{"version":"1.0.0","segments":[{"speaker":"tim-pritlove","startTime":0.0050000000000000001,"endTime":1.5800000000000001,"body":"Guten Morgen Linus."},{"speaker":"linus-neumann","startTime":0.0060000000000000001,"endTime":2.9860000000000002,"body":"Guten Morgen Tim."},{"speaker":"tim-pritlove","startTime":3.7069999999999999,"endTime":8.1240000000000006,"body":"Sag mal, jetzt m\u00fcssen wir schon wieder \u00fcber die Luca-App reden. Du hast gesagt, wir reden nicht mehr \u00fcber die Luca-App."},{"speaker":"linus-neumann","startTime":8.3879999999999999,"endTime":17.893999999999998,"body":"Wo war ich letzte Nacht? Wieso bin ich jetzt noch wach? Ist jetzt eh egal. Das war das letzte Mal."},{"speaker":"tim-pritlove","startTime":38.890000000000001,"endTime":48.841000000000001,"body":"Lokbuchnetzpolitik Nummer dreihundertsechsundneunzig, wir schie\u00dfen in hochgeschwindigkeit hier die Sendungsnummer nach oben und ihr fragt euch schon, ist denn"},{"speaker":"tim-pritlove","startTime":48.625,"endTime":59.356999999999999,"body":"Bundespolitik jetzt ein Daily Podcast geworden. Ja, in dieser Woche ist es tats\u00e4chlich so, aber da hat sich jetzt irgendwie einiges aufgestaut und nachdem \u00e4h man den Stau abgearbeitet hat,"},{"speaker":"tim-pritlove","startTime":59.526000000000003,"endTime":68.911000000000001,"body":"dann schon wieder so Themen rein, die unbedingt auch noch behandelt \u00e4h werden mussten und was wollen wir denn machen? Das ist dann halt einfach so. Schlimmste, so ist es."},{"speaker":"linus-neumann","startTime":70.016999999999996,"endTime":78.424000000000007,"body":"Ja, kann man ja nicht mit rechnen, dass \u00e4h die News von vor drei Wochen \u00e4h pl\u00f6tzlich siegend hei\u00df auch bei Nexenia am ankommen."},{"speaker":"tim-pritlove","startTime":79.878,"endTime":91.150999999999996,"body":"Genau, eine kleine \u00e4h Vorschau auf den \u00e4h Inhalt dieser Sendung und \u00e4hm ansonsten gehen wir nochmal ein bisschen durchs Feedback, bevor wir das aber tun, verraten wir euch auch noch, dass wir"},{"speaker":"tim-pritlove","startTime":90.935000000000002,"endTime":98.494,"body":"ein Gast dabei haben in dieser Sendung und wir begr\u00fc\u00dfen Markus. Markus, hallo Markus."},{"speaker":"markus-mengs","startTime":98.927000000000007,"endTime":100.459,"body":"Hallo Tim, hallo Linus."},{"speaker":"tim-pritlove","startTime":100.423,"endTime":111.498,"body":"Herzlich willkommen bei Logbuch Netzpolitik. Du hast deine \u00e4h H\u00e4nde ganz tief drin im \u00e4h im Luka-Motor und hast sie schmutzig gemacht."},{"speaker":"markus-mengs","startTime":111.19799999999999,"endTime":113.02800000000001,"body":"Ja"},{"speaker":"tim-pritlove","startTime":112.23699999999999,"endTime":113.631,"body":"Nicht wahr?"},{"speaker":"tim-pritlove","startTime":114.04600000000001,"endTime":127.325,"body":"Und \u00e4h deswegen haben wir dich eingeladen, wir quatschen auch gleich und stellen \u00e4h dich dann auch nochmal im Detail vor, aber ich glaube, wir schaffen jetzt erstmal hier noch das Feedback \u00e4hm weg, denn."},{"speaker":"tim-pritlove","startTime":127.789,"endTime":131.18899999999999,"body":"Die Sache mit der Doktor arbeiten, ne? Das."},{"speaker":"linus-neumann","startTime":130.94900000000001,"endTime":139.12700000000001,"body":"Wir haben ja, wir haben ja provoziert, wir haben ja, wir haben ja Kommentare von Doktor W\u00fcrdentr\u00e4gerinnen, \u00e4hm,"},{"speaker":"linus-neumann","startTime":139.31999999999999,"endTime":147.52199999999999,"body":"provoziert und auch erbeten und da fand ich zwei besonders sch\u00f6n, die wollte ich jetzt mal ganz kurz \u00e4h noch vorlesen."},{"speaker":"linus-neumann","startTime":148.23699999999999,"endTime":151.07900000000001,"body":"Und zwar haben wir Feedback von Eckhard."},{"speaker":"linus-neumann","startTime":152.227,"endTime":166.36600000000001,"body":"Ich bin Biologe, Doktorte in meinem Fach belegen, dass eine Person eigenst\u00e4ndig und erfolgreich geforscht hat. Wir arbeiten daf\u00fcr so etwa vier bis f\u00fcnf Jahre hochmotiviert in Vollzeit. Also Eckart, das mit dem hochmotiviert wei\u00df ich nicht. In Vollzeit auf jeden Fall."},{"speaker":"linus-neumann","startTime":166.18100000000001,"endTime":175.72200000000001,"body":"Die Forschungsergebnisse werden in der Regel in internationalen Fachzeitschriften publiziert und m\u00fcssen erfolgreich vor allem anerkannten Expertengremium vertreten."},{"speaker":"linus-neumann","startTime":176.023,"endTime":178.95500000000001,"body":"Und f\u00fcr Wert befunden werden. Der,"},{"speaker":"linus-neumann","startTime":178.96199999999999,"endTime":191.178,"body":"Der Promotionsausschuss meiner Fakult\u00e4t birgt f\u00fcr die Qualit\u00e4t der Promotionen. Der Wert des von uns verliehenen Titels ist in diesem Sinn international anerkannt. Der Titel zertifiziert also eine bestimmte,"},{"speaker":"linus-neumann","startTime":191.268,"endTime":205.672,"body":"Qualifikation. Dieses System dient der Qualit\u00e4tssicherung und funktioniert sehr gut. Man kann das auch mit einem Meisterbrief vergleichen. Ja, super \u00e4h sehr gutes Beispiel. Hochproblematisch ist die jahrelange gro\u00dfe Abh\u00e4ngigkeit von der Betreuerin."},{"speaker":"linus-neumann","startTime":206.369,"endTime":221.03700000000001,"body":"Altbacken, sinnlos und dumm ist die Idee, dass ein Doktortitel eine Person generell aufwertet. Als W\u00e4hler Mensch und B\u00fcrger sind wir alle gleich. Dem Titel geb\u00fchrt kein besonderer Respekt und er hat meiner Meinung nach im."},{"speaker":"linus-neumann","startTime":221.36199999999999,"endTime":229.125,"body":"Alltagsleben nichts zu suchen. Deswegen sind Doktorte f\u00fcr Politiker eigentlich vollkommen sinnlos, wenn es um Wissenschaft geht."},{"speaker":"linus-neumann","startTime":229.744,"endTime":238.96199999999999,"body":"Sollen sich diese auf den wissenschaftlichen Dienst verlassen. Sie brauchen selbst keine Forschungsqualifikation."},{"speaker":"linus-neumann","startTime":240.26599999999999,"endTime":250.583,"body":"Dann hat noch darauf kommentiert auf also der Gestalt hatten wir mehrere Kommentare. Da fand ich noch einen sehr sch\u00f6n von Doktor Ing D\u00fcsentrieb."},{"speaker":"linus-neumann","startTime":254.11099999999999,"endTime":262.62599999999998,"body":"Der hat uns mitgeteilt. Hallo, ich kann Jan und Eckhard oben nur beipflichten. Gilt so auch f\u00fcr meinen Fachbereich im Ingenieurswesen"},{"speaker":"linus-neumann","startTime":262.60199999999998,"endTime":273.923,"body":"auch f\u00fcr meinen Titel waren circa f\u00fcnf Jahre Vollzeitarbeit notwendig. Drei davon waren mit sehr gro\u00dfem Leidensdruck verbunden. Auch ich f\u00fchre meinte nur, wenn's passt."},{"speaker":"linus-neumann","startTime":274.19999999999999,"endTime":283.18900000000002,"body":"Hausverwaltung und andere nervige Leute sind super Beispiele. Die gehen dann die gehen einem dann eventuell etwas weniger penetrant auf den Keks,"},{"speaker":"linus-neumann","startTime":283.38099999999997,"endTime":295.52499999999998,"body":"meint ihr, liebe Doktor W\u00fcrdentr\u00e4gerinnen? Aber zu oben erw\u00e4hnten gro\u00dfen Abh\u00e4ngigkeit vom Betreuer sind ja fast ausschlie\u00dflich M\u00e4nner, m\u00f6chte ich doch noch was loswerden. Die Aussage."},{"speaker":"linus-neumann","startTime":296.22300000000001,"endTime":303.71600000000001,"body":"Wer bis dahin nie betrogen hat, wird's auch bei der Doktorarbeit nicht tun und danach dann sicher auch nicht mehr damit aufh\u00f6ren, wurde von euch ja f\u00fcr,"},{"speaker":"linus-neumann","startTime":303.86599999999999,"endTime":312.80099999999999,"body":"kategorischen Unfug gehalten. \u00c4hm das sehe ich anders. Die Doktorarbeit bringt unfassbar viele Menschen an,"},{"speaker":"linus-neumann","startTime":312.976,"endTime":322.36799999999999,"body":"und etliche \u00fcber ihr Limit. Die meisten davon eher sp\u00e4t in ihrem Leben. Schule ging mit links, Studium war noch nicht hart genug und davor abzuschrecken."},{"speaker":"linus-neumann","startTime":322.21800000000002,"endTime":332.92000000000002,"body":"Also startet man ein Doktorrat. An meiner Uni melden sich Statistiken zufolge f\u00fcnfundzwanzig Prozent aller Promovierenden mindestens einmal bei der psychologischen Beratungsstelle."},{"speaker":"linus-neumann","startTime":333.99000000000001,"endTime":348.88,"body":"In meinem damaligen pers\u00f6nlichen Umfeld w\u00fcrde ich auf mehr als zehn Prozent sch\u00e4tzen, welche l\u00e4ngerfristig mehrere Monate in Behandlung waren. Dunkelziffer potenziell riesig, da man sowas ja gern verschweigt. Der Druck ist immens, wenn man vier Jahre hinter sich hat und es dann hei\u00dft"},{"speaker":"linus-neumann","startTime":348.75999999999999,"endTime":356.71600000000001,"body":"du brauchst noch ein Paper, sonst wirst du nicht fertig. Man h\u00e4ngt in den sch\u00f6nen flapzig beschriebenen prek\u00e4ren befristeten"},{"speaker":"linus-neumann","startTime":356.67399999999998,"endTime":362.72500000000002,"body":"Vertr\u00e4gen und man hat hinterher am Arbeitsmarkt einen Antidoktor, wenn man's nicht schafft"},{"speaker":"linus-neumann","startTime":362.62299999999999,"endTime":369.56900000000002,"body":"Die Arbeitgeberin sieht im Lebensdorf A, der hat's nicht gepackt, sondern kurz vorm Ziel hingeworfen. Den nehmen wir lieber nicht."},{"speaker":"linus-neumann","startTime":370.59699999999998,"endTime":378.26400000000001,"body":"Ich habe nie in meinem Leben ernsthaft betrogen, aber im letzten Jahr meines Doktor Rats mehrmals sehr ernsthaft dar\u00fcber nachgedacht. Gedanken wie."},{"speaker":"linus-neumann","startTime":379.32799999999997,"endTime":382.42200000000003,"body":"Im Endeffekt schaut die Arbeit ja eh niemand so genau an."},{"speaker":"linus-neumann","startTime":383.33600000000001,"endTime":393.14299999999997,"body":"Dass man die subtilen Fehler findet. Es sei denn, ich kandidiere in zwanzig Jahren f\u00fcr ein hohes Amt und das komplette Internet dreht in einer koordinierten Aktion jeden Satz einzeln um."},{"speaker":"linus-neumann","startTime":395.30599999999998,"endTime":401.351,"body":"Reproduzieren wird das garantiert niemand. Meine Daten sind zwar neu f\u00fcr die Wissenschaft, aber interessieren eh keinen."},{"speaker":"linus-neumann","startTime":403.16000000000003,"endTime":417.74400000000003,"body":"Hier ein wenig Rauschen wegmachen, dort einen Datenpunkt leicht verschieben, dass er besser auf der erwarteten Trendlinie liegt oder die Fehlerbalken aus Versehen um Faktor f\u00fcnf zu klein einzeichnen, tut ja keinem wirklich weh."},{"speaker":"linus-neumann","startTime":418.52499999999998,"endTime":424.70800000000003,"body":"Aber es verhindert dumme Fragen von meinem Chef und von den Reviewern und vereinfacht die Arbeit ungemein."},{"speaker":"linus-neumann","startTime":427.16000000000003,"endTime":433.92000000000002,"body":"Ich wei\u00df zwar, dass diese Messungen M\u00fcll sind, weil ich das System falsch eingestellt habe, aber sie passen so gut zur Geschichte."},{"speaker":"linus-neumann","startTime":435.66899999999998,"endTime":445.96800000000002,"body":"Wenn ich diese Linie etwas extra poliere, dann sieht's noch besser aus. Also das waren die Gedanken, die \u00e4h Doktor In D\u00fcsentrieb da so schildert."},{"speaker":"linus-neumann","startTime":446.30500000000001,"endTime":449.255,"body":"Letztendlich habe ich nichts davon gemacht,"},{"speaker":"linus-neumann","startTime":449.25599999999997,"endTime":461.17099999999999,"body":"mich auf dem Zahnfleisch und Antidepressiva durchs letzte Jahr geschleppt und mir geschworen, mich nie wieder in so eine Abh\u00e4ngigkeit zu begeben. Aber wenn ich's gemacht h\u00e4tte, w\u00fcrde ich mir das heute als einen,"},{"speaker":"linus-neumann","startTime":461.17200000000003,"endTime":466.79000000000002,"body":"Notfall in Ausnahmesituationen zurecht reden und ebenfalls nie wieder machen."},{"speaker":"linus-neumann","startTime":467.23500000000001,"endTime":474.57799999999997,"body":"Da ist eben der Punkt, wo ich ja gesagt habe, wenn man das wenn man damit einmal durchkommt, dann lernt man daraus, dass man's nochmal machen kann,"},{"speaker":"linus-neumann","startTime":474.80599999999998,"endTime":479.02999999999997,"body":"Da widerspricht mir also Doktor In diesem Trieb, aber sch\u00f6n finde ich das Fazit."},{"speaker":"linus-neumann","startTime":479.81799999999998,"endTime":494.81,"body":"Longstory short, so schwarz wei\u00df ist das alles nicht, vorausgesetzt wir reden von einer richtigen Dissertation. Da gibt es durchaus Fehlverhalten, welches ich nachvollziehen, aber nicht guthei\u00dfen kann,"},{"speaker":"linus-neumann","startTime":495.02699999999999,"endTime":499.96600000000001,"body":"Wer allerdings eine Doktorarbeit in Anf\u00fchrungszeichen,"},{"speaker":"linus-neumann","startTime":500.14100000000002,"endTime":511.51499999999999,"body":"Umfang eines Mickey Maus Hefts in den einschl\u00e4gigen Disziplinen schreibt, wo das in wenigen Monaten auch ehrlich m\u00f6glich w\u00e4re. Und da dann auch noch betr\u00fcgt,"},{"speaker":"linus-neumann","startTime":511.774,"endTime":519.21299999999997,"body":"dem ist wirklich nicht zu trauen. Interessanterweise sind das oft dann genau die, die dann ganz gro\u00dfen Wert darauf legen."},{"speaker":"linus-neumann","startTime":519.74199999999996,"endTime":522.00699999999995,"body":"Titel angesprochen zu werden."},{"speaker":"linus-neumann","startTime":522.84299999999996,"endTime":534.39800000000002,"body":"Den fand ich sch\u00f6n. Es gibt noch viele weitere Kommentare von Doktor Martens als Promoviker, promovierter Chemiker. Und \u00e4h ich h\u00e4tte gar nicht damit gerechnet, dass so viele \u00e4hm."},{"speaker":"linus-neumann","startTime":535.33600000000001,"endTime":549.45100000000002,"body":"Ja, tats\u00e4chlich, promovierte Wissenschaftlerin im, ja, der These zustimmen, dass es eine besondere Leistung ist. Selbstverst\u00e4ndlich die \u00e4h die die Disteltation. Aber eben, dass sie auch die Ansicht teilen, dass das F\u00fchren des jetzt,"},{"speaker":"linus-neumann","startTime":549.70899999999995,"endTime":558.61400000000003,"body":"vielleicht \u00e4h zu viel des Guten ist und eben auch leider \u00e4h die Leute anzieht, die eben scharf auf den Titel sind und nicht,"},{"speaker":"linus-neumann","startTime":558.85500000000002,"endTime":566.85299999999995,"body":"das Blut f\u00fcr die wissenschaftliche Forschung lecken. Ja, vielen Dank f\u00fcr die Kommentare."},{"speaker":"linus-neumann","startTime":568.36800000000005,"endTime":580.24099999999999,"body":"Immer viel mehr unter den unter der \u00e4h letzten Sendung und bisschen unfaire Situation, weil die haben ja erst k\u00fcrzlich ver\u00f6ffentlicht und \u00e4h werden sicherlich noch viel mehr Kommentare kommen"},{"speaker":"linus-neumann","startTime":580.10900000000004,"endTime":587.83699999999999,"body":"bis zu dem Zeitpunkt, wann wenn diese Sendung wiederum hier erscheint, deswegen \u00e4h kann ich euch nur empfehlen, da mal reinzuschauen in die Kommentare."},{"speaker":"tim-pritlove","startTime":587.79499999999996,"endTime":591.96500000000003,"body":"Auf jeden Fall, ein ein F\u00fcllhorn."},{"speaker":"linus-neumann","startTime":592.12099999999998,"endTime":593.83399999999995,"body":"Vom Umfang einer Doktorarbeit."},{"speaker":"tim-pritlove","startTime":593.53399999999999,"endTime":601.38699999999994,"body":"Also manche Kommentare haben auch wirklich den Umfang einer einer Doktorarbeit."},{"speaker":"tim-pritlove","startTime":602.06700000000001,"endTime":611.35599999999999,"body":"K\u00f6nnt ihr euch eigentlich schon \u00e4h k\u00f6nnt ihr euch mit einem passenden Titel, \u00e4h vielleicht m\u00fcsste man so aus Logbuch erst so ein LNB KM Titel oder so."},{"speaker":"linus-neumann","startTime":611.81899999999996,"endTime":621.69799999999998,"body":"Aber das ah vielleicht sollten wir eine Sache noch kurz erg\u00e4nzen. Da ist ja auch dieser, also in die Promotionsordnung oder die \u00e4h unterschiedlicher Fakult\u00e4ten \u00e4hm,"},{"speaker":"linus-neumann","startTime":621.85400000000004,"endTime":624.63599999999997,"body":"Also so eine Monografie, dass man jetzt eine,"},{"speaker":"linus-neumann","startTime":624.721,"endTime":636.33600000000001,"body":"Doktorarbeit schreibt oder ein Buch, das ist tats\u00e4chlich in den \u00e4hm wissenschaftlichen oder empirischen Wissenschaften auch eher un\u00fcblich. Da wird halt dann tats\u00e4chlich gesagt, \u00e4hm."},{"speaker":"linus-neumann","startTime":636.80499999999995,"endTime":641.84000000000003,"body":"Was wei\u00df ich, \u00e4h ein Themenbereich, drei Artikel in."},{"speaker":"linus-neumann","startTime":642.38699999999994,"endTime":650.29499999999996,"body":"High Impact Journals von mindestens Impact-Faktor soundso oder vier Artikel in \u00e4h Impact-Factor so und so."},{"speaker":"linus-neumann","startTime":651.149,"endTime":665.822,"body":"Das hei\u00dft, da ist die, da ist diese \u00e4h Promotion tats\u00e4chlich an \u00e4h eben Peer-Review wissenschaftliche Leistungen gebunden. Was ich im \u00dcbrigen \u00e4hm die \u00e4h die sehr viel sinnvollere Anforderungen finde."},{"speaker":"linus-neumann","startTime":666.62199999999996,"endTime":675.30499999999995,"body":"Dass man nicht da irgendwie so die habe ich. D\u00f6ner hast du deine Doktorarbeit geschrieben? Am Ende musst du noch selber einen Verlag daf\u00fcr finden, ja zurecht, weil die Schei\u00dfe ja auch keiner"},{"speaker":"linus-neumann","startTime":675.14300000000003,"endTime":686.06700000000001,"body":"lesen will, muss n\u00e4mlich am Ende den Druck selber bezahlen und da ist nat\u00fcrlich die Anforderung okay. \u00c4h publiziere zu dem Thema in High Impac Journals ist nat\u00fcrlich \u00e4hm"},{"speaker":"linus-neumann","startTime":686.05499999999995,"endTime":689.39599999999996,"body":"eine eine \u00e4h sinnvollere Anforderung, zumal,"},{"speaker":"linus-neumann","startTime":689.40800000000002,"endTime":696.87699999999995,"body":"wie wir aus der Sendung mit Julia Reeder wissen, \u00e4h da hochkar\u00e4tige Wissenschaftlerinnen, kostenlos das \u00e4h."},{"speaker":"linus-neumann","startTime":697.28599999999994,"endTime":702.351,"body":"Die Qualit\u00e4tssicherung machen und dann deine Uni das zur\u00fcckkaufen muss. Aber \u00e4h wir schweifen ab."},{"speaker":"tim-pritlove","startTime":702.202,"endTime":710.74000000000001,"body":"Ja, also wenn man schon Doktortitel macht, dann sollte man sich zumindest irgendwie ein bisschen M\u00fche geben und \u00e4h Vroni fest sein."},{"speaker":"linus-neumann","startTime":712.11099999999999,"endTime":714.83799999999997,"body":"Markus, wir wollten, wir wollten mit Markus sprechen, oder?"},{"speaker":"tim-pritlove","startTime":714.57399999999996,"endTime":719.27700000000004,"body":"Genau, wir wollten und werden das jetzt auch \u00e4h tun. \u00c4hm."},{"speaker":"linus-neumann","startTime":719.02700000000004,"endTime":720.61900000000003,"body":"Eigentlich kein Titel, Markus."},{"speaker":"tim-pritlove","startTime":720.36900000000003,"endTime":725.40200000000004,"body":"Oder welchen hast du denn? Denk dir einen aus. Wir werden den einfach benutzen."},{"speaker":"markus-mengs","startTime":725.10199999999998,"endTime":730.71799999999996,"body":"Ich h\u00e4tte ja, ich h\u00e4tte ja Titel, aber Zertifikate und so, da wird man ja nicht damit."},{"speaker":"markus-mengs","startTime":731.77999999999997,"endTime":735.029,"body":"Das ist aber das ist nochmal eine anderes Thema."},{"speaker":"tim-pritlove","startTime":734.77099999999996,"endTime":745.79700000000003,"body":"Genau. Sag uns doch jetzt erstmal, \u00e4h was du eigentlich so tust und \u00e4hm sozusagen warum du hier bist."},{"speaker":"markus-mengs","startTime":744.40899999999999,"endTime":755.42999999999995,"body":"Ich bin \u00e4h beruflich bin ich Infos. Das m\u00fcsste ich l\u00fcgen. Ich sch\u00e4tze mal so seit siebzehn Jahren in der gleichen Organisation, die ist gro\u00df."},{"speaker":"tim-pritlove","startTime":755.50800000000004,"endTime":762.65200000000004,"body":"Das hei\u00dft, offiziell in der IT-Sicherheit \u00e4h \u00e4h bet\u00e4tigt. Ja, das ist das, was du meinst mit Infos."},{"speaker":"markus-mengs","startTime":762.68899999999996,"endTime":776.63,"body":"Ja, in \u00e4h in all ihren Facetten, genau. In all ihren Facetten. Vielleicht auch mal mit einem, naja, ich sage Info-Seck, weil es eben nicht nur IT-Sicherheit ist, sondern du hast ja auch Ber\u00fchrungspunkte, Datenschutz und ja."},{"speaker":"tim-pritlove","startTime":776.55799999999999,"endTime":786.64099999999996,"body":"Okay, aber das ist ein Codewort f\u00fcr bist du so ein, so ein, so ein Keller-Nerd, der sich irgendwie mit allen Details \u00e4h der Maschinen auseinandergesetzt hat und das jetzt \u00e4h zu Geld macht."},{"speaker":"markus-mengs","startTime":786.59900000000005,"endTime":797.98000000000002,"body":"Ja, das ist eher die private Seite von mir, die muss ich eben immer ein bisschen trennen. Es freuen sich viele, dass ich auch ein gro\u00dfes, privates Interesse habe, dabei das wird dann auch bei dem Thema so, also bei Luca."},{"speaker":"markus-mengs","startTime":798.40099999999995,"endTime":800.85799999999995,"body":"Dass ich da eigentlich eher im privaten Umfeld."},{"speaker":"markus-mengs","startTime":801.28499999999997,"endTime":812.02300000000002,"body":"Drum rum getanzt bin und dann irgendwie tief rein. Wie hast du das vorhin gesagt? Ich habe nur gewartet bis braune Masse mit drin auftaucht, aber tief drin gew\u00fchlt, tief drin gew\u00fchlt war's glaube ich,"},{"speaker":"markus-mengs","startTime":812.23400000000004,"endTime":817.125,"body":"habe ich am Ende aus privatem Interesse. Das paart sich nat\u00fcrlich mit den."