WEBVTT NOTE Podcast: Logbuch:Netzpolitik Episode: LNP396 Hochsicherheit kommt vor dem Fall Publishing Date: 2021-05-28T17:51:38+02:00 Podcast URL: https://logbuch-netzpolitik.de Episode URL: https://logbuch-netzpolitik.de/lnp396-hochsicherheit-kommt-vor-dem-fall 00:00:00.005 --> 00:00:01.580 Guten Morgen Linus. 00:00:00.006 --> 00:00:02.986 Guten Morgen Tim. 00:00:03.707 --> 00:00:08.124 Sag mal, jetzt müssen wir schon wieder über die Luca-App reden. Du hast gesagt, wir reden nicht mehr über die Luca-App. 00:00:08.388 --> 00:00:17.894 Wo war ich letzte Nacht? Wieso bin ich jetzt noch wach? Ist jetzt eh egal. Das war das letzte Mal. 00:00:38.890 --> 00:00:48.841 Lokbuchnetzpolitik Nummer dreihundertsechsundneunzig, wir schießen in hochgeschwindigkeit hier die Sendungsnummer nach oben und ihr fragt euch schon, ist denn 00:00:48.625 --> 00:00:59.357 Bundespolitik jetzt ein Daily Podcast geworden. Ja, in dieser Woche ist es tatsächlich so, aber da hat sich jetzt irgendwie einiges aufgestaut und nachdem äh man den Stau abgearbeitet hat, 00:00:59.526 --> 00:01:08.911 dann schon wieder so Themen rein, die unbedingt auch noch behandelt äh werden mussten und was wollen wir denn machen? Das ist dann halt einfach so. Schlimmste, so ist es. 00:01:10.017 --> 00:01:18.424 Ja, kann man ja nicht mit rechnen, dass äh die News von vor drei Wochen äh plötzlich siegend heiß auch bei Nexenia am ankommen. 00:01:19.878 --> 00:01:31.151 Genau, eine kleine äh Vorschau auf den äh Inhalt dieser Sendung und ähm ansonsten gehen wir nochmal ein bisschen durchs Feedback, bevor wir das aber tun, verraten wir euch auch noch, dass wir 00:01:30.935 --> 00:01:38.494 ein Gast dabei haben in dieser Sendung und wir begrüßen Markus. Markus, hallo Markus. 00:01:38.927 --> 00:01:40.459 Hallo Tim, hallo Linus. 00:01:40.423 --> 00:01:51.498 Herzlich willkommen bei Logbuch Netzpolitik. Du hast deine äh Hände ganz tief drin im äh im Luka-Motor und hast sie schmutzig gemacht. 00:01:51.198 --> 00:01:53.028 Ja 00:01:52.237 --> 00:01:53.631 Nicht wahr? 00:01:54.046 --> 00:02:07.325 Und äh deswegen haben wir dich eingeladen, wir quatschen auch gleich und stellen äh dich dann auch nochmal im Detail vor, aber ich glaube, wir schaffen jetzt erstmal hier noch das Feedback ähm weg, denn. 00:02:07.789 --> 00:02:11.189 Die Sache mit der Doktor arbeiten, ne? Das. 00:02:10.949 --> 00:02:19.127 Wir haben ja, wir haben ja provoziert, wir haben ja, wir haben ja Kommentare von Doktor Würdenträgerinnen, ähm, 00:02:19.320 --> 00:02:27.522 provoziert und auch erbeten und da fand ich zwei besonders schön, die wollte ich jetzt mal ganz kurz äh noch vorlesen. 00:02:28.237 --> 00:02:31.079 Und zwar haben wir Feedback von Eckhard. 00:02:32.227 --> 00:02:46.366 Ich bin Biologe, Doktorte in meinem Fach belegen, dass eine Person eigenständig und erfolgreich geforscht hat. Wir arbeiten dafür so etwa vier bis fünf Jahre hochmotiviert in Vollzeit. Also Eckart, das mit dem hochmotiviert weiß ich nicht. In Vollzeit auf jeden Fall. 00:02:46.181 --> 00:02:55.722 Die Forschungsergebnisse werden in der Regel in internationalen Fachzeitschriften publiziert und müssen erfolgreich vor allem anerkannten Expertengremium vertreten. 00:02:56.023 --> 00:02:58.955 Und für Wert befunden werden. Der, 00:02:58.962 --> 00:03:11.178 Der Promotionsausschuss meiner Fakultät birgt für die Qualität der Promotionen. Der Wert des von uns verliehenen Titels ist in diesem Sinn international anerkannt. Der Titel zertifiziert also eine bestimmte, 00:03:11.268 --> 00:03:25.672 Qualifikation. Dieses System dient der Qualitätssicherung und funktioniert sehr gut. Man kann das auch mit einem Meisterbrief vergleichen. Ja, super äh sehr gutes Beispiel. Hochproblematisch ist die jahrelange große Abhängigkeit von der Betreuerin. 