Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de
Doktorarbeiten — Feedback — e-ID-Gesetz — CDU Wahlkampf-App — Pipeline-Erpressung
Trotz dünner Themenlage arbeiten wir uns trotzdem an dem einen und anderen ab und es kommt aus gegebenem Anlass vor allem der Sinn und Unsinn von Doktortiteln und -arbeiten zur Sprache. Außerdem blicken wir auf das e-ID-Gesetz und die von der CDU, CSU und ÖVP eingesetzten App zur Unterstützung von Wahlkämpfern, die einige fundamentale Sicherheitslücken aufweist. Abgerundet wird die kompakte Folge durch eine Betrachtung der Erpressung der texanischen Pipeline durch Ransomware.
https://logbuch-netzpolitik.de/lnp394-da-war-ein-hacker-drin
Veröffentlicht am: 25. Mai 2021
Dauer: 1:10:38
Und deswegen ist dieses Its-Product Gif auch schon so für sich zu so einem Mehm geworden Du was man eigentlich auch auf alles andere anwenden kann. So auch so komplett so nach dem Motto ja weißt du irgendwie, ist das Problem da und damit ist, Ist das ein guter Witz, den mussten wir jetzt einfach mal machen.
Es war damals bei äh zu Gutenberg äh hatten äh nachdem der der, sage ja, es ist mehrfachen Plagiats ja überführt wurde und zurücktreten musste, gab es eine Massen scheinbare Massenbewegung auf Facebook die aber sehr, ja, sehr verdächtig, schnell wuchs und irgendwie nicht so ganz ernst zu nehmen war. Und die kündigten dann äh eine Großdemonstration in Berlin an. Und dann haben wir die einfach also da haben wir die einfach angemeldet und äh damit war ich dann quasi deren Anmelder dieser äh Demonstration. Und am Brandenburger Tor und äh die Presse macht natürlich die Interviews mit dem Anmelder. Und dann konnte ich äh quasi die die besten Argumente der Gutenberg Fans, vortragen und das wurde jetzt ein YouTube-Video, wo das jemand gefilmt hat.
Genau, das ist mir nämlich auch aufgefallen, dass eigentlich diese Gutenberg-Demo. Also ich wäre überhaupt nicht überrascht, wenn dieselben Fressen, die da einfach auf diese Demo gelaufen sind, um ihn wirklich zu unterstützen. Im Prinzip genau dieselben Vögel sind die jetzt irgendwie auch diese ganze Corona-Schwabelei irgendwie nach vorne getragen haben. Wenn sie's persönlich nicht sind.
Ist ja auch so. In dem in dem Video gibt's ja auch so eine schöne so eine schöne ähm da da ist auch so eine schöne Stelle, da ähm. Da werde ich irgendwie gefragt äh so ja hier sechshunderttausend Leute angemeldet. Hier sind jetzt irgendwie hundert Äh wie sieht das, ne? Wer jetzt optisch enttäuscht wäre mit der Anzahl der Teilnehmenden. Und dann sage ich halt irgendwie sowas wie ähm, Ja, irgendwie, so das ist ja einfach auch hier ein Verfall der Werte. Pünktlichkeit ist keine Tugend mehr, wenn die Demo um dreizehn Uhr angemeldet ist, dann ist sie um dreizehn Uhr und hier kommt jeder, wann er will, ne? Und äh regt mich dann so ein bisschen über den über den allgemeinen Verfall der Werte auf. Und in in dem Hintergrund hinter mir siehst du halt irgendwie so alte Leute stehen, die dann so bekräftigend nicken, ne, also.
Ja die also das war das das ja das das fatale ist wenn man jetzt irgendwie versucht mit einiger Eleganz diesen diese ganze Sinnlosigkeit, zur Schau zu stellen und das ist ja durchaus auch gelungen, weil wir haben ja alle herzlich lachen können über die Tumpemasse, die dann irgendwie da ihren ihren guten, wieder haben wollte und du hast es ja dann einfach in diesem Interview auch einfach finde ich perfekt auf den Punkt gebracht. So, warum wollen sie den wieder haben? Ja, weil weil der gut ist.
Ja, weil weil der ist ja ein guter Politiker, ich finde den gut so, ne? Und äh auch so dieses ganze Argumente zählen eigentlich gar nicht. Es zählt einfach das Gefühl, dass das jetzt nicht so gesagt, aber das, kam im Prinzip wunderbar raus und insofern muss ich äh zugeben, was du da drinne zeigst echt voraus irgendwie, das ist äh ein Blick in die Glaskugel gewesen. Ah, so was Lustiges irgendwie, also echt.
Ja, das äh sein äh auch schön. Ja, es ist also, Ich habe dann auch äh äh du trittst dir ja auf, also bei Twitter trittst du ja sowieso. Das ist ja auch immer sehr schön. Also da ich ich ich finde ja, manchmal, Das Schönste an meinen Tweets finde ich eigentlich, Antworten, denn ich war so böse sein darf, ne? Also wenn du da in so einen in so einen Wespennest reinstehst, ne, in so eine Giffei ähm Plagiats-Affäre, ne, dann, kommen natürlich auch wieder alle möglichen Leute, die diese Gedankenakrobatik machen müssen. Ähm um um irgendwie das dann doch in Ordnung zu finden. Zum Beispiel Leute, die ernsthaft an der, also ernsthaft die These vertreten, dass ein Mensch, der bei seiner Doktorarbeit ähm betrogen hat. Nie davor betrogen hat und das danach auch nicht nochmal tut. Und dieser Hypothese widerspricht tatsächlich einfach eine ganze Menge. Erstens, wenn du in deinem Leben bis an eine Doktorarbeit kommst, ohne jemals betrogen zu haben. Und dann ausgerechnet bei dieser wirklich wichtigen äh Leistung deines Lebens damit anfängst Das ist schon mal sehr unwahrscheinlich, weil wenn du vorher nicht die Erfahrung gemacht hast, dass Betrügerei sich lohnt, dann traust du es, dich in dem Alter mit so viel Lebenserfahrung auch einfach nicht mehr und du brauchst es auch nicht mehr. Zweitens, selbst wenn es so wäre, ja? Dass du sagst, bis dahin war ich ein ein der ehrbarste Mensch auf Erden und ich betrüge jetzt nur einmal ausnahmsweise bei meiner Doktorarbeit, dann wirst du natürlich daraus eine Lehre ziehen und die Lehre ist. Hat geklappt, Ja und die Hypothese, die jetzt andere haben, ja, aber Menschen können ja lernen, ja, das stimmt. Aber nicht, wenn sie positiv äh verstärkt werden für das, was sie getan haben, ja? Und wenn sie äh diese Giffey Geschichte ist natürlich besonders stark, weil diese Diskussion wird jetzt seit längerer Zeit geführt. Und ähm, das framing ist ja wirklich enorm, weil alle versuchen, also alle Parteifreundinnen und so, die sich dazu äußern, niemand verwendet den Begriff Plagiat, oder sonst was, ne? Das ist dann Qualitätsmängel, von denen da die Rede ist. Und dann wird sie irgendwie als Ehrenperson dargestellt, weil sie jetzt irgendwie zurücktritt, ne. Dabei ist das natürlich nur ein taktischer Move, um potenziell dieses Thema aus dem Berlin-Wahlkampf wieder rauszuholen. Und sowas muss, aufgedeckt werden und da muss halt auch mit aller Härte reingehauen werden. Und insbesondere übrigens bei Doktortiteln, ja, die äh wenn ich mal ehrlich sein darf, sowieso, Also wirklicher Quatsch sind, ne, also eine die institutionalisierung von akademischer Leistung in Form eines Titels, auf den du dann in deiner Ansprache ein Anrecht hast, ja? Das ist ja ohnehin schon so eine ähm, Also so ein Quatsch. Ja, so so ein Unsinn, ja. Ähm eine wenige, eine wenige Form der Ausbildung. Quasi äh zu einem Titel zu machen, der dann irgendwie gesellschaftlich zu honorieren ist, aber wenn du so etwas schon schaffst, dann ist natürlich auch klar, dass da halt das Geschmeiß ankommt und versucht, sich den zu erschleichen. Wie zum Beispiel die ganzen Medizinstudenten, die drei äh Reagenzgläser zueinander kippen und dann Doktortitel haben, in jeder anderen ähm Wissenschaft tatsächliche Leistung zu vollbringen ist für sowas, ne? Hey, jetzt haben wir wieder die ganzen Zahnmedizinerinnen in den Kommentaren, ja zurecht. Ähm weil natürlich ist unterschiedliche Wege gibt äh an an äh Doktor Titel kommen. Ich habe übrigens auch damals mal geguckt, weil ich das so lächerlich fand, was die Medizinerinnen machen müssen, habe ich mich mal erkundigt, ob ich ähm ob ich nicht einfach auch in Medizinwissenschaft promovieren kann, weil das kannst du im halben Jahr machen und sagen wir mal so, die wissenschaftlichen Fähigkeiten, die ich zu dem Zeitpunkt hatte, die überstiegen halt schon. Der durchschnittlichen äh Medizinstudentin, die ja hauptsächlich damit beschäftigt ist, irgendwelche Knochennamen auswendig zu lernen. Deswegen machen die ähm Fakultäten, an denen man in Medizin studieren kann. Quasi das Grundstudium. Zur Grundvoraussetzung. Also du musst dich einmal durch diese ganzen Physikum und Chemikum und so Sachen quälen, bevor du überhaupt Medizinwissenschaft promovieren kannst und damit versuchen die sich natürlich die ganzen Doktor äh Touristen vom Leib zu halten, wie ich's mir da auch überlegt habe, ne. Ich habe damals gedacht, zu einem befreundeten Menschen, der in einer dieser äh in einer dieser Medizinwissenschaften promovieren wollte, habe ich gesagt, pass auf, ähm, Ich schreibe einfach zwei Doktorarbeiten, den den Datenauswertungsteil, Und du schreibst äh den den Bedeutungsteil, ja? Und einen einen Doktor kriegst du einen Doktor kriege ich. Äh das, was da für einen Doktor für eine Doktorarbeit reicht, da schreibe ich auch zwei von dem Viertel, ja. Aber na ja, okay, haben wir nicht gemacht. So, das sollte jetzt reichen, um genug Hate von unseren ganzen Doktor Trägerinnen in den Kommentaren zu bekommen.
