WEBVTT NOTE Podcast: Logbuch:Netzpolitik Episode: LNP383 Dann sagen wir es eben nochmal Publishing Date: 2021-03-03T19:41:25+01:00 Podcast URL: https://logbuch-netzpolitik.de Episode URL: https://logbuch-netzpolitik.de/lnp383-dann-sagen-wir-es-eben-nochmal 00:00:00.005 --> 00:00:01.818 Guten Morgen Linus. 00:00:01.941 --> 00:00:03.244 Guten Morgen Tim. 00:00:03.006 --> 00:00:06.519 Also meinetwegen können wir mit der Sendung gleich anfangen. 00:00:06.712 --> 00:00:12.306 Äh ich muss noch eben prüfen, ob dem keine überwiegenden Sicherheitsinteressen entgegenstehen. 00:00:33.945 --> 00:00:46.263 Netzpolitik Nummer dreihundertdreiundachtzig vom zweiten März zweitausendundeinundzwanzig live aus der Meta-Ebene, eurem vertrauenswürdigen Anbieter von Podcasts im Internet. 00:00:46.750 --> 00:00:58.251 Ja, mal wieder. Vertrauenswilliger Anbieter. Wir haben jetzt schon zwei zwei kleine Spoilerchen gedroppt, worum's hier in dieser Sendung gehen wird. 00:00:58.017 --> 00:01:06.472 Große Überraschung, nicht das ausgiebig angekündigt hätten, was so äh Anfang dieser Woche für dich anstand. 00:01:06.887 --> 00:01:11.153 Genau, es geht um das Telekommunikationsmodernisierungsgesetz. 00:01:11.622 --> 00:01:17.084 Geht's auch tatsächlich. Aber vorher äh sprechen wir, glaube ich, nochmal ganz kurz ein bisschen Feedback durch, oder? 00:01:16.976 --> 00:01:18.057 Das können wir machen. 00:01:18.202 --> 00:01:27.485 Äh und zwar hatten wir äh ja in der letzten Sendung über die Wasseranlage da in. 00:01:28.507 --> 00:01:33.831 In äh Florida oder wo das war, gesprochen. Und da haben wir von Andre, 00:01:34.084 --> 00:01:49.064 Feedback bekommen, der auch sich so mit so Skada Systemen auseinandersetzt. Er schreibt uns. Also Siemens hat da zum Beispiel mit SIMATIG, PCS sieben, mehr oder minder ein Monopol bei der, 00:01:49.305 --> 00:01:55.608 Industriesteuerung, ja? Dies lief zu meiner Zeit als Chemikant auf Windows zweitausend, 00:01:55.993 --> 00:02:03.918 schon mit chipkarten zum Absichern und so weiter. Die neuen Versionen laufen logischerweise auf neueren Windows-Versionen. 00:02:03.997 --> 00:02:09.014 Hast du mit der Maus bedienbar ein komplettes Schaltbild der Chemieanlage 00:02:09.008 --> 00:02:23.778 Von der Pumpensteuerung bis hin zur Dosiermenge. Die Grenzen der Einstellungen übernimmt die Prozesse Leitelektronik. In dem Fall die Elektronikerinnen. Dieses findet natürlich vorher, 00:02:24.079 --> 00:02:27.882 Absprache mit den Ingenieurinnen und Doktorinnen. 00:02:28.820 --> 00:02:39.071 Äh statt den einfachsten mal so, stellt man dort gar nichts auf feste Werte ein. Dafür gibt es dann Benutzerkonten mit Rechteverwaltung. Sprich. 00:02:40.027 --> 00:02:53.223 Messwagenfahrerin sollte nie die Rechte der PLT haben und so weiter, PLT Prozess Leittechnik und so weiter. Also quasi antwortet im Prinzip auf die Frage, warum konnte da jemand 00:02:53.133 --> 00:02:54.491 den Wert auf das 00:02:54.371 --> 00:03:05.301 tausendfache Stelle, auf der hundertzehnfach stellen. Auch sollten Alarme konfiguriert sein, damit im Falle einer Fehldosierung oder eines Fehlers im Allgemeinen ziemlich zügig der Leitstand informiert wird 00:03:05.265 --> 00:03:17.782 Das Feature Lizenzabhängig an PCS sieben ist die App-Steuerung, also mit VPN und Userberechtigung, kann der kleine Chemikant vom Donnerbalken trotzdem auf das System einwirken 00:03:17.698 --> 00:03:25.816 Was da in den USA falsch lief, keine Ahnung, was die benutzen, ebenso keine Ahnung. Ich denke mir aber mal, 00:03:25.798 --> 00:03:31.525 am falschen Ende wird immer gespart und nicht über Sicherheit und Co nachgedacht. 00:03:32.390 --> 00:03:45.952 Wer konnte auch damit vor zwanzig Jahren rechnen, dass die Geräte wirklich richtig online gehen, wie vom Hersteller, vorgeschlagen? Übrigens, der Shut von Stucksnett setzte genau auf die Software, 00:03:46.157 --> 00:03:52.863 Siematik, PCS sieben Stuckset war dieser, ja, äh, Cyber-Angriff, Trojaner, 00:03:53.194 --> 00:04:01.504 äh gegen die iranischen, Uran Anreicherungsanlagen, wo dort die Zentrifugensteuerung. 00:04:02.514 --> 00:04:09.772 Ein bisschen aus dem Tritt gebracht wurde und zwar nur so wenig, dass die Anreicherung eben nicht auf das Kritische, 00:04:10.073 --> 00:04:16.484 Also die liefen so so ungenau, dass die Anreicherung nicht zu einem kritischen Niveau gelingen konnte. 00:04:18.011 --> 00:04:28.226 Ja, also äh sehr schön mit anderen Worten, äh die Software bildet das ab, was die Geräte können und nicht das, was sie sollen, hätte man sich halt mehr Gedanken drüber machen müssen. 00:04:29.392 --> 00:04:31.790 Mit anderen Worten war einfach scheiße konfiguriert. 00:04:32.331 --> 00:04:45.731 Ja, also ja, wahrscheinlich, ne, wenn wenn gefeuerter Mitarbeiter dir das trinken, was er vergiften kann bei deiner Anlage, im Zweifelsfall, scheiße konfiguriert. So, das ist richtig, ja. 00:04:43.652 --> 00:04:50.886 Hast du schon mal den Begriff Chemikant gehört? Das äh schlug bei mir jetzt grade frisch auf. 00:04:51.398 --> 00:04:56.805 Habe ich schon mal gehört, aber ich weiß nicht, was der Unterschied, ich glaube, ein Chemikant ist äh. 00:04:56.782 --> 00:05:00.212 Verfahrenstechniker nennt man das. 00:05:01.367 --> 00:05:08.805 Ja. Durch für Vorbereitung, Durchführung und Kontrolle von Produktionsprozessen, bei der Herstellung von chemischen Produkten. 00:05:08.764 --> 00:05:13.006 Ja. Der lustige Chemikant. 00:05:12.706 --> 00:05:24.681 Der Beruf des Chemikanten wird oft in Schichtarbeit ausgeübt. Schulische Fortbildungen Deutschland, Schüler, aha, ja Chemiekant, alles klar, gibt es. 00:05:24.399 --> 00:05:25.559 Wieder was gelernt. 00:05:27.067 --> 00:05:35.402 Der lustige kleine Chemikant. So, das wäre ein schöner Name für so ein äh Kosmos, Chemiekasten oder so. Gibt's Kosmos noch? 00:05:35.426 --> 00:05:45.701 Ja, ich glaube schon. Ja, kannst du immer noch kaufen. Der lustige Chemikant. Und auch der fahrende Chemikant. Je nachdem. 00:05:45.491 --> 00:05:50.917 Zauberzauberkiste, Kosmoskiste. Hatte ich auch. Kosmos Kisten war geil. 00:05:50.689 --> 00:05:52.557 Ja, hat sich das vorangebracht. 00:05:52.882 --> 00:06:00.592 Äh jein. Also ich habe natürlich, ich hatte Elektronik und äh wenn dann natürlich irgendwie auf Seite drei steht, 00:06:00.820 --> 00:06:15.332 nicht die Batterie dranhalten, dann probierst du natürlich aus, warum nicht? Und ja, dann waren halt nach kürzester Zeit der größere Teil der relevanten Bauteile äh in diesem Kasten kaputt. Insofern habe ich da. 00:06:15.885 --> 00:06:20.079 Konnte ich dann am Ende das Transistor Radio nicht mehr bauen. Aber sonst klar. 00:06:20.266 --> 00:06:33.245 Weil kann mich nicht mehr so richtig dran. Äh ich glaube, ich habe auch irgendwann mal irgendwas gehabt, aber es hat nicht äh gereicht, um mich für die Tätigkeit äh eines Chemikers oder eines Chemikanten oder sonst irgendwas ähm zu begeistern. 00:06:33.323 --> 00:06:35.414 Naja, zwei linke Hände. 00:06:35.114 --> 00:06:45.299 Also ich hatte ein Mikroskop, ich hatte ein Mikroskop, ein Kosmoskasten und was ich ganz viel gemacht habe war Lego-Technik. 00:06:45.522 --> 00:06:54.469 Ist ja eh sowieso das Geilste auch, glaube ich, heute noch. Äh wobei ja mein Storms auch ganz geil ist. Lego Minds Toms. 00:06:54.860 --> 00:07:03.260 Das gab's bei uns alles noch nicht in der zu meiner Zeit, da war alles noch äh Standard-Achterblock und Viererblock und damit musste irgendwie alles gebaut werden. 00:07:03.164 --> 00:07:04.943 Echt? Gab kein Lego-Technik? 00:07:04.829 --> 00:07:15.801 Nee, es gab diesen ganzen äh merkwürdigen Zusatzkram, Spezialtechnikkram, gab's alles überhaupt nicht. Da war Lego war einfach nur Lego. Das war quasi wie Minecrafts. 00:07:15.976 --> 00:07:17.093 Ohne. 00:07:17.748 --> 00:07:20.188 Sind die Vampire dabei Minecraft oder was? 00:07:19.888 --> 00:07:33.161 Ist quasi der Strom, mit dem du da so schalten kannst und so weiter. Aber das ist äh nicht meine Jugend, meine Jugend war einfach Vierer und Achter. 00:07:31.022 --> 00:07:40.985 Aber du hast ja auch Giftspinnen gemacht oder was so ein Schweine geschlachtet, oder? Weil du sagst, war wie Minecraft. Ich. 00:07:37.176 --> 00:07:50.143 Das wo wir jetzt nicht drüber reden. Ja, ich musste noch zur richtigen Landwirtschaftspraktiker und sowas irgendwie. Da haben mich Pferde gebissen, sone Sachen sind mir widerfahren. 00:07:50.714 --> 00:07:54.349 Und nachts musste der kleine Tim sich in seiner Legohöhle verstecken. 00:07:54.049 --> 00:08:00.911 Ja, das habe ich aber auch gemacht, aber ich hatte viel Lego. Weil das Tolle an Lego ist ja, also Lego wird geil mit viel. 00:08:01.759 --> 00:08:16.397 Das ist einfach die die also an der Stelle macht Quantität wirklich den Unterschied, weil dann kannst du's einfach krass bauen, ja, es muss einfach viel sein. Und ich hatte, ich hatte wirklich auch für damalige Verhältnisse enorm viel Lego. 00:08:16.914 --> 00:08:19.137 Das war toll damals. 00:08:18.887 --> 00:08:20.897 Hattest du mehr Viere oder mehr Achter? 00:08:20.946 --> 00:08:25.650 Ich hatte, glaube ich, definitiv mehr Achter und Balken natürlich. Klar, Balken. 00:08:26.120 --> 00:08:31.293 Ja, ich habe ich habe ja auch äh heute noch Legoo Objekte. 00:08:31.960 --> 00:08:43.017 Sehr stolz darauf, dass ich den den Mini Cooper, den VW Käfer und den VW äh den VW Bully habe. 00:08:42.741 --> 00:08:48.671 Ja, ich kann diesen ganzen Spezialego nichts abgewinnen, weil da, sondern. 00:08:47.362 --> 00:08:58.983 Spezial Lego. Die sind ja die sind ja das ist ja das Geile, also das, wie heißt das, das ist ja nicht, also das ist nicht Lego-Technik, sondern sie sind größtenteils wirklich mit so Standard-Legosteinen gebaut. 00:08:59.530 --> 00:09:10.959 Musst du dir mal angucken. Gib mal ein, warte mal, Lego Bully, BULLI, ja? Da müsste sie den, der Bully Camper. 00:09:11.644 --> 00:09:18.308 Lego-Creator, genau, Lego-Creator. Ja, Moment, den gibt's in klein und in groß, der große, weiß-rote. Siehst du den? 00:09:19.042 --> 00:09:24.960 So und der ist ja größtenteils wirklich mit mit Standard Legosteinen. Siehst du? 00:09:26.144 --> 00:09:31.726 Geiles Teil. Und in der in dem Ding gibt's eben auch einen Käfer, der ist blau. 00:09:32.820 --> 00:09:38.847 Der ist auch sehr schick mit einem äh jetzt wollte ich Skateboard sagen, mit so einem Surfboard oben drauf, der blaue Käfer. 00:09:38.547 --> 00:09:45.625 Ja, das hat ja schon so flache Oberflächen und diese ganzen, diese ganzen glatten, schrägen und abgerundeten, schrägen und so weiter, das ist ja. 00:09:45.325 --> 00:09:54.645 Ja, aber guck mal ins Detail, das sind das sind die, das sind die Steinchen, mit denen du früher auf deine Legohäuser Dächer gebaut hast. Doch, doch. 00:09:52.716 --> 00:09:56.039 Nein, die sehen ganz anders aus. 00:09:55.739 --> 00:10:02.937 Du meinst, ich weiß, was du meinst, das ist alles neumodischer Scheiß, aber dafür ist es noch relativ äh oldschool. 00:10:02.956 --> 00:10:06.939 Stoßstange ist Special. Diese ganze Küchenausstattung auch. 00:10:06.657 --> 00:10:11.813 Guck dir mal den da gibt's halt die Mini Cooper, der ist auch sehr schick. Und ähm. 00:10:12.510 --> 00:10:17.990 Wenn du das nämlich jetzt mal vergleichst mit was du heute, wenn du dir ein Lego Star Wars kaufst, 00:10:18.387 --> 00:10:27.881 Da kriegste, also das, da kriegst du ja das äh gut, da gibt's jetzt auch noch andere Beispiele, aber äh so modernes Lego, da sind nur noch Special Parts dabei. 00:10:27.581 --> 00:10:29.215 Ja, es ist furchtbar. Es. 00:10:28.915 --> 00:10:36.143 Das Hansekop, die haben ihr eigenes Konzept einfach so kaputt gemacht, dass sie das, also die haben sich einfach so kannibalisiert 00:10:36.126 --> 00:10:45.962 äh fürchterlich. Und dann sind natürlich die Leute, stehen natürlich dann auf die, wenn es so halbwegs noch die Old School Teile sind. Das sind dann auf einmal die. 00:10:46.786 --> 00:10:52.518 Ja, die sehr teuren Legos, ne? Aber wenn du irgendwie so ein so ein Waldwald und Wiesen-Lego kaufst, 00:10:52.747 --> 00:11:05.774 ja das ist eigentlich in der von der ist wie ein Überraschungsei, Spezialteile, da ist dann wirklich einfach kannst du wahrscheinlich auch bei Lego nachbestellen von dem Starfighter der linke Flügel, was überhaupt kein, 00:11:06.129 --> 00:11:14.638 also immer weniger Standard-Lego drin ist. Und da sind diese hier Creator-Dinger noch wirklich so die, die, die Oldschool Varianten gewinnen. 00:11:14.338 --> 00:11:22.011 Ja, aber Lego muss sich einfach, das ist einfach, ist das einfach nicht mehr die die reine Lehre. Wie gesagt, Vierer und Achter 00:11:21.975 --> 00:11:32.058 wirklich mal so halbwegs rund zu kriegen und wenn dir das nicht aufgelöst genug ist, dann musst du einfach deinen Maßstab vergrößern und dann brauchst du größere. 00:11:31.878 --> 00:11:40.573 Bodenplatten und damit muss gearbeitet werden, dann ist es halt einfach scheiße groß, dann ist es auch ordentlich rund, da muss man irgendwie auch nichts abflachen und glattmachen und so weiter. 00:11:40.399 --> 00:11:51.744 Aber na ja, das ist halt auch echt das Problem, wenn du nicht genug so von von dem ganzen Standardkram hast, also ich äh war vor ein paar Tagen in der Situation, dass ich mal ein Münzzähler in Lego bauen musste, 00:11:52.057 --> 00:11:58.990 Und ähm ja, da fehlte mir dann irgendwann so ein bisschen einfach das das Rohmaterial, um das irgendwie zu perfektionieren. 00:11:59.285 --> 00:12:01.526 Münzzähler in Lego gebaut. 00:12:02.861 --> 00:12:12.487 Weil der Vorschlag war, das in in Pappe zu bauen, weil YouTube voll mit solchen Pappe Videos ist, mit wo die Leute sich aus Papa irgendwie allen möglichen Scheiß bauen. Habe ich gesagt, da baut man besser in Lego. 00:12:13.665 --> 00:12:19.175 Okay, aber jetzt mit mit sagen wir mal neunziger, zweitausender Lego, nicht mit deinen mit deinen Vierern oder. 00:12:18.875 --> 00:12:28.531 Das, was, ja, ich hatte leider, ich habe natürlich meine meine riesigen Vorräte von damals irgendwann dann auch mal äh verscherbelt oder verschenkt oder was weiß ich. Auf jeden Fall bin ich fünfmal mit umgezogen 00:12:28.333 --> 00:12:40.603 Und äh irgendwie ist es mir nicht gelungen, äh in den letzten Jahren für die Kids, die dieselben Mengen ähm wieder neu aufzubauen. Weil ja irgendwie die sich ja auch mehr für diese ganze Computerscheiße interessiert. Ich weiß gar nicht, wo sie das her haben. 00:12:42.473 --> 00:12:52.603 Aber mein Sohn ist gut unterwegs in Minecraft, das ist ja irgendwie sein Lego und da äh entstehen auch bemerkenswerte Dinge, kann ich dir sagen. Bemerkenswerte. 00:12:52.303 --> 00:12:53.671 Hat er dir auch selber gebaut. 00:12:53.421 --> 00:12:54.430 Ja ja. 00:12:55.512 --> 00:13:04.261 Nee, nee, nee, nein, da wird noch Hand äh jeder Block Hand gesetzt und da entstehen grade richtige Computer. 00:13:04.460 --> 00:13:12.614 Ich glaube, ich mache ich mache jetzt äh äh Affiliate Links, dass die Leute sich die Lego-Autos kaufen können. Mache ich. Ja, da kriege ich wieder kriege ich. 00:13:13.137 --> 00:13:15.706 Dir geht's da nur ums Geld, Linus? 00:13:15.673 --> 00:13:17.547 Mir geht's nur ums Lego. 00:13:17.297 --> 00:13:25.239 Da musst du auf deine Wunschliste packen, dann schicken dir die Leute künftig kein Geld mehr, sondern nur noch Lego. 00:13:25.275 --> 00:13:27.202 Du, Tim, was war jetzt, wo ich die her habe? 00:13:26.952 --> 00:13:29.103 Was jetzt das Geld. 00:13:28.853 --> 00:13:33.423 Tatsächlich, alle drei. Nee, alle drei Autos sind von der Wunschliste. Ja. 00:13:32.035 --> 00:13:41.011 Echt? Wow, toll. Da sitzt so wirklich so abends da, erzählst mir mal die ganze Woche, hast keine Zeit, aber dann sitzt du da und baust deinen dein. 00:13:40.761 --> 00:13:42.340 Brumm brumm. 00:13:41.417 --> 00:13:47.689 Zusammen. Super. Und diese Pandemie aus uns macht. 00:13:47.389 --> 00:13:55.757 Nee, die habe ich schon, die sind äh schon viel länger, die habe ich schon viel länger als Pande, die sind alle präpademisch, habe ich mich schon hingesetzt und Lego-Autos gebaut. 00:13:55.513 --> 00:13:56.684 Okay, habe ich ja beruhigt. 00:13:56.434 --> 00:13:58.271 Podcast dabei gehört und so. 00:13:59.509 --> 00:14:07.116 Sehr schön. Okay, kommen wir äh kommen wir nach unserem, in unserer werbefreien Sendung jetzt zum Thema. 00:14:06.858 --> 00:14:09.147 Stimmt, da war noch was. 00:14:08.847 --> 00:14:14.387 Äh widmen wir uns. Okay, 00:14:14.778 --> 00:14:23.088 So, also wir haben äh in dieser Woche oder in dieser Woche ist ja Dienstag, ja? Und gestern waren zwei, 00:14:23.245 --> 00:14:33.033 Anhörungen des Deutschen Bundestages bei den der Chaos Computerclub Stellungnahmen eingereicht hat. 00:14:33.743 --> 00:14:35.767 Und zwar einmal, dass. 00:14:36.711 --> 00:14:49.846 Gesetz zur Modernisierung der Telekommunikation, also das TK Mock. Da war die Anhörung im Ausschuss für Wirtschaft und Energie. Da ist der Frank hingegangen, Frank Rieger. 00:14:50.586 --> 00:14:56.535 Und dann war noch die Anhörung zum IT-Sicherheitsgesetz, die äh ich besucht habe. Ähm, 00:14:56.733 --> 00:15:07.441 CK Mock ist, ich da ist ein Monster von vierhundert Seiten und äh die Anhörung war auch vier Stunden und die haben die aber offenbar so gesplittet, dass quasi. 00:15:07.982 --> 00:15:15.667 Frank, wenn ich das richtig in Erinnerung habe, nur nur zwei Stunden dran teilnehmen musste, als dann sein Teil dran war, weil das eben so ein absolutes Mammut. 00:15:16.581 --> 00:15:18.690 Ding ist. Und da, 00:15:18.732 --> 00:15:28.539 ist es im Prinzip äh geht es in dem Teil mit dem Frank sich da behandelt hat äh äh auseinandergesetzt hat, geht's im Prinzip um 00:15:28.455 --> 00:15:34.854 Netzwerkausbau, ja? Also was muss passieren, ne? Wie wird äh, 00:15:35.149 --> 00:15:45.803 wie wie kann man vielleicht noch darauf hinwirken, dass auch Deutschland ein modernes Kommunikationsnetz bekommt, ja? Es gibt da ja gerade, geht auch, glaube ich, so ein bisschen rund, diese äh 00:15:45.695 --> 00:15:54.786 ähm ich will immer Neo-Magazin, aber ZDF-Magazin Royale Sendung, wo Böhmermann auch nochmal erklärt hat, warum in Deutschland eben, 00:15:54.943 --> 00:16:02.953 es kein kein Glasfaser gibt, sondern Kupfer, ne, dass er Helmut Schmidt hat ja gesagt, ey okay, könnte man eigentlich mal machen 00:16:02.887 --> 00:16:11.942 und dann hat äh Helmut Kohl gesagt, äh nee, der Leok hier, ich will das nicht, lass uns mal lieber äh Koaxialkabel legen, das ist günstiger für Kabelfernsehen, ne? 00:16:11.642 --> 00:16:18.721 Das war auch ganz passend, dass das der Telekommunikationsminister Schwarz-Schilling, der Postminister, ja auch eine Kabelfabrik hatte. 00:16:19.238 --> 00:16:21.016 Das fügt sich alles, ne? 00:16:20.716 --> 00:16:23.756 Ja, also das hat dann irgendwie alles gut gepasst. 00:16:23.811 --> 00:16:30.961 Da biste froh, dass du so genau die richtigen Leute an Ort und Stelle hast, ja? 00:16:30.661 --> 00:16:37.361 Ja, aber das finde ich sehr schön, dass das das mal so rausgearbeitet hat als ähm als die Ursünde, 00:16:37.559 --> 00:16:50.100 Ja, also ich wusste, kannte das schon vorher, diesen Umstand, aber es äh ist ein bisschen in Vergessenheit geraten, dass wir tatsächlich in den, in den, in den ja, Ende achtziger Mitte achtziger eigentlich schon, 00:16:50.184 --> 00:16:54.439 falsch abgebogen sind und seitdem immer noch durch den Waldweg fahren. 00:16:56.254 --> 00:17:01.878 Einfach, das findet einfach keiner raus aus dem Wald. Es ist einfach zu viele Bäume auch. 00:17:02.371 --> 00:17:08.452 Vor allem fand ich spannend diesen TV-Spot damit äh mit der Datenautobahn. Also ich kannte den Begriff, 00:17:08.825 --> 00:17:19.496 und ne, man hat immer drüber gelacht, aber ich kannte nicht diesen Werbespot äh mit dem was hat der nochmal gesagt? Kleine Arschloch mit Hut und dieses Kind da. 00:17:19.196 --> 00:17:22.122 Das hatte ich tatsächlich ein bisschen anders in Erinnerung 00:17:21.960 --> 00:17:35.144 Also ich äh für mich war eigentlich immer Helmut Kohl selber der Erfinder dieses Begriffs, weil oder kam das nicht sogar da irgendwie drin vor, dass er da irgendwie gefragt wurde? Doch, da war doch sogar noch so ein Clip, ne, wo er so gefragt wurde und, 00:17:35.451 --> 00:17:39.993 Nach der Daten nach Datenautobahn gefragt wurde. 00:17:40.823 --> 00:17:51.717 Und er äh und und er einfach nur zur Autobahn geantwortet hat oder irgendwie sowas, keine Ahnung. Auf jeden Fall war das damals so der Begriff und ich finde ja nach wie vor, man lacht da ja gerne drüber, ne, aber ich. 00:17:51.417 --> 00:17:52.688 Das ist nicht zum Lachen. 00:17:53.246 --> 00:17:55.833 Jahre Deutschland regiert. Äh. 00:17:55.533 --> 00:18:04.053 Den Begriff Datenautobahn, über den lacht man ja äh ungern, aber hätten sie mal hätten sie mal die Idee der Autobahn, 00:18:04.300 --> 00:18:09.955 auch wirklich ins Internet übertragen, dann wäre ja eigentlich alles gut gewesen. 00:18:10.586 --> 00:18:18.163 Nur das einzige, was sie daraus abgeleitet hat, ja, da kann ich so rumfahren, wie ich will, irgendwie und so schnell wie ich will. So, das das war so ein bisschen ihr Traum. 