00:03:26.369 --> 00:03:41.037 Altbacken, sinnlos und dumm ist die Idee, dass ein Doktortitel eine Person generell aufwertet. Als Wähler Mensch und Bürger sind wir alle gleich. Dem Titel gebührt kein besonderer Respekt und er hat meiner Meinung nach im. 00:03:41.362 --> 00:03:49.125 Alltagsleben nichts zu suchen. Deswegen sind Doktorte für Politiker eigentlich vollkommen sinnlos, wenn es um Wissenschaft geht. 00:03:49.744 --> 00:03:58.962 Sollen sich diese auf den wissenschaftlichen Dienst verlassen. Sie brauchen selbst keine Forschungsqualifikation. 00:04:00.266 --> 00:04:10.583 Dann hat noch darauf kommentiert auf also der Gestalt hatten wir mehrere Kommentare. Da fand ich noch einen sehr schön von Doktor Ing Düsentrieb. 00:04:14.111 --> 00:04:22.626 Der hat uns mitgeteilt. Hallo, ich kann Jan und Eckhard oben nur beipflichten. Gilt so auch für meinen Fachbereich im Ingenieurswesen 00:04:22.602 --> 00:04:33.923 auch für meinen Titel waren circa fünf Jahre Vollzeitarbeit notwendig. Drei davon waren mit sehr großem Leidensdruck verbunden. Auch ich führe meinte nur, wenn's passt. 00:04:34.200 --> 00:04:43.189 Hausverwaltung und andere nervige Leute sind super Beispiele. Die gehen dann die gehen einem dann eventuell etwas weniger penetrant auf den Keks, 00:04:43.381 --> 00:04:55.525 meint ihr, liebe Doktor Würdenträgerinnen? Aber zu oben erwähnten großen Abhängigkeit vom Betreuer sind ja fast ausschließlich Männer, möchte ich doch noch was loswerden. Die Aussage. 00:04:56.223 --> 00:05:03.716 Wer bis dahin nie betrogen hat, wird's auch bei der Doktorarbeit nicht tun und danach dann sicher auch nicht mehr damit aufhören, wurde von euch ja für, 00:05:03.866 --> 00:05:12.801 kategorischen Unfug gehalten. Ähm das sehe ich anders. Die Doktorarbeit bringt unfassbar viele Menschen an, 00:05:12.976 --> 00:05:22.368 und etliche über ihr Limit. Die meisten davon eher spät in ihrem Leben. Schule ging mit links, Studium war noch nicht hart genug und davor abzuschrecken. 00:05:22.218 --> 00:05:32.920 Also startet man ein Doktorrat. An meiner Uni melden sich Statistiken zufolge fünfundzwanzig Prozent aller Promovierenden mindestens einmal bei der psychologischen Beratungsstelle. 00:05:33.990 --> 00:05:48.880 In meinem damaligen persönlichen Umfeld würde ich auf mehr als zehn Prozent schätzen, welche längerfristig mehrere Monate in Behandlung waren. Dunkelziffer potenziell riesig, da man sowas ja gern verschweigt. Der Druck ist immens, wenn man vier Jahre hinter sich hat und es dann heißt 00:05:48.760 --> 00:05:56.716 du brauchst noch ein Paper, sonst wirst du nicht fertig. Man hängt in den schönen flapzig beschriebenen prekären befristeten 00:05:56.674 --> 00:06:02.725 Verträgen und man hat hinterher am Arbeitsmarkt einen Antidoktor, wenn man's nicht schafft 00:06:02.623 --> 00:06:09.569 Die Arbeitgeberin sieht im Lebensdorf A, der hat's nicht gepackt, sondern kurz vorm Ziel hingeworfen. Den nehmen wir lieber nicht. 00:06:10.597 --> 00:06:18.264 Ich habe nie in meinem Leben ernsthaft betrogen, aber im letzten Jahr meines Doktor Rats mehrmals sehr ernsthaft darüber nachgedacht. Gedanken wie. 00:06:19.328 --> 00:06:22.422 Im Endeffekt schaut die Arbeit ja eh niemand so genau an. 00:06:23.336 --> 00:06:33.143 Dass man die subtilen Fehler findet. Es sei denn, ich kandidiere in zwanzig Jahren für ein hohes Amt und das komplette Internet dreht in einer koordinierten Aktion jeden Satz einzeln um. 00:06:35.306 --> 00:06:41.351 Reproduzieren wird das garantiert niemand. Meine Daten sind zwar neu für die Wissenschaft, aber interessieren eh keinen. 00:06:43.160 --> 00:06:57.744 Hier ein wenig Rauschen wegmachen, dort einen Datenpunkt leicht verschieben, dass er besser auf der erwarteten Trendlinie liegt oder die Fehlerbalken aus Versehen um Faktor fünf zu klein einzeichnen, tut ja keinem wirklich weh. 00:06:58.525 --> 00:07:04.708 Aber es verhindert dumme Fragen von meinem Chef und von den Reviewern und vereinfacht die Arbeit ungemein. 