Es ist, es ist wirklich es ist eine es ist tatsächlich eine sehr alberne äh Institution. Ich denke, wenn man jetzt mal wirklich überlegt, welche, also was ein Doktort wirklich ähm. Ausweist und ich denke, das muss man auch ähm anerkennen, außer halt im Bereich der der Medizin für die Leute, die das dann nur haben, damit sie die Frau Doktor sind, ähm du unter den, dass du dir einen Themenbereich genommen hast. Dich mit dem auseinandergesetzt hast und in diesem Themenbereich, der Wissenschaft, dem ähm Wissen der Menschheit genointzugefügt hast. Das ist ja das, was was eigentlich äh der Anspruch an eine Promotion ist, ne. Irgendwie Diplomarbeiten oder oder Master und Bachelorarbeiten, ne, da da da musst du eigentlich nur deine wissenschaftliche Fähigkeit. Unter Beweis stellen, es reicht, wenn du quasi in einem bekannten Phänomenbereich nochmal was untersucht hast, der Anspruch an eine Promotion ist, du hast ne das dem Universum des Wissens der Menschheit hast du einen relevanten Beitrag mit wissenschaftlichen Methoden hinzugefügt, Und der Grund, warum das bei vielen äh Jobs und Unternehmen eben quasi im Einstellungsbereich äh so eine große Rolle spielt, ist, dass du einfach eine Leidensfähigkeit unter Beweis gestellt hast. Ja, weil alle, alle, die so etwas gemacht haben, sagen dir, wie sie zwischendurch irgendwann äh zusammengebrochen sind, Existenzkrise hatten und sich am Ende nur noch durchgebissen haben und die Scheiße fertig zu kriegen, ja? Und das auch bereut haben, diese Entscheidungen jemals getroffen zu haben. Aber eben unter Beweis gestellt haben, dass sie sich da durchgebissen haben. Und das ist natürlich eher eine Charakterprüfung ähm als eine Intelligenzprüfung. Und das ist äh äh in einem Unternehmen natürlich durchaus von Interesse zu sehen, zu sagen, okay, diese Person hat sich da äh durch durch dieses Tal der Tränen durchgekämpft. Äh die können wir hier bei uns sehr gut, in unserer Wertschöpfungskette gebrauchen, ja? Äh das ist, denke ich, der gesellschaftliche Wert von ähm der der ökonomische Wert von. Von solchen Promotionen.
Ja, also ich meine, das ist ja nun wirklich die die Definition der der äh Leistungsfreiheit, weil ich meine. Zu Päpstinnen, kann jede ernannt werden, das ist ja überhaupt gar kein Problem. Wir könnten zum Beispiel jetzt Kraft unseres Amtes äh alle unsere Hörerinnen zu Päpstin anwenden. Wollen wir das mal tun?
Ja, okay, also liebe Hörerinnen, äh wir ernennen euch hiermit alle äh zu Päpsin. Steht euch zu und das solltet ihr auch einfach annehmen, denn das ist auch sehr, sehr vorteilhaft, denn so als Päpstin ist man halt auch. Relativ sicher vor dem Zugriff von. Schwierigen Organisationen, sage ich mal, ne. Begossen with the Bob. Und äh ja, das äh seid ihr jetzt alle und äh übrigens könnt ihr auch in dem Zuge ähm durch euer neues Amt. Alle anderen Leute jederzeit so nennen. Das äh steht euch jetzt offen und damit habt ihr dann auch ein bisschen mehr zu tun.
Richtig, richtig. Ach schön, ich freue mich jetzt schon auf die Kommentare von unseren ganzen Promovierten. Spaß beiseite, es ist ähm also ich denke, es es ist eine der eine der wichtigsten Leistungen, die Menschen. In ihrem Leben äh unter Beweis stellen, wenn sie. Das auf ehrlichem Wege tun in einer Wissenschaft, wo dieser wo diese Auszeichnung schwer zu bekommen ist oder mit angemessener Höhe, mit angemessenen Anforderungen verbunden ist. Die Anforderungen sind über die Wissenschaften sehr unterschiedlich verteilt. Ähm und es ist ein gesellschaftlicher, Fehler, wie bei allem, äh wo man so etwas macht, an dieser Auszeichnung halt zu viel dranzuhängen. Und das ist, denke ich, eindeutig der Fall. Ja? Ähm. Dass dass man mit dem Doktortitel, äh dass das für Politikerinnen und für äh ja bestimmt in bestimmten Unternehmensbereichen äh eben, was ganz besonders sowas ist irgendwie sein, seinen Doktortitel zu führen, ne? Und sich damit irgendwie äh eine gesellschaftliche Abgrenzung äh zu erwarten oder eine Besserstellung. Hätte ich einen Doktor Titel äh würde ich ihn nicht führen. Das kann ich glaube ich ganz klar sagen. Außer bei irgendwelchen Arschgeigen. Da würde ich immer sagen, Doktor Neumann.
Kurzer Hinweis noch an alle neue äh Pepseln, ja? Das ist zwar jetzt nicht im eigentlichen Sinne so ein Titel, aber äh es gehört natürlich zum guten Ton, dass man sich dann auch einen gepflegten diskordischen Namen zulegt. Da könnt ihr dann mal ein bisschen drüber nachdenken, aber so jetzt einfach so mit Reel nehmen, äh weiter zu agieren. Das geht natürlich jetzt auch nicht.
