh Sven Herpig von der, Stiftung neue Verantwortung und Martin Schallbruch, der hier aufgeführt wird vom Digital Society Institut, der europäischen Hochschule für Management und Technologie in Berlin. Der war aber mal beim BSI, wenn ich mich nicht täusche, hätten sie eigentlich auch schreiben können, dass der da. Zu seiner alten Arbeitsstelle mehr oder weniger Bezug nimmt. Genau, das waren die Sachverständigen. Und äh genau. Hat natürlich erstmal nicht funktioniert. So, dann sitzt du da und dann hast du erstmal so eine so, ich weiß nicht, zehn Minuten oder so, war das dann so. Hallo, hören sie uns? Ja, wir hören sie. War natürlich schon war war klar. Ja und dann äh gab's eben die Sache mit dem ähm mit dem Eingangsstatement, ersten fünf Minuten darfst du was sagen oder wirst du gebeten, fünf Minuten lang etwas zu sagen. Die hatten aber keinen, also. Also warum auch immer, mir war nicht ganz klar, aber ihr habt nur offenbar keine technische Lösung. Normalerweise gibt's da diese Uhr. Also du sitzt in diesen Seelen, oben ist, sind vier Bildschirme so angeordnet und, Da läuft üblicherweise ein Timer, der dir halt auch signalisiert, wann du halt fertig sein musst, weil das natürlich für alle Beteiligten einfach nur nervt, wenn irgendjemand da seine Redezeit halt massiv überzieht. So und ähm. Das hatten sie aber jetzt nun mal nicht. So, wo du dich auch fragst, so, wir haben ja auch erst seit einem Jahr Pandemie und äh diesen, diesen Missstand äh haben sie halt bisher noch nicht angegangen, da kamen aber die meisten Sachverständigen dann auch hinbekommen, ungefähr fünf Minuten Eingangstatement zu machen und äh wenn du möchtest, kannst du ja mein Eingang Statement vielleicht, einspielen, die fünf Minuten, da muss ich das jetzt nicht wiederholen.
Ja, das war jetzt relativ viel. Ich dachte, das äh könnte man mal als als Einleitung vielleicht ganz gut hören. Weil das Gesetz ist natürlich relativ umfangreich, ja? Und ich habe auch nicht zu allem, was da drin ist, ähm Stellung genommen. Ähm ich habe aber eine schriftliche Stellungnahme verfasst. Das ist natürlich immer so eine so eine Sache, ne. Du willst. Willst da was Ordentliches abliefern? Und du weißt aber auch, dass liest, wahrscheinlich kaum jemand, aber du willst jetzt, hast ja trotzdem an dich selber den Anspruch so, ne, eine ordentliche Stellungnahme zu verfassen, sind am Ende vierundvierzig Seiten geworden mit einer ganzen Reihe an Empfehlungen und eben Kritik und was auch immer, dabei geholfen haben, Frank Rieger, Dirk Engling und Matthias Marx, also sowas kriegste halt auch in den wenigen Tagen nicht alleine hin und außerdem wird's ja auch deine Ideen ähm mit den anderen, ne, abstimmen, abgleichen, prüfen, gucken, habe ich an alles gedacht, was sagst du hierzu, ne? Wie kann man hier im Detail drauf eingehen und so, ne, sowas kann man, oder so, ist man gut beraten, so was nicht alleine zu machen? Äh nichtsdestotrotz ist es halt auch einfach eine so, ne, für den Textfluss oder so, gibt's halt dann einfach eine. Das muss ja dann eine Person koordinieren und eine Person zusammenfügen. Ähm und das ganze Ding hat den schönen Titel, der mir eingefallen ist, Sicherheit gestalten, statt Unsicherheit verwalten. Und äh das ist so ein bisschen auch würde ich sagen, das Fazit der Forderung, die wir da so ein bisschen positioniert haben, erstens Mal klar zu gucken, dass erster IT-Sicherheitsgesetz war Anschuss in den Ofen punkt, so, ne? Das, das steht einfach mal fest, das wissen auch alle. Dass wir das mit den. Kritischen Infrastrukturen, wo im Prinzip gesagt wurde, okay, wir definieren jetzt äh diese kritischen Infrastrukturen und die bombardieren wir dann jetzt einfach mit. Und, letzten Endes war die Idee so, dass man gesagt hat, okay, die brauchen die brauchen auf jeden Fall Mindeststandards. Wir müssen denen jetzt gesetzlich vorschreiben, wie sicher sie ihren Laden dazu betreiben haben. Und ähm zweitens, sie diese Mindeststandards nicht erfüllen, dann müssen wir eben auch potentiell den Ärger machen, ja? Und dann hat sich das BSI gedacht, ja okay, aber blöd, scheiße, wenn wir diese Mindeststandards jetzt selber schreiben, wir haben ja gar keine Ahnung davon. Also haben sie gesagt, okay, Die Branchenverbände können sich diese Mindeststandards selber schreiben. Und wir nehmen die dann ab, ja, mit und du kannst dir vorstellen, welche Mindeststandards ein Branchenverband einreicht, wenn er weiß, wenn er die nicht erfüllt, gibt's Ärger, ja? Zwei, ne? Die haben natürlich dann einfach Mindeststandards eben eingegeben. Eingereicht, damit sie alle größer sind. Ähm also damit sie alle darüber hinaus sind und alle die erfüllen, ja? Dann gab's natürlich auch ganz viel hauen und stechen darum, wer's jetzt kritische Infrastruktur und da sind natürlich dann an den Kriterien gab's dann eben ja Ärger, ne, weil es zum Beispiel an was weiß ich, bei bei der bei Versorgungsinfrastruktur eben gesagt wurde, okay, kritisch bist du ab so und so viel Empfängerin, ne? Und dann ist eben das eine Wasserwerk, ist kritische Infrastruktur, das, Struktur des anderen nicht, weil es irgendwie eine Abiture Grenze gibt, wie viele Leute, die so betrinken müssen, bis das kritisch ist, solche äh solche Dinge. Kam da eben äh alle zusammen. Und damals habe ich schon gefordert, dass das BSI, unabhängig vom BMI werden muss, also das Bundesamt für Sicherheit in der Informationstechnik unabhängig vom BMI sein muss, weil im Moment, dass also das Bundesministerium für inneres Heimat und Bau oder wie die das Ding jetzt genannt haben. Ich hoffe, dass das nächste Legislaturperiode einfach wieder Innenministerium heißt. Ähm so und. Wenn du jetzt halt Leute hast, die für die Sicherheit zuständig sind, aber einen uns keinen, unzweifelhaften und unzweideutigen Auftrag haben, dann ist es natürlich schwierig zu denen Vertrauen aufzubauen. Und was, sage ich mal, zwanzig fünfzehn oder so, als wir Stellung genommen haben zum zum ersten IT-Sicherheitsgesetz, noch so ein bisschen Klang wie eine Verschwörungstheorie, das wird halt in dem zweiten IT-Sicherheitsgesetz jetzt wirklich auch einfach schwarz auf weiß geschrieben. Da kommen wir also, nochmal drauf. Jetzt habe ich erstmal in der Stellungnahme sind wir hingegangen, haben gesagt, okay, wie sieht's aus? Ähm was hat sich denn verbessert seit dem ersten IT-Sicherheitsgesetz, ne? Ähm, haben wir dann einfach mal ein bisschen berichtet von unseren Erfahrungen mit Wahlsoftware, ja? Zwanzig siebzehn, viele erinnern sich wahrscheinlich, Martin Schirsig. Torsten Schröder und ich ähm analysieren die Wahlsysteme zur Bundestagswahl und ja, reißen das Ding eigentlich einmal komplett auf, ja? So. Resultat, ne? Das habe ich ja da auch in der in der Anhörung gesagt, wo ich als ich den Herrn Könen gegrüßt habe, den habe ich da kennengelernt. Der Herr Köhn ist im BMI, jetzt weiß ich gar nicht, die genaue Position, aber ein relativ hoher äh dortiger, äh Beamter im Bereich der, IT und IT-Sicherheit. Ich höre dich da schon googeln, Tim, vielleicht kannst du mir die genaue äh Bezeichnung, genaue Berufsbezeichnung nennen, weil der möchte ich natürlich auch gerecht werden.
Vizepräsident, dann ist er ins so okay, alles klar, hier. Der war früher äh BSI-Vize und ist jetzt Leiter der Stabstelle ITs und Cybersicherheit und sichere Informationstechnik im BMI. Genau, so. Also, ne, ein, jemand der seit Jahrzehnten eben in Deutschland in an relevanter Stelle für die IT-Sicherheit tätig ist und jetzt eben da Leiter der Stabs Stabsteller, also ich würde jetzt weiter von ausgehen, dass der, keinen mehr zwischen sich hat, wenn er mit äh dem Innenminister spricht. Ähm. Der hat sich damals damit auseinandergesetzt, mit dieser äh Wahlsache. Klar, muss er ja auch, ne? Ich meine, kurz vor der Bundestagswahl kommen drei Typen um die Ecke und sagen, das ist ja alles kaputt, So da muss natürlich äh das das BMI einschalten. Das hat ja natürlich auch äh damals mit denen ihm zur Verfügung stehenden Möglichkeiten getan und das hat er auch ernst genommen, ne? Muss man ganz einfach sagen, klarer Fall. Aber der hatte natürlich auch, es gab da eben diese Beschränkungen, dass das BSI, das habe ich auch, glaube ich, damals schon immer berichtet. Das BSI konnte da jetzt im Prinzip nicht einreiten und äh eingreifen, weil das ja eine Software von einem privatwirtschaftlichen Anbieter war. Und von dieser privatwirtschaftlichen Anbieterin waren jetzt die Länder jeweils nur Kundinnen, um ihre Wahl dort abzuhandeln, ja? Also habe ich mir gedacht, okay, super. IT-Sicherheitsgesetz hier, ne, ich meine, wenn du, hat offenbar nichts gebracht, so, weil dieser ganze Vorfall war zwanzig siebzehn, ne? Das ist. Oder war das zwanzig neunzehn diese Bundestagswahl? Nee, jetzt ist ja einundzwanzig, jetzt wird wieder gewählt, also zwanzig siebzehn, was ist denn seitdem passiert, ja? Und alles, was seitdem passiert, ist in den letzten vier Jahren ist. Es einen neuen Vortrag gab bei der RC drei über Schwachstellen in anderen Wahlauswertungssystem. Das ist das, was passiert ist. Also es gibt quasi hatten wir von ähm, Tobias, Madel und Johannes Obermaier haben nämlich mit Hacking German Elections in Secure Electronic Voice Counting, Howard Return and why you don't even know about it ähm eben, Ende Dezember zwanzig zwanzig äh in einer weiteren Wahlauswertungssoftware eklatante Schwächen nachgewiesen so. Was hat das BSI in der Zwischenzeit gemacht? Ähm. Ein Anforderungskatalog geschrieben. Den, den solche Software erfüllen soll. Aber dieser Anforderungskatalog, der. Ähm hat jetzt immer noch keine rechtliche ähm Wirksamkeit oder so, ne. Das muss jetzt irgendwann mal überführt werden in irgendeinen Standard und irgendwann so in ganz, ganz, ganz ferner Zukunft, kannst du dann irgendwann sagen, okay, Software, die diese Aufgabe übernimmt, muss folgenden Anforderungen genügen. Ne, wir sind ja immer noch weit von entfernt. Und das ist eine Initiative, die wo ich jetzt mal davon ausgehen würde, zwanzig siebzehn, zwanzig achtzehn dann eben spätestens gestartet wurde, weil sie ja wussten, durch unsere Veröffentlichung, dass sie da ein Problem haben, ja? Also da da ist die waren in vier Jahren nicht in der Lage, jetzt sage ich mal. Als. Sicherheitsverantwortliche der Bundesrepublik Deutschland dafür zu sorgen, dass dass die Wahlen sicher abgehalten werden. Das ist denen nicht gelungen. Und äh soll halt bald einen Anforderungskatalog zur Bundestagswahl einundzwanzig rauskommen, aber äh soweit ich das verstehe, kann der auch nicht ähm. Nicht mehr ja jetzt nennenswerte Verbindlichkeiten einfach für die Herstellerinnen haben, ja? Die konnten nach wie vor einfach ihren Schrott an die an die Länder liefern. Und es ist halt wirklich, ja, traurig, ne? Weil da würde man sich natürlich wünschen, dass es Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik gibt, die halt sich irgendwie die klar sind. Und wenn du auf die Webseite gehst, von der Firma des Unternehmens, dass dieses okay Wot herstellt, was eben, hier ähm Obermaier und Madel auseinandergerissen haben, ne? Der steht auf der Website auch heute noch, kannst du hingehen. Steht drauf. Bei der Entwicklung von OKO wurde höchster Wert auf das Thema Sicherheit gelegt. Diese orientiert sich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik und der non-Profit Organisation, Ist ein Web Application Security Projekt, ja, also. Zum Heulen, ja? Also okay, da kannst du einfach mal sagen, okay, das hat halt nicht, das BSI war da einfach hilflos, weil es eben gezwungen ist, diese Missstände zu verwalten, statt ihnen irgendwie mal aktiv entgegen treten zu können und irgendeine irgendeinen Hebel zu haben, mal eine Kompromisslosigkeit durchzusetzen und und zu erzwingen. Als anderes Beispiel habe ich halt gewählt, ja, reden wir hier auch seit Jahren drüber. Erst in der letzten Sendung noch, ne, wird eben auch in diesem Gesetzesentwurf sehr viel erwähnt. Seit zwanzig sechzehn würde ich sagen, wütet diese Welle, sodass das jetzt ein Trend ist, von dem du eben auch jede Woche liest und jede Woche jemand dran ist, ne? Und auch da konnte das BSI halt keinen Beitrag leisten keine Möglichkeit, äh rechtlich nicht, ne? Da könnte man natürlich schon mal irgendwie sich darüber Gedanken machen. Wie wenn man ein Gesetz für die Informationssicherheit äh von IT-System macht, ob man nicht irgendwie, wenn man sich schon BSI leistet. Es mit Möglichkeiten ausstattet, dem entgegen zu treten. Gut, habe ich gesagt, Fehler sind nicht vergebens, wenn man daraus lernt, ne, man müsste also jetzt ein weniger bürokratisches Gesetz formulieren. Und da habe ich dann ein paar Thesen zu formuliert auch ein digitales Entwicklungsland muss sich weiter entwickeln, ja? Das haben wir jetzt in der Pandemie gesehen, dass hier in Deutschland, einfach mal nichts funktioniert und wir haben auch bei der, nirgendwo eine sinnvolle IT-Strategie, ja? Äh wenn man sich irgendwie anschaut, äh D Mail oder das besondere elektronische äh Anwaltspostfach oder auch den elektronischen Personalausweis, ja? Der elektronische Personalausweis jetzt, Der tatsächliche eigentliche Ausweis ist überhaupt nicht so schlecht wie sein Ruf, hat ja auch die Sicherheit gehalten, aber wendet keiner an ja? Also gibt einfach niemanden, der das Ding verwendet. Und da habe ich halt gesagt, so äh Beispiele für Projekte, die sich zur Geißel aller Beteiligten oder zu mahnenden Bauruinen mit Nutzungszahlen im hohen einstelligen Bereich äh entwickeln Und das ist das Problem ist halt immer, es hat halt den Mut zu einer kompromisslosen Strategie. Gefehlt, ne? Man nennt das immer so, auch mal alte Zöpfe abschneiden und wirklich mal die Digitalisierung vorantreiben, fehlt einfach, jede Spur schön ist das auch und das es sind ja Probleme die hat jetzt das der Bund ja oder die Regierung oder die, Weil die hast du ja auch in Unternehmen, wenn du nämlich nicht irgendwann sagst, du machst jetzt den mutigen Schritt und schneidest alte Zöpfe ab, dann wird das einfach nur immer teurer. Ja, und dann gibt's nämlich auch echt diese Konsolidierung. Der IT-Projekte des Bundes. Die wurde ähm glaube ich in die Wege geleitet. Zwanzig sechzehn oder zwanzig fünfzehn, ja? Und die haben gesagt, bis zwanzig fünfundzwanzig konsolidieren wir die IT des Bundes und wahrscheinlich werden wir dafür ähm, werden wir dafür eine Milliarde brauchen, ja? Und inzwischen sind die nirgendwo in der Nähe davon fertig zu sein und haben schon drei Komma vier Milliarden verbraten.