00:18:18.434 --> 00:18:21.912 Aber nicht zu verstehen, dass das halt Infrastruktur für alle ist. 00:18:21.612 --> 00:18:35.175 Genau, das ist mal so eine so eine grundsozialisierte Infrastruktur ist, die man einfach mal ausrollt und wo die Zugänge frei sind und jeder darf auf jeder Ausfahrt fahren und von jeder Ausfahrt auch wieder runter. Es gibt keine Privatausfahrten und so und ähm ja. 00:18:35.758 --> 00:18:44.879 Leider hat es nicht so ganz verfangen. Und ich find's gut, dass man über sowas diskutiert, aber ehrlich gesagt in den letzten Tagen habe ich auch nochmal so ein bisschen drüber nachgedacht. 00:18:45.402 --> 00:18:51.465 Ich glaube wirklich und das sage ich als Optimist, ne. Ah, ich glaube, wir kriegen das nicht mehr hin. 00:18:51.892 --> 00:19:05.274 Ich glaube, es ist einfach vorbei. Dieses Land kriegt es nicht mehr auf die Kette. Wir werden diesen letzten Platz niemals aufgeben. Wir kriegen's nicht mehr gedreht. Ist einfach vorbei. 00:19:08.874 --> 00:19:13.615 Ich warte jetzt seit dreißig Jahren drauf. Es kommt einfach nicht. Es ist schlimm. 00:19:13.988 --> 00:19:22.081 Oh man, ja, aber damit hast du jetzt eigentlich auch die ähm die Stellungnahme äh schon ganz gut zusammengefasst. 00:19:23.338 --> 00:19:25.957 Also, ne, es geht darum, 00:19:26.216 --> 00:19:39.165 in dem TK Mock oder in dem Teil, der mit dem Frank sich auseinandergesetzt hat, geht's eben genauer um die um den Breitbandausbau, ja, wo es also geht so, okay, Deutschland soll eine Datenautobahn bekommen, ja? Und ähm. 00:19:40.500 --> 00:19:46.454 Jetzt ist es aber in diesem Gesetz so definiert, dass es quasi einfach nicht fest ist. Da ist nicht 00:19:46.358 --> 00:19:51.592 nichts klar definiert, wo du jetzt mal eine Anforderung hast, wo gesagt wird, okay, es gibt eine 00:19:51.568 --> 00:20:04.932 breite und die kannst du notfalls auch einklagen, ja? Und da gibt's eine also irgendetwas, was dafür sorgen würde, dass jemand auch tatsächlich einen einen Rechtsanspruch gewissermaßen hat, ja? Ähm. 00:20:05.618 --> 00:20:10.887 Wäre halt äh mal schön gewesen, ne, aber nein, es 00:20:10.785 --> 00:20:23.110 bleibt an den entscheidenden Stellen eben zahllos und äh schafft zahnlos und und schafft vor allem auch die Hindernisse nicht aus dem Weg, ne. Es gibt zum Beispiel immer noch keine Mindestbandbreite, 00:20:23.374 --> 00:20:29.028 und auch keine Sanktionen, wenn du die nicht erfüllst. Oder unter erfüllst. Ende. 00:20:29.582 --> 00:20:35.091 So ja dann wird's schön. Ne dann gibt's natürlich auch. 00:20:35.897 --> 00:20:44.454 Das, was man ja sieht, ist ja, also es gibt ja diese Förderungen, ne, für kommunale Ausbauprojekte, die niemand abgreift, ne. Da wurde ja gesagt, hier gibt's Geld. 00:20:45.542 --> 00:20:56.165 Und dann haben die gesagt, boah Alter, das ist aber ein kompliziertes, kompliziertes Fax, was wir da schicken müssen. Lasst uns das mal lieber, äh lass uns versuchen, das nicht zu machen, ne? Und ähm. 00:20:56.629 --> 00:21:09.626 Ja, es gibt jetzt auch zum Beispiel keine Möglichkeit für Mieter äh zum Beispiel eine schwache Anbindung als Mietminderungsgrund anzugeben, ne? Oder irgendwie das Planungsverfahren zu beschleunigen, für den Ausbau oder so. Und 00:21:09.524 --> 00:21:16.206 gibt's halt einfach alles gar nix so, ne. Also es wird gesagt, ja, das wird jetzt alles toll, aber das steht halt nicht drin, dass es jemand kann 00:21:16.110 --> 00:21:22.497 Also ne Frank, also Frank hat außerdem noch so symmetrische Bandbreiten wäre natürlich auch mal super, ne 00:21:22.486 --> 00:21:27.935 vor allem gerade wenn du Glasfaser ausbaust, dann kannst du es auch wirklich einfach mal machen, ne? Und, 00:21:28.200 --> 00:21:38.379 Damit kannst du ja dann eben auch, ne, wie sagt man so schön, äh den den ländlichen Raum attraktiver machen. Ich habe heute mit einer äh Freundin telefoniert, die, 00:21:38.662 --> 00:21:46.041 ähm kennst du auch, die ein Grundstück äh etwas außerhalb von Berlin hat, in Brandenburg, so Stunde ungefähr raus. 00:21:47.171 --> 00:21:52.537 Und nachdem sie quasi dort sich niedergelassen haben, kam eine Woche später der Brief, 00:21:52.747 --> 00:22:03.936 Telekom so, ja, wir legen hier Glas hin, ne, wo wir auch gesagt haben, so okay, da hat sich ja schon gelohnt, ne, also wenn wenn du das Ding gekauft hast und dann wird da Gras hingelegt, weißt du halt so, geil, ich bin, 00:22:04.080 --> 00:22:14.416 also so boah was für ein Volltreffer, wo ich auch sachte, boah geil, kann man toll, ne? Toll, ihr werdet Glasfaser haben, ne. Ich meine äh wie du ja schon sagtest, ich ich komme ja aus dem Opal-Ghetto. 00:22:15.846 --> 00:22:22.660 Jackpot ne ich ich kenne noch Zeiten da gab's noch nicht mal DSL. 00:22:23.892 --> 00:22:26.626 Okay, aber okay. Lange, langer Rede, kurzer Sinn. 00:22:27.408 --> 00:22:37.106 Irgendwelche äh dass da mal gesagt wird, okay, es muss hier mal ordentliche, also und eine Qualität einfach mal, dass man sagt, okay, Bandbreite, Latenz, Paketverlustrad oder irgendwelche, 00:22:37.268 --> 00:22:40.062 äh äh Qualitätsmerkmale, 00:22:40.135 --> 00:22:52.008 hier einfach nicht, nicht benannt. Und natürlich wäre eben auch eine wichtige Forderung gewesen, dass man die lokalen und kommunalen Ausbauprojekte stärkt, damit eben. 00:22:52.820 --> 00:23:01.016 Leute sich selber zusammenrotten können und wie du eben auch schon so oft erklärt hast und so oft gefordert hast, dass du jetzt sagst, okay. 00:23:01.665 --> 00:23:11.135 Dann dann schaffen wir die Infrastruktur und wer mir am Ende die Bits dadrüber liefert, das kann ich ja dann noch mal autonom verhandeln, ne? Auch das ist hier. 00:23:11.652 --> 00:23:14.783 Nicht wirklich gegeben. 00:23:16.009 --> 00:23:24.866 Rest der Welt hat Gigabit-Anschlüsse einfach auf Masten in den Masten, die Glasfaser mit reingeworfen, innerhalb von Tagen. Und in Deutschland äh, 00:23:25.251 --> 00:23:30.785 sind die Tiefer Tiefbaukapazitäten ausgeschöpft und ja, kennen wir ja alles, ne? 00:23:31.110 --> 00:23:39.822 Oh die Glasfaser, die haben wir jetzt aber vergessen mit reinzuwerfen, als der Bagger da einmal durchgefahren ist. Und jetzt können wir den schönen Asphalt ja nicht nur mal kaputt machen, ne. 00:23:41.253 --> 00:23:55.993 Rohre, Leute, Rohre baut einfach leere Rohre rein, das reicht schon. Einfach nur leere Rohre und dann könnt ihr alles da reinlegen, was ihr später mal braucht. So, aber das ist wohl auch schon zu kompliziert. 00:23:56.973 --> 00:24:06.701 Und dann natürlich, was auch spannend ist, äh ich zitiere da jetzt so aus der äh Stellungnahme, die absehbare Verfügbarkeit von schnellen Satellitenverbindungen mit niedriger, 00:24:06.822 --> 00:24:21.682 niedrige Latenz zu niedrigen Kosten, wie etwas Darling, sollte im Gesetz berücksichtigt werden. Anbieter solcher Dienste in Deutschland müssen denselben Verpflichtungen für Bandbreite, Kundenservice, Beschwerdemanagement, Datenschutz und Vertraulichkeit unterliegen. Gerade für die Versorgung geografisch, 00:24:21.790 --> 00:24:28.935 gelegener Regionen, bei denen eine Glasfaserbindung nicht zeitnah realisierbar oder extrem äh unökonomisch ist, 00:24:29.001 --> 00:24:34.024 bieten die neuen Satellitendienste eine sinnvolle Ergänzung zur Glasfaserinfrastruktur, die entsprechende 00:24:33.929 --> 00:24:44.480 Regulierung sollte jedoch einerseits gleiche Bedingungen für alle Anbieter sicherstellen und andererseits ihre Realisierung nicht unnötig behindern. Ist ja ohnehin so, muss man jetzt ganz einfach sagen, so, 00:24:46.013 --> 00:24:57.646 wenn du jetzt in Deutschland äh eine eine entlegene Region wie ein Vorort von Berlin zum Beispiel mit Internet erschließen möchtest, ist es im Zweifelsfall einfacher, Satelliten ins All zu schießen, 00:24:57.893 --> 00:25:08.649 als die die Erde aufzureißen und eine Glasfaser hinzulegen, ne. Das ist und oh je, oh je, oh je. Naja, also da gibt's wenig Hoffnung. 00:25:09.953 --> 00:25:19.098 Und äh ja, Stellungnahme des CCC haben wir verlinkt und die Aufzeichnung der Sachverständigenanhörung ähm haben wir dann auch verlinkt. Da hat sich dann, 00:25:19.441 --> 00:25:25.798 Frank drum gekümmert. Im Prinzip 'ne kleine vom Umfang her 'ne kleine Stellungnahme. 00:25:26.310 --> 00:25:34.079 Vier Seiten oder so, weil es äh ich gucke mal, wie viele Seiten sind das? Ja, vier Seiten, weil es ähm. 00:25:34.704 --> 00:25:39.108 Alles dazu gesagt, dass. 00:25:36.537 --> 00:25:41.176 Genau. Muss nur noch mal wieder, muss nur nochmal wiederholt werden. 00:25:40.882 --> 00:25:43.892 Das ist einfach. 00:25:45.106 --> 00:25:56.925 Genau und dann gab es quasi eine Stunde später war dann die Anhörung, sie waren zeitversetzt, aber zeitgleich zeitversetzt war die Anhörung im Innenausschuss zum. 00:25:57.455 --> 00:25:58.428 Gesetz 00:25:58.356 --> 00:26:09.280 zum Entwurf eines zweiten Gesetzes zur Erhöhung der Informationssicherheit informationstechnischer Systeme, dem sogenannten IT-Sicherheitsgesetz zwei Punkt null 00:26:09.256 --> 00:26:21.959 Und ich war ja auch schon zum ersten IT-Sicherheitsgesetz als Sachverständiger im Innenausschuss des Deutschen Bundestags und hat mich sehr gefreut, dass ich jetzt noch einmal dort eingeladen wurde. Das habe ich in der letzten Sendung auch schon. 00:26:22.957 --> 00:26:24.801 Erzählt, wie das da gelaufen ist. 00:26:26.130 --> 00:26:33.178 Und äh ja, die meisten haben ja schon äh oder einige haben mich ja auf Twitter schon angesprochen, ich habe mich dann am Ende dazu entschieden. 00:26:34.176 --> 00:26:41.717 Vor Ort aufzutreten und in den Bundestag zu gehen, in das Paul-Löbe-Haus. Erstens, weil ich da lange nicht mehr war, 00:26:42.162 --> 00:26:49.306 und äh zweitens, weil ich mir dachte, ah, remote Teilnahme und so, wer weiß, ob die das hinkriegen, 00:26:49.451 --> 00:27:02.040 So, ne? Äh i bin da nicht, dass ich denen das nicht zutraue, aber man hat ja schon Pferde kotzen sehen, direkt vor der Apotheke und so, ne? Und ich wollte es ja auch nicht beschreien und dann saß ich da pünktlich um sechzehn Uhr. 00:27:02.707 --> 00:27:11.474 Oder um vierzehn Uhr war das in diesem, in dem Raum mit den mit den mit den Parlamentarierinnen, die es 00:27:11.450 --> 00:27:25.139 die dort waren, also einige hatten sich auch remote zuschalten lassen, zum Beispiel äh Anke Domscheid Berg, die ist ja auch im Innenausschuss. Die wohnt ja erstens weit weg und die hat ja auch schon, ne, sich auf diese, also sie hat ja mal diese, 00:27:25.403 --> 00:27:27.692 Corona-Warnung und so. 00:27:28.588 --> 00:27:37.758 Aus der äh quasi aus ihrer Pendelei von außerhalb von Berlin äh insofern hat die sich äh remote anbinden äh eingewählt, 00:27:37.992 --> 00:27:43.893 und auch äh Tabea Rüßner, die Konstantin von Notz äh vertreten hat, hat sich Remote eingewählt und, 00:27:44.146 --> 00:27:49.235 alle anderen Sachverständigen ähm außer Sebastian Ar. 00:27:49.992 --> 00:27:55.232 Und äh ich waren auch Remote angebunden. So und äh. 00:27:56.140 --> 00:28:06.042 Insofern war natürlich auch klar, wenn du jetzt so viel darauf setzt, ne, dass das dann in dem Fall nicht funktioniert. Ja, die anderen Sachverständigen übrigens waren, 00:28:06.349 --> 00:28:07.316 Manuel, 00:28:07.479 --> 00:28:22.375 Ich sehe gerade auf Bundestag DE falsch geschrieben. Manuel Arthof steht hier auf Bundestag DE. Es war aber Manuel Attuck, der hier auch schon mal äh in der Sendung war mit der. Dann der Staatsrechter Professor Klaus 00:28:22.285 --> 00:28:26.245 Gerds, dann noch äh Sven Herpig von der, 00:28:26.588 --> 00:28:36.003 Stiftung neue Verantwortung und Martin Schallbruch, der hier aufgeführt wird vom Digital Society Institut, 00:28:36.256 --> 00:28:44.146 der europäischen Hochschule für Management und Technologie in Berlin. Der war aber mal beim BSI, wenn ich mich nicht täusche, hätten sie eigentlich auch schreiben können, dass der da. 00:28:44.615 --> 00:28:50.648 Zu seiner alten Arbeitsstelle mehr oder weniger Bezug nimmt. Genau, das waren die Sachverständigen. 00:28:51.766 --> 00:29:02.551 Und äh genau. Hat natürlich erstmal nicht funktioniert. So, dann sitzt du da und dann hast du erstmal so eine so, ich weiß nicht, zehn Minuten oder so, war das dann so. Hallo, hören sie uns? Ja, wir hören sie. 00:29:08.639 --> 00:29:12.256 War natürlich schon war war klar. 00:29:13.182 --> 00:29:27.441 Ja und dann äh gab's eben die Sache mit dem ähm mit dem Eingangsstatement, ersten fünf Minuten darfst du was sagen oder wirst du gebeten, fünf Minuten lang etwas zu sagen. Die hatten aber keinen, also. 00:29:28.006 --> 00:29:42.145 Also warum auch immer, mir war nicht ganz klar, aber ihr habt nur offenbar keine technische Lösung. Normalerweise gibt's da diese Uhr. Also du sitzt in diesen Seelen, oben ist, sind vier Bildschirme so angeordnet und, 00:29:42.482 --> 00:29:56.399 Da läuft üblicherweise ein Timer, der dir halt auch signalisiert, wann du halt fertig sein musst, weil das natürlich für alle Beteiligten einfach nur nervt, wenn irgendjemand da seine Redezeit halt massiv überzieht. So und ähm. 00:29:57.162 --> 00:30:08.940 Das hatten sie aber jetzt nun mal nicht. So, wo du dich auch fragst, so, wir haben ja auch erst seit einem Jahr Pandemie und äh diesen, diesen Missstand äh haben sie halt bisher noch nicht angegangen, 00:30:09.162 --> 00:30:21.078 da kamen aber die meisten Sachverständigen dann auch hinbekommen, ungefähr fünf Minuten Eingangstatement zu machen und äh wenn du möchtest, kannst du ja mein Eingang Statement vielleicht, 00:30:21.361 --> 00:30:24.954 einspielen, die fünf Minuten, da muss ich das jetzt nicht wiederholen. 00:30:24.864 --> 00:30:27.285 Ja, das war der ganz unterhaltsam. Machen wir mal. 00:36:15.848 --> 00:36:18.798 Bäm! 00:36:18.498 --> 00:36:24.987 Ja, das war jetzt relativ viel. Ich dachte, das äh könnte man mal als als Einleitung vielleicht ganz gut hören. 00:36:25.655 --> 00:36:35.047 Weil das Gesetz ist natürlich relativ umfangreich, ja? Und ich habe auch nicht zu allem, was da drin ist, ähm Stellung genommen. 00:36:35.642 --> 00:36:43.580 Ähm ich habe aber eine schriftliche Stellungnahme verfasst. Das ist natürlich immer so eine so eine Sache, ne. Du willst. 00:36:44.782 --> 00:36:49.318 Willst da was Ordentliches abliefern? Und du weißt aber auch, dass liest, 00:36:49.631 --> 00:37:02.809 wahrscheinlich kaum jemand, aber du willst jetzt, hast ja trotzdem an dich selber den Anspruch so, ne, eine ordentliche Stellungnahme zu verfassen, sind am Ende vierundvierzig Seiten geworden mit einer ganzen Reihe an Empfehlungen und eben 00:37:02.647 --> 00:37:03.800 Kritik und 00:37:03.656 --> 00:37:14.947 was auch immer, dabei geholfen haben, Frank Rieger, Dirk Engling und Matthias Marx, also sowas kriegste halt auch in den wenigen Tagen nicht alleine hin und außerdem wird's ja auch deine Ideen ähm 00:37:14.869 --> 00:37:24.783 mit den anderen, ne, abstimmen, abgleichen, prüfen, gucken, habe ich an alles gedacht, was sagst du hierzu, ne? Wie kann man hier im Detail drauf eingehen und so, ne, sowas kann man, 00:37:24.838 --> 00:37:27.452 oder so, ist man gut beraten, so was nicht alleine zu machen? 00:37:28.203 --> 00:37:35.306 Äh nichtsdestotrotz ist es halt auch einfach eine so, ne, für den Textfluss oder so, gibt's halt dann einfach eine. 00:37:36.321 --> 00:37:45.623 Das muss ja dann eine Person koordinieren und eine Person zusammenfügen. Ähm und das ganze Ding hat den schönen Titel, der mir eingefallen ist, Sicherheit gestalten, 00:37:45.732 --> 00:37:52.179 statt Unsicherheit verwalten. Und äh das ist so ein bisschen auch würde ich sagen, das Fazit 00:37:51.987 --> 00:38:05.831 der Forderung, die wir da so ein bisschen positioniert haben, erstens Mal klar zu gucken, dass erster IT-Sicherheitsgesetz war Anschuss in den Ofen punkt, so, ne? Das, das steht einfach mal fest, das wissen auch alle. Dass wir das mit den. 00:38:06.391 --> 00:38:15.416 Kritischen Infrastrukturen, wo im Prinzip gesagt wurde, okay, wir definieren jetzt äh diese kritischen Infrastrukturen und die bombardieren wir dann jetzt einfach mit. 00:38:15.957 --> 00:38:16.540 Und, 00:38:16.612 --> 00:38:27.482 letzten Endes war die Idee so, dass man gesagt hat, okay, die brauchen die brauchen auf jeden Fall Mindeststandards. Wir müssen denen jetzt gesetzlich vorschreiben, wie sicher sie ihren Laden dazu betreiben haben. 00:38:27.981 --> 00:38:30.144 Und ähm zweitens, 00:38:30.241 --> 00:38:43.821 sie diese Mindeststandards nicht erfüllen, dann müssen wir eben auch potentiell den Ärger machen, ja? Und dann hat sich das BSI gedacht, ja okay, aber blöd, scheiße, wenn wir diese Mindeststandards jetzt selber schreiben, wir haben ja gar keine Ahnung davon. Also haben sie gesagt, okay, 00:38:44.104 --> 00:38:49.271 Die Branchenverbände können sich diese Mindeststandards selber schreiben. Und wir nehmen die dann ab, 00:38:49.332 --> 00:38:58.495 ja, mit und du kannst dir vorstellen, welche Mindeststandards ein Branchenverband einreicht, wenn er weiß, wenn er die nicht erfüllt, gibt's Ärger, ja? 00:38:59.229 --> 00:39:03.855 Zwei, ne? Die haben natürlich dann einfach Mindeststandards eben eingegeben. 00:39:04.366 --> 00:39:11.300 Eingereicht, damit sie alle größer sind. Ähm also damit sie alle darüber hinaus sind und alle die erfüllen, ja? Dann 00:39:11.277 --> 00:39:21.011 gab's natürlich auch ganz viel hauen und stechen darum, wer's jetzt kritische Infrastruktur und da sind natürlich dann an den Kriterien gab's dann eben 00:39:20.951 --> 00:39:33.678 ja Ärger, ne, weil es zum Beispiel an was weiß ich, bei bei der bei Versorgungsinfrastruktur eben gesagt wurde, okay, kritisch bist du ab so und so viel Empfängerin, ne? Und dann ist eben das eine Wasserwerk, ist kritische Infrastruktur, das, 00:39:33.691 --> 00:39:41.316 Struktur des anderen nicht, weil es irgendwie eine Abiture Grenze gibt, wie viele Leute, die so betrinken müssen, bis das kritisch ist, solche äh solche Dinge. 00:39:42.037 --> 00:39:47.776 Kam da eben äh alle zusammen. Und damals habe ich schon gefordert, dass das BSI, 00:39:47.782 --> 00:39:53.376 unabhängig vom BMI werden muss, also das Bundesamt für Sicherheit in der Informationstechnik 00:39:53.220 --> 00:40:03.117 unabhängig vom BMI sein muss, weil im Moment, dass also das Bundesministerium für inneres Heimat und Bau oder wie die das Ding jetzt genannt haben. Ich hoffe, dass das nächste 00:40:02.991 --> 00:40:09.744 Legislaturperiode einfach wieder Innenministerium heißt. Ähm so und. 00:40:10.550 --> 00:40:16.048 Wenn du jetzt halt Leute hast, die für die Sicherheit zuständig sind, aber einen uns keinen, 00:40:16.397 --> 00:40:24.467 unzweifelhaften und unzweideutigen Auftrag haben, dann ist es natürlich schwierig zu denen Vertrauen aufzubauen. Und was, sage ich mal, 00:40:25.140 --> 00:40:39.147 zwanzig fünfzehn oder so, als wir Stellung genommen haben zum zum ersten IT-Sicherheitsgesetz, noch so ein bisschen Klang wie eine Verschwörungstheorie, das wird halt in dem zweiten IT-Sicherheitsgesetz jetzt wirklich auch einfach schwarz auf weiß geschrieben. Da kommen wir also, 00:40:39.376 --> 00:40:50.066 nochmal drauf. Jetzt habe ich erstmal in der Stellungnahme sind wir hingegangen, haben gesagt, okay, wie sieht's aus? Ähm was hat sich denn verbessert seit dem ersten IT-Sicherheitsgesetz, ne? Ähm, 00:40:50.150 --> 00:40:58.616 haben wir dann einfach mal ein bisschen berichtet von unseren Erfahrungen mit Wahlsoftware, ja? Zwanzig siebzehn, viele erinnern sich wahrscheinlich, Martin Schirsig. 00:40:59.302 --> 00:41:08.892 Torsten Schröder und ich ähm analysieren die Wahlsysteme zur Bundestagswahl und ja, reißen das Ding eigentlich einmal komplett auf, ja? So. 00:41:09.638 --> 00:41:19.318 Resultat, ne? Das habe ich ja da auch in der in der Anhörung gesagt, wo ich als ich den Herrn Könen gegrüßt habe, den habe ich da kennengelernt. Der Herr Köhn ist im BMI, 00:41:19.408 --> 00:41:25.813 jetzt weiß ich gar nicht, die genaue Position, aber ein relativ hoher äh dortiger, 00:41:25.910 --> 00:41:29.485 äh Beamter im Bereich der, 00:41:29.690 --> 00:41:39.340 IT und IT-Sicherheit. Ich höre dich da schon googeln, Tim, vielleicht kannst du mir die genaue äh Bezeichnung, genaue Berufsbezeichnung nennen, weil der möchte ich natürlich auch gerecht werden. 