Ja, da gab's so ein bisschen auch für Oma. Wir hatten ja irgendwie ein paar Zahlen, fallen lassen und ich hatte so, grob in die Luft ein paar äh äh Kopfrechnungen aufgemacht. Was denn so die Corona-Warn-App für einen Impact äh gehabt hat und ähm wurde dann im Detail mal ein wenig äh korrigiert. Ich will euch jetzt hier mit den Nachberechnungen nicht nerven, weil das ist im Prinzip. Bogos, man weiß nicht genau die Zahlen, so. Es gibt Größenordnung, ja, ich habe das nochmal kurz nachgeschaut, äh der Corona Barnett wurden im Dezember irgendwie schon eins Komma fünf Millionen, Benachrichtigungen äh nachgesagt, also Warnungen, die ausgesprochen wurden. Wobei ich jetzt auch nicht genau sagen kann, äh auf welchem Level die waren. Die Nachfrage von Silmaril war dann aber irgendwie, ich hätte ja gesagt, tausend Euro kosten pro Infektion. Äh wo kommen denn diese tausend Euro pro Infektion her? Ich nehme an, das ist ein Schätzwert für die Behandlung eines Erkrankten äh, Nachdem jeder Infizierte aber zu weiteren Infektionen führt, sind das aber eher tausend Euro pro Woche. Also die Zahl ist so auch so ein bisschen außer Luft, aber nicht ohne Basis. Ähm ich habe das etwas entlehnt aus den Debatten, die ich mit Pavel im UKW, im Corona-Wikli äh immer führe und das ist im Prinzip, eine grobe Hochrechnung. Dann man kann ja sehen, wie viele Leute, die infiziert sind letzten Endes im Krankenhaus landen. Also wie viel Prozent der Infektionen letzten Endes zur Hospitalisierung führen und wenn man dann halt die Kosten nimmt der Leute, die in Krankenhäusern behandelt werden, die natürlich relativ hoch sind und dort aber auch noch mit einrechnet, das so oder so, selbst wenn man nicht. Ins Krankenhaus kommt, sondern einfach nur in Quarantäne gestellt wird. Ja, dadurch, dass man eben. Quasi vom Gesundheitsamt gewarnt wird, auch dann ja dem Arbeitsmarkt entzogen ist und damit auch indirekt Kosten erzeugt. Ist das so eine Pi mal Daumenrechnung, die aber, glaube ich, ganz gut es trifft, dass man sagen kann. Jeder Infizierte in dieser Corona-Pandemie hat die Gesellschaft tausend Euro gekostet. Dementsprechend ist jede Warnung, die dazu führt, dass jemand sich nicht erst infiziert, äh ein Vorteil, ne, weil Leute sich dann eben in dem Moment, wo sie von der Corona-Warn-App gewarnt werden, automatisch oder im Idealfall äh weiteren Kontakten entziehen und damit eben äh eine Weiterverbreitung des Virus verhindern. Das ist ja der ganze Sinn und die ganze Idee, hinter dieser App. Ähm Nils sagt hier noch ähm zweiten Kommentar, kann Korrektur timmert auf der Annahme, dass tausendzweihundertfünfzig Menschen durch die Corona-Warne pro Tag von ihrer Infektion erfahren. Jede weitere Infektion, die Allgemeinheit so tausend Euro kostet, eine Ersparnis von zwölf Komma fünf Millionen Euro am Tag ausgerechnet bin jetzt auch kein Mathegenie, aber tausendzweihundertfünfzig mal tausend sind natürlich eins Komma zwei fünf Millionen und nicht zwölf Komma fünf Millionen äh ja.
Äh äh Nils kommentiert weiter, man muss ja in dem Zusammenhang nochmal betonen, dass die tausendzweihundertfünfzig entdeckten Inflation natürlich immer noch dasselbe Gold kosten. Dasselbe Geld kosten. Ja, stimmt, aber wieder also da macht Nils dann den Fehler, denn die Idee ist ja, durch die schnelle Warnung werden weniger Leute infiziert. Ja, also es ist es ist und bleibt äh schwierig in diesen äh es geht halt um die vermiedenen Infektionen und nicht die äh Gewandten. Ja dementsprechend dann kommentierte Christopher wieder auf äh Nils und sagte ähm. Potenziell versteckt sich in den Zahlen ein Selection Biers, erstens, es konnten nur Leute befragt werden, Die Datensharing angeschaltet haben, gegebenenfalls vertrauen diesen Leuten der CWA mehr und sind eher bereit, sich testen zu lassen, wenn die CBA ihnen eine Warnung sendet sehr guter Punkt. Ja, hat der Christopher recht. Ähm zweitens, es haben sicher nur einen Teil der Leute bei der Umfrage unter den, fünfzehntausend Hochrisikokontakten mitgemacht. Wahrscheinlich sind diejenigen, die nach der Benachrichtigung durch die CWA tatsächlich Corona hatten eher bereit an Verbesserungen der App mitzumachen und ihre positive Erfahrung zu teilen. Mich hat die CWA gewarnt. Ich könnte mir vorstellen, dass dies bis zu Faktor zwei ausmacht, also die Ergebnisse quasi zweimal so hoch macht, äh wie die Realität. Und die CBA steht nach dieser Art der Datenerhebung doppelt so gut da wie sie tatsächlich wäre. Ähm das ist natürlich immer noch ziemlich gut, fünfhundert bis tausend infizierte durch die CWA mehr überhaupt oder früher von ihrer Infektion erfahren und damit gegebenenfalls weniger Leute selber anstecken. Abschließend sagt Christopher noch man würde sich wünschen es wird weiterhin mehr Werbung für die CWA gemacht, sie wird, auch mit Impfungen wahrscheinlich wichtig bleiben. Was der Christopher hier gemacht hat, ist ähm was sehr, Wichtiges und das merkt man immer wieder, sobald in der Diskussion von Studien eine Prozentangabe gemacht wird. Ich hab jetzt auch grade schon die die aktuelle Folge von UKW gehört im Corona da kommt das auch immer ne? Wenn wenn also eine Aussage wie das und das ist um so und so viel Prozent wirksam mehr, ja? Ist hoch, äh im im hohen Maße davon abhängig, was genau die Wirksamkeit ist und was man vergleicht, denn ähm also ich nehme jetzt ein fiktives Beispiel, äh wenn man sagt, ähm, Impfstoff hätte eine Wirksamkeit von, sagen wir siebzig Prozent und der Byontec Impfstoff hätte eine Wirksamkeit von neunzig Prozent. Frage für unsere Pisa Kandidatinnen, um wie viel Prozent, ist wirksam mehr als Astra Zenneker. Spontan würden viele sagen zwanzig Prozent, Wenn man aber den Ausdruck, wenn man aber die siebzig Prozent nimmt und sagt, wie viel von den siebzig Prozent ist Biontek stärker, kommt ein anderer Wert raus und es ist sehr entscheidend, sich immer genau anzuschauen, was von welcher Grundgesamtheit wurde hier ausgegangen und wer wurde gefragt, und wie kommen diese Zahlen zustande? Und Christopher macht das hier genau richtig, quasi zu sagen, Moment mal, Moment mal, Moment mal, wer wo dir überhaupt gefragt, wo sind die blinden Flecken der Erhebung und welche prozentualen Anteile werden hier überhaupt ähm angewendet. Und das ist stelle ich immer wieder fest, dass das genau solche ähm. Solche Überlegungen und solche Fragen halt zu einer fundamentalen Misskonzeption in der Wahrnehmung äh wissenschaftlicher äh Erkenntnisse führen. Umso mehr werbe ich ja auch dafür, dass man sich sehr, sehr viel mehr damit auseinandersetzt und ähm ich erinnere mich, dass ich hier in dieser äh dass ich mit dem, Malik da auch nochmal viel drüber gesprochen habe, wie viel, man dadurch lernt, sich mit mit wissenschaftlichen Studien wirklich auseinanderzusetzen und dass die eigentliche Musik nämlich nicht in den Zahlen ist, sondern in deren korrekter, Interpretation. Das ist der, der anstrengende Teil der der ja im Prinzip den intelligenten Teil ausmacht ne? Kluge Studiendesign und die, in dem eigenen Studiendesign zu erkennen, äh zu prüfen und entsprechend ähm ja, sich zu überlegen, wie man die los wird.
Auf jeden Fall äh hat er natürlich Recht, dass die Corona beworben werden müsste. Und nachdem ich jetzt auch gesehen habe, dass sogar Ohio irgendwie diese äh schöne Idee mit der Lotterie aufgegriffen hat für Coronaimpfungen hat mich das bestärkt in meinem Vorschlag, dass man doch irgendwie CWA zu so einem Lotto-Programm umbauen sollte und dann, auch wirklich äh installiert werden, ne. Also zur Information ähm, wurden jetzt ähm fünf Millionen Dollar ausgelobt, die irgendwie so da täglich äh in kleinen Häppchen äh verteilt werden unter den Leuten, die sich halt jetzt impfen lassen und tatsächlich gehen die Impfquoten.