},{"speaker":"markus-mengs","startTime":817.82799999999997,"endTime":823.95100000000002,"body":"Beruflichen Interesse, weil meine Hauptaufgabe ist \u00e4h Sensibilisierung durchzuf\u00fchren, das hei\u00dft \u00e4h,"},{"speaker":"markus-mengs","startTime":824.19799999999998,"endTime":837.86800000000005,"body":"Klientel der \u00e4h was so vor mir steht, vor Gefahren und Risiken zu warnen und dann hat da irgendwie ganz automatisch Luca mit reingespielt und da musste ich mich nat\u00fcrlich auch damit besch\u00e4ftigen, weil ich nicht gerne irgendwas erz\u00e4hle, ohne auch zu wissen, wodr\u00fcber ich rede."},{"speaker":"tim-pritlove","startTime":837.76599999999996,"endTime":841.91800000000001,"body":"Hm. Wie lange besch\u00e4ftigst dich jetzt schon damit?"},{"speaker":"markus-mengs","startTime":842.928,"endTime":851.923,"body":"Das m\u00fcsste ich jetzt meine Frau fragen, weil die wird wahrscheinlich ein sehr viel l\u00e4ngeren Zeitraum nennen. Ich glaube, \u00e4h wenn."},{"speaker":"markus-mengs","startTime":852.29600000000005,"endTime":860.45600000000002,"body":"Ja, es ist ja mal die Frage, falls du eine Tastatur an, um dich mit was zu besch\u00e4ftigen oder besch\u00e4ftigst du dich mental damit?"},{"speaker":"linus-neumann","startTime":860.15599999999995,"endTime":863.47900000000004,"body":"Wie oft war's am \u00e4h Abends am Esstisch Thema?"},{"speaker":"markus-mengs","startTime":863.21500000000003,"endTime":869.38,"body":"Das vermeide ich, aber wenn ich nicht mehr ansprechbar bin, dann merkt die das schon"},{"speaker":"markus-mengs","startTime":869.26599999999996,"endTime":883.40499999999997,"body":"sich \u00fcber was anderes sind ja. Also ich m\u00fcsste \u00e4hm jetzt auch von der Chronologie oder Historie her ganz interessant ist. \u00c4hm es war tats\u00e4chlich f\u00fcr mich ein Thema. Ich bin oft angefragt worden wegen Luca, aus verschiedenen Richtungen, weil ich \u00e4h."},{"speaker":"markus-mengs","startTime":883.71199999999999,"endTime":891.88999999999999,"body":"Glaube zu, dass gute letzte halbe Jahr mobile Applizes gemacht habe, also alles, was so Smartphone-Apps \u00e4h an."},{"speaker":"markus-mengs","startTime":892.25,"endTime":898.75199999999995,"body":"Was sie nicht machen sollen im Privacybereich. Da guckt man ja schwer dahinter abseits von dem, was man lesen kann."},{"speaker":"markus-mengs","startTime":899.40700000000004,"endTime":910.50599999999997,"body":"Da wurde ich auch immer mal wegen Luca gefragt. Das hat mich wenig interessiert das Thema. \u00c4h ich habe auch verpasst, dass es relevant geworden ist, weil Geld daf\u00fcr ausgegeben wurde, aber ich habe dann irgendwann bei Twitter, das ist das,"},{"speaker":"markus-mengs","startTime":910.76999999999998,"endTime":916.65899999999999,"body":"So mein einziges soziales Medium gelesen, wie \u00e4h die,"},{"speaker":"markus-mengs","startTime":916.89400000000001,"endTime":922.39800000000002,"body":"Theresa, das glaube ich. Die war beteiligt an einer Ver\u00f6ffentlichung. \u00c4h,"},{"speaker":"markus-mengs","startTime":922.64999999999998,"endTime":933.39400000000001,"body":"die ich f\u00fcr, ja, die f\u00fcr mich fachlich nachvollziehbar und fundiert war und die ist da so abgewatscht worden von einem Musiker, dass ich da doch mal ein bisschen tiefer in das Thema eingetaucht bin, weil mich das"},{"speaker":"markus-mengs","startTime":933.35900000000004,"endTime":935.91800000000001,"body":"Kommunikationsverhalten so gest\u00f6rt hat,"},{"speaker":"markus-mengs","startTime":935.96699999999998,"endTime":944.79300000000001,"body":"Und dann habe ich in meinem Urlaub, den ich da noch hatte, angefangen zu lesen, was gibt's denn da zu Luca? Und dann habe ich was gefunden, was Security-Konzept hei\u00dft, aber keins war,"},{"speaker":"markus-mengs","startTime":945.02800000000002,"endTime":952.82799999999997,"body":"Bei mir viele Fragen aufgeworfen hat und dann habe ich schon gewartet, dass mein Urlaub zu Ende ist, dass ich eben eine Tastatur anfassen kann und kann's mir auch mal angucken."},{"speaker":"markus-mengs","startTime":953.22500000000002,"endTime":961.38999999999999,"body":"Hat sich viel bewahrheitet von den Unstimmigkeiten, die in diesem Konzepten schon aufgetaucht sind. So ungef\u00e4hr war die Geschichte von mir zu Luca."},{"speaker":"markus-mengs","startTime":962.779,"endTime":966.60599999999999,"body":"Also l\u00e4nger als f\u00fcnf Wochen bin ich da auf jeden Fall schon dran."},{"speaker":"tim-pritlove","startTime":966.45699999999999,"endTime":980.33699999999999,"body":"Okay. So und was \u00e4hm k\u00f6nnen wir denn jetzt eigentlich neues \u00e4h berichten? Also \u00e4hm Luca ist ja ein komplexes System."},{"speaker":"linus-neumann","startTime":980.12099999999998,"endTime":983.846,"body":"Bevor wir da jetzt direkt hinspringen zu den neuesten,"},{"speaker":"linus-neumann","startTime":983.90099999999995,"endTime":996.51900000000001,"body":"Forschungen von Markus trotzdem nochmal so ein Kurzrekapitulieren, was es bisher schon so gab. Also es gab ja dieses Paper von Theresa Stadler und anderen, ja, Potential Harms."},{"speaker":"linus-neumann","startTime":996.88599999999997,"endTime":1003.045,"body":"Auf die Luca-App, was eben einfach nun, also was wirklich sehr theoretisch war. \u00c4hm es gab,"},{"speaker":"linus-neumann","startTime":1003.322,"endTime":1015.67,"body":"die Ver\u00f6ffentlichung des CCC Luca-App CCC fordert die Bundesnotbremse. Es gab die Einlassung von Ulrich K\u00e4lber und es gab diesen offenen Brief von."},{"speaker":"linus-neumann","startTime":1015.965,"endTime":1025.4649999999999,"body":"Siebenundsiebzig Forscherinnen, dem der deutschen IT-Sicherheitsforschung und vierhundertsechsundsiebzig Leuten, die jetzt auch noch unterschrieben haben."},{"speaker":"linus-neumann","startTime":1026.0540000000001,"endTime":1037.4469999999999,"body":"\u00c4h Zeitpunkt heute, das sind sicherlich schon wieder mehr geworden. Und da wurde immer wieder vor Risiken gewarnt und ich w\u00fcrde eigentlich sagen, bevor wir jetzt vor dem bevor wir zu dem."},{"speaker":"linus-neumann","startTime":1038.181,"endTime":1045.752,"body":"Gro\u00dfen neuen Dingen von Markus kommen. \u00c4hm w\u00fcrde ich eigentlich auch noch gerne ein bisschen \u00fcber diese YouTube-Video,"},{"speaker":"linus-neumann","startTime":1045.932,"endTime":1050.95,"body":"Playlist sprechen, die du da angelegt hast. Das waren urspr\u00fcnglich zehn Videos, ne?"},{"speaker":"markus-mengs","startTime":1051.4369999999999,"endTime":1060.9190000000001,"body":"Ja tats\u00e4chlich \u00e4h muss, es sind mittlerweile ich habe ein paar gar nicht ver\u00f6ffentlicht, also ich m\u00fcsste ich denke es sind zw\u00f6lf, \u00e4hm mittlerweile."},{"speaker":"linus-neumann","startTime":1060.6310000000001,"endTime":1064.2159999999999,"body":"Ja, es, ich, es sind jetzt im Moment zw\u00f6lf, ne, wo du."},{"speaker":"markus-mengs","startTime":1064.0619999999999,"endTime":1065.954,"body":"Zw\u00f6lf die sichtbar sind, ja."},{"speaker":"linus-neumann","startTime":1065.8720000000001,"endTime":1071.3800000000001,"body":"Ich glaube aber, dass die irgendwie anfangen mit so eins von zehn, zwei von zehn, drei von zehn und so weiter, elf, zw\u00f6lf."},{"speaker":"markus-mengs","startTime":1071.0799999999999,"endTime":1078.6089999999999,"body":"Das habe ich so gelassen. Seid ihr auch Scham und sagt was aus."},{"speaker":"linus-neumann","startTime":1078.309,"endTime":1083.8489999999999,"body":"Und \u00e4h da hast du dich mit \u00e4hm ich sag mal \u00e4hm den."},{"speaker":"linus-neumann","startTime":1084.3969999999999,"endTime":1090.1890000000001,"body":"Den Risiken und den Schwachstellen des Systems auseinandergesetzt, die nicht."},{"speaker":"linus-neumann","startTime":1091.355,"endTime":1102.7840000000001,"body":"Keine Ahnung, Seite eins, Zeit online oder Spiegel DE oder \u00e4h hei\u00dfe oder \u00e4h sonst was schaffen, weil sie ja, sogenannte,"},{"speaker":"linus-neumann","startTime":1103.037,"endTime":1108.2280000000001,"body":"Schwachstellen in Anf\u00fchrungszeichen, theoretischer Natur sind. Und"},{"speaker":"linus-neumann","startTime":1108.1079999999999,"endTime":1122.4760000000001,"body":"was ich daran so spannend fand ist, das ist ja auch immer das, dass sie das, was ja oft \u00e4h von Seiten Nexenio, den Entwicklern der Luka-App \u00e4hm immer so gesagt wird, ja das ist ja hier so ein Glaubenskrieg, ne, das sind \u00e4h die die,"},{"speaker":"linus-neumann","startTime":1122.4939999999999,"endTime":1131.579,"body":"die finden hier einfach nur religi\u00f6s einen dezentralen Ansatz besser und \u00e4hm meine Antwort und ich denke auch insbesondere deine Antwort darauf war ja immer,"},{"speaker":"linus-neumann","startTime":1131.646,"endTime":1138.105,"body":"Nein, wir wissen einfach nur, was welche Risiken man sich alle mit einem zentralen Ansatz einkauft,"},{"speaker":"linus-neumann","startTime":1138.2260000000001,"endTime":1147.239,"body":"die man Antworten braucht, die man eben in einem dezentralen Ansatz in der Form einfach nicht hat. Und \u00e4hm vielleicht magst du ja so ein bisschen was zu deinen."},{"speaker":"linus-neumann","startTime":1147.558,"endTime":1153.386,"body":"Zu den Videos deiner der letzten Wochen so sagen, was du da so alles schon gezeigt hast."},{"speaker":"markus-mengs","startTime":1154.048,"endTime":1159.269,"body":"Ja, gerne. \u00c4hm man muss vielleicht auch dazu sagen, \u00e4h eigentlich,"},{"speaker":"markus-mengs","startTime":1159.51,"endTime":1168.8599999999999,"body":"geht das von gro\u00df nach klein, ne? Die Ver\u00f6ffentlichung von \u00e4h die wissenschaftliche Ver\u00f6ffentlichung, ne? Ich glaube, das ist ja eine Universit\u00e4t in Luzern gewesen, wo die Theresa Stadler,"},{"speaker":"markus-mengs","startTime":1168.8720000000001,"endTime":1172.9459999999999,"body":"ver\u00f6ffentlichen, da war \u00e4h die ist ja \u00e4h."},{"speaker":"markus-mengs","startTime":1173.5229999999999,"endTime":1186.2919999999999,"body":"Nicht wirklich theoretisch gewesen, sondern eher abstrakt, ja, ohne die Technik anzufassen und in der \u00e4hm Forderung vom CCC war von mir auch schon mal, ich will das jetzt nicht Paper nennen, es war einfach eine \u00e4h,"},{"speaker":"markus-mengs","startTime":1186.377,"endTime":1197.9069999999999,"body":"des Netzwerkverkehrs, aus der sich Schl\u00fcsse ziehen lassen, die ist ja auch mit ver\u00f6ffentlicht worden und eigentlich decken die ersten zehn YouTube Videos, die ich da angedacht hatte, das Gleiche ab, weil \u00e4hm."},{"speaker":"markus-mengs","startTime":1198.377,"endTime":1212.413,"body":"Wenn du so eine Analyse schreibst, du hast ja, du willst ja jemanden damit adressieren, ne? Das ist zum einen \u00e4h ich sage mal die Leute, die mit den \u00e4h Risikobewertungen befasst sind und nat\u00fcrlich den Hersteller, dass der da was anfassen kann und ich hatte irgendwann das Gef\u00fchl, okay"},{"speaker":"markus-mengs","startTime":1212.2329999999999,"endTime":1220.1469999999999,"body":"Dauer das war falsch adressiert weil da bewegt sich nichts also sollte man das vielleicht nochmal ein bisschen."},{"speaker":"markus-mengs","startTime":1220.5619999999999,"endTime":1234.1659999999999,"body":"Breiter streuen. Da ist dann Video geeigneter. Aber das sind nat\u00fcrlich harte, abstrakte, trockene Themen. Also es ist, ich w\u00fcrde nicht sagen, es ist theoretisch, weil die ersten zehn Videos davon handeln eigentlich was sehr konkretes ab."},{"speaker":"markus-mengs","startTime":1234.557,"endTime":1243.0719999999999,"body":"\u00c4hm weil die auch auf der \u00e4hm Analyse vom Netzwerkverkehr der App basiert haben, eben das, was schon in dem Security-Konzept unstimmig aus,"},{"speaker":"markus-mengs","startTime":1243.0719999999999,"endTime":1252.175,"body":"sah. Und das Interessanteste f\u00fcr die f\u00fcr die das \u00e4h zu trocken ist, ist eigentlich das zehnte Video, was das zusammenfasst, weil das kommt zu dem Ergebnis, dass du,"},{"speaker":"markus-mengs","startTime":1252.356,"endTime":1260.6659999999999,"body":"da bist du bei dem zentralen Ansatz, aus der Position von dem Backend-System. \u00c4hm,"},{"speaker":"markus-mengs","startTime":1260.6669999999999,"endTime":1273.3869999999999,"body":"oder sagen wir mal von dem Betreiber verwalteten Anteilen des Gesamtsystems und das ist egal, ob du dann in der Rolle des Betreibers bist oder von einem Angreifer, der sich dem System bem\u00e4chtigt hat, da kannst du,"},{"speaker":"markus-mengs","startTime":1273.3879999999999,"endTime":1281.181,"body":"R\u00fcckschl\u00fcsse ziehen \u00e4h auf einzelne Ger\u00e4te, komplette Bewegungsprofile f\u00fcr einzelne Ger\u00e4te, die an dem,"},{"speaker":"markus-mengs","startTime":1281.26,"endTime":1291.883,"body":"System partizipieren, erstellen, du wei\u00dft zu den Ger\u00e4ten am Ende die Telefonnummer und du wei\u00dft auch, ob das Ger\u00e4t mit seiner kompletten Locationhistorie \u00e4h zur."},{"speaker":"markus-mengs","startTime":1292.172,"endTime":1305.7760000000001,"body":"Infizierten Person geh\u00f6rt oder zumindest zu einer Person, die mal vom Gesundheitsamt abgefragt wurde oder nicht. Und du wei\u00dft die Telefonnummer dazu, was ein schon sehr pers\u00f6nliches Datum ist, ohne \u00fcberhaupt irgendwas von den Kryptosachen mal angefasst zu haben"},{"speaker":"markus-mengs","startTime":1305.6990000000001,"endTime":1312.741,"body":"weil das einfach \u00e4h die Informationen sind, die an dem Backend auflaufen, wenn man das einfach nur lange genug beobachtet,"},{"speaker":"markus-mengs","startTime":1312.759,"endTime":1320.114,"body":"Teilweise aus Metadaten, dann weiter wird immer Daten vorgeschoben. Hm und \u00e4hm"},{"speaker":"markus-mengs","startTime":1320.0899999999999,"endTime":1333.6880000000001,"body":"w\u00e4hrend ich mir das angeguckt habe und habe die Videos produziert, es ist so Salamischeiben taktikm\u00e4\u00dfig, dann auch ein bisschen Quellkot aufgepoppt, der war mal unvollst\u00e4ndig. Der App-Quell-Code war auch unvollst\u00e4ndig, der zuerst released wurde,"},{"speaker":"markus-mengs","startTime":1333.7550000000001,"endTime":1340.6110000000001,"body":"und \u00e4hm ja beim Schauen in dem Code, dann wenn man sowas manchmal macht, ein bisschen"},{"speaker":"markus-mengs","startTime":1340.587,"endTime":1350.982,"body":"da ist ja kein notwendig, aber so Code-Reviews, dann machst du dir Notizen. Da ist dann Auff\u00e4lligkeiten, da sind Auff\u00e4lligkeiten und ich hatte ja schon viele Notizen und die sind nur immer mehr geworden,"},{"speaker":"markus-mengs","startTime":1350.9949999999999,"endTime":1357.3879999999999,"body":"Und da habe ich mir die gravierendsten Sachen rausgegriffen, dann sind halt nochmal neue Videos,"},{"speaker":"markus-mengs","startTime":1357.5509999999999,"endTime":1361.1980000000001,"body":"geworden, in Teilen. Das waren dann eben."},{"speaker":"markus-mengs","startTime":1362.088,"endTime":1370.867,"body":"Ich h\u00e4tte gesagt, das sind Sicherheitsl\u00fccken, das h\u00e4tte ich jeden anderen gesagt. Wenn mir jemand sowas gemeldet h\u00e4tte, h\u00e4tte ich auch gesagt, das sind Sicherheitsl\u00fccken. Man kann auch funktionale Fehler sagen."},{"speaker":"markus-mengs","startTime":1371.546,"endTime":1379.6279999999999,"body":"Also da ging's drum, dass du \u00e4h das System hat ja Schl\u00fcsselanh\u00e4nger f\u00fcr die Leute, die kein Handy haben, beworbenes Feature. Es gab ja"},{"speaker":"markus-mengs","startTime":1379.55,"endTime":1390.9849999999999,"body":"schon mal die Geschichte mit Luca Treck, wo man von Nutzern von Schl\u00fcsselanh\u00e4ngern von au\u00dfen die kompletten Bewegungsprofile abfragen konnte, von innen, also aus Betreibersicht geht das sowieso"},{"speaker":"markus-mengs","startTime":1390.9190000000001,"endTime":1391.8979999999999,"body":"\u00e4hm."},{"speaker":"linus-neumann","startTime":1391.598,"endTime":1394.0799999999999,"body":"Also"},{"speaker":"linus-neumann","startTime":1394.0319999999999,"endTime":1402.0409999999999,"body":"Du, du, du, du bist, glaube ich, grade ein bisschen zu schnell f\u00fcr die durchschnittliche Zuh\u00f6rerin. \u00c4h, Luca-Track war das, \u00e4hm"},{"speaker":"linus-neumann","startTime":1401.97,"endTime":1409.847,"body":"Also, was war der Grundfehler bei Luca Track? Du hast also das eine hast du schon gesagt, wenn du wer diese Schl\u00fcsselanh\u00e4nger benutzt,"},{"speaker":"linus-neumann","startTime":1409.854,"endTime":1413.2550000000001,"body":"ohnehin f\u00fcr die f\u00fcr die f\u00fcr die Betreiber"},{"speaker":"linus-neumann","startTime":1413.249,"endTime":1421.769,"body":"transparent, ne? Also da wei\u00df man einfach aha, das war die Person, die wir jetzt an Location eins, die war jetzt an Location zwei zu dem Zeitpunkt. Das liegt einfach daran, dass es,"},{"speaker":"linus-neumann","startTime":1421.9380000000001,"endTime":1434.9829999999999,"body":"Onlinesystem ist und die sich in die Datenbank schreiben. Die Person war jetzt hier, die Person war jetzt hier die Person, war jetzt hier. Jetzt mussten sie diese Daten aber eigentlich w\u00fcrde, w\u00fcrden wir jetzt erwarten, wenn sie die schon haben, wenigstens vor,"},{"speaker":"linus-neumann","startTime":1435.0920000000001,"endTime":1444.586,"body":"fremden Zugriffen sch\u00fctzen, also wenigstens sollte nur das Gesundheitsamt oder die betroffene Person diese Daten einsehen k\u00f6nnen. Haben sie nicht gemacht?"},{"speaker":"linus-neumann","startTime":1445.1389999999999,"endTime":1454.4949999999999,"body":"Sondern man konnte, wenn man den QR-Code von einer Person kannte, auch auf deren Bewegungsprofil zugreifen. Aber das ist so richtig zusammengefasst."},{"speaker":"markus-mengs","startTime":1455.559,"endTime":1463.2560000000001,"body":"Ja, wobei du da ein paar, ich denk mal, die sind auch f\u00fcr die breite Zuh\u00f6rerschaft interessante Aspekte, die du da,"},{"speaker":"markus-mengs","startTime":1463.527,"endTime":1466.537,"body":"versteckst, weil \u00e4hm."},{"speaker":"markus-mengs","startTime":1466.8800000000001,"endTime":1480.8620000000001,"body":"Wenn man von Verschl\u00fcsselungen redet oder wenn Luca von Verschl\u00fcsselung redet, dann verschl\u00fcsseln die nicht \u00e4h, dass sich jemand in irgendeine \u00e4h Location eingecheckt hat. Das ist da scheinbar kein sensitives Datum, also allein mit einem Snapshot, also einen kurzen Blick auf das"},{"speaker":"markus-mengs","startTime":1480.7729999999999,"endTime":1485.183,"body":"Backend siehst du, in welche Location wie viele Leute eingecheckt sind. Du siehst die"},{"speaker":"markus-mengs","startTime":1485.0630000000001,"endTime":1494.413,"body":"Daten der Locations, weil das sind alles keine verschl\u00fcsselten Komponenten. Du siehst nicht, wie der Nutzer hei\u00dft, der da eingecheckt ist. Das ist quasi der Anteil, der verschl\u00fcsselt ist"},{"speaker":"markus-mengs","startTime":1494.317,"endTime":1499.479,"body":"auch zentral auf dem Silber vorgehalten wird und was Luca Trekke jetzt eben gemacht hat, ist"},{"speaker":"markus-mengs","startTime":1499.365,"endTime":1504.346,"body":"\u00e4hm \u00e4h diese Daten abzufragen, denn es gibt eine Abi-Schnittstelle."},{"speaker":"markus-mengs","startTime":1504.9829999999999,"endTime":1514.8499999999999,"body":"Daf\u00fcr, wo \u00e4hm man als berechtigter Besitzer von so einem Schl\u00fcsselanh\u00e4nger nat\u00fcrlich abfragen kann, \u00e4h wann war ich wo eingecheckt."},{"speaker":"markus-mengs","startTime":1515.481,"endTime":1521.7180000000001,"body":"Weil diese ganzen Datenpunkte gespeichert sind und wenn man sich das als Datenbank vorstellen w\u00fcrde, die ID,"},{"speaker":"markus-mengs","startTime":1521.827,"endTime":1527.721,"body":"also von einem einzelnen Eintrag irgendein Nutzer XY mal in irgendeiner Location"},{"speaker":"markus-mengs","startTime":1527.529,"endTime":1534.115,"body":"XY eingecheckt, \u00e4h jeder dieser Eintr\u00e4ge hat eine ID in der Datenbank, die nennt sich ID."},{"speaker":"markus-mengs","startTime":1533.9290000000001,"endTime":1542.299,"body":"Wenn du so einen Schl\u00fcsselanh\u00e4nger hast oder die Seriennummer, dann kannst du diese TraceIDs, die da verwendet werden, errechnen und man konnte das von der AP alles von au\u00dfen abfragen."},{"speaker":"markus-mengs","startTime":1542.288,"endTime":1548.6569999999999,"body":"Als Feature, weil die Nutzer ja ihre Locationhistorie abfragen k\u00f6nnen sollen. Kann halt jeder machen"},{"speaker":"markus-mengs","startTime":1548.5550000000001,"endTime":1555.357,"body":"dieser IDs generieren kann und wei\u00df, wie er abfragen muss. \u00c4h das hei\u00dft nicht, dass das jetzt nicht mehr,"},{"speaker":"markus-mengs","startTime":1555.4179999999999,"endTime":1564.1959999999999,"body":"Daten nicht mehr vorhanden sind und dass das jeder \u00e4h jeder, der auf das Becken Zugriff bekommt, \u00e4h der kann die gleichen Daten immer noch abfragen, also wenn,"},{"speaker":"markus-mengs","startTime":1564.365,"endTime":1574.165,"body":"der Betreiber \u00e4h Schl\u00fcsselanh\u00e4ngern kennt, kann dir auch heute diese Daten noch genauso abfragen, weil die Pl\u00e4ne in der Datenbank liegen."},{"speaker":"markus-mengs","startTime":1574.1600000000001,"endTime":1577.212,"body":"Und das ist auch ein \u00e4h,"},{"speaker":"markus-mengs","startTime":1577.4590000000001,"endTime":1585.5039999999999,"body":"ja eine Problemstellung, die zu Tage getreten ist. Es gab ja ein \u00e4h, dass das Thema ist ja auch mal in dem Ader, also im Ausschuss Digitale Agenda behandelt worden."},{"speaker":"markus-mengs","startTime":1586.2080000000001,"endTime":1595.0350000000001,"body":"Da ist die Frage gestellt worden, mehr diese \u00e4h Schl\u00fcsselanh\u00e4nger herstellt, weil das sind alles Leute, die die Seriennummern kennen und damit auch Zugriff oder zumindest"},{"speaker":"markus-mengs","startTime":1594.8489999999999,"endTime":1603.171,"body":"w\u00fcssten, wie fragt man diese Bewegungsprofile ab? Diese Frage ist gar nicht beantwortet worden. Es kam jetzt hinterher raus, dass Nexenio diese Schl\u00fcsselanh\u00e4nger selber generiert"},{"speaker":"markus-mengs","startTime":1603.057,"endTime":1617.268,"body":"die am Ende druckt, ist egal, also die Frage ist ja, wer hat die Seriennummern daf\u00fcr, denn da schl\u00e4gt das Schl\u00fcsselmaterial drin. Was gemacht wurde nach Luca Trecker ist einfach \u00e4h zu sagen, okay, wenn jetzt von au\u00dfen die AP abgefragt wird und so ein Check-In geh\u00f6rt zu einem"},{"speaker":"markus-mengs","startTime":1617.1489999999999,"endTime":1625.104,"body":"Schl\u00fcsselanh\u00e4nger, dann senden wir das nicht mehr. Wenn der zu einem App-Nutzer geh\u00f6rt, senden wir das trotzdem noch, aber die Daten sind trotzdem unverschl\u00fcsselt da."