00:07:07.160 --> 00:07:13.920 Ich weiß zwar, dass diese Messungen Müll sind, weil ich das System falsch eingestellt habe, aber sie passen so gut zur Geschichte. 00:07:15.669 --> 00:07:25.968 Wenn ich diese Linie etwas extra poliere, dann sieht's noch besser aus. Also das waren die Gedanken, die äh Doktor In Düsentrieb da so schildert. 00:07:26.305 --> 00:07:29.255 Letztendlich habe ich nichts davon gemacht, 00:07:29.256 --> 00:07:41.171 mich auf dem Zahnfleisch und Antidepressiva durchs letzte Jahr geschleppt und mir geschworen, mich nie wieder in so eine Abhängigkeit zu begeben. Aber wenn ich's gemacht hätte, würde ich mir das heute als einen, 00:07:41.172 --> 00:07:46.790 Notfall in Ausnahmesituationen zurecht reden und ebenfalls nie wieder machen. 00:07:47.235 --> 00:07:54.578 Da ist eben der Punkt, wo ich ja gesagt habe, wenn man das wenn man damit einmal durchkommt, dann lernt man daraus, dass man's nochmal machen kann, 00:07:54.806 --> 00:07:59.030 Da widerspricht mir also Doktor In diesem Trieb, aber schön finde ich das Fazit. 00:07:59.818 --> 00:08:14.810 Longstory short, so schwarz weiß ist das alles nicht, vorausgesetzt wir reden von einer richtigen Dissertation. Da gibt es durchaus Fehlverhalten, welches ich nachvollziehen, aber nicht gutheißen kann, 00:08:15.027 --> 00:08:19.966 Wer allerdings eine Doktorarbeit in Anführungszeichen, 00:08:20.141 --> 00:08:31.515 Umfang eines Mickey Maus Hefts in den einschlägigen Disziplinen schreibt, wo das in wenigen Monaten auch ehrlich möglich wäre. Und da dann auch noch betrügt, 00:08:31.774 --> 00:08:39.213 dem ist wirklich nicht zu trauen. Interessanterweise sind das oft dann genau die, die dann ganz großen Wert darauf legen. 00:08:39.742 --> 00:08:42.007 Titel angesprochen zu werden. 00:08:42.843 --> 00:08:54.398 Den fand ich schön. Es gibt noch viele weitere Kommentare von Doktor Martens als Promoviker, promovierter Chemiker. Und äh ich hätte gar nicht damit gerechnet, dass so viele ähm. 00:08:55.336 --> 00:09:09.451 Ja, tatsächlich, promovierte Wissenschaftlerin im, ja, der These zustimmen, dass es eine besondere Leistung ist. Selbstverständlich die äh die die Disteltation. Aber eben, dass sie auch die Ansicht teilen, dass das Führen des jetzt, 00:09:09.709 --> 00:09:18.614 vielleicht äh zu viel des Guten ist und eben auch leider äh die Leute anzieht, die eben scharf auf den Titel sind und nicht, 00:09:18.855 --> 00:09:26.853 das Blut für die wissenschaftliche Forschung lecken. Ja, vielen Dank für die Kommentare. 00:09:28.368 --> 00:09:40.241 Immer viel mehr unter den unter der äh letzten Sendung und bisschen unfaire Situation, weil die haben ja erst kürzlich veröffentlicht und äh werden sicherlich noch viel mehr Kommentare kommen 00:09:40.109 --> 00:09:47.837 bis zu dem Zeitpunkt, wann wenn diese Sendung wiederum hier erscheint, deswegen äh kann ich euch nur empfehlen, da mal reinzuschauen in die Kommentare. 00:09:47.795 --> 00:09:51.965 Auf jeden Fall, ein ein Füllhorn. 00:09:52.121 --> 00:09:53.834 Vom Umfang einer Doktorarbeit. 00:09:53.534 --> 00:10:01.387 Also manche Kommentare haben auch wirklich den Umfang einer einer Doktorarbeit. 