Also es war, glaube ich, am Anfang irgendwie wöchentlich geplant und jetzt ist es irgendwie täglich aufgeteilt. Ich weiß nicht mehr ganz genau. Egal, auf jeden Fall, wenn in regelmäßigen Abständen kleine Häppchen dieses Geldes unter den Leuten verlost und dann an Feiertagen ist es irgendwie ein bisschen mehr, so und äh das führt eben dann tatsächlich dazu, dass Leute dann sagen, oh, lass mich doch mal eben, vielleicht gewinne ich ja was im Lotto. So, und äh würde man halt einfach dieselbe Logik auf die Corona-Warn-App machen und sagen, wir hauen jetzt hier mal jeden Tag zehntausend Euro raus. Was für Leute einfach eine Menge Geld sein kann, und auch ist, ja? Aber halt im in der Summe der Gesamtinvestition dieser Operation ein vollkommen, irrelevanter Betrag ist, würde man einfach einen viel größeren Effekt haben. Und ich glaube, wir wir hätten viel, viel, viel höhere Installationszahlen gesehen. Und vor allem, man kann diese Frage, was habe ich davon, dass ich das Ding laufen lasse. Was ja immer das Erste ist, was die Leute sagen, obwohl es ja darum nicht geht, es geht nicht darum, was du davon hast, sondern was wir alle davon haben, aber in dem Fall hast du halt was davon, du hast nämlich die Chance im Lotto zu gewinnen und das versteht einfach jeder.
So, dann haben wir noch ein bisschen darüber gesprochen, äh, Corona-Warn, Kompatibilität zwischen äh Papierlisten und äh CWA. Der kommentiert, äh hallo Tim, hallo News, wieder mal ein guter, ein super Podcast, danke. Eine kurze Randbemerkung zum Thema und der Anhörung zur Check-In-Funktion im Bundestag. Wie Linus fand ich die Aussage von Martin Fassung etwas, dass er die Frage von Tabea Rößner nach einer Brücke von der digitalen in die analoge Welt bei der Check-in-Funktion. Nicht verstanden hatte. Wenn man die Speck von Crowd Notifyer liest, kommt man zu dem Schluss, dass die Integration von nicht-Corona-Wana-Pusern elementarer Bestandteil des Konzeptes ist. Ja korrekt, ne? Also bei Crowd-Notify ist das spezifisch vorgesehen, dass ähm, Locations oder eben jedes äh, und damit oder ihr, also jedes Mitglied der Gruppe und damit auch die Location selber, potenziell die Warnung auslösen kann. Somit wäre also der Weg als äh beispielsweise gastronomische Einrichtung, die eine. Digitale Warnung erhält, rufe ich einfach alle an, die auch auf dem Papier stehen und wenn jemand vom Papier sich meldet, löse ich die Warnung aus für alle, die ich digital habe. Jetzt sagt Dirk. Daher Fassung im anderen Kontext erwähnte das, Notifyer, die Vorlage für die Implementierung der Check-in-Funktion ist. Und ich unterstelle, dass er die Speck gelesen hat, muss man sagen, dass die Kommunikation zwischen Tabea Roth, Rösner, Martin Fassung und Ulrich Kälber in diesem Punkt sehr merkwürdig war war. Zumindest hätte man erwarten können, ähm dass Martin Fassungen kurz erklärt, dass und warum, Diese Funktion nicht implementiert wurde. Ja, also und es ist tatsächlich offenbar so, dass es momentan nicht der Fall ist, äh dass das möglich ist und äh das ist ähm anzukreiden. So, der nächste Kommentar von Thomas betrifft den digitalen Impfpass. Hallo zum digitalen Infos. Ich habe euch so verstanden, dass ihr einen digitalen Nachweis als Ersatz für den aus Papier für möglich haltet. Daran zu glauben fehlt mir schwer. In unser Person ein Smartphone besitzen in Teilen der Gesellschaft ist das aber nicht der Fall. Ich kann mir nicht vorstellen, dass die Gerichte in Europa zustimmen, wenn die Ausübung von Grundrechten am Besitz eines Smartphones hängt. Neben den angesprochenen Problemen sehe ich aber als weitere Schwierigkeit, dass man auch eine Lösung, braucht, ja, die gibt's, du druckst einfach den QR-Code aus. Also ähm äh das musste ich auch nochmal in äh in einem Interview mit äh ZDF heute live nochmal erklären. Äh also QR Codes. Sind eine also in QR-Codes sind quasi Bits und Bites kurdiert, ja? Und Ich kann einen beliebigen digitalen Inhalt, den ich im Zweifelsfall äh also auch formatiert, wie ich das möchte, aber nehmen wir einfach mal Schrift, um es einfach zu machen. Ich kann aus einem beliebigen digitalen Inhalt einen, QR-Code machen. Ich kann einen QR-Code machen für Linus ist doof oder für Linus ist geimpft. Und ich kann mit ähm Kryptographischen Mitteln, wie ich sie auch in der letzten Sendung erklärt habe, da auch eine Signatur drum machen und diese Signatur ist auch wieder ähm abbildungsfähig. In Buchstaben. Und so kann ich am Ende in einem QR-Code, den Text, Linus ist geimpft und die, Signatur unterbringen, das kann ich also schreiben auf einer Schreibmaschine und ich kann diesen Inhalt als QR-Code codieren. Und diesen QR-Code kann ich ausdrucken, tätowieren, Schlüsselanhänger äh malen mit Wachsmalstiften so, ne? Ähm das geht alles und da ist kein Smartphone Zwang, äh der hier, existiert. Gleichzeitig ähm da kommen wir gleich, glaube ich, nochmal ein bisschen zu äh Grundrechte und so weiter. Äh ist ja hier ein bisschen weit hergeholt, weil ich, wie gesagt, die These vertrete, dass dieser ähm. Impfnachweis, im normalen Leben wenig ähm anwendungs. Sinnvolle Anwendung finden kann und wenn ich mich nicht täusche, auch weiterhin der nicht digitale äh Papierimpfnachweis ähm gültig, hat und anerkannt werden muss. Insofern. Ähm ist deine Sorge hier äh nicht, die wird die wird so nicht zum Tragen kommen. Also eine Smartphone freie Person. Kann sich den QR-Code ausdrucken oder ausdrucken lassen äh oder tätowieren oder sonst was und äh oder eben kann ihre Grundrechte, die du ja hier benennst, auch mit dem Papier ähm, Nachweis ausüben. Ich würde aber in dem Falle dann dazu empfehlen, den QR-Code einfach mit da reinzulegen oder.
Na die eigentliche Komplexität dieses Systems liegt tatsächlich mehr in der Erstellung dieses Codes als in ihrer, Darstellung. Und äh dann natürlich auch in der Überprüfung, so, was aber dann eben nicht die eigentliche Pass-App ist, mit der man das Ding durch die Gegend trägt. Sondern das sind eben die Überprüfungs-Apps auf der einen Seite, und eben die Software, die äh erstmal zu einer ordnungsgemäßen Erzeugung führt und natürlich auch der ganze Prozess der Überprüfung, ob denn das überhaupt alles legitim ist, aber da haben wir ja schon drüber gesprochen.