},{"speaker":"linus-neumann","startTime":1627.2380000000001,"endTime":1630.867,"body":"Und das ist, das zeigt auch so ein bisschen, ne? Also."},{"speaker":"linus-neumann","startTime":1631.5820000000001,"endTime":1640.0550000000001,"body":"Ich fand das ja schon auch ein bisschen scharf, wie jetzt in den letzten Monaten mit den vielen Schwachstellen bei Luca. \u00c4hm die,"},{"speaker":"linus-neumann","startTime":1640.067,"endTime":1645.5229999999999,"body":"immer als so einen Glaubenskrieg dargestellt wird, ne. Ja"},{"speaker":"linus-neumann","startTime":1645.337,"endTime":1657.71,"body":"die sind ja nur irgendwie, ne, die sind ja irgendwie fundamentalistische, die Zentralisten und da finden wir nicht in Ordnung so, da muss man ja auch mal hier muss man auch ein bisschen zentral denken und so, ne? Und."},{"speaker":"markus-mengs","startTime":1657.4280000000001,"endTime":1659.056,"body":"Ja bisher witzig."},{"speaker":"linus-neumann","startTime":1658.761,"endTime":1667.5699999999999,"body":"\u00c4h das sind nat\u00fcrlich genau die Probleme, die man sich einf\u00e4ngt, wenn alles aus einer Hand kommt, ne."},{"speaker":"markus-mengs","startTime":1668.04,"endTime":1680.0630000000001,"body":"Ja, ich glaube, was du sagst, sind auch fast schon \u00e4h Zitate, ne, weil wenn man \u00e4h jetzt mal einen Spiegel so von \u00e4h Aussagen aus der Lukamacher-Riege nimmt, da wirst du genau solche Schlagworte finden, wie fundamental Kritik"},{"speaker":"markus-mengs","startTime":1679.943,"endTime":1689.7139999999999,"body":"das sind Verfechter vom zentralen System, die entwickeln selber zentral. Die spielen nat\u00fcrlich mit so was ist eher, ich glaube eher PR getrieben, als dass das,"},{"speaker":"markus-mengs","startTime":1689.816,"endTime":1697.0989999999999,"body":"fachlich, inhaltlich wertvoll ist, oft was von da kommt, aber ja. Nee, das stimmt, ja."},{"speaker":"linus-neumann","startTime":1696.8050000000001,"endTime":1705.175,"body":"W\u00fcrdest du sagen, also wenn man jetzt, wenn man jetzt Luca-Track mal so anschauen, ne? W\u00fcrdest du sagen, das Problem w\u00e4re"},{"speaker":"linus-neumann","startTime":1705.085,"endTime":1715.7149999999999,"body":"geringer wenn Luca ein dezentrales System w\u00e4re und die Leute sich die Schl\u00fcsselanh\u00e4nger beispielsweise h\u00e4tten selber w\u00fcrfeln k\u00f6nnen."},{"speaker":"linus-neumann","startTime":1718.1189999999999,"endTime":1725.125,"body":"Oder es g\u00e4be mehrere Leute, bei denen man die Schl\u00fcsselanh\u00e4nger kaufen kann, was wei\u00df ich."},{"speaker":"markus-mengs","startTime":1725.835,"endTime":1734.433,"body":"Ich halte es f\u00fcr \u00e4h schwierig so ein Feature wie \u00e4h."},{"speaker":"markus-mengs","startTime":1734.758,"endTime":1742.059,"body":"Softwarelose Partizipation, was ja die Schl\u00fcsselanh\u00e4nger, die lassen dich an dem System ohne \u00e4h Software, ohne"},{"speaker":"markus-mengs","startTime":1742.029,"endTime":1750.2670000000001,"body":"Komponenten teilnehmen, das dezentral zu implementieren, aber ja, das geht und dann wird er das das Problem nicht geben, n\u00e4mlich dann, wenn \u00e4hm."},{"speaker":"markus-mengs","startTime":1750.6279999999999,"endTime":1762.7660000000001,"body":"Ich sage, ich \u00e4h lagere die Daten \u00e4h direkt beim Gesundheitsamt. Das w\u00e4re nat\u00fcrlich ein immenser Aufwand \u00e4h und den das ist ja auch ein Verkaufsargument von Luca, das abzunehmen, auch wenn sie das."},{"speaker":"markus-mengs","startTime":1763.8,"endTime":1778.288,"body":"Nicht an jeder Stelle sicherstellen, weil dezentral f\u00fcr Schl\u00fcsselanh\u00e4nger w\u00fcrde hei\u00dfen ja du hast nur eine Seriennummer, die ist im Pseudonym und das Gesundheitsamt hat die Daten schon, sonst kann man das nicht dezentral dezentral abbilden, ne, also."},{"speaker":"markus-mengs","startTime":1780.9380000000001,"endTime":1792.998,"body":"Wenn das Gesundheitsamt dich anruft, um von dir die Seriennummer von dem Schl\u00fcsselnummer, \u00e4h von dem Schl\u00fcsselanh\u00e4nger zu erfragen, dann k\u00f6nnen die eigentlich auch gleich deine Kontaktdaten erfragen, ne? Und \u00e4h."},{"speaker":"markus-mengs","startTime":1794.5419999999999,"endTime":1800.431,"body":"W\u00fcrde die Probleme nicht geben, \u00e4h wenn das kein zentrales System w\u00e4re, ja."},{"speaker":"markus-mengs","startTime":1800.461,"endTime":1808.2249999999999,"body":"Das muss man so sagen. \u00c4h die Frage ist auch, ob man dann so einen Kunstgriff macht und so einen Schl\u00fcsselanh\u00e4ngerkonstrukt schafft oder dann sagt"},{"speaker":"markus-mengs","startTime":1808.117,"endTime":1822.2919999999999,"body":"okay. \u00c4h ich habe halt harte Voraussetzungen, um an so ein System zu partizipieren und das ist halt eine App. \u00c4h und wenn ich keine App habe, muss ich die Papieralternative w\u00e4hlen, ne? Also man hat da schon einen Trade oft zwischen."},{"speaker":"markus-mengs","startTime":1822.6469999999999,"endTime":1829.5989999999999,"body":"Datensicherheit und \u00e4hm Informationssicherheit und Usability, wie das \u00fcberall ist."},{"speaker":"linus-neumann","startTime":1829.9059999999999,"endTime":1837.5070000000001,"body":"Ja. Jetzt ist also genau diese diese \u00e4h Schl\u00fcsselanh\u00e4ngernummer scheint f\u00fcr mich auch so ein."},{"speaker":"linus-neumann","startTime":1838.373,"endTime":1846.0820000000001,"body":"So ein Ding zu sein, das war immer Thema, ne? Also ich kann ich man sieht so ein bisschen, wie die gesehen haben. Jo, pass auf."},{"speaker":"linus-neumann","startTime":1846.3589999999999,"endTime":1853.2570000000001,"body":"Welche \u00fcber welche Probleme klagt die Welt? Die l\u00f6sen wir jetzt einfach alle auf einmal. Die klagen \u00fcber \u00e4h,"},{"speaker":"linus-neumann","startTime":1853.329,"endTime":1867.45,"body":"dass die Adressen nicht verschl\u00fcsselt sind, kein Problem, aber Verschl\u00fcsselung, ne. Die klagen dar\u00fcber, dass irgendwie alte Handys nicht im Bild machen. Alles klar, machen wir mit einem mit einem QR-Code, wo man einen QR-Code hinein, Schl\u00fcsselanh\u00e4nger drauf, Schl\u00fcssel hat man immer dabei, ne? Und \u00e4hm."},{"speaker":"linus-neumann","startTime":1868.424,"endTime":1873.9760000000001,"body":"Wie w\u00fcrdest du jetzt so grunds\u00e4tzlich also ich kenne das aus der,"},{"speaker":"linus-neumann","startTime":1874.079,"endTime":1881.722,"body":"aus der IT Security, in der ich ja auch t\u00e4tig bin, dass man sich halt ein Fredmodel macht und eben gesagt, okay, was m\u00f6chten wir erreichen, was m\u00f6chten wir bauen?"},{"speaker":"linus-neumann","startTime":1881.758,"endTime":1893.421,"body":"Was sind potentielle Bedrohungsszenarien und dann begegnet man denen? Was ist jetzt so dein Eindruck, nachdem du das Sicherheitskonzept gelesen hast und die Umsetzung gesehen hast, wo hapert's eigentlich?"},{"speaker":"linus-neumann","startTime":1893.434,"endTime":1902.789,"body":"Liegt es daran, dass die kein ordentliches \u00e4h Fredmodel haben oder liegt es daran, dass sie ihrem Fred Model nicht,"},{"speaker":"linus-neumann","startTime":1902.9100000000001,"endTime":1911.376,"body":"gewissenhaft begegnen, wie wir also als jemand, der sich das wirklich so \u00e4h in dieser Tiefe angeschaut hat, was glaubst du, ist da eigentlich schief gegangen?"},{"speaker":"markus-mengs","startTime":1911.473,"endTime":1922.8599999999999,"body":"Also wenn man das mal strukturm\u00e4\u00dfig ohne die ganzen feinen Facetten durchmacht, muss ja ganz, ganz, ganz am Anfang musst du ja mal eine Zielvorstellung setzen, wenn du irgendein Produkt schaffen willst, das soll irgendein Ziel verfolgen, ne. Du hast ja irgendeine,"},{"speaker":"markus-mengs","startTime":1922.896,"endTime":1933.8800000000001,"body":"Anforderungen. Ich denke, die war schon mal bei Luca nicht ganz klar \u00e4h definiert, sondern man hat versucht, \u00e4h ein Problem zu l\u00f6sen, was noch nicht scharf umrissen ist. Und hat da erstmal eine L\u00f6sung drumrum gestrickt. \u00c4hm"},{"speaker":"markus-mengs","startTime":1933.779,"endTime":1942.329,"body":"wurde das schon mal vom normalen Make-up weicht. Woanders hast du ich sage mal eine eine funktionale L\u00fccke, die gedeckt werden soll. Das kann man mit einem Software,"},{"speaker":"markus-mengs","startTime":1942.588,"endTime":1954.768,"body":"machen und dann f\u00e4ngst du an, das zu designen, erstmal in der Architektur, dass da ist nun mal Pen und Paper, Theorie, aber da wird von Anfang an Security, von Anfang an \u00e4h Informationssicherheit und Datenschutz betrachtet, bei Design."},{"speaker":"markus-mengs","startTime":1955.598,"endTime":1962.9880000000001,"body":"Und dann kommst du irgendwann zu einer Architektur und dann kommst du irgendwann zu einer Realisierung und wenn man \u00e4h \u00e4h wo diese,"},{"speaker":"markus-mengs","startTime":1963.2049999999999,"endTime":1976.124,"body":"Security, Datenschutz und so weiter nat\u00fcrlich immer weiter mit ber\u00fccksichtigt werden. Und man dann auch sagen kann, okay, ich kann bestimmte Feinziele nicht mehr erreichen oder ich muss daf\u00fcr \u00e4h Risiken in Kauf nehmen oder ich gebe Security auf. Und ich,"},{"speaker":"markus-mengs","startTime":1976.1969999999999,"endTime":1980.8530000000001,"body":"bei Luca. \u00c4h so lie\u00df sich das auch an vielen Stellen, egal ob denen das Konzept,"},{"speaker":"markus-mengs","startTime":1980.9079999999999,"endTime":1987.193,"body":"in der Security, es hei\u00dft ja nicht mehr Security-Konzept, Gott sei Dank, Sicherheitskonzept sieht deutlich anders aus,"},{"speaker":"markus-mengs","startTime":1987.2349999999999,"endTime":2001.8309999999999,"body":"das siehst du so richtig oder es kommt beim Lesen so vor, auch beim Code als wurden immer nachtr\u00e4glich Sachen angepflanzt und \u00e4h geflickt schustert, was erstmal gar nicht so gedacht war. Ich meine, muss jetzt vorsichtig sein in dem \u00e4h \u00e4h,"},{"speaker":"markus-mengs","startTime":2002.018,"endTime":2011.4269999999999,"body":"Security-Konzept oder in dem, was da ver\u00f6ffentlicht wurde, als Security-Konzept stand am \u00e4h am Anfang standen ja noch die \u00e4h,"},{"speaker":"markus-mengs","startTime":2011.5239999999999,"endTime":2021.4749999999999,"body":"wissenschaftlichen Mitarbeiter drin, die sind, glaube ich, mal in einem Update schon mal rausgenommen worden. Ich denke, das ist auch ein Zeichen daf\u00fcr, weil nicht alle Aspekte \u00e4hm."},{"speaker":"markus-mengs","startTime":2021.902,"endTime":2026.1679999999999,"body":"So anfangs geplant waren, dass nur jeder sagt, ja ich trage das so mit,"},{"speaker":"markus-mengs","startTime":2026.402,"endTime":2035.9079999999999,"body":"Die Schl\u00fcsselanh\u00e4nger sind, glaube ich, so ein richtig \u00dcberhangding, wo man gesagt hat, okay, das ist ein Feature, das wollen wir irgendwie haben und versuchen da \u00e4h da wollen wir irgendwie haben und versuchen, das jetzt in"},{"speaker":"markus-mengs","startTime":2035.903,"endTime":2045.018,"body":"Architektur zu pressen, die schon da ist und da ist halt versucht worden, alles was logisch in der App existiert, auf Schl\u00fcsselanh\u00e4nger abzubilden, das geht halt nicht."},{"speaker":"markus-mengs","startTime":2045.3789999999999,"endTime":2057.8829999999998,"body":"Na weil es sind, das sind nur feinere Funktionalit\u00e4ten dahinter, du hast Scanner, du hast User, die haben alle eigene \u00e4h Schl\u00fcssel, eigene IDs und auf den Schl\u00fcsselanh\u00e4nger wird das alles zusammengepresst und niemanden in die Hand gedr\u00fcckt,"},{"speaker":"markus-mengs","startTime":2058.0940000000001,"endTime":2062.8710000000001,"body":"von irgendjemandem. Da passt halt das ganze Trustmodell nicht mehr, ne, was da dahinter steht."},{"speaker":"linus-neumann","startTime":2063.2080000000001,"endTime":2073.1289999999999,"body":"Ja, weil Markus, du musst ja verstehen, die CDU \u00e4h die leben ja haupts\u00e4chlich von Letztw\u00e4hlern, ne und die, die haben ja keine."},{"speaker":"markus-mengs","startTime":2072.8400000000001,"endTime":2074.3119999999999,"body":"Brauchen die Schl\u00f6sser."},{"speaker":"markus-mengs","startTime":2074.6190000000001,"endTime":2082.989,"body":"Ja, ich sage, ich sage mal, den Angreifer freut das nur, weil man muss auch sagen, es ist eine lange \u00e4h ich war ja froh, dass man \u00fcber diesen."},{"speaker":"markus-mengs","startTime":2083.4290000000001,"endTime":2096.9720000000002,"body":"Was falsch gemacht, strang wenigstens ein paar Informationen bekommen hat, wie viele Anh\u00e4nger so im Umlauf sind. Es sind, glaube ich, ich m\u00fcsste jetzt L\u00fcgen zuletzt drei\u00dfigtausend, vierzigtausend, ich wei\u00df es nicht genau, gewesen, die da erstellt wurden."},{"speaker":"markus-mengs","startTime":2097.8679999999999,"endTime":2103.3899999999999,"body":"Ich glaube, zur Zeit von Luca Dreck waren's noch zwanzigtausend, also da wird auch kr\u00e4ftig nachproduziert."},{"speaker":"markus-mengs","startTime":2103.4270000000001,"endTime":2116.8989999999999,"body":"Und dann sagt man ja, ah, das ist so ein geringer Anteil, ne, das Risiko ist nicht hoch, aber alleine bei den L\u00fccken gut, das passt jetzt zumindest bei den Sachen, die ich mir angeguckt habe, wenn ich ein \u00e4h die Nutzertaten von einem Schl\u00fcsselanh\u00e4nger \u00e4ndern kann, mal"},{"speaker":"markus-mengs","startTime":2116.6709999999998,"endTime":2123.1599999999999,"body":"eine Seelennummer \u00f6ffentlich geworden ist und kann diesen einen Schl\u00fcsselanh\u00e4nger in beliebig viele Locations einchecken."},{"speaker":"markus-mengs","startTime":2123.5630000000001,"endTime":2129.944,"body":"\u00c4hm und manipuliere die Daten davon, so dass sie vielleicht was ausl\u00f6sen oder auch nur das Gesundheitsamt,"},{"speaker":"markus-mengs","startTime":2130.1010000000001,"endTime":2138.8380000000002,"body":"zus\u00e4tzliche Arbeit kosten, \u00e4h dann je mehr ich den verwenden kann, um inso mehr Infektionsketten bringe ich den ein,"},{"speaker":"markus-mengs","startTime":2138.8560000000002,"endTime":2153.8539999999998,"body":"Daf\u00fcr reicht mir eine so eine Seriennummer an, daf\u00fcr f\u00fcr solche Szenarien ist das unerheblich, ob das nur einen ganz kleinen Systemanteil ausmacht, ob ich da hundert Seriennummern habe oder eine oder vierzigtausend, das spielt dann keine Rolle mehr, weil ich schon mit einer beliebig viel."},{"speaker":"markus-mengs","startTime":2154.6660000000002,"endTime":2162.7420000000002,"body":"In dem System, ja, ich sage mal, \u00e4h Workload erzeugen kann. Und auch f\u00fcr das Gesundheitsamt Workload erzeugen kann. Das ist."},{"speaker":"markus-mengs","startTime":2163.1689999999999,"endTime":2168.5590000000002,"body":"Ist sch\u00f6n f\u00fcr halt die Leute, die die brauchen das nicht. Ich glaube die Leute, f\u00fcr die, die vorgesehen sind, brauchen das nicht."},{"speaker":"tim-pritlove","startTime":2168.3850000000002,"endTime":2173.7379999999998,"body":"\u00c4h ich habe auch so den Eindruck, meine klang ja schon an, ne, so dieses,"},{"speaker":"tim-pritlove","startTime":2173.7930000000001,"endTime":2185.3420000000001,"body":"Was war denn eigentlich das Ziel und was hat man sich denn eigentlich f\u00fcr ein Modell gemacht? Und das ist ja oft auch damit \u00e4h verbunden, so mit der Frage, okay, was will man eigentlich letzten Endes bewirken, was was ist sozusagen."},{"speaker":"tim-pritlove","startTime":2185.799,"endTime":2190.6120000000001,"body":"Der eigentliche Zweck dieser App. Und ich werde immer so diesen Verdacht nicht los."},{"speaker":"tim-pritlove","startTime":2191.1590000000001,"endTime":2201.627,"body":"Dass es eigentliche der eigentliche Zweck dieser App ist halt so minimal vor Sto\u00df zu machen, der dazu f\u00fchrt, dass irgendwie Events."},{"speaker":"tim-pritlove","startTime":2201.9209999999998,"endTime":2210.1350000000002,"body":"Und Gastronomie und sozusagen das kulturelle Leben wieder stattfinden kann. Was ich nicht sagen will, dass das jetzt ein illegitimes Ziel ist,"},{"speaker":"tim-pritlove","startTime":2210.3519999999999,"endTime":2219.2089999999998,"body":"ja? Nur \u00e4hm es ist nat\u00fcrlich schon so ein bisschen es ich habe jetzt nicht jedem Interview mit Smudo gefolgt."},{"speaker":"tim-pritlove","startTime":2219.54,"endTime":2229.1120000000001,"body":"Das das k\u00f6nnte ich gar nicht ertragen, aber \u00e4h es war ja so eine so ein bisschen so dieses heilsversprechen ist hier, da gibt's was zum Scannen."},{"speaker":"tim-pritlove","startTime":2229.8629999999998,"endTime":2234.3580000000002,"body":"Und das ist dann so ein bisschen so diese Absolution, die man dann erteilt mit,"},{"speaker":"tim-pritlove","startTime":2234.502,"endTime":2246.442,"body":"Ja und wenn das dann irgendwie gescannt ist, dann dann ist ja f\u00fcr alles gesorgt. Dann haben wir irgendwelche Vorgaben erf\u00fcllt, die auf dem Papier sind, aber eigentlich auch keinen Sinn machen. Und daraufhin hat man das Ding halt,"},{"speaker":"tim-pritlove","startTime":2246.4839999999999,"endTime":2252.451,"body":"optimiert. Also man hat halt \u00e4h eigentlich diese Kontaktlisten soweit digitalisiert."},{"speaker":"tim-pritlove","startTime":2252.788,"endTime":2259.614,"body":"Und einfach nur nachgebildet, was ja sagen wir mal so ein klassischer Verlauf ist von,"},{"speaker":"tim-pritlove","startTime":2259.7170000000001,"endTime":2273.297,"body":"Development und \u00e4h oft auch legitim ist, ja, dass man einfach etwas nimmt, was so in der realen Welt stattfindet, aber dann eben digitalisiert, nur dass die Implikation nat\u00fcrlich jetzt in dieser Situation \u00e4hm vielf\u00e4ltiger sind"},{"speaker":"tim-pritlove","startTime":2273.2249999999999,"endTime":2278.6930000000002,"body":"weil's mit Gesundheitsdaten zu tun hat. Weil's ein aufgeladenes Thema ist. Weil"},{"speaker":"tim-pritlove","startTime":2278.567,"endTime":2291.6419999999998,"body":"hoher Zeitdruck existiert, weil wenn etwas nicht funktioniert, ist auf einmal eine gro\u00dfe Aufmerksamkeit erzeugen kann und sich sehr viele Leute nat\u00fcrlich dar\u00fcber zurecht auch aufregen und das ist so ein bisschen der Punkt, wo ich so den Eindruck habe,"},{"speaker":"tim-pritlove","startTime":2291.5349999999999,"endTime":2299.8389999999999,"body":"dass es ihnen auch so ein wenig entglitten ist. Dass sie \u00e4h am Anfang dieses Development gedacht haben, na ja Kontaktlisten, was kann da schon so schwer sein"},{"speaker":"tim-pritlove","startTime":2299.8150000000001,"endTime":2307.4099999999999,"body":"dem Ziel entwickelt haben und dann irgendwann durch die auch selbst herbeigerufene Relevanz"},{"speaker":"tim-pritlove","startTime":2307.375,"endTime":2320.864,"body":"Dieses aufbl\u00e4hen in der \u00d6ffentlichkeit so, ja was wollt ihr denn hier? Wenn wir unsere Zauber-App \u00e4h in die Welt streuen, dann dann k\u00f6nnen wir sofort wieder \u00e4h \u00e4h uns stundenlang \u00e4h kiffen, ins Hinterzimmer setzen."},{"speaker":"tim-pritlove","startTime":2321.261,"endTime":2330.172,"body":"Das war ja so ein bisschen so dieses Versprechen, was im Raum war. H\u00e4? Nur mit einem QR-Code und dann kamen eben diese ganzen Realword-Anforderungen"},{"speaker":"tim-pritlove","startTime":2330.0410000000002,"endTime":2344.4319999999998,"body":"die halt dann einfach in dem Moment greifen, wo es hei\u00dft, okay, jetzt bauen wir aber nicht nur eine kurze Digitalisierung von so einem Sicherheitssystem und wir machen das mal mit den Zetteln einfacher, sondern wir bauen jetzt quasi eine,"},{"speaker":"tim-pritlove","startTime":2344.607,"endTime":2355.1100000000001,"body":"L\u00f6sung, um wirklich so eine Pandemie zu entflechten. Und daran sind sie dann, glaube ich, als als System ein wenig gescheitert."},{"speaker":"markus-mengs","startTime":2356.3069999999998,"endTime":2363.3299999999999,"body":"Ja, man muss auch mal \u00e4hm ich glaube, das erfasst das ganz gut, aber es gibt eben auch so,"},{"speaker":"markus-mengs","startTime":2363.5709999999999,"endTime":2369.0210000000002,"body":"Facetten \u00e4h ich glaube, das was du gerade beschrieben hast, Tim, das ist \u00e4hm das."},{"speaker":"markus-mengs","startTime":2369.6640000000002,"endTime":2377.8299999999999,"body":"Endergebnis, wo man sich jetzt hin entwickelt hat, was man eigentlich verkaufen will. Aber das Produkt war schon, das war schon lange im Einsatz, da ist noch \u00e4h"},{"speaker":"markus-mengs","startTime":2377.8009999999999,"endTime":2385.5940000000001,"body":"dadr\u00fcber nachgedacht wurden, ob man das vielleicht mal f\u00fcr Ticketing verwendet. Es ist und so ist es ja jetzt auch gekommen \u00e4hm."},{"speaker":"markus-mengs","startTime":2386.105,"endTime":2400.587,"body":"Da impfnach eingepflegt wurden, ne? Also es ist die Zielsetzung und das Feature-Set, das ist gar nicht klar umrissen. W\u00e4hrend noch an allen Ecken und Enden Probleme sind, weil diese, ich sage mal, die Basic Features, das, was du gerade gesagt hast, dass du Kontakt."},{"speaker":"markus-mengs","startTime":2400.8820000000001,"endTime":2402.3899999999999,"body":"Listen irgendwie."