00:10:02.067 --> 00:10:11.356 Könnt ihr euch eigentlich schon äh könnt ihr euch mit einem passenden Titel, äh vielleicht müsste man so aus Logbuch erst so ein LNB KM Titel oder so. 00:10:11.819 --> 00:10:21.698 Aber das ah vielleicht sollten wir eine Sache noch kurz ergänzen. Da ist ja auch dieser, also in die Promotionsordnung oder die äh unterschiedlicher Fakultäten ähm, 00:10:21.854 --> 00:10:24.636 Also so eine Monografie, dass man jetzt eine, 00:10:24.721 --> 00:10:36.336 Doktorarbeit schreibt oder ein Buch, das ist tatsächlich in den ähm wissenschaftlichen oder empirischen Wissenschaften auch eher unüblich. Da wird halt dann tatsächlich gesagt, ähm. 00:10:36.805 --> 00:10:41.840 Was weiß ich, äh ein Themenbereich, drei Artikel in. 00:10:42.387 --> 00:10:50.295 High Impact Journals von mindestens Impact-Faktor soundso oder vier Artikel in äh Impact-Factor so und so. 00:10:51.149 --> 00:11:05.822 Das heißt, da ist die, da ist diese äh Promotion tatsächlich an äh eben Peer-Review wissenschaftliche Leistungen gebunden. Was ich im Übrigen ähm die äh die sehr viel sinnvollere Anforderungen finde. 00:11:06.622 --> 00:11:15.305 Dass man nicht da irgendwie so die habe ich. Döner hast du deine Doktorarbeit geschrieben? Am Ende musst du noch selber einen Verlag dafür finden, ja zurecht, weil die Scheiße ja auch keiner 00:11:15.143 --> 00:11:26.067 lesen will, muss nämlich am Ende den Druck selber bezahlen und da ist natürlich die Anforderung okay. Äh publiziere zu dem Thema in High Impac Journals ist natürlich ähm 00:11:26.055 --> 00:11:29.396 eine eine äh sinnvollere Anforderung, zumal, 00:11:29.408 --> 00:11:36.877 wie wir aus der Sendung mit Julia Reeder wissen, äh da hochkarätige Wissenschaftlerinnen, kostenlos das äh. 00:11:37.286 --> 00:11:42.351 Die Qualitätssicherung machen und dann deine Uni das zurückkaufen muss. Aber äh wir schweifen ab. 00:11:42.202 --> 00:11:50.740 Ja, also wenn man schon Doktortitel macht, dann sollte man sich zumindest irgendwie ein bisschen Mühe geben und äh Vroni fest sein. 00:11:52.111 --> 00:11:54.838 Markus, wir wollten, wir wollten mit Markus sprechen, oder? 00:11:54.574 --> 00:11:59.277 Genau, wir wollten und werden das jetzt auch äh tun. Ähm. 00:11:59.027 --> 00:12:00.619 Eigentlich kein Titel, Markus. 00:12:00.369 --> 00:12:05.402 Oder welchen hast du denn? Denk dir einen aus. Wir werden den einfach benutzen. 00:12:05.102 --> 00:12:10.718 Ich hätte ja, ich hätte ja Titel, aber Zertifikate und so, da wird man ja nicht damit. 00:12:11.780 --> 00:12:15.029 Das ist aber das ist nochmal eine anderes Thema. 00:12:14.771 --> 00:12:25.797 Genau. Sag uns doch jetzt erstmal, äh was du eigentlich so tust und ähm sozusagen warum du hier bist. 00:12:24.409 --> 00:12:35.430 Ich bin äh beruflich bin ich Infos. Das müsste ich lügen. Ich schätze mal so seit siebzehn Jahren in der gleichen Organisation, die ist groß. 00:12:35.508 --> 00:12:42.652 Das heißt, offiziell in der IT-Sicherheit äh äh betätigt. Ja, das ist das, was du meinst mit Infos. 00:12:42.689 --> 00:12:56.630 Ja, in äh in all ihren Facetten, genau. In all ihren Facetten. Vielleicht auch mal mit einem, naja, ich sage Info-Seck, weil es eben nicht nur IT-Sicherheit ist, sondern du hast ja auch Berührungspunkte, Datenschutz und ja. 00:12:56.558 --> 00:13:06.641 Okay, aber das ist ein Codewort für bist du so ein, so ein, so ein Keller-Nerd, der sich irgendwie mit allen Details äh der Maschinen auseinandergesetzt hat und das jetzt äh zu Geld macht. 00:13:06.599 --> 00:13:17.980 Ja, das ist eher die private Seite von mir, die muss ich eben immer ein bisschen trennen. Es freuen sich viele, dass ich auch ein großes, privates Interesse habe, dabei das wird dann auch bei dem Thema so, also bei Luca. 00:13:18.401 --> 00:13:20.858 Dass ich da eigentlich eher im privaten Umfeld. 00:13:21.285 --> 00:13:32.023 Drum rum getanzt bin und dann irgendwie tief rein. Wie hast du das vorhin gesagt? Ich habe nur gewartet bis braune Masse mit drin auftaucht, aber tief drin gewühlt, tief drin gewühlt war's glaube ich, 00:13:32.234 --> 00:13:37.125 habe ich am Ende aus privatem Interesse. Das paart sich natürlich mit den. 00:13:37.828 --> 00:13:43.951 Beruflichen Interesse, weil meine Hauptaufgabe ist äh Sensibilisierung durchzuführen, das heißt äh, 00:13:44.198 --> 00:13:57.868 Klientel der äh was so vor mir steht, vor Gefahren und Risiken zu warnen und dann hat da irgendwie ganz automatisch Luca mit reingespielt und da musste ich mich natürlich auch damit beschäftigen, weil ich nicht gerne irgendwas erzähle, ohne auch zu wissen, wodrüber ich rede. 00:13:57.766 --> 00:14:01.918 Hm. Wie lange beschäftigst dich jetzt schon damit? 