00:41:39.040 --> 00:41:43.690 Martin Coen, ja? Ähm ja. 00:41:44.238 --> 00:41:59.116 Vizepräsident, dann ist er ins so okay, alles klar, hier. Der war früher äh BSI-Vize und ist jetzt Leiter der Stabstelle ITs und Cybersicherheit und sichere Informationstechnik im BMI. 00:41:59.777 --> 00:42:03.599 Genau, so. Also, ne, ein, 00:42:03.881 --> 00:42:16.879 jemand der seit Jahrzehnten eben in Deutschland in an relevanter Stelle für die IT-Sicherheit tätig ist und jetzt eben da Leiter der Stabs Stabsteller, also ich würde jetzt weiter von ausgehen, dass der, 00:42:17.161 --> 00:42:23.254 keinen mehr zwischen sich hat, wenn er mit äh dem Innenminister spricht. Ähm. 00:42:25.171 --> 00:42:34.888 Der hat sich damals damit auseinandergesetzt, mit dieser äh Wahlsache. Klar, muss er ja auch, ne? Ich meine, kurz vor der Bundestagswahl kommen drei Typen um die Ecke und sagen, das ist ja alles kaputt, 00:42:34.984 --> 00:42:40.897 So da muss natürlich äh das das BMI einschalten. Das hat ja natürlich auch äh damals 00:42:40.795 --> 00:42:46.696 mit denen ihm zur Verfügung stehenden Möglichkeiten getan und das hat er auch ernst genommen, ne? Muss man ganz einfach sagen, klarer Fall. 00:42:46.468 --> 00:42:56.418 Aber der hatte natürlich auch, es gab da eben diese Beschränkungen, dass das BSI, das habe ich auch, glaube ich, damals schon immer berichtet. Das BSI konnte da jetzt im Prinzip nicht einreiten und äh 00:42:56.329 --> 00:42:57.464 eingreifen, 00:42:57.849 --> 00:43:10.852 weil das ja eine Software von einem privatwirtschaftlichen Anbieter war. Und von dieser privatwirtschaftlichen Anbieterin waren jetzt die Länder jeweils nur Kundinnen, um ihre Wahl dort abzuhandeln, ja? 00:43:11.159 --> 00:43:16.915 Also habe ich mir gedacht, okay, super. IT-Sicherheitsgesetz hier, ne, ich meine, wenn du, 00:43:17.294 --> 00:43:25.220 hat offenbar nichts gebracht, so, weil dieser ganze Vorfall war zwanzig siebzehn, ne? Das ist. 00:43:25.899 --> 00:43:38.037 Oder war das zwanzig neunzehn diese Bundestagswahl? Nee, jetzt ist ja einundzwanzig, jetzt wird wieder gewählt, also zwanzig siebzehn, was ist denn seitdem passiert, ja? Und alles, was seitdem passiert, ist in den letzten vier Jahren ist. 00:43:39.318 --> 00:43:51.251 Es einen neuen Vortrag gab bei der RC drei über Schwachstellen in anderen Wahlauswertungssystem. Das ist das, was passiert ist. Also es gibt quasi hatten wir von ähm, 00:43:51.378 --> 00:44:03.143 Tobias, Madel und Johannes Obermaier haben nämlich mit Hacking German Elections in Secure Electronic Voice Counting, Howard Return and why you don't even know about it ähm eben, 00:44:03.155 --> 00:44:14.073 Ende Dezember zwanzig zwanzig äh in einer weiteren Wahlauswertungssoftware eklatante Schwächen nachgewiesen so. Was hat das BSI in der Zwischenzeit gemacht? Ähm. 00:44:14.777 --> 00:44:23.892 Ein Anforderungskatalog geschrieben. Den, den solche Software erfüllen soll. Aber dieser Anforderungskatalog, der. 00:44:24.782 --> 00:44:33.837 Ähm hat jetzt immer noch keine rechtliche ähm Wirksamkeit oder so, ne. Das muss jetzt irgendwann mal überführt werden in irgendeinen Standard und 00:44:33.663 --> 00:44:53.469 irgendwann so in ganz, ganz, ganz ferner Zukunft, kannst du dann irgendwann sagen, okay, Software, die diese Aufgabe übernimmt, muss folgenden Anforderungen genügen. Ne, wir sind ja immer noch weit von entfernt. Und das ist eine Initiative, die wo ich jetzt mal davon ausgehen würde, zwanzig siebzehn, zwanzig achtzehn dann eben spätestens gestartet wurde, weil sie ja wussten, 00:44:54.383 --> 00:45:03.955 durch unsere Veröffentlichung, dass sie da ein Problem haben, ja? Also da da ist die waren in vier Jahren nicht in der Lage, jetzt sage ich mal. 00:45:04.875 --> 00:45:05.661 Als. 00:45:06.407 --> 00:45:15.210 Sicherheitsverantwortliche der Bundesrepublik Deutschland dafür zu sorgen, dass dass die Wahlen sicher abgehalten werden. Das ist denen nicht gelungen. 00:45:16.881 --> 00:45:26.248 Und äh soll halt bald einen Anforderungskatalog zur Bundestagswahl einundzwanzig rauskommen, aber äh soweit ich das verstehe, kann der auch nicht ähm. 00:45:26.964 --> 00:45:35.935 Nicht mehr ja jetzt nennenswerte Verbindlichkeiten einfach für die Herstellerinnen haben, ja? Die konnten nach wie vor einfach ihren Schrott an die an die Länder liefern. 00:45:36.554 --> 00:45:41.583 Und es ist halt wirklich, ja, traurig, ne? Weil da würde man sich natürlich wünschen, 00:45:41.782 --> 00:45:54.473 dass es Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik gibt, die halt sich irgendwie die klar sind. Und wenn du auf die Webseite gehst, von der Firma des Unternehmens, dass dieses okay Wot herstellt, was eben, 00:45:54.678 --> 00:46:01.503 hier ähm Obermaier und Madel auseinandergerissen haben, ne? Der steht auf der Website auch heute noch, kannst du hingehen. Steht drauf. 00:46:02.490 --> 00:46:14.002 Bei der Entwicklung von OKO wurde höchster Wert auf das Thema Sicherheit gelegt. Diese orientiert sich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik und der non-Profit Organisation, 00:46:14.267 --> 00:46:20.023 Ist ein Web Application Security Projekt, ja, also. 00:46:21.124 --> 00:46:26.111 Zum Heulen, ja? Also okay, da kannst du einfach mal sagen, okay, das hat halt nicht, 00:46:26.442 --> 00:46:34.349 das BSI war da einfach hilflos, weil es eben gezwungen ist, diese Missstände zu verwalten, statt ihnen irgendwie mal aktiv entgegen 00:46:34.326 --> 00:46:45.520 treten zu können und irgendeine irgendeinen Hebel zu haben, mal eine Kompromisslosigkeit durchzusetzen und und zu erzwingen. Als anderes Beispiel habe ich halt gewählt, ja, reden wir hier auch seit Jahren drüber. 00:46:47.329 --> 00:46:54.143 Erst in der letzten Sendung noch, ne, wird eben auch in diesem Gesetzesentwurf sehr viel erwähnt. Seit 00:46:54.011 --> 00:47:07.561 zwanzig sechzehn würde ich sagen, wütet diese Welle, sodass das jetzt ein Trend ist, von dem du eben auch jede Woche liest und jede Woche jemand dran ist, ne? Und auch da konnte das BSI halt keinen Beitrag leisten 00:47:07.556 --> 00:47:13.474 keine Möglichkeit, äh rechtlich nicht, ne? Da könnte man natürlich schon mal irgendwie sich darüber Gedanken machen. 00:47:14.478 --> 00:47:23.389 Wie wenn man ein Gesetz für die Informationssicherheit äh von IT-System macht, ob man nicht irgendwie, wenn man sich schon BSI leistet. 00:47:24.381 --> 00:47:27.199 Es mit Möglichkeiten ausstattet, dem entgegen zu treten. 00:47:27.758 --> 00:47:37.264 Gut, habe ich gesagt, Fehler sind nicht vergebens, wenn man daraus lernt, ne, man müsste also jetzt ein weniger bürokratisches Gesetz formulieren. Und da habe ich dann ein paar Thesen zu formuliert 00:47:37.217 --> 00:47:44.042 auch ein digitales Entwicklungsland muss sich weiter entwickeln, ja? Das haben wir jetzt in der Pandemie gesehen, dass hier in Deutschland, 00:47:44.139 --> 00:47:48.723 einfach mal nichts funktioniert und wir haben auch bei der, 00:47:48.880 --> 00:48:02.887 nirgendwo eine sinnvolle IT-Strategie, ja? Äh wenn man sich irgendwie anschaut, äh D Mail oder das besondere elektronische äh Anwaltspostfach oder auch den elektronischen Personalausweis, ja? Der elektronische Personalausweis jetzt, 00:48:02.977 --> 00:48:09.930 Der tatsächliche eigentliche Ausweis ist überhaupt nicht so schlecht wie sein Ruf, hat ja auch die Sicherheit gehalten, aber wendet keiner an 00:48:09.798 --> 00:48:23.450 ja? Also gibt einfach niemanden, der das Ding verwendet. Und da habe ich halt gesagt, so äh Beispiele für Projekte, die sich zur Geißel aller Beteiligten oder zu mahnenden Bauruinen mit Nutzungszahlen im hohen einstelligen Bereich äh entwickeln 00:48:23.420 --> 00:48:28.960 Und das ist das Problem ist halt immer, es hat halt den Mut zu einer kompromisslosen Strategie. 00:48:29.573 --> 00:48:38.611 Gefehlt, ne? Man nennt das immer so, auch mal alte Zöpfe abschneiden und wirklich mal die Digitalisierung vorantreiben, fehlt einfach, 00:48:38.731 --> 00:48:46.735 jede Spur schön ist das auch und das es sind ja Probleme die hat jetzt das der Bund ja oder die Regierung oder die, 00:48:46.766 --> 00:49:01.758 Weil die hast du ja auch in Unternehmen, wenn du nämlich nicht irgendwann sagst, du machst jetzt den mutigen Schritt und schneidest alte Zöpfe ab, dann wird das einfach nur immer teurer. Ja, und dann gibt's nämlich auch echt diese Konsolidierung. 00:49:02.696 --> 00:49:10.705 Der IT-Projekte des Bundes. Die wurde ähm glaube ich in die Wege geleitet. 00:49:11.229 --> 00:49:22.783 Zwanzig sechzehn oder zwanzig fünfzehn, ja? Und die haben gesagt, bis zwanzig fünfundzwanzig konsolidieren wir die IT des Bundes und wahrscheinlich werden wir dafür ähm, 00:49:23.175 --> 00:49:33.065 werden wir dafür eine Milliarde brauchen, ja? Und inzwischen sind die nirgendwo in der Nähe davon fertig zu sein und haben schon drei Komma vier Milliarden verbraten. 00:49:33.504 --> 00:49:35.310 Konsolidierung. 00:49:35.210 --> 00:49:36.496 Für die Konsultierung, ja. 00:49:36.396 --> 00:49:39.541 Was konsolidieren sie denn da? Was bisher. 00:49:40.330 --> 00:49:49.281 Alles. Die haben ja, also das ist ja, das sind ja einfach alles einzelne Schwelbrände, ne? Und die müssen jetzt zu einem großen Feuer zusammen konsolidiert werden. 00:49:49.031 --> 00:49:50.371 Oh Mann, ey. 00:49:50.864 --> 00:50:02.419 Ich habe ja da äh ich habe ja die Stellungnahme so äh die ersten dreißig, vierzig Seiten gelesen, wo ich ja wirklich komplett ins Essen gebrochen bin. Ist ja, wo ja dann diese Grafik mit dieser Zuständigkeit der einzelnen. 00:50:02.119 --> 00:50:03.170 Ja 00:50:02.870 --> 00:50:04.949 Habt und dann und unten 00:50:04.931 --> 00:50:19.425 die es gibt ja immer so eine kleine graue Text-Box, wo man dann so mal schön hervorgehoben so das sind jetzt unsere Forderungen so. Ihr habt den Text, den ich hier geschrieben habe, bisher nicht verstanden, den mindestens diesen einen Satz mit. Und ich glaube, da stand dann irgendwie nur noch drunter so was wie, 00:50:19.876 --> 00:50:30.554 finden sie jemanden in der im Bundesinnenministerium, der in diese Grafik erklärt kann oder überhaupt irgendjemanden, der sie erklären kann. 00:50:31.533 --> 00:50:32.831 Super. 00:50:33.324 --> 00:50:44.909 Ich gucke grade der der Satz war äh das das der Bundestag möge sich die obige Grafik vom Bundesinnenministerium erklären lassen oder jemanden finden, der dir erklären kann. 00:50:44.934 --> 00:50:46.754 Genau. Oh Mann. 00:50:46.454 --> 00:50:55.924 Tatsächlich äh Katastrophe. Ähm genau, also Konsolidierung der IT-Projekte des Bundes, ne? Und das das sind ja alles so phänomenso. 00:50:56.435 --> 00:50:59.487 Phänomene, die sind ja auch nicht ähm. 00:51:00.059 --> 00:51:08.219 Neu, also das so funktioniert halt leider IT, ne, muss man so bitter sagen, wenn du dann ohne Strategie drangehst, 00:51:08.531 --> 00:51:15.159 dann entgleitet dir das, ne? Und ohne ohne Übersicht. Also ich habe das ja, meint, ich hasse das ja auch, diese. 00:51:16.067 --> 00:51:25.435 Ja äh Trägheit und Regeln und so weiter, ne. Aber wenn du mal mit jemandem redest, der halt eine oder die eine IT koordinieren, 00:51:25.627 --> 00:51:33.943 und wenn du damit Leuten redest, die zum Beispiel einen Dokumentationskonzept dafür haben und die wissen einfach, was jeder Server da macht und welche Potsdarin offen zu zu sein 00:51:33.842 --> 00:51:41.809 haben und welche nicht, ne? Das äh ist halt ein bisschen was anderes und die halt irgendwie vom Prozess kommen und nicht einfach irgendwelchen ähm, 00:51:41.960 --> 00:51:49.453 Schrotter hinbauen. Aber okay, also dort in Deutschland wird immer gesagt, okay, wir nehmen uns einen kleinen Aspekt, machen wir eine D-Mail draus. 00:51:50.102 --> 00:51:56.465 Übrigens, D-Mail hat ja dann auch jetzt äh ging ja nochmal rund, das war ja ebenfalls dieses äh, 00:51:56.616 --> 00:52:11.043 Interview mit dem Tim Höttges, was wir letzte Woche schon besprochen haben, da hatte er dann gesagt, hier D Mail ist ein Toter äh toter Gaul und äh das hat nie irgendjemand benutzt und wir haben da Millionen drin versenkt, ne. Ähm, 00:52:11.110 --> 00:52:11.795 Also 00:52:11.609 --> 00:52:26.427 offenbar eine skandalöse Äußerung. Ich dachte, das hätte sie inzwischen rumgesprochen. Also wirklich so eine Meldung sondergleich, ne, wo alle irgendwie voll abgehen. Boah, was hat der? Was erlaube Hörtges, ne? 00:52:26.686 --> 00:52:29.768 Hat der Lino schon vor Jahren gesagt. 00:52:29.468 --> 00:52:38.108 Stimmt, können wir auch nochmal verlinken, darf ich einen Vortrag drüber gehalten damals am äh äh dreißig C drei wahrscheinlich, ne? Bullshit made in Germany. 00:52:38.680 --> 00:52:44.231 Wo ich nämlich genau auch das wieder, also das ist das Interessante, da da das habe ich, 00:52:44.604 --> 00:52:49.123 genau auch gesagt, so das ist ein Kompromiss, das ist, 00:52:49.472 --> 00:52:59.266 von gestern. Hier macht ihr nicht den richtigen Schritt nach vorne. Macht doch bitte den richtigen Schritt nach vorne. Und was ist passiert? Natürlich hat niemand äh D-Mail verwendet, ne. 00:52:59.886 --> 00:53:07.462 Weil du und weil du auch nicht dein Land irgendwie in die in die Zukunft digitalisiert bekommst, wenn du, 00:53:07.517 --> 00:53:19.781 Wenn du das halt mit so Einzelwürsten machst, ne? Na gut. Also genau, dann kommt eben hier auch dieser Punkt, so staatliche Cyber-Sicherheitsagentur, ne, da gibt's eben schöne Grafik, die hat der Sven Herpig äh angefertigt. 00:53:20.725 --> 00:53:27.605 Und zwar hat ihn interessiert wie denn wer kümmert sich denn eigentlich um um 00:53:27.473 --> 00:53:39.106 ja Cyber-Sicherheit in in der Bundesrepublik Deutschland hat dann halt mal geguckt, okay Bund, Länder, Europäische Union, was gibt's da alles? Und dann hatte die erstmal alle auf der, also angeordnet, ja 00:53:38.927 --> 00:53:45.728 und hat dann dazwischen die Linien gezogen, ne? Und. 00:53:45.584 --> 00:53:48.529 Also wer an wen reportet oder wer wem untersteht? 00:53:48.860 --> 00:53:51.179 Ja, genau, so, ne? Ähm. 00:53:51.828 --> 00:53:59.152 Ich habe das in der in der in der äh Auskunft dann genannt, wie war das denn? Ich habe, glaube ich, ungefähr gesagt, eine. 00:53:59.616 --> 00:54:04.290 Eine Wandtapete, eine Wandtapete, der äh, 00:54:04.687 --> 00:54:14.187 Interessenkonflikte und äh Verantwortungsdiffusion. Genau, eine Wandtapete der Interessenskonflikte Verantwortungsdiffusion und ungenutzten Konsolidierung 00:54:14.056 --> 00:54:21.446 Konsolidierungspotentiale, in dem keine, in der keine Strategie zu erkennen ist. Eine Katastrophe, ne? Und da musst du dich halt auch nicht wundern. 00:54:22.036 --> 00:54:26.404 Gut, äh ich will ein bisschen weitermachen mit den Forderungen. Ähm, 00:54:26.428 --> 00:54:39.287 was du eigentlich machen möchtest, ist natürlich vorangehen, ne? Du willst nicht irgendwie nur die Unsicherheit verwalten und irgendwie hinterherfegen, sondern du willst natürlich auch mal einen mutigen Schritt nach vorne machen. Ähm Andreas Boog von Chaos Computerclub hat in einem, 00:54:39.486 --> 00:54:48.950 Vortrag mal gesagt so, man möchte ja auch einfach mal ein Genozid an Problemklassen äh äh betreiben. So was jetzt natürlich sehr. 00:54:49.449 --> 00:54:58.306 Wurde jetzt vom Geschmack her äh glaube ich auch von einigen kritisiert die Wortwahl. Ich finde, ich finde aber tatsächlich, man will ja einfach auch mal ein Problem weghaben und zwar für immer, 00:54:58.583 --> 00:55:05.613 und nicht sich weiterhin damit auseinandersetzen, ja? Und da fand ich eigentlich dieses Bild, finde ich, gar nicht so ähm. 00:55:06.635 --> 00:55:16.441 Also finde ich das gar nicht so schlecht, weil sonst quält dich das einfach immer weiter und dafür musst du eben äh kompromisslos sein und kompromisslos heißt eben vor allem, dass du, 00:55:16.532 --> 00:55:20.630 keine gezielten Schwächungen an der IT-Sicherheit vornimmst, wie es eben, 00:55:20.930 --> 00:55:29.673 BMI regelmäßig tut, was ja auch das Problem war an dem und was auch das Problem war, am äh besonderen elektronischen Anwaltspostfach, weil 00:55:29.583 --> 00:55:31.151 es einfacher ist 00:55:31.128 --> 00:55:45.195 das System kompromisslos sicher zu bauen. Und wenn du dann sagst, ah okay, muss da jetzt noch eine Abhörschnittstelle rein? Und oh, hier muss aber noch irgendwie Umschlüsselung und Pipapo und hier für einen kurzen Moment, für einen ganz kurzen Moment, liegt das unverschlüsselt vor. 00:55:45.940 --> 00:55:53.295 Äh damit wir nachher irgendwie äh ne dieses oder jenes vor Funktion bauen. Und. 00:55:53.806 --> 00:56:02.789 Ist nun mal genau das, das Gegenteil von IT-Sicherheit, ne? Und dann dann wird's eben halt auch ambitionslos. Und natürlich vor allem, 00:56:02.934 --> 00:56:05.643 musst du, wenn du Kenntnis von Schwachstellen hast. 00:56:06.696 --> 00:56:15.330 Die beseitigen und auch den, ne, zum Beispiel ein BSI halt auch die Möglichkeiten haben, dass das kompromisslos durchzuziehen. Interessanterweise, 00:56:15.427 --> 00:56:20.810 sind die sicher auch nicht zu schade in diesem Gesetzesentwurf. 00:56:21.574 --> 00:56:30.942 Die ganze Zeit von und zu sprechen und zu zeigen, wie gefährlich das alles ist, ne? Waren die beiden großen, 00:56:31.249 --> 00:56:36.759 Schrägstrich Angriffe die verwendet haben, 00:56:36.945 --> 00:56:49.810 Also diese Schwachstelle aus den, die die NSA für irgendwie mindestens sieben Jahre geheim gehalten hatte und damit die gesamte Welt diesem Risiko ausgesetzt hat. Und die Angriffe selber erfolgten, also diese, 00:56:49.901 --> 00:56:59.881 tatsächlich Angriffe unter der Ausnutzung äh erfolgten. Nachdem es quasi schon ein ein Update gab und sie sind immer noch, 00:56:59.984 --> 00:57:07.507 schwersten sagen wir mal Cyberschäden, wenn man diesen Begriff mal verwenden möchte in der Geschichte der IT, 00:57:07.693 --> 00:57:11.743 Ja? Und das das zeigt einfach so das, was da eben der Schwerste 00:57:11.702 --> 00:57:24.837 der schwerste Schaden war im Milliardenbereich, ist nur ein Vorgeschmack oder ein Bruchteil von dem Risiko, dass die NSA jeden Tag mit der Geheimhaltung dieser Schwachstelle eingegangen ist. Und deswegen. 00:57:25.661 --> 00:57:31.543 Ganz klar, ne? Das BSI sollte natürlich unter keinen Umständen jemals berechtigt sein 00:57:31.393 --> 00:57:44.895 bei Schwachstellen irgendwas anderes zu tun als sie zu melden und auf deren Beseitigung hinzuarbeiten. In diesem Gesetzesentwurf stehen aber eben andere Sachen, da gibt's eben übergeordnete Sicherheitsinteressen. Denn natürlich, du musst Bürokratie 00:57:44.866 --> 00:57:46.590 abbauen und das, 00:57:46.602 --> 00:57:55.688 und die einzige Möglichkeit, wie du das machen kannst, ist halt, indem du auf einfach eine eine IT-Sicherheitsbasis hinarbeitest und nicht dein den dein gesamtes. 00:57:56.523 --> 00:58:03.854 Deinen gesamten Start, deine gesamte Wirtschaft, sich die IT-Sicherheit selber dazu bauen lassen muss. Ich finde das ein, also es ist eine 00:58:03.722 --> 00:58:13.649 bin ja Teil davon beruflich, ja, dass du im Prinzip als Unternehmen dir zwar IT kaufen kannst, aber sobald wir sagen wir mal drei Computer da stehen hast oder drei Systeme, es nicht mehr 00:58:13.475 --> 00:58:25.781 ohne weiteres zu tun gewährleistet ist, dass die einfach mal sicher funktionieren. Weil die alle unsichere, die vor jetzt haben, weil in dem Zusammenspiel sich neue Komplexitäten ergeben und wir nehmen das einfach so hin, 00:58:25.950 --> 00:58:33.785 und genau das wäre der Teil, den du ändern musst und dann, wenn du mal überlegst, wenn du da äh deiner Gesamtwirtschaft Einsparung ermöglichst, 00:58:33.828 --> 00:58:41.369 ja? Und sagst, okay, pass mal auf, so ein KMU kann sich jetzt einfach das und das kaufen klicken, sonstwas und das funktioniert einfach und das ist dann eben auch sicher. 00:58:41.910 --> 00:58:55.261 Gegen Standardbedrohungen, die in diesem Bereich eine Rolle spielen, da wäre so viel gewonnen, ja? Gut, da werden halt auch ein paar Leute unserer Zunft dann irgendwann mal arbeitslos oder müssen sich ähm weiterbilden auf äh, 00:58:55.418 --> 00:59:00.081 auf ja komplexere Herausforderungen, aber genau das muss es doch eigentlich, das muss doch das Ziel sein. 00:58:59.781 --> 00:59:12.207 Ja, vor allem, du bildest ja dann auch wieder neue äh Arbeitsplätze und neue Tätigkeiten heraus, ne? So ein paar lustige Informatikanten, die dann dieses Thema auch wirklich in Betrieb halten. So. 00:59:12.568 --> 00:59:15.350 Vor allem äh ähm also. 00:59:16.047 --> 00:59:25.012 Du darfst ja nicht vergessen, nach oben ist noch genug Luft mit der IT-Sicherheit, ne? Wir wir laufen nirgendwo Gefahr, dass wir in Zukunft aus Versehen plötzlich, 00:59:25.391 --> 00:59:32.518 vollständige vollständig sichere Systeme haben und für die ganzen Industriezweig, IT-Sicherheit nichts mehr übrig bleibt, 00:59:32.554 --> 00:59:42.114 Das einzige, was du, was du schaffen kannst, ist, dass halt mal es interessanter wird für alle Beteiligten und wir nicht mehr wir bei den Pantests halt auch mal Gegner kriegen und keine Opfer. 00:59:42.007 --> 00:59:44.842 Ne? Das wäre halt so das das ist ja alles gut. 00:59:45.786 --> 00:59:53.411 Kontrolle zum Beispiel, ne? Was ist ähm wenn du sagen würdest, okay, wir bündeln jetzt mal die Ressourcen. 