},{"speaker":"markus-mengs","startTime":2402.7440000000001,"endTime":2412.0100000000002,"body":"Erfassung im Gesundheitsamt bereitstellt, um im Endeffekt die Forderung vom Infektionsschutzgesetz oder auch von den Corona-Schutzverordnungen, so wie sie jetzt noch aussehen, abzu,"},{"speaker":"markus-mengs","startTime":2412.2089999999998,"endTime":2421.7570000000001,"body":"abzudecken nicht mal die Funktionalit\u00e4t ist ja richtig gew\u00e4hrleistet, das ist aber das Core-Feature, was verkauft wird, das hei\u00dft aber nicht, dass da also f\u00fcr mich zumindest und ich,"},{"speaker":"markus-mengs","startTime":2421.8049999999998,"endTime":2429.4839999999999,"body":"mich tats\u00e4chlich erst ein paar Wochen damit, dass das von Anfang an so aussah, als w\u00e4re das das ganz klare Ziel der App. Er war eigentlich eher."},{"speaker":"markus-mengs","startTime":2430.152,"endTime":2439.0329999999999,"body":"Des Systems, aber eigentlich viel. Also f\u00fcr mich ist das heute noch unscharf, ne? Wo will man hin damit? Was soll das k\u00fcnftig k\u00f6nnen?"},{"speaker":"linus-neumann","startTime":2439.1480000000001,"endTime":2452.8359999999998,"body":"Also was sie ja sehr gut hinbekommen haben, ist und das ist ja wirklich auch b\u00e4renstark, ne. Wenn du irgendwo dran schreibst, verschl\u00fcsselt, dann denken alle so, boah Hammer. Hammer! Ne? Also."},{"speaker":"markus-mengs","startTime":2452.5839999999998,"endTime":2455.2570000000001,"body":"Und der doppelt verschl\u00fcsselt."},{"speaker":"linus-neumann","startTime":2454.9989999999998,"endTime":2462.5949999999998,"body":"Genau hier ist doppelt verschl\u00fcsselt so. Junge, Junge, Junge, so. Das ist \u00e4h unglaublich, was wir hier haben, ne."},{"speaker":"markus-mengs","startTime":2462.2950000000001,"endTime":2466.627,"body":"Frage, seit was und womit aber."},{"speaker":"linus-neumann","startTime":2466.422,"endTime":2478.0920000000001,"body":"Genau, was ist verschl\u00fcsselt? Welche Daten fallen trotzdem an, ne? Wir also, was wir auch gerade sehr sch\u00f6n geschildert hast, was du einfach nur aus Metadaten dir rekonstruieren kannst, ist halt."},{"speaker":"linus-neumann","startTime":2478.3870000000002,"endTime":2492.6399999999999,"body":"Der gr\u00f6\u00dfere Teil dessen, was relevant ist, es gibt diesen, ich glaub Netzpolitik Orkate inzwischen f\u00fcr sich auch so 'n bisschen reklamiert, wer hat uns verraten Meterdaten, ne? Wenn die Metadaten dich halt einmal deinen Schl\u00fcssel."},{"speaker":"linus-neumann","startTime":2493.4760000000001,"endTime":2500.9140000000002,"body":"Mit der Telefonnummer linken und deine IP-Adresse, mit den Schl\u00fcsseln, dann ist halt am Ende nix mehr \u00fcbrig,"},{"speaker":"linus-neumann","startTime":2501.1129999999998,"endTime":2515.078,"body":"in den verschl\u00fcsselten Werten, was da noch \u00e4hm rauszupulen w\u00e4re. Gleichzeitig \u00e4hm ist es nat\u00fcrlich als Werbedingende in einer Welt, wo \u00fcberall die Daten rausgetragen werden, halt hinzugehen und zu sagen, so Leute,"},{"speaker":"linus-neumann","startTime":2515.2280000000001,"endTime":2518.2199999999998,"body":"Bei uns ist es so verschl\u00fcsselt. Verschl\u00fcsselt doppelt."},{"speaker":"linus-neumann","startTime":2519.5189999999998,"endTime":2528.2730000000001,"body":"Doppel haste nicht gesehen, ne? Und \u00e4h dann alle sagen so, boah, endlich hat der Smudo das verschl\u00fcsselt. Endlich,"},{"speaker":"linus-neumann","startTime":2528.5079999999998,"endTime":2531.8249999999998,"body":"und und dann ist auch irgendwie Feierabend, dann \u00e4hm."},{"speaker":"tim-pritlove","startTime":2532.0599999999999,"endTime":2534.8110000000001,"body":"Smudo hat die Pandemie verschl\u00fcsselt."},{"speaker":"linus-neumann","startTime":2535.5810000000001,"endTime":2544.6959999999999,"body":"Ne? Unabh\u00e4ngig davon, dass \u00e4h und das w\u00e4re der zweite Punkt, sich noch kurz anmerken w\u00fcrde, dass nat\u00fcrlich ohnehin die."},{"speaker":"linus-neumann","startTime":2545.9169999999999,"endTime":2550.02,"body":"Also contact tracing ist ein wichtiger Beitrag zur."},{"speaker":"linus-neumann","startTime":2550.3029999999999,"endTime":2561.6179999999999,"body":"Einhebung des \u00e4hm Infektionsgeschehen. Da sind wir uns sogar einig, das wissen wir. Es ist nun nicht so, als w\u00e4re contact tracing allein in der Lage, \u00e4hm."},{"speaker":"linus-neumann","startTime":2562.6039999999998,"endTime":2576.1599999999999,"body":"Dass \u00e4h dieses Problem der Pandemie f\u00fcr uns zu l\u00f6sen, auch wenn \u00e4h das immer wieder \u00e4h dahergeredet wird. Und was ich glaube, hm um das so ein bisschen zusammenzufahren, was er gerade gesagt hat."},{"speaker":"linus-neumann","startTime":2576.5749999999998,"endTime":2583.8090000000002,"body":"Die haben, glaube ich, nicht unbedingt, als sie angefangen haben mit dem Ding, gedacht so."},{"speaker":"linus-neumann","startTime":2584.3319999999999,"endTime":2586.8560000000002,"body":"Boah Alter, das verkaufen wir an die L\u00e4nder?"},{"speaker":"linus-neumann","startTime":2587.181,"endTime":2600.8629999999998,"body":"Und dann dann kassieren wir da in Wartungsvertr\u00e4gen Millionen. Also, dass sie dachten, das ist eine Millionen Idee ist, ist schon klar, sonst h\u00e4ttest du nicht irgendwie diese Fantastic Capital \u00e4h Investoren,"},{"speaker":"linus-neumann","startTime":2600.9960000000001,"endTime":2606.049,"body":"dazubekommen, na? Aber dass sie dachten, das ist eine Multimillionen"},{"speaker":"linus-neumann","startTime":2606.0309999999999,"endTime":2615.4290000000001,"body":"Idee und wir verkaufen's ausrechnen an den Staat. Ich glaube, das war den Anfangs nicht klar. Die haben vielleicht gedacht, alles klar, vielleicht verkaufen wir das eine oder an das eine oder andere Land."},{"speaker":"linus-neumann","startTime":2616.5410000000002,"endTime":2623.2170000000001,"body":"Vielleicht verkaufen wir es einfach um massenhaft an die Gastronomie, vielleicht verkaufen wir's an \u00e4h Ticketanbieterin."},{"speaker":"linus-neumann","startTime":2623.5300000000002,"endTime":2628.625,"body":"Viertausend Leute, ne, oder f\u00fcnftausend sogar. Und \u00e4hm."},{"speaker":"linus-neumann","startTime":2629.3820000000001,"endTime":2637.6930000000002,"body":"Aber dass die dachten, dass sie damit am Ende wirklich den Fiskus \u00e4h an die Nadel h\u00e4ngen und und um wirklich."},{"speaker":"linus-neumann","startTime":2638.1860000000001,"endTime":2651.9940000000001,"body":"Was sind da zweiundzwanzig, f\u00fcnfundzwanzig Millionen Euro erleichtern? \u00c4h ich glaube, das war den in dem Moment, wo es passiert ist, haben die sich halt denen wahrscheinlich ein Ei aus der Hose geh\u00fcpft und dann \u00e4h aber wirklich auch das \u00e4h."},{"speaker":"linus-neumann","startTime":2652.6019999999999,"endTime":2659.1750000000002,"body":"Das das Herz \u00e4h runtergerutscht, weil sie gemerkt haben, fuck, Alter, wenn die jetzt sehen wollen, dann dann stehen wir ein bisschen bl\u00f6d da, oder?"},{"speaker":"markus-mengs","startTime":2660.498,"endTime":2670.1239999999998,"body":"Ja, den Fehler kannst du aber in einem Start-up nicht alleine anrechnen, ne? Da musst du auch schon den K\u00e4ufern. Das sind ja nicht die, die es am Ende haben wollen, die K\u00e4ufer und die sagen mal,"},{"speaker":"markus-mengs","startTime":2670.3220000000001,"endTime":2682.2379999999998,"body":"Verwalter, das sind ja alles \u00f6ffentliche Mittel und die, die den Bedarf haben, der gedeckt werden muss, das sind ja leider auch nicht immer die gleichen. Und manchmal werden die, die den Bedarf artikulieren m\u00fcssen, auch gar nicht angeh\u00f6rt,"},{"speaker":"markus-mengs","startTime":2682.431,"endTime":2688.8420000000001,"body":"Ja, ich wei\u00df schon, du willst das schon abrunden, ich merke das schon, aber ich wollte nochmal was, ich muss nochmal."},{"speaker":"markus-mengs","startTime":2689.1970000000001,"endTime":2693.0239999999999,"body":"Ne, weil der Tim, der Tim hat das so sch\u00f6n versucht, auf was,"},{"speaker":"markus-mengs","startTime":2693.1689999999999,"endTime":2699.8150000000001,"body":"greifbares zu reduzieren, was Luca eigentlich ist, ne? Und wenn du wenn du das wirklich mal versuchst und,"},{"speaker":"markus-mengs","startTime":2699.9769999999999,"endTime":2712.277,"body":"Aus dem Werbeversprechungen, die Essenz rausziehst, ja, dann versprechen die ja, \u00e4h, Entlastung der Gesundheits\u00e4mter, Kontaktdatenerfassung, plausibel und verwertbar f\u00fcr die Gesundheits\u00e4mter und keine, ich sage mal, gar Bettaten"},{"speaker":"markus-mengs","startTime":2712.2109999999998,"endTime":2718.6950000000002,"body":"die bei den Gesundheits\u00e4mtern auflaufen. Also die reine Digitalisierung der Kontaktlisten."},{"speaker":"markus-mengs","startTime":2719.308,"endTime":2731.9090000000001,"body":"Nur dass das Gesundheitsamt die eben im Bedarfsfall sehr viel schneller abgreifen kann. Wenn du aber anguckst, was von dem Versprechen tats\u00e4chlich \u00fcble \u00e4h \u00fcbrig ist, ja. Wir wissen \u00e4h die die Nutzerkontaktdaten w\u00e4ren nicht,"},{"speaker":"markus-mengs","startTime":2731.915,"endTime":2740.634,"body":"verifiziert, bis auf die Telefonnummer, was ich auch nach wie vor umgehen l\u00e4sst, sie zu verifizieren, weil es wird auch teuer, denke ich mal, das nachertr\u00e4glich einzuf\u00fchren."},{"speaker":"markus-mengs","startTime":2741.3679999999999,"endTime":2748.3200000000002,"body":"Du hast keine Kontaktdaten. Okay, dann wei\u00dft du aber nur, du hast ein Kontaktdatum, das ist die Telefonnummer. Ja, aber du kennst das,"},{"speaker":"markus-mengs","startTime":2748.5790000000002,"endTime":2762.5129999999999,"body":"\u00fcberall einloggen, ja? Weil und nirgends, ja, du kannst mit trotzdem mit falschen Daten einloggen, also auch die Kontaktlisten sind falsch, ja? Und jetzt kommen die, jetzt gehen wir mal von aus, dass das alles nicht passiert. Jetzt kommen diese Kontaktlisten zum Gesundheitsamt."},{"speaker":"markus-mengs","startTime":2763.355,"endTime":2772.7890000000002,"body":"\u00c4hm dann wird damit geworben, dann werden die Leute schnell gewarnt. Nein. Weil das Gesundheitsamt muss sie ja alle abfragen und die Relevanz pr\u00fcfen, ja? Wird das System kann jetzt sagen, ja,"},{"speaker":"markus-mengs","startTime":2772.8429999999998,"endTime":2779.933,"body":"eine Liste von der Location XY ist vom Gesundheitsamt abgefragt worden, kann jetzt dem Nutzer sagen, du bist abgefragt worden,"},{"speaker":"markus-mengs","startTime":2780.2040000000002,"endTime":2784.1219999999998,"body":"Das ist ja aber nicht automatisch eine Warnung vom Gesundheitsanwalt. Das Arbeit,"},{"speaker":"markus-mengs","startTime":2784.248,"endTime":2798.2669999999998,"body":"das Gesundheitsamt hat ja immer noch die Aufgabe nachzuvollziehen, ob jetzt diese Kontaktliste irgendeine jeder, der da drauf stand, irgendwie Infektionsrelevant war, ne? Und muss den Menschen dann anrufen, so er denn erreichbar ist unter der angegebenen Telefonnummer."},{"speaker":"markus-mengs","startTime":2798.5920000000001,"endTime":2802.1849999999999,"body":"Und den Befragten, also ich sage mal, der Aufwand ist dergleiche wie vorher."},{"speaker":"markus-mengs","startTime":2802.6779999999999,"endTime":2812.502,"body":"Die die Kontaktlisten werden nicht besser, also es bleibt von den von den Werbeversprechen bleibt nichts \u00fcbrig, ohne dass du in die Sicherheitsl\u00fccken guckst. Die Risiken, die diese L\u00f6sungen alle."},{"speaker":"markus-mengs","startTime":2813.2719999999999,"endTime":2821.6239999999998,"body":"Mit sich bringen. Die kommen eigentlich on top dazu, \u00e4h zu keiner Verbesserung aus meiner Sicht. So werde ich's mal versuchen versuchen, reduziert zu betrachten."},{"speaker":"linus-neumann","startTime":2822.346,"endTime":2835.415,"body":"Das ist, glaube ich, sehr, sehr sch\u00f6n zusammengefasst an der, an der Stelle muss man immer nochmal sagen, das Einzige, was contact racing leisten kann, ist halt schneller, den Leuten Bescheid sagen, damit sie ihrerseits die Kontakte reduzieren,"},{"speaker":"linus-neumann","startTime":2835.578,"endTime":2844.1950000000002,"body":"dann erst wirkt es, ja? Und diesen Wertbeitrag, den den sieht man auch ohne die ganzen Sicherheitsl\u00fccken kaum."},{"speaker":"linus-neumann","startTime":2845.3069999999998,"endTime":2851.0630000000001,"body":"So, jetzt sind wir, glaube ich, an dem Punkt angelangt, dass wir uns mal langsam dar\u00fcber Gedanken machen k\u00f6nnen."},{"speaker":"linus-neumann","startTime":2851.5439999999999,"endTime":2858.79,"body":"Schwachstelle du jetzt demonstriert hast, denn interessanterweise in deinem Video sagst du ja."},{"speaker":"linus-neumann","startTime":2859.1700000000001,"endTime":2867.9180000000001,"body":"Das wurde schon vor drei Wochen gemeldet und du hast es jetzt nur noch noch einmal demonstriert, was ist denn da passiert?"},{"speaker":"markus-mengs","startTime":2869.0479999999998,"endTime":2874.2159999999999,"body":"Ja erstmal sind das alles keine Schwachstellen auch keine Sicherheitsl\u00fccken. Das sind ja meistens,"},{"speaker":"markus-mengs","startTime":2874.252,"endTime":2887.9949999999999,"body":"Es wird von Luca immer umtituliert. So wenn sogar wenn ich die Bitte, ja komm, ich habe nicht so Zeit, eine Advisory zu schreibe, mach doch mal selber ein Ischio auf, dann hei\u00dft das dann auch nicht mehr Security Echo oder so, da k\u00f6nnen zig Schutzziele IT-Sicherheit betroffen sein."},{"speaker":"linus-neumann","startTime":2887.6950000000002,"endTime":2888.9140000000002,"body":"Immer nur ein Error, ne."},{"speaker":"markus-mengs","startTime":2888.614,"endTime":2892.4949999999999,"body":"Funktionaler Fehler hinterher, ja."},{"speaker":"linus-neumann","startTime":2892.2800000000002,"endTime":2893.5630000000001,"body":"Also die haben die haben bis heute."},{"speaker":"markus-mengs","startTime":2893.3130000000001,"endTime":2894.502,"body":"Ne"},{"speaker":"linus-neumann","startTime":2894.27,"endTime":2902.4400000000001,"body":"Das ist Tim, der du kannst dir das nicht vorstellen, ne? Die haben bis heute nicht eine Eins, nicht ein einziges Mal gesagt,"},{"speaker":"linus-neumann","startTime":2903.2759999999998,"endTime":2911.4119999999998,"body":"Es gab eine Sicherheitsl\u00fccke, die ganz im Gegenteil, die leugnen das ja sogar aktiv, ne, also Luca Track und so, alles keine Sicherheitsl\u00fccke."},{"speaker":"markus-mengs","startTime":2912.248,"endTime":2916.8800000000001,"body":"Ja, heute bei dem Ding war's sogar ganz konkret, das ist keine Sicherheitsl\u00fccke."},{"speaker":"linus-neumann","startTime":2916.598,"endTime":2924.277,"body":"Unglaublich. Aber okay, also es war keine Sicherheitsl\u00fccke. Es war \u00e4hm es war ein v\u00f6llig \u00fcberraschendes Feature."},{"speaker":"markus-mengs","startTime":2924.1329999999998,"endTime":2931.7950000000001,"body":"Genau dieses Feature, was eigentlich vor drei Wochen aufkam. \u00c4hm es geht um \u00e4h es ging um."},{"speaker":"markus-mengs","startTime":2932.2399999999998,"endTime":2936.77,"body":"In oder CSV im engeren Sinn."},{"speaker":"markus-mengs","startTime":2937.8220000000001,"endTime":2942.5329999999999,"body":"Und man hat ja auch gesehen in dem Video von mir, da stehen ziemliche viele Credits hinten drin, weil ich habe."},{"speaker":"markus-mengs","startTime":2943.645,"endTime":2956.3719999999998,"body":"Thema gar nicht selber aufgetan, denn ich habe an einer anderen nicht Sicherheitsl\u00fccke von Luca gearbeitet \u00e4h und hatte quasi das Setup fertig, um das schnell noch zu testen und \u00e4h Idee, wie man,"},{"speaker":"markus-mengs","startTime":2956.4140000000002,"endTime":2960.3560000000002,"body":"ansetzen kann. Also \u00e4h ganz klassisch."},{"speaker":"markus-mengs","startTime":2961.1610000000001,"endTime":2967.5189999999998,"body":"An sich adressiert erstmal Tabellenkalkulation."},{"speaker":"markus-mengs","startTime":2968.5639999999999,"endTime":2979.6210000000001,"body":"Klassisch Excel, ja, also Microsoft-Systeme mit Microsoft Office ausgestattet, klassisch ist das eigentlich immer Excel und zwar diese Funktionalit\u00e4t, dass man in Zellen Formeln eintragen kann."},{"speaker":"markus-mengs","startTime":2980.4690000000001,"endTime":2991.8490000000002,"body":"Nicht nicht Makros, das m\u00f6chte ich nochmal betonen, weil wir reden nicht von Programmierungen oder VBH, so wie das jetzt in einigen Medien \u00e4h gekommen ist, formeln und dieses Formeln, \u00e4h je nach"},{"speaker":"markus-mengs","startTime":2991.7829999999999,"endTime":2999.1019999999999,"body":"Excel oder Office-Version, die k\u00f6nnen halt nette Sachen, wie auch \u00e4hm, ich sage mal, ein Beispiel ist, dass du sagst,"},{"speaker":"markus-mengs","startTime":2998.982,"endTime":3005.808,"body":"der jetzt in dieser Tabellenzelle sehen soll, der wird mit einer Formel generiert, die der mir den von irgendeiner Webseite runterl\u00e4dt."},{"speaker":"markus-mengs","startTime":3006.482,"endTime":3013.9690000000001,"body":"F\u00fcr einen Angreifer hei\u00dft das, ich kann in eine \u00e4h Zelle was eintragen, was mir dabei hilft auf einen externen Sover zuzugreifen."},{"speaker":"tim-pritlove","startTime":3013.8670000000002,"endTime":3023.7809999999999,"body":"Markus da m\u00fcssen wir mal kurz noch was anderes \u00e4h nochmal vielleicht zusammenfassen, ne? Also das w\u00e4re jetzt mal den Kontext verstehen. Also du hast diese,"},{"speaker":"tim-pritlove","startTime":3023.8539999999998,"endTime":3027.4949999999999,"body":"Sicherheitsl\u00fccke in diesem Video dokumentiert. Das haben ja die Anna jetzt alle noch nicht gesehen."},{"speaker":"tim-pritlove","startTime":3027.4479999999999,"endTime":3036.527,"body":"Ja, worum geht es? Es geht um die vorhin \u00e4h genannten Komponenten. Konkret die Anbindung von diesem Luka"},{"speaker":"tim-pritlove","startTime":3036.4850000000001,"endTime":3046.4059999999999,"body":"System, was ja aus der App besteht und aus deren Backend besteht, ja, sie Daten flie\u00dfen jetzt ins Gesundheitsamt. Darum geht es, ne, diese"},{"speaker":"tim-pritlove","startTime":3046.3580000000002,"endTime":3059.0430000000001,"body":"sogenannte Anbindung ist ja eigentlich nichts anderes als so eine Art Exportgenerator, also das Gesundheitssystem kann sich quasi an dieses System ranpflanzen und sagen, jetzt gib mal her die Daten."},{"speaker":"tim-pritlove","startTime":3059.3499999999999,"endTime":3067.96,"body":"F\u00fcr diese f\u00fcr diesen Ort, ja, wo \u00e4h Aktivit\u00e4t stattgefunden hat, die von dieser Luka-App \u00e4h aufgezeichnet wurde."},{"speaker":"tim-pritlove","startTime":3068.2730000000001,"endTime":3077.9229999999998,"body":"Und jetzt m\u00f6chte gerne das Gesundheitsamt diese Daten haben und diese Daten erh\u00e4lt sie ganz klassisch in so einem Textbasierten"},{"speaker":"tim-pritlove","startTime":3077.7730000000001,"endTime":3090.4699999999998,"body":"Datenexport. Das hei\u00dft, man kriegt so eine CSV Datei oder man hat die M\u00f6glichkeit, verschiedene Formate \u00e4h zu w\u00e4hlen und das Beispiel, was du dort gibst, ist halt diese CSV-Datei"},{"speaker":"tim-pritlove","startTime":3090.3200000000002,"endTime":3099.8020000000001,"body":"So und dann liegen die Daten erstmal roh vor. Man k\u00f6nnte sagen, es ist eine Art Download. Ja, es ist ja auch nichts, nix anderes wirklich."},{"speaker":"markus-mengs","startTime":3099.5920000000001,"endTime":3108.8159999999998,"body":"Es ist alles ein Download. Also du kommst an die Daten aus dem Lukas-System, das Gesundheitsamt kommt an die Rohdaten, immer nur als Download dran, weil es gibt."},{"speaker":"markus-mengs","startTime":3109.6329999999998,"endTime":3116.3150000000001,"body":"Gl\u00fccklicherweise w\u00fcrde ich jetzt sagen, noch keine automatisierte Schnittstelle zu anderen Verfahren. Noch nicht."},{"speaker":"tim-pritlove","startTime":3116.1959999999999,"endTime":3122.703,"body":"Genau, ja okay, gibt's nicht, aber so ist es jetzt, nur dass man sich das vorstellen kann. Also wir reden jetzt hier \u00fcber diesen Zeitpunkt"},{"speaker":"tim-pritlove","startTime":3122.6729999999998,"endTime":3130.5439999999999,"body":"wo das Gesundheitsamt sagt, so jetzt m\u00fcssen wir uns aber wirklich mal diese Daten holen, man hat den entsprechenden Schl\u00fcssel, um diese Daten zu entschl\u00fcsseln und erh\u00e4lt"},{"speaker":"tim-pritlove","startTime":3130.4009999999998,"endTime":3145.027,"body":"unverschl\u00fcsselte Exportdaten auf das eigene System, also im Normalfall nat\u00fcrlich irgend so ein Windows-Computer, wo dann so eine ganz normale Datei rumliegt und diese wird dann ge\u00f6ffnet und sie wird dann halt dann doch sehr oft, das wissen wir"},{"speaker":"tim-pritlove","startTime":3144.9009999999998,"endTime":3150.6329999999998,"body":"in einer stinknormalen Tabellenkalkulation, also in Excel aufgemacht."},{"speaker":"tim-pritlove","startTime":3150.741,"endTime":3156.768,"body":"So und das ist nat\u00fcrlich immer ein Problem, weil wenn die Daten halt in irgendeiner Form."},{"speaker":"tim-pritlove","startTime":3157.1529999999998,"endTime":3164.52,"body":"Anders sind, als man das jetzt vielleicht so erwartet oder konkreter anders als die Software sie erwartet,"},{"speaker":"tim-pritlove","startTime":3164.52,"endTime":3169.9760000000001,"body":"dann kann halt auch schon mal was schief gehen. Und das ist im Prinzip ja hier der Angriffspunkt, wenn ich das richtig verstehe."},{"speaker":"markus-mengs","startTime":3170.1149999999998,"endTime":3178.5929999999998,"body":"Ja, das ist sogar ein \u00e4h verbreitetes Problem. Man muss ja auch sagen, ein Problem, was \u00e4h viele Hersteller \u00e4h sogar aus Backbountees"},{"speaker":"markus-mengs","startTime":3178.4859999999999,"endTime":3185.636,"body":"ausschlie\u00dfen, bewusst \u00e4hm also erstens \u00e4h,"},{"speaker":"markus-mengs","startTime":3185.7750000000001,"endTime":3199.2280000000001,"body":"Daten, wenn man speziell vom CSV spricht, auf einem normalen B\u00fcro, Arbeitsplatzsystem, was ein Office installiert hat, muss man erstmal sagen, \u00e4h eine CSV-Datei, die ist standardm\u00e4\u00dfig mit dem Office-Produkt verkn\u00fcpft, also mit Excel"},{"speaker":"markus-mengs","startTime":3199.067,"endTime":3205.4180000000001,"body":"die ablegt und doppelt anklebt und hat vielleicht auch keine Dateerweiterung angezeigt, dann sieht man nicht mal, dass das"},{"speaker":"markus-mengs","startTime":3205.3040000000001,"endTime":3211.4749999999999,"body":"reine Excel-Tabelle ist, sondern ist Excel erstmal das \u00e4h die Software der Wahl, um die zu \u00f6ffnen."