00:14:02.928 --> 00:14:11.923 Das müsste ich jetzt meine Frau fragen, weil die wird wahrscheinlich ein sehr viel längeren Zeitraum nennen. Ich glaube, äh wenn. 00:14:12.296 --> 00:14:20.456 Ja, es ist ja mal die Frage, falls du eine Tastatur an, um dich mit was zu beschäftigen oder beschäftigst du dich mental damit? 00:14:20.156 --> 00:14:23.479 Wie oft war's am äh Abends am Esstisch Thema? 00:14:23.215 --> 00:14:29.380 Das vermeide ich, aber wenn ich nicht mehr ansprechbar bin, dann merkt die das schon 00:14:29.266 --> 00:14:43.405 sich über was anderes sind ja. Also ich müsste ähm jetzt auch von der Chronologie oder Historie her ganz interessant ist. Ähm es war tatsächlich für mich ein Thema. Ich bin oft angefragt worden wegen Luca, aus verschiedenen Richtungen, weil ich äh. 00:14:43.712 --> 00:14:51.890 Glaube zu, dass gute letzte halbe Jahr mobile Applizes gemacht habe, also alles, was so Smartphone-Apps äh an. 00:14:52.250 --> 00:14:58.752 Was sie nicht machen sollen im Privacybereich. Da guckt man ja schwer dahinter abseits von dem, was man lesen kann. 00:14:59.407 --> 00:15:10.506 Da wurde ich auch immer mal wegen Luca gefragt. Das hat mich wenig interessiert das Thema. Äh ich habe auch verpasst, dass es relevant geworden ist, weil Geld dafür ausgegeben wurde, aber ich habe dann irgendwann bei Twitter, das ist das, 00:15:10.770 --> 00:15:16.659 So mein einziges soziales Medium gelesen, wie äh die, 00:15:16.894 --> 00:15:22.398 Theresa, das glaube ich. Die war beteiligt an einer Veröffentlichung. Äh, 00:15:22.650 --> 00:15:33.394 die ich für, ja, die für mich fachlich nachvollziehbar und fundiert war und die ist da so abgewatscht worden von einem Musiker, dass ich da doch mal ein bisschen tiefer in das Thema eingetaucht bin, weil mich das 00:15:33.359 --> 00:15:35.918 Kommunikationsverhalten so gestört hat, 00:15:35.967 --> 00:15:44.793 Und dann habe ich in meinem Urlaub, den ich da noch hatte, angefangen zu lesen, was gibt's denn da zu Luca? Und dann habe ich was gefunden, was Security-Konzept heißt, aber keins war, 00:15:45.028 --> 00:15:52.828 Bei mir viele Fragen aufgeworfen hat und dann habe ich schon gewartet, dass mein Urlaub zu Ende ist, dass ich eben eine Tastatur anfassen kann und kann's mir auch mal angucken. 00:15:53.225 --> 00:16:01.390 Hat sich viel bewahrheitet von den Unstimmigkeiten, die in diesem Konzepten schon aufgetaucht sind. So ungefähr war die Geschichte von mir zu Luca. 00:16:02.779 --> 00:16:06.606 Also länger als fünf Wochen bin ich da auf jeden Fall schon dran. 00:16:06.457 --> 00:16:20.337 Okay. So und was ähm können wir denn jetzt eigentlich neues äh berichten? Also ähm Luca ist ja ein komplexes System. 00:16:20.121 --> 00:16:23.846 Bevor wir da jetzt direkt hinspringen zu den neuesten, 00:16:23.901 --> 00:16:36.519 Forschungen von Markus trotzdem nochmal so ein Kurzrekapitulieren, was es bisher schon so gab. Also es gab ja dieses Paper von Theresa Stadler und anderen, ja, Potential Harms. 00:16:36.886 --> 00:16:43.045 Auf die Luca-App, was eben einfach nun, also was wirklich sehr theoretisch war. Ähm es gab, 00:16:43.322 --> 00:16:55.670 die Veröffentlichung des CCC Luca-App CCC fordert die Bundesnotbremse. Es gab die Einlassung von Ulrich Kälber und es gab diesen offenen Brief von. 00:16:55.965 --> 00:17:05.465 Siebenundsiebzig Forscherinnen, dem der deutschen IT-Sicherheitsforschung und vierhundertsechsundsiebzig Leuten, die jetzt auch noch unterschrieben haben. 