00:59:54.343 --> 01:00:05.381 In Open-Source-Projekten und wir auditieren die auch mal. Die machen sich da Gedanken, komme ich ja gleich noch zu zu ihr um ihr 5G. Ne, 5G. Kennt ihr, wir brauchen fünf G. 01:00:05.081 --> 01:00:09.185 Total. Quatsch. Warum rauchen Pla. 01:00:09.198 --> 01:00:12.616 Ähm. 01:00:14.413 --> 01:00:19.527 So die die sorgen sich um ihr fünf G und um ihr Wow, da komme ich gleich zu, ne? 01:00:20.266 --> 01:00:28.420 Aber äh mal zu sagen, okay, dann lass uns doch einfach mal mit Open Run irgendwie einen sauberen Open-Sour Steak machen und die europäischen äh 01:00:28.367 --> 01:00:35.799 Anbieterinnen können den dann eben verwenden und dann dann bündeln wir hier einfach mal die Ressourcen, ne? Nein, äh 01:00:35.788 --> 01:00:44.711 wir wir setzen lieber auf closed-source im hochkritischen Bereich und dann äh lassen wir haben wir unterschiedliche Anbieter, die wir irgendwie prüfen und auditieren müssen. Totaler 01:00:44.675 --> 01:00:47.199 Also, ne, du könntest da ja halt Geld sparen 01:00:47.163 --> 01:00:55.142 ne? Äh entsprechend die Empfehlung, schafft doch mal einen Pool von auditierter Open Source Software, gerne im Infrastrukturbereich, gerne in dem Bereich den. 01:00:55.876 --> 01:01:07.305 KMU brauchen, Hauptsache es profitieren möglichst viele davon und Hauptsächlich Hauptsache die Einsparungspotentiale durch das investierte Geld äh des Bundes, 01:01:07.456 --> 01:01:08.963 sind da gut genutzt. 01:01:09.967 --> 01:01:18.139 Dann natürlich auch Bildung und Ausbildung im Bereich der IT-Sicherheit, ne, also wir haben ja gute Universitäten, aber halt auch nur einige wenige 01:01:18.098 --> 01:01:30.506 mir da in den Sinn kommen, ne? Es gibt da, ja, es ist richtig, es gibt das CISpaar, es gibt die äh verschiedenen Fraunhofer im Bereich der IT-Sicherheit, äh Ruhruniversität Bochum, Darmstadt und so, ne, da gibt es, wir haben da ja 01:01:30.440 --> 01:01:35.986 unsere Exzellenz Cluster im weitesten Sinne, ne? Aber, 01:01:36.022 --> 01:01:44.994 viel, viel größer äh aufgebaut sein und vor allem ist es halt überlegen, okay kann man hier Bildungsmaterial bauen, was eben dann auch anderen Universitäten. 01:01:45.896 --> 01:01:54.302 Ähm zur Verfügung gestellt wird. Und ist es wirklich zeitgemäß? Ja, dass du IT-Sicherheit tatsächlich noch von der Informatik trennst. 01:01:54.218 --> 01:02:04.175 So, dann das hatte ich ja gerade auch in dem Eingangsdatement schon gesagt, wo sie sagen, okay, das BSI soll jetzt Portscanst machen dürfen, ne? Ist ja lächerlich. Ähm, 01:02:04.488 --> 01:02:11.860 Ich darf das nicht, ne? Also es gibt ja immer noch den zweihundertzweiC. Äh was war das Vorbereitung des Abhörens von Daten? 01:02:12.714 --> 01:02:21.120 Von Daten. Ähm du Hackertools sind nach wie vor äh kriminalisiert. Ja, das heißt. 01:02:21.866 --> 01:02:29.761 Wir demotivieren quasi auch Leute äh oder Unternehmen ihre eigene IT mal 01:02:29.641 --> 01:02:44.634 zu prüfen, zu scannen, äh auf die Probe zu stellen, weil wir das quasi diese Tools, die man dafür üblicherweise verwendet, eben so ein bisschen äh in einem sehr schlechten Ruf halten, richtig und damit auch ihren Einsatz in, in, in, 01:02:44.706 --> 01:02:46.442 Rechtsrisiko überführen. 01:02:47.272 --> 01:02:54.020 Das ist auch wirklich krass. Wie lange gibt's das jetzt schon, diese Hackertools Paragrafen ist auch schon ewig her, ne? 01:02:53.071 --> 01:02:56.562 Ist das ein ist das nicht sogar neunziger Jahre Thema? 01:02:56.580 --> 01:02:59.182 Äh lange auf jeden Fall. 01:03:00.036 --> 01:03:06.819 Also CCC hat dann mal zweitausendacht was zugesagt, aber da ist er. 01:03:08.262 --> 01:03:15.737 Äh lalala zweitausendsieben, ich du, ich weiß es ehrlich gesagt nicht von der, ja. 01:03:13.406 --> 01:03:16.025 Mai zweitausendsieben. Ja. 01:03:17.215 --> 01:03:19.312 Kam ja fast noch ein bisschen länger vor. 01:03:19.072 --> 01:03:32.340 Ist auch schon lang genug. Also dreizehn Jahre. Dreizehn Jahre eingesetzt und noch nicht verstanden, dass es alles total kontraproduktiv ist und nichts verhindert. Das verhindert gar nichts, nichts. 01:03:32.058 --> 01:03:36.546 Nee, überhaupt nicht. Naja, okay, dann haben wir gesagt, okay, 01:03:36.919 --> 01:03:50.205 das fand ich nämlich auch spannend, weißt du, wenn wenn du da jetzt in so einem Ausschuss sitzt, auch das habe ich ja im Eingangsstatement schon gesagt, wenn du in so einem Ausschuss sitzt und sagst, okay, wir wollen jetzt hier IT-Sicherheit sein, dann ist die eine Sache, die du sagen kannst, okay, wie kann man das, was wäre, was kann überhaupt ein Staat tun, 01:03:50.241 --> 01:03:58.545 damit die IT-Sicherheit steigt, ja? Und die andere Frage ist, was macht ein Staat denn eigentlich gerade? Ja und dann hier, Ausweitung von 01:03:58.516 --> 01:04:03.821 Staatstrojaner einsetzen, ne? Ist zwanzig siebzehn beschlossen worden, war nach dem. 01:04:04.639 --> 01:04:12.847 Nach dem letzten IT-Sicherheitsgesetz. So, da haben sie gesagt, ja, geil, wir machen jetzt IT-Sicherheit. Übrigens, äh wir wollen, wir wollen massiv in ähm 01:04:12.823 --> 01:04:21.842 in Staatsrennen investieren, dann äh Gesetz zur Anpassung des Verfassungsschutzrechts, wo dann irgendwie die Netzbetreiberin sogar noch in die Pflicht genommen werden durch gezielte Umleitungen, 01:04:21.879 --> 01:04:29.408 quasi dabei zu helfen, startest du dann auf deine Geräte zu installieren. Gesetz zur Modernisierung der Rechtsgrundlagen der Bundespolizei, 01:04:29.661 --> 01:04:34.341 wo Staatsräder gegen Menschen eingesetzt werden dürfen, die noch nicht einmal einer Straftat verdächtigt werden. 01:04:34.907 --> 01:04:49.250 Also wenn davon ausgegangen wird, dass sie eine Straftat in der Zukunft begehen werden oder angenommen wird, dass ihr Endgerät von einer verdächtigen Person benutzt werden wird. Das reicht aus für Abhörmaßnahmen und Staatsrennen auf deinen Geräten laut 01:04:49.196 --> 01:05:01.106 dem geplanten Gesetz zur Modernisierung der Rechtsgrundlagen der Bundespolizei. Und dann natürlich klar, das lasse ich mir nicht nehmen, Kooperation mit zweifelhaften Herstellern haben wir hier oft genug drüber gesprochen. Die Analyse von Torsten Schröder und mir 01:05:01.028 --> 01:05:06.412 des ähm diese Stadt zu einer den ja nun mal das BKA ähm. 01:05:07.115 --> 01:05:11.267 Zu dessen Kunden das BKA gehört, ne, der irgendwie, 01:05:11.370 --> 01:05:25.923 gegen die demokratische Opposition in Ägypten, gegen Aktivistinnen im Bareien, gegen also aus Äthiopien gegen Bürgerinnen der USA, gegen die Opposition in Uganda und äh hier gegen die Opposition in der Türkei eingesetzt wird, wo, 01:05:26.368 --> 01:05:29.949 ist ja immerhin, das habe ich ja hier sowieso eigentlich eine der. 01:05:30.725 --> 01:05:39.522 Undereported, großartigen Neuigkeiten des Jahres zwanzig zwanzig. War das denn noch? Wo es dann endlich mal Untersuchungen bei denen gab, ja? Ähm, 01:05:39.612 --> 01:05:48.788 aufgrund der Beschwerde gegen äh wegen oder der Strafanzeige, wegen des Verdachts des Verstoßes gegen Exportrestriktion. Ähm, 01:05:49.185 --> 01:06:02.495 Dann haben wir den hier mit Patrick Breyer darüber gesprochen, die äh Angriff auf die Vertraulichkeit von Messenger-Kommunikation, wo ich denen auch äh in der äh in der Anhörung nochmal gesagt habe, weißt du, nachdem sie die D-Mail verkackt haben? Und das besondere elektronische Anwaltspasswort, 01:06:02.663 --> 01:06:17.625 ist im Prinzip mit diesen mit Signal oder Threema ähm oder äh Matrix oder was auch immer, gibt's jetzt zum ersten Mal Massentaugliche Ende zu Ende Verschlüsselung für deutsche Bürgerinnen, deutsche Wirtschaft. 01:06:18.082 --> 01:06:23.376 Und was äh ähm habe ich in der in der äh Anhörung auch gesagt. Sind das nicht Sicherheit, 01:06:23.677 --> 01:06:29.019 äh durch Verschlüsselung und Sicherheit trotz Verschlüsselung, sei es Sicherheit durch Verschlüsselung, Punkt. 01:06:29.542 --> 01:06:39.997 Und statt sich darüber zu freuen, hast du jetzt halt so 'ne Trotzreaktion des BMI, die dann sagen, ja, nee, das geht aber so sicher wollten wir das aber nicht haben, ne? Das äh, können wir, können wir so aber nicht machen, es geht, 01:06:40.238 --> 01:06:48.590 Ärgerlich, wenn da, wenn die da dann wirklich gewonnene IT-Sicherheit dir wieder wegnehmen wollen und das ja sogar noch in der eigenen Behörde bauen, nämlich in diese Zithes, 01:06:48.939 --> 01:06:55.164 die ja quasi für das BKA, für den Bundesamt, für Verfassungsschutz, für die Bundespolizei ähm, 01:06:55.549 --> 01:07:09.117 Kryptoanalyse, Telekommunikationsüberwachung und so weiter gezielt bauen soll. Da hast du mal eine Konsolidierung, ne, also da kann ich ihnen gratulieren. Herzlichen Glückwunsch, da habt ihr mal eure Kräfte konsolidiert. Super, dass ihr die gegen eure eigene Bevölkerung richtet, diese Konsolidierung. 01:07:09.959 --> 01:07:19.050 Und was ich dann noch sehr spannend finde, ist der BND mit dem neuen BND-Gesetz, das äh muss man sich merken, weil es spielt später nochmal eine Rolle, 01:07:19.345 --> 01:07:28.616 soll ja jetzt spezifisch die Ermächtigung bekommen, die Befugnis bekommen, ausländische Telekommunikationsnetze zu hacken, 01:07:29.068 --> 01:07:41.127 und zwar zum Zwecke, dass er dort äh Kommunikationsinhalte ähm und so weiter und Bestands, Verkehrs- und Inhaltsdaten abgreifen kann. Ja? Und da sagen sie, dafür darfst du hacken. 01:07:42.227 --> 01:07:49.738 Und das muss man sich eben, muss man sich quasi im im Hinterkopf behalten für diese gesamte Diskussion, vertrauenswürdiger Anbieter, 01:07:49.859 --> 01:08:02.850 wo sie äh letztendlich das ist das sogenannte, ne, kann man sagen, Lex Huawei, ne, wo sie ja versuchen, ein Gesetz zu machen, um irgendwie das Risiko äh was von Huawei äh ausgehen soll äh in den in den Griff zu. 01:08:02.586 --> 01:08:04.701 Das angebliche Risiko. 01:08:04.990 --> 01:08:11.894 Genau, das angebliche Risiko. Aber wie gesagt, vor dem Hintergrund im Kopf halten so wir selber, der BND darf. 01:08:12.591 --> 01:08:19.459 Fremdanbieter Kommunikationsnetze in anderen Ländern hacken, um dort an die Daten zu kommen, ne. 01:08:19.544 --> 01:08:24.543 Abschließende Empfehlung, also das waren jetzt eine Reihe an Empfehlungen, habe ich so unter dem Absatz, wie gesagt, die Bundesrepublik 01:08:24.417 --> 01:08:37.985 äh Bundestag und Bundesregierung sollten IT-Sicherheit zum konkreten und kompromisslosen Ziel der Innenpolitik der Bundesrepublik Deutschland machen und dieses Ziel auch aktiv verfolgen. Bestrebungen zur Schwächung der IT-Sicherheit von Endgeräten und digitalen Infrastrukturen, 01:08:38.070 --> 01:08:46.704 umgehend einzustellen. Bereits erlassene Gesetze zur Schwächung der IT-Sicherheit von Endgeräten und digitalen Infrastrukturen sind entsprechend zu, 01:08:46.855 --> 01:08:55.291 revidieren. Bin mal gespannt, ob sie der Empfehlung folgen. Ich habe jetzt nicht den Eindruck, aber ich habe wenigstens mal sagen, was was richtig wäre. 01:08:56.259 --> 01:09:02.779 Ähm jetzt zu der Rolle des BSI. Es gibt hier eben einige, 01:09:03.013 --> 01:09:10.789 Also das BSI soll mit diesem Gesetz, also jetzt kommen wir quasi zur Kritik am tatsächlichen Gesetzesentwurf. Das BSI soll eine ganze Reihe, 01:09:11.005 --> 01:09:24.513 neuer Befugnisse bekommen. Ich bin nicht auf alle eingegangen, deswegen ähm schauen wir doch jetzt trotzdem mal einmal wenigstens der Vollständigkeit, damit wir das Gesetz auch, 01:09:24.790 --> 01:09:32.914 vollständig gewürdigt haben, zitiere ich mal eben aus der Zusammenfassung, sie sagen OK. 01:09:33.852 --> 01:09:48.051 Schwerpunktmäßig werden folgende Änderungen vorgenommen. Also das sind jetzt die Gesamtinhalte des IT-Sicherheitsgesetz zwei Punkt null. Verbesserung des Schutzes der IT der Bundesverwaltung, unter anderem durch weitere Prüf- und Kontrollbefugnisse des BSI. 01:09:48.574 --> 01:09:59.619 Und Festlegung von Mindeststandards durch das BSI. Ne? Habe ich mir nicht weiter, also habe ich mir angeschaut, habe ich aber nicht weiter was zu beigetragen. Sollen sie von mir aus machen. Schreiben sie noch ein paar Mindeststandards. Das können sie ja inzwischen ganz gut, 01:09:59.865 --> 01:10:07.454 Schaffung von Befugnissen zur Detektion von Schadprogrammen, zum Schutz der Regierungsnetze. 01:10:08.434 --> 01:10:19.497 Aha, da geht's also auch noch um die Regierungsnetze. Das so vorsichtig, also über Schadprogramme reden wir an anderer Stelle nochmal mehr. Abfrage von Bestandsdaten, 01:10:19.737 --> 01:10:31.250 Anbietern von Telekommunikationsdiensten, um Betroffene über Sicherheitslücken und Angriffe zu informieren. Da geht's darum, dass sie, sagen wir mal, in der Institut Response oder so 01:10:31.227 --> 01:10:37.481 halt mal über eine IP-Adresse stolpern und das BSI dann selber eine Bestandsdatenauskunft machen darf. 01:10:38.942 --> 01:10:48.424 Es ist aber hier von der Anwendung eben an an den Zweck der Information über Schwachstellen gebunden. Insofern ist das so. 01:10:49.128 --> 01:10:50.881 Ja, sagen wir mal. 01:10:51.303 --> 01:10:53.015 Könnte sinnvoll sein, ja. 01:10:53.136 --> 01:11:06.037 Ja, die Bestandsdatenauskunft ist ohnehin viel zu überborden, ne? Da haben wir andere Probleme mit. Wir erinnern uns ja übrigens auch an hier, ne Patrick Breier, Katharina Nokuon, mit der erfolgreichen Klage dagegen, da wo ja auch und die Passwörter, also es gibt, 01:11:06.380 --> 01:11:16.180 Probleme mit der Bestandsdatenauskunft, die grundsätzlicher Natur sind, aber das jetzt, sage ich mal, ein BSI potenziell, wenn es in einem aktiven Angriffsgeschehen wirklich einmal agiert. 01:11:16.973 --> 01:11:25.764 Und Betroffene äh von Angriffen oder Sicherheitslücken informieren möchte, dann sage ich mal, ist das jetzt nicht. 01:11:26.762 --> 01:11:36.196 Problem, ne? Also die Bestandsdatenauskunft an sich ist ein Problem, aber dass das BSI das machen würde, da sehe ich bei anderen viel größere Probleme, ne. Ähm. 01:11:36.900 --> 01:11:41.719 Vor allem, weil es hier einen konkreten Zweck gebunden ist, ne. Ähm, 01:11:42.121 --> 01:11:54.915 Befugnis für das BSI Sicherheitslücken an den Schnittstellen Informationstechnischer Systeme zu öffentlichen TK-Netzen zu detektieren sowie Einsatz von Systemen und Verfahren zur Analyse von Schadprogramm und Angriffsmethoden 01:11:54.824 --> 01:12:01.326 Kannst du mal ähm raten, was das tatsächlich bedeutet? Äh du, du kannst ja noch TK sprechen, ne? 01:12:02.378 --> 01:12:07.040 Die Schnittstelleninformationstechnischer Systeme zu zu öffentlichen TK-Netzen. 01:12:08.009 --> 01:12:09.162 Was mit denen jetzt? 01:12:09.607 --> 01:12:17.467 Ja, also was, was, was, was, was verbirgt sich hinter dieser Befugnis? Also, was ist überhaupt die Schnittstelle Informationstechnischer Systeme zu öffentlichen TK-Netzen? 01:12:19.757 --> 01:12:28.052 Nee, äh äh also äh wenn ich das jetzt richtig erinnere, ist das einfach, ne, dein, da sind quasi die IP-Adresse deines Routers. 01:12:28.560 --> 01:12:30.020 Ach so, das meinen sie. 01:12:28.994 --> 01:12:31.948 Also, ne? Das ist die Sache. 01:12:32.328 --> 01:12:34.183 Ah, verstehe. Oh Mann. 01:12:33.883 --> 01:12:44.531 Weil sie da eine Fußsicherheitslücken an den Schnittstellen, Informationstechnischer Systeme zu öffentlichen TK-Netze zu detektieren. Das ist quasi Deutsch Deutsch für Portscan. 01:12:44.231 --> 01:12:51.243 Das Englische ist manchmal doch ein bisschen eleganter, geringfügig. 01:12:51.220 --> 01:12:58.106 Äh und äh genau, da haben sie, 01:12:58.329 --> 01:13:12.113 Also dieser Teil ist es ist relativ eng eingegrenzt. Die dürfen also jetzt zum Beispiel nicht bei Privatpersonen, sondern nur bei denen kritischen Infrastrukturen und Unternehmen, besonderen, öffentlichen Interesses, diese diese Scans machen. 01:13:12.984 --> 01:13:23.867 Und äh ja, es gibt auch Leute, die das problematischer sehen, ja, dass das BSI jetzt äh äh Schwachstellendirektion macht. Es gibt da natürlich äh, 01:13:24.173 --> 01:13:36.516 Aber okay, ich wollte ja einfach nur mal die Übersicht machen. Also das ist das mit den Port Skins. Da reden wir auch gleich nochmal drüber. Da habe ich mich nämlich zu geäußert. Dann Schaffung einer Anordnungsbefugnis des BSI gegenüber Telekommunikations und Telemedien, 01:13:36.672 --> 01:13:44.021 Anbietern. Zur Abwehr spezifischer Gefahren für die Informationssicherheit. Da habe ich mich auch zu geäußert. 01:13:44.941 --> 01:13:55.384 Da geht's nämlich genau um diese ganze Heckpackgeschichte. Ausweitung der Pflichten für Betreiber, kritischer Infrastrukturen und weitere Unternehmen im besonderen öffentlichen Interesse. Ähm. 01:13:55.980 --> 01:14:01.369 Ja da da also normaler, bisher war das BSI nur für äh kritische Infrastrukturen, 01:14:01.544 --> 01:14:15.887 zuständig in dem Teil sagen sie, definieren sie quasi neu, was sie alles zur äh kritischen Infrastruktur benennen dürfen und was dass sie noch äh Unternehmen von besonderem öffentlichen Interesse äh mit aufnehmen dürfen. Da habe ich mich auch zu geäußert, kommen wir gleich zu. 01:14:16.717 --> 01:14:30.177 Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten. Das ist das Lex Huawei, ja? Äh da kommen wir ähm komme ich also auch nochmal zu, habe ich auch was zu geschrieben. 01:14:31.012 --> 01:14:43.836 Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI denkst du oh geil, schön, endlich, ne? Kümmern sie sich auch mal um uns. Ja, aber dazu gehört dann eben, das einzige, was sie da wirklich wirklich machen 01:14:43.626 --> 01:14:52.813 ist Schaffung der Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen, dass die IT-Sicherheit der Produkte sichtbar macht. Ähm. 01:14:53.336 --> 01:15:02.728 Ja habe ich auch ähm äh habe ich mich auch zu geäußert. Also kommen wir da jetzt im Detail zu. Äh genau. 01:15:03.894 --> 01:15:10.906 Dann das wären also das ist alles, was sie in diesem Gesetz machen, ne. Und jetzt haben wir mal 01:15:10.900 --> 01:15:25.322 Kommen wir jetzt zu den Dingen, habe ich ja gerade schon gesagt, zu denen ich mich äußert. Wir haben einmal das den Umgang mit Schwachstellen. Wir haben diese ganze Sache mit den. Also erstens ist das relativ eingeschränkt, denn die dürfen nur und formationstechnische Systeme, 01:15:25.370 --> 01:15:29.264 Systeme des Bundes oder kritischer Infrastrukturen, 01:15:29.367 --> 01:15:44.190 Digitaler Dienste und Unternehmen in besonderem öffentlichen Interesse auf Sicherheitslücken prüfen. Was Unternehmen in besonderem öffentlichen Interesse ist, klären sie später. Aber da habe ich mir überlegt, da wollen sie jetzt sagen, also das BSI soll Port Skins machen dürfen, ne? Soll kosten. 01:15:44.906 --> 01:15:54.148 Zehn Planstellen ähm und äh einmalige Kosten äh von. 01:15:54.911 --> 01:16:02.902 Also äh zehn Planstellen, die Kosten jährlich insgesamt ganz knapp eine Million und Sacheinzelkosten von einer Viertelmillionen, 01:16:03.090 --> 01:16:15.510 äh jährlich und einmalige Sachkosten in Höhe von eins Komma sieben Millionen, ne? Also eins Komma sieben Millionen einmalig und irgendwie so um die eins Komma eins, eins Komma zwei Millionen Euro, 01:16:15.684 --> 01:16:23.917 im Jahr. Dafür, dass die Porscans machen dürfen. Und da habe ich halt mal so gesagt, so okay, ich meine es, ihr habt recht, mit Potsdams machen auch Kriminelle. 01:16:24.674 --> 01:16:29.048 Und es ist äh unsinnig, euch das zu verbieten, ne? Macht das ruhig mal. 01:16:29.926 --> 01:16:41.980 Aber weißt du, wer macht denn heute noch einen Pottscan? Du gehst auf Shodan und guckst einfach, ne, gibst die IP-Adresse ein und guckst, was halt ein professioneller Scanner dort für Ergebnisse liefert. Und was sie halt irgendwie 01:16:41.836 --> 01:16:47.929 diese gesamte Idee geht davon aus, dass das BSI macht jetzt einen und sucht nach, 01:16:48.211 --> 01:16:54.580 Schwachstellen, die dürfen übrigens dann auch Passwortlisten auch durchprobieren, ne? Also die dürfen auch Brut vors Angriffe machen. 01:16:55.290 --> 01:17:07.398 Und die bilden sich jetzt ein, dass sie dann schneller werden als Angreiferinnen, also die glauben ernsthaft, dass das BSI irgendwie Port Scans macht und und Passwort Brutforst und wenn sie da was finden, 01:17:07.729 --> 01:17:17.932 dann sagen sie dir sagen sie diesen kritischen Infrastrukturen schnell Bescheid bevor die gehackt werden. Eine deutsche Behörde sagt dir schneller Bescheid. 01:17:17.632 --> 01:17:21.964 Oh 01:17:20.727 --> 01:17:24.260 Total äh. 01:17:23.960 --> 01:17:26.180 Dann auch eine eigene Warn-App beim BSI. 01:17:26.099 --> 01:17:29.211 War. 01:17:30.696 --> 01:17:40.815 Die ist auf jeden Fall rot. Also total irrsinnige Idee, ne? Da habe ich auch gesagt so, ey überlegt euch doch mal, ob ihr nicht bevor ihr jetzt hier äh jährliche Millionen ausgebt. 01:17:41.752 --> 01:17:56.060 Ob ihr nicht einfach mal ein Abo bei abschließt und dann gucken könnt, ne. Und vor allem, es ist wirklich unsinnig, dass das schneller, dass sie schneller werden, ne? Weil Angreifer, die suchen ja nicht nur nach Schwachstellen, sondern die Exploiten die direkt auch, ja? Und das kann das BSI ja nicht. 01:17:56.330 --> 01:17:57.700 Und jetzt kommt der Punkt. 01:17:58.650 --> 01:18:08.637 Und das finde ich wirklich eine Unverschämtheit, dass sie sagen, wenn sie in dem, wenn sie da was finden, also wenn sie irgendwo eine Schwachstelle finden, in kritischen Infrastrukturen, 01:18:08.859 --> 01:18:16.790 Kommunikations äh Entschuldigung, digitalen Diensten oder Unternehmen von besonderem öffentlichen Interesse, dann dürfen sie Bescheid sagen. 01:18:17.825 --> 01:18:21.875 Wenn dem überwiegende Sicherheitsinteressen nicht entgegenstehen. 