Dann noch eine kurze Nachfrage von Cornelius. Also hier geht es darum, dass Nexeniu jetzt angekündigt hat, dass in Zukunft die Telefonnummern. Signiert werden, Cornelius fragt, zum Thema Luca-App und dem Plan die Telefonnummer zu signieren. Ich weiß nicht, ob ich das Konzept falsch verstanden habe. Kann ich nicht rein theoretisch dann eine Telefonnummer. Bei der ich Zugang zu dem Luca Pin habe, mir von Luca signieren lassen und dann überall verteilen, zum Beispiel, dass die Lucy App einfach eine Verifikation für eine Telefonnummer durchführt und dann diese bei allen Check-Ins benutzt. Da hat Cornelius recht, dass, wäre bei einer naiven Prüfung dieser äh Signatur, möglich. Ähm die Signatur, wie gesagt, erinnern wir uns, bestätigt nur. Für diese Telefonnummer eine Verifikation durchgeführt wurde. Und was Cornelius hier schildert, ist ähm du gehst einfach hin und holst dir eine äh eine SIM-Karte vom Späti, ähm lässt dir, davon die Signatur zurückgeben, von der äh Luca, App API und nimmst dann diese Telefonnummer bei allen Fake-Check-Ins. Ähm das wäre aber also das stimmt, das geht. Das Blöde ist ähm. Also sowieso bei diesem Angriff, ne? Am Ende ist es ein Angriff gegen das Gesundheitsamt. Und ähm. Das ist ja das ist ja der Teil der der Dexino immer nicht interessiert, wenn das Gesundheitsamt die Scheiße auslöffeln muss, ne. Ähm. Deswegen würde ich eigentlich vorschlagen, dass nicht zu tun, ähm und einfach zu sagen, ich checke halt mit einer nicht signierten Telefonnummer ein, weil das hat zur Folge, dass dein Check-In trotzdem noch funktioniert. Du aber, wenn es dann beim Gesundheitsamt landet, du dort nicht hinspamst. Wenn du das mit einer signierten Telefonnummer machst, machst du im Gesundheitsamt wieder die Arbeit, ähm dass sie im Prinzip alle Leute, die hier die gleiche Telefonnummer angegeben haben, noch mal als Fake erkennen. Und äh rausnehmen muss. Potenziell ruft das Gesundheitsamt aber ohnehin an Das heißt, deine Telefonnummer, da wird, wird halt irgendwie nervig. Man merkt einfach, dieses System ist nicht zu Ende gedacht. Und das merkt man an allen Stellen. Und wenn danach, nachträglich was dran gedübelt wird, dann entstehen eben neue Probleme. Dann auch nochmal eine Nachfrage von Klaus. Äh zu Luca App, Moment mal. Luca wirbt doch damit, dass die Daten zweimal verschlüsselt werden. Einmal mit einem Kieler Location, einmal mit einem Gesundheitsamtes. Wie geht das denn, wenn das Gesundheitsamt noch gar nicht angebunden ist? Ähm Linus vermutet scherzhaft, dass sie den Kita später an das Gesundheitsamt geben. Ähm vereinfacht erklärt, die Daten werden. Mit einem Kieferschlüsselt. Und dieser äh also sie werden mit einem kizemetrisch verschlüsselt. Und dieser Key wird asymmetrisch an die jeweiligen Gesundheitsämter verschlüsselt. Und eine zweifache Verschlüsselung ist das nicht wirklich. Es ist eine symmetrische Verschlüsselung in die Hände der äh. Ähm der Locations, die den Schlüssel für diese symmetrische Verschlüsselung nicht haben und dann eine asymmetrische Verschlüsselung dieses Schlüssels an die anderen Gesundheitsämter. Und dadurch, dass das ist, deshalb notwendig, weil es ja potenziell sein kann, dass unterschiedliche Gesundheitsämter. Vielleicht auch aus einem anderen Bundesland auf diese Daten zugreifen, weil sich die Person von mir aus äh Länder, übergreifend bewegt hat. Und deswegen sind am Ende die Daten nur in Anführungszeichen symmetrisch verschlüsselt und der Schlüssel dafür asymmetrisch, sodass potenziell jedes Gesundheitsamt auf alle Daten zugreifen kann. Auch ein bisschen na ja, aber doppelt verschlüsselt äh kann man halt besser erzählen. Das klingt halt besser.
So, ich war fleißig, habe zwei Spezialsendungen aufgenommen, einmal mit Julia Reeder, die habt ihr zu diesem Zeitpunkt vielleicht hoffentlich auch schon gehört, äh über die. Urheberrechtsreform, die in Deutschland in äh Gesetz jetzt überführt wurde dazu. Alle Gedanken von Julia in der. LNP drei neun drei und außerdem habe ich nochmal zu Staatstrojanern ein Spezial gemacht mit Andre Meister, dass wir, Zweifelsfall nach dieser Sendung veröffentlichen werden. Deswegen haben wir jetzt die zwei, zwei wichtige Themen dieser letzten und kommenden Wochen äh quasi ein bisschen außen vor gelassen und reden über das, EID-Gesetz, zu dem ich am siebzehnten Fünften, im Bundestag war. Da wurde ich sehr kurzfristig eingeladen, denn zwar geht es darum, die wollen die EID auf das Handy bringen, so ein so ein wieder mal ein deutsches Mammut-Projekt. Es gibt im es gibt im Moment eigentlich nur ein Gerät da draußen, was diesen Standard, den die sich da vorgestellt haben, unterstützt. Und das wurde irgendwie eine Woche vor dieser Anhörung, wurden da dann auch noch Schwachstellen drin gefunden Also es, es riecht mal wieder nach so einer richtigen digitalen Revolution, die Deutschland da. An Zelt. Äh wir verlinken mal die Anhörung in den äh in den Shownotes, ich habe da zu einem spezifischen Teil etwas gesagt. Und zwar ist es ja so. Gesetze, ähm wenn man da schon mal dran ist, dann werden ja gerne noch so weitere Wünsche mit reingegossen, ne? Und in diesem Fall. Ist es äh der Wunsch, dass man bei der Einführung der mobilen EID, ne, schön hier Standard pipapo Mobiltelefon und gültig und Pipapo. Und dann noch so im letzten Moment kommt noch so ein Änderungsantrag von der Regierungskoalition, die sagen, ey, und außerdem, ne, ändern wir in dem Zuge noch kurz das Passgesetz, weil da steht ja drin, dass die biometrischen Daten, die gespeichert werden bei der Erstellung von biometrischen Pässen, ähm in Datenbanken für einen zentralen Ab äh Zugriff ähm äh den den den Behörden für die unterschiedlichsten Zwecke ihrer Tätigkeit zugänglich gemacht werden. Und da wollen wir jetzt übrigens auch noch erlauben, dass äh die Bundesländer ihre eins ihre eigenen Datenbanken, äh betreiben können, damit sie da den Zugriff auf die biometrischen Daten. Einfacher haben. Die Konsequenz ist, dass du dann potenziell sechzehn biometrische Datenbanken hast für die im Alt auf die im Alltag eben zugegriffen werden sollen, ne. Das ist natürlich auch ähm, in einer Zeit, wo wir, wo wir uns grade damit auseinandersetzen, was hier mit dem NSU zwei Punkt null in den persönlichen Daten äh Adressdaten und Meldedaten der Menschen passiert ist, eine total geile Idee, Wenn du jetzt sagst, okay, wir machen den Zugriff auf die biometrischen Daten der Menschen, mal ebenso, so richtig einfach, weißt du, dass das so das muss einfach hier, fluffig gehen, das muss in den, in, in die, in die Prozesse eingearbeitet werden und und irgendwie, das darf einfach gar nicht mehr so träge sein und da machen wir jedes Land einzeln, nochmal so ein Ding auf. Äh das klingt für mich echt nach keiner äh besonders guten Idee und vor allem muss man diese, diesen Ansatz nochmal im Kontext sehen, als diese Pässe eingeführt wurden. Da war das große, heilige Versprechen, dass diese Biometriedaten noch nicht einmal gespeichert werden. Erst recht nicht, dass man da eine Datenbank draus macht oder so, ne. Paar Jahre später äh stehst du da und es soll halt der biometrische Datenzugriff soll im Prinzip zur zur absoluten Standardfunktion der Behördenarbeit werden. Ähm dagegen habe ich mich ausgesprochen.