},{"speaker":"tim-pritlove","startTime":3211.1750000000002,"endTime":3214.0039999999999,"body":"Voreingestellte Tool einfach daf\u00fcr, ne."},{"speaker":"markus-mengs","startTime":3213.741,"endTime":3217.4180000000001,"body":"Das ist da die Ford sozusagen genau, dass das in Excel ge\u00f6ffnet wird."},{"speaker":"tim-pritlove","startTime":3217.3760000000002,"endTime":3220.9690000000001,"body":"Genau. Und CSV, wem das nicht sagt, hei\u00dft einfach nur"},{"speaker":"tim-pritlove","startTime":3220.8310000000001,"endTime":3232.5239999999999,"body":"Komma separierte Werte. Ja, das hei\u00dft, es ist einfach, wenn man das in normalen Texteditor aufmachen w\u00fcrde, sieht man einfach einen Datensatz pro Zeile. Die einzelnen \u00e4h Werte mit Komma"},{"speaker":"tim-pritlove","startTime":3232.4349999999999,"endTime":3241.652,"body":"getrennt. Das ist dann nicht unbedingt zwangsl\u00e4ufig immer ein Komma, ist auch manchmal ein Semikolon oder ein Tab, aber das finde ich jetzt auch ein bisschen zu weit. Es geht einfach um strukturierte Daten in Textform."},{"speaker":"tim-pritlove","startTime":3241.5810000000001,"endTime":3255.587,"body":"So und das hei\u00dft, man \u00e4h \u00f6ffnet die und dann geht halt in der Regel das voreingestellte Programm auf und das ist dann eben Excel, was ja auch Sinn macht, weil es handelt sich ja letzten Endes um tabellarische Daten und man will ja letzten Endes auch hier auch ein tabellarischen"},{"speaker":"tim-pritlove","startTime":3255.4740000000002,"endTime":3265.0329999999999,"body":"auf diese Daten gewinnen, um sie dann weiterverarbeiten zu k\u00f6nnen. So, alles kein Problem, oder? Was kann da schon schiefgehen?"},{"speaker":"markus-mengs","startTime":3266.212,"endTime":3270.4720000000002,"body":"Ja, dann kommt eben diese \u00e4hm."},{"speaker":"markus-mengs","startTime":3271.2829999999999,"endTime":3276.9920000000002,"body":"Formel \u00e4h ins Spiel oder CSV wird das auch genannt. \u00c4hm."},{"speaker":"markus-mengs","startTime":3277.5329999999999,"endTime":3284.317,"body":"Wenn du das jetzt isoliert auf Excel betrachtest, ist das wie wenn du in eine Zelle eine Formel eintr\u00e4gst. Die kann vor,"},{"speaker":"markus-mengs","startTime":3284.4609999999998,"endTime":3294.8270000000002,"body":"zwei andere Zellen zusammenaddieren oder einen statischen Wert haben, die kann aber auch sagen, \u00e4h ich brauche ich muss ein anderes Programm starten, um da einen Wert reinzubringen."},{"speaker":"tim-pritlove","startTime":3294.527,"endTime":3304.8620000000001,"body":"Gut, aber bei diesen Daten sind doch sind doch solche Formeln erstmal gar nicht drin. Ich meine, wir reden doch hier von Name, Vorname, Nachname, Anschrift, Postleitzahl, das ist doch das, was man eingegeben hat, ne."},{"speaker":"markus-mengs","startTime":3304.8200000000002,"endTime":3314.422,"body":"Genau da will ich hin. Wenn du jetzt \u00e4hm \u00e4h CSV-Datei in Excel l\u00e4dst, dann interpretiert \u00e4h"},{"speaker":"markus-mengs","startTime":3314.404,"endTime":3322.8110000000001,"body":"Excel nat\u00fcrlich diese strukturierten Daten so, \u00e4h dass das auch analysiert, ob jetzt eine Zelle mit einer Formel belegt werden soll, eine Tabellenzelle."},{"speaker":"markus-mengs","startTime":3323.6770000000001,"endTime":3335.3040000000001,"body":"Und wenn du die Daten in der CSV-Datei richtig gestaltest, dann kannst du das durchaus \u00e4h ausl\u00f6sen, dass Excel auch so eine Formel beim \u00d6ffnen anlegt und dann auch Aktionen ausl\u00f6st."},{"speaker":"linus-neumann","startTime":3335.0039999999999,"endTime":3348.6619999999998,"body":"Ich will jetzt, ich will, ich muss da ganz kurz einhaken. Ich wei\u00df, dass wir jetzt hier als Nerd sofort sagen, in excellence Formel. Du hast es auch gerade im Nebensatz schon gesagt, ich will nur einfach sagen, was ist die die einfachste Formel in Excel,"},{"speaker":"linus-neumann","startTime":3348.6680000000001,"endTime":3354.0700000000002,"body":"Also der eine einfache Formel in Excel in das erste Feld schreibst du die Zahl."},{"speaker":"linus-neumann","startTime":3354.5990000000002,"endTime":3361.4490000000001,"body":"Eins. In die zweite Zelle der Tabelle zeigt, schreibst du die Zahl zwei."},{"speaker":"linus-neumann","startTime":3361.864,"endTime":3375.703,"body":"Und in die dritte kommt jetzt eine Formel, da schreibst du einfach nur gleich die Summe der ersten und der zweiten Zelle. Und dann wird in diesem dritten Ding drei stehen. Wenn jetzt in das erste Feld aber."},{"speaker":"linus-neumann","startTime":3376.1419999999998,"endTime":3389.752,"body":"F\u00fcnf schreibst, dann wird in dem dritten Ding sieben stehen, weil dann n\u00e4mlich die Summe von f\u00fcnf und zwei berechnet wird, also ein dynamischer Inhalt ist eigentlich das, was 'ne was 'ne Excel-Formel abbildet, oder?"},{"speaker":"markus-mengs","startTime":3390.1370000000002,"endTime":3398.069,"body":"Genau, der Begriff vor mir ist eigentlich irref\u00fchrend, weil du hast nat\u00fcrlich dynamischer Inhalt ist sehr viel passender, weil du hast nat\u00fcrlich,"},{"speaker":"markus-mengs","startTime":3398.1469999999999,"endTime":3403.9630000000002,"body":"Programmierer w\u00fcrde es vielleicht Funktionen oder Methoden nennen, du hast nat\u00fcrlich mathematische Formeln."},{"speaker":"markus-mengs","startTime":3404.7330000000002,"endTime":3415.5970000000002,"body":"Aber du hast, wie ich jetzt gerade auch als Beispiel erw\u00e4hnt habe, nat\u00fcrlich auch Formeln, die sagen, zieh mir die Zahl von einer Webseite runter, die da angezeigt werden soll. Oder du hast auf Hummeln, die sagen"},{"speaker":"markus-mengs","startTime":3415.471,"endTime":3422.1410000000001,"body":"starte mal das Programm X Y und wenn das Programm abgelaufen ist, zeigst du den Wert an."},{"speaker":"markus-mengs","startTime":3422.4360000000001,"endTime":3435.3490000000002,"body":"Von dem Programm ausgegeben wurde. Das hei\u00dft, du kannst damit fremde Programme starten, du kannst auf fremde Webseiten zugreifen und du kannst nat\u00fcrlich auch sagen, okay, \u00e4h wenn du auf einer den Wert f\u00fcr diese Zelle, wenn,"},{"speaker":"markus-mengs","startTime":3435.355,"endTime":3443.7429999999999,"body":"\u00e4h dass wenn die von einer fremden Webseite geholt werden soll, dann musst du da auch noch \u00e4h den Inhalt der Zelle, wo der Name steht,"},{"speaker":"markus-mengs","startTime":3443.7139999999999,"endTime":3450.221,"body":"wo die Zahl steht, wo eine Postleitzahl steht, das musst du da vorher alles hinschicken. Das kannst du mit Excel-Formeln machen."},{"speaker":"linus-neumann","startTime":3449.9209999999998,"endTime":3456.6750000000002,"body":"Nehmen wir mal, nehmen wir mal ein Beispiel, wenn jetzt irgendwie hier der Tim macht ja den Podcast, \u00e4h den w\u00f6chentlichen Podcast mit"},{"speaker":"linus-neumann","startTime":3456.6329999999998,"endTime":3469.21,"body":"Pavel \u00fcber die Corona-Pandemie und die wirken da immer auf ganz vielen Zahlen, ne? Jetzt k\u00f6nnten die ja auch auf die Idee kommen, zu sagen, in unserem gro\u00dfen Excel-Ding, das machen die hoffentlich nicht. Das l\u00e4dt sich."},{"speaker":"linus-neumann","startTime":3469.973,"endTime":3477.1599999999999,"body":"Von der EKI-Seite. Ihr die aktuellen Corona-Zeilen runter. Das w\u00e4re da so ein Anwendungsfall, ne?"},{"speaker":"markus-mengs","startTime":3477.701,"endTime":3486.4499999999998,"body":"Genau. Das ist das ist das Entscheidende. Das ist kein Hack. Wir reden da \u00fcber ein Feature von Excel und nicht nur von Excel, sondern auch von,"},{"speaker":"markus-mengs","startTime":3486.4740000000002,"endTime":3496.8400000000001,"body":"\u00e4hnlich georteten \u00e4h Tabellenkalkulationsprodukten, weil es gibt ja einen Zweck davon, genau. Wenn du \u00e4h externe Daten runterl\u00e4dst, was auch immer, wenn du das w\u00fcnschst, ja, \u00e4h."},{"speaker":"tim-pritlove","startTime":3496.54,"endTime":3498.877,"body":"Aktienkurse ist ein Klassiker."},{"speaker":"markus-mengs","startTime":3498.5770000000002,"endTime":3511.1469999999999,"body":"Was auch immer. Es gibt sicherlich auch Szenarien, wo man sagt, okay, damit die Tabellenzelle bef\u00fcllt wird, muss ich ein externes Programm starten, was mir da das Ergebnis reinliefert, weil ich irgendein Skript geschrieben habe, was irgendwas abfragt"},{"speaker":"markus-mengs","startTime":3511.1410000000001,"endTime":3520.7429999999999,"body":"Wei\u00dfer Geier, da gibt's sicherlich viele legitime Anwendungsfelder, das ist also nicht ein Sicherheitsproblem von Excel. Ein Problem wird das, \u00e4h."},{"speaker":"markus-mengs","startTime":3521.1950000000002,"endTime":3533.5729999999999,"body":"Wenn ich Daten in Exce er\u00f6ffnee und es ist gar nicht gew\u00fcnscht, dass die solche Funktionalit\u00e4ten implementieren. Das ist ein Sicherheitsproblem. Das liegt dann in der Regel aber nicht an Excel, sondern an der Datenquelle."},{"speaker":"markus-mengs","startTime":3534.5169999999998,"endTime":3540.1529999999998,"body":"Weil wenn ich nicht m\u00f6chte, \u00e4h dass da solche Daten oder \u00e4hm."},{"speaker":"markus-mengs","startTime":3541.223,"endTime":3555.482,"body":"Daten, die ich in Excel \u00f6ffne, irgendwelche Aktionen ausf\u00fchren, dann muss ich das irgendwie sicherstellen, da gibt's zwei Methoden daf\u00fcr. Das eine ist \u00e4h, dass sich der Quelle absolut vertraue, das kann ich nat\u00fcrlich auch technisch sicherstellen. Das andere ist, dass ich diese"},{"speaker":"markus-mengs","startTime":3555.3200000000002,"endTime":3560.5599999999999,"body":"Datenfilter, bevor ich sie \u00f6ffne, weil ich kann sie ja nicht anders in Augenschein nehmen, als sie,"},{"speaker":"markus-mengs","startTime":3560.7640000000001,"endTime":3568.2330000000002,"body":"zu laden. \u00c4hm wenn dann eben nicht gew\u00fcnschte Funktionalit\u00e4ten auftauchen, da kommen wir dann zu dem Bereich Injection"},{"speaker":"markus-mengs","startTime":3568.2280000000001,"endTime":3581.9699999999998,"body":"Deswegen hei\u00dft das auch CSV-Injection, dass man eben in solche \u00e4h Datenquellen, die dann eben auch so kommerseparierten, strukturierten Daten kommen, eben Formeln einf\u00fcgt, wovon gar nicht \u00e4h erwartet wird, dass sie da auftauchen."},{"speaker":"markus-mengs","startTime":3582.1149999999998,"endTime":3584.5,"body":"Eben irgendwelche Aktionen ausl\u00f6sen."},{"speaker":"tim-pritlove","startTime":3584.4279999999999,"endTime":3586.1039999999998,"body":"Ja, aber Markus."},{"speaker":"tim-pritlove","startTime":3586.3989999999999,"endTime":3595.4479999999999,"body":"Luca ist doch ein vertrauensw\u00fcrdiges Unternehmen, was \u00e4h nur unsere nur die besten Intentionen hat. Warum sollten denn in diesen Daten,"},{"speaker":"tim-pritlove","startTime":3595.5749999999998,"endTime":3602.7249999999999,"body":"andere Daten \u00e4h drin landen, als die, die die User da \u00e4h irgendwann mal eingegeben haben."},{"speaker":"linus-neumann","startTime":3602.6060000000002,"endTime":3607.4299999999998,"body":"Ja und au\u00dferdem Markus, das ist ja auch doppelt verschl\u00fcsselt, dass er doppelt verschl\u00fcsselt Markus."},{"speaker":"tim-pritlove","startTime":3607.1370000000002,"endTime":3608.9569999999999,"body":"Das das kommt noch dazu, ja."},{"speaker":"markus-mengs","startTime":3608.6570000000002,"endTime":3612.9229999999998,"body":"Da haben wir ja die Kurve zu den drei Wochen gekriegt,"},{"speaker":"markus-mengs","startTime":3613.1880000000001,"endTime":3623.2220000000002,"body":"da sind wir ja wieder da am Anfang bei den drei Wochen. Ja, vor drei Wochen war das ja noch so. Also Lukas stellt sicher, dass es nicht passiert, dass in den Datenexporten,"},{"speaker":"markus-mengs","startTime":3623.4690000000001,"endTime":3631.0459999999998,"body":"solche Problemstellungen auftauchen. Das war das Statement vor drei Wochen. Und jetzt habt ihr ja die Aspekte schon angerissen, ich sage mal."},{"speaker":"markus-mengs","startTime":3631.3890000000001,"endTime":3636.797,"body":"Jemand der mit Kommunikation zu tun hat, wird von einer Datenhebung, einer Datensenkger\u00e4ten."},{"speaker":"markus-mengs","startTime":3637.1880000000001,"endTime":3648.6410000000001,"body":"Gesundheitsamt exportiert Daten aus Luca von infizierten, die gedrehst worden sind, das sind die Daten, die rauskommen. Und irgendwer gibt Daten rein, das sind die Nutzer, die an dem System teilnehmen. Sind nur diese zwei Punkte,"},{"speaker":"markus-mengs","startTime":3648.8629999999998,"endTime":3658.1469999999999,"body":"\u00c4hm und an diesen beiden Punkten muss man sicherstellen, dass da keine Manipulation an den Daten stattfindet, die sp\u00e4ter zu was f\u00fchrt, was ich nicht m\u00f6chte."},{"speaker":"markus-mengs","startTime":3658.9589999999998,"endTime":3664.5830000000001,"body":"Das hat Luca garantiert vor drei Wochen. \u00c4hm"},{"speaker":"markus-mengs","startTime":3664.5529999999999,"endTime":3678.5239999999999,"body":"Und dann war es so, \u00e4hm da war eigentlich dieses sehr technische, technisch spezifische Szenario, dieser CSV Injektion, schon mal Thema und ich bin vom \u00e4h von der Eva Wolfgang von der Spiegel \u00e4h von der Autorin"},{"speaker":"markus-mengs","startTime":3678.4160000000002,"endTime":3681.48,"body":"von dem Zeitartikel kontaktiert worden."},{"speaker":"markus-mengs","startTime":3682.4839999999999,"endTime":3696.232,"body":"Und \u00e4h mit dem, was sie eigentlich auch schon angerissen habt, \u00e4h die hat damit angefangen, dass der Luca, wenn sie das System \u00e4h alles richtig verstanden hat, eine Datenautobahn ins Gesundheitsamt abbildet, weil der Nutzer gibt ja vorne Daten rein"},{"speaker":"markus-mengs","startTime":3696.0650000000001,"endTime":3701.3820000000001,"body":"dann ist alles verschl\u00fcsselt, die Betreiber k\u00f6nnen da nicht reingucken und erst beim Gesundheitsamt wird das dann entschl\u00fcsselt."},{"speaker":"markus-mengs","startTime":3701.8699999999999,"endTime":3711.1109999999999,"body":"Das kann man so stehen lassen, wenn das System funktioniert, ist das so. \u00c4hm und dann kam die Frage auf, ob das Gesundheitsamt denn angreifbar sei,"},{"speaker":"markus-mengs","startTime":3711.3580000000002,"endTime":3723.4960000000001,"body":"aber schon sehr konkret, ob das mittels CSV Intection geht und da habe ich gesagt, das ist f\u00fcr mich \u00e4h hypothetisch. Man kann diese Frage nicht \u00e4h belastbar beantworten. Ohne \u00e4hm,"},{"speaker":"markus-mengs","startTime":3723.6579999999999,"endTime":3734.1260000000002,"body":"Nachweis zu erbringen oder das auszuprobieren. Also das war f\u00fcr zu dem Zeitpunkt f\u00fcr mich gar kein Thema und ich h\u00e4tte mich da auch vage in meinen Aussagen erhalten und ich h\u00e4tte es auch gar nicht zitiert"},{"speaker":"markus-mengs","startTime":3734.1199999999999,"endTime":3738.9270000000001,"body":"gesehen haben wollen, bis mir die Eva Wolfe angelt dann gesagt hat, ja sie hat aber schon das Statement."},{"speaker":"markus-mengs","startTime":3739.4079999999999,"endTime":3747.6399999999999,"body":"Senior dazu \u00e4hm und das war \u00e4h in die Richtung des Mexingo gesagt hat, ja \u00e4h,"},{"speaker":"markus-mengs","startTime":3747.8270000000002,"endTime":3752.73,"body":"Wir kennen dieses Problem und wir tragen dem Rechnung mit Projekt."},{"speaker":"linus-neumann","startTime":3753.8899999999999,"endTime":3757.02,"body":"Das ist, dass ich technisch, dass es einfach nur Bullshit."},{"speaker":"markus-mengs","startTime":3757.2910000000002,"endTime":3769.8009999999999,"body":"Ja, da musste ich erstmal schlucken und \u00fcberlegen und habe gesagt, okay, eben h\u00e4tte ich noch gesagt, ich m\u00f6chte nicht in dem Artikel zitiert werden, aber jetzt kann ich auch sagen, ohne mir das Problem anzugucken, hei\u00dft das ja, erstens."},{"speaker":"markus-mengs","startTime":3770.1689999999999,"endTime":3784.0369999999998,"body":"Man hat eingestanden, dass ein Risiko besteht, \u00e4h dass Daten so durchlaufen, dass damit eine CSV Injektion m\u00f6glich ist, sonst k\u00f6nnte man, m\u00fcsse man dem nicht Rechnungen tragen mit einer Ma\u00dfnahme und die Ma\u00dfnahme ist und \u00e4h,"},{"speaker":"markus-mengs","startTime":3784.3020000000001,"endTime":3790.2620000000002,"body":"Ist ein Visualisierungsframe. Man kann es auch im Backend einsetzen, was auch immer Projekt alles kann, was es nicht,"},{"speaker":"markus-mengs","startTime":3790.4430000000002,"endTime":3801.6610000000001,"body":"Macht es, dass es ein Sicherheitsprodukt ist, was \u00e4h eingegebene Daten gegen CSV Injections filtert und \u00fcberhaupt gegen Code Injections. Wenn man vielleicht mal den Webanteil ausnimmt."},{"speaker":"linus-neumann","startTime":3801.5300000000002,"endTime":3809.4369999999999,"body":"Ich \u00fcbersetze mal die Qualit\u00e4t der Antwort ist ungef\u00e4hr so \u00e4hm wir l\u00f6sen das mit Windows. Ne, das ist irgendwie."},{"speaker":"markus-mengs","startTime":3809.1370000000002,"endTime":3817.7840000000001,"body":"Ich habe das, ich habe auch schon versucht, solche Vergleiche zu ziehen, nee, das ist besser hier auch gemacht. Ich hab's mal so gesagt, \u00e4hm."},{"speaker":"markus-mengs","startTime":3818.2170000000001,"endTime":3826.3110000000001,"body":"Auch f\u00fcr die, die mir solche Fragen gestellt haben. Ja, das ist jetzt wie wenn du f\u00fcr irgendeinen wahllos rausgegriffene Autohersteller \u00e4h behauptest,"},{"speaker":"markus-mengs","startTime":3826.2570000000001,"endTime":3837.962,"body":"Die Bremsen k\u00f6nnen da kaputt gehen. Ja, bei jedem Auto k\u00f6nnen die Bremsen kaputt gehen, diese Behauptung muss erst wertvoll, wenn du belegt hast, da ist ein besonders hohes Risiko, weil Bremsschl\u00e4uche zu d\u00fcnn oder sowas, ne? Das w\u00e4re jetzt dieses Szenario, was,"},{"speaker":"markus-mengs","startTime":3838.011,"endTime":3846.2069999999999,"body":"was hat mich \u00e4h was hat mich Eva Wolfangel da gefragt? Ja, bei jedem Auto k\u00f6nnen die Bremsen kaputt gehen, aber ich habe hier kein besonderes Risiko,"},{"speaker":"markus-mengs","startTime":3846.2910000000002,"endTime":3852.547,"body":"Jetzt sagt sie mir aber dann quasi im n\u00e4chsten Atemzug ja, aber der Hersteller hat gesagt."},{"speaker":"markus-mengs","startTime":3852.9200000000001,"endTime":3859.8110000000001,"body":"Wir wissen, dass wir zu d\u00fcnne Bremsleitungen haben, nur wenn die kaputt gehen, ist ja noch die Scheiben Waschanlage da. So."},{"speaker":"markus-mengs","startTime":3860.623,"endTime":3868.0619999999999,"body":"So so ungef\u00e4hr nur in Technik. Das war das und da habe ich nat\u00fcrlich gesagt, okay"},{"speaker":"markus-mengs","startTime":3868.0140000000001,"endTime":3878.9740000000002,"body":"Also all das, was ich jetzt sage, ist zitierf\u00e4hig und dann habe ich auch diesen Artikel gelesen und der war ja derma\u00dfen detailliert, also noch die der war ja auf Zeichenebene, ne, was f\u00fcr Zeichen verwendet man,"},{"speaker":"markus-mengs","startTime":3879.047,"endTime":3886.8339999999998,"body":"f\u00fcr eine CSV. Detaillierter als wir jetzt sprechen. Und das ist ja kein, ich sage mal Technik, Fachmagazin und."},{"speaker":"markus-mengs","startTime":3887.2669999999998,"endTime":3891.9479999999999,"body":"Es kommt halt diese angek\u00fcndigte Antwort \u00e4h \u00e4h von dem."},{"speaker":"markus-mengs","startTime":3892.73,"endTime":3904.152,"body":"Hersteller eigentlich von dem CEO, muss man sagen, von Culture For Life oder von Nexenu, von dem Patrick Henning, von dem Gesicht, was ganz vorne ansteht und der sagt, nee, \u00e4h da haben wir alles f\u00fcr Sorge getragen, das kann nicht passieren,"},{"speaker":"markus-mengs","startTime":3904.4169999999999,"endTime":3913.7370000000001,"body":"das Szenario tats\u00e4chlich Daten vom Nutzer laufen ins Gesundheitsamt durch. Die k\u00f6nnen nicht zwischendurch gefiltert werden und sind so manipuliert, dass sie da irgendwie."},{"speaker":"markus-mengs","startTime":3914.116,"endTime":3925.7130000000002,"body":"Und das ganz konkret f\u00fcr dieses Szenario CSV Injection. Und wer selbst wer das noch nie geh\u00f6rt hat und googelt mal oder sucht mal nach CSV Injection, das."},{"speaker":"markus-mengs","startTime":3926.1640000000002,"endTime":3929.7869999999998,"body":"Ist eine Tabellenkalkulation."},{"speaker":"markus-mengs","startTime":3930.6170000000002,"endTime":3938.8490000000002,"body":"Es geht um die Formeln. Das ist eigentlich Fummeler Intection, also das ist ein Excel, ne. Ich habe mir selber gar nicht angeguckt. Man kann nat\u00fcrlich auch mit diesen."},{"speaker":"markus-mengs","startTime":3939.1680000000001,"endTime":3943.8539999999998,"body":"Nutzerdaten, die da durchlaufen, auch mit angebundenen Verfahren wie oder \u00e4h,"},{"speaker":"markus-mengs","startTime":3944.0889999999999,"endTime":3957.0799999999999,"body":"was auch immer noch alles so hinten dranh\u00e4ngt, wo die Daten hingehen, spielen. Oder wenn die automatisch verarbeitet werden, ja, automatischer E-Mailversand, ja, dann kann man auch zus\u00e4tzliche E-Mail-Adressen einf\u00fcgen, wei\u00df der Geier was nicht. Also die Daten merken nicht validiert, wurden nicht."},{"speaker":"linus-neumann","startTime":3957.069,"endTime":3968.7199999999998,"body":"An dieser Stelle lohnt sich wahrscheinlich nochmal so ein kurzer \u00e4h eine kurze Erdung, wie der Tim das glaube ich immer \u00e4h auf Clubhaus nennt. Also, wenn wir von Injection reden."},{"speaker":"linus-neumann","startTime":3969.3510000000001,"endTime":3978.6770000000001,"body":"Bedeutet, dass die Daten kommen aus dem einen Kontext in den anderen und haben in dem anderen eine neue Bedeutung."