01:18:22.494 --> 01:18:30.149 Dann dürfen sie den Informationstechnisch den für das Informationstechnische System verantwortlichen darüber informieren. Und jetzt frage ich mich. 01:18:30.270 --> 01:18:34.163 Was sind das für komische Gründe. Ja. 01:18:31.970 --> 01:18:35.833 Was sollen das denn für Interessen sein? Das ist doch ein IT-Sicherheitsgesetz, 01:18:35.996 --> 01:18:45.707 Und jetzt gibt's auf einmal überwiegende Sicherheitsinteressen, die dem entgegenstehen, die Betreiberin oder die Verantwortliche eines Informationstechnischen Systems darüber zu informieren, 01:18:45.887 --> 01:18:55.002 So äh ich kann da jetzt mal äh zitieren, ich bin da glaube ich etwas schroff geworden. Diese Einschränkung ist ein weiteres von unzähligen Beispielen für die 01:18:54.859 --> 01:18:59.882 Unterordnung der Sicherheitsinteressen, der kritischen Infrastrukturen der Bundesrepublik Deutschland 01:18:59.738 --> 01:19:05.458 über den Unsicherheitsinteressen des BMI. Es ist nicht weniger als eine durchschaubare Frechheit, 01:19:05.507 --> 01:19:15.506 Befugnisse zum Aufspüren von Sicherheitslücken zum Zwecke der Information der Betroffenen einzufordern und sich noch auf der gleichen Seite des Gesetzentwurfs von der Informationspflicht zu entbinden 01:19:15.482 --> 01:19:19.117 Finde ich absolute Unverschämtheit. Habe ich auch so gesagt, finde ich Frechheit. 01:19:19.051 --> 01:19:23.630 Nicht, dass das BSI dann irgendwie die Gauner warnt. 01:19:24.970 --> 01:19:36.351 Also ne, ist ganz klar unter keinen Umständen sollte es BSI jemals berechtigt sein, Bekenntnis von Schwachstellen etwas anderes zu tun, als die Betroffenen zu informieren, auf eine Beseitigung hinzuarbeiten und zu gegebenem Zeitpunkt die Öffentlichkeit zu wahren, 01:19:36.616 --> 01:19:40.443 fehlt hier auch vollständig drinnen. Da hätte man nämlich mal sagen können, okay, zack. 01:19:41.069 --> 01:19:56.000 Es gibt ja mitunter melden mit Schwachstellen an das BSI, ja? Und dann muss das B und für das BSI muss es dann einfach nur noch ein eindeutiges Mandat und ein Auftrag dafür geben, die zu beseitigen und dann kann's dann hast du etwas getan, was IT-Sicherheit steigert, ne? 01:19:56.602 --> 01:19:58.710 Aber nein, wollten sie nicht. 01:19:59.517 --> 01:20:13.403 So, dann haben sie, jetzt kommt der äh ein wildes Thema. Ja, wir haben's ja in den letzten in der letzten Sendung schon oder vorletzten Sendung darüber gesprochen, ähm dieser Emo-Ted Takedown, also wo jetzt die Situation so war. 01:20:14.244 --> 01:20:17.609 Dass sie die also diese, 01:20:18.012 --> 01:20:27.500 wir haben's in den letzten Sendungen erklärt, ich versuch's jetzt kürzer zu fassen, ne? Evotec äh ist im Prinzip erstmal nur ein Trojaner auf deinem Rechner. 01:20:28.540 --> 01:20:34.530 Der darauf wartet, ähm eben dich teilweise automatisiert, 01:20:34.820 --> 01:20:49.686 weiterzuhacken und äh potenziell auf Befehle von seinem Control-Server wartet, um dich manuell weiterzuhacken. Ja, gibt dir von dem Command an Control-Server wirkt quasi. 01:20:50.190 --> 01:20:50.833 Der, 01:20:51.146 --> 01:21:05.711 wirken die Hacker auf dein System ein, ne? Ist relativ klar, wenn ich jetzt irgendwie ein System mit einer Schadsoftware infiziere, die muss ja irgendwo hin zu mir zurückreporten und von mir Befehle bekommen. Das ist quasi dieser Command in Control-Server. 01:21:05.959 --> 01:21:12.767 So ein bisschen so der Fallschirmspringer hinter den feindlichen Linien, der sich dann erstmal irgendwo versteckt und auch weitere Befehle wartet. 01:21:13.735 --> 01:21:20.764 Genau. Und der hat ja einen Kommunikationskanal. Bleiben wir äh dieser Feinschip-Sprünge ist gar nicht so verkehrt. So, jetzt. 01:21:21.420 --> 01:21:28.246 Und der hat ein Kommunikationskanal äh Kanal. Und das BSI sagt jetzt äh dieses äh IT-Sicherheitsgesetz sagt jetzt, okay. 01:21:29.028 --> 01:21:38.130 Das BSI darf diesen Kommunikationskanal, dieses Fallschirmspringers umleiten und auch dem. 01:21:38.858 --> 01:21:48.677 Ähm technische Befehle zur Bereinigung geben. Ja, also der dieser ähm Fallschirmspringer ist ja jetzt quasi ein ein Chart-Programm. 01:21:49.278 --> 01:21:54.716 Und die dürfen jetzt quasi dem Schadprogramm sagen, äh lösch dich, 01:21:55.004 --> 01:22:08.627 ne? Zum Beispiel, das ist ja auch das, was jetzt mit diesem E-Moted versuchen wollen. Wo wir immer noch nicht wissen, auf welcher rechtlichen Grundlage sie das machen, aber auf jeden Fall wissen, dass sie es nicht dürfen. Äh weil's keine rechtliche Grundlage gibt. Deswegen sagen sie auch nicht auf welcher rechtlichen Grundlage sie das machen. 01:22:10.779 --> 01:22:20.495 Da wird's also jetzt kompliziert, weil es gibt zumindest ein Beispielfall, diese Geschichte, wo das unterm Strich, 01:22:20.663 --> 01:22:26.353 im Einzelfall ein positives Ergebnis hat, wenn das passiert, 01:22:26.619 --> 01:22:38.210 ne? Weil du hast jetzt, du hast potenziell eben Systeme von einer Schadsoftware bereinigt, die wenn du die Schadsoftware draufgelassen hättest, potenziell, 01:22:38.624 --> 01:22:47.601 Schaden hätten nehmen können. So, dieser Fall ist zumindest ein sehr schmaler, sehr genauer, 01:22:47.824 --> 01:22:55.203 spezifisch denkbarer eingrenzbarer Fall. Und die Herausforderung ist aber jetzt, wenn du sagst, das ist wünschenswert. 01:22:55.311 --> 01:23:07.870 Ja? Da musst du natürlich das aber gesetzlich so schreiben, dass das nicht absolut missbrauchbar ist, was du da schreibst. Ich hatte ja, glaube ich, in der letzten oder vorletzten Sendung schon gesagt, das juristisch umzusetzen ist total schwierig 01:23:07.852 --> 01:23:17.803 So und hier haben Sie jetzt in dem sieben B und sieben äh in dem sieben C sagen sie, okay. Um das zu verhindern, dürfen wir. 01:23:18.885 --> 01:23:28.175 Internetverkehr umleiten. Das ist im Prinzip äh also nennt sich SINK Holling. Ne, es wird im Prinzip gesagt, wenn du jetzt weißt, die IP-Adresse des, 01:23:28.241 --> 01:23:30.879 ähm dieser, wo der, 01:23:30.940 --> 01:23:43.799 wo der Command ein ist. Der Traffic dorthin, den können wir ja von mir aus auf Netzwerkseite bloggen und schon ist diese Schadsoftware von der ähm Kommunikation. 01:23:44.526 --> 01:23:47.116 Mit ihrem Command in Konfortserver abgeschnitten, 01:23:47.429 --> 01:23:56.832 und ähm das könnte potenziell eben eine äh Maßnahme sein, die sinnvoll ist, um den Angriff hier. 01:23:57.331 --> 01:24:11.020 Zu unterbrechen, ne? Und dann könnte man sagen, okay, wir Sink holen diese Kommunikation, die dorthin geht und wir äh gehen informieren dann, wir haben ja hier Bestandsdatenauskunft, die Betroffenen. Und sagen hier bitte einmal ähm, 01:24:11.182 --> 01:24:12.443 deinstallieren, 01:24:12.744 --> 01:24:22.665 Aber jetzt im Prinzip will den Leuten sagen, so zum Beispiel, ne, lieber Tim, auf der Mecco S ist, ist hier irgendwie eine Schadsoftware äh via Synchron, wir haben angeordnet 01:24:22.570 --> 01:24:31.330 dass der Traffic wird und jetzt musst du bitte auch noch diese Schadsoftware von deinem Computer äh deinstallieren, bevor die es sich irgendwie anders überlegt. 01:24:31.030 --> 01:24:37.145 Aber Linus auf dem Mac gibt's doch keine Schadsoftware. Ich bitte dich. 01:24:34.179 --> 01:24:37.670 Auf deinen Schuhen. 01:24:38.471 --> 01:24:40.492 Weißt du mehr als ich. 01:24:40.242 --> 01:24:42.014 Ich habe dir auch geschrieben. 01:24:41.764 --> 01:24:44.478 Echt? 01:24:45.488 --> 01:24:53.330 So, jetzt äh ne, jetzt also bis hierhin reden wir nur von Umleitungen. So und jetzt sagen sie, okay. 01:24:54.081 --> 01:25:00.534 Aber wir wollen am anderen Ende eventuell nicht nur einfach nicht antworten. 01:25:01.460 --> 01:25:07.547 Sondern wir wollen da vielleicht auch antworten. Ja, wir Infektionen, die du da hast. 01:25:08.239 --> 01:25:15.136 Und jetzt benutzen wir, jetzt geben wir quasi einen Commanden-Control-Befehl, löscht dich. 01:25:16.207 --> 01:25:25.015 In dem Moment hast du eben diesen Eingriff in die Integrität des Systemes der Bürgerin. Dieser Eingriff ist. 01:25:25.760 --> 01:25:35.585 Potentiell im konstruierten Fall, den wir gerade haben. Im Zweifelsfall im Interesse dieser Bürgerin, ja? Im Zweifelsfall ist das in deren in ihrem Interesse, aber, 01:25:36.030 --> 01:25:43.980 Du hast jetzt hier einen Gesetzestext, der das halt beschreiben muss, ja? Und hier wird im Prinzip, 01:25:44.287 --> 01:25:56.094 das ist einfach völlig unterspezifiziert, weil noch nicht einmal klar ist, ob sie diese Anordnung zum Versenden von Befehlen zur Entfernung nur ähm, 01:25:56.413 --> 01:26:02.301 über Telekom Kommunikationsanbieterinnen oder vielleicht sogar auch über. 01:26:03.059 --> 01:26:07.397 Telemedienanbieterinnen machen dürfen. Also zum Beispiel äh. 01:26:07.867 --> 01:26:20.906 Potenziell so etwas hätten wie hier Apple, ne, äh lösch mal bitte die App hier von Tims Handy. Und die Voraussetzung, was jetzt da eine App ist, das äh erstreckt sich sogar auf ähm. 01:26:21.567 --> 01:26:32.389 Also das kannst du auch so lesen, dass es zum Beispiel ein ein Hackertool wäre. Ja, also beispielsweise, sagen wir mal, du hättest eine Portscanner App oder eine App, die geeignet ist, ähm. 01:26:32.960 --> 01:26:41.937 Sehr viele Anfragen hintereinander zu nutzen. Und wenn mehrere Leute diese App benutzen, wäre sie geeignet, ein Dedos durchzuführen, ja? 01:26:42.923 --> 01:26:43.566 Und, 01:26:43.837 --> 01:26:56.209 Jetzt würden die sagen, oh, wenn mehrere Leute einen Dedos machen, ist das eine Gefahr für unsere Infrastruktur. Insofern ordnen wir jetzt mal lieber an, dass diese App von Tims Handy gelöscht wird, 01:26:56.371 --> 01:27:01.689 ja? Und das ordnen wir an, was weiß ich, mit einem Hebel gegenüber Apple. So. Dieses, 01:27:02.098 --> 01:27:06.839 Dieses Gesetz kannst du so lesen, dass das nicht eindeutig ausgeschlossen ist, 01:27:07.133 --> 01:27:16.219 Und das ist natürlich total krass. Also damit hast du quasi eine mal eben die die das eine, 01:27:16.231 --> 01:27:30.755 ein Recht zur zum Eingriff in die Integrität informationstechnischer Systeme und das wiederum Integrität informationstechnischer System ist ja ein Grundrecht. Also wir reden hier nicht von irgendwie so einem Ding, sondern wir reden hier von einem schwerwiegenden Eingriff, ja? Ähm. 01:27:31.495 --> 01:27:35.153 Und die einzige andere ähm ähm. 01:27:35.731 --> 01:27:43.272 Die einzige andere gesetzliche Regelung, nach der du das darfst, ist die Onlinedurchsuchung. Ne, also hier im Rahmen der Strafverfolgung mit. 01:27:43.885 --> 01:27:56.768 Früher Hohn jetzt immer geringeren rechtlichen Hürden, ne? Aber das ist die einzige das einzige die einzige gesetzliche Norm, die eine Verletzung dieses Grundrechts erlaubt. Die Quellen-TKÜ, 01:27:57.196 --> 01:28:06.923 also Staatstrojaner, die nur in Anführungszeichen Messenger abhören, aber nicht zum Beispiel in deiner Fotobibliothek äh suchen dürfen. Die sind, 01:28:07.302 --> 01:28:22.150 quasi sehr in ihrer Funktionalität begrenzt. Die dürfen zum spezifischen Fall des Abhörens von Kommunikation eingesetzt werden, aber die dürfen zum Beispiel nicht sonstige Änderungen auf deinem System vornehmen. Und das sind die einzigen, 01:28:22.283 --> 01:28:29.037 rechtlichen Norm, wo der Staat in die Intimität der äh IT-Systeme ein, 01:28:29.452 --> 01:28:37.672 greifen darf. Seiner Bürgerin. Und das wäre jetzt eine weitere dazu, ja? Deswegen ist das eben auch so eine total krasse Sache. 01:28:37.372 --> 01:28:39.006 Haarige Geschichte auf jeden Fall. 01:28:39.475 --> 01:28:40.580 So, jetzt. 01:28:41.086 --> 01:28:52.587 Habe ich dazu geschrieben so ist heute schon gängige Praxis. Es ist nämlich nicht so, als würde Syncrolling nicht stattfinden. Nicht nur beim Umleiden, ne? Also hoffe, ich hab's klar genug gemacht, das Umleiten ist A, 01:28:52.821 --> 01:28:57.148 oder eine Sache und dann eben auch andere Befehle zu geben ist eine andere, ne? 01:28:58.043 --> 01:29:06.588 Und beim Think Holling ist im Prinzip so, das funktioniert gerade schon ziemlich gut, ja? Ähm wenn du jetzt irgendwie, was weiß ich, 01:29:06.648 --> 01:29:11.828 irgendeine Schadsoftware auf deinem Computer hättest, die E-Mail Spam versendet, 01:29:12.159 --> 01:29:20.355 geht bei der, bei der Deutschen Telekom irgendwann automatisiert 'ne 'ne Grenze an und dann wird diese werden deine Verbindung zu, 01:29:20.637 --> 01:29:29.692 Port fünfundzwanzig einfach geblockt, ne? Und dann kriegst du einen Brief und wird gesagt, hier du schreibst zu viele E-Mails, guck mal, ob du nicht irgendwie ein Problem hast, ne? Das ist etwas, was die schon machen. 01:29:30.180 --> 01:29:40.028 Und ähm haben wir eben auch geschrieben so, dass diese Befugnisse haben die schon nach TKG, Paragraph einhundertneun a Absatz fünf und sechs und, 01:29:40.059 --> 01:29:54.744 Dabei sind sie auch da drin sind sie auch gut, ja. Äh ist ein eingespielter Prozess, da muss eigentlich das BSI jetzt nicht nochmal reinkommen, ja? Insofern sollte das BSI hier nur äh eingreifen und anordnen, wenn wenn es irgendwie, 01:29:54.762 --> 01:30:00.164 TK-Anbieterin nicht selbst in der Lage sind, diese Maßnahmen zu sprechen und umzusetzen. So. 01:30:01.204 --> 01:30:07.381 Jetzt kommt dieser einen eben die Sache, okay, wir Sink holen nicht nur, sondern wir antworten auf der anderen Seite. Ich meine, mir fallen als, 01:30:07.700 --> 01:30:18.168 Hacker tausend Wege ein, das das zu verhindern. Die einfachste Möglichkeit wäre einfach, netto signierst deine Commanden-Control-Befehle, ist eh gute Praxis, ja, dafür zu sorgen, 01:30:19.051 --> 01:30:26.557 dass du vorsorge dafür triffst, dass du deinen Commanden-Control-Server umziehen musst, ja? Da gibt's schöne ähm 01:30:26.497 --> 01:30:40.551 Möglichkeiten für zu sagen, okay, ne, du du nutzt halt Domaine und wenn dann der Domain-Name gelöscht wird, äh dann würfelst du dir einfach neue und dann, um sicherzustellen, dass du mit dem Richtigen redest, signierst du einfach den Traffic und schon hast du, 01:30:40.672 --> 01:30:49.030 Commanden Control, den so schnell keiner mehr umleitet und wo dir erst recht niemand am anderen Ende auf einmal Befehle gibt, weil eben 01:30:48.952 --> 01:31:02.701 deine Feinde, das BSI oder wer auch immer das dann ist, nicht in der Lage sind, die zu signieren, so wie du das machst. Aber okay, ich, was rede ich hier von Technik? Wir reden ja hier von IT-Sicherheitsgesetz, da spielt Technik ja erstmal nicht unbedingt eine Rolle. Ähm. 01:31:03.957 --> 01:31:04.930 Krass ist, 01:31:05.297 --> 01:31:15.639 dass sie sich dieses Recht einräumen, ohne zum Beispiel zu sagen, vorher muss alles andere geprüft sein. Also sie sagen zum Beispiel nicht, 01:31:15.933 --> 01:31:24.363 Okay, wir dürfen umleiten ähm und äh wenn das nicht reicht, können wir einen Löschbefehl geben 01:31:24.340 --> 01:31:37.974 ne? Oder wir dürfen umleiten und wenn wir dann die Leute informiert haben und die einen Monat lang oder fünf Monate lang oder sechs Monate nicht reagiert haben und es eine konkrete Gefahr gibt, die wir durch keine andere, 01:31:37.992 --> 01:31:47.865 Maßnahme irgendwie eingrenzen können, dann dürfen wir als Ultima Ratio mit, weißt du, von hundertachtzig Behörden äh und Prüfungen 01:31:47.740 --> 01:31:55.352 äh genehmigt und geprüft und dokumentiert und ähm revisionssicher, transparent gemacht, ne? Ähm. 01:31:55.888 --> 01:32:04.101 Diesen diesen Schritt ergreifen. Das steht da alles nicht drin. Das steht einfach nur so drin, so wir dürfen. Und das geht natürlich überhaupt nicht. Also haben wir geschrieben so 01:32:04.078 --> 01:32:18.631 Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität, informationstechnischer Systeme, müssen von eng definierten Voraussetzungen ausführlicher Transparenz und streng eingegrenzten Zielen flankiert werden. Das ist hier alles nicht der Fall. Das steht mehr oder weniger einfach nur so drin 01:32:18.578 --> 01:32:26.726 wir dürfen Schatzoffer, wir dürfen Befehle zum Löschen von Schadsoftware versenden. Das geht halt überhaupt nicht, ne. Und, 01:32:26.967 --> 01:32:33.582 sie steht auch nicht drin, dass sie da für irgendwas haften würden, ne? Kann ja sein, habe ich ja auch in der letzten Sendung schon gesagt, kann ja sein, dass ich das Stadtprogramm haben wollte 01:32:33.432 --> 01:32:38.798 ja? Und vor allem Startprogramm ist hier noch nicht mal klar definiert, weil, wie gesagt, es könnte eben auch ein 01:32:38.708 --> 01:32:48.851 Ja, ein Programm sein, was ich eigentlich ganz gerne haben wollte und was niemals äh mir zum Schaden gereicht hätte. Und all diese Fälle sind da überhaupt nicht mit abgedeckt. 01:32:49.272 --> 01:32:51.891 Und das geht halt so ähm. 01:32:52.986 --> 01:33:02.378 Ja, es geht überhaupt nicht. Das das Ding, das steht auf einer viertel Seite so, ne. Ja, wir dürfen also es steht im Prinzip drin so, wir dürfen zur Abwehr von Gefahr Sachen von deinem Computer löschen. 01:33:03.543 --> 01:33:15.982 Geht natürlich so überhaupt nicht, ne? Haben wir halt gesagt, OK, du brauchst 'n Aufsichtsgremium, du brauchst viel engere rechtliche Voraussetzungen, viel engere Zweckbindung, du musst erstmal die Begriffe definieren 01:33:15.964 --> 01:33:26.666 die hier eine Rolle spielen, ne? Nicht einfach Schadprogramm oder Information und so weiter, das also habe ich ja auch in den eigenen Statement gesagt, so wie das da steht, sehe ich ein riesiges Missbrauchspotential. 01:33:27.106 --> 01:33:37.410 Ich glaube auch nicht, dass die jemals an den Punkt der Notwendigkeit kämen, weil auch bei diesem sagen sie ja jetzt, 01:33:38.342 --> 01:33:42.614 dass sie de facto die Kommunikation SINK holen, 01:33:42.987 --> 01:33:56.387 ja? Sie sagen ja, also uns gehört die Angreifer, Infrastruktur, die Kommandanten-Control-Serverinfrastruktur und wir werden dann jetzt irgendwann den Befehl zur Löschung geben. So. Was sie aber nicht sagen ist, wir informieren jetzt die Betroffenen. 01:33:57.349 --> 01:34:09.066 Warum also warum ist das das muss doch vorgesehen sein in dem Prozess zu sagen bevor wir an deinem Computer rumfuhrwerken ähm sagen wir dir vielleicht erstmal Bescheid. 01:34:10.052 --> 01:34:19.462 Ist ja alles nicht vorgesehen. Also ich wie gesagt, es ist es ist hochkritisch, was da äh was da formuliert ist. Es geht so auf gar keinen Fall klar. 01:34:20.057 --> 01:34:26.397 Risiko ist übrigens, dass es wahrscheinlich genauso verabschieden. Man kann sogar so weit gehen. 01:34:27.304 --> 01:34:32.321 Zu sagen, okay, das dürfen die einfach grundsätzlich nicht. Also, wenn sie holen. 01:34:32.869 --> 01:34:43.414 Also unter der Annahme, dass es mal sauber juristisch formuliert wäre, ja? Und man sagt, okay, es ist eine Situation gegeben, dass es Command an. Es ist jetzt zum Beispiel auch nicht ähm, 01:34:43.847 --> 01:34:46.347 Ist ja überhaupt nicht genannt, ne. Also es könnte, 01:34:46.791 --> 01:34:57.259 Klingt halt tatsächlich so, dass sie auch, was weiß ich, wenn du irgendein Hackertool hast, dass sie sagen, alles klar. Äh wir schieben dir ein Update unter, was das Hackertool auf deinem Computer äh unschädlich macht. Das, 01:34:57.308 --> 01:35:06.339 wäre hier alles noch mit gedeckt. So und das ist wirklich äh brandgefährlich, ne, also ähm andere Sachverständige haben gesagt, okay, gehört ersatzlos gestrichen. 01:35:07.169 --> 01:35:16.061 Ich habe mich dazu entschieden zu sagen so, okay, das ist hier alles nicht das ist hier alles eine sämtliche Grundsätze sind verletzt und fehlen, 01:35:16.320 --> 01:35:27.437 versucht erstmal das ordentlich zu schreiben, ja? In beiden Fällen ist natürlich trotzdem davon auszugehen, dass sie dieses Gesetz jetzt einfach so verabschieden. Insofern habe ich halt gerätselt, ne? Gut 01:35:27.340 --> 01:35:32.448 führst du den einfach mal an, dass das halt absolut überbordend ist und völlig nicht in Ordnung. 01:35:33.211 --> 01:35:40.945 Und in der Hoffnung, dass sie ihnen das wenigstens mal vor Augen führst. Allerdings ähm ist es ja leider so, dass ähm. 01:35:42.316 --> 01:35:50.060 Muss halt jetzt irgendwie, sagen wir mal, nettes Wort. Äh in diesem Innenausschuss von Seiten der CDU ähm. 01:35:51.245 --> 01:36:04.495 Leute mit sehr großer äh Loyalität und sehr hohem Vertrauen äh zum BMI sitzen, die hohe Bewunderung auch für das BMI hegen und wie gesagt, um das sehr freundlich auszudrücken. 01:36:05.444 --> 01:36:17.552 Äh die dass ich das jetzt sehr das leider sehr unwahrscheinlich ist, dass die sich bemüht sich sehen äh daran nochmal etwas zu ändern. Und dann hättest du unterm Strich einen BSi das. 01:36:18.123 --> 01:36:26.776 Äh immer äh quasi sich den Interessen des BMI unterordnen muss und potenziell Sachen von deinem Computer löschen darf. 01:36:27.269 --> 01:36:29.288 Nicht so geil. 01:36:29.829 --> 01:36:34.546 Ja. Ist immer so ein bisschen, man hat so den Eindruck, es wird halt 01:36:34.486 --> 01:36:48.811 irgendwann mal festgestellt, so, oh, oh, fuck, da müssen wir jetzt mal irgendwie was machen, weil da steht uns die Scheiße bis zum Hals. Lass mal irgendwas ins Gesetz reinschreiben, was jetzt mal so genau das Ding irgendwie äh bekämpft und nicht äh allgemein formuliert 01:36:48.806 --> 01:36:53.150 Äh ohne groß darüber nachzudenken, welche Implikationen das hat. 01:36:53.384 --> 01:37:02.800 Es gab äh und genau das ist halt krass, weil ähm in diesem in dieser Anhörung gestern, ne, also nach meinem Eingangsstatement 01:37:02.669 --> 01:37:04.693 fühlte sich dann 01:37:04.621 --> 01:37:19.109 Also das war ja eine Sachverständigenanhörung, ne. Ähm und der Sinn einer Sachverständigenanhörung ist ja eigentlich, dass die Sachverständigen sich da äußern, ja. Und nach meinem Eingang Statement fühlte sich dann einer der. 01:37:20.017 --> 01:37:29.565 CDU-Politiker, nämlich der Christoph Bernstiel äh zu einer eigenen Sachverständigenauskunft genötigt? Wer hat denn da so einen Co-Referat gehalten? 