Ja, kam total überraschend und ich möchte nochmal, also ich kann das äh wie immer, also ich möchte natürlich empfehlen, mal die Aufzeichnungen meiner Anhörung da, ähm zu teilen und äh weiterzugeben, weil ich das da ein bisschen länger ausgeführt habe. Ähm. Biometrische Merkmale haben also der Biometrie hat in unserer Gesellschaft halt so eine. Interessante Doppelfunktionalität, weil wir, ne, ähm, Biometrie gerne nutzen zur, Authentifizierung. Also face ID, Touch ID, ne. Ähm an den an den iPhones und wie die jeweiligen Funktionen im Android-Land heißen. Und gleichzeitig aber auch zur, identifizierung und diese Identifizierung ist potenziell etwas gegen das Interesse der Menschen. Ja, also Authentifizierung, wenn du das an, wenn du dein iPhone durch dein Gesicht schützt, ist das deine, ähm in deinem Interesse, das was du möchtest, für ein potentielles, vermeintliches Sicherheitsmerkmal und, Wenn du aber durchs Südkreuz gehst, kann das gleiche Gesicht, durch diese Kameraüberwachung, quasi gegen dein Interesse verwendet werden. Und diese Mischung ist relativ ähm unschön. Denn ähm wenn wir unsere Gesichter als Passwörter benutzen, haben wir haben wir halt das Problem, was was man hat, wenn man äh überall das gleiche Passwort verwendet, ne? Liegt und äh es dann zu ändern wird halt echt teuer, ne? Und ähm darüber habe ich ein bisschen gesprochen und habe mich dann natürlich dagegen ausgesprochen, dass eine solche ähm. Biometriedatenbanken für die Länder geschaffen werden, um den Zugriff hier einfach zu gestalten, hat aber natürlich die Regierungsfraktion nicht interessiert. Und ich habe auch in meiner, kurzen Stellungnahme da auch gesagt so ich hab ehrlich gesagt den Eindruck dass sie es nicht, machen, weil sie es nicht wissen, sondern dass sie es machen, weil sie genau wissen, was sie da tun. Ansonsten gibt es auch noch eine gemeinsame Stellungnahme des CCC und des Pfiff zu dem Rest dieser ganzen mobilen EID Geschichte, ähm die ja relativ schön, auch mal zeigt. Also Deutschland agiert halt so. Absolut Plan und Strategie los und man hätte sich gewünscht, dass die irgendetwas verstanden hätten von dem EID Debakel, was sie bisher hatten. Ne, also wir haben ja seit über zehn Jahren diese Personalausweise oder ist das über zehn Jahre, eingeführt wurden, aber die äh gesetzliche Grundlage ist auf jeden Fall nee, noch nicht ganz zehn Jahre, aber sagen wir, also wir haben in sehr großer Verbreitung die EID, also einen Personalausweis, in dem sich eine Smartcard befindet ähm die über NFC kommunizieren kann und die unterschiedlichste spannende Funktion bereithält, ja? Ähm unter anderem, dass man sich damit, dass man damit quasi das Äquivalent von Ausweis zeigen machen kann und eben auch. Theoretisch mit dem Chip, der da drin ist, auch verschlüsseln und signieren könnte. Nichts davon findest du irgendwie sinnvoll in der Anwendung. Ähm da draußen, also obwohl wir. Mit dem mit der technischen Grundlage wirklich Dokumente signieren könnten und das auch prüfen könnten, dass diese Dokumente signiert sind. Ähm. Findet das eigentlich keine Anwendung. Und ich möchte mal jemanden sehen, der oder die äh. Mit der mit diesem elektronischen, mit diesem EID-Ausweis jemals was gemacht hat. Ich habe ja sogar ein Lesegerät dafür und würde den ja gerne mal anwenden. Aber ich finde wirklich keinen Anwendungszweck.
Das kann sein, dass du da ein bisschen in der Berliner Falle bist. Also ich habe jetzt aus anderen Bundesländern sehr wohl gehört, dass zumindest so bestimmte ähm Tätigkeiten wie Autozulassen und abmelden und so weiter tatsächlich mit Hilfe des elektronischen Personalausweises entsprechend automatisiert und komplett online durchführbar sind, ohne dass man irgendwie einen Termin braucht.
Okay, feine Sache. Ähm in diesen Anwendungsfällen ist es dann meistens so, dass die umgesetzt werden mit der EID-Funktion, die aber will ich jetzt da das erinnert. Ich glaube, da habe ich, in der E-Government-Gesetz Stellungnahme damals zugeschrieben. Die EID Funktion ist aber eigentlich die falsche. Was du eigentlich machen möchtest, ist eine Signatur, weil die EID zeigt einfach nur, du hast zu Zeitpunkt so und so bewiesen, dass du den Ausweis hast. Du hast aber damit nicht deine Willensbekundung, verbrieft. Aber das ist äh ja im im Zweifelsfall graue Theorie. Hm worauf also der Punkt, den ich eigentlich machen möchte, ist, es gab. Diese EID, dann hat sie niemand genutzt, dann haben sie gesagt, okay, machen wir mal ein Gesetz zur äh Förderung der Nutzung der EID. Da wurden dann einige ähm technische Anforderungen abgeschreckt, abgesetzt und der der Datenzugriff auf die biometrischen Datenbanken, erlaubt, ja? Und jetzt sagen sie, geil, machen wir's aufs Handy. Und was eigentlich fehlt. Nicht anzufangen mit geil, wir wollen das aufm Handy haben, sondern zu überlegen, welche Prozesse wollen die Bürgerinnen und Bürger denn eigentlich, bilden mit dem Scheißding, Und wie können wir das technisch sinnvoll lösen? Und dann irgendwann zu sagen, okay und so können wir damit auch äh uns aufs Handy zaubern, wenn das denn nötig ist. Ja, aber hier fehlt in dieser in diesem Gesetz fehlt so überhaupt die das also warum? Warum und wofür? Das ist da gar nicht drin und auch die die technischen so wirklich so richtig konzeptfrei. Du merkst richtig, wie einfach nur dachten so geil Handy. Na ja. Also äh. Deswegen in meiner äh Stellungnahme mündlich, Natur primär die Konzentration auf diesen Biometrie. Schwachsinn. Dann haben wir äh eine schöne IT Security Forschung, die veröffentlicht wurde von Lilith Widmann, die sich, äh, übrigens Widmann, eine der Autoren der CCC-Stellungnahme, das waren ähm, Markus Drenger. Rainer Rehak, Lilit Widmann und Konstanze kurz, die diese äh schriftliche Stellungnahme formuliert haben. Wie gesagt, ich, ja, ich war erst sehr, ich wurde sehr kurzfristig eingeladen und zwar zu diesem Änderungsantrag. Wie das so ist, der wird ja als allerletztes kurz reingemogelt, weißt du? Und dann haben die sich kurzfristig entschieden, eine Anhörung im Innenausschuss zu machen und da war der Rainer Reha quasi vom Pfiff, der war auch geladen, alles klar, der war als Sachverständigerstand auf der Liste und ähm da gab es eben auch diese Stellungnahme, die eben äh Rainer zusammen mit den anderen äh geschrieben hat, Und dann kam quasi noch, ey hier Biometriedatenbank Zugriff. Kurzfristig ähm. An mich die die Bitte, hier kannst du nicht dich um diesen Teil auch nochmal spezifisch kümmern. Und so kam es eben, dass da eine schon länger formulierte schriftliche Stellungnahme ähm. Von CCC und Pfiff vorgestellt wurde von Rainer Rehak. Und ich mich, Party, ja, weil im CCC war das Thema, EID schon von anderen Leuten bearbeitet worden. Ich nur noch mal quasi noch dazugeladen wurde, um spezifisch diesen Biometriekram ähm abzudenken. Das war äh da. Der Hintergrund sah ich auch am am äh Eingangsstellung, dass äh ich mich den Ausführungen von Rainer, voll, vollumfänglich anschließe und jetzt aber mich um den Änderungsantrag kümmere, weil der natürlich auch, ich mein, das ist das, wo du eventuell noch Glück haben kannst, Hatten wir aber nicht. Wurde, wurde trotzdem beschlossen, ne? Das war irgendwie paar Tage später dann, interessiert die ja nicht, wenn da äh mal irgendjemand sagt, hör mal, äh ihr macht hier äh ihr habt einerseits, irgendwelche NSU zwei Punkt null Spackos, die ihr euch am Telefon die persönlichen Daten der Leute aus den Rippen leiern und gleichzeitig wollt ihr da jetzt auch noch Biometriedatenbanken dranhängen, ne. Das interessiert dich ja nicht, wenn genau, aber äh Lilit Wittmann hat sich angeschaut, die CDU-Connect-App. Und das ist ein das ist äh interessant eigentlich, dass man dass sich das so lange niemand angeschaut hat. Denn tatsächlich ist es ja so, dass die, Parteien für ihre Wahlkämpferinnen im klinken Putzen Marathon auch digitale Tools bereitstellen. Da wurde übrigens, ich glaube, der erste Obama-Wahlkampf wurde da als so äh wegweisend damals betrachtet, oder Tim?