00:17:06.054 --> 00:17:17.447 Äh Zeitpunkt heute, das sind sicherlich schon wieder mehr geworden. Und da wurde immer wieder vor Risiken gewarnt und ich würde eigentlich sagen, bevor wir jetzt vor dem bevor wir zu dem. 00:17:18.181 --> 00:17:25.752 Großen neuen Dingen von Markus kommen. Ähm würde ich eigentlich auch noch gerne ein bisschen über diese YouTube-Video, 00:17:25.932 --> 00:17:30.950 Playlist sprechen, die du da angelegt hast. Das waren ursprünglich zehn Videos, ne? 00:17:31.437 --> 00:17:40.919 Ja tatsächlich äh muss, es sind mittlerweile ich habe ein paar gar nicht veröffentlicht, also ich müsste ich denke es sind zwölf, ähm mittlerweile. 00:17:40.631 --> 00:17:44.216 Ja, es, ich, es sind jetzt im Moment zwölf, ne, wo du. 00:17:44.062 --> 00:17:45.954 Zwölf die sichtbar sind, ja. 00:17:45.872 --> 00:17:51.380 Ich glaube aber, dass die irgendwie anfangen mit so eins von zehn, zwei von zehn, drei von zehn und so weiter, elf, zwölf. 00:17:51.080 --> 00:17:58.609 Das habe ich so gelassen. Seid ihr auch Scham und sagt was aus. 00:17:58.309 --> 00:18:03.849 Und äh da hast du dich mit ähm ich sag mal ähm den. 00:18:04.397 --> 00:18:10.189 Den Risiken und den Schwachstellen des Systems auseinandergesetzt, die nicht. 00:18:11.355 --> 00:18:22.784 Keine Ahnung, Seite eins, Zeit online oder Spiegel DE oder äh heiße oder äh sonst was schaffen, weil sie ja, sogenannte, 00:18:23.037 --> 00:18:28.228 Schwachstellen in Anführungszeichen, theoretischer Natur sind. Und 00:18:28.108 --> 00:18:42.476 was ich daran so spannend fand ist, das ist ja auch immer das, dass sie das, was ja oft äh von Seiten Nexenio, den Entwicklern der Luka-App ähm immer so gesagt wird, ja das ist ja hier so ein Glaubenskrieg, ne, das sind äh die die, 00:18:42.494 --> 00:18:51.579 die finden hier einfach nur religiös einen dezentralen Ansatz besser und ähm meine Antwort und ich denke auch insbesondere deine Antwort darauf war ja immer, 00:18:51.646 --> 00:18:58.105 Nein, wir wissen einfach nur, was welche Risiken man sich alle mit einem zentralen Ansatz einkauft, 00:18:58.226 --> 00:19:07.239 die man Antworten braucht, die man eben in einem dezentralen Ansatz in der Form einfach nicht hat. Und ähm vielleicht magst du ja so ein bisschen was zu deinen. 00:19:07.558 --> 00:19:13.386 Zu den Videos deiner der letzten Wochen so sagen, was du da so alles schon gezeigt hast. 00:19:14.048 --> 00:19:19.269 Ja, gerne. Ähm man muss vielleicht auch dazu sagen, äh eigentlich, 00:19:19.510 --> 00:19:28.860 geht das von groß nach klein, ne? Die Veröffentlichung von äh die wissenschaftliche Veröffentlichung, ne? Ich glaube, das ist ja eine Universität in Luzern gewesen, wo die Theresa Stadler, 00:19:28.872 --> 00:19:32.946 veröffentlichen, da war äh die ist ja äh. 00:19:33.523 --> 00:19:46.292 Nicht wirklich theoretisch gewesen, sondern eher abstrakt, ja, ohne die Technik anzufassen und in der ähm Forderung vom CCC war von mir auch schon mal, ich will das jetzt nicht Paper nennen, es war einfach eine äh, 00:19:46.377 --> 00:19:57.907 des Netzwerkverkehrs, aus der sich Schlüsse ziehen lassen, die ist ja auch mit veröffentlicht worden und eigentlich decken die ersten zehn YouTube Videos, die ich da angedacht hatte, das Gleiche ab, weil ähm. 00:19:58.377 --> 00:20:12.413 Wenn du so eine Analyse schreibst, du hast ja, du willst ja jemanden damit adressieren, ne? Das ist zum einen äh ich sage mal die Leute, die mit den äh Risikobewertungen befasst sind und natürlich den Hersteller, dass der da was anfassen kann und ich hatte irgendwann das Gefühl, okay 00:20:12.233 --> 00:20:20.147 Dauer das war falsch adressiert weil da bewegt sich nichts also sollte man das vielleicht nochmal ein bisschen. 