},{"speaker":"linus-neumann","startTime":3979.3620000000001,"endTime":3989.241,"body":"In diesem Fall, den Markus jetzt gerade beschreibt, exportieren wir aus Luka in eine CSV-Datei,"},{"speaker":"linus-neumann","startTime":3989.4879999999998,"endTime":3997.1790000000001,"body":"dann in Excel und Excel sagt, oh, das ist eine Formel, ich greife mal aufs Internet zu. Der noch klassischere."},{"speaker":"linus-neumann","startTime":3998.1170000000002,"endTime":4011.9430000000002,"body":"Fall der Injection ist die \u00e4h SQL Injection, ne, der die in der in den Web-Anwendungen eine gro\u00dfe Rolle spielt. Da ist es zum Beispiel so, dass \u00e4h quasi."},{"speaker":"linus-neumann","startTime":4012.875,"endTime":4026.7800000000002,"body":"Also, wenn diese Schwachstelle besteht, wenn mein Nutzername oder mein Name jetzt zum Beispiel lauten w\u00fcrde, \u00e4h Anf\u00fchrungszeichen oben, Semikolon, l\u00f6sche alle Tabellen. Dann k\u00f6nnte ich so hei\u00dfen."},{"speaker":"linus-neumann","startTime":4027.1640000000002,"endTime":4040.5819999999999,"body":"Und wenn ich das jetzt an die Webanwendung gebe, gibt sie das weiter an die Datenbank und sagt, hier ist grade ein Nutzer gekommen, der hei\u00dft so und so und in dem der Befehl, den die Webanwendung dann an die Datenbank schickt."},{"speaker":"linus-neumann","startTime":4040.8890000000001,"endTime":4052.7869999999998,"body":"W\u00e4re wieder, w\u00fcrde von der Datenbank anders interpretiert werden, weil durch dieses Anf\u00fchrungszeichen oben und das Semi Colon \u00e4h und das l\u00f6sche bitte alle Tabellen. \u00c4hm"},{"speaker":"linus-neumann","startTime":4052.7150000000001,"endTime":4056.6750000000002,"body":"dass es ein valider Befehl an diese Datenbank und dass,"},{"speaker":"linus-neumann","startTime":4056.759,"endTime":4063.5729999999999,"body":"das \u00e4h das Eklige an solchen Injections ist, dass sich das, was jetzt eine kritische Bedeutung hat."},{"speaker":"linus-neumann","startTime":4064.5770000000002,"endTime":4073.77,"body":"Von Kontext zu Kontext \u00e4ndert. Und deswegen ist es zum Beispiel so so dringend \u00e4hm in"},{"speaker":"linus-neumann","startTime":4073.7289999999998,"endTime":4088.3600000000001,"body":"und in der Programmierung ist das ein riesiges Problem, immer und immer wieder, den Typ einer Variable zu bestimmen. Ja, wenn man anf\u00e4ngt zu programmieren, wundert man sich, warum ich eine Variable, zum Beispiel als \u00e4h, also als ganze Zahl"},{"speaker":"linus-neumann","startTime":4088.1799999999998,"endTime":4092.9929999999999,"body":"oder als String. \u00c4hm definieren muss"},{"speaker":"linus-neumann","startTime":4092.922,"endTime":4106.9589999999998,"body":"Aber f\u00fcr den f\u00fcr den Computer bedeutet, dass die Welt, weil die ganzen Zahlen kann ich multiplizieren und wenn ich einen String mit einer Zahl multipliziere, muss ich wissen, was damit zu tun ist. Also, der eine Wert ist in dem einen Kontext komplett,"},{"speaker":"linus-neumann","startTime":4107.0309999999999,"endTime":4111.9939999999997,"body":"ohne besondere Gefahr und in dem neuen Kontext ist er."},{"speaker":"linus-neumann","startTime":4112.9799999999996,"endTime":4120.7969999999996,"body":"Kritisch. Jetzt sind das zum Gl\u00fcck, ist das eine \u00fcberschaubare Menge an \u00e4hm Zeichen, auf die man pr\u00fcfen muss."},{"speaker":"linus-neumann","startTime":4121.8490000000002,"endTime":4125.3220000000001,"body":"Aber man muss halt das dann schon machen."},{"speaker":"markus-mengs","startTime":4125.0720000000001,"endTime":4133.7049999999999,"body":"Ja, da liegt gar net, ich wei\u00df, wo du hin willst, aber das war gar nicht so das Problem. Nur ich m\u00f6chte mal, ich finde das mit dem Kontextwechsel, das ist sehr super, aber ich glaube, ich habe noch ein einfaches Beispiel."},{"speaker":"linus-neumann","startTime":4133.5190000000002,"endTime":4136.0789999999997,"body":"Super, wenn du eine bessere Erkl\u00e4rung hast, dann gibt's die."},{"speaker":"markus-mengs","startTime":4136.6080000000002,"endTime":4146.3779999999997,"body":"Kenn das noch von von ja von den von den Simpsons von den Simpsons. Fr\u00fcher kenne ich das noch, ne? \u00c4hm du wei\u00dft \u00e4h du hast diese Bar, wo du anrufst."},{"speaker":"markus-mengs","startTime":4146.8649999999998,"endTime":4150.3860000000004,"body":"Fragst du noch irgendeinen Namen und jetzt rufst du an und sagst."},{"speaker":"markus-mengs","startTime":4150.8969999999999,"endTime":4162.692,"body":"Fragst nach ja? In in deinem Kontext oder in dem Kontext des Anrufes hat Reinsch keine Bedeutung, aber du wei\u00dft in dem neuen Kontext, was da draus wird, weil der Barkeeper fragt, dann kennst du jemanden, der reinschei\u00dft. Genau, das ist."},{"speaker":"markus-mengs","startTime":4163.1199999999999,"endTime":4167.0249999999996,"body":"Eigentlich eine gute Analogie dazu, was du gerade sagst zu dem Kontextwechsel."},{"speaker":"linus-neumann","startTime":4167.1940000000004,"endTime":4169.3270000000002,"body":"Die finde ich sehr viel besser als meine."},{"speaker":"markus-mengs","startTime":4169.6099999999997,"endTime":4182.0060000000003,"body":"Ja sie ist kurz aber die \u00e4h ja aber das ist \u00e4h das ist der Kern der Sache, klar. Weil \u00e4h f\u00fcr diese ganze jetzt gezeigte Video hei\u00dft das, wenn du \u00e4hm."},{"speaker":"markus-mengs","startTime":4182.5230000000001,"endTime":4192.4080000000004,"body":"Mit Nachnamen, Addierefeld eins plus mit Feld zwei hei\u00dft, ja, dann versteht da Excel was anderes drunter, als dass das dein Name ist, sondern das wird zwei Felder addieren."},{"speaker":"markus-mengs","startTime":4192.7619999999997,"endTime":4201.1499999999996,"body":"Und wenn da halt na also das ist der Kontextwechsel, den du beschreibst und ja ich habe ja vorhin schon mal gesagt, die Formeln k\u00f6nnen mehr."},{"speaker":"tim-pritlove","startTime":4201.4629999999997,"endTime":4211.6419999999998,"body":"So Jungs, ihr \u00e4h habt bisher \u00e4h komplett \u00e4h vergessen, mal Big Picture nochmal \u00e4h zu ber\u00fccksichtigen. Was passiert eigentlich? Also."},{"speaker":"tim-pritlove","startTime":4212.7120000000004,"endTime":4218.2640000000001,"body":"Daten sollen \u00fcbernommen werden vom Gesundheitsamt. Gesundheitsamt l\u00e4dt Daten runter,"},{"speaker":"tim-pritlove","startTime":4218.4390000000003,"endTime":4223.7690000000002,"body":"System und normalerweise stehen Name."},{"speaker":"tim-pritlove","startTime":4224.2560000000003,"endTime":4237.2470000000003,"body":"Vorname, Name, Adresse, Telefonnummer, E-Mail-Adresse. Das ist das eigentliche Ziel. Das ist das, was normalerweise passieren soll. Und das geht so lange gut, wie in diesen Daten, die da ankommen. Hoffentlich genau das drinsteht."},{"speaker":"tim-pritlove","startTime":4237.1999999999998,"endTime":4243.1419999999998,"body":"Wenn es jetzt einen Weg gibt, dort b\u00f6ses Zeug reinzuschreiben,"},{"speaker":"tim-pritlove","startTime":4243.2799999999997,"endTime":4250.0349999999999,"body":"Wie zum Beispiel, dass nun hier in aller Bandbreite \u00e4h \u00e4h erl\u00e4uterte \u00e4h Modell von"},{"speaker":"tim-pritlove","startTime":4249.9930000000004,"endTime":4264.1559999999999,"body":"Formeln, Anweisung quasi f\u00fcr Excel, die dazu f\u00fchren, dass Daten auf einmal von einer ganz anderen Quelle aus dem Internet n\u00e4mlich \u00e4h herangezogen und dann im schlimmsten Fall auch noch ausgef\u00fchrt werden"},{"speaker":"tim-pritlove","startTime":4264.0119999999997,"endTime":4272.46,"body":"dann w\u00e4re das schlimm. Das kann aber nur dann schlimm sein, wenn diese Daten tats\u00e4chlich auch schlimmen Inhalt haben k\u00f6nnen."},{"speaker":"tim-pritlove","startTime":4272.665,"endTime":4274.4430000000002,"body":"Dann stellt sich doch die Frage,"},{"speaker":"tim-pritlove","startTime":4274.6180000000004,"endTime":4283.4089999999997,"body":"Wie k\u00f6nnen denn diese Daten \u00fcberhaupt schlimmen Inhalt haben? Wo kommt denn dieser schlimme Inhalt \u00fcberhaupt her? Weil das sind doch alles Daten, die Leute auf ihren Apps eingeben."},{"speaker":"tim-pritlove","startTime":4283.9499999999998,"endTime":4288.1379999999999,"body":"Sind doch gerade b\u00f6sen Menschen. Die wollen doch nur, die wollen auch nur in die Au\u00dfengastronomie."},{"speaker":"markus-mengs","startTime":4288.451,"endTime":4295.8180000000002,"body":"Ja, da da bist du ganz schnell bei der Tragweite, also f\u00fcr das Big Pactcher, wenn man sich ein St\u00fcck zur\u00fccklehnt, muss man nat\u00fcrlich erstmal sagen."},{"speaker":"markus-mengs","startTime":4296.7380000000003,"endTime":4305.1729999999998,"body":"Dass man sich in dem Video nicht gezeigt hat, ganz kurz mit erl\u00e4utern, wie fragt das Gesundheitsamt ab, dass du Gesundheitsamt fragt, ja einen Einzelnutzer ab,"},{"speaker":"markus-mengs","startTime":4305.2160000000003,"endTime":4310.7439999999997,"body":"und zwar einen mit dem schon im Kontakt steht, weil der wahrscheinlich infiziert ist, \u00e4h tauscht mit denen."},{"speaker":"markus-mengs","startTime":4311.4229999999998,"endTime":4322.1130000000003,"body":"Dann eine Tarn aus, um sei \u00e4h \u00fcber Luca die Locationhistorie von diesem Nutzer wieder herzustellen. Das habe ich in dem Video alles unterschlagen, ne, weil \u00e4h dass der Prozess"},{"speaker":"markus-mengs","startTime":4321.9160000000002,"endTime":4330.6040000000003,"body":"Das hei\u00dft, \u00e4h das Gesundheitsamt bekommt getan, guckt dann in sein Frontend und sieht jetzt die Daten dieses einen Nutzers und wo ist der gewesen?"},{"speaker":"markus-mengs","startTime":4331.5060000000003,"endTime":4343.3249999999998,"body":"In meinem Beispiel hie\u00df das ja glaube ich Bar Lounge oder so, es k\u00f6nnen nat\u00fcrlich mehrere Locations sein und jetzt kommt diese doppelt Verschl\u00fcsselung, die immer beworben wird. Jetzt muss das Gesundheitsamt jede Location anfragen"},{"speaker":"markus-mengs","startTime":4343.2359999999999,"endTime":4349.9589999999998,"body":"Gibst du mir mal bitte \u00e4h \u00e4hm die Check-In-Daten der restlichen G\u00e4ste, die zum Zeitpunkt."},{"speaker":"markus-mengs","startTime":4350.7950000000001,"endTime":4358.7269999999999,"body":"Dem Zeitpunkt da waren, wo der Nutzer da war, den ich gerade trac. Und das sind dann quasi die Kontaktlisten, also das Gesundheitsamt geht von einem Nutzer aus,"},{"speaker":"markus-mengs","startTime":4358.835,"endTime":4370.21,"body":"Ist auch f\u00fcr einen Angreifer nicht so interessant und holt sich dann von vielen Leuten die Kontaktdaten anhand von G\u00e4stelisten, also von Locations, wo die gerade eingecheckt waren, da m\u00fcssen die Locations auch zustimmen."},{"speaker":"markus-mengs","startTime":4370.8649999999998,"endTime":4375.7979999999998,"body":"So und da bist du dann bei dem, \u00e4h wenn das Gesundheitsamt diese Daten"},{"speaker":"markus-mengs","startTime":4375.7749999999996,"endTime":4386.0129999999999,"body":"einsehen will in dem Webfronten entziehen die nur ein Bruchteil, ja? Das sind zum Beispiel die Adressen nicht dabei, da m\u00fcssen irgendwie die Daten exportiert werden, damit du zum Beispiel Stra\u00dfe, Hausnummer und so weiter siehst."},{"speaker":"markus-mengs","startTime":4385.7799999999997,"endTime":4393.7179999999998,"body":"In was f\u00fcr einem Format auch immer, wenn's dann CSV ist und da zwei von den drei Exportformaten sind CSV, dann kann man dann Chartcode,"},{"speaker":"markus-mengs","startTime":4393.9219999999996,"endTime":4400.9579999999996,"body":"Ausf\u00fchrung ausl\u00f6sen und zwar genau, wenn einer ein einziger dieser Nutzer, die in dieser gesamten Datenlage"},{"speaker":"markus-mengs","startTime":4400.9399999999996,"endTime":4410.3919999999998,"body":"auftauchen, die das Gesundheitsamt da erzeugt, in seine Kontaktdaten solchen Chartcode eingegeben hat, weil diese Entschl\u00fcsselung."},{"speaker":"markus-mengs","startTime":4410.9939999999997,"endTime":4422.6809999999996,"body":"Mit den in Zusammenarbeit mit der Location und in Zusammenarbeit mit dem Nutzer, der getracet wird, findet alles lokal auf der Seite des Gesundheitsamtes statt. Man sieht das zwar noch"},{"speaker":"markus-mengs","startTime":4422.5680000000002,"endTime":4426.2389999999996,"body":"in \u00e4h der Webaplikation, aber das l\u00e4uft lokal auf den Rechner."},{"speaker":"tim-pritlove","startTime":4426.8280000000004,"endTime":4439.8670000000002,"body":"Also wenn ich dich richtig verstehe, ist es \u00e4h Angriffsszenario, was du jetzt beschrieben hast und wir m\u00fcssen das \u00e4h auch jetzt, ich musste jetzt mal kurz mal von A bis Z mal \u00e4h vorstellen, weil ich glaube, wir sind irgendwie \u00e4h \u00e4h verfangen uns immer wieder in den Details."},{"speaker":"tim-pritlove","startTime":4440.3360000000002,"endTime":4448.1959999999999,"body":"Der Angriff erfolgt auf diese Daten\u00fcbergabe. Das ist sozusagen der Punkt, der jetzt hier \u00e4h,"},{"speaker":"tim-pritlove","startTime":4448.3760000000002,"endTime":4452.384,"body":"die eigentliche Schwachstelle im System darstellt."},{"speaker":"tim-pritlove","startTime":4453.0810000000001,"endTime":4461.5,"body":"Und das Ganze ist in dem Moment \u00e4h kann es erfolgreich sein, wenn man die M\u00f6glichkeit hat,"},{"speaker":"tim-pritlove","startTime":4461.6689999999999,"endTime":4467.6170000000002,"body":"Eingabedaten gezielt zu ver\u00e4ndern. Und das bedeutet ja, wenn ich das richtig verstehe,"},{"speaker":"tim-pritlove","startTime":4467.6360000000004,"endTime":4474.8459999999995,"body":"man hier sozusagen einen User irgendwo mit eincheckt und dessen Daten, die man dann letzten Endes verschl\u00fcsselt, ablegt,"},{"speaker":"tim-pritlove","startTime":4474.9120000000003,"endTime":4484.5320000000002,"body":"Lukas System sind irgendwie modifiziert, weil sie m\u00fcssen ja diese Daten, da muss man ja irgendwie ran und die einzige M\u00f6glichkeit, da ranzugehen ist ja die App. So,"},{"speaker":"tim-pritlove","startTime":4484.5810000000001,"endTime":4495.5169999999998,"body":"Das, das ist sozusagen der Angriff, der hier \u00e4h erfolgt. Die Wirkung, die du in deinem Video gezeigt hast, die m\u00fcssen wir auch noch erw\u00e4hnen, ist die Daten werden modifiziert."},{"speaker":"tim-pritlove","startTime":4495.9319999999998,"endTime":4501.1660000000002,"body":"Auf, nutzen eben dieses hier jetzt vorgestellte System mit diesen Formeln."},{"speaker":"tim-pritlove","startTime":4501.8329999999996,"endTime":4509.759,"body":"Und bringen in dem Moment, wo der Mitarbeiter des Gesundheitsamt diese Daten exportiert und \u00f6ffnet,"},{"speaker":"tim-pritlove","startTime":4509.8370000000004,"endTime":4517.384,"body":"und das muss man dazu sagen, auch nochmal zwei Wahndialoge einfach, na ja, \u00fcbergeht"},{"speaker":"tim-pritlove","startTime":4517.2700000000004,"endTime":4526.2600000000002,"body":"Ja, einfach sagst du, ja, mir doch egal was, da jetzt in diesem Fenster steht, ich muss jetzt hier so lange Return dr\u00fccken, bis bis die Tabelle hochkommt, so bin ich das gewohnt, ne? Das ist ja so das"},{"speaker":"tim-pritlove","startTime":4526.0730000000003,"endTime":4534.4499999999998,"body":"typische Nutzerverhalten. In dem Moment k\u00f6nnte ja \u00e4h das B\u00f6se auch noch aufgehalten werden. Wird es aber dann nicht"},{"speaker":"tim-pritlove","startTime":4534.4080000000004,"endTime":4548.8710000000001,"body":"Dass es durchaus ein realistisches Szenario, das wissen wir einfach, dass Leute das dann einfach tun, weil sie das normalerweise nie sehen. Ist nat\u00fcrlich auch nicht geschult bekommen haben und die wollen irgendwie an die Daten ran. Und sie sind vollkommen gewohnt, das Windowsprogramme"},{"speaker":"tim-pritlove","startTime":4548.6980000000003,"endTime":4558.3779999999997,"body":"immer irgendwelche komischen Dialoge aufpoppen lassen und noch irgendwelche haben wollen, bevor sie dann endlich mal was sinnvolles f\u00fcr einen tun. Und"},{"speaker":"tim-pritlove","startTime":4558.3000000000002,"endTime":4567.2709999999997,"body":"diese modifizierten Daten f\u00fchren dann dazu, dass Excel die Daten einliest, interpretiert."},{"speaker":"tim-pritlove","startTime":4567.5600000000004,"endTime":4573.4369999999999,"body":"Code drin steht, der \u00e4h das Herunterladen eines externen Programms,"},{"speaker":"tim-pritlove","startTime":4573.5450000000001,"endTime":4582.2579999999998,"body":"und das Ausf\u00fchren dieses Programms auf dem Computer bewirkt und dein Beispiel, was du dann in dem Video genannt hast, ist das"},{"speaker":"tim-pritlove","startTime":4582.1559999999999,"endTime":4591.6499999999996,"body":"kommt also eine Software, die den Rechner verschl\u00fcsselt und Fenster aufmacht und sagt, ja, das war's dann jetzt hier mit den Daten jetzt mal her mit dem Bitcoin, sonst \u00e4h"},{"speaker":"tim-pritlove","startTime":4591.5600000000004,"endTime":4592.96,"body":"kriegt er die nie wieder."},{"speaker":"markus-mengs","startTime":4593.7179999999998,"endTime":4597.9780000000001,"body":"Ja, in einem realistischen Szenario w\u00fcrde da gar nichts passieren, weil \u00e4hm."},{"speaker":"markus-mengs","startTime":4598.4040000000005,"endTime":4607.6099999999997,"body":"Das ist ja eine Demo gewesen, um das ein bisschen plakativ zu machen. Die normalen Demos, da poppt der Taschenrechner auf, um zu wissen, man kann beliebig Sachen ausf\u00fchren,"},{"speaker":"markus-mengs","startTime":4607.8389999999999,"endTime":4609.9409999999998,"body":"in einem tats\u00e4chlichen Angriff"},{"speaker":"markus-mengs","startTime":4609.8459999999995,"endTime":4623.366,"body":"f\u00fcr diesen einen Sweat Actor, der schnell Geld verdienen will, ist das realistisch, dass da eine Verschl\u00fcsselung stattfindet. Das w\u00fcrde nur so aussehen, dass nicht nach einer Sekunde diese Meldung hochpuppt, sondern erst, wenn die Daten auch alle verschl\u00fcsselt sind und es dann zu sp\u00e4t"},{"speaker":"markus-mengs","startTime":4623.2219999999998,"endTime":4628.6000000000004,"body":"ist. Oder du hast halt einen also ein ein Angreifer"},{"speaker":"markus-mengs","startTime":4628.5640000000003,"endTime":4637.71,"body":"sagt, ah, ich bin mir sehr bewusst, was ich f\u00fcr ein System da angreife, da m\u00f6chte ich nicht schnell Geld rausquetschen, sondern viele Informationen, dann wirst du gar nichts sehen, weil das erste, was der macht, ist, der wei\u00df"},{"speaker":"markus-mengs","startTime":4637.6679999999997,"endTime":4639.5240000000003,"body":"Dieser Angriff \u00fcber Excel"},{"speaker":"markus-mengs","startTime":4639.3990000000003,"endTime":4652.8220000000001,"body":"wird fr\u00fcher oder sp\u00e4ter erkannt, wahrscheinlich eher fr\u00fcher, also wird er sich versuchen im System zu verstecken, einen zus\u00e4tzlichen Zugang zu schaffen, dann auf andere Systeme \u00fcberzugehen, damit er m\u00f6glichst lange, m\u00f6glichst unerkannt,"},{"speaker":"markus-mengs","startTime":4653.0209999999997,"endTime":4665.2790000000005,"body":"viele Informationen daraus ziehen kann und gegebenenfalls auch manipulieren kann. Da wird in Excel nicht mehr als die Fehlermeldung erscheinen. Dann sieht man die der Daten und dann wird ganz langsam dieses Gesamtsystem infiziert. Das ist eigentlich eher"},{"speaker":"markus-mengs","startTime":4665.1959999999999,"endTime":4672.8019999999997,"body":"das ist wahrscheinlich eher das was realistisch ist, was da passiert."},{"speaker":"markus-mengs","startTime":4673.5240000000003,"endTime":4681.2089999999998,"body":"Weil die Sachen, ich denke mal, \u00e4h da muss man auch realistisch bleiben, \u00e4h wenn man wenn man jetzt nicht davon aus, wenn man"},{"speaker":"markus-mengs","startTime":4681.1009999999997,"endTime":4688.8289999999997,"body":"ausgeht davon, dass sie auf Profit ausgelegt sind, dann sind die auf Masse ausgelegt und dann nimmt man sich nicht so einen spezifischen Vektor wie f\u00fcr dieses Gesundheitsamt,"},{"speaker":"markus-mengs","startTime":4688.9610000000002,"endTime":4700.3720000000003,"body":"Ist ein klassischer Vektor. Hei\u00dft nicht, dass das nicht geht. Und \u00e4h auch nicht, wenn wir reden ja immer nur \u00fcber Cybercrime. Meistens im Hintergrund, die wollen schnell Geld verdienen und nicht."},{"speaker":"markus-mengs","startTime":4700.7690000000002,"endTime":4706.6329999999998,"body":"\u00c4h viele Daten ausleiten, aber es gibt halt verschiedene Akteure und verschiedene Szenarien. Das muss man auf der."},{"speaker":"markus-mengs","startTime":4707.1090000000004,"endTime":4715.5690000000004,"body":"Auswirkungsseite sagen, bei dem Input muss man sagen, \u00e4h wir haben's jetzt sehr verkompliziert. Eigentlich ist es so einfach \u00e4hm,"},{"speaker":"markus-mengs","startTime":4715.6899999999996,"endTime":4725.04,"body":"Du bist der Nutzer, du kannst als Name Schadcode in deinen Namen eintragen, Luca filtert das nicht und irgendwann ruft das Gesundheitsamt eine Kontaktliste ab, wo dein Name draufsteht."},{"speaker":"markus-mengs","startTime":4725.6589999999997,"endTime":4734.4499999999998,"body":"Aber wenn es den Namen liest, indem du eingef\u00fcgt hast, wird das schon ausgef\u00fchrt. \u00c4h wollte ich schon fast sagen."},{"speaker":"markus-mengs","startTime":4735.5200000000004,"endTime":4741.348,"body":"Weil \u00e4h im Prinzip, ich hab's nicht so getestet, aber jeder Nutzer, ich habe nicht den, ich habe"},{"speaker":"markus-mengs","startTime":4741.1980000000003,"endTime":4754.3630000000003,"body":"nur nicht den Namen mit Chart-Code hinterlegt aus einem ganz einfachen Grund, dann h\u00e4tte ich im Video den Chartcode selber zeigen m\u00fcssen. Deswegen habe ich ein anderes Nutzerdatum genommen. Bei mir lag der Schadcode in der \u00e4h Postleitzahl, wenn ich's jetzt richtig im Kopf habe"},{"speaker":"markus-mengs","startTime":4754.2200000000003,"endTime":4763.576,"body":"\u00e4h was eigentlich eine f\u00fcnfstellige Ziffer ist. Bei Luka kann's auch sein. Alleine das ist schon bemerkenswert, weil das k\u00f6nnte man sehr einfach filtern,"},{"speaker":"markus-mengs","startTime":4763.6840000000002,"endTime":4772.6679999999997,"body":"\u00e4hm und jetzt hast du aber nicht das Risiko nur, dass ein Mensch das macht und sagt, ey ich bin der B\u00f6se, sondern \u00e4h du kannst,"},{"speaker":"markus-mengs","startTime":4772.9080000000004,"endTime":4786.5540000000001,"body":"Beliebig viele Nutzer anlegen, weil die \u00e4h Telefonnummern, Zertifizierung noch nicht l\u00e4uft, du kannst beliebig viele Nutzer mit viel Chartcode in beliebig vielen Kontaktdaten hinterlegen. Und die Wahrscheinlichkeit, ein Gesundheitsamt zu treffen."