Und wenn man mal ehrlich ist, so hätte man Obama da gar nicht so unbedingt zu, gratulieren sollen, dass sie so etwas gemacht haben, weil es eigentlich ziemlich ist, was die Leute da natürlich eintragen, ne? Die die die gehen im Prinzip 'ne Straße lang, führen irgendwelche persönlichen Gespräche mit den Leuten, notieren die in dieser App. Und machen da irgendwie so ein Customer Relationsmanagement, ne. Und, Jetzt hat die äh Lilith Wildmann sich das angeschaut und hat mal so ein bisschen auf dem Ding rumgeschaut, hat gesagt, aha, hier gibt's eine API. Gucken wir doch mal, äh was da so rausfällt, wenn man mal, nachfragt und wie das so ist, diese API hat halt kein sauberes Rollenkonzept, so dass sie relativ äh problemlos ähm sich. Ähm ja die Daten von anderen Leuten anschauen konnte. Also äh was, was sie, was sie quasi nicht sehen sollte, dass sie quasi sehen konnte, aha, wer hier, ne. Gibt's eine Person, die ist fünfzig, die wurde, die wohnt in Hameln, äh die hat die Tür aufgemacht, die war männlich. Und äh was haben wir so mit ihr? Äh was haben wir so mit ihr besprochen, ja? Und äh, worüber haben wir mit ihr? Äh ne? Also worüber haben wir mit ihr besprochen, gesprochen und wann und so, ne? Das ist natürlich schon irgendwie ein ziemlich krasser Datensatz und da waren insgesamt einhunderttausend Datensätze von besuchten Personen. Ähm und achtzehntausend Wahlkampfhelferinnen und äh tausend potentielle äh Unterstützerinnen. Und äh ja. Herzlichen Glückwunsch CDU. Hm, die haben, sie hat das gemeldet, daraufhin wurde diese App äh zwischenzeitlich offline genommen. Ähm, die Nutzerinnen wurden dann die betroffenen Nutzerinnen wurden informiert. Es ist natürlich nicht so wirklich ähm klar, wer die Daten alle schon zugegriffen hat und äh ja, natürlich wird das dann runtergespielt. Da gab's irgendwie so ein schönes irgendwie so 'n schönen Sendungsausschnitt mit Armin Laschet vorher darauf angesprochen wird und der ist ja, dass er so ein lieber Opatyp und sagt dann so, ja, ja, in der App gab es ein Problem, da war ein Hacker drin. Oh Mann, du weißt gar nicht, wo du anfangen sollst, ne? Da war ein Hacker drin.
Oh Mann. Und die App, die äh wird ja auch nicht nur bei der CDU eingesetzt, sondern auch bei der CSU und auch bei der ÖVP in Wien. Das ist so quasi äh von einer Firma programmiert und äh, so als Lösung kann man das im Prinzip für jede Partei zum Einsatz bringen, kommt aber vor allem im konservativen Kreisen äh derzeit zum Einsatz.
Ja und vor allem so dieses äh da waren ja Hacker drin, ne. Also Das ist genauso wie die ganzen Datenlegs, die wir hier in den letzten Wochen schon besprochen haben, insbesondere hier die ganzen Aktivitäten von Zerforschung, ja, die sich diese ganzen Corona-Sammel äh Datensammel Dinger angeschaut haben und da die Leute rausgeholt haben oder die was haben sie noch auseinander genommen? Diese ganzen. Lieferdienste, Apps, ja, wo also auch die ganzen Fahrten drin waren und die Fahrer und so weiter da hier so Gorillas und und wie sie alle heißen, Das Schema ist eigentlich immer dasselbe. Heutzutage werden diese Apps im wesentlichen als Web äh Anwendungen gebaut, das heißt äh der ganze Kram läuft halt irgendwie in der Cloud, im Server und diese Apps selber sind eigentlich nur noch so, na ja, so Abfrageterminals und stellen einfach übers Web, über eine definierte Schnittstelle, über diese einfach Anfragen nach, und wenn du da an der Stelle äh falsch denkst und nicht genug Sorge trägst, dass eben diese App auch dann die entsprechende Berechtigung hat dann ist es eben oft möglich, einfach vollständig unabhängig von dieser App oder nur mit wenigen Informationen, die man sich schnell mal aus so einer App rauskratzen kann, dem man ein bisschen zuhört, einfach von außen, von irgendwo eine Anfrage zu stellen an diese Wolke, die Wolke denkt so, ah ja da da kommt einer, der der fragt mich, das das wird schon, das wird schon seine Ordnung haben So und dann gebe ich doch einfach mal diese Daten mal raus, weil könnte ja sein, dass das jemand gebrauchen könnte. Das ist so ein bisschen so die Herangehensweise und da wird dann einfach mit zu wenig Sorgfalt gearbeitet und dann sind dann diese Daten dann eben auch gleich massenhaft und sofort und einen großen Überblick vorhanden und das ist ja immer dieses Problem, was wir schon eine Milliarde mal. Haben, wenn man erstmal anfängt, Daten zentral zu sammeln, dann ist der Weg zu einem Leak relativ kurz und der ist tendenziell eher kürzer geworden in den letzten äh Jahren.
Ich muss, ich muss ein kleines Detail noch ergänzen. Also das Problem ist nicht, dass äh auch anderes als die App. Auf diese API zugreifen kann, sondern das Problem ist, dass die API nicht sauber die Berechtigungen prüft, ja? Also genau, das das ich weiß, dass du das meinst, wird's nur nochmal äh spezifisch nochmal betonen, dass du beispielsweise, net, also da gibt es dann eine Datenbank, in der stehen jetzt zum Beispiel die ganzen, besuche Nutzerinnen drin. Und jetzt ist natürlich eigentlich notwendig, dass es ein Rechtekonzept gibt wer darf hier überhaupt auf welche Daten zugreifen? Und das ist wie du auch grade genau sagst, bei den bei diesen ähm Corona-Schnelltestdingern immer das Problem, dass sie nämlich nicht ein rechte Konzept haben, das spezifisch sagt, auf das Testergebnis von Personen X darf nur Person X zugreifen, sondern dass sie irgendwie sowas haben wie wir haben dich eingeloggt, du bist eine eingeloggte Person. Und deswegen darfst du auf Testergebnis C zugreifen. Und ähm, ne? Hier wäre halt auch der der sinnvolle Fall halt gewesen, dass man sagt, also es gibt ja hier zum Beispiel in dieser Datenbank die User-ID ist wahrscheinlich das von der Person, die da war, Campain ID und User ID, dass man im Prinzip daran bindet, dass jetzt hier die Person, die dort besucht wurde, das dürfen eben nur diejenigen, die an dieser Kampagne beteiligt sind und oder die Person, die sie besucht hat ähm zugreifen. Aber am Ende eben da eine offene Datenbank ist, die das rechte Konzept des Zugriffs nicht mehr sinnvoll abbildet. Und ähm ja, dann ist, wie gesagt, das Problem ist, dann kann kannst du relativ einfach und das hat lediglich hier auch gemacht. Du schaust der App ein bisschen zu. Was stellt dir denn eigentlich für Fragen? Was kriegt die für Antworten und in den Antworten siehst du eben dann häufig die anderen Felder in der Datenbanktabelle und dann guckst du einfach mal, ach was passiert denn, wenn ich das Feld mal auch versuche? Oder ne, was was passiert denn, wenn ich hier mal sage, ich möchte nicht nach zehn fragen, sondern nach hundert. Oh, geht! Ne? Und das ist dann quasi eine Funktion, die die App dir nicht bietet, deswegen denken alle, ha ha ha, die App kann das ja gar nicht. Aber wenn du eben direkt an der API fragst, mit oder ohne Authentifizierung, dann purzelt da auf einmal alles raus. Eigentlich solche Fehler solltest du heutzutage nicht mehr machen. Gibt da auch ein Interview, wo wo sie auch sagt, so ja, vor zehn Jahren war das eigentlich relativ üblich, solche Fehler zu finden. Äh äh sehr schön finde.