Habt und dann und unten die es gibt ja immer so eine kleine graue Text-Box, wo man dann so mal schön hervorgehoben so das sind jetzt unsere Forderungen so. Ihr habt den Text, den ich hier geschrieben habe, bisher nicht verstanden, den mindestens diesen einen Satz mit. Und ich glaube, da stand dann irgendwie nur noch drunter so was wie, finden sie jemanden in der im Bundesinnenministerium, der in diese Grafik erklärt kann oder überhaupt irgendjemanden, der sie erklären kann. Super.
Tatsächlich äh Katastrophe. Ähm genau, also Konsolidierung der IT-Projekte des Bundes, ne? Und das das sind ja alles so phänomenso. Phänomene, die sind ja auch nicht ähm. Neu, also das so funktioniert halt leider IT, ne, muss man so bitter sagen, wenn du dann ohne Strategie drangehst, dann entgleitet dir das, ne? Und ohne ohne Übersicht. Also ich habe das ja, meint, ich hasse das ja auch, diese. Ja äh Trägheit und Regeln und so weiter, ne. Aber wenn du mal mit jemandem redest, der halt eine oder die eine IT koordinieren, und wenn du damit Leuten redest, die zum Beispiel einen Dokumentationskonzept dafür haben und die wissen einfach, was jeder Server da macht und welche Potsdarin offen zu zu sein haben und welche nicht, ne? Das äh ist halt ein bisschen was anderes und die halt irgendwie vom Prozess kommen und nicht einfach irgendwelchen ähm, Schrotter hinbauen. Aber okay, also dort in Deutschland wird immer gesagt, okay, wir nehmen uns einen kleinen Aspekt, machen wir eine D-Mail draus. Übrigens, D-Mail hat ja dann auch jetzt äh ging ja nochmal rund, das war ja ebenfalls dieses äh, Interview mit dem Tim Höttges, was wir letzte Woche schon besprochen haben, da hatte er dann gesagt, hier D Mail ist ein Toter äh toter Gaul und äh das hat nie irgendjemand benutzt und wir haben da Millionen drin versenkt, ne. Ähm, Also offenbar eine skandalöse Äußerung. Ich dachte, das hätte sie inzwischen rumgesprochen. Also wirklich so eine Meldung sondergleich, ne, wo alle irgendwie voll abgehen. Boah, was hat der? Was erlaube Hörtges, ne?
Stimmt, können wir auch nochmal verlinken, darf ich einen Vortrag drüber gehalten damals am äh äh dreißig C drei wahrscheinlich, ne? Bullshit made in Germany. Wo ich nämlich genau auch das wieder, also das ist das Interessante, da da das habe ich, genau auch gesagt, so das ist ein Kompromiss, das ist, von gestern. Hier macht ihr nicht den richtigen Schritt nach vorne. Macht doch bitte den richtigen Schritt nach vorne. Und was ist passiert? Natürlich hat niemand äh D-Mail verwendet, ne. Weil du und weil du auch nicht dein Land irgendwie in die in die Zukunft digitalisiert bekommst, wenn du, Wenn du das halt mit so Einzelwürsten machst, ne? Na gut. Also genau, dann kommt eben hier auch dieser Punkt, so staatliche Cyber-Sicherheitsagentur, ne, da gibt's eben schöne Grafik, die hat der Sven Herpig äh angefertigt. Und zwar hat ihn interessiert wie denn wer kümmert sich denn eigentlich um um ja Cyber-Sicherheit in in der Bundesrepublik Deutschland hat dann halt mal geguckt, okay Bund, Länder, Europäische Union, was gibt's da alles? Und dann hatte die erstmal alle auf der, also angeordnet, ja und hat dann dazwischen die Linien gezogen, ne? Und.
Ja, genau, so, ne? Ähm. Ich habe das in der in der in der äh Auskunft dann genannt, wie war das denn? Ich habe, glaube ich, ungefähr gesagt, eine. Eine Wandtapete, eine Wandtapete, der äh, Interessenkonflikte und äh Verantwortungsdiffusion. Genau, eine Wandtapete der Interessenskonflikte Verantwortungsdiffusion und ungenutzten Konsolidierung Konsolidierungspotentiale, in dem keine, in der keine Strategie zu erkennen ist. Eine Katastrophe, ne? Und da musst du dich halt auch nicht wundern. Gut, äh ich will ein bisschen weitermachen mit den Forderungen. Ähm, was du eigentlich machen möchtest, ist natürlich vorangehen, ne? Du willst nicht irgendwie nur die Unsicherheit verwalten und irgendwie hinterherfegen, sondern du willst natürlich auch mal einen mutigen Schritt nach vorne machen. Ähm Andreas Boog von Chaos Computerclub hat in einem, Vortrag mal gesagt so, man möchte ja auch einfach mal ein Genozid an Problemklassen äh äh betreiben. So was jetzt natürlich sehr. Wurde jetzt vom Geschmack her äh glaube ich auch von einigen kritisiert die Wortwahl. Ich finde, ich finde aber tatsächlich, man will ja einfach auch mal ein Problem weghaben und zwar für immer, und nicht sich weiterhin damit auseinandersetzen, ja? Und da fand ich eigentlich dieses Bild, finde ich, gar nicht so ähm. Also finde ich das gar nicht so schlecht, weil sonst quält dich das einfach immer weiter und dafür musst du eben äh kompromisslos sein und kompromisslos heißt eben vor allem, dass du, keine gezielten Schwächungen an der IT-Sicherheit vornimmst, wie es eben, BMI regelmäßig tut, was ja auch das Problem war an dem und was auch das Problem war, am äh besonderen elektronischen Anwaltspostfach, weil es einfacher ist das System kompromisslos sicher zu bauen. Und wenn du dann sagst, ah okay, muss da jetzt noch eine Abhörschnittstelle rein? Und oh, hier muss aber noch irgendwie Umschlüsselung und Pipapo und hier für einen kurzen Moment, für einen ganz kurzen Moment, liegt das unverschlüsselt vor. Äh damit wir nachher irgendwie äh ne dieses oder jenes vor Funktion bauen. Und. Ist nun mal genau das, das Gegenteil von IT-Sicherheit, ne? Und dann dann wird's eben halt auch ambitionslos. Und natürlich vor allem, musst du, wenn du Kenntnis von Schwachstellen hast. Die beseitigen und auch den, ne, zum Beispiel ein BSI halt auch die Möglichkeiten haben, dass das kompromisslos durchzuziehen. Interessanterweise, sind die sicher auch nicht zu schade in diesem Gesetzesentwurf. Die ganze Zeit von und zu sprechen und zu zeigen, wie gefährlich das alles ist, ne? Waren die beiden großen, Schrägstrich Angriffe die verwendet haben, Also diese Schwachstelle aus den, die die NSA für irgendwie mindestens sieben Jahre geheim gehalten hatte und damit die gesamte Welt diesem Risiko ausgesetzt hat. Und die Angriffe selber erfolgten, also diese, tatsächlich Angriffe unter der Ausnutzung äh erfolgten. Nachdem es quasi schon ein ein Update gab und sie sind immer noch, schwersten sagen wir mal Cyberschäden, wenn man diesen Begriff mal verwenden möchte in der Geschichte der IT, Ja? Und das das zeigt einfach so das, was da eben der Schwerste der schwerste Schaden war im Milliardenbereich, ist nur ein Vorgeschmack oder ein Bruchteil von dem Risiko, dass die NSA jeden Tag mit der Geheimhaltung dieser Schwachstelle eingegangen ist. Und deswegen. Ganz klar, ne? Das BSI sollte natürlich unter keinen Umständen jemals berechtigt sein bei Schwachstellen irgendwas anderes zu tun als sie zu melden und auf deren Beseitigung hinzuarbeiten. In diesem Gesetzesentwurf stehen aber eben andere Sachen, da gibt's eben übergeordnete Sicherheitsinteressen. Denn natürlich, du musst Bürokratie abbauen und das, und die einzige Möglichkeit, wie du das machen kannst, ist halt, indem du auf einfach eine eine IT-Sicherheitsbasis hinarbeitest und nicht dein den dein gesamtes. Deinen gesamten Start, deine gesamte Wirtschaft, sich die IT-Sicherheit selber dazu bauen lassen muss. Ich finde das ein, also es ist eine bin ja Teil davon beruflich, ja, dass du im Prinzip als Unternehmen dir zwar IT kaufen kannst, aber sobald wir sagen wir mal drei Computer da stehen hast oder drei Systeme, es nicht mehr ohne weiteres zu tun gewährleistet ist, dass die einfach mal sicher funktionieren. Weil die alle unsichere, die vor jetzt haben, weil in dem Zusammenspiel sich neue Komplexitäten ergeben und wir nehmen das einfach so hin, und genau das wäre der Teil, den du ändern musst und dann, wenn du mal überlegst, wenn du da äh deiner Gesamtwirtschaft Einsparung ermöglichst, ja? Und sagst, okay, pass mal auf, so ein KMU kann sich jetzt einfach das und das kaufen klicken, sonstwas und das funktioniert einfach und das ist dann eben auch sicher. Gegen Standardbedrohungen, die in diesem Bereich eine Rolle spielen, da wäre so viel gewonnen, ja? Gut, da werden halt auch ein paar Leute unserer Zunft dann irgendwann mal arbeitslos oder müssen sich ähm weiterbilden auf äh, auf ja komplexere Herausforderungen, aber genau das muss es doch eigentlich, das muss doch das Ziel sein.
Vor allem äh ähm also. Du darfst ja nicht vergessen, nach oben ist noch genug Luft mit der IT-Sicherheit, ne? Wir wir laufen nirgendwo Gefahr, dass wir in Zukunft aus Versehen plötzlich, vollständige vollständig sichere Systeme haben und für die ganzen Industriezweig, IT-Sicherheit nichts mehr übrig bleibt, Das einzige, was du, was du schaffen kannst, ist, dass halt mal es interessanter wird für alle Beteiligten und wir nicht mehr wir bei den Pantests halt auch mal Gegner kriegen und keine Opfer. Ne? Das wäre halt so das das ist ja alles gut. Kontrolle zum Beispiel, ne? Was ist ähm wenn du sagen würdest, okay, wir bündeln jetzt mal die Ressourcen. In Open-Source-Projekten und wir auditieren die auch mal. Die machen sich da Gedanken, komme ich ja gleich noch zu zu ihr um ihr 5G. Ne, 5G. Kennt ihr, wir brauchen fünf G.
Ähm. So die die sorgen sich um ihr fünf G und um ihr Wow, da komme ich gleich zu, ne? Aber äh mal zu sagen, okay, dann lass uns doch einfach mal mit Open Run irgendwie einen sauberen Open-Sour Steak machen und die europäischen äh Anbieterinnen können den dann eben verwenden und dann dann bündeln wir hier einfach mal die Ressourcen, ne? Nein, äh wir wir setzen lieber auf closed-source im hochkritischen Bereich und dann äh lassen wir haben wir unterschiedliche Anbieter, die wir irgendwie prüfen und auditieren müssen. Totaler Also, ne, du könntest da ja halt Geld sparen ne? Äh entsprechend die Empfehlung, schafft doch mal einen Pool von auditierter Open Source Software, gerne im Infrastrukturbereich, gerne in dem Bereich den. KMU brauchen, Hauptsache es profitieren möglichst viele davon und Hauptsächlich Hauptsache die Einsparungspotentiale durch das investierte Geld äh des Bundes, sind da gut genutzt. Dann natürlich auch Bildung und Ausbildung im Bereich der IT-Sicherheit, ne, also wir haben ja gute Universitäten, aber halt auch nur einige wenige mir da in den Sinn kommen, ne? Es gibt da, ja, es ist richtig, es gibt das CISpaar, es gibt die äh verschiedenen Fraunhofer im Bereich der IT-Sicherheit, äh Ruhruniversität Bochum, Darmstadt und so, ne, da gibt es, wir haben da ja unsere Exzellenz Cluster im weitesten Sinne, ne? Aber, viel, viel größer äh aufgebaut sein und vor allem ist es halt überlegen, okay kann man hier Bildungsmaterial bauen, was eben dann auch anderen Universitäten. Ähm zur Verfügung gestellt wird. Und ist es wirklich zeitgemäß? Ja, dass du IT-Sicherheit tatsächlich noch von der Informatik trennst. So, dann das hatte ich ja gerade auch in dem Eingangsdatement schon gesagt, wo sie sagen, okay, das BSI soll jetzt Portscanst machen dürfen, ne? Ist ja lächerlich. Ähm, Ich darf das nicht, ne? Also es gibt ja immer noch den zweihundertzweiC. Äh was war das Vorbereitung des Abhörens von Daten? Von Daten. Ähm du Hackertools sind nach wie vor äh kriminalisiert. Ja, das heißt. Wir demotivieren quasi auch Leute äh oder Unternehmen ihre eigene IT mal zu prüfen, zu scannen, äh auf die Probe zu stellen, weil wir das quasi diese Tools, die man dafür üblicherweise verwendet, eben so ein bisschen äh in einem sehr schlechten Ruf halten, richtig und damit auch ihren Einsatz in, in, in, Rechtsrisiko überführen.