00:20:20.562 --> 00:20:34.166 Breiter streuen. Da ist dann Video geeigneter. Aber das sind natürlich harte, abstrakte, trockene Themen. Also es ist, ich würde nicht sagen, es ist theoretisch, weil die ersten zehn Videos davon handeln eigentlich was sehr konkretes ab. 00:20:34.557 --> 00:20:43.072 Ähm weil die auch auf der ähm Analyse vom Netzwerkverkehr der App basiert haben, eben das, was schon in dem Security-Konzept unstimmig aus, 00:20:43.072 --> 00:20:52.175 sah. Und das Interessanteste für die für die das äh zu trocken ist, ist eigentlich das zehnte Video, was das zusammenfasst, weil das kommt zu dem Ergebnis, dass du, 00:20:52.356 --> 00:21:00.666 da bist du bei dem zentralen Ansatz, aus der Position von dem Backend-System. Ähm, 00:21:00.667 --> 00:21:13.387 oder sagen wir mal von dem Betreiber verwalteten Anteilen des Gesamtsystems und das ist egal, ob du dann in der Rolle des Betreibers bist oder von einem Angreifer, der sich dem System bemächtigt hat, da kannst du, 00:21:13.388 --> 00:21:21.181 Rückschlüsse ziehen äh auf einzelne Geräte, komplette Bewegungsprofile für einzelne Geräte, die an dem, 00:21:21.260 --> 00:21:31.883 System partizipieren, erstellen, du weißt zu den Geräten am Ende die Telefonnummer und du weißt auch, ob das Gerät mit seiner kompletten Locationhistorie äh zur. 00:21:32.172 --> 00:21:45.776 Infizierten Person gehört oder zumindest zu einer Person, die mal vom Gesundheitsamt abgefragt wurde oder nicht. Und du weißt die Telefonnummer dazu, was ein schon sehr persönliches Datum ist, ohne überhaupt irgendwas von den Kryptosachen mal angefasst zu haben 00:21:45.699 --> 00:21:52.741 weil das einfach äh die Informationen sind, die an dem Backend auflaufen, wenn man das einfach nur lange genug beobachtet, 00:21:52.759 --> 00:22:00.114 Teilweise aus Metadaten, dann weiter wird immer Daten vorgeschoben. Hm und ähm 00:22:00.090 --> 00:22:13.688 während ich mir das angeguckt habe und habe die Videos produziert, es ist so Salamischeiben taktikmäßig, dann auch ein bisschen Quellkot aufgepoppt, der war mal unvollständig. Der App-Quell-Code war auch unvollständig, der zuerst released wurde, 00:22:13.755 --> 00:22:20.611 und ähm ja beim Schauen in dem Code, dann wenn man sowas manchmal macht, ein bisschen 00:22:20.587 --> 00:22:30.982 da ist ja kein notwendig, aber so Code-Reviews, dann machst du dir Notizen. Da ist dann Auffälligkeiten, da sind Auffälligkeiten und ich hatte ja schon viele Notizen und die sind nur immer mehr geworden, 00:22:30.995 --> 00:22:37.388 Und da habe ich mir die gravierendsten Sachen rausgegriffen, dann sind halt nochmal neue Videos, 00:22:37.551 --> 00:22:41.198 geworden, in Teilen. Das waren dann eben. 00:22:42.088 --> 00:22:50.867 Ich hätte gesagt, das sind Sicherheitslücken, das hätte ich jeden anderen gesagt. Wenn mir jemand sowas gemeldet hätte, hätte ich auch gesagt, das sind Sicherheitslücken. Man kann auch funktionale Fehler sagen. 00:22:51.546 --> 00:22:59.628 Also da ging's drum, dass du äh das System hat ja Schlüsselanhänger für die Leute, die kein Handy haben, beworbenes Feature. Es gab ja 00:22:59.550 --> 00:23:10.985 schon mal die Geschichte mit Luca Treck, wo man von Nutzern von Schlüsselanhängern von außen die kompletten Bewegungsprofile abfragen konnte, von innen, also aus Betreibersicht geht das sowieso 00:23:10.919 --> 00:23:11.898 ähm. 00:23:11.598 --> 00:23:14.080 Also 00:23:14.032 --> 00:23:22.041 Du, du, du, du bist, glaube ich, grade ein bisschen zu schnell für die durchschnittliche Zuhörerin. Äh, Luca-Track war das, ähm 00:23:21.970 --> 00:23:29.847 Also, was war der Grundfehler bei Luca Track? Du hast also das eine hast du schon gesagt, wenn du wer diese Schlüsselanhänger benutzt, 00:23:29.854 --> 00:23:33.255 ohnehin für die für die für die Betreiber 00:23:33.249 --> 00:23:41.769 transparent, ne? Also da weiß man einfach aha, das