Da war ein Hacker drin oder so, der was natürlich auch weiße Mann, ey, du kannst doch wenigstens sagen, dass es eine Sicherheitsforscherin war. So, das ist jetzt nicht zu viel verlangt, ne. Und es gibt eben also es gibt. Ihr müsst es gibt eben einen Unterschied. Eine Sicherheitsforscherin hingeht, darein schaut und den Quatsch ans BSI meldet? Oder ob da ein Hacker drin war, ja? Und der Hacker war da nicht drin, weil der Hecker da drin war, sondern der Hacker war da drin, weil die App scheiße programmiert war und dann eigentlich das Problem ist, dass das Schrotting seit zehn Jahren online ist und du überhaupt nicht weißt, wer da schon alles äh Zeug rausgeholt hat, ne. Aber okay, komm, Armin Laschet, äh immerhin hat er verstanden, dass das was mit Computern war und das äh muss man, da muss man ja auch einfach mal.
So, dann hat in den letzten Wochen äh, ein Fall, die die Welt beschäftigt, dass hier so eine Pipeline betroffen war von von. Ich würde das hier nur mal äh noch am am Rande kurz behandeln. Die. Also das sind Pipeline-Betreiber und wenn ich das richtig verstehe, ist diese diese Pipeline, ich führt irgendwo äh Öl, ne? Da da wird Rohöl durchgepumpt, ne? Und. Jetzt war auf einmal haben die diese Pipeline abgeschaltet. Und das Thema, was dann erst die Runde machte, war so, oh mein Gott, die Hacker haben die Pipeline gehackt, ne und, amerikaner sind ja alle immer sehr apokalyptisch, die also natürlich sofort zur äh zur Tankstelle gefahren und haben haben Kanister weiße. Gebunkert, was natürlich dann auch wiederum dazu geführt hat, dass dann auch wirklich eine äh Knappheit an an Sprit entstanden ist, die, vielleicht wegen ein paar Tage Pipelineausfall gar nicht in dieser Form. Äh äh zum zum Tragen gekommen wäre. Und ähm. Stellte sich aber dann raus, dass die gar nicht unbedingt die Pipeline gehackt haben, sondern dass diese Abschaltung der Pipeline eher erfolgt ist, entweder, sage ich mal, das das Schöne Beispiel, das schöne ähm. Die schöne Erklärung wäre, weil sie sich nicht hundertprozentig sicher waren, dass nicht eventuell auch die Pipeline-Systeme betroffen sind. Die etwas weniger schöne Erklärung ist, weil ihre Abrechnungssysteme betroffen waren, und sie Sorge hatten, wenn wir die Pipeline jetzt anlassen, dann können wir vielleicht nachher nicht die richtigen Rechnungen stellen, also schalten wir die lieber aus.
Ja, dann hätten sie das manuell äh Liefermengen eintippen müssen, wer weiß, ob sie da die richtigen Rechnungen stellen. Hm und da haben sie lieber gesagt, komm, wir machen das mal aus bis unser Abrechnungssystem hier wieder funktioniert. Dann haben die außerdem wohl tatsächlich die fünf Millionen gezahlt, die ihnen als Lösegeld ähm verlangt wurden. Wo auch so ein bisschen unklar ist, weshalb sie das denn äh getan haben, also eigentliche Grund ist nur, also der Grund, dass du zahlst, ist. Im Prinzip, dass du dass dein Wiederanlaufkonzept nicht ordentlich ist, ne? Und oder dass du nicht ausreichend Backups hast, weil eigentlich sonst würdest du nicht zahlen und ähm. Oder, oder, du wirst mit der Veröffentlichung von Daten erpresst deren Veröffentlichung du unterbinden möchtest und lässt dich hier quasi äh lässt sich auf diese Weise erpressen.
Und es gab dann, das habe ich aber nicht weiter verfolgt, relativ zügig danach, scheint diese, Darkside Crew, die das gemacht hat, äh ähm untergegangen zu sein oder gehackt worden zu sein, haben also bekanntgegeben, sie hätten die Kontrolle über ihre, Server verloren und ihr Geld, einen Tag nachdem beiden ihnen gedroht hat. Da habe ich jetzt nicht weiter verfolgt und ich finde, habe auch den Eindruck, dass das noch nicht hundertprozentig aufgeklärt ist, was da genau passiert ist, weil sich immer die Frage stellt, es könnte natürlich auch einfach sein, dass die. Ähm weil Biden ihnen gedroht hat. Im Prinzip sagen, okay, nee, das ist ein bisschen zu viel Aufmerksamkeit, die wollen wir nicht. Ja und äh deswegen jetzt quasi versuchen, sich ein bisschen aus dem Staub zu machen und ihre äh hochzuziehen. Ähm. Kann aber natürlich auch sein, dass die irgendwie, dick vom FBI hochgenommen wurden, wobei dann müsste sich natürlich müsste man sich die Frage stellen lassen, wenn die innerhalb von wenigen Tagen vom FBI hochgenommen wurden. Warum konnten die dann so lange, gewähren. Ja, also das das wird sich nochmal dieser Fall wird uns sicherlich nochmal weiter beschäftigen zum jetzigen Zeitpunkt habe ich da noch keine äh abschließende Information, um das abschließend zu bewerben.
Kleine Korrektur noch, es sind keine Rohölpipeline, sondern es ist tatsächlich ähm Pipeline, die äh spezifisch, Benzin, Diesel und auch Flugzeug, Treibstoff äh transportiert, Texas in verschiedene Bereiche äh der USA bis hin zu New York also es scheint einfach so ein Distributionssystem zu sein, alternativ zu Tankwagen.
Okay. Gut, dass du das korrigiert hast? Ja, war jetzt nicht ein Nordstream zwei. Aber ist schön, ja, also es ist. Wir werden solche, diese Fälle, die jetzt, sagen wir mal, im weitesten Sinne so eine ähm Kraftstoff-Pipeline ist, denke ich schon, verdientermaßen als kritische Infrastruktur klassifiziert und ja, es wird nicht der erste und auch nicht der letzte und auch nicht der schlimmste. Zwischenfall in diesen Bereichen gewesen sein. Damit würde ich sagen, sind wir am am Ende unseres. Für diese Woche. Wir freuen uns auf die ähm Kommentare der Akademikerinnen und Akademiker. Ich bitte, nehmt es, wenn ich äh nehmt es nicht persönlich. Ich ich es geht mir um die Institution des des Titels und ich äh hoffe. Das möchte ich vielleicht hier an dieser Stelle noch sagen. Das alle wissen, wie viel Wert ich auf äh Wissenschaft lege. Und äh insbesondere empirische Wissenschaften, die möchte ich da in keiner Weise mit äh. Irgendwie degradieren, ganz im Gegenteil, es geht mir nur um diese Institution. Des Titels und diese Merkwürdige gesellschaftliche Bedeutung, die dem beigemessen wird.
Ich habe, also ich persönlich habe den. Den Eindruck tatsächlich, dass man im weiteren Verlauf des Lebens noch viel wahnsinnigere oder auszeichnungswürdigere Taten verbringt, also in der sogenannten freien Wirtschaft. Äh ne, also ich nehme jetzt mal keine Ahnung, ne, irgendwie, große Infrastrukturen bauen, äh man man ähm erreicht im Leben eine ganze Menge äh und äh bringt auch vielleicht auch persönliche Herausforderungen hinter sich, für die es keine Auszeichnungen gibt, ne. Könnte man ne. Irgendwelche Ehre, Erauszeichnungen äh für Leute, die ein Leben opfern, um andere zu pflegen. Ja? Die kriegen gar nichts. Da wird nicht irgendwann gesagt, oh Frau äh Frau ähm was weiß ich, Frau Heilerin oder Frau oder Mutter Theresa oder was auch immer man denen Auszeichnung geben könnte, ne? Denen wird einfach nur gesagt, haha, du hast ein Leben lang für für Niedriglöhne äh schwere Arbeit gemacht. Das betrachten wir nicht als Auszeichnungswürdig. Das ist äh schon sehr interessant, wie wie Anerkennung in dieser Gesellschaft verteilt wird.