Nee, überhaupt nicht. Naja, okay, dann haben wir gesagt, okay, das fand ich nämlich auch spannend, weißt du, wenn wenn du da jetzt in so einem Ausschuss sitzt, auch das habe ich ja im Eingangsstatement schon gesagt, wenn du in so einem Ausschuss sitzt und sagst, okay, wir wollen jetzt hier IT-Sicherheit sein, dann ist die eine Sache, die du sagen kannst, okay, wie kann man das, was wäre, was kann überhaupt ein Staat tun, damit die IT-Sicherheit steigt, ja? Und die andere Frage ist, was macht ein Staat denn eigentlich gerade? Ja und dann hier, Ausweitung von Staatstrojaner einsetzen, ne? Ist zwanzig siebzehn beschlossen worden, war nach dem. Nach dem letzten IT-Sicherheitsgesetz. So, da haben sie gesagt, ja, geil, wir machen jetzt IT-Sicherheit. Übrigens, äh wir wollen, wir wollen massiv in ähm in Staatsrennen investieren, dann äh Gesetz zur Anpassung des Verfassungsschutzrechts, wo dann irgendwie die Netzbetreiberin sogar noch in die Pflicht genommen werden durch gezielte Umleitungen, quasi dabei zu helfen, startest du dann auf deine Geräte zu installieren. Gesetz zur Modernisierung der Rechtsgrundlagen der Bundespolizei, wo Staatsräder gegen Menschen eingesetzt werden dürfen, die noch nicht einmal einer Straftat verdächtigt werden. Also wenn davon ausgegangen wird, dass sie eine Straftat in der Zukunft begehen werden oder angenommen wird, dass ihr Endgerät von einer verdächtigen Person benutzt werden wird. Das reicht aus für Abhörmaßnahmen und Staatsrennen auf deinen Geräten laut dem geplanten Gesetz zur Modernisierung der Rechtsgrundlagen der Bundespolizei. Und dann natürlich klar, das lasse ich mir nicht nehmen, Kooperation mit zweifelhaften Herstellern haben wir hier oft genug drüber gesprochen. Die Analyse von Torsten Schröder und mir des ähm diese Stadt zu einer den ja nun mal das BKA ähm. Zu dessen Kunden das BKA gehört, ne, der irgendwie, gegen die demokratische Opposition in Ägypten, gegen Aktivistinnen im Bareien, gegen also aus Äthiopien gegen Bürgerinnen der USA, gegen die Opposition in Uganda und äh hier gegen die Opposition in der Türkei eingesetzt wird, wo, ist ja immerhin, das habe ich ja hier sowieso eigentlich eine der. Undereported, großartigen Neuigkeiten des Jahres zwanzig zwanzig. War das denn noch? Wo es dann endlich mal Untersuchungen bei denen gab, ja? Ähm, aufgrund der Beschwerde gegen äh wegen oder der Strafanzeige, wegen des Verdachts des Verstoßes gegen Exportrestriktion. Ähm, Dann haben wir den hier mit Patrick Breyer darüber gesprochen, die äh Angriff auf die Vertraulichkeit von Messenger-Kommunikation, wo ich denen auch äh in der äh in der Anhörung nochmal gesagt habe, weißt du, nachdem sie die D-Mail verkackt haben? Und das besondere elektronische Anwaltspasswort, ist im Prinzip mit diesen mit Signal oder Threema ähm oder äh Matrix oder was auch immer, gibt's jetzt zum ersten Mal Massentaugliche Ende zu Ende Verschlüsselung für deutsche Bürgerinnen, deutsche Wirtschaft. Und was äh ähm habe ich in der in der äh Anhörung auch gesagt. Sind das nicht Sicherheit, äh durch Verschlüsselung und Sicherheit trotz Verschlüsselung, sei es Sicherheit durch Verschlüsselung, Punkt. Und statt sich darüber zu freuen, hast du jetzt halt so 'ne Trotzreaktion des BMI, die dann sagen, ja, nee, das geht aber so sicher wollten wir das aber nicht haben, ne? Das äh, können wir, können wir so aber nicht machen, es geht, Ärgerlich, wenn da, wenn die da dann wirklich gewonnene IT-Sicherheit dir wieder wegnehmen wollen und das ja sogar noch in der eigenen Behörde bauen, nämlich in diese Zithes, die ja quasi für das BKA, für den Bundesamt, für Verfassungsschutz, für die Bundespolizei ähm, Kryptoanalyse, Telekommunikationsüberwachung und so weiter gezielt bauen soll. Da hast du mal eine Konsolidierung, ne, also da kann ich ihnen gratulieren. Herzlichen Glückwunsch, da habt ihr mal eure Kräfte konsolidiert. Super, dass ihr die gegen eure eigene Bevölkerung richtet, diese Konsolidierung. Und was ich dann noch sehr spannend finde, ist der BND mit dem neuen BND-Gesetz, das äh muss man sich merken, weil es spielt später nochmal eine Rolle, soll ja jetzt spezifisch die Ermächtigung bekommen, die Befugnis bekommen, ausländische Telekommunikationsnetze zu hacken, und zwar zum Zwecke, dass er dort äh Kommunikationsinhalte ähm und so weiter und Bestands, Verkehrs- und Inhaltsdaten abgreifen kann. Ja? Und da sagen sie, dafür darfst du hacken. Und das muss man sich eben, muss man sich quasi im im Hinterkopf behalten für diese gesamte Diskussion, vertrauenswürdiger Anbieter, wo sie äh letztendlich das ist das sogenannte, ne, kann man sagen, Lex Huawei, ne, wo sie ja versuchen, ein Gesetz zu machen, um irgendwie das Risiko äh was von Huawei äh ausgehen soll äh in den in den Griff zu.
Genau, das angebliche Risiko. Aber wie gesagt, vor dem Hintergrund im Kopf halten so wir selber, der BND darf. Fremdanbieter Kommunikationsnetze in anderen Ländern hacken, um dort an die Daten zu kommen, ne. Abschließende Empfehlung, also das waren jetzt eine Reihe an Empfehlungen, habe ich so unter dem Absatz, wie gesagt, die Bundesrepublik äh Bundestag und Bundesregierung sollten IT-Sicherheit zum konkreten und kompromisslosen Ziel der Innenpolitik der Bundesrepublik Deutschland machen und dieses Ziel auch aktiv verfolgen. Bestrebungen zur Schwächung der IT-Sicherheit von Endgeräten und digitalen Infrastrukturen, umgehend einzustellen. Bereits erlassene Gesetze zur Schwächung der IT-Sicherheit von Endgeräten und digitalen Infrastrukturen sind entsprechend zu, revidieren. Bin mal gespannt, ob sie der Empfehlung folgen. Ich habe jetzt nicht den Eindruck, aber ich habe wenigstens mal sagen, was was richtig wäre. Ähm jetzt zu der Rolle des BSI. Es gibt hier eben einige, Also das BSI soll mit diesem Gesetz, also jetzt kommen wir quasi zur Kritik am tatsächlichen Gesetzesentwurf. Das BSI soll eine ganze Reihe, neuer Befugnisse bekommen. Ich bin nicht auf alle eingegangen, deswegen ähm schauen wir doch jetzt trotzdem mal einmal wenigstens der Vollständigkeit, damit wir das Gesetz auch, vollständig gewürdigt haben, zitiere ich mal eben aus der Zusammenfassung, sie sagen OK. Schwerpunktmäßig werden folgende Änderungen vorgenommen. Also das sind jetzt die Gesamtinhalte des IT-Sicherheitsgesetz zwei Punkt null. Verbesserung des Schutzes der IT der Bundesverwaltung, unter anderem durch weitere Prüf- und Kontrollbefugnisse des BSI. Und Festlegung von Mindeststandards durch das BSI. Ne? Habe ich mir nicht weiter, also habe ich mir angeschaut, habe ich aber nicht weiter was zu beigetragen. Sollen sie von mir aus machen. Schreiben sie noch ein paar Mindeststandards. Das können sie ja inzwischen ganz gut, Schaffung von Befugnissen zur Detektion von Schadprogrammen, zum Schutz der Regierungsnetze. Aha, da geht's also auch noch um die Regierungsnetze. Das so vorsichtig, also über Schadprogramme reden wir an anderer Stelle nochmal mehr. Abfrage von Bestandsdaten, Anbietern von Telekommunikationsdiensten, um Betroffene über Sicherheitslücken und Angriffe zu informieren. Da geht's darum, dass sie, sagen wir mal, in der Institut Response oder so halt mal über eine IP-Adresse stolpern und das BSI dann selber eine Bestandsdatenauskunft machen darf. Es ist aber hier von der Anwendung eben an an den Zweck der Information über Schwachstellen gebunden. Insofern ist das so. Ja, sagen wir mal.
Ja, die Bestandsdatenauskunft ist ohnehin viel zu überborden, ne? Da haben wir andere Probleme mit. Wir erinnern uns ja übrigens auch an hier, ne Patrick Breier, Katharina Nokuon, mit der erfolgreichen Klage dagegen, da wo ja auch und die Passwörter, also es gibt, Probleme mit der Bestandsdatenauskunft, die grundsätzlicher Natur sind, aber das jetzt, sage ich mal, ein BSI potenziell, wenn es in einem aktiven Angriffsgeschehen wirklich einmal agiert. Und Betroffene äh von Angriffen oder Sicherheitslücken informieren möchte, dann sage ich mal, ist das jetzt nicht. Problem, ne? Also die Bestandsdatenauskunft an sich ist ein Problem, aber dass das BSI das machen würde, da sehe ich bei anderen viel größere Probleme, ne. Ähm. Vor allem, weil es hier einen konkreten Zweck gebunden ist, ne. Ähm, Befugnis für das BSI Sicherheitslücken an den Schnittstellen Informationstechnischer Systeme zu öffentlichen TK-Netzen zu detektieren sowie Einsatz von Systemen und Verfahren zur Analyse von Schadprogramm und Angriffsmethoden Kannst du mal ähm raten, was das tatsächlich bedeutet? Äh du, du kannst ja noch TK sprechen, ne? Die Schnittstelleninformationstechnischer Systeme zu zu öffentlichen TK-Netzen.
Äh und äh genau, da haben sie, Also dieser Teil ist es ist relativ eng eingegrenzt. Die dürfen also jetzt zum Beispiel nicht bei Privatpersonen, sondern nur bei denen kritischen Infrastrukturen und Unternehmen, besonderen, öffentlichen Interesses, diese diese Scans machen. Und äh ja, es gibt auch Leute, die das problematischer sehen, ja, dass das BSI jetzt äh äh Schwachstellendirektion macht. Es gibt da natürlich äh, Aber okay, ich wollte ja einfach nur mal die Übersicht machen. Also das ist das mit den Port Skins. Da reden wir auch gleich nochmal drüber. Da habe ich mich nämlich zu geäußert. Dann Schaffung einer Anordnungsbefugnis des BSI gegenüber Telekommunikations und Telemedien, Anbietern. Zur Abwehr spezifischer Gefahren für die Informationssicherheit. Da habe ich mich auch zu geäußert. Da geht's nämlich genau um diese ganze Heckpackgeschichte. Ausweitung der Pflichten für Betreiber, kritischer Infrastrukturen und weitere Unternehmen im besonderen öffentlichen Interesse. Ähm. Ja da da also normaler, bisher war das BSI nur für äh kritische Infrastrukturen, zuständig in dem Teil sagen sie, definieren sie quasi neu, was sie alles zur äh kritischen Infrastruktur benennen dürfen und was dass sie noch äh Unternehmen von besonderem öffentlichen Interesse äh mit aufnehmen dürfen. Da habe ich mich auch zu geäußert, kommen wir gleich zu. Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten. Das ist das Lex Huawei, ja? Äh da kommen wir ähm komme ich also auch nochmal zu, habe ich auch was zu geschrieben. Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI denkst du oh geil, schön, endlich, ne? Kümmern sie sich auch mal um uns. Ja, aber dazu gehört dann eben, das einzige, was sie da wirklich wirklich machen ist Schaffung der Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen, dass die IT-Sicherheit der Produkte sichtbar macht. Ähm. Ja habe ich auch ähm äh habe ich mich auch zu geäußert. Also kommen wir da jetzt im Detail zu. Äh genau. Dann das wären also das ist alles, was sie in diesem Gesetz machen, ne. Und jetzt haben wir mal Kommen wir jetzt zu den Dingen, habe ich ja gerade schon gesagt, zu denen ich mich äußert. Wir haben einmal das den Umgang mit Schwachstellen. Wir haben diese ganze Sache mit den. Also erstens ist das relativ eingeschränkt, denn die dürfen nur und formationstechnische Systeme, Systeme des Bundes oder kritischer Infrastrukturen, Digitaler Dienste und Unternehmen in besonderem öffentlichen Interesse auf Sicherheitslücken prüfen. Was Unternehmen in besonderem öffentlichen Interesse ist, klären sie später. Aber da habe ich mir überlegt, da wollen sie jetzt sagen, also das BSI soll Port Skins machen dürfen, ne? Soll kosten. Zehn Planstellen ähm und äh einmalige Kosten äh von. Also äh zehn Planstellen, die Kosten jährlich insgesamt ganz knapp eine Million und Sacheinzelkosten von einer Viertelmillionen, äh jährlich und einmalige Sachkosten in Höhe von eins Komma sieben Millionen, ne? Also eins Komma sieben Millionen einmalig und irgendwie so um die eins Komma eins, eins Komma zwei Millionen Euro, im Jahr. Dafür, dass die Porscans machen dürfen. Und da habe ich halt mal so gesagt, so okay, ich meine es, ihr habt recht, mit Potsdams machen auch Kriminelle. Und es ist äh unsinnig, euch das zu verbieten, ne? Macht das ruhig mal. Aber weißt du, wer macht denn heute noch einen Pottscan? Du gehst auf Shodan und guckst einfach, ne, gibst die IP-Adresse ein und guckst, was halt ein professioneller Scanner dort für Ergebnisse liefert. Und was sie halt irgendwie diese gesamte Idee geht davon aus, dass das BSI macht jetzt einen und sucht nach, Schwachstellen, die dürfen übrigens dann auch Passwortlisten auch durchprobieren, ne? Also die dürfen auch Brut vors Angriffe machen. Und die bilden sich jetzt ein, dass sie dann schneller werden als Angreiferinnen, also die glauben ernsthaft, dass das BSI irgendwie Port Scans macht und und Passwort Brutforst und wenn sie da was finden, dann sagen sie dir sagen sie diesen kritischen Infrastrukturen schnell Bescheid bevor die gehackt werden. Eine deutsche Behörde sagt dir schneller Bescheid.
War. Die ist auf jeden Fall rot. Also total irrsinnige Idee, ne? Da habe ich auch gesagt so, ey überlegt euch doch mal, ob ihr nicht bevor ihr jetzt hier äh jährliche Millionen ausgebt. Ob ihr nicht einfach mal ein Abo bei abschließt und dann gucken könnt, ne. Und vor allem, es ist wirklich unsinnig, dass das schneller, dass sie schneller werden, ne? Weil Angreifer, die suchen ja nicht nur nach Schwachstellen, sondern die Exploiten die direkt auch, ja? Und das kann das BSI ja nicht. Und jetzt kommt der Punkt. Und das finde ich wirklich eine Unverschämtheit, dass sie sagen, wenn sie in dem, wenn sie da was finden, also wenn sie irgendwo eine Schwachstelle finden, in kritischen Infrastrukturen, Kommunikations äh Entschuldigung, digitalen Diensten oder Unternehmen von besonderem öffentlichen Interesse, dann dürfen sie Bescheid sagen. Wenn dem überwiegende Sicherheitsinteressen nicht entgegenstehen. Dann dürfen sie den Informationstechnisch den für das Informationstechnische System verantwortlichen darüber informieren. Und jetzt frage ich mich.