war die Person, die wir jetzt an Location eins, die war jetzt an Location zwei zu dem Zeitpunkt. Das liegt einfach daran, dass es, 00:23:41.938 --> 00:23:54.983 Onlinesystem ist und die sich in die Datenbank schreiben. Die Person war jetzt hier, die Person war jetzt hier die Person, war jetzt hier. Jetzt mussten sie diese Daten aber eigentlich würde, würden wir jetzt erwarten, wenn sie die schon haben, wenigstens vor, 00:23:55.092 --> 00:24:04.586 fremden Zugriffen schützen, also wenigstens sollte nur das Gesundheitsamt oder die betroffene Person diese Daten einsehen können. Haben sie nicht gemacht? 00:24:05.139 --> 00:24:14.495 Sondern man konnte, wenn man den QR-Code von einer Person kannte, auch auf deren Bewegungsprofil zugreifen. Aber das ist so richtig zusammengefasst. 00:24:15.559 --> 00:24:23.256 Ja, wobei du da ein paar, ich denk mal, die sind auch für die breite Zuhörerschaft interessante Aspekte, die du da, 00:24:23.527 --> 00:24:26.537 versteckst, weil ähm. 00:24:26.880 --> 00:24:40.862 Wenn man von Verschlüsselungen redet oder wenn Luca von Verschlüsselung redet, dann verschlüsseln die nicht äh, dass sich jemand in irgendeine äh Location eingecheckt hat. Das ist da scheinbar kein sensitives Datum, also allein mit einem Snapshot, also einen kurzen Blick auf das 00:24:40.773 --> 00:24:45.183 Backend siehst du, in welche Location wie viele Leute eingecheckt sind. Du siehst die 00:24:45.063 --> 00:24:54.413 Daten der Locations, weil das sind alles keine verschlüsselten Komponenten. Du siehst nicht, wie der Nutzer heißt, der da eingecheckt ist. Das ist quasi der Anteil, der verschlüsselt ist 00:24:54.317 --> 00:24:59.479 auch zentral auf dem Silber vorgehalten wird und was Luca Trekke jetzt eben gemacht hat, ist 00:24:59.365 --> 00:25:04.346 ähm äh diese Daten abzufragen, denn es gibt eine Abi-Schnittstelle. 00:25:04.983 --> 00:25:14.850 Dafür, wo ähm man als berechtigter Besitzer von so einem Schlüsselanhänger natürlich abfragen kann, äh wann war ich wo eingecheckt. 00:25:15.481 --> 00:25:21.718 Weil diese ganzen Datenpunkte gespeichert sind und wenn man sich das als Datenbank vorstellen würde, die ID, 00:25:21.827 --> 00:25:27.721 also von einem einzelnen Eintrag irgendein Nutzer XY mal in irgendeiner Location 00:25:27.529 --> 00:25:34.115 XY eingecheckt, äh jeder dieser Einträge hat eine ID in der Datenbank, die nennt sich ID. 00:25:33.929 --> 00:25:42.299 Wenn du so einen Schlüsselanhänger hast oder die Seriennummer, dann kannst du diese TraceIDs, die da verwendet werden, errechnen und man konnte das von der AP alles von außen abfragen. 00:25:42.288 --> 00:25:48.657 Als Feature, weil die Nutzer ja ihre Locationhistorie abfragen können sollen. Kann halt jeder machen 00:25:48.555 --> 00:25:55.357 dieser IDs generieren kann und weiß, wie er abfragen muss. Äh das heißt nicht, dass das jetzt nicht mehr, 00:25:55.418 --> 00:26:04.196 Daten nicht mehr vorhanden sind und dass das jeder äh jeder, der auf das Becken Zugriff bekommt, äh der kann die gleichen Daten immer noch abfragen, also wenn, 00:26:04.365 --> 00:26:14.165 der Betreiber äh Schlüsselanhängern kennt, kann dir auch heute diese Daten noch genauso abfragen, weil die Pläne in der Datenbank liegen. 00:26:14.160 --> 00:26:17.212 Und das ist auch ein äh, 00:26:17.459 --> 00:26:25.504 ja eine Problemstellung, die zu Tage getreten ist. Es gab ja ein äh, dass das Thema ist ja auch mal in dem Ader, also im Ausschuss Digitale Agenda behandelt worden. 00:26:26.208 --> 00:26:35.035 Da ist die Frage gestellt worden, mehr diese äh Schlüsselanhänger herstellt, weil das sind alles Leute, die die Seriennummern kennen und damit auch Zugriff oder zumindest 00:26:34.849 --> 00:26:43.171 wüssten, wie fragt man diese Bewegungsprofile ab? Diese Frage ist gar nicht beantwortet worden. Es kam