},{"speaker":"markus-mengs","startTime":4786.9629999999997,"endTime":4795.2430000000004,"body":"\u00c4h steigerst du damit, dass du die in sehr, sehr, sehr viele Locations eincheckst. Weil du kannst auch einen Nutzer parallel in mehrere Locations einchecken."},{"speaker":"markus-mengs","startTime":4795.4840000000004,"endTime":4802.058,"body":"Und irgendwann wird ein Gesundheitsamt eine Location abfragen und dann taucht einer von deinen Schadcode behafteten Nutzern mit auf und das,"},{"speaker":"markus-mengs","startTime":4802.25,"endTime":4814.268,"body":"steigert die Wahrscheinlichkeit, dass du so einen Angriff platzieren kannst, nat\u00fcrlich dramatisch. Und je mehr von diesen Angriffen du platzierst, umso h\u00f6her ist die Wahrscheinlichkeit, dass ein Mitarbeiter in einem Gesundheitsamt so eine Warnmeldung wegklickt."},{"speaker":"markus-mengs","startTime":4814.5990000000002,"endTime":4821.7730000000001,"body":"Und dann muss man den Impakt hinten sehen, klickt die einer weg. Das ist wie bei Phishing. Es reicht einer, weil du hast dann Systemzugriff,"},{"speaker":"markus-mengs","startTime":4821.8819999999996,"endTime":4826.1480000000001,"body":"Ob das dann noch einer macht, brauchte ich gar nicht mehr interessieren, weil du kannst dann schon mit dem System arbeiten."},{"speaker":"markus-mengs","startTime":4826.4610000000002,"endTime":4837.1199999999999,"body":"Ob du da jetzt die Daten aus dieser Excel Tabelle von dem einen kontaktracing abgreifst, das ist eigentlich auch egal, weil du kannst dich da einisten und \u00e4h auch auf Luca greifst du \u00e4h,"},{"speaker":"markus-mengs","startTime":4837.2470000000003,"endTime":4849.0550000000003,"body":"von dem Gesundheitsamt Mitarbeiter zu und wir wissen auch, dass Luka \u00e4h es gibt auch keine Trennung mehr, nach Zust\u00e4ndigkeiten der Gesundheits\u00e4mter, weil alle Gesundheits\u00e4mter \u00e4h nutzen die gleichen Schl\u00fcssel,"},{"speaker":"markus-mengs","startTime":4849.1689999999999,"endTime":4851.1400000000003,"body":"in dem System zum Datenzugriff."},{"speaker":"markus-mengs","startTime":4851.8310000000001,"endTime":4861.1989999999996,"body":"Und also alleine was diese Fachanwendung Luca betrifft hast du dann eigentlich Zugriff auf alles. Wenn dir ein so ein Angriff gelingt und du kannst den sehr, sehr,"},{"speaker":"markus-mengs","startTime":4861.308,"endTime":4868.1629999999996,"body":"breit platzieren, um die Wahrscheinlichkeit zu erh\u00f6hen, dass du triffst. Und das ist das, \u00e4h, was da eigentlich dahinter steht."},{"speaker":"tim-pritlove","startTime":4867.8630000000003,"endTime":4873.7520000000004,"body":"Okay, also halten wir fest, wenn erstmal b\u00f6se Daten weit gestreut sind"},{"speaker":"tim-pritlove","startTime":4873.6859999999997,"endTime":4883.625,"body":"ist es \u00e4h eigentlich nur noch \u00e4hm durch ein besseres Filtern der Daten bei der \u00dcbergabe \u00e4h zu retten,"},{"speaker":"tim-pritlove","startTime":4883.6909999999998,"endTime":4897.6499999999996,"body":"Das ist etwas, was jetzt auch nachtr\u00e4glich von Luca noch gemacht werden kann. Das ist auch, sagen wir mal, von der Komplexit\u00e4t her jetzt nicht so, dass man sagen w\u00fcrde, das ist jetzt unm\u00f6glich, das zu verhindern. Es ist halt einfach nur so eine weitere Nachl\u00e4ssigkeit"},{"speaker":"tim-pritlove","startTime":4897.5240000000003,"endTime":4901.46,"body":"von so einem Ding, wo man sagen w\u00fcrde"},{"speaker":"tim-pritlove","startTime":4901.3879999999999,"endTime":4914.9380000000001,"body":"Heutzutage sichere Programmierung im Internet geh\u00f6rt einfach so ein Sanity-Check, so ein so ein so eine so eine so eine Gesundheits\u00fcberpr\u00fcfung von Daten und das \u00e4h sicherstellen, dass die Daten auch in der Form,"},{"speaker":"tim-pritlove","startTime":4914.9989999999998,"endTime":4923.9399999999996,"body":"und in der Art pr\u00e4sentiert werden, wie sie erwartet werden. Das geh\u00f6rt einfach dazu, ja. Fr\u00fcher gab's ja mal im Internet dieses."},{"speaker":"tim-pritlove","startTime":4924.4210000000003,"endTime":4933.0079999999998,"body":"Etwas \u00e4h zu optimistische Idiom, man solle doch \u00e4hm bei Software immer sehr st,"},{"speaker":"tim-pritlove","startTime":4933.1099999999997,"endTime":4941.2280000000001,"body":"darin sein, was man sendet, aber man sollte sehr offen sein mit dem, was man \u00e4h empf\u00e4ngt. Das ist in gewisser Hinsicht"},{"speaker":"tim-pritlove","startTime":4941.0659999999998,"endTime":4953.402,"body":"gut gemeint, also nach dem Motto, naja, wenn's mal einer falsch macht und so, dann dann lassen wir es \u00e4h \u00e4h lassen wir auch Abweichungen zu. Das f\u00fchrt aber dann dazu, dass eben dann solche \u00e4h b\u00f6sartigen Atta,"},{"speaker":"tim-pritlove","startTime":4953.4750000000004,"endTime":4966.2380000000003,"body":"nicht korrekt erkannt werden, ne. Tats\u00e4chlich \u00e4h sollte man extrem strikt sein in dem, was man \u00e4h akzeptiert, weil dann werden sich die Sender schon auch irgendwann danach \u00e4h richten. In diesem Fall aber liefert ja quasi"},{"speaker":"tim-pritlove","startTime":4966.076,"endTime":4968.2920000000004,"body":"Luca seine eigenen Daten aus"},{"speaker":"tim-pritlove","startTime":4968.143,"endTime":4976.6869999999999,"body":"und \u00e4h die Eingaben der User nicht ansatzweise zu \u00fcberpr\u00fcfen, dass sie auch in einer Form kommen, wie es gedacht ist"},{"speaker":"tim-pritlove","startTime":4976.6400000000003,"endTime":4987.348,"body":"Und dabei sogar noch zu erlauben, so den die Daten zu anzupassen, dass sie auf der anderen Seite so ein Excel in so einem Windowssystem springen. Das ist schon ziemlich \u00e4h harter Tobak,"},{"speaker":"tim-pritlove","startTime":4987.4620000000004,"endTime":4998.4160000000002,"body":"wenn sie wollen, k\u00f6nnen sie das Problem schnell l\u00f6sen, aber das Problem ist einfach nur, dass dass man sogar sowas \u00e4h noch entdecken muss, obwohl schon wochenlang \u00fcber Sicherheit dieses Systems diskutiert wird."},{"speaker":"linus-neumann","startTime":4998.3149999999996,"endTime":5009.7910000000002,"body":"Spezifisch \u00fcber dieses eine Angriffsszenario, ja, also \u00e4h \u00e4hm ich habe ich werde auch, glaube ich, in einem Zeit Onlineartikel damit zitiert, zu sagen, so das zu fixen."},{"speaker":"linus-neumann","startTime":5011.0410000000002,"endTime":5017.5429999999997,"body":"Dauert Minuten. Dauert eine Stunde. Insbesondere, wenn du jetzt wei\u00dft, was sind denn die gef\u00e4hrlichen."},{"speaker":"linus-neumann","startTime":5018.0240000000003,"endTime":5029.8500000000004,"body":"Zeichen im Zielsystem. Bei Excel in dem Fall ist das halt, ich meine, das m\u00fcsste es m\u00fcsste gr\u00f6\u00dftenteils erledigt sein, wenn du sagst, wir akzeptieren keine Gleichheitszeichen,"},{"speaker":"linus-neumann","startTime":5030.0900000000001,"endTime":5039.4759999999997,"body":"in der Postleitzahl, keine Klammern und keine Anf\u00fchrungszeichen, ne? Das ist jetzt nicht irgendeine irgendeine irre Magie. Du musst nat\u00fcrlich wissen,"},{"speaker":"linus-neumann","startTime":5039.951,"endTime":5047.2820000000002,"body":"Was sind die potenziell gef\u00e4hrlichen Zeichen \u00e4h in dem System, wo es nachher ausgespielt wird?"},{"speaker":"linus-neumann","startTime":5047.9610000000002,"endTime":5055.7600000000002,"body":"Aber ne, die die sind, das ist eigentlich ganz lustig, das wei\u00dft du ja auch, Tim und \u00e4h f\u00fcr die H\u00f6rerin leuchtet's auch ein,"},{"speaker":"linus-neumann","startTime":5055.9480000000003,"endTime":5068.6620000000003,"body":"in den Programmiersprachen und in den in den verschiedenen Kontexten sind es denn h\u00e4ufig Zeichen, die auf der amerikanischen Tastatur relativ einfach zu tippen sind,"},{"speaker":"linus-neumann","startTime":5068.9089999999997,"endTime":5081.1369999999997,"body":"und vielleicht nicht ganz so h\u00e4ufig in normalen Kontexten. Ne? Und \u00e4h deswegen ist halt das Gleichheitszeichen bei Excel \u00e4h das naheliegende Ding, weil es irgendwie symbolisiert,"},{"speaker":"linus-neumann","startTime":5081.1800000000003,"endTime":5087.4040000000005,"body":"in diesem Feld soll etwas anderes stehen, als was ich hier schreibe, n\u00e4mlich gleich und,"},{"speaker":"linus-neumann","startTime":5087.567,"endTime":5096.9290000000001,"body":"niemand rechnet mit dem Gleichheitszeichen als und damit ist es halt der der geeignete Escape Charakter. Und,"},{"speaker":"linus-neumann","startTime":5097.1030000000001,"endTime":5104.3559999999998,"body":"den zu filtern, das ist eben jeder Programmiererin innerhalb von drei Wochen m\u00f6glich."},{"speaker":"linus-neumann","startTime":5104.9459999999999,"endTime":5113.0450000000001,"body":"Hat \u00e4h in diesem Fall vor drei Wochen eben sehr viel mehr Zeit darauf verwendet, die Schwachstelle zu leugnen."},{"speaker":"linus-neumann","startTime":5114.1629999999996,"endTime":5128.4040000000005,"body":"Als sie einfach zu fixen und drei Wochen sp\u00e4ter war es dann soweit, dass Markus irgendwie in seiner Freizeit mal kurz einen Proof of Concept fertig hatte, der zeigte so, hier so schl\u00e4gt das durch. Wenn man keinerlei."},{"speaker":"linus-neumann","startTime":5129.4499999999998,"endTime":5131.6369999999997,"body":"\u00c4h macht."},{"speaker":"linus-neumann","startTime":5133.0730000000003,"endTime":5143.0839999999998,"body":"Und das ist denke ich auch das das Krasse hier und dass sie eben, ne, das wurde breit in der \u00d6ffentlichkeit diskutiert. \u00dcbrigens, kannst du reinschreiben, was du willst?"},{"speaker":"linus-neumann","startTime":5143.4629999999997,"endTime":5147.3329999999996,"body":"Kommt raus, was du willst. Wird, du wirst keine Filter umgehen."},{"speaker":"markus-mengs","startTime":5147.6940000000004,"endTime":5153.8770000000004,"body":"Es war ja eigentlich sogar noch ein bisschen schlimmer, muss man ja sagen. Ich w\u00fcsste jetzt nicht auf das Zeichen daf\u00fcr runterbrechen, aber es gab ja."},{"speaker":"markus-mengs","startTime":5154.6170000000002,"endTime":5159.2790000000005,"body":"Artikel ist vor drei Wochen ver\u00f6ffentlicht worden, der das Problem konkret behandelt hat,"},{"speaker":"markus-mengs","startTime":5159.3810000000003,"endTime":5170.7860000000001,"body":"und in dem Artikel stand wie Nex Senior dieses Problem negiert hat mit der, ich sage mal mit der Aussage, ob die jetzt richtig oder falsch waren die Ma\u00dfnahmen, die sie getroffen haben, aber wir haben Ma\u00dfnahmen getroffen. \u00c4hm,"},{"speaker":"markus-mengs","startTime":5171.0330000000004,"endTime":5174.1580000000004,"body":"Ma\u00dfnahmen, es gab einen Tag \u00e4h."},{"speaker":"markus-mengs","startTime":5174.5789999999997,"endTime":5184.0119999999997,"body":"Ich glaube, einen Tag bevor der Artikel ver\u00f6ffentlicht wurde, \u00e4h gab's einen Commit, also eine eine ein Update vom Code, in dem Repositor, wo \u00e4hm."},{"speaker":"markus-mengs","startTime":5184.643,"endTime":5191.5780000000004,"body":"Genau daf\u00fcr Ma\u00dfnahmen getroffen worden, f\u00fcr das, was dann in dem Artikel stand, weil die Presseanfrage war nat\u00fcrlich etwas vorher, die war ja nicht."},{"speaker":"linus-neumann","startTime":5191.3680000000004,"endTime":5193.0799999999999,"body":"Sie haben's noch versucht."},{"speaker":"markus-mengs","startTime":5192.7799999999997,"endTime":5199.8519999999999,"body":"Eigentlich ist die Zeitlinie so gewesen, die Presse fragt was an, habt ihr das Problem? \u00c4h nee, haben wir nicht."},{"speaker":"markus-mengs","startTime":5200.2250000000004,"endTime":5210.1580000000004,"body":"Ein Tag sp\u00e4ter kommt der Patch, um dieses diesem Problem zu begegnen und dann kommt der Artikel, in dem drinnen steht, nein, das Problem besteht nicht, weil wir haben die und die Ma\u00dfnahmen umgesetzt, die erst kurz vorher nachgepatcht wurden."},{"speaker":"markus-mengs","startTime":5210.9880000000003,"endTime":5222.1819999999998,"body":"Und \u00e4hm das ist eigentlich f\u00fcr mich was ganz gravierendes gewesen. Ich habe mich gar nicht so an diesen wann ist, was passiert aufgeh\u00e4ngt, sondern \u00e4h dadurch ist mir nat\u00fcrlich der genaue."},{"speaker":"markus-mengs","startTime":5222.585,"endTime":5230.8230000000003,"body":"Genaue Mechanismus aufgefallen, mit dem da gefiltert werden soll, so und jetzt hat Linus einzelne Zeichen erkl\u00e4rt, ja, das kann man auf dem Level denken. \u00c4hm"},{"speaker":"markus-mengs","startTime":5230.8109999999997,"endTime":5237.9799999999996,"body":"Man kann ja nur sagen, okay, ich habe ein Risiko, dass das passiert, da muss ich irgendeinen Filter einbauen und irgendwas machen. Wenn ich ein \u00e4h IT-System,"},{"speaker":"markus-mengs","startTime":5237.9920000000002,"endTime":5243.04,"body":"oder betreiben will, \u00e4h wo ich sagen muss, \u00e4h die Verf\u00fcgbarkeit, ja, die hat,"},{"speaker":"markus-mengs","startTime":5243.1719999999996,"endTime":5257.3230000000003,"body":"die muss hoch sein, die Vertraulichkeit, die muss hoch sein, da habe ich ganz hohe Schutzziele, den ich mit Ma\u00dfnahmen Rechnung tragen muss und da reicht es nicht, dass ich sage, ah, ich habe hier mal was hinprogrammiert, was das vielleicht filtert, sondern man muss das auch getestet werden. Das geht gar nicht an einem Tag,"},{"speaker":"markus-mengs","startTime":5257.4859999999999,"endTime":5264.2759999999998,"body":"Also allein davon wie das mit die Presse fragt an und das f\u00fchrt zu einem Patch verlaufen ist, auch der Patch ist nicht nach einem Tag gegessen,"},{"speaker":"markus-mengs","startTime":5264.3779999999997,"endTime":5274.2690000000002,"body":"ich habe ja ein Risikoszenario, n\u00e4mlich diese CSV Injektion und irgendeine Instanz, muss mir auch unabh\u00e4ngig testen, dass ich mit diesem kleinen Patch."},{"speaker":"markus-mengs","startTime":5274.7979999999998,"endTime":5276.7619999999997,"body":"Dieses Risiko ausgemerzt habe."},{"speaker":"markus-mengs","startTime":5277.3999999999996,"endTime":5289.1289999999999,"body":"Was ist bei Luca passiert? Die sagen, nee, wir haben das Risiko nicht. Wir haben Ma\u00dfnahmen getroffen und dann und bei mir war's so, f\u00fcr W\u00fcnsche war's so, ich habe eine Minute da drauf geguckt und habe gesehen, nee, das reicht nicht. Leute, weil ihr habt das Problem nicht durchtrunken."},{"speaker":"markus-mengs","startTime":5289.5559999999996,"endTime":5293.4979999999996,"body":"Ich habe nur noch nicht die Zeit gehabt, das auch programmiertechnisch,"},{"speaker":"markus-mengs","startTime":5293.75,"endTime":5300.1679999999997,"body":"validieren, aber wenn man es beim Draufgucken sieht, dann ist schon ganz schlecht, ne? Also ich habe nur auf diesen Code geguckt und,"},{"speaker":"markus-mengs","startTime":5300.3670000000002,"endTime":5309.6679999999997,"body":"Oh, ich denke, das stimmt so nicht. Und das zeigt, dass auch nicht getestet wird und das ist ganz wichtig, dass das hier fehlt. Es wird nicht getestet. Wir haben heute wieder ein Patch,"},{"speaker":"markus-mengs","startTime":5309.9319999999998,"endTime":5323.9930000000004,"body":"Ich w\u00fcrde mich nie dazu hinrei\u00dfen lassen, wie das Seng Senior heute gemacht hat, zu sagen, ja, wir haben jetzt auch das Problem gel\u00f6st, weil das kann nicht getestet sein in der Zeit, wenn heute, wenn in der Reaktion auf dem Video von heute Morgen kommt, \u00e4h wir haben da nachgebessert,"},{"speaker":"markus-mengs","startTime":5324.1800000000003,"endTime":5325.8800000000001,"body":"Wenn es denn das getestet wurden."},{"speaker":"linus-neumann","startTime":5325.8620000000001,"endTime":5339.6229999999996,"body":"Also nachgebessert haben sie ja gar nicht. Also erstmal ist das ja keine Schwachstelle, sondern sie haben nur einen Hinweis auf einen potentiellen Missbrauch des Lukas-Systems im Zusammenhang. Microsoft Excel Code Injection, ja?"},{"speaker":"markus-mengs","startTime":5339.3950000000004,"endTime":5342.5559999999996,"body":"Es stimmt, Entschuldigung."},{"speaker":"linus-neumann","startTime":5342.3400000000001,"endTime":5348.7870000000003,"body":"Dann haben sie nicht vor drei Wochen davon erfahren, sondern durch eine Medienanfrage und per Twitter,"},{"speaker":"linus-neumann","startTime":5348.9380000000001,"endTime":5361.4660000000003,"body":"\u00e4h von einem m\u00f6glichen Missbrauch, ja, der ab jetzt auch systemseitig verhindert wird, ja? Nicht eine Schwachstelle, nein, nein, das ist ein potentieller Missbrauch, der jetzt auch systemseitig verhindert wird."},{"speaker":"linus-neumann","startTime":5361.7669999999998,"endTime":5362.3379999999997,"body":"Und."},{"speaker":"linus-neumann","startTime":5362.7520000000004,"endTime":5374.5299999999997,"body":"Der n\u00e4chste Satz ist sofort, das gilt f\u00fcr alle Excel-Dateien, die sie per E-Mail empfangen und hier \u00e4hm das BSI sagt, sie m\u00fcssen Markus deaktivieren, wie du schon sagtest, um Markus geht's gar nicht,"},{"speaker":"linus-neumann","startTime":5374.7399999999998,"endTime":5383.9279999999999,"body":"laut den auf Twitter erhobenen Vorw\u00fcrfen w\u00e4re es unter Umst\u00e4nden m\u00f6glich gewesen. Durch das Luka-System schadhaft."},{"speaker":"linus-neumann","startTime":5384.4629999999997,"endTime":5388.7169999999996,"body":"Code, an die Gesundheits\u00e4mter zu \u00fcbertragen,"},{"speaker":"linus-neumann","startTime":5388.8559999999998,"endTime":5398.1210000000001,"body":"Hintergrund ist eine sogenannte CSV Injection, ein in Excel bekanntes Problem, weshalb Excel auch generell Dateien auf solchen"},{"speaker":"linus-neumann","startTime":5398.0500000000002,"endTime":5405.6689999999999,"body":"Chartcode bei Offnung pr\u00fcft und die Nizzerinnen darauf hinweist, die Schwachstelle in Excel kann es theoretisch erm\u00f6glichen"},{"speaker":"linus-neumann","startTime":5405.6329999999998,"endTime":5412.7299999999996,"body":"schadhaften Code in Excel auszuf\u00fchren mit Hilfe von bestimmten Formeln k\u00f6nnen Angreiferinnen beispielsweise Daten auslesen oder andere"},{"speaker":"linus-neumann","startTime":5412.7060000000001,"endTime":5417.1400000000003,"body":"sch\u00e4dliche Aktionen ausf\u00fchren. Also Excel ist ja das Problem. Um den potenziellen Missbrauch,"},{"speaker":"linus-neumann","startTime":5417.2790000000005,"endTime":5424.9880000000003,"body":"die \u00dcbertragung der Luca-Daten an Excel, Excel, Excel Excel. \u00dcber die dort implementierten Sicherheitsma\u00dfnahmen hinaus zu verhindern,"},{"speaker":"linus-neumann","startTime":5425.1750000000002,"endTime":5434.7039999999997,"body":"System verschiedene Filter einer h\u00e4tte gereicht, angewendet, welche im Vorfeld die Excel und CSV Dateien,"},{"speaker":"linus-neumann","startTime":5434.9210000000003,"endTime":5442.2340000000004,"body":"nach Zeichen und Formeln scannen. Da bin ich ja mal gespannt, welche Zeichen die so scannen. Ich kenne sie ja, die sieht man ja in dem Gitcom mit."},{"speaker":"linus-neumann","startTime":5442.5709999999999,"endTime":5456.6610000000001,"body":"Viele in Deutschland \u00fcbliche Nachnamen sind inzwischen ausgeschlossen. Das Luka-System ber\u00fccksichtigt die Empfehlung von OverSpe bez\u00fcglich CSV Injection, die hier aufgelistet sind. Nein, das tun sie nicht. Und sp\u00e4testens da,"},{"speaker":"linus-neumann","startTime":5456.8370000000004,"endTime":5469.232,"body":"ist es eben nicht mehr wahr. Entsprechende Zellen werden wie empfohlen. Es gibt heute Vormittag haben wir diesen Filter noch zus\u00e4tzlich um eine sogenannte Anzeichen erweitert, damit b\u00f6swillige"},{"speaker":"linus-neumann","startTime":5469.2030000000004,"endTime":5473.3969999999999,"body":"Angreiferinnen, diese Excell-L\u00fccke nicht mehr ausnutzen k\u00f6nnen."},{"speaker":"linus-neumann","startTime":5473.7399999999998,"endTime":5480.8720000000003,"body":"Und ich muss ganz ehrlich sagen, mir reicht es langsam, ne? Also wieder einmal \u00e4hm,"},{"speaker":"linus-neumann","startTime":5481.1490000000003,"endTime":5491.527,"body":"sagen sie das Problem ist nicht bei uns, es geht noch es geht noch viel weiter, ja? Sie sagen, ich ich \u00fcberspringe jetzt mal, weil es auch einfach nur noch eine Frechheit ist. \u00c4hm spezifisch."},{"speaker":"linus-neumann","startTime":5491.8149999999996,"endTime":5496.5259999999998,"body":"Was bedeutet das f\u00fcr die Arbeit in Gesundheits\u00e4mtern, ja? Die Schwachstellen in Luca."},{"speaker":"linus-neumann","startTime":5497.8190000000004,"endTime":5503.4369999999999,"body":"Generell ist es ratsam, Makros in Excel nur mit Bedacht zu aktivieren."},{"speaker":"linus-neumann","startTime":5503.4549999999999,"endTime":5516.6499999999996,"body":"\u00d6ffnungsversuch entsprechender schadhafter Dateien erfolgt eine Warnung \u00fcber ein Pop-up-Fenster, welches vor dem \u00d6ffnen der Dateien auf dem Bildschirm angezeigt wird. Es ist sehr wichtig diese Hinweise sorgsam zu lesen und nicht direkt wegzuklicken."},{"speaker":"linus-neumann","startTime":5516.6930000000002,"endTime":5525.8379999999997,"body":"Dar\u00fcber hinaus ist es ratsam zu \u00fcberpr\u00fcfen, inwiefern die Empfehlung des BSI im jeweiligen Gesundheitsamt bereits umgesetzt werden,"},{"speaker":"linus-neumann","startTime":5526.0249999999996,"endTime":5535.0500000000002,"body":"BSI-Empfehlung BSICS eins drei sechs. Es ist unwahrscheinlich der Schaden durch einen derartigen Angriff entstanden ist, wenn Mitarbeiterinnen nicht."},{"speaker":"linus-neumann","startTime":5535.4470000000001,"endTime":5543.8829999999998,"body":"Tief die Sicherheitswarnungen des Systems missachtet haben. Uns ist kein dementsprechender Sicherheitsvorfall in Zusammenhang mit."