Was sollen das denn für Interessen sein? Das ist doch ein IT-Sicherheitsgesetz, Und jetzt gibt's auf einmal überwiegende Sicherheitsinteressen, die dem entgegenstehen, die Betreiberin oder die Verantwortliche eines Informationstechnischen Systems darüber zu informieren, So äh ich kann da jetzt mal äh zitieren, ich bin da glaube ich etwas schroff geworden. Diese Einschränkung ist ein weiteres von unzähligen Beispielen für die Unterordnung der Sicherheitsinteressen, der kritischen Infrastrukturen der Bundesrepublik Deutschland über den Unsicherheitsinteressen des BMI. Es ist nicht weniger als eine durchschaubare Frechheit, Befugnisse zum Aufspüren von Sicherheitslücken zum Zwecke der Information der Betroffenen einzufordern und sich noch auf der gleichen Seite des Gesetzentwurfs von der Informationspflicht zu entbinden Finde ich absolute Unverschämtheit. Habe ich auch so gesagt, finde ich Frechheit.
Also ne, ist ganz klar unter keinen Umständen sollte es BSI jemals berechtigt sein, Bekenntnis von Schwachstellen etwas anderes zu tun, als die Betroffenen zu informieren, auf eine Beseitigung hinzuarbeiten und zu gegebenem Zeitpunkt die Öffentlichkeit zu wahren, fehlt hier auch vollständig drinnen. Da hätte man nämlich mal sagen können, okay, zack. Es gibt ja mitunter melden mit Schwachstellen an das BSI, ja? Und dann muss das B und für das BSI muss es dann einfach nur noch ein eindeutiges Mandat und ein Auftrag dafür geben, die zu beseitigen und dann kann's dann hast du etwas getan, was IT-Sicherheit steigert, ne? Aber nein, wollten sie nicht. So, dann haben sie, jetzt kommt der äh ein wildes Thema. Ja, wir haben's ja in den letzten in der letzten Sendung schon oder vorletzten Sendung darüber gesprochen, ähm dieser Emo-Ted Takedown, also wo jetzt die Situation so war. Dass sie die also diese, wir haben's in den letzten Sendungen erklärt, ich versuch's jetzt kürzer zu fassen, ne? Evotec äh ist im Prinzip erstmal nur ein Trojaner auf deinem Rechner. Der darauf wartet, ähm eben dich teilweise automatisiert, weiterzuhacken und äh potenziell auf Befehle von seinem Control-Server wartet, um dich manuell weiterzuhacken. Ja, gibt dir von dem Command an Control-Server wirkt quasi. Der, wirken die Hacker auf dein System ein, ne? Ist relativ klar, wenn ich jetzt irgendwie ein System mit einer Schadsoftware infiziere, die muss ja irgendwo hin zu mir zurückreporten und von mir Befehle bekommen. Das ist quasi dieser Command in Control-Server.
Genau. Und der hat ja einen Kommunikationskanal. Bleiben wir äh dieser Feinschip-Sprünge ist gar nicht so verkehrt. So, jetzt. Und der hat ein Kommunikationskanal äh Kanal. Und das BSI sagt jetzt äh dieses äh IT-Sicherheitsgesetz sagt jetzt, okay. Das BSI darf diesen Kommunikationskanal, dieses Fallschirmspringers umleiten und auch dem. Ähm technische Befehle zur Bereinigung geben. Ja, also der dieser ähm Fallschirmspringer ist ja jetzt quasi ein ein Chart-Programm. Und die dürfen jetzt quasi dem Schadprogramm sagen, äh lösch dich, ne? Zum Beispiel, das ist ja auch das, was jetzt mit diesem E-Moted versuchen wollen. Wo wir immer noch nicht wissen, auf welcher rechtlichen Grundlage sie das machen, aber auf jeden Fall wissen, dass sie es nicht dürfen. Äh weil's keine rechtliche Grundlage gibt. Deswegen sagen sie auch nicht auf welcher rechtlichen Grundlage sie das machen. Da wird's also jetzt kompliziert, weil es gibt zumindest ein Beispielfall, diese Geschichte, wo das unterm Strich, im Einzelfall ein positives Ergebnis hat, wenn das passiert, ne? Weil du hast jetzt, du hast potenziell eben Systeme von einer Schadsoftware bereinigt, die wenn du die Schadsoftware draufgelassen hättest, potenziell, Schaden hätten nehmen können. So, dieser Fall ist zumindest ein sehr schmaler, sehr genauer, spezifisch denkbarer eingrenzbarer Fall. Und die Herausforderung ist aber jetzt, wenn du sagst, das ist wünschenswert. Ja? Da musst du natürlich das aber gesetzlich so schreiben, dass das nicht absolut missbrauchbar ist, was du da schreibst. Ich hatte ja, glaube ich, in der letzten oder vorletzten Sendung schon gesagt, das juristisch umzusetzen ist total schwierig So und hier haben Sie jetzt in dem sieben B und sieben äh in dem sieben C sagen sie, okay. Um das zu verhindern, dürfen wir. Internetverkehr umleiten. Das ist im Prinzip äh also nennt sich SINK Holling. Ne, es wird im Prinzip gesagt, wenn du jetzt weißt, die IP-Adresse des, ähm dieser, wo der, wo der Command ein ist. Der Traffic dorthin, den können wir ja von mir aus auf Netzwerkseite bloggen und schon ist diese Schadsoftware von der ähm Kommunikation. Mit ihrem Command in Konfortserver abgeschnitten, und ähm das könnte potenziell eben eine äh Maßnahme sein, die sinnvoll ist, um den Angriff hier. Zu unterbrechen, ne? Und dann könnte man sagen, okay, wir Sink holen diese Kommunikation, die dorthin geht und wir äh gehen informieren dann, wir haben ja hier Bestandsdatenauskunft, die Betroffenen. Und sagen hier bitte einmal ähm, deinstallieren, Aber jetzt im Prinzip will den Leuten sagen, so zum Beispiel, ne, lieber Tim, auf der Mecco S ist, ist hier irgendwie eine Schadsoftware äh via Synchron, wir haben angeordnet dass der Traffic wird und jetzt musst du bitte auch noch diese Schadsoftware von deinem Computer äh deinstallieren, bevor die es sich irgendwie anders überlegt.
So, jetzt äh ne, jetzt also bis hierhin reden wir nur von Umleitungen. So und jetzt sagen sie, okay. Aber wir wollen am anderen Ende eventuell nicht nur einfach nicht antworten. Sondern wir wollen da vielleicht auch antworten. Ja, wir Infektionen, die du da hast. Und jetzt benutzen wir, jetzt geben wir quasi einen Commanden-Control-Befehl, löscht dich. In dem Moment hast du eben diesen Eingriff in die Integrität des Systemes der Bürgerin. Dieser Eingriff ist. Potentiell im konstruierten Fall, den wir gerade haben. Im Zweifelsfall im Interesse dieser Bürgerin, ja? Im Zweifelsfall ist das in deren in ihrem Interesse, aber, Du hast jetzt hier einen Gesetzestext, der das halt beschreiben muss, ja? Und hier wird im Prinzip, das ist einfach völlig unterspezifiziert, weil noch nicht einmal klar ist, ob sie diese Anordnung zum Versenden von Befehlen zur Entfernung nur ähm, über Telekom Kommunikationsanbieterinnen oder vielleicht sogar auch über. Telemedienanbieterinnen machen dürfen. Also zum Beispiel äh. Potenziell so etwas hätten wie hier Apple, ne, äh lösch mal bitte die App hier von Tims Handy. Und die Voraussetzung, was jetzt da eine App ist, das äh erstreckt sich sogar auf ähm. Also das kannst du auch so lesen, dass es zum Beispiel ein ein Hackertool wäre. Ja, also beispielsweise, sagen wir mal, du hättest eine Portscanner App oder eine App, die geeignet ist, ähm. Sehr viele Anfragen hintereinander zu nutzen. Und wenn mehrere Leute diese App benutzen, wäre sie geeignet, ein Dedos durchzuführen, ja? Und, Jetzt würden die sagen, oh, wenn mehrere Leute einen Dedos machen, ist das eine Gefahr für unsere Infrastruktur. Insofern ordnen wir jetzt mal lieber an, dass diese App von Tims Handy gelöscht wird, ja? Und das ordnen wir an, was weiß ich, mit einem Hebel gegenüber Apple. So. Dieses, Dieses Gesetz kannst du so lesen, dass das nicht eindeutig ausgeschlossen ist, Und das ist natürlich total krass. Also damit hast du quasi eine mal eben die die das eine, ein Recht zur zum Eingriff in die Integrität informationstechnischer Systeme und das wiederum Integrität informationstechnischer System ist ja ein Grundrecht. Also wir reden hier nicht von irgendwie so einem Ding, sondern wir reden hier von einem schwerwiegenden Eingriff, ja? Ähm. Und die einzige andere ähm ähm. Die einzige andere gesetzliche Regelung, nach der du das darfst, ist die Onlinedurchsuchung. Ne, also hier im Rahmen der Strafverfolgung mit. Früher Hohn jetzt immer geringeren rechtlichen Hürden, ne? Aber das ist die einzige das einzige die einzige gesetzliche Norm, die eine Verletzung dieses Grundrechts erlaubt. Die Quellen-TKÜ, also Staatstrojaner, die nur in Anführungszeichen Messenger abhören, aber nicht zum Beispiel in deiner Fotobibliothek äh suchen dürfen. Die sind, quasi sehr in ihrer Funktionalität begrenzt. Die dürfen zum spezifischen Fall des Abhörens von Kommunikation eingesetzt werden, aber die dürfen zum Beispiel nicht sonstige Änderungen auf deinem System vornehmen. Und das sind die einzigen, rechtlichen Norm, wo der Staat in die Intimität der äh IT-Systeme ein, greifen darf. Seiner Bürgerin. Und das wäre jetzt eine weitere dazu, ja? Deswegen ist das eben auch so eine total krasse Sache.
So, jetzt. Habe ich dazu geschrieben so ist heute schon gängige Praxis. Es ist nämlich nicht so, als würde Syncrolling nicht stattfinden. Nicht nur beim Umleiden, ne? Also hoffe, ich hab's klar genug gemacht, das Umleiten ist A, oder eine Sache und dann eben auch andere Befehle zu geben ist eine andere, ne? Und beim Think Holling ist im Prinzip so, das funktioniert gerade schon ziemlich gut, ja? Ähm wenn du jetzt irgendwie, was weiß ich, irgendeine Schadsoftware auf deinem Computer hättest, die E-Mail Spam versendet, geht bei der, bei der Deutschen Telekom irgendwann automatisiert 'ne 'ne Grenze an und dann wird diese werden deine Verbindung zu, Port fünfundzwanzig einfach geblockt, ne? Und dann kriegst du einen Brief und wird gesagt, hier du schreibst zu viele E-Mails, guck mal, ob du nicht irgendwie ein Problem hast, ne? Das ist etwas, was die schon machen. Und ähm haben wir eben auch geschrieben so, dass diese Befugnisse haben die schon nach TKG, Paragraph einhundertneun a Absatz fünf und sechs und, Dabei sind sie auch da drin sind sie auch gut, ja. Äh ist ein eingespielter Prozess, da muss eigentlich das BSI jetzt nicht nochmal reinkommen, ja? Insofern sollte das BSI hier nur äh eingreifen und anordnen, wenn wenn es irgendwie, TK-Anbieterin nicht selbst in der Lage sind, diese Maßnahmen zu sprechen und umzusetzen. So. Jetzt kommt dieser einen eben die Sache, okay, wir Sink holen nicht nur, sondern wir antworten auf der anderen Seite. Ich meine, mir fallen als, Hacker tausend Wege ein, das das zu verhindern. Die einfachste Möglichkeit wäre einfach, netto signierst deine Commanden-Control-Befehle, ist eh gute Praxis, ja, dafür zu sorgen, dass du vorsorge dafür triffst, dass du deinen Commanden-Control-Server umziehen musst, ja? Da gibt's schöne ähm Möglichkeiten für zu sagen, okay, ne, du du nutzt halt Domaine und wenn dann der Domain-Name gelöscht wird, äh dann würfelst du dir einfach neue und dann, um sicherzustellen, dass du mit dem Richtigen redest, signierst du einfach den Traffic und schon hast du, Commanden Control, den so schnell keiner mehr umleitet und wo dir erst recht niemand am anderen Ende auf einmal Befehle gibt, weil eben deine Feinde, das BSI oder wer auch immer das dann ist, nicht in der Lage sind, die zu signieren, so wie du das machst. Aber okay, ich, was rede ich hier von Technik? Wir reden ja hier von IT-Sicherheitsgesetz, da spielt Technik ja erstmal nicht unbedingt eine Rolle. Ähm. Krass ist, dass sie sich dieses Recht einräumen, ohne zum Beispiel zu sagen, vorher muss alles andere geprüft sein. Also sie sagen zum Beispiel nicht, Okay, wir dürfen umleiten ähm und äh wenn das nicht reicht, können wir einen Löschbefehl geben ne? Oder wir dürfen umleiten und wenn wir dann die Leute informiert haben und die einen Monat lang oder fünf Monate lang oder sechs Monate nicht reagiert haben und es eine konkrete Gefahr gibt, die wir durch keine andere, Maßnahme irgendwie eingrenzen können, dann dürfen wir als Ultima Ratio mit, weißt du, von hundertachtzig Behörden äh und Prüfungen äh genehmigt und geprüft und dokumentiert und ähm revisionssicher, transparent gemacht, ne? Ähm. Diesen diesen Schritt ergreifen. Das steht da alles nicht drin. Das steht einfach nur so drin, so wir dürfen. Und das geht natürlich überhaupt nicht. Also haben wir geschrieben so Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität, informationstechnischer Systeme, müssen von eng definierten Voraussetzungen ausführlicher Transparenz und streng eingegrenzten Zielen flankiert werden. Das ist hier alles nicht der Fall. Das steht mehr oder weniger einfach nur so drin wir dürfen Schatzoffer, wir dürfen Befehle zum Löschen von Schadsoftware versenden. Das geht halt überhaupt nicht, ne. Und, sie steht auch nicht drin, dass sie da für irgendwas haften würden, ne? Kann ja sein, habe ich ja auch in der letzten Sendung schon gesagt, kann ja sein, dass ich das Stadtprogramm haben wollte ja? Und vor allem Startprogramm ist hier noch nicht mal klar definiert, weil, wie gesagt, es könnte eben auch ein Ja, ein Programm sein, was ich eigentlich ganz gerne haben wollte und was niemals äh mir zum Schaden gereicht hätte. Und all diese Fälle sind da überhaupt nicht mit abgedeckt. Und das geht halt so ähm. Ja, es geht überhaupt nicht. Das das Ding, das steht auf einer viertel Seite so, ne. Ja, wir dürfen also es steht im Prinzip drin so, wir dürfen zur Abwehr von Gefahr Sachen von deinem Computer löschen. Geht natürlich so überhaupt nicht, ne? Haben wir halt gesagt, OK, du brauchst 'n Aufsichtsgremium, du brauchst viel engere rechtliche Voraussetzungen, viel engere Zweckbindung, du musst erstmal die Begriffe definieren die hier eine Rolle spielen, ne? Nicht einfach Schadprogramm oder Information und so weiter, das also habe ich ja auch in den eigenen Statement gesagt, so wie das da steht, sehe ich ein riesiges Missbrauchspotential. Ich glaube auch nicht, dass die jemals an den Punkt der Notwendigkeit kämen, weil auch bei diesem sagen sie ja jetzt, dass sie de facto die Kommunikation SINK holen, ja? Sie sagen ja, also uns gehört die Angreifer, Infrastruktur, die Kommandanten-Control-Serverinfrastruktur und wir werden dann jetzt irgendwann den Befehl zur Löschung geben. So. Was sie aber nicht sagen ist, wir informieren jetzt die Betroffenen. Warum also warum ist das das muss doch vorgesehen sein in dem Prozess zu sagen bevor wir an deinem Computer rumfuhrwerken ähm sagen wir dir vielleicht erstmal Bescheid. Ist ja alles nicht vorgesehen. Also ich wie gesagt, es ist es ist hochkritisch, was da äh was da formuliert ist. Es geht so auf gar keinen Fall klar. Risiko ist übrigens, dass es wahrscheinlich genauso verabschieden. Man kann sogar so weit gehen. Zu sagen, okay, das dürfen die einfach grundsätzlich nicht. Also, wenn sie holen. Also unter der Annahme, dass es mal sauber juristisch formuliert wäre, ja? Und man sagt, okay, es ist eine Situation gegeben, dass es Command an. Es ist jetzt zum Beispiel auch nicht ähm, Ist ja überhaupt nicht genannt, ne. Also es könnte, Klingt halt tatsächlich so, dass sie auch, was weiß ich, wenn du irgendein Hackertool hast, dass sie sagen, alles klar. Äh wir schieben dir ein Update unter, was das Hackertool auf deinem Computer äh unschädlich macht. Das, wäre hier alles noch mit gedeckt. So und das ist wirklich äh brandgefährlich, ne, also ähm andere Sachverständige haben gesagt, okay, gehört ersatzlos gestrichen. Ich habe mich dazu entschieden zu sagen so, okay, das ist hier alles nicht das ist hier alles eine sämtliche Grundsätze sind verletzt und fehlen, versucht erstmal das ordentlich zu schreiben, ja? In beiden Fällen ist natürlich trotzdem davon auszugehen, dass sie dieses Gesetz jetzt einfach so verabschieden. Insofern habe ich halt gerätselt, ne? Gut führst du den einfach mal an, dass das halt absolut überbordend ist und völlig nicht in Ordnung. Und in der Hoffnung, dass sie ihnen das wenigstens mal vor Augen führst. Allerdings ähm ist es ja leider so, dass ähm. Muss halt jetzt irgendwie, sagen wir mal, nettes Wort. Äh in diesem Innenausschuss von Seiten der CDU ähm. Leute mit sehr großer äh Loyalität und sehr hohem Vertrauen äh zum BMI sitzen, die hohe Bewunderung auch für das BMI hegen und wie gesagt, um das sehr freundlich auszudrücken. Äh die dass ich das jetzt sehr das leider sehr unwahrscheinlich ist, dass die sich bemüht sich sehen äh daran nochmal etwas zu ändern. Und dann hättest du unterm Strich einen BSi das. Äh immer äh quasi sich den Interessen des BMI unterordnen muss und potenziell Sachen von deinem Computer löschen darf. Nicht so geil.