01:37:29.853 --> 01:37:37.479 Wurde dann, äh wenn ich das richtig erinnere, auch von der Ausschussvorsitzenden dann eben zurechtgewiesen, dass das hier eine Anhörung ist und nicht, 01:37:37.563 --> 01:37:45.159 und er nicht als Sachverständiger geladen ist, so sinngemäß. Kann auch sein, dass jetzt nachher aus dem SPD Vertreter gesagt hat, der auch nochmal so ein gehalten hat. 01:37:45.970 --> 01:37:58.961 Aber der dann irgendwie erstmal so das das hohe Lied äh des BMI gesungen hat, ne. Also irgendwie was äh so ungefähr, was mir einfiel, ja, hier fehlende ähm. 01:38:00.025 --> 01:38:07.939 Rechtliche äh Schutz Barrieren in Form von Anforderungen und Transparenzpflichten äh zu, 01:38:08.372 --> 01:38:21.711 ähm zu fordern, dass wir äh man hätte ja fast den Eindruck, dass ich dem BMI nicht vertrauen würde oder so, ne? Und außerdem hat er dann gesagt, dieses Gesetz wäre ja nun mal äh also da da ging's um die ähm. 01:38:22.463 --> 01:38:33.976 Verzögerten äh oder diese kurzen Fristen, die wir hatten, um dazu Stellung zu nehmen. Und hat ja dann gesagt, ja, also den Interessierten würden ja nun mal dieser Gesetzesentwurf seit äh zwei Jahren vorliegen in 01:38:33.887 --> 01:38:38.380 äh und äh stetig verbessert werden, ne. Also die, 01:38:38.411 --> 01:38:46.390 Ausrede, dass sie sich hier mal kurz was ausgedacht hätten oder so, ne, die gilt nicht mehr, weil die an dem Zeug eben, wie gesagt, seit ähm, 01:38:46.506 --> 01:38:54.599 Seit zwei Jahren arbeiten und ich mein, du kannst entweder sagen, okay, die die äh die, 01:38:54.786 --> 01:39:02.549 die kurzen Fristen zu einreichen, einer Stellungnahme reichen ja wohl aus, weil wir haben dadurch ja seit zwei Jahren schreiben wir daran rum. 01:39:03.235 --> 01:39:10.409 Äh oder du kannst sagen, okay, äh das Gesetz ist ist noch nicht völlig ausgereift, aber ja, das war. 01:39:10.361 --> 01:39:15.961 Ist denn dein Eindruck überhaupt, dass diese Sachverständigen Anhörungen ernst genommen wird? 01:39:16.184 --> 01:39:25.240 Nein, überhaupt nicht. Und da wollte ich auch echt nochmal was zu sagen und insbesondere diese Sachverständigenanhörung nicht. Das war wirklich eine, 01:39:25.498 --> 01:39:34.265 eine besonders schlechte äh Leistung von nahezu allen, die da waren. Also das ähm ich habe, 01:39:34.446 --> 01:39:46.890 Ich war ja schon wirklich jetzt, ich weiß nicht mehr wie oft als Sachverständiger im Bundestag, aber irgendwo zwischen fünf und zehn Mal, vielleicht auch schon über zehn Mal, müsste ich nur mal rausholen, ich hab da nicht so so dicke Archive zu, ne. Aber. 01:39:48.230 --> 01:39:51.373 Du erinnerst dich vielleicht auch daran, dass ich mal, 01:39:51.578 --> 01:40:03.240 ähm in so einem äh als zu dieser Staatstrojaner-Anhörung, die war zwanzig siebzehn, wo der Patrick Sensburg mir eine Frage gestellt hat und gesagt hat, ich solle mal erklären, wie ein Staatstrojaner auf ein Handy kommt, 01:40:03.308 --> 01:40:12.092 So. Out of the blue, ja, der war von der CDU, die CDU hatte mich natürlich nicht als Sachverständigen bestellt, ja und ähm. 01:40:13.192 --> 01:40:21.863 Der äh ich es war ja deren Gesetzgegen, dass ich mich da äh sehr stark positioniert habe und der hat mir im Prinzip eine Interessenfrage gestellt 01:40:21.719 --> 01:40:28.467 so. Wo ich mich sehr gewundert habe. Habe ich lange drüber nachgeschaut und habe mir gedacht, warum hat der mich was gefragt, ne? Wollte der. 01:40:29.038 --> 01:40:36.801 Zeitschinden, ne, dass ich was nicht Relevantes äh vortrage und und nicht weiter Kritik an seinem Gesetz übe, ne? Und, 01:40:36.802 --> 01:40:46.253 die meisten Leute, mit denen ich da auch nachher drüber gesprochen habe, sagten so, nee, wahrscheinlich hat dich nicht einfach interessiert und er wollte die Gelegenheit nutzen bei jemandem zuzuhören, der sich damit auskennt, ne? Und. 01:40:46.729 --> 01:40:53.519 Vor allem aber war das das Krasse war, dass der dem Gespräch gefolgt ist. Ja, der hat offensichtlich, 01:40:53.933 --> 01:40:58.404 zugehört, was ich da sage und dann ist ihm eine Frage gekommen und dann hat er als, 01:40:58.807 --> 01:41:11.708 äh äh Bundestagsabgeordneter in einem Ausschuss, wo Sachverständige angehört werden, eine Frage an einen Sachverständigen gestellt. Und da habe ich die beantwortet, hat er Danke gesagt. So und das heißt, der hat dem der ist dem Gespräch gefolgt 01:41:11.655 --> 01:41:18.637 Ja, der hat zugehört und das war bei dieser Anhörung gestern, bei vielen nicht der Fall. So. Ähm. 01:41:19.340 --> 01:41:26.719 Du hattest zum Beispiel Dopplung in den Fragen. Ja, bei den Fragerunden ist das so, dass die ähm, 01:41:26.978 --> 01:41:34.254 das geht dann äh Reihe um nach den nach den Fraktionen oder nach den Parteien, große, ich glaube, Fraktionsstärke oder wie auch immer. 01:41:33.954 --> 01:41:35.804 Na ja, ich glaube, Fraktionsstärke. 01:41:35.865 --> 01:41:48.802 Ja, das ist ein Eimer ist es dann auch andersrum sortiert. Ich habe das nicht, bin nämlich so gefolgt, ne. Ich habe natürlich mich immer konzentriert, kommt eine Frage an mich und dann habe ich natürlich schnell versucht, die Zeit dafür zu nutzen, mich auf die Frage zu äh vorzubereiten. Ähm. 01:41:49.320 --> 01:42:00.592 So und da muss man jetzt was zu sagen. Jetzt haben natürlich die ähm die Bundestagsabgeordneten, die da sitzen, die haben natürlich vorgeschlagene Fragen von ihren Mitarbeiterinnen da liegen. 01:42:01.410 --> 01:42:09.810 Weil die Mitarbeiterinnen haben sich dann damit auseinandergesetzt und dann haben die quasi sie Fragen. Und diese Fragen sind natürlich, 01:42:10.122 --> 01:42:16.504 im Prinzip die Kritik der oder die Punkte dieser. 01:42:16.967 --> 01:42:31.046 Die diese Partei eben zu dem Gesetzesvorhaben gerne hören würde und wo sie davon ausgehen, dass die geladenen Sachverständigen, die sie da fragen, entsprechend etwas sagen, was was ihnen gefällt. Ja und. 01:42:32.050 --> 01:42:36.466 Ähm da kannst du natürlich einfach bei bleiben, 01:42:36.604 --> 01:42:49.848 Oder du folgst dem Gespräch und hörst mal, guckst mal, okay, wo liegt denn mein Sachverständiger seinen Schwerpunkt und wo frage ich den jetzt mal zu? Und mindestens kannst du ja, wenn dein Sachverständigen die Frage schon gestellt wurde, 01:42:49.981 --> 01:43:04.757 Darauf verzichten die auch nochmal zu stellen. Ja? Aber selbst das ist denen gestern nicht aufgefallen. Da wurde im Prinzip die gleiche Frage an den gleichen Sachverständigennummer gestellt, die eine andere äh äh eine andere Person in dem Ausschuss schon gestellt hatte. 01:43:05.033 --> 01:43:17.183 So oder ne, zwei Fragen zu dem gleichen Thema, die noch nicht mal die Frage dann im anderen Sachverständigen gestellt oder so. Und da kommen natürlich dann schon Zweifel auf, dass die Anwesenden alle, 01:43:17.599 --> 01:43:21.942 äh Gespräch gefolgt sind. So weil es weil es halt eher so eine. 01:43:22.947 --> 01:43:34.081 Was steht hier noch auf dem Zettel? Okay, dann jetzt die Frage, okay, dann antwortet der, alles klar, hoch äh was hat er gesagt oder so, ne, das war, 01:43:34.153 --> 01:43:41.610 also ja ich hatte nicht den Eindruck, dass sie da dem dem dass da eine Diskussion stattgefunden hat oder irgendwie großartig zugehört wurde. 01:43:41.310 --> 01:43:42.368 Schema F. 01:43:42.981 --> 01:43:52.084 Allerdings, ne, die sind, einmal sind sie total aufgebracht, weil ähm also man muss das so sehen. Äh die, die der ähm, 01:43:52.421 --> 01:44:06.962 Bundestag DE hat ja auch seinen eigenen Pressedienst, wo quasi draufsteht, wo sie auch so ein bisschen selber PMs halt machen, ne? Und da steht halt drin, äh die PM zu dieser Anhörung ist wenig Beifall für das geplante IT-Sicherheitsgesetz zwei Punkt null, ja, 01:44:06.969 --> 01:44:16.397 und da wird gesagt, die die Mai, also alle Sachverständigen fanden befanden es in der vorliegenden Fassung für völlig ungenügend. So und zwar alle 01:44:16.343 --> 01:44:21.775 ja? Ähm und äh eben auch die, die sich die, 01:44:21.973 --> 01:44:27.213 CDU da selber hingestellt hatte, insbesondere hier der Professor Gerds ähm. 01:44:27.790 --> 01:44:36.521 Hat verfassungsrechtliche Bedenken, verwaltungsrechtliche Bedenken äh geäußert und hat äh dann, glaube ich, auch den den Begriff verwendet, 01:44:36.594 --> 01:44:39.027 Sicherheitsgesetz. Und 01:44:38.943 --> 01:44:50.060 wie gesagt, der war, äh, glaube ich, nicht von der Opposition bestellt. Also, da haben, da waren sie dann, glaube ich, schon so ein bisschen nervös. Aber den Eindruck, dass sie da wirklich zuhören, haste nicht, 01:44:50.390 --> 01:44:59.133 Das äh muss ich leider mal an alle sagen, gibt's da Ausnahmen, bestätigen, von mir aus die Regel. Aber so insgesamt hier hier der Amtor war auch da, 01:44:59.368 --> 01:45:07.198 Alter Vater. Also die müssen ja, man muss da ja mit Abstand sitzen. So, die sitzen halt mit Abstand und Maske, ne? Ein Meter fünfzig Abstand und Maske 01:45:07.054 --> 01:45:14.337 So und wenn du jetzt ein Abenteuer bist, ne, der den ganzen Tag nur quasseln muss, weil er natürlich irgendwie nicht dem Geschehen da folgen möchte, weil det 01:45:14.259 --> 01:45:23.632 weil er keine Ahnung dafür hat, keine Anteile kriegt, äh keine, keine, keine Unternehmensanteile, wenn er da zuhört. Ähm dann quatscht er halt mit seinem Nachbarn, 01:45:23.903 --> 01:45:26.102 So und der Nachbar ist aber anderthalb Meter weg, 01:45:26.240 --> 01:45:34.227 So, das heißt, er muss lauter reden. Und dieser Ausschusssaal ist rund. Das heißt, der hat eine ganz fürchterliche Akustik. Das heißt, während du da sprichst. 01:45:34.756 --> 01:45:40.361 Hörst du natürlich auch alles, was andere sagen, ne? Also wenn der Abenteuer da mit seinem Nachbarn redet, das hörst du, 01:45:40.452 --> 01:45:46.485 und zwar relativ laut. Und ich persönlich habe ein bisschen Schwierigkeiten mich zu konzentrieren, wenn jemand anders mir die ganze Zeit ins Ohr 01:45:46.401 --> 01:45:59.459 quatscht äh und das das war also, habe ich als eine absolute Unverschämtheit äh empfunden und der wurde dann auch äh glücklicherweise irgendwann von der Vorsitzenden dann zur Ordnung gerufen. Und dann hat er sich mit seinem Handy beschäftigt so. 01:45:59.970 --> 01:46:01.982 Ähm tja. 01:46:01.682 --> 01:46:07.631 Ganz froh sein, dass er nicht parallel auf Clubhaus war und angefangen hat zu singen oder so. 01:46:07.776 --> 01:46:12.318 Der war kurz davor, sagen wir's mal so, also es war wirklich äh. 01:46:13.418 --> 01:46:23.026 Da da nee, da haste nicht den Eindruck. Aber und ich muss aber auch sagen, wie gesagt, ich war schon bei Anhörung, ähm wo das durchaus sehr viel besser war, ne. Und ähm. 01:46:23.700 --> 01:46:31.595 Vielleicht jetzt auch zur äh sagen wir mal zur Entlastung der Oppositionspolitikerinnen, die da eben die Fragen. 01:46:32.275 --> 01:46:36.715 Als sehr erkennt, also sehr auffällig abgelesen haben. 01:46:37.298 --> 01:46:49.310 Muss man eben sagen, die werden ja gerade zugeballert, ne? Es ist immer so, am Ende der Legislaturperiode stellen sie auf einmal fest, oh shit, wir haben hier den ganzen Tag nur rumgepimmelt. Wir müssen jetzt auch nochmal was machen und dann, 01:46:49.520 --> 01:46:57.050 fragten sie halt auf einmal, ne, hunderte Seiten von Gesetzesvorschlägen und so weiter auf die Opposition, 01:46:57.266 --> 01:47:01.123 die dann halt natürlich auf einmal, wie die Irren, die haben ja bei weitem nicht die Ressourcen. 01:47:01.935 --> 01:47:12.847 Sachverständige sucht den ganzen Mist, lesen muss und dann gibt's am Ende des äh gibt's immer so einen Dedosangriff, ne? Das war bei der äh bei dieser Staatsreha eine Anhörung der letzten auch so, dass sich da dann. 01:47:13.400 --> 01:47:17.474 Ja, das ist halt äh ein, ein, ein Hin und Her war 01:47:17.439 --> 01:47:32.299 und auch die Kommunikation mit den Abgeordnetenbüros dann halt da merkst du, da sitzen am anderen Ende Leute, die gerade einfach mal völlig überlastet sind. Und das trifft sicherlich auch eben auf die Abgeordneten der Opposition zu. So sie denn ihre Arbeit ernst nehmen und das würde ich 01:47:32.239 --> 01:47:38.807 eigentlich allen dort unterstellen. So, jetzt war das bei bei mir ja noch so, ich hatte ja gesagt, dass ich da auf Einladung der Grünen war. 01:47:39.432 --> 01:47:49.869 Und dass der Termin geändert wurde, was jetzt auch zur Folge hatte, dass der Konstantin von Notz nicht da sein konnte. Ja, der eben im Innenausschuss dieses Thema seit Jahren betreut und 01:47:49.756 --> 01:47:55.493 verfolgt, deswegen war dann eben seine Stellvertreterin da, die Tabea Rößner, die nicht so in dem Thema steckt. Und, 01:47:55.662 --> 01:47:59.947 ich kann natürlich auch verstehen, dass sie dann sagt, okay, ich habe hier meine, 01:48:00.151 --> 01:48:13.996 ne, mein Briefing bekommen, sicherlich, gehe ich jetzt mal vom aus, vom vom Büro Notz wird sie ein Briefing bekommen haben, so, da und da, um rum geht es uns, diese Themen, frag mal bitte, ne? Und dann wird dir das natürlich auch gemäß ihrer, 01:48:14.272 --> 01:48:20.804 Empfehlung Ihrer Kolleginnen, die Sie ja dann nun oder Ihres Kollegen, den Sie ja dann vertritt, auch gemacht haben. Das kann man ja jetzt auch nicht übel nehmen, 01:48:20.972 --> 01:48:32.521 Ne, so will ich jetzt, wie gesagt, will er niemanden konkret konkret kritisieren, haben alle ihre Gründe, ne? Aber so insgesamt wurde da jetzt nicht diskutiert oder so. Und insbesondere bei diesem Gesetz ist es ja so. 01:48:33.471 --> 01:48:39.937 Dass das äh weil es diese Dienste des digitalen Zeitalters betrifft, äh. 01:48:40.412 --> 01:48:52.880 Notifiziert werden muss. Das heißt, es muss der EU-Kommission zur Einsicht und zum Feedback vorgelegt werden, bevor es äh beschlossen wird. Und das wiederum heißt, wenn sie jetzt etwas daran ändern würden. 01:48:53.926 --> 01:48:58.499 Dann äh wesentlich, dann ist das nicht mehr das vorgelegte Gesetz. 01:48:59.257 --> 01:49:08.150 Und irgendwann würden sie eben, hätten sie halt so viel daran geändert und wenn sie meinen Empfehlungen folgen, dann haben sie alles daran geändert, dass sie das nochmal neu vorlegen müssten. 01:49:08.228 --> 01:49:10.162 Das dauert dann wieder ein paar Monate. 01:49:10.553 --> 01:49:17.866 Müssen wir erstmal neu formulieren und dann ist glaube ich diese Frist ist glaube ich sechzig Tage oder so also die die die, 01:49:18.029 --> 01:49:24.488 läuft ab Mitte März und du kannst eigentlich davon ausgehen, dass jetzt halt irgendwie, ich glaube. 01:49:25.108 --> 01:49:30.966 Mitte März irgendwann läuft diese Frist ab und dann wird das rucki zucki irgendwann äh im Rahmen einer äh 01:49:30.864 --> 01:49:38.357 einer öffentlich rechtlichen Nachtausstrahlung halt verabschiedet mit fünf Leuten im Bundestag, so ungefähr? Also das wäre jetzt das, was ich erwarten würde, jetzt 01:49:38.171 --> 01:49:54.701 ist natürlich der Punkt, da selbst eben die Sachverständigen, die von der Koalition bestellt wurden, fundamentale schwere Kritik an diesem Gesetz geübt haben, kann es halt schon sein, dass sie sagen, ja, okay, nee, das können wir eigentlich nicht machen, ne. Aber ähm ja, bin mal gespannt. 01:49:55.952 --> 01:50:00.812 Also ich gehe da äh also viel Hoffnung habe ich da jetzt eigentlich nicht. Einfach aufgrund der. 01:50:00.958 --> 01:50:06.431 Ja. Wie groß ist denn dieser Ausschuss? Wie muss, wie groß muss man sich die Runde vorstellen, die da versammelt war? 01:50:06.930 --> 01:50:18.546 Von der CDU waren glaube ich drei Leute da, dann hast du, war der König da vom BMI, dann war das Ausschussssekretar mit zwei Leuten da. Dann ich, dann einer von der SPD. 01:50:19.730 --> 01:50:29.614 Die eine eine Person von der Linksfraktion war da, die Petra Pau, dann die ähm Anke Domstadt Berg Remote zugeschaltet 01:50:29.590 --> 01:50:38.466 dann war der Manuel da von der FDP und noch irgendwie eine von der AfD und der, genau, 01:50:38.664 --> 01:50:50.508 Neben der Anke Domscheid Berg war noch die Tabea Rößner äh Remote zugeschaltet und die Sachverständigen. Ich glaube, jetzt habe ich keine wahrscheinlich habe ich jetzt eine Person vergessen. Äh tut mir dann leid. 01:50:50.208 --> 01:50:52.629 Eine Frage von der AfD bekommen. 01:50:52.611 --> 01:50:58.890 Nee, beide habe ich ja äh der Kelch ist zum Glück an mir vorbeigegangen. Da habe ich auch echt gedacht, boah gut. 01:50:59.660 --> 01:51:14.231 Einfach nicht in die Situation gekommen ähm insofern ähm sage ich mal nicht, wer weiß, sage ich mal nicht, was mir für diese für diese Situation vorgenommen habe oder hätte, da hätt's natürlich ähm, 01:51:14.622 --> 01:51:20.703 hätte es was zu sehen gegeben. Aber äh ja, nee, die hat jetzt äh mich nicht gefragt. 01:51:20.403 --> 01:51:29.188 Und hast du erwogen, äh ob des ganzen Hintergrund geraunt ist, einfach mal auf den Tisch zu hauen, also ich meine, wenn man so ein bisschen äh Aufmerksamkeit haben will, dann funktioniert das ja immer ganz. 01:51:28.888 --> 01:51:37.673 Och, ich glaube, die Aufmerksamkeit hatte ich schon. Ah, übrigens, ich habe vergessen, wer noch da war, der achso, der Sebastian Arzt, der saß auch da, der war, der war der einzige, andere Sachverständige, die vor Ort, 01:51:37.776 --> 01:51:45.971 damit müsste ich jetzt die Runde komplett haben. Und das ist dieser typische runde, so ein typischer runder Saal, die an der was ist das denn? 01:51:45.671 --> 01:51:47.023 Am Wasser da liegen. 01:51:46.963 --> 01:51:54.619 Genau. Äh nee, auf der anderen Seite. Also dem dem Reichstag zugewandt, diese runden Seele E siebenhundert. 01:51:55.070 --> 01:51:56.349 Okay. 01:51:56.980 --> 01:52:05.224 Und ja unter Coronabedingungen und so. Jetzt habe ich gar nicht mitgezählt, wie viel Leute es waren. Ja, war jetzt überschaubar, ne? Aber ist eben auch Corona. 01:52:05.700 --> 01:52:06.913 Oder Schnelltest. 01:52:08.188 --> 01:52:16.593 Aber alle mit Maske. Also die die ähm der Zugang war halt äh reingehend Ausweis da lassen 01:52:16.564 --> 01:52:28.720 einmal scannen. Inzwischen darf man Getränke mit reinnehmen, ich kann mich noch an Zeiten erinnern, da haben sie denen eine Matheflasche abgenommen. Ich durfte aber meine Thermoska meine eigene Thermoskanne mit reinnehmen, das ist auf jeden Fall irgendwann mal neu hinzugekommen. 01:52:29.213 --> 01:52:34.669 Und ähm ja Maske tragen, wenn du nicht redest, ne? 01:52:36.809 --> 01:52:48.057 Wobei ich jetzt nicht weiß, ich äh ob die AfDlerin da nicht sogar ihre Maske die ganze Zeit abhatte, die die haben ja so ein bisschen Narrenfreiheit, ne. Covidiotenfreiheit haben die ja. 01:52:50.347 --> 01:53:03.284 Das weiß ich aber nicht genau, also wirklich möchte ich jetzt gar nicht sagen, äh ich habe da nicht hingeguckt, äh aber alle Personen, die ich angeschaut habe, haben ähm ihre Masken getragen, wenn sie nicht gesprochen haben. 01:53:05.970 --> 01:53:08.151 Ja 01:53:08.662 --> 01:53:10.537 Deinen Notizen noch nicht. 01:53:10.237 --> 01:53:17.441 Es kam dann noch dieses Thema äh vertrauenswürdige Anbieter, ne. Da haben wir relativ viel zu geschrieben. Ähm 01:53:17.412 --> 01:53:35.384 Ich habe das ja hier auch im Logbuch schon mehrmals erklärt. Also es gibt es ist diese Huawei-Debatte, ne und da haben sie jetzt halt irgendwie gesagt, so das BSI darf anordnen, dass nicht vertrauenswürdige Anbieter nicht verwendet werden dürfen, ne. Das ist jetzt im Prinzip das Ergebnis dieser 01:53:35.181 --> 01:53:40.444 auch seit drei Jahren geführten Debatte um um Huawei, ne? Und. 01:53:41.196 --> 01:53:53.724 Im Prinzip zeigt sich daran ja nur eben diese diese Zahnlosigkeit und Hilflosigkeit des BSI, weil die hätten ja längst sich mal den Huawei Krempel auseinander nehmen können. Und ich würd's gerne noch einmal wiederholen, weil's 01:53:53.712 --> 01:54:03.260 Ich hab's jetzt schon mal erklärt, aber jetzt ist es eben auch, jetzt ist nicht das Gesetz vor. Erstens, es gibt keine Beweise dafür, dass Huawei Komponenten ähm, 01:54:03.436 --> 01:54:08.380 irgendwie unsicherer wären als die andere Herstellerin. So. 01:54:08.651 --> 01:54:19.059 Zumindest nicht öffentlich. Es wurde immer mal wieder gemeldet, irgendjemanden lege irgendeinen Beweis vor, aber die sind nicht öffentlich bekannt und es gibt, es hat auch niemand äh bisher, 01:54:19.065 --> 01:54:27.658 Maßnahmen ergriffen, ja, die ähm jetzt tatsächlich irgendwie dem Rechnung tragen würden, weil wenn Huawei wirklich hier irgendwie ähm. 01:54:28.500 --> 01:54:29.178 Ja 01:54:29.467 --> 01:54:40.487 nicht vertrauenswürdig wäre, dann müsstest du das ja nun wirklich einfach aus deinen Netzen wieder rausreißen. Und derartige Maßnahmen hat noch niemand ergriffen und man darf eben vor dieser ganzen Debatte nicht vergessen, dass ähm, 01:54:40.656 --> 01:54:50.606 der größere Teil der deutschen Mobilfunknetze jetzt schon mit Huawei Technik gebaut wurde. So und wenn jetzt Huawei sich als bösartig herausstellen würde, dann müssteste das Zeug halt rausrupfen. 