},{"speaker":"linus-neumann","startTime":5544.3100000000004,"endTime":5553.7200000000003,"body":"Lukas System bekannt. Durch weitere Ma\u00dfnahmen, weitere Ma\u00dfnahmen, die heute im Lukas-System umgesetzt worden sind, wird in Zukunft ein solcher Missbrauch,"},{"speaker":"linus-neumann","startTime":5553.9430000000002,"endTime":5560.7030000000004,"body":"in Zusammenhang mit Makros in Excel verhindert. Und es ist genau diese Kommunikation, wo ich."},{"speaker":"linus-neumann","startTime":5561.0940000000001,"endTime":5566.6459999999997,"body":"Also und das habe ich auch dem Patrick Hennig schon pers\u00f6nlich gesagt, dass sie."},{"speaker":"linus-neumann","startTime":5567.3729999999996,"endTime":5576.3919999999998,"body":"Diese unaufrichtige Kommunikation sich echt mal langsam sparen k\u00f6nnen. Ja? Das ist eine Schwachstelle bei denen. Das ist,"},{"speaker":"linus-neumann","startTime":5576.4589999999998,"endTime":5587.7979999999998,"body":"Verantwortungsbereich. Und sie k\u00f6nnen nicht sagen, \u00e4h Microsoft Excel ist das Problem. \u00c4hm es gibt einen Vortrag von mir hier in der Haken beim CCC Kongress packen wir in die."},{"speaker":"linus-neumann","startTime":5588.7110000000002,"endTime":5591.7460000000001,"body":"Wo ich nat\u00fcrlich spezifisch auch,"},{"speaker":"linus-neumann","startTime":5591.9440000000004,"endTime":5600.5910000000003,"body":"Excel und Microsoft daf\u00fcr verantwortlich mache, dass sie in den Warnungen \u00e4h Nutzerverhalten einleiten."},{"speaker":"linus-neumann","startTime":5600.6930000000002,"endTime":5608.018,"body":"Dass \u00e4h ja die im Zweifelsfall die unsichere Variante bevorzugt. Ja? Das ist aber,"},{"speaker":"linus-neumann","startTime":5608.1390000000001,"endTime":5615.8119999999999,"body":"Eine Situation, die war schon da. Und wenn ich davon ausgehe, dass es Postleitzahlen mit Gleichheitszeichen gibt,"},{"speaker":"linus-neumann","startTime":5616.0590000000002,"endTime":5622.8299999999999,"body":"dann kann ich nicht Microsoft Excel den Vorwurf machen. So und das ist wie immer."},{"speaker":"linus-neumann","startTime":5623.4139999999998,"endTime":5633.3999999999996,"body":"Der das das klassische Umgehen von Nexen New Luca mit Schwachstellen, dass alle Schuld sind, au\u00dfer sie selber"},{"speaker":"linus-neumann","startTime":5633.2809999999999,"endTime":5639.884,"body":"Microsoft ist schuld, der Markus ist schuld, \u00e4hm hier Twitter ist Schuld, aber wir nein,"},{"speaker":"linus-neumann","startTime":5639.8969999999999,"endTime":5647.4499999999998,"body":"So und die lassen sich ernsthaft zitieren und tragen heute noch vor, dieses System h\u00e4tte keine Sicherheitsl\u00fccken. Und das."},{"speaker":"linus-neumann","startTime":5647.9070000000002,"endTime":5655.9520000000002,"body":"Tats\u00e4chlich auch der Punkt wenn man eine Sicherheitsl\u00fccke hat, dann sagt man, hier."},{"speaker":"linus-neumann","startTime":5656.71,"endTime":5664.2330000000002,"body":"Haben wir Schei\u00dfe gemacht? Haben wir Schei\u00dfe gebaut, haben wir gefixt, wir kennen das Problem an, tut uns leid, wer uns selber verifiziert,"},{"speaker":"linus-neumann","startTime":5664.5100000000002,"endTime":5671.4080000000004,"body":"Schei\u00dfe, sorry. Und ist auch v\u00f6llig in Ordnung, dass solche Fehler passieren. Nur die k\u00f6nnen nicht drei Wochen"},{"speaker":"linus-neumann","startTime":5671.3180000000002,"endTime":5684.6580000000004,"body":"sp\u00e4ter nachgewiesen werden, nachdem es schon auf Zeit online stand und du irgendwie wie so ein Gorilla auf deiner Brust rumgepr\u00fcgelt hast und gesagt hast, \u00e4h bei uns, nee, \u00fcberhaupt nicht, ey. Wir machen das alles hier mit"},{"speaker":"linus-neumann","startTime":5684.5500000000002,"endTime":5698.7489999999998,"body":"und so, ne? Das ist alles cool, w\u00e4hrend du gleichzeitig am Datum der Presseanfrage oder einen Tag vor dem Artikel so eindeutig und durchschaubar versuchst, noch irgendwelche komischen Fixes unterzubringen. Und."},{"speaker":"linus-neumann","startTime":5699.5969999999998,"endTime":5707.7389999999996,"body":"Irgendwann hast du dann eben auch alles Vertrauen verspielt. Es ist nicht so, dass ich \u00e4hm."},{"speaker":"linus-neumann","startTime":5708.1360000000004,"endTime":5721.3559999999998,"body":"Muss wirklich sagen, gerade ich als jemand den ganzen Tag nur mit Sicherheitsl\u00fccken zu tun hat und ihrer Behebung und auch die Probleme kennt, ja, ich habe ja in meiner beruflichen T\u00e4tigkeit mit nicht trivialen Sicherheitsl\u00fccken zu tun,"},{"speaker":"linus-neumann","startTime":5721.4579999999996,"endTime":5729.7380000000003,"body":"wo du wirklich denkst, Schei\u00dfe, wie kriegen wir dieses Risiko eingehegt, ja? Und \u00e4hm da akzeptiere ich nur,"},{"speaker":"linus-neumann","startTime":5729.9369999999999,"endTime":5734.6000000000004,"body":"den Umgang der l\u00f6sungsorientiert ist. Und wenn die um."},{"speaker":"linus-neumann","startTime":5734.8819999999996,"endTime":5745.049,"body":"Betreiben und sagen im Zweifelsfall, also wir belehren jetzt mal hier erstmal, ja? Die Mitarbeiterinnen im Gesundheitsamt."},{"speaker":"linus-neumann","startTime":5745.5420000000004,"endTime":5748.817,"body":"Geben jetzt irgendwie Microsoft Excel die Schuld,"},{"speaker":"linus-neumann","startTime":5748.9200000000001,"endTime":5761.268,"body":"ja? Dass wir keinerlei anwenden, bei hochkritischen Daten in einem sensiblen, zeitkritischen Kontext, ja? Mein, die Warnmeldung, wie lautet die Warnmeldung, Markus?"},{"speaker":"markus-mengs","startTime":5761.2439999999997,"endTime":5763.2619999999997,"body":"Um vertrauensw\u00fcrdige Quellen."},{"speaker":"linus-neumann","startTime":5763.4679999999998,"endTime":5769.3199999999997,"body":"Nur wenn sie nur \u00f6ffnen sie diese Datei nur wenn sie die aus einer vertrauensw\u00fcrdigen Quelle haben."},{"speaker":"linus-neumann","startTime":5769.9750000000004,"endTime":5777.7870000000003,"body":"Wer soll denn bei wenn Luca, h\u00f6r mal Luca, kannst du doch vertrauen, da hat der Smudo doch gesagt, das ist doppelt verschl\u00fcsselt. Was willst du denn noch."},{"speaker":"linus-neumann","startTime":5778.5619999999999,"endTime":5786.2780000000002,"body":"Ja, wenn die, wenn sie hier immer noch die Schuld bei anderen Leuten suchen, dann hast du's halt einfach mit Leuten zu tun, die nicht aufrichtig sind,"},{"speaker":"linus-neumann","startTime":5786.3860000000004,"endTime":5794.2089999999998,"body":"das ist einfach, ne, die haben bis heute nicht zugegeben, dass sie eine einzige Schwachstelle haben."},{"speaker":"linus-neumann","startTime":5795.2309999999998,"endTime":5806.3109999999997,"body":"Reden hier potentieller Missbrauch unseres Systems, andere Schwachstellen, die Markus, denen \u00e4h gemeldet hat, haben sie gesagt, ja hier haben wir einen, hier haben wir einen Error."},{"speaker":"linus-neumann","startTime":5807.3159999999998,"endTime":5811.6779999999999,"body":"Und ich meine, man fragt sich wirklich, was sind das f\u00fcr Leute."},{"speaker":"linus-neumann","startTime":5812.0439999999999,"endTime":5819.5259999999998,"body":"Wenn du das, wenn du den Unternehmensnamen googelst, \u00e4h hat \u00e4h Torsten mich heute noch drauf aufmerksam gemacht, dann \u00e4hm."},{"speaker":"linus-neumann","startTime":5819.9470000000001,"endTime":5825.3299999999999,"body":"Kommt irgendwie so sie machen nur Hochsicherheitsl\u00f6sungen mit."},{"speaker":"tim-pritlove","startTime":5825.7280000000001,"endTime":5826.982,"body":"Das ist ein guter Witz."},{"speaker":"linus-neumann","startTime":5828.9960000000001,"endTime":5831.5379999999996,"body":"Jemand, jemand anders antwortet da \u00e4h,"},{"speaker":"linus-neumann","startTime":5831.5919999999996,"endTime":5844.9440000000004,"body":"Berliner Startup, das f\u00fcr nutzerfreundliche und hochsichere IT-L\u00f6sungen steht. Easy collaboration security by Design. Ein \u00e4h weiterer Nutzer auf Twitter antwortete darauf, irgendwie so Hochsicherheit kommt vor dem Fall,"},{"speaker":"linus-neumann","startTime":5845.0169999999998,"endTime":5848.3689999999997,"body":"Ja, was ich auch sehr."},{"speaker":"tim-pritlove","startTime":5854.018,"endTime":5864.491,"body":"Oh Mann, das trifft's wirklich sehr gut, ja. Oh."},{"speaker":"linus-neumann","startTime":5865.0690000000004,"endTime":5871.7870000000003,"body":"Und du du fragst dich dann, ne, \u00e4h wie wie kommt es, dass der Chaos-Computer-Club siebenundsiebzig"},{"speaker":"linus-neumann","startTime":5871.6790000000001,"endTime":5886.442,"body":"\u00e4h hoch \u00e4h dekorierte Security-Vorstellungen an den Berliner Universit\u00e4ten. Sie vierhundert noch was Menschen, \u00e4h die die auch was von dem Thema verstehen, da drunter schreiben. Und alle sagen, das ist hier Murks"},{"speaker":"linus-neumann","startTime":5886.3590000000004,"endTime":5895.2160000000003,"body":"Das ist Morks, das willst du nicht haben, das m\u00f6chtest du nicht, da sind deine Daten nicht in guter Hand und da sind deine zweiundzwanzigeinhalb Millionen Euro Steuergelder nicht in guter Hand"},{"speaker":"linus-neumann","startTime":5895.1139999999996,"endTime":5901.1819999999998,"body":"werden dann irgendwie noch als Hater beschimpft, als w\u00fcrden wir nicht diesen Codehaufen."},{"speaker":"linus-neumann","startTime":5902.4989999999998,"endTime":5910.2870000000003,"body":"Erkennen, als das, was er ist, ein Kothaufen. Und das ist zum Durchdrehen."},{"speaker":"linus-neumann","startTime":5910.6599999999999,"endTime":5918.3389999999999,"body":"Musste dich noch daf\u00fcr rechtfertigen und dann wirst du noch diskreditiert bei anderen Unternehmen, ja? \u00c4hm."},{"speaker":"linus-neumann","startTime":5919.1139999999996,"endTime":5932.5259999999998,"body":"Meldest du eine Schwachstelle und die die kommen nachher zu dir und sagen, h\u00f6r mal, du hast ja mit Aufwand gehabt, ne, \u00e4h wir danken dir, dass du \u00e4h einen Beitrag zu der Sicherheit unseres Systems geleistet hast. \u00c4hm"},{"speaker":"linus-neumann","startTime":5932.4840000000004,"endTime":5936.0060000000003,"body":"Wir dachten, wir \u00fcberweisen dir mal folgenden Betrag."},{"speaker":"markus-mengs","startTime":5935.8609999999999,"endTime":5942.6999999999998,"body":"Man muss auch sagen, das sagen die auch, wenn's kein wertvoller Beitrag war, damit du wiederkommst und weiter f\u00fcr die Arbeit ist, weil das kostet ja nicht viel."},{"speaker":"linus-neumann","startTime":5942.3999999999996,"endTime":5944.4719999999998,"body":"Richtig, das kostet dich."},{"speaker":"linus-neumann","startTime":5944.9780000000001,"endTime":5954.4350000000004,"body":"Sprichw\u00f6rtliche, m\u00fcde Arschrunzeln, da mal ein Tausender oder f\u00fcnfzehn rauszuwerfen \u00e4hm oder zwanzig einfach nur,"},{"speaker":"linus-neumann","startTime":5954.5379999999996,"endTime":5964.8909999999996,"body":"um dich mit der Community gut zu halten. Ich will jetzt nicht daf\u00fcr werben, dass \u00e4h Nexenio Markus Geld geben sollte, daf\u00fcr ist er auch glaube ich zu sp\u00e4t und \u00e4hm so wie ich Markus sch\u00e4tze, w\u00fcrde,"},{"speaker":"linus-neumann","startTime":5964.9759999999997,"endTime":5970.4799999999996,"body":"im Zweifelsfall eh einem \u00e4h anderen Zweck \u00e4h zur Verf\u00fcgung stellen. Aber das ist halt."},{"speaker":"markus-mengs","startTime":5971.2370000000001,"endTime":5978.6809999999996,"body":"Ich habe sogar vor der Backbound die muss man \u00e4h kurzer Einwurf, es wird eine Backbound hier angeboten. Ich habe da mal vorsichtig vorgewarnt."},{"speaker":"markus-mengs","startTime":5979.8059999999996,"endTime":5988.2839999999997,"body":"Weil das hat auch immer was mit auch einem Backbound, die hat was mit Vertrauen gegen\u00fcber den Herstellern zu tun, weil man steht auch ganz schnell mal unter einer NDA,"},{"speaker":"markus-mengs","startTime":5988.4470000000001,"endTime":5995.4290000000001,"body":"und also dass man dann nicht mehr \u00fcber das sprechen darf, was man da \u00e4h gemeldet hat"},{"speaker":"markus-mengs","startTime":5995.393,"endTime":6004.7969999999996,"body":"Aber wir reden hier davon, dass das sehr, sehr viele Leute betrifft und wenn ich mir die Firma so angucke, h\u00e4tte ich normale ich selbst in Persona gar keinen."},{"speaker":"markus-mengs","startTime":6005.6270000000004,"endTime":6013.1610000000001,"body":"Gar nicht die Tendenz in der Back Bounty zu reporten. Ich w\u00fcrde mich dann nicht unter die Regeln drunter dr\u00fccken lassen, in dem Fall."},{"speaker":"linus-neumann","startTime":6013.0540000000001,"endTime":6026.7179999999998,"body":"Ich will das Thema jetzt gar nicht aufmachen. Es gibt halt einen, also es gibt einen Unterschied in einer in einer gelebten IT-Sicherheitskultur und da dazu geh\u00f6rt eben auch das aufrichtige Anerkennen von Fehlern. Ja und,"},{"speaker":"linus-neumann","startTime":6026.9049999999997,"endTime":6034.0429999999997,"body":"hier irgendwie dann noch am Ende die die Gesundheitsamtsmitarbeiterin zum zu belehren."},{"speaker":"linus-neumann","startTime":6034.8729999999996,"endTime":6040.8630000000003,"body":"Unten, unten trivialfehler, den sie gemacht haben, dann irgendwie noch Microsoft anh\u00e4ngen zu wollen."},{"speaker":"linus-neumann","startTime":6041.9210000000003,"endTime":6051.0129999999999,"body":"Dann will ich nicht wissen, \u00e4h wie das aussieht, wenn wenn mein Name demn\u00e4chst den den \u00e4h den Header einer Excel, einer Excel-Datei hat."},{"speaker":"markus-mengs","startTime":6050.8389999999999,"endTime":6058.6319999999996,"body":"Das Statement, entschuldige lieben und das Statement, das das ist an Dreistigkeit, das ist echt nicht so zu \u00fcbertreffen oder auch die alleine \u00e4h."},{"speaker":"markus-mengs","startTime":6059.1980000000003,"endTime":6065.9759999999997,"body":"Eine Aussage dadr\u00fcber zu treffen, was Beh\u00f6rden f\u00fcr BSI-Ma\u00dfnahmen umsetzen, die brauchen alle keine IT-Sicherheitsbeauftragten mehr, weil"},{"speaker":"markus-mengs","startTime":6065.8729999999996,"endTime":6074.4300000000003,"body":"Sagt denen, was f\u00fcr Ma\u00dfnahmen schon umgesetzt sind. Die brauchen auch keine Konzepte mehr schreiben, weil Next Senior wei\u00df auch, was f\u00fcr Ma\u00dfnahmen umgesetzt sind und wie den riesigen Rechnungen betragen wird."},{"speaker":"linus-neumann","startTime":6074.2870000000003,"endTime":6075.3379999999997,"body":"Unglaublich."},{"speaker":"markus-mengs","startTime":6075.0379999999996,"endTime":6083.5640000000003,"body":"Sicherheitsstrang brauchst du gar nicht mehr, du willst jetzt einen Dreistigkeit kaum noch zu \u00fcbertreffen, ne? Oder oder alleine der Wunsch."},{"speaker":"markus-mengs","startTime":6083.9489999999996,"endTime":6093.6589999999997,"body":"Aus der Perspektive Nexenio feststellen zu k\u00f6nnen, ob's damit mal einen erfolgreichen Angriff gab oder eine Ausnutzung von solchen Schwachstellen, das ist ja auch,"},{"speaker":"markus-mengs","startTime":6093.732,"endTime":6099.29,"body":"Ein sehr gro\u00dfes Wunschdenken, ja, dass man da \u00fcberhaupt Aussagef\u00e4hig ist von au\u00dfen, \u00e4h ist schon."},{"speaker":"markus-mengs","startTime":6099.9449999999997,"endTime":6103.7420000000002,"body":"Schon sportlich, was sie da geschrieben haben, muss man so sagen."},{"speaker":"linus-neumann","startTime":6104.0429999999997,"endTime":6106.7110000000002,"body":"Also mir f\u00e4llt da nichts mehr zu ein."},{"speaker":"markus-mengs","startTime":6107.2640000000001,"endTime":6112.2929999999997,"body":"Investiert mehr nicht vier Millionen in SMS, sondern noch mehr in PR."},{"speaker":"linus-neumann","startTime":6111.9930000000004,"endTime":6115.951,"body":"Vier Millionen in SMS, die sie nicht pr\u00fcfen. Das ist einfach nur so."},{"speaker":"linus-neumann","startTime":6116.3100000000004,"endTime":6121.3729999999996,"body":"Hier vier Millionen ne weg."},{"speaker":"markus-mengs","startTime":6121.5540000000001,"endTime":6126.7269999999999,"body":"Vielleicht das, vielleicht \u00e4h ich habe auch schon mal \u00fcberlegt, ob das nicht vielleicht der Grund ist, \u00e4hm,"},{"speaker":"markus-mengs","startTime":6126.8900000000003,"endTime":6138.3299999999999,"body":"Warum ja diese SMS Verifizierung immer noch nicht stattfindet, weil die Frage ist ja dann auf die Nutzer, die sich da ja schon angemeldet haben, m\u00fcssen die dann auch nochmal eine neue SMS bekommen oder nicht. Kostet das dann nochmal vier Millionen?"},{"speaker":"linus-neumann","startTime":6138.5780000000004,"endTime":6148.3000000000002,"body":"Also das ist ja wieder nur Quatsch, ne? Das ist ja wieder nur, dass sie morgens irgendein Quatsch geredet haben, die werden niemals \u00e4h mit ihren existierenden Nutzerinnen"},{"speaker":"linus-neumann","startTime":6148.1019999999999,"endTime":6157.326,"body":"nochmal 'ne SMS verifikation durchf\u00fchren. Das werden die einfach nicht tun, weil sie wissen, dass sie dabei dreiviertel der Nutzerinnen verlieren. Aber,"},{"speaker":"linus-neumann","startTime":6157.5659999999998,"endTime":6167.4620000000004,"body":"Ich denke, wir haben jetzt auch langsam alles geschildert und es ist ja also."},{"speaker":"linus-neumann","startTime":6168.2569999999996,"endTime":6171.8310000000001,"body":"Es werden hier immer wieder Probleme geschildert,"},{"speaker":"linus-neumann","startTime":6171.8609999999999,"endTime":6186.2349999999997,"body":"es sind immer Probleme aus dem ersten Semester oder dem ersten YouTube-Tutorial und die warum ich auch wirklich so fuchsig darauf reagiere und warum ich das hier auch nochmal in aller Breite"},{"speaker":"linus-neumann","startTime":6186.2060000000001,"endTime":6194.0709999999999,"body":"mit dir. Markus, ich wei\u00df, du hattest einen langen Tag, besprechen wollte, ist, weil diese Antwort so."},{"speaker":"linus-neumann","startTime":6195.6809999999996,"endTime":6204.7190000000001,"body":"Unversch\u00e4mt ist, weil sie so gegen alles verst\u00f6\u00dft, was wir in der IT-Sicherheitskultur seit Jahrzehnten leben."},{"speaker":"linus-neumann","startTime":6206.3540000000003,"endTime":6210.8000000000002,"body":"Und was wir auch nicht tolerieren d\u00fcrfen als Gesellschaft."},{"speaker":"linus-neumann","startTime":6211.5330000000004,"endTime":6223.8280000000004,"body":"Es gibt immer schwierigere Sicherheitsl\u00fccken. Es gibt immer gr\u00f6\u00dfere Hacks und so weiter. Aber gerade deswegen musst du als \u00e4h Unternehmen, dass Millionen an Steuergeldern kassiert, sagen,"},{"speaker":"linus-neumann","startTime":6224.0990000000002,"endTime":6230.6180000000004,"body":"So und so, habt ihr recht, Hammerschei\u00dfe gebaut, m\u00fcssen wir besser machen."},{"speaker":"linus-neumann","startTime":6230.991,"endTime":6240.4369999999999,"body":"Und das h\u00e4tten sie vor drei Wochen machen k\u00f6nnen. Und sie machen's drei Wochen sp\u00e4ter immer noch nicht. Und solchen Leuten willst du nicht vertrauen,"},{"speaker":"linus-neumann","startTime":6240.5510000000004,"endTime":6246.8720000000003,"body":"Und deswegen stelle ich jetzt hier ganz klar die Forderung, na ja, ein Spiegel \u00e4h Interview heute schon gestellt"},{"speaker":"linus-neumann","startTime":6246.7290000000003,"endTime":6250.8019999999997,"body":"Vertr\u00e4ge, r\u00fcckabwickeln, Regress fordern, die haben nicht geliefert"},{"speaker":"linus-neumann","startTime":6250.6949999999997,"endTime":6263.4700000000003,"body":"Luca Deh installieren und echt zusehen, ob er wenigstens noch ein paar von den Millionen irgendwie zur\u00fcckf\u00f6rdern \u00e4h zur\u00fcckfordern k\u00f6nnen, weil die ganz offensichtlich nicht das geliefert haben, was sie,"},{"speaker":"linus-neumann","startTime":6263.4759999999997,"endTime":6270.2179999999998,"body":"versprechen und weil sie den Anforderungen, die sie an ihre eigene App stellen, nicht gerecht werden."},{"speaker":"tim-pritlove","startTime":6271.75,"endTime":6279.8869999999997,"body":"So Leute, ich \u00e4h denke, jetzt ist \u00e4h alles ausf\u00fchrlich diskutiert \u00e4h worden. Wir stellen fest, dieses,"},{"speaker":"tim-pritlove","startTime":6279.9709999999995,"endTime":6286.7420000000002,"body":"ist \u00e4h nicht zu retten und unsere einzige Hoffnung besteht da drin, nicht nochmal dr\u00fcber sprechen zu m\u00fcssen."},{"speaker":"tim-pritlove","startTime":6287.1999999999998,"endTime":6292.8000000000002,"body":"Vielen Dank, Markus f\u00fcr die \u00e4h Ausf\u00fchrung."},{"speaker":"markus-mengs","startTime":6293.317,"endTime":6296.9639999999999,"body":"Ja, danke f\u00fcr das entspannte Gespr\u00e4ch."},{"speaker":"linus-neumann","startTime":6297.0900000000001,"endTime":6300.0469999999996,"body":"Und danke, dass du an der Nummer so drangeblieben bist."},{"speaker":"tim-pritlove","startTime":6300.0709999999999,"endTime":6306.0739999999996,"body":"Genau. Ja und wir \u00e4h Linos haben jetzt ein bisschen viele Sendungen rausgegossen. \u00c4hm."},{"speaker":"linus-neumann","startTime":6306.1589999999997,"endTime":6307.5039999999999,"body":"Ja, jetzt h\u00f6ren wir auf."},{"speaker":"tim-pritlove","startTime":6307.607,"endTime":6316.4930000000004,"body":"Aber das hat hat ja auch jetzt ist erstmal Ruhe. Wir melden uns dann wieder, wenn die Pandemie vorbei ist."},{"speaker":"linus-neumann","startTime":6316.1930000000002,"endTime":6318.5370000000003,"body":"Und die Netzpolitik wieder in Ordnung."},{"speaker":"tim-pritlove","startTime":6318.2370000000001,"endTime":6331.402,"body":"Ja genau und all diese Apps \u00fcberhaupt nicht mehr erforderlich sind. Nee, Quatsch. Wird nicht so lange dauern, aber \u00e4h jetzt w\u00fcnschen wir euch noch einen sch\u00f6nen Wochenausklang oder was auch immer gerade bei euch \u00e4h ansteht und sagen tsch\u00fcss und bis bald."},{"speaker":"linus-neumann","startTime":6331.402,"endTime":6332.4960000000001,"body":"Tschau, tschau."},{"speaker":"markus-mengs","startTime":6332.9170000000004,"endTime":6334.4970000000003,"body":"Tsch\u00fcss."}]}