Ja. Ist immer so ein bisschen, man hat so den Eindruck, es wird halt irgendwann mal festgestellt, so, oh, oh, fuck, da müssen wir jetzt mal irgendwie was machen, weil da steht uns die Scheiße bis zum Hals. Lass mal irgendwas ins Gesetz reinschreiben, was jetzt mal so genau das Ding irgendwie äh bekämpft und nicht äh allgemein formuliert Äh ohne groß darüber nachzudenken, welche Implikationen das hat.
Es gab äh und genau das ist halt krass, weil ähm in diesem in dieser Anhörung gestern, ne, also nach meinem Eingangsstatement fühlte sich dann Also das war ja eine Sachverständigenanhörung, ne. Ähm und der Sinn einer Sachverständigenanhörung ist ja eigentlich, dass die Sachverständigen sich da äußern, ja. Und nach meinem Eingang Statement fühlte sich dann einer der. CDU-Politiker, nämlich der Christoph Bernstiel äh zu einer eigenen Sachverständigenauskunft genötigt? Wer hat denn da so einen Co-Referat gehalten? Wurde dann, äh wenn ich das richtig erinnere, auch von der Ausschussvorsitzenden dann eben zurechtgewiesen, dass das hier eine Anhörung ist und nicht, und er nicht als Sachverständiger geladen ist, so sinngemäß. Kann auch sein, dass jetzt nachher aus dem SPD Vertreter gesagt hat, der auch nochmal so ein gehalten hat. Aber der dann irgendwie erstmal so das das hohe Lied äh des BMI gesungen hat, ne. Also irgendwie was äh so ungefähr, was mir einfiel, ja, hier fehlende ähm. Rechtliche äh Schutz Barrieren in Form von Anforderungen und Transparenzpflichten äh zu, ähm zu fordern, dass wir äh man hätte ja fast den Eindruck, dass ich dem BMI nicht vertrauen würde oder so, ne? Und außerdem hat er dann gesagt, dieses Gesetz wäre ja nun mal äh also da da ging's um die ähm. Verzögerten äh oder diese kurzen Fristen, die wir hatten, um dazu Stellung zu nehmen. Und hat ja dann gesagt, ja, also den Interessierten würden ja nun mal dieser Gesetzesentwurf seit äh zwei Jahren vorliegen in äh und äh stetig verbessert werden, ne. Also die, Ausrede, dass sie sich hier mal kurz was ausgedacht hätten oder so, ne, die gilt nicht mehr, weil die an dem Zeug eben, wie gesagt, seit ähm, Seit zwei Jahren arbeiten und ich mein, du kannst entweder sagen, okay, die die äh die, die kurzen Fristen zu einreichen, einer Stellungnahme reichen ja wohl aus, weil wir haben dadurch ja seit zwei Jahren schreiben wir daran rum. Äh oder du kannst sagen, okay, äh das Gesetz ist ist noch nicht völlig ausgereift, aber ja, das war.
Nein, überhaupt nicht. Und da wollte ich auch echt nochmal was zu sagen und insbesondere diese Sachverständigenanhörung nicht. Das war wirklich eine, eine besonders schlechte äh Leistung von nahezu allen, die da waren. Also das ähm ich habe, Ich war ja schon wirklich jetzt, ich weiß nicht mehr wie oft als Sachverständiger im Bundestag, aber irgendwo zwischen fünf und zehn Mal, vielleicht auch schon über zehn Mal, müsste ich nur mal rausholen, ich hab da nicht so so dicke Archive zu, ne. Aber. Du erinnerst dich vielleicht auch daran, dass ich mal, ähm in so einem äh als zu dieser Staatstrojaner-Anhörung, die war zwanzig siebzehn, wo der Patrick Sensburg mir eine Frage gestellt hat und gesagt hat, ich solle mal erklären, wie ein Staatstrojaner auf ein Handy kommt, So. Out of the blue, ja, der war von der CDU, die CDU hatte mich natürlich nicht als Sachverständigen bestellt, ja und ähm. Der äh ich es war ja deren Gesetzgegen, dass ich mich da äh sehr stark positioniert habe und der hat mir im Prinzip eine Interessenfrage gestellt so. Wo ich mich sehr gewundert habe. Habe ich lange drüber nachgeschaut und habe mir gedacht, warum hat der mich was gefragt, ne? Wollte der. Zeitschinden, ne, dass ich was nicht Relevantes äh vortrage und und nicht weiter Kritik an seinem Gesetz übe, ne? Und, die meisten Leute, mit denen ich da auch nachher drüber gesprochen habe, sagten so, nee, wahrscheinlich hat dich nicht einfach interessiert und er wollte die Gelegenheit nutzen bei jemandem zuzuhören, der sich damit auskennt, ne? Und. Vor allem aber war das das Krasse war, dass der dem Gespräch gefolgt ist. Ja, der hat offensichtlich, zugehört, was ich da sage und dann ist ihm eine Frage gekommen und dann hat er als, äh äh Bundestagsabgeordneter in einem Ausschuss, wo Sachverständige angehört werden, eine Frage an einen Sachverständigen gestellt. Und da habe ich die beantwortet, hat er Danke gesagt. So und das heißt, der hat dem der ist dem Gespräch gefolgt Ja, der hat zugehört und das war bei dieser Anhörung gestern, bei vielen nicht der Fall. So. Ähm. Du hattest zum Beispiel Dopplung in den Fragen. Ja, bei den Fragerunden ist das so, dass die ähm, das geht dann äh Reihe um nach den nach den Fraktionen oder nach den Parteien, große, ich glaube, Fraktionsstärke oder wie auch immer.
Ja, das ist ein Eimer ist es dann auch andersrum sortiert. Ich habe das nicht, bin nämlich so gefolgt, ne. Ich habe natürlich mich immer konzentriert, kommt eine Frage an mich und dann habe ich natürlich schnell versucht, die Zeit dafür zu nutzen, mich auf die Frage zu äh vorzubereiten. Ähm. So und da muss man jetzt was zu sagen. Jetzt haben natürlich die ähm die Bundestagsabgeordneten, die da sitzen, die haben natürlich vorgeschlagene Fragen von ihren Mitarbeiterinnen da liegen. Weil die Mitarbeiterinnen haben sich dann damit auseinandergesetzt und dann haben die quasi sie Fragen. Und diese Fragen sind natürlich, im Prinzip die Kritik der oder die Punkte dieser. Die diese Partei eben zu dem Gesetzesvorhaben gerne hören würde und wo sie davon ausgehen, dass die geladenen Sachverständigen, die sie da fragen, entsprechend etwas sagen, was was ihnen gefällt. Ja und. Ähm da kannst du natürlich einfach bei bleiben, Oder du folgst dem Gespräch und hörst mal, guckst mal, okay, wo liegt denn mein Sachverständiger seinen Schwerpunkt und wo frage ich den jetzt mal zu? Und mindestens kannst du ja, wenn dein Sachverständigen die Frage schon gestellt wurde, Darauf verzichten die auch nochmal zu stellen. Ja? Aber selbst das ist denen gestern nicht aufgefallen. Da wurde im Prinzip die gleiche Frage an den gleichen Sachverständigennummer gestellt, die eine andere äh äh eine andere Person in dem Ausschuss schon gestellt hatte. So oder ne, zwei Fragen zu dem gleichen Thema, die noch nicht mal die Frage dann im anderen Sachverständigen gestellt oder so. Und da kommen natürlich dann schon Zweifel auf, dass die Anwesenden alle, äh Gespräch gefolgt sind. So weil es weil es halt eher so eine. Was steht hier noch auf dem Zettel? Okay, dann jetzt die Frage, okay, dann antwortet der, alles klar, hoch äh was hat er gesagt oder so, ne, das war, also ja ich hatte nicht den Eindruck, dass sie da dem dem dass da eine Diskussion stattgefunden hat oder irgendwie großartig zugehört wurde.
Allerdings, ne, die sind, einmal sind sie total aufgebracht, weil ähm also man muss das so sehen. Äh die, die der ähm, Bundestag DE hat ja auch seinen eigenen Pressedienst, wo quasi draufsteht, wo sie auch so ein bisschen selber PMs halt machen, ne? Und da steht halt drin, äh die PM zu dieser Anhörung ist wenig Beifall für das geplante IT-Sicherheitsgesetz zwei Punkt null, ja, und da wird gesagt, die die Mai, also alle Sachverständigen fanden befanden es in der vorliegenden Fassung für völlig ungenügend. So und zwar alle ja? Ähm und äh eben auch die, die sich die, CDU da selber hingestellt hatte, insbesondere hier der Professor Gerds ähm. Hat verfassungsrechtliche Bedenken, verwaltungsrechtliche Bedenken äh geäußert und hat äh dann, glaube ich, auch den den Begriff verwendet, Sicherheitsgesetz. Und wie gesagt, der war, äh, glaube ich, nicht von der Opposition bestellt. Also, da haben, da waren sie dann, glaube ich, schon so ein bisschen nervös. Aber den Eindruck, dass sie da wirklich zuhören, haste nicht, Das äh muss ich leider mal an alle sagen, gibt's da Ausnahmen, bestätigen, von mir aus die Regel. Aber so insgesamt hier hier der Amtor war auch da, Alter Vater. Also die müssen ja, man muss da ja mit Abstand sitzen. So, die sitzen halt mit Abstand und Maske, ne? Ein Meter fünfzig Abstand und Maske So und wenn du jetzt ein Abenteuer bist, ne, der den ganzen Tag nur quasseln muss, weil er natürlich irgendwie nicht dem Geschehen da folgen möchte, weil det weil er keine Ahnung dafür hat, keine Anteile kriegt, äh keine, keine, keine Unternehmensanteile, wenn er da zuhört. Ähm dann quatscht er halt mit seinem Nachbarn, So und der Nachbar ist aber anderthalb Meter weg, So, das heißt, er muss lauter reden. Und dieser Ausschusssaal ist rund. Das heißt, der hat eine ganz fürchterliche Akustik. Das heißt, während du da sprichst. Hörst du natürlich auch alles, was andere sagen, ne? Also wenn der Abenteuer da mit seinem Nachbarn redet, das hörst du, und zwar relativ laut. Und ich persönlich habe ein bisschen Schwierigkeiten mich zu konzentrieren, wenn jemand anders mir die ganze Zeit ins Ohr quatscht äh und das das war also, habe ich als eine absolute Unverschämtheit äh empfunden und der wurde dann auch äh glücklicherweise irgendwann von der Vorsitzenden dann zur Ordnung gerufen. Und dann hat er sich mit seinem Handy beschäftigt so. Ähm tja.