01:54:51.238 --> 01:54:59.416 So zumindest deren Argumentation, ja? Ähm müsstest du im Zweifelsfall nicht, aber da komme ich gleich zu, so. Jetzt gleichzeitig haben wir über 01:54:59.362 --> 01:55:04.102 US-amerikanische Hersteller, glaube seit zwanzig dreizehn, konkrete 01:55:03.995 --> 01:55:13.555 beweise, dass deren Produkte Gebäck dort sind oder nachträglich von äh der äh von den Taylor Access Operations Gebäck dort werten, 01:55:13.723 --> 01:55:16.427 auf dem Weg zur Lieferung zum Kunden 01:55:16.301 --> 01:55:28.944 Und da haben wir ja auch nichts gegen unternommen. Insofern warum sollte, ne, also da wo Beweise vorliegen, haben wir nichts unternommen, da wo wir behaupten, das wäre ein Problem, aber keine Beweise vorliegen, haben wir auch nichts unternommen, also was soll das alles, ne? 01:55:29.468 --> 01:55:37.748 Und ich habe ja ähm jetzt den Teil weiß ich nicht, ob ich den schon bei Podcast erklärt habe. Also, ich habe 01:55:37.616 --> 01:55:50.276 ja früher sehr viel im Bereich von Mobilfunknetzen gearbeitet. Und ich habe auch hier zwanzig dreizehn mit meinem Kollegen Luca äh im Regierungs äh hier Handy abhören, demonstriert, ne. Und, 01:55:50.547 --> 01:55:59.284 der die Schwachstelle, die dabei eine Rolle spielte in GSM. Die war, bestand im Prinzip aus, 01:55:59.495 --> 01:56:07.324 ich erkläre sie jetzt mal einfach. Ein bisschen komplizierter, ich mache mir das Prinzip klar. Die bestand daraus, dass. 01:56:08.046 --> 01:56:18.681 In GSM sendest du quasi Pakete in sogenannten Frames, also du hast immer pro Zeiteinheit eine gewisse Anzahl Daten, die du übertragen kannst, 01:56:19.030 --> 01:56:23.662 Und wenn du jetzt eine Nachricht sendest, die nicht den kompletten, 01:56:23.970 --> 01:56:33.493 komplette ähm Bandbreite dieses Frames ausnutzt. Das heißt, du hast quasi noch Bits übrig. Ja, also schickst eine Nachricht, du hast aber noch Bits übrig. 01:56:34.209 --> 01:56:45.031 Ähm dann wird wird das trotzdem gefüllt, ne? Also ein Wert wird einfach quasi ein Padding um die Nachricht gemacht, damit du in dem Takt bleibst, den dir quasi dieses Funksystem vorgibt, 01:56:45.253 --> 01:56:49.376 Ist das äh ist das klar? Äh verständlich Tim? 01:56:49.352 --> 01:56:53.077 Ich denke äh schon. Die haben halt immer dieselbe Länge. 01:56:53.126 --> 01:57:03.809 Haben immer dieselbe Länge, genau, die haben die Nachrichten haben immer dieselbe Länge oder die Frames haben immer dieselbe Länge, die Nachrichten sind in den Frames und wenn der eine Nachricht kürzer ist als der Frame, dann machst du halt ein Padding dazu. Und, 01:57:04.044 --> 01:57:10.912 die Fehlimplementierung war, die den Angriff quasi ermöglicht hat, dass dieses Padding statisch war, 01:57:10.930 --> 01:57:17.744 Das heißt, ähm du wusstest, dass bestimmte Nachrichten am Ende auf jeden Fall dieses Padding haben. 01:57:18.406 --> 01:57:31.427 Weil sie, wenn sie zu einer bestimmten Zeit kommen, weißt du, diese Nachricht ist so kurz und wenn die so kurz ist, dann hat die das Padding und wenn das Padding halt den größeren Teil der Nachricht ausmacht, hast du letztendlich etwas, wo du ein 01:57:31.421 --> 01:57:37.160 nointext Angriff drauf machen kannst. Mit anderen Worten du hast die verschlüsselte Nachricht. 01:57:38.031 --> 01:57:44.359 Kennst Teile des Inhaltes der Nachricht und deswegen kannst du jetzt anfangen, den Schlüssel zu knacken, 01:57:44.648 --> 01:57:49.201 weil du eben, ne, dann einfach sagen kannst, okay, ich brutforste jetzt den Schlüssel. 01:57:50.176 --> 01:57:59.862 Weil ich eben Teile der Nachricht kenne und wenn du dann diesen Schlüssel hattest, konntest du ähm quasi auch den Rest des Datenstromes entschlüsseln. 01:58:00.908 --> 01:58:07.536 So und diese Schwachstelle steckte halt in den GSM-System. So 01:58:07.524 --> 01:58:19.229 und die war kombiniert mit anderen Schwächen des Algorithmus und so weiter hat es dazu geführt, dass du quasi Rainbow Tables dir machen konntest, also du hast einfach statt wirklich jede Nachricht 01:58:19.170 --> 01:58:28.255 einmal zu cracken, hast du einfach einmal mit allen Keys alle Nachrichten äh verschlüsselt und. 01:58:29.337 --> 01:58:36.740 Aber nicht alle Ergebnisse gespeichert dafür hast du nicht genug Platz sondern du machst quasi. 01:58:37.828 --> 01:58:42.100 Super geiles Konzept. Ich weiß nicht, ob ich das schon mal in der Sendung erklärt habe. Ähm. 01:58:41.962 --> 01:58:54.123 Also so vorausgerechnete äh Listen von Zahlen und äh möglichen Kombinationen, mit denen man dann im Zweifelsfall schnell äh in Echtzeit Nachrichten entschlüsseln kann. 01:58:54.184 --> 01:58:59.190 Richtig, aber die Idee, die Idee der Rainbow-Table ist im Prinzip, du hast quasi. 01:58:59.995 --> 01:59:09.748 Key und Nachricht, ne? Und du verschlüsselt jetzt die Nachricht mit mit Key eins und das, was dann rauskommt. 01:59:10.409 --> 01:59:21.856 Daraus leitest du quasi Key zwei ab, was dann rauskommt, vier, K fünf, ja? Und dann speicherst du dir nur das Ergebnis, sagen wir mal zum Beispiel nach dem siebten Lauf. Und damit hast du quasi 01:59:21.766 --> 01:59:27.126 das Ergebnis des ersten Laufs und das oder den Kie des ersten Laufs, 01:59:27.270 --> 01:59:32.822 Und das Ergebnis des siebten Laufs speicherst du dir nur. Und die dazwischen die Schritte nicht, 01:59:33.141 --> 01:59:43.789 Das ist wichtig, ne? Also Anfang und dann nach sieben Wiederholungen oder können auch zehn sein, ne, kommt drauf an, wie du optimierst. Das Ergebnis speicherst du dir. Und jetzt nimmst du quasi. 01:59:44.438 --> 01:59:53.428 Von einer gegebenen Nachricht, die quasi verschlüsselt ist, machst du einfach auch sieben solche Durchläufe, dann hast du sieben Ergebnisse. 01:59:54.558 --> 01:59:57.267 Und jetzt guckst du in deiner Rainbow Table einfach nur, 01:59:57.411 --> 02:00:10.024 ob eines dieser sieben Ergebnisse in deiner Rainbow-Table vorkommt. Und es wird vorkommen. Und da wo es vorkommt, musst du dann einfach nur rückwärts quasi die Operation durchführen und kommst dann an den richtigen Key. 02:00:10.782 --> 02:00:11.335 Ich, 02:00:11.389 --> 02:00:21.340 vermute, dass es jetzt auf Anhieb nicht sofort verstanden ist, also du du speicherst quasi wirklich eben von mehreren Durchläufen einfach nur einmal anfangen und dann das Ergebnis 02:00:21.243 --> 02:00:26.760 und dann suchst du quasi machst du selber einfach nochmal sieben Durchläufe und suchst nach diesen sieben 02:00:26.646 --> 02:00:35.737 und einen davon wirst du finden, dann brauchst du nur rückwärts zu rechnen und dann hast du den Key. Also letztendlich ein Time-Memory-Trade oft beim beim Passwort kriegen, 02:00:36.044 --> 02:00:45.411 könnte es natürlich auch einfach eine Tabelle mit allen machen, dann brauchst du aber viel zu viel Speicherplatz oder du könntest halt auch einfach jeden einzelnen. 02:00:46.391 --> 02:00:47.137 Anlauf. 02:00:47.761 --> 02:01:02.526 Von neuem tracken, dann brauchst du aber viel zu viel CPU-Time. Unten mit Rainbow Tables machst du quasi optimierst du auf den Sweetspot, dass du den Look ab noch schnell genug hinkriegst und nur so und so viel Terabyte äh Speicherplatz dafür brauchst. 02:01:02.418 --> 02:01:05.482 Na ja, langer Rede, kurzer Sinn, diese 02:01:05.369 --> 02:01:15.650 Schwachstelle war quasi auf der Luftschnittstelle von GSM und das hat es eben das vollständig passive Abhören von GSM-Telefonaten ermöglicht mit, 02:01:15.939 --> 02:01:23.142 zu dem Zeitpunkt halt, was weiß ich, Hardware Invest von, sagen wir mal ein paar tausend Euro, ne? Und. 02:01:23.642 --> 02:01:30.125 Natürlich zwanzig Jahre vorher war die gleiche Schwachstelle, vielleicht eben für ein paar hunderttausend ausnutzbar. 02:01:30.840 --> 02:01:40.304 Ähm oder vielleicht auch fürn, für eine Million ausnutzbar, weil das eben, ne, die Computing Power und der Speicherplatz noch nicht der Allgemeinheit zur Verfügung stand. Und 02:01:40.287 --> 02:01:46.590 ohne da jetzt eine Verschwörungstheorie draus äh spannen zu wollen, so eine Schwachstelle wäre natürlich super geil, 02:01:46.999 --> 02:01:55.682 Wenn du jetzt sagst, du bist ein nicht vertrauenswürdiger Anbieter, verkaufst dein Krempel ins Ausland und hast eine Schwachstelle, die am Ende aussieht wie ein Bag. 02:01:56.217 --> 02:02:04.227 Die ähm sich von normalen Konsumenten in den nächsten zehn Jahren nach nicht so einfach ausnutzen lassen wird 02:02:04.107 --> 02:02:13.775 Aber wenn du jemandem sagst, wie die Schwachstelle genau aussieht, einen Geheimdienst halt problemlos in der Lage ist, sagen wir mal halt ordentlich Kohle zu investieren 02:02:13.661 --> 02:02:16.317 um diese Schwachstelle ausnutzen zu können. 02:02:17.140 --> 02:02:29.669 Und worauf ich hinaus will, ist das Geile daran ist, es sieht einfach noch wie eine wie eine Schwachstelle aus. Und ein Bug, ja? Und wenn dann irgendwann zwanzig Jahre später, ne, irgendwie ähm, 02:02:29.898 --> 02:02:37.998 ein paar äh Forscher zu dir kommen und sagen, übrigens, hier da gibt's so einen Back, den musst du mal fixen. Na, dann wird der Bug halt gefixt und alle haben alle happy, 02:02:38.299 --> 02:02:48.123 Insofern würdest du als nicht vertrauenswürdige Anbieterin natürlich eher deine Sachen wie ein Back aussehen lassen als wie eine absichtliche Backdoor. 02:02:49.818 --> 02:02:59.997 Schon mal ganz klar, ne? Du würdest nicht irgendwie eine, ja, keine Ahnung, Passwort, äh, chinesischer Geheimdienst und du kommst rein, so, sondern du würdest halt machen. 02:03:01.133 --> 02:03:12.574 Jetzt ist die Frage, ich habe ja jetzt schon gesagt, das Beispiel, was ich gerade genannt habe, ist äh die Vertraulichkeit. Und ich halte auch quasi den Angriff auf die Vertraulichkeit für das realistischste Angriffsziel, 02:03:12.953 --> 02:03:24.904 was du mit Hilfe einer nicht vertrauenswürdigen Anbieterin ähm realisieren würdest. Die anderen Angriffsziele werden dir Verfügbarkeit oder die Integrität des Systems anzugreifen, 02:03:25.091 --> 02:03:34.332 Verfügbarkeit heißt, du schaltest das Mobilfunknetz aus, ne, was also im Prinzip ein ähm ein äh kriegerischer Akt ist. 02:03:34.970 --> 02:03:41.580 Und ich sag mal, wenn wir soweit sind, dass wir uns davor Sorgen machen müssen, dass die, 02:03:41.880 --> 02:03:45.516 dass China uns das Mobilfunknetz abschaltet, 02:03:45.739 --> 02:03:53.033 Dann haben wir echt sowieso ganz andere Situationen, ne? Und das könnten die halt auch im Zweifelsfall, wenn's nicht von von Huawei ist. 02:03:52.925 --> 02:04:07.382 Und Integrität, ja klar, da könntest du halt dann sagen, okay, du du nutzt das jetzt zum zum Angriff oder so, aber auch dafür bräuchtest du halt administrativen Zugriff auf das Netz und du kannst jetzt nicht irgendwie so sowas machen, wie äh auf ähm. 02:04:07.960 --> 02:04:09.276 Was weiß ich äh, 02:04:09.612 --> 02:04:24.256 Admin Punkt T Mobile Punkt DE gehen und und sagen wir konfigurieren jetzt das Netz um, sondern diese kritischen Komponenten, die administrative Schnittstellen ist ja nicht gar nicht so einfach erreichbar. Mit anderen Worten so die realistische Schwachstelle, die du einbauen würdest, wäre. 02:04:24.786 --> 02:04:33.690 Vertraulichkeit äh angreift äh äh die Vertraulichkeit gefährden und zwar vor allem durch etwas, was aussieht wie ein Back, wenn es jemand entdeckt. 02:04:34.201 --> 02:04:36.953 Interessanterweise wird in diesem. 02:04:37.945 --> 02:04:49.740 In diesem Gesetzesentwurf quasi das Risiko nur eingegrenzt auf ähm Systeme, ähm die die. 02:04:50.780 --> 02:05:04.048 Ähm Sicherheit, ah hier ein Hersteller einer kritischen Komponente ist nicht vertrauenswürdig, wenn die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die geeignet sind oder waren, 02:05:04.199 --> 02:05:13.993 missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder funktionsfähigkeit der kritischen Infrastruktur einwirken zu können. Was fehlt ist Vertraulichkeit. 02:05:15.039 --> 02:05:24.299 Das ist geil. Das haben die einfach ausgeklammert. Das einzige realistische Risiko ist ist die Vertraulichkeit. Und er hat's ja eingangs gesagt, 02:05:24.708 --> 02:05:28.427 in dem neuen BND-Gesetz sagen sie der BND, es darf, 02:05:28.710 --> 02:05:36.184 äh Netze hacken, um dort die Vertraulichkeit zu schädigen. Der BND darf aber nicht, 02:05:36.438 --> 02:05:50.480 Die Verfügbarkeit und Integrität äh und also Funktionsfähigkeit beeinträchtigen. Also die wissen selber, dass das einzige, was du machen willst, ist die Vertraulichkeit angreifen. Aber in ihrem Lex Huawei lassen sie. 02:05:50.943 --> 02:05:55.168 Vertraulichkeit aus der Definition raus. 02:05:55.330 --> 02:06:01.633 Also wurde dir frag so, Leute, was raucht ihr denn oder was trinkt ihr und vor allem wie viel? 02:06:01.561 --> 02:06:08.297 Das also total, total unsinnig, ne? Du liest das und denkst dir so, ey, das ist doch wirklich absoluter Quatsch. 02:06:08.166 --> 02:06:18.939 Und vor allem überall in dem Gesetz steht drin, äh Vertraulich Verfügbarkeit, Integrität, Vertraulichkeit, weil das nun mal einfach die drei Schutzziele der Informationssicherheit sind, habe ich da auch verlinkt, ja, Wikipedia, 02:06:19.114 --> 02:06:28.241 Informationssicherheit. Also gegen das einzige realistische, dass das wirklich realistische Angriffsziel. 02:06:28.993 --> 02:06:37.375 Haben Sie hier rausgenommen? Wo die warum? Warum? Warum habt ihr das gemacht? Und zweitens ähm. 02:06:37.832 --> 02:06:39.862 Wenn das jetzt so wäre, 02:06:40.356 --> 02:06:55.330 kommt eben der Punkt, wie wie kannst du dich jetzt gesetzlich dagegen wehren? Oder Staat von staatlicher Seite. Dann kannst du halt sagen, okay, äh wir untersagen jetzt den Einsatz dieser Komponente und da muss die rausgerupft werden. Wie gesagt, dann dürfte die, wenn man jetzt feststellt, ah okay. 02:06:56.100 --> 02:06:58.250 Huawei hatte eine. Dann, 02:06:58.329 --> 02:07:07.306 das BSI eben anordnen, dass die Deutsche Telekom das Mobilfunknetz abbauen muss. Das wird sie natürlich nicht machen, weil die dann im Zweifelsfall, was ich gerade sagte, halt ein Upda, 02:07:07.397 --> 02:07:16.752 äh verlangen und dieses Netz halt weiter betreiben. Also das ist seit alles von vorne bis hinten äh totaler Unsinn. Und wenn du dich dagegen schützen willst 02:07:16.609 --> 02:07:25.766 dann würdest du halt sagen, alles klar. Ähm wir äh machen zum Beispiel einen hinterlegen, 02:07:26.067 --> 02:07:33.806 des Quellcodes zum zur Voraussetzung, dass wir sagen können, okay, wir können dieses System auditieren, 02:07:34.095 --> 02:07:40.428 und schlimmstenfalls, wenn wir hier irgendwie in eine kriegerische Konflikte kommen, dann können wir diese Systeme selber patchen, 02:07:40.747 --> 02:07:48.126 Ähm wir wollen, wir stellen von staatlicher Seite Audit Ressourcen bereit. Äh wir äh. 02:07:48.673 --> 02:08:02.121 Gucken, dass irgendwie Best Practice ist in Architektur, Bild und so weiter, ne? Zum Beispiel oder so. Das sind ja alles Anforderungen, die du machen könntest. Und du könntest vor allem auch sagen, na ja okay, wir fördern halt die Software, 02:08:03.125 --> 02:08:15.828 als Bundesrepublik Deutschland, die auf diesen Dingern laufen soll, halt selber und machen auf diese Weise die äh Wirtschaftsförderung für unsere ähm für unsere europäischen Anbieterinnen. 02:08:17.685 --> 02:08:26.950 Aber nein, all das findest du da nicht drin. Also es ist wirklich so und jetzt ist halt du kannst hier nicht vor, also ich kann mir nicht vorstellen, dass im BMI äh Leute sitzen, die das nicht wissen, 02:08:26.963 --> 02:08:35.526 So oder im BSI Leute sitzen, die nicht genau wissen, äh wo der Hase lang läuft. Und dann kommt natürlich noch der Punkt, was ich ja schon gesagt habe, diese. 02:08:36.241 --> 02:08:38.206 Komponenten sind, 02:08:38.512 --> 02:08:51.299 ähm ja, die kommen aus China, also wenn du jetzt, wenn du jetzt du bist jetzt, was weiß ich, die Deutsche Telekom oder Vodafone oder wer auch immer. Und jetzt sagst du, ah okay, ich möchte Huawei in meinem Netz haben, dann, 02:08:51.510 --> 02:09:01.160 Bestellst du ja nicht auf Huawei Dot com oder Shop Warway dot com äh so und so viele äh oder so, sondern du hast äh, 02:09:01.395 --> 02:09:08.936 quasi äh äh Netzwerkkomponenten, was weiß ich, die Funk äh Funktürme oder was auch immer du jetzt haben willst, ne. 02:09:09.891 --> 02:09:22.306 Sondern du arbeitest halt mit einer deutschen GmbH und Co KG oder so was ist denn die Rechtsform? Was weiß ich Huawei Deutschland? Kannst du also garantiert gibt's eine haben wir glaube ich auch schon mal im Logbuch geguckt, ne? Huawei, 02:09:22.655 --> 02:09:30.070 Deutschland. Wenn du dazu suchst, findest du wahrscheinlich eine in Bonn oder Düsseldorf ansässige GmbH. 02:09:31.128 --> 02:09:38.909 Ach so, jetzt bin ich bei den Consumer Produkten. Ach so hier ist Deutschland GmbH in Düsseldorf. Ne? Düsseldorf weil da, 02:09:39.204 --> 02:09:45.110 früher ähm E Plus und Vodafone äh waren und Bonn ist dann halt auch nicht weit 02:09:45.015 --> 02:09:59.772 Und das ist dann im Prinzip, jetzt weiß ich nicht genau, ob das genau diese GmbH, wahrscheinlich werden sie nochmal eine andere GmbH für die Netzausrüstung haben, aber quasi nett die Deutsche Telekom, wenn die sagen, okay, wir kaufen jetzt hier Huawei, dann dann arbeiten die zusammen mit einer deutschen GmbH, 02:09:59.893 --> 02:10:01.641 die sich darum kümmert, dass diese. 02:10:02.801 --> 02:10:11.604 Produkte eben auch bei denen integriert werden. Das ist eben nix, was du kaufst, die Bedienungsanleitung liest und dann schraubst du das schraubst das an den Turm oder so 02:10:11.515 --> 02:10:15.108 ne? Klar machst du schon, ja? Aber letztendlich 02:10:14.964 --> 02:10:28.652 gibt's da ja auch ganz viele individuelle Konfigurationen, Anpassungen, Anforderungen, Features, die du haben willst, nicht haben willst und so. Das kaufst du dein dein eigentlicher Vertrag ist am Ende mit einem deutschen Unternehmen. Und dieses deutsche Unternehmen zu testen 02:10:28.520 --> 02:10:38.147 und Konfigurationszwecken arbeitet sehr eng mit deinen Technikerinnen eben zusammen und kriegt dabei natürlich intime Kenntnisse über dein Netz. Das ist so 02:10:38.027 --> 02:10:42.244 habe ich ja, als ich in dem Bereich gearbeitet habe auch, so und, 02:10:42.660 --> 02:10:53.320 da, glaube ich, ist viel mehr quasi in Anführungszeichen das Problem, nämlich dass da Leute Wissen über deine Infrastruktur haben. Und da ist jetzt wiederum der Punkt, 02:10:53.710 --> 02:10:54.503 ne, das, 02:10:54.563 --> 02:11:06.528 Da kümmert sich dieses Gesetz überhaupt nicht drum, ne? Und das wäre eigentlich, sage ich mal, wenn man jetzt sagt, wir befürchten da eine Unterwanderung unserer Kommunikationsinfrastruktur, dann könnte man eben was weiß ich, Anforderungen wie. 02:11:07.315 --> 02:11:11.118 Backgrounds für die Leute verlangen, die irgendwie, 02:11:11.353 --> 02:11:24.885 davon Kenntnis erlangen, wie das da aufgebaut ist. Und da da kommst du natürlich siehst du ja, okay, haben die zwei Faktor-Authentifizierung oder nicht, liefern wir den überhaupt zwei Faktoren oder nicht? Das wären alles so Sachen, wo du halt IT-Sicherheit wirklich auf auf einer technischen Ebene 02:11:24.747 --> 02:11:34.728 einziehen würdest. Und an der Sache bleibst und darauf verzichten die halt total. Und es ist wirklich schmerzhaft. Nach drei Jahren der Debatte irgendwie solche Clowns-Gesetze 02:11:34.584 --> 02:11:40.785 zu sehen, wo du halt weißt du, das hat einfach nichts mit dem zu tun, um das es hier geht. Und am Ende ist das halt ist, 02:11:40.863 --> 02:11:48.813 sowas, ne? Zu sowas muss sich dann als technischer Sachverständiger äußern, was letztendlich halt irgendwie so ein ähm, 02:11:49.126 --> 02:11:58.470 so ein so ein Handelskrieg, Gehirnfurz von Donald Trump ist. Was anderes ist das ja nicht. Also es hat schon wirklich. 02:11:59.443 --> 02:12:14.075 Ähm also dann nochmal geschrieben, schon heute sind europäische Netzwerkkomponenten nicht in der Lage, mit chinesischen Produkten zu konkurrieren. Chinesische Anbieterinnen liefern inzwischen technisch überlegenes Equipment zu günstigeren Preisen. Es ist daher leicht nachvollziehbar, dass deutsche und europäische, 02:12:14.118 --> 02:12:20.252 Mobilfunknetze zu großen Teilen mit chinesischer Stadt äh europäischer Technik ausgerüstet wurden. 02:12:20.446 --> 02:12:30.732 Unabhängig von der Frage der Vertrauenswürdigkeit der Anbieterin ist es im Interesse der Bundesrepublik und der Europäischen Union. Die europäische Technik konkurrenzfähig im Markt zu halten 02:12:30.655 --> 02:12:38.635 Beim Bau von Mobilfunknetzen der sechsten oder siebten Generation droht sonst eine Situation in der europäischen Ausrüster nicht mehr Teil des Angebots sind 02:12:38.520 --> 02:12:48.531 um dem entgegen zu wirken bieten sich jedoch etablierte und ehrliche Mittel der Marktverzerrung an wie Förderung und Subventionen und Zölle. Es bedarf nicht eigens des Arguments 02:12:48.471 --> 02:12:53.741 eine eigenstes Argument von einer in der IT-Sicherheit, 02:12:53.850 --> 02:12:59.089 Von einer in der IT-Sicherheit konzeptionell fremden Vertrauenswürdigkeit, 02:12:59.138 --> 02:13:12.934 Und ähm ja, Empfehlung, wenn der Bundesregierung daran gelegen ist, die technologische Souveränität im Bereich des Mobilfunks aufrechtzuerhalten, dann möge sie mit Förderprogramm die mangelnde Konkurrenzfähigkeit europäischer Herstellerinnen kompensieren. 