Der war kurz davor, sagen wir's mal so, also es war wirklich äh. Da da nee, da haste nicht den Eindruck. Aber und ich muss aber auch sagen, wie gesagt, ich war schon bei Anhörung, ähm wo das durchaus sehr viel besser war, ne. Und ähm. Vielleicht jetzt auch zur äh sagen wir mal zur Entlastung der Oppositionspolitikerinnen, die da eben die Fragen. Als sehr erkennt, also sehr auffällig abgelesen haben. Muss man eben sagen, die werden ja gerade zugeballert, ne? Es ist immer so, am Ende der Legislaturperiode stellen sie auf einmal fest, oh shit, wir haben hier den ganzen Tag nur rumgepimmelt. Wir müssen jetzt auch nochmal was machen und dann, fragten sie halt auf einmal, ne, hunderte Seiten von Gesetzesvorschlägen und so weiter auf die Opposition, die dann halt natürlich auf einmal, wie die Irren, die haben ja bei weitem nicht die Ressourcen. Sachverständige sucht den ganzen Mist, lesen muss und dann gibt's am Ende des äh gibt's immer so einen Dedosangriff, ne? Das war bei der äh bei dieser Staatsreha eine Anhörung der letzten auch so, dass sich da dann. Ja, das ist halt äh ein, ein, ein Hin und Her war und auch die Kommunikation mit den Abgeordnetenbüros dann halt da merkst du, da sitzen am anderen Ende Leute, die gerade einfach mal völlig überlastet sind. Und das trifft sicherlich auch eben auf die Abgeordneten der Opposition zu. So sie denn ihre Arbeit ernst nehmen und das würde ich eigentlich allen dort unterstellen. So, jetzt war das bei bei mir ja noch so, ich hatte ja gesagt, dass ich da auf Einladung der Grünen war. Und dass der Termin geändert wurde, was jetzt auch zur Folge hatte, dass der Konstantin von Notz nicht da sein konnte. Ja, der eben im Innenausschuss dieses Thema seit Jahren betreut und verfolgt, deswegen war dann eben seine Stellvertreterin da, die Tabea Rößner, die nicht so in dem Thema steckt. Und, ich kann natürlich auch verstehen, dass sie dann sagt, okay, ich habe hier meine, ne, mein Briefing bekommen, sicherlich, gehe ich jetzt mal vom aus, vom vom Büro Notz wird sie ein Briefing bekommen haben, so, da und da, um rum geht es uns, diese Themen, frag mal bitte, ne? Und dann wird dir das natürlich auch gemäß ihrer, Empfehlung Ihrer Kolleginnen, die Sie ja dann nun oder Ihres Kollegen, den Sie ja dann vertritt, auch gemacht haben. Das kann man ja jetzt auch nicht übel nehmen, Ne, so will ich jetzt, wie gesagt, will er niemanden konkret konkret kritisieren, haben alle ihre Gründe, ne? Aber so insgesamt wurde da jetzt nicht diskutiert oder so. Und insbesondere bei diesem Gesetz ist es ja so. Dass das äh weil es diese Dienste des digitalen Zeitalters betrifft, äh. Notifiziert werden muss. Das heißt, es muss der EU-Kommission zur Einsicht und zum Feedback vorgelegt werden, bevor es äh beschlossen wird. Und das wiederum heißt, wenn sie jetzt etwas daran ändern würden. Dann äh wesentlich, dann ist das nicht mehr das vorgelegte Gesetz. Und irgendwann würden sie eben, hätten sie halt so viel daran geändert und wenn sie meinen Empfehlungen folgen, dann haben sie alles daran geändert, dass sie das nochmal neu vorlegen müssten.
Müssen wir erstmal neu formulieren und dann ist glaube ich diese Frist ist glaube ich sechzig Tage oder so also die die die, läuft ab Mitte März und du kannst eigentlich davon ausgehen, dass jetzt halt irgendwie, ich glaube. Mitte März irgendwann läuft diese Frist ab und dann wird das rucki zucki irgendwann äh im Rahmen einer äh einer öffentlich rechtlichen Nachtausstrahlung halt verabschiedet mit fünf Leuten im Bundestag, so ungefähr? Also das wäre jetzt das, was ich erwarten würde, jetzt ist natürlich der Punkt, da selbst eben die Sachverständigen, die von der Koalition bestellt wurden, fundamentale schwere Kritik an diesem Gesetz geübt haben, kann es halt schon sein, dass sie sagen, ja, okay, nee, das können wir eigentlich nicht machen, ne. Aber ähm ja, bin mal gespannt. Also ich gehe da äh also viel Hoffnung habe ich da jetzt eigentlich nicht. Einfach aufgrund der.
Von der CDU waren glaube ich drei Leute da, dann hast du, war der König da vom BMI, dann war das Ausschussssekretar mit zwei Leuten da. Dann ich, dann einer von der SPD. Die eine eine Person von der Linksfraktion war da, die Petra Pau, dann die ähm Anke Domstadt Berg Remote zugeschaltet dann war der Manuel da von der FDP und noch irgendwie eine von der AfD und der, genau, Neben der Anke Domscheid Berg war noch die Tabea Rößner äh Remote zugeschaltet und die Sachverständigen. Ich glaube, jetzt habe ich keine wahrscheinlich habe ich jetzt eine Person vergessen. Äh tut mir dann leid.
Nee, beide habe ich ja äh der Kelch ist zum Glück an mir vorbeigegangen. Da habe ich auch echt gedacht, boah gut. Einfach nicht in die Situation gekommen ähm insofern ähm sage ich mal nicht, wer weiß, sage ich mal nicht, was mir für diese für diese Situation vorgenommen habe oder hätte, da hätt's natürlich ähm, hätte es was zu sehen gegeben. Aber äh ja, nee, die hat jetzt äh mich nicht gefragt.
Och, ich glaube, die Aufmerksamkeit hatte ich schon. Ah, übrigens, ich habe vergessen, wer noch da war, der achso, der Sebastian Arzt, der saß auch da, der war, der war der einzige, andere Sachverständige, die vor Ort, damit müsste ich jetzt die Runde komplett haben. Und das ist dieser typische runde, so ein typischer runder Saal, die an der was ist das denn?
Aber alle mit Maske. Also die die ähm der Zugang war halt äh reingehend Ausweis da lassen einmal scannen. Inzwischen darf man Getränke mit reinnehmen, ich kann mich noch an Zeiten erinnern, da haben sie denen eine Matheflasche abgenommen. Ich durfte aber meine Thermoska meine eigene Thermoskanne mit reinnehmen, das ist auf jeden Fall irgendwann mal neu hinzugekommen. Und ähm ja Maske tragen, wenn du nicht redest, ne? Wobei ich jetzt nicht weiß, ich äh ob die AfDlerin da nicht sogar ihre Maske die ganze Zeit abhatte, die die haben ja so ein bisschen Narrenfreiheit, ne. Covidiotenfreiheit haben die ja. Das weiß ich aber nicht genau, also wirklich möchte ich jetzt gar nicht sagen, äh ich habe da nicht hingeguckt, äh aber alle Personen, die ich angeschaut habe, haben ähm ihre Masken getragen, wenn sie nicht gesprochen haben. Ja
Es kam dann noch dieses Thema äh vertrauenswürdige Anbieter, ne. Da haben wir relativ viel zu geschrieben. Ähm Ich habe das ja hier auch im Logbuch schon mehrmals erklärt. Also es gibt es ist diese Huawei-Debatte, ne und da haben sie jetzt halt irgendwie gesagt, so das BSI darf anordnen, dass nicht vertrauenswürdige Anbieter nicht verwendet werden dürfen, ne. Das ist jetzt im Prinzip das Ergebnis dieser auch seit drei Jahren geführten Debatte um um Huawei, ne? Und. Im Prinzip zeigt sich daran ja nur eben diese diese Zahnlosigkeit und Hilflosigkeit des BSI, weil die hätten ja längst sich mal den Huawei Krempel auseinander nehmen können. Und ich würd's gerne noch einmal wiederholen, weil's Ich hab's jetzt schon mal erklärt, aber jetzt ist es eben auch, jetzt ist nicht das Gesetz vor. Erstens, es gibt keine Beweise dafür, dass Huawei Komponenten ähm, irgendwie unsicherer wären als die andere Herstellerin. So. Zumindest nicht öffentlich. Es wurde immer mal wieder gemeldet, irgendjemanden lege irgendeinen Beweis vor, aber die sind nicht öffentlich bekannt und es gibt, es hat auch niemand äh bisher, Maßnahmen ergriffen, ja, die ähm jetzt tatsächlich irgendwie dem Rechnung tragen würden, weil wenn Huawei wirklich hier irgendwie ähm. Ja nicht vertrauenswürdig wäre, dann müsstest du das ja nun wirklich einfach aus deinen Netzen wieder rausreißen. Und derartige Maßnahmen hat noch niemand ergriffen und man darf eben vor dieser ganzen Debatte nicht vergessen, dass ähm, der größere Teil der deutschen Mobilfunknetze jetzt schon mit Huawei Technik gebaut wurde. So und wenn jetzt Huawei sich als bösartig herausstellen würde, dann müssteste das Zeug halt rausrupfen. So zumindest deren Argumentation, ja? Ähm müsstest du im Zweifelsfall nicht, aber da komme ich gleich zu, so. Jetzt gleichzeitig haben wir über US-amerikanische Hersteller, glaube seit zwanzig dreizehn, konkrete beweise, dass deren Produkte Gebäck dort sind oder nachträglich von äh der äh von den Taylor Access Operations Gebäck dort werten, auf dem Weg zur Lieferung zum Kunden Und da haben wir ja auch nichts gegen unternommen. Insofern warum sollte, ne, also da wo Beweise vorliegen, haben wir nichts unternommen, da wo wir behaupten, das wäre ein Problem, aber keine Beweise vorliegen, haben wir auch nichts unternommen, also was soll das alles, ne? Und ich habe ja ähm jetzt den Teil weiß ich nicht, ob ich den schon bei Podcast erklärt habe. Also, ich habe ja früher sehr viel im Bereich von Mobilfunknetzen gearbeitet. Und ich habe auch hier zwanzig dreizehn mit meinem Kollegen Luca äh im Regierungs äh hier Handy abhören, demonstriert, ne. Und, der die Schwachstelle, die dabei eine Rolle spielte in GSM. Die war, bestand im Prinzip aus, ich erkläre sie jetzt mal einfach. Ein bisschen komplizierter, ich mache mir das Prinzip klar. Die bestand daraus, dass. In GSM sendest du quasi Pakete in sogenannten Frames, also du hast immer pro Zeiteinheit eine gewisse Anzahl Daten, die du übertragen kannst, Und wenn du jetzt eine Nachricht sendest, die nicht den kompletten, komplette ähm Bandbreite dieses Frames ausnutzt. Das heißt, du hast quasi noch Bits übrig. Ja, also schickst eine Nachricht, du hast aber noch Bits übrig. Ähm dann wird wird das trotzdem gefüllt, ne? Also ein Wert wird einfach quasi ein Padding um die Nachricht gemacht, damit du in dem Takt bleibst, den dir quasi dieses Funksystem vorgibt, Ist das äh ist das klar? Äh verständlich Tim?
Haben immer dieselbe Länge, genau, die haben die Nachrichten haben immer dieselbe Länge oder die Frames haben immer dieselbe Länge, die Nachrichten sind in den Frames und wenn der eine Nachricht kürzer ist als der Frame, dann machst du halt ein Padding dazu. Und, die Fehlimplementierung war, die den Angriff quasi ermöglicht hat, dass dieses Padding statisch war, Das heißt, ähm du wusstest, dass bestimmte Nachrichten am Ende auf jeden Fall dieses Padding haben. Weil sie, wenn sie zu einer bestimmten Zeit kommen, weißt du, diese Nachricht ist so kurz und wenn die so kurz ist, dann hat die das Padding und wenn das Padding halt den größeren Teil der Nachricht ausmacht, hast du letztendlich etwas, wo du ein nointext Angriff drauf machen kannst. Mit anderen Worten du hast die verschlüsselte Nachricht. Kennst Teile des Inhaltes der Nachricht und deswegen kannst du jetzt anfangen, den Schlüssel zu knacken, weil du eben, ne, dann einfach sagen kannst, okay, ich brutforste jetzt den Schlüssel. Weil ich eben Teile der Nachricht kenne und wenn du dann diesen Schlüssel hattest, konntest du ähm quasi auch den Rest des Datenstromes entschlüsseln. So und diese Schwachstelle steckte halt in den GSM-System. So und die war kombiniert mit anderen Schwächen des Algorithmus und so weiter hat es dazu geführt, dass du quasi Rainbow Tables dir machen konntest, also du hast einfach statt wirklich jede Nachricht einmal zu cracken, hast du einfach einmal mit allen Keys alle Nachrichten äh verschlüsselt und. Aber nicht alle Ergebnisse gespeichert dafür hast du nicht genug Platz sondern du machst quasi. Super geiles Konzept. Ich weiß nicht, ob ich das schon mal in der Sendung erklärt habe. Ähm.
Richtig, aber die Idee, die Idee der Rainbow-Table ist im Prinzip, du hast quasi. Key und Nachricht, ne? Und du verschlüsselt jetzt die Nachricht mit mit Key eins und das, was dann rauskommt. Daraus leitest du quasi Key zwei ab, was dann rauskommt, vier, K fünf, ja? Und dann speicherst du dir nur das Ergebnis, sagen wir mal zum Beispiel nach dem siebten Lauf. Und damit hast du quasi das Ergebnis des ersten Laufs und das oder den Kie des ersten Laufs, Und das Ergebnis des siebten Laufs speicherst du dir nur. Und die dazwischen die Schritte nicht, Das ist wichtig, ne? Also Anfang und dann nach sieben Wiederholungen oder können auch zehn sein, ne, kommt drauf an, wie du optimierst. Das Ergebnis speicherst du dir. Und jetzt nimmst du quasi. Von einer gegebenen Nachricht, die quasi verschlüsselt ist, machst du einfach auch sieben solche Durchläufe, dann hast du sieben Ergebnisse. Und jetzt guckst du in deiner Rainbow Table einfach nur, ob eines dieser sieben Ergebnisse in deiner Rainbow-Table vorkommt. Und es wird vorkommen. Und da wo es vorkommt, musst du dann einfach nur rückwärts quasi die Operation durchführen und kommst dann an den richtigen Key. Ich, vermute, dass es jetzt auf Anhieb nicht sofort verstanden ist, also du du speicherst quasi wirklich eben von mehreren Durchläufen einfach nur einmal anfangen und dann das Ergebnis und dann suchst du quasi machst du selber einfach nochmal sieben Durchläufe und suchst nach diesen sieben und einen davon wirst du finden, dann brauchst du nur rückwärts zu rechnen und dann hast du den Key. Also letztendlich ein Time-Memory-Trade oft beim beim Passwort kriegen, könnte es natürlich auch einfach eine Tabelle mit allen machen, dann brauchst du aber viel zu viel Speicherplatz oder du könntest halt auch einfach jeden einzelnen. Anlauf. Von neuem tracken, dann brauchst du aber viel zu viel CPU-Time. Unten mit Rainbow Tables machst du quasi optimierst du auf den Sweetspot, dass du den Look ab noch schnell genug hinkriegst und nur so und so viel Terabyte äh Speicherplatz dafür brauchst. Na ja, langer Rede, kurzer Sinn, diese Schwachstelle war quasi auf der Luftschnittstelle von GSM und das hat es eben das vollständig passive Abhören von GSM-Telefonaten ermöglicht mit, zu dem Zeitpunkt halt, was weiß ich, Hardware Invest von, sagen wir mal ein paar tausend Euro, ne? Und. Natürlich zwanzig Jahre vorher war die gleiche Schwachstelle, vielleicht eben für ein paar hunderttausend ausnutzbar. Ähm oder vielleicht auch fürn, für eine Million ausnutzbar, weil das eben, ne, die Computing Power und der Speicherplatz noch nicht der Allgemeinheit zur Verfügung stand. Und ohne da jetzt eine Verschwörungstheorie draus äh spannen zu wollen, so eine Schwachstelle wäre natürlich super geil, Wenn du jetzt sagst, du bist ein nicht vertrauenswürdiger Anbieter, verkaufst dein Krempel ins Ausland und hast eine Schwachstelle, die am Ende aussieht wie ein Bag. Die ähm sich von normalen Konsumenten in den nächsten zehn Jahren nach nicht so einfach ausnutzen lassen wird Aber wenn du jemandem sagst, wie die Schwachstelle genau aussieht, einen Geheimdienst halt problemlos in der Lage ist, sagen wir mal halt ordentlich Kohle zu investieren um diese Schwachstelle ausnutzen zu können. Und worauf ich hinaus will, ist das Geile daran ist, es sieht einfach noch wie eine wie eine Schwachstelle aus. Und ein Bug, ja? Und wenn dann irgendwann zwanzig Jahre später, ne, irgendwie ähm, ein paar äh Forscher zu dir kommen und sagen, übrigens, hier da gibt's so einen Back, den musst du mal fixen. Na, dann wird der Bug halt gefixt und alle haben alle happy, Insofern würdest du als nicht vertrauenswürdige Anbieterin natürlich eher deine Sachen wie ein Back aussehen lassen als wie eine absichtliche Backdoor. Schon mal ganz klar, ne? Du würdest nicht irgendwie eine, ja, keine Ahnung, Passwort, äh, chinesischer Geheimdienst und du kommst rein, so, sondern du würdest halt machen. Jetzt ist die Frage, ich habe ja jetzt schon gesagt, das Beispiel, was ich gerade genannt habe, ist äh die Vertraulichkeit. Und ich halte auch quasi den Angriff auf die Vertraulichkeit für das realistischste Angriffsziel, was du mit Hilfe einer nicht vertrauenswürdigen Anbieterin ähm realisieren würdest. Die anderen Angriffsziele werden dir Verfügbarkeit oder die Integrität des Systems anzugreifen, Verfügbarkeit heißt, du schaltest das Mobilfunknetz aus, ne, was also im Prinzip ein ähm ein äh kriegerischer Akt ist. Und ich sag mal, wenn wir soweit sind, dass wir uns davor Sorgen machen müssen, dass die, dass China uns das Mobilfunknetz abschaltet, Dann haben wir echt sowieso ganz andere Situationen, ne? Und das könnten die halt auch im Zweifelsfall, wenn's nicht von von Huawei ist. Und Integrität, ja klar, da könntest du halt dann sagen, okay, du du nutzt das jetzt zum zum Angriff oder so, aber auch dafür bräuchtest du halt administrativen Zugriff auf das Netz und du kannst jetzt nicht irgendwie so sowas machen, wie äh auf ähm. Was weiß ich äh, Admin Punkt T Mobile Punkt DE gehen und und sagen wir konfigurieren jetzt das Netz um, sondern diese kritischen Komponenten, die administrative Schnittstellen ist ja nicht gar nicht so einfach erreichbar. Mit anderen Worten so die realistische Schwachstelle, die du einbauen würdest, wäre. Vertraulichkeit äh angreift äh äh die Vertraulichkeit gefährden und zwar vor allem durch etwas, was aussieht wie ein Back, wenn es jemand entdeckt. Interessanterweise wird in diesem. In diesem Gesetzesentwurf quasi das Risiko nur eingegrenzt auf ähm Systeme, ähm die die. Ähm Sicherheit, ah hier ein Hersteller einer kritischen Komponente ist nicht vertrauenswürdig, wenn die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die geeignet sind oder waren, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder funktionsfähigkeit der kritischen Infrastruktur einwirken zu können. Was fehlt ist Vertraulichkeit. Das ist geil. Das haben die einfach ausgeklammert. Das einzige realistische Risiko ist ist die Vertraulichkeit. Und er hat's ja eingangs gesagt, in dem neuen BND-Gesetz sagen sie der BND, es darf, äh Netze hacken, um dort die Vertraulichkeit zu schädigen. Der BND darf aber nicht, Die Verfügbarkeit und Integrität äh und also Funktionsfähigkeit beeinträchtigen. Also die wissen selber, dass das einzige, was du machen willst, ist die Vertraulichkeit angreifen. Aber in ihrem Lex Huawei lassen sie. Vertraulichkeit aus der Definition raus. Also wurde dir frag so, Leute, was raucht ihr denn oder was trinkt ihr und vor allem wie viel? Das also total, total unsinnig, ne? Du liest das und denkst dir so, ey, das ist doch wirklich absoluter Quatsch. Und vor allem überall in dem Gesetz steht drin, äh Vertraulich Verfügbarkeit, Integrität, Vertraulichkeit, weil das nun mal einfach die drei Schutzziele der Informationssicherheit sind, habe ich da auch verlinkt, ja, Wikipedia, Informationssicherheit. Also gegen das einzige realistische, dass das wirklich realistische Angriffsziel. Haben Sie hier rausgenommen? Wo die warum? Warum? Warum habt ihr das gemacht? Und zweitens ähm. Wenn das jetzt so wäre, kommt eben der Punkt, wie wie kannst du dich jetzt gesetzlich dagegen wehren? Oder Staat von staatlicher Seite. Dann kannst du halt sagen, okay, äh wir untersagen jetzt den Einsatz dieser Komponente und da muss die rausgerupft werden. Wie gesagt, dann dürfte die, wenn man jetzt feststellt, ah okay. Huawei hatte eine. Dann, das BSI eben anordnen, dass die Deutsche Telekom das Mobilfunknetz abbauen muss. Das wird sie natürlich nicht machen, weil die dann im Zweifelsfall, was ich gerade sagte, halt ein Upda, äh verlangen und dieses Netz halt weiter betreiben. Also das ist seit alles von vorne bis hinten äh totaler Unsinn. Und wenn du dich dagegen schützen willst dann würdest du halt sagen, alles klar. Ähm wir äh machen zum Beispiel einen hinterlegen, des Quellcodes zum zur Voraussetzung, dass wir sagen können, okay, wir können dieses System auditieren, und schlimmstenfalls, wenn wir hier irgendwie in eine kriegerische Konflikte kommen, dann können wir diese Systeme selber patchen, Ähm wir wollen, wir stellen von staatlicher Seite Audit Ressourcen bereit. Äh wir äh. Gucken, dass irgendwie Best Practice ist in Architektur, Bild und so weiter, ne? Zum Beispiel oder so. Das sind ja alles Anforderungen, die du machen könntest. Und du könntest vor allem auch sagen, na ja okay, wir fördern halt die Software, als Bundesrepublik Deutschland, die auf diesen Dingern laufen soll, halt selber und machen auf diese Weise die äh Wirtschaftsförderung für unsere ähm für unsere europäischen Anbieterinnen. Aber nein, all das findest du da nicht drin. Also es ist wirklich so und jetzt ist halt du kannst hier nicht vor, also ich kann mir nicht vorstellen, dass im BMI äh Leute sitzen, die das nicht wissen, So oder im BSI Leute sitzen, die nicht genau wissen, äh wo der Hase lang läuft. Und dann kommt natürlich noch der Punkt, was ich ja schon gesagt habe, diese. Komponenten sind, ähm ja, die kommen aus China, also wenn du jetzt, wenn du jetzt du bist jetzt, was weiß ich, die Deutsche Telekom oder Vodafone oder wer auch immer. Und jetzt sagst du, ah okay, ich möchte Huawei in meinem Netz haben, dann, Bestellst du ja nicht auf Huawei Dot com oder Shop Warway dot com äh so und so viele äh oder so, sondern du hast äh, quasi äh äh Netzwerkkomponenten, was weiß ich, die Funk äh Funktürme oder was auch immer du jetzt haben willst, ne. Sondern du arbeitest halt mit einer deutschen GmbH und Co KG oder so was ist denn die Rechtsform? Was weiß ich Huawei Deutschland? Kannst du also garantiert gibt's eine haben wir glaube ich auch schon mal im Logbuch geguckt, ne? Huawei, Deutschland. Wenn du dazu suchst, findest du wahrscheinlich eine in Bonn oder Düsseldorf ansässige GmbH. Ach so, jetzt bin ich bei den Consumer Produkten. Ach so hier ist Deutschland GmbH in Düsseldorf. Ne? Düsseldorf weil da, früher ähm E Plus und Vodafone äh waren und Bonn ist dann halt auch nicht weit Und das ist dann im Prinzip, jetzt weiß ich nicht genau, ob das genau diese GmbH, wahrscheinlich werden sie nochmal eine andere GmbH für die Netzausrüstung haben, aber quasi nett die Deutsche Telekom, wenn die sagen, okay, wir kaufen jetzt hier Huawei, dann dann arbeiten die zusammen mit einer deutschen GmbH, die sich darum kümmert, dass diese. Produkte eben auch bei denen integriert werden. Das ist eben nix, was du kaufst, die Bedienungsanleitung liest und dann schraubst du das schraubst das an den Turm oder so ne? Klar machst du schon, ja? Aber letztendlich gibt's da ja auch ganz viele individuelle Konfigurationen, Anpassungen, Anforderungen, Features, die du haben willst, nicht haben willst und so. Das kaufst du dein dein eigentlicher Vertrag ist am Ende mit einem deutschen Unternehmen. Und dieses deutsche Unternehmen zu testen und Konfigurationszwecken arbeitet sehr eng mit deinen Technikerinnen eben zusammen und kriegt dabei natürlich intime Kenntnisse über dein Netz. Das ist so habe ich ja, als ich in dem Bereich gearbeitet habe auch, so und, da, glaube ich, ist viel mehr quasi in Anführungszeichen das Problem, nämlich dass da Leute Wissen über deine Infrastruktur haben. Und da ist jetzt wiederum der Punkt, ne, das, Da kümmert sich dieses Gesetz überhaupt nicht drum, ne? Und das wäre eigentlich, sage ich mal, wenn man jetzt sagt, wir befürchten da eine Unterwanderung unserer Kommunikationsinfrastruktur, dann könnte man eben was weiß ich, Anforderungen wie. Backgrounds für die Leute verlangen, die irgendwie, davon Kenntnis erlangen, wie das da aufgebaut ist. Und da da kommst du natürlich siehst du ja, okay, haben die zwei Faktor-Authentifizierung oder nicht, liefern wir den überhaupt zwei Faktoren oder nicht? Das wären alles so Sachen, wo du halt IT-Sicherheit wirklich auf auf einer technischen Ebene einziehen würdest. Und an der Sache bleibst und darauf verzichten die halt total. Und es ist wirklich schmerzhaft. Nach drei Jahren der Debatte irgendwie solche Clowns-Gesetze zu sehen, wo du halt weißt du, das hat einfach nichts mit dem zu tun, um das es hier geht. Und am Ende ist das halt ist, sowas, ne? Zu sowas muss sich dann als technischer Sachverständiger äußern, was letztendlich halt irgendwie so ein ähm, so ein so ein Handelskrieg, Gehirnfurz von Donald Trump ist. Was anderes ist das ja nicht. Also es hat schon wirklich. Ähm also dann nochmal geschrieben, schon heute sind europäische Netzwerkkomponenten nicht in der Lage, mit chinesischen Produkten zu konkurrieren. Chinesische Anbieterinnen liefern inzwischen technisch überlegenes Equipment zu günstigeren Preisen. Es ist daher leicht nachvollziehbar, dass deutsche und europäische, Mobilfunknetze zu großen Teilen mit chinesischer Stadt äh europäischer Technik ausgerüstet wurden. Unabhängig von der Frage der Vertrauenswürdigkeit der Anbieterin ist es im Interesse der Bundesrepublik und der Europäischen Union. Die europäische Technik konkurrenzfähig im Markt zu halten Beim Bau von Mobilfunknetzen der sechsten oder siebten Generation droht sonst eine Situation in der europäischen Ausrüster nicht mehr Teil des Angebots sind um dem entgegen zu wirken bieten sich jedoch etablierte und ehrliche Mittel der Marktverzerrung an wie Förderung und Subventionen und Zölle. Es bedarf nicht eigens des Arguments eine eigenstes Argument von einer in der IT-Sicherheit, Von einer in der IT-Sicherheit konzeptionell fremden Vertrauenswürdigkeit, Und ähm ja, Empfehlung, wenn der Bundesregierung daran gelegen ist, die technologische Souveränität im Bereich des Mobilfunks aufrechtzuerhalten, dann möge sie mit Förderprogramm die mangelnde Konkurrenzfähigkeit europäischer Herstellerinnen kompensieren. Hierzu bieten sich breit angelegte Programme zur Förderung von kritischen Softwaresticks als Open Source an, für die im Rahmen der Förderung auch die Ressourcen für sichere Architekturen und fortlaufende Auditierung bereitgestellt werden. So das wäre irgendwie eine Lösung des Problems, wo wir alle was von hätten. Aber nein. Letzter Punkt, ja, IT-Sicherheitskennzeichen haben sie halt, also das ist auch, boah Alter, das, ich kann mich nicht mehr hören. Also, wir haben ja, Habe ja gesagt, was aus diesem Bundestagswahl-Hack wurde, da wurde halt diese äh Nummer draus mit dem äh Anforderungskatalog des BSI, der dann vier Jahre später fertig ist. Und dann hatten wir ja noch diesen Telekom-Routerausfall. Da habe ich ja auch regelmäßig drüber gerandet, wo sie dann die technische Richtlinie Route hatten, ne. Eine technische Richtlinie des BSI ist erstmal nur ein Stück Papier, ohne jegliche Verbindlichkeiten, denn die gesamte Arbeit komplett für die für den, für den Fuchs, ja? Und ähm jetzt haben sie halt gesagt, okay geil, zu weiteren, ähm äh Förderung und da das habe ich übrigens bei dieser technischen Richtlinie Router war das schon immer, dass da die Anbieter saßen und sagten so, wir hätten gerne ein schönes Logo mit einer Deutschlandfahne, das müssen wir bei uns drauf drucken, damit der Kunde weiß, dass das schön ist hier bei uns, dass wir dass er bei uns ein deutsches Produkt.