02:13:13.548 --> 02:13:27.777 Hierzu bieten sich breit angelegte Programme zur Förderung von kritischen Softwaresticks als Open Source an, für die im Rahmen der Förderung auch die Ressourcen für sichere Architekturen und fortlaufende Auditierung bereitgestellt werden. So das wäre irgendwie eine Lösung 02:13:27.735 --> 02:13:31.755 des Problems, wo wir alle was von hätten. Aber nein. 02:13:31.959 --> 02:13:39.344 Letzter Punkt, ja, IT-Sicherheitskennzeichen haben sie halt, also das ist auch, boah Alter, das, ich kann mich nicht mehr hören. Also, wir haben ja, 02:13:39.753 --> 02:13:49.518 Habe ja gesagt, was aus diesem Bundestagswahl-Hack wurde, da wurde halt diese äh Nummer draus mit dem äh Anforderungskatalog des BSI, der dann vier Jahre später fertig ist. 02:13:50.317 --> 02:14:00.809 Und dann hatten wir ja noch diesen Telekom-Routerausfall. Da habe ich ja auch regelmäßig drüber gerandet, wo sie dann die technische Richtlinie Route hatten, ne. Eine technische Richtlinie des BSI ist erstmal nur ein Stück Papier, 02:14:00.941 --> 02:14:10.597 ohne jegliche Verbindlichkeiten, denn die gesamte Arbeit komplett für die für den, für den Fuchs, ja? Und ähm jetzt haben sie halt gesagt, okay geil, zu weiteren, 02:14:10.681 --> 02:14:20.662 ähm äh Förderung und da das habe ich übrigens bei dieser technischen Richtlinie Router war das schon immer, dass da die Anbieter saßen und sagten so, wir hätten gerne ein schönes Logo mit einer Deutschlandfahne, 02:14:20.687 --> 02:14:27.170 das müssen wir bei uns drauf drucken, damit der Kunde weiß, dass das schön ist hier bei uns, dass wir dass er bei uns ein deutsches Produkt. 02:14:27.015 --> 02:14:32.248 Hm, Deutsche Roter für deutsche Bürger. 02:14:31.089 --> 02:14:39.946 Genau und ähm jetzt haben äh sagt das BSI, ja geile Sache, machen wir, ne, irgendwie so und so viel fünfundzwanzig Planstellen. 02:14:40.462 --> 02:14:49.614 Personalkosten in Höhe von jährlich zwei Komma drei drei Millionen Euro sowie Sacheinzelkosten in Höhe von zwei äh null Komma sechs zwei Millionen Euro 02:14:49.482 --> 02:14:56.963 jährlich, ja? Also knappe drei Millionen Euro sollen wir jetzt ausgeben von staatlicher Stelle, damit das BSI einen Sicherheits 02:14:56.916 --> 02:15:00.635 Kennzeichen macht? Denkst du, na ja, okay, hören wir uns das mal an, ne? 02:15:01.627 --> 02:15:07.750 Das Geile ist, die die Hersteller zertifizieren sich das selber, das ist freiwillig, 02:15:07.912 --> 02:15:17.243 und du zertifizierst dir das selbst und dann kriegst du das. Dann musst du und es wird nicht geprüft. Also sagst dem, du sagst dem BSI halt so, ey übrigens wir erfüllen hier. 02:15:18.253 --> 02:15:27.375 Äh Security, ne. Hier ist unser Blatt Papier, auf dem wir das selbst zertifizieren, dass wir das tun. Das hat niemand unabhängig geprüft, 02:15:27.490 --> 02:15:39.826 Guckt mal, ob euch das gefällt, was wir hier geschrieben haben, was wir alles machen und dann sagt das BSI, alles klar. Hier, ihr seid jetzt berechtigt, euch eine irgendwie eine Deutschlandfahne auf euren Karton zu drucken und dann machst du das, 02:15:39.970 --> 02:15:45.823 Und das Schlimmste, was dir passieren kann, ist, dass dir das, dass sie das, dann darfst du, musst du wieder abmachen oder so, ne? 02:15:45.938 --> 02:15:55.077 Schlimmstenfalls kannst du entzogen werden. So, aber warum bringt das nichts? Naja, weil es freiwillig ist. Und es ist ja nicht so, weißt du, wenn wenn die Leute, 02:15:55.108 --> 02:16:04.264 freiwillig mehr Geld für Sicherheit ausgeben würden, dann hätten wir ja nicht die unsicheren Produkte im Markt. Also haben wir gesagt, okay, bitte, bitte, bitte. 02:16:05.292 --> 02:16:13.627 Wenn ihr so etwas machen möchtet, eine Maßnahme, die hier für allgemeine IT-Sicherheit im Markt sorgen soll, die muss das halt 02:16:13.525 --> 02:16:20.766 zur Markteintrittsvoraussetzung machen. Und nicht zum obendrauf. Du hast doch nichts davon, wenn du als BSI, 02:16:20.820 --> 02:16:33.295 drei Millionen dafür sorgst, dass die Leute die Kiste mit dem schöneren äh mit dem schöneren Deutschland-Fähnchen draufkaufen und dafür mehr Geld ausgeben, wenn die ganzen Leute, die nicht mehr Geld ausgeben, äh sich eben 02:16:33.289 --> 02:16:42.080 das Produkt einfach das günstigere Produkt kaufen, weil sie sagen, ich kaufe lieber eins, wo keine Deutschlandfahne drauf ist. So und ähm das. 02:16:43.660 --> 02:16:47.800 Es ist so traurig, ja, weil, wie gesagt, das ein, das das der einfache Weg wäre. 02:16:48.648 --> 02:17:01.567 Mindesthaltbarkeitsdatum-Update zwang. So Punkt. Und dann kannst du auch sagen, okay, bei ab bei äh wenn da jetzt irgendwie schwerwiegende Sicherheitslücken sind oder sowas, dann kann das BSI von mir aus auch einfordern, dass äh dass das Produkt äh, 02:17:01.700 --> 02:17:15.622 dass das Produkt eben diese Updates gemäß Vorgabe bekommt oder so, ne? Und vor allem könntest du halt auch mal sagen, alles klar, wenn du das nicht machst, wenn du hier Schrott ins Regal legst und die Leute das kaufen und dass sie den dann in den Fuß schießt, äh dann kann man halt auch mal an eine Haftung denken. 02:17:15.550 --> 02:17:24.378 Unter also ne, unter Maßgabe, dass keine dass keine nicht in in angemessener Zeit eine eine Produktnachsorge getroffen wurde. 02:17:25.286 --> 02:17:34.359 Also ja, statt sich mal über Haftung und Update Pflicht Gedanken zu machen, gibt's jetzt irgendwie ein ein schönes neues Sicherheitskennzeichen, totaler Unsinn, 02:17:34.413 --> 02:17:35.915 Letzter Punkt, 02:17:35.933 --> 02:17:50.830 im besonderen öffentlichen Interesse, wo ja der, der quasi der Tätigkeitsschwerpunkt des BSI erweitert wird, ähm da gibt's drei Kategorien, was Unternehmen besonderem öffentlichen Interesse sind, also quasi ergänzend zu den kritischen Infrastrukturen. 02:17:51.671 --> 02:18:02.457 Sagen sie halt, okay, Güter im Bereich der Kriegswaffen oder Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung von staatlichen Verschlusssachen. Also damit haben seit ja Kriegswaffenhersteller, 02:18:02.674 --> 02:18:10.533 Hersteller, die ihnen die Krypto liefern, sind halt jetzt Unternehmen vom besonderen, im besonderen öffentlichen Interesse, 02:18:10.666 --> 02:18:15.761 dann Unternehmen, die Gefahrenstoffe in großen Mengen an ihren Betriebsstädten vorhalten. 02:18:16.946 --> 02:18:21.073 Wo man jetzt bei beiden argumentieren kann, ja, da gibt's im Zweifelsfall 02:18:21.008 --> 02:18:32.051 übergeordnetes Sicherheitsinteresse der Bundesrepublik Deutschland so, ne? Dass dies, wo man sagen kann, ja, ist wahrscheinlich nicht schlecht, wenn das BSI da ein Auge drauf hat. Kriegswaffen ist aber natürlich 02:18:32.028 --> 02:18:41.492 Äh auch so ein Thema, ne, weil das äh BSI ja eigentlich so eine zivile Institution ist. Und dann C sagen sie, 02:18:41.684 --> 02:18:53.390 also in dem Fall ist es B, aber die dritte Kategorie, wie du ein Unternehmen von besonderem öffentlichen Interesse bist, ist, wenn du nach der, nach deiner inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehörst. Und da denke ich mir auch so, 02:18:53.504 --> 02:19:00.222 Alter, was soll das denn jetzt schon wieder, als wenn die größten Unternehmen von Deutschland nicht in der Lage sein sollten oder sind. 02:19:00.475 --> 02:19:06.099 Sich um ihre IT-Sicherheit selber zu kümmern, warum sollen die jetzt noch mit staatlichen Ressourcen versehen werden, 02:19:06.201 --> 02:19:20.407 während irgendwie ein KMU, ne, hier Hidden Champions und Hasse alles nicht gesehen, um IT-Sicherheit ringen, nirgendwo jemanden finden, der ihnen dabei helfen kann, zu zu normalen Preisen und deshalb den Schrott im Regal kaufen. 02:19:20.540 --> 02:19:29.318 Das ist doch die komplett falsche äh Förderung und das komplett falsche Verständnis von was jetzt wirklich im Interesse der Bundesrepublik liegt 02:19:29.217 --> 02:19:32.690 Also habe ich gesagt, der Bundestag möge prüfen, welche Unternehmen 02:19:32.528 --> 02:19:46.564 im besonderen öffentlichen Interesse der Bundesrepublik liegen und welche davon tatsächlich besondere Aufmerksamkeit des BSI benötigen. Ich find's im Prinzip zum Beispiel auch witzig, wenn sie sagen, ja hier wäre was mit Kryptografie macht äh und den Verschlusssachen, ja okay, gut 02:19:46.384 --> 02:19:56.052 ja. Natürlich ist das äh sollten die, was sollten die jetzt mit der Sicherheit raushaben, aber hoffentlich habt ihr euch das überlegt, bevor ihr was von denen kauft. Also das finde ich echt so ein bisschen. 02:19:56.306 --> 02:20:05.222 Komisch. Und äh besser wäre es natürlich, weißt du, so ne, Thema Problemklassen eliminieren, schafft doch bitte eine. 02:20:05.938 --> 02:20:11.797 Kompromisslose auf IT-Sicherheit ausgelegte Infrastruktur, schafft 'ne Produkthaftung, 02:20:11.917 --> 02:20:17.956 Mindesthaltbarkeitsdatum ein als Markteintrittsbarriere. Ne, damit kannst du halt da dafür sorgen, 02:20:18.648 --> 02:20:24.536 Das ganz einfach bei ganz normalen Otto-Normal-Unternehmen ähm. 02:20:25.318 --> 02:20:32.528 Sicherere Produkte ankommen und die dann alle auch weniger in IT-Sicherheit äh investieren müssen 02:20:32.491 --> 02:20:40.328 So und das äh hielte ich ehrlich gesagt für die für die sinnvollere Maßgabe, dass du halt hier von staatlicher Seite eben, 02:20:40.509 --> 02:20:42.730 Basisprodukte bereitstellst, 02:20:42.953 --> 02:20:57.032 in Open Source, dann können alle Anbieter äh sich derer bedienen, können alle äh Kunden glücklich kaufen und dann hast du irgendwie musst du noch nicht mal eine schöne Deutschlandfahne draufkleben, sondern hast einfach so nachhaltig mehr Sicherheit. 02:20:57.970 --> 02:20:58.740 Ja 02:20:58.668 --> 02:21:04.591 Und die haben dann einen Posten eingestellt. Da hast du gesagt, für für zwei Millionen Euro pro Jahr oder was. 02:21:04.291 --> 02:21:08.799 Ja, das ist ja eine fünfundzwanzig Personen, die die kümmern sich jetzt um dieses Sicherheitskennzeichen. 02:21:08.859 --> 02:21:11.424 Und sie produzieren im Wesentlichen Aufkleber. 02:21:12.315 --> 02:21:17.999 Ich bin mir sicher, es sieht voll geil aus hier in dieser Aufkleber. Ja, aber also die werden sich um die Bürokratie kümmern. 02:21:18.630 --> 02:21:30.893 Dit möglichst äh äh nervig zu machen, dass das ein Unternehmen auf ein Produkt einen solchen Aufkleber kleben kann, nachdem es spezifiziert, nachdem es sich selber, 02:21:30.979 --> 02:21:41.091 äh äh zertifiziert hat. Das ist die Anforderung erfüllt, die vorher natürlich irgendwo geschrieben wurden. Also das wird am Ende, ne, kannst du jetzt zum Beispiel hier diese technische Richtlinie Router 02:21:40.948 --> 02:21:45.802 Da wird garantiert so ein Sicherheitskennzeichen raus, ne? Weil das ist ein eine Anforderungskatalog, 02:21:46.230 --> 02:21:55.663 An dem muss ich erstmal keiner halten. So und jetzt werden sie halt sagen, okay, die technische Richtlinie Route die wird jetzt zur, 02:21:56.000 --> 02:22:05.897 Selbstzertifizierungsgrundlage für das IT-Sicherheitskennzeichen nach IT-Sicherheitsgesetz zwei null. Und dann werden die 02:22:05.752 --> 02:22:17.560 Unternehmen, die die da ihre Lobbyisten in diese Router TR entsandt werden, halt sagen, ah, alles klar, wir haben die Router TR ja genau so verwässert, dass die auf unsere Produkte äh sowieso zutrifft 02:22:17.489 --> 02:22:27.169 ja? Also werden wir jetzt eine Selbstzertifizierung nach Rota TR beim BSI einreichen und nach wenigen Monaten Bearbeitungszeit. 02:22:27.939 --> 02:22:36.290 Können wir dann irgendwie was weiß ich einen schönen Aufkleber auf unsere Kartons machen und sagen hier BSI sicheres Ding, 02:22:36.591 --> 02:22:50.561 ne, so ist das nicht geprüft. Also, ne, und dann werden irgendwann, wenn das, sobald das irgendwelche Fahrt aufnimmt, werden natürlich dann eben auch Hersteller aus anderen Ländern sagen, okay, so ein Brief können wir auch schreiben, 02:22:51.013 --> 02:23:03.097 und dann potenziell hast du dann halt die Dinger da draufkleben, aber du löst eben nicht das Problem, dass die Masse eben doch einfach das kaufen wird, wo nicht der Aufkleber drauf ist. Und wenn da wenn du, ne, dann hast du ja nichts davon, 02:23:03.451 --> 02:23:08.427 irgendwie, selbst wenn, selbst wenn dieses Sicherheitskennzeichen, sagen wir mal, eine, 02:23:08.493 --> 02:23:21.798 Tatsächliche Sicherheitsentsprechung hätte und unabhängig geprüft wäre, ist die ja trotzdem nicht geholfen, solange das neben dem Chinaschrott liegt und alle sich denken, ja, wieso soll denn mein Heizungstermus tatsicher sein? 02:23:21.798 --> 02:23:27.403 Dann ist schlimmstenfalls ist es halt warm oder kalt, dann stelle ich das wieder richtig und. 02:23:28.150 --> 02:23:38.118 Genau in diesem Bereich der IT-Sicherheit ist das ja eben nicht der Punkt, weil äh du mitunter gar nicht weißt, dass dein Toaster halt grade in den Cyber Krieg gegen Mexiko zieht, 02:23:38.184 --> 02:23:45.690 äh und der quasi, ne, zum zum Schaden anderer agiert, statt zu deinem eigenen Schaden. 02:23:46.813 --> 02:23:49.235 Lassen wir das Tim. Es ist einfach also. 02:23:50.756 --> 02:23:56.867 Es ist immer so, weißt du, so am Problem vorbei, das ist immer das sind so Sachen, die kann ich nicht haben, 02:23:57.270 --> 02:24:07.016 Wenn es ein Problem gibt, so am Problem vorbei, da bin ich immer, das mag ich nicht, mag lieber so zu sagen, okay, wo ist das Problem, wo stellen wir's ab? Na ja. 02:24:07.550 --> 02:24:12.688 Tja, jetzt stattdessen wird's äh beschlossen, dass das Problem nicht existiert oder nicht so schlimm ist. 02:24:12.844 --> 02:24:17.069 Ja oder meine andere was anderes macht, ne. Okay. 02:24:14.821 --> 02:24:20.511 Ja. Du hattest Spaß, ich höre schon raus. 02:24:20.211 --> 02:24:27.512 Ach, es hat Spaß gemacht. Ich glaube tatsächlich, ich habe ja jetzt so eher so ein bisschen durch die Stellungnahme gegangen, aber die Stellungnahme hat schon ihre ähm. 02:24:28.649 --> 02:24:32.939 Hat's schon auch teilweise ihre humoristischen Komponenten 02:24:32.795 --> 02:24:46.080 und äh ich wollte sie jetzt hier ja wenigstens mal so ein bisschen durchsprechen, weil ja, wie gesagt, ich meine, sind vierundvierzig Seiten, als Erdgeist hier Dirk Engling, äh da erste Mal draufgeschaut hat, hat er halt gesagt, Elin, was willst du jetzt in der Dissertation schreiben? 02:24:45.960 --> 02:24:53.730 Ähm ja, da da steckt natürlich schon viel Arbeit drin. Und wie gesagt, da kriege ich auch hundertfünfzig Euro für insofern. 02:24:53.430 --> 02:25:02.070 Voll die Arbeitsbeschaffungsmaßnahme hier, meine Herren. Hm. 02:25:00.918 --> 02:25:08.752 Also man kann sagen, so etwas über drei Euro pro Seite. Kriege ich dafür. 02:25:10.213 --> 02:25:20.140 Aber nee, was ich wirklich schön finde, ist tatsächlich also das habe ich ja auch, glaube ich, schon früher mal gesagt. Ich mache das tatsächlich gerne, weil es hat jetzt halt ein ein, da ist jetzt ein Aufkleber drauf, da ist so ein Stempel drauf, 02:25:19.923 --> 02:25:25.548 dem Barthausausschuss Sekretariat dann da rein und das ist halt jetzt eine Ausschussdrucksache des deutschen Bundestags. 02:25:26.739 --> 02:25:30.192 Und das äh heißt, das wird dann eben auch für die Nachwelt, 02:25:30.451 --> 02:25:43.227 äh entsprechend konserviert und ist referenzierbar als Teil dieses äh dieses Gesetzgebungsprozesses. Ne? Und das finde ich natürlich schon immer ganz ganz äh interessant, wenn du äh. 02:25:43.773 --> 02:25:51.843 Wenn du wenigstens nachher sagen kannst, hier guck mal, da ist ein Stempel drauf, das, was ich damals schon gesagt habe. Und das war jetzt bei dem bei dem ersten IT-Sicherheitsgesetz, habe ich das natürlich auch 02:25:51.676 --> 02:26:03.393 klar rausgeholt, ich habe euch das damals gesagt, dass das nichts bringen würde und heute sehen wir, dass es nichts gebracht hat. Und jetzt sage ich euch auch nochmal, warum das nächste Gesetz nichts bringen wird und dann können wir beim dritten IT-Sicherheitsgesetz. 02:26:04.451 --> 02:26:10.827 Mal gucken, äh ob ich ob ob er da nicht vielleicht einfach die gleichen Empfehlungen vielleicht mal folgen wollt. 02:26:14.750 --> 02:26:18.804 Den sich alle Sachverständigen äh dann auf ihren Laptop draufkleben können. 02:26:19.722 --> 02:26:23.541 Zertifizierter Zukunftsvoraussagen. 02:26:23.566 --> 02:26:32.404 Wir haben uns, wir haben uns im CCC ja seit einigen, also eigentlich spätestens seit Snowden Sachen so ein bisschen versucht zu sagen, okay. 02:26:33.432 --> 02:26:43.648 Auch wenn der Drang stark ist zu sagen, ey, wir haben heute schon immer gesagt, äh haben wir eine Zeit dann so ein bisschen verordnet äh zu sagen, okay. 02:26:44.273 --> 02:26:47.661 Dann sagen wir es eben noch mal. 02:26:47.373 --> 02:26:56.284 Ja, ja, kein Copy und Paste, hier wird einfach nochmal drüber nachgedacht. 02:26:56.183 --> 02:26:58.424 Ja 02:26:58.227 --> 02:27:07.997 Seufzt. Glaube, das führt uns langsam gegen Ende der der Sendung, oder? Hast du jetzt noch irgendwas äh. 02:27:08.280 --> 02:27:22.419 Nee, das ich bin jetzt auch fertig. Ich habe ja auch gestern schon, also als dann noch ähm sind noch mit Freunden, die dann mit mir über das IT-Sicherheitsgesetz reden wollten. Da habe ich dann auch irgendwann gesagt, ey, bei aller Liebe so, ne, aber ich möchte nicht. 02:27:22.119 --> 02:27:25.057 Erzähl das jetzt nochmal. Tim und dann reicht's. 02:27:24.757 --> 02:27:32.002 Genau, ich ich erzähle das jetzt noch einmal, Tim und dann äh muss es dat aber auch gewesen sein. 02:27:32.707 --> 02:27:37.410 Aber ja, es ist es also so um nochmal kurz diesen Prozess einzuordnen. Es ist. 02:27:38.583 --> 02:27:46.190 Eine Katastrophe. Zwei Jahre haben die an dem Gesetz herumgedockt. Dann gab's natürlich diese kurzen Fristen. Alles erzählt, ne, wo wir gesagt haben, 02:27:46.064 --> 02:27:49.388 wo sie letztendlich achtundzwanzig Stunden, 02:27:49.448 --> 02:27:59.747 Zeit gegeben haben, um einen neuen Entwurf des IT-Sicherheitsgesetzes zu diskutieren, ne. Da haben wir auch damals, also haben wir im Logbuch darüber gesprochen, haben auch als CCC uns lauthals gegen gewehrt. 02:28:00.679 --> 02:28:02.630 Dass dann eben auch der 02:28:02.518 --> 02:28:16.902 letzte Satz hier in meiner Stellungnahme, um ein drittes Gesetz zur Erhöhung der Sicherheit, Informationstechnischer Systeme in angemessener Qualität vorschlagen zu können, sollte das BMI seine Bemühungen zur aktiven Unterdrückung Sachverständigenrats einstellen. 02:28:17.258 --> 02:28:23.537 Das ist der letzte Satz, ja. Aber ja, so, ich meine, 02:28:24.247 --> 02:28:31.980 Jetzt nicht sagen, dass man besonderes Vertrauen äh äh in den demokratischen Prozess und seine Ziel, 02:28:32.197 --> 02:28:41.516 seine zielführende Ausrichtung bekommt bei diesem Gesetz. Bei anderen mag das anders sein. Und ach so, eine Sache sollte man vielleicht auch noch, 02:28:41.660 --> 02:28:50.175 wenigstens lobend erwähnen, als wir vor ungefähr zwei Jahren mit Frank zum ersten Mal darüber gesprochen haben. Oder ich habe das eine Sendung, die habe ich ja nur mit Frank gemacht. 02:28:50.957 --> 02:28:58.618 Da ging's dann noch um ganz andere Sachen, ne? Da waren ja sollte ja mehr oder weniger das Darknet verboten werden mit dem Gesetz. Also da sind einige, 02:28:58.690 --> 02:29:10.660 Klopper sind da auch schon echt. Also da sind schon einige grobe Schnitzer weggeflext worden so. Das muss man dann vielleicht auch nochmal lobend erwähnen und eben sagen, ja, also so ganz ohne ähm. 02:29:11.801 --> 02:29:20.876 Ohne Erfolg war der der Prozess der gesellschaftlichen Einbindung hier nicht. So, das war äh. 02:29:21.807 --> 02:29:35.963 Da ist auch schon vorher noch einiges äh Unheil abgewendet worden, dadurch, dass wir uns zu Wort gemeldet haben und eingemischt haben. Das muss man dann vielleicht wenigstens auch nochmal ähm zur zur, 02:29:36.384 --> 02:29:39.923 ja den muss man eben schon noch auch mal Rechnung tragen. 02:29:40.249 --> 02:29:42.724 Hätte alles noch viel schlimmer kommen können. 02:29:43.283 --> 02:29:45.211 At hätte immer schlimmer kommen können. 02:29:47.010 --> 02:29:49.664 Deswegen gibt's ja auch noch Potential. 02:29:51.804 --> 02:29:58.276 Ja. Dann werden wir uns demnächst mit mit Impfausweisen auseinandersetzen, Tim, ne? 02:29:58.000 --> 02:30:00.322 Bestimmt. Das. 02:30:00.072 --> 02:30:01.652 Ja, ja, das kommt jetzt. 02:30:01.402 --> 02:30:04.044 Das kommt jetzt, aber nicht mehr in dieser Sendung, auf keinen Fall. 02:30:04.069 --> 02:30:06.784 Nee, nicht mehr in dieser, aber in einer zeitnahen. 02:30:06.724 --> 02:30:17.439 Dann bringen wir es mal zu Ende hier, ne? Leute, wir hören uns bald wieder. Das war's äh von uns für heute und äh ja, dann bis bald. 02:30:17.488 --> 02:30:21.375 Kauft euch geiles Lego, bis denn, ciao, ciao.