Genau und ähm jetzt haben äh sagt das BSI, ja geile Sache, machen wir, ne, irgendwie so und so viel fünfundzwanzig Planstellen. Personalkosten in Höhe von jährlich zwei Komma drei drei Millionen Euro sowie Sacheinzelkosten in Höhe von zwei äh null Komma sechs zwei Millionen Euro jährlich, ja? Also knappe drei Millionen Euro sollen wir jetzt ausgeben von staatlicher Stelle, damit das BSI einen Sicherheits Kennzeichen macht? Denkst du, na ja, okay, hören wir uns das mal an, ne? Das Geile ist, die die Hersteller zertifizieren sich das selber, das ist freiwillig, und du zertifizierst dir das selbst und dann kriegst du das. Dann musst du und es wird nicht geprüft. Also sagst dem, du sagst dem BSI halt so, ey übrigens wir erfüllen hier. Äh Security, ne. Hier ist unser Blatt Papier, auf dem wir das selbst zertifizieren, dass wir das tun. Das hat niemand unabhängig geprüft, Guckt mal, ob euch das gefällt, was wir hier geschrieben haben, was wir alles machen und dann sagt das BSI, alles klar. Hier, ihr seid jetzt berechtigt, euch eine irgendwie eine Deutschlandfahne auf euren Karton zu drucken und dann machst du das, Und das Schlimmste, was dir passieren kann, ist, dass dir das, dass sie das, dann darfst du, musst du wieder abmachen oder so, ne? Schlimmstenfalls kannst du entzogen werden. So, aber warum bringt das nichts? Naja, weil es freiwillig ist. Und es ist ja nicht so, weißt du, wenn wenn die Leute, freiwillig mehr Geld für Sicherheit ausgeben würden, dann hätten wir ja nicht die unsicheren Produkte im Markt. Also haben wir gesagt, okay, bitte, bitte, bitte. Wenn ihr so etwas machen möchtet, eine Maßnahme, die hier für allgemeine IT-Sicherheit im Markt sorgen soll, die muss das halt zur Markteintrittsvoraussetzung machen. Und nicht zum obendrauf. Du hast doch nichts davon, wenn du als BSI, drei Millionen dafür sorgst, dass die Leute die Kiste mit dem schöneren äh mit dem schöneren Deutschland-Fähnchen draufkaufen und dafür mehr Geld ausgeben, wenn die ganzen Leute, die nicht mehr Geld ausgeben, äh sich eben das Produkt einfach das günstigere Produkt kaufen, weil sie sagen, ich kaufe lieber eins, wo keine Deutschlandfahne drauf ist. So und ähm das. Es ist so traurig, ja, weil, wie gesagt, das ein, das das der einfache Weg wäre. Mindesthaltbarkeitsdatum-Update zwang. So Punkt. Und dann kannst du auch sagen, okay, bei ab bei äh wenn da jetzt irgendwie schwerwiegende Sicherheitslücken sind oder sowas, dann kann das BSI von mir aus auch einfordern, dass äh dass das Produkt äh, dass das Produkt eben diese Updates gemäß Vorgabe bekommt oder so, ne? Und vor allem könntest du halt auch mal sagen, alles klar, wenn du das nicht machst, wenn du hier Schrott ins Regal legst und die Leute das kaufen und dass sie den dann in den Fuß schießt, äh dann kann man halt auch mal an eine Haftung denken. Unter also ne, unter Maßgabe, dass keine dass keine nicht in in angemessener Zeit eine eine Produktnachsorge getroffen wurde. Also ja, statt sich mal über Haftung und Update Pflicht Gedanken zu machen, gibt's jetzt irgendwie ein ein schönes neues Sicherheitskennzeichen, totaler Unsinn, Letzter Punkt, im besonderen öffentlichen Interesse, wo ja der, der quasi der Tätigkeitsschwerpunkt des BSI erweitert wird, ähm da gibt's drei Kategorien, was Unternehmen besonderem öffentlichen Interesse sind, also quasi ergänzend zu den kritischen Infrastrukturen. Sagen sie halt, okay, Güter im Bereich der Kriegswaffen oder Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung von staatlichen Verschlusssachen. Also damit haben seit ja Kriegswaffenhersteller, Hersteller, die ihnen die Krypto liefern, sind halt jetzt Unternehmen vom besonderen, im besonderen öffentlichen Interesse, dann Unternehmen, die Gefahrenstoffe in großen Mengen an ihren Betriebsstädten vorhalten. Wo man jetzt bei beiden argumentieren kann, ja, da gibt's im Zweifelsfall übergeordnetes Sicherheitsinteresse der Bundesrepublik Deutschland so, ne? Dass dies, wo man sagen kann, ja, ist wahrscheinlich nicht schlecht, wenn das BSI da ein Auge drauf hat. Kriegswaffen ist aber natürlich Äh auch so ein Thema, ne, weil das äh BSI ja eigentlich so eine zivile Institution ist. Und dann C sagen sie, also in dem Fall ist es B, aber die dritte Kategorie, wie du ein Unternehmen von besonderem öffentlichen Interesse bist, ist, wenn du nach der, nach deiner inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehörst. Und da denke ich mir auch so, Alter, was soll das denn jetzt schon wieder, als wenn die größten Unternehmen von Deutschland nicht in der Lage sein sollten oder sind. Sich um ihre IT-Sicherheit selber zu kümmern, warum sollen die jetzt noch mit staatlichen Ressourcen versehen werden, während irgendwie ein KMU, ne, hier Hidden Champions und Hasse alles nicht gesehen, um IT-Sicherheit ringen, nirgendwo jemanden finden, der ihnen dabei helfen kann, zu zu normalen Preisen und deshalb den Schrott im Regal kaufen. Das ist doch die komplett falsche äh Förderung und das komplett falsche Verständnis von was jetzt wirklich im Interesse der Bundesrepublik liegt Also habe ich gesagt, der Bundestag möge prüfen, welche Unternehmen im besonderen öffentlichen Interesse der Bundesrepublik liegen und welche davon tatsächlich besondere Aufmerksamkeit des BSI benötigen. Ich find's im Prinzip zum Beispiel auch witzig, wenn sie sagen, ja hier wäre was mit Kryptografie macht äh und den Verschlusssachen, ja okay, gut ja. Natürlich ist das äh sollten die, was sollten die jetzt mit der Sicherheit raushaben, aber hoffentlich habt ihr euch das überlegt, bevor ihr was von denen kauft. Also das finde ich echt so ein bisschen. Komisch. Und äh besser wäre es natürlich, weißt du, so ne, Thema Problemklassen eliminieren, schafft doch bitte eine. Kompromisslose auf IT-Sicherheit ausgelegte Infrastruktur, schafft 'ne Produkthaftung, Mindesthaltbarkeitsdatum ein als Markteintrittsbarriere. Ne, damit kannst du halt da dafür sorgen, Das ganz einfach bei ganz normalen Otto-Normal-Unternehmen ähm. Sicherere Produkte ankommen und die dann alle auch weniger in IT-Sicherheit äh investieren müssen So und das äh hielte ich ehrlich gesagt für die für die sinnvollere Maßgabe, dass du halt hier von staatlicher Seite eben, Basisprodukte bereitstellst, in Open Source, dann können alle Anbieter äh sich derer bedienen, können alle äh Kunden glücklich kaufen und dann hast du irgendwie musst du noch nicht mal eine schöne Deutschlandfahne draufkleben, sondern hast einfach so nachhaltig mehr Sicherheit. Ja
Ich bin mir sicher, es sieht voll geil aus hier in dieser Aufkleber. Ja, aber also die werden sich um die Bürokratie kümmern. Dit möglichst äh äh nervig zu machen, dass das ein Unternehmen auf ein Produkt einen solchen Aufkleber kleben kann, nachdem es spezifiziert, nachdem es sich selber, äh äh zertifiziert hat. Das ist die Anforderung erfüllt, die vorher natürlich irgendwo geschrieben wurden. Also das wird am Ende, ne, kannst du jetzt zum Beispiel hier diese technische Richtlinie Router Da wird garantiert so ein Sicherheitskennzeichen raus, ne? Weil das ist ein eine Anforderungskatalog, An dem muss ich erstmal keiner halten. So und jetzt werden sie halt sagen, okay, die technische Richtlinie Route die wird jetzt zur, Selbstzertifizierungsgrundlage für das IT-Sicherheitskennzeichen nach IT-Sicherheitsgesetz zwei null. Und dann werden die Unternehmen, die die da ihre Lobbyisten in diese Router TR entsandt werden, halt sagen, ah, alles klar, wir haben die Router TR ja genau so verwässert, dass die auf unsere Produkte äh sowieso zutrifft ja? Also werden wir jetzt eine Selbstzertifizierung nach Rota TR beim BSI einreichen und nach wenigen Monaten Bearbeitungszeit. Können wir dann irgendwie was weiß ich einen schönen Aufkleber auf unsere Kartons machen und sagen hier BSI sicheres Ding, ne, so ist das nicht geprüft. Also, ne, und dann werden irgendwann, wenn das, sobald das irgendwelche Fahrt aufnimmt, werden natürlich dann eben auch Hersteller aus anderen Ländern sagen, okay, so ein Brief können wir auch schreiben, und dann potenziell hast du dann halt die Dinger da draufkleben, aber du löst eben nicht das Problem, dass die Masse eben doch einfach das kaufen wird, wo nicht der Aufkleber drauf ist. Und wenn da wenn du, ne, dann hast du ja nichts davon, irgendwie, selbst wenn, selbst wenn dieses Sicherheitskennzeichen, sagen wir mal, eine, Tatsächliche Sicherheitsentsprechung hätte und unabhängig geprüft wäre, ist die ja trotzdem nicht geholfen, solange das neben dem Chinaschrott liegt und alle sich denken, ja, wieso soll denn mein Heizungstermus tatsicher sein? Dann ist schlimmstenfalls ist es halt warm oder kalt, dann stelle ich das wieder richtig und. Genau in diesem Bereich der IT-Sicherheit ist das ja eben nicht der Punkt, weil äh du mitunter gar nicht weißt, dass dein Toaster halt grade in den Cyber Krieg gegen Mexiko zieht, äh und der quasi, ne, zum zum Schaden anderer agiert, statt zu deinem eigenen Schaden. Lassen wir das Tim. Es ist einfach also. Es ist immer so, weißt du, so am Problem vorbei, das ist immer das sind so Sachen, die kann ich nicht haben, Wenn es ein Problem gibt, so am Problem vorbei, da bin ich immer, das mag ich nicht, mag lieber so zu sagen, okay, wo ist das Problem, wo stellen wir's ab? Na ja.
Ach, es hat Spaß gemacht. Ich glaube tatsächlich, ich habe ja jetzt so eher so ein bisschen durch die Stellungnahme gegangen, aber die Stellungnahme hat schon ihre ähm. Hat's schon auch teilweise ihre humoristischen Komponenten und äh ich wollte sie jetzt hier ja wenigstens mal so ein bisschen durchsprechen, weil ja, wie gesagt, ich meine, sind vierundvierzig Seiten, als Erdgeist hier Dirk Engling, äh da erste Mal draufgeschaut hat, hat er halt gesagt, Elin, was willst du jetzt in der Dissertation schreiben? Ähm ja, da da steckt natürlich schon viel Arbeit drin. Und wie gesagt, da kriege ich auch hundertfünfzig Euro für insofern.
Also man kann sagen, so etwas über drei Euro pro Seite. Kriege ich dafür. Aber nee, was ich wirklich schön finde, ist tatsächlich also das habe ich ja auch, glaube ich, schon früher mal gesagt. Ich mache das tatsächlich gerne, weil es hat jetzt halt ein ein, da ist jetzt ein Aufkleber drauf, da ist so ein Stempel drauf, dem Barthausausschuss Sekretariat dann da rein und das ist halt jetzt eine Ausschussdrucksache des deutschen Bundestags. Und das äh heißt, das wird dann eben auch für die Nachwelt, äh entsprechend konserviert und ist referenzierbar als Teil dieses äh dieses Gesetzgebungsprozesses. Ne? Und das finde ich natürlich schon immer ganz ganz äh interessant, wenn du äh. Wenn du wenigstens nachher sagen kannst, hier guck mal, da ist ein Stempel drauf, das, was ich damals schon gesagt habe. Und das war jetzt bei dem bei dem ersten IT-Sicherheitsgesetz, habe ich das natürlich auch klar rausgeholt, ich habe euch das damals gesagt, dass das nichts bringen würde und heute sehen wir, dass es nichts gebracht hat. Und jetzt sage ich euch auch nochmal, warum das nächste Gesetz nichts bringen wird und dann können wir beim dritten IT-Sicherheitsgesetz. Mal gucken, äh ob ich ob ob er da nicht vielleicht einfach die gleichen Empfehlungen vielleicht mal folgen wollt.
Wir haben uns, wir haben uns im CCC ja seit einigen, also eigentlich spätestens seit Snowden Sachen so ein bisschen versucht zu sagen, okay. Auch wenn der Drang stark ist zu sagen, ey, wir haben heute schon immer gesagt, äh haben wir eine Zeit dann so ein bisschen verordnet äh zu sagen, okay. Dann sagen wir es eben noch mal.
Genau, ich ich erzähle das jetzt noch einmal, Tim und dann äh muss es dat aber auch gewesen sein. Aber ja, es ist es also so um nochmal kurz diesen Prozess einzuordnen. Es ist. Eine Katastrophe. Zwei Jahre haben die an dem Gesetz herumgedockt. Dann gab's natürlich diese kurzen Fristen. Alles erzählt, ne, wo wir gesagt haben, wo sie letztendlich achtundzwanzig Stunden, Zeit gegeben haben, um einen neuen Entwurf des IT-Sicherheitsgesetzes zu diskutieren, ne. Da haben wir auch damals, also haben wir im Logbuch darüber gesprochen, haben auch als CCC uns lauthals gegen gewehrt. Dass dann eben auch der letzte Satz hier in meiner Stellungnahme, um ein drittes Gesetz zur Erhöhung der Sicherheit, Informationstechnischer Systeme in angemessener Qualität vorschlagen zu können, sollte das BMI seine Bemühungen zur aktiven Unterdrückung Sachverständigenrats einstellen. Das ist der letzte Satz, ja. Aber ja, so, ich meine, Jetzt nicht sagen, dass man besonderes Vertrauen äh äh in den demokratischen Prozess und seine Ziel, seine zielführende Ausrichtung bekommt bei diesem Gesetz. Bei anderen mag das anders sein. Und ach so, eine Sache sollte man vielleicht auch noch, wenigstens lobend erwähnen, als wir vor ungefähr zwei Jahren mit Frank zum ersten Mal darüber gesprochen haben. Oder ich habe das eine Sendung, die habe ich ja nur mit Frank gemacht. Da ging's dann noch um ganz andere Sachen, ne? Da waren ja sollte ja mehr oder weniger das Darknet verboten werden mit dem Gesetz. Also da sind einige, Klopper sind da auch schon echt. Also da sind schon einige grobe Schnitzer weggeflext worden so. Das muss man dann vielleicht auch nochmal lobend erwähnen und eben sagen, ja, also so ganz ohne ähm. Ohne Erfolg war der der Prozess der gesellschaftlichen Einbindung hier nicht. So, das war äh. Da ist auch schon vorher noch einiges äh Unheil abgewendet worden, dadurch, dass wir uns zu Wort gemeldet haben und eingemischt haben. Das muss man dann vielleicht wenigstens auch nochmal ähm zur zur, ja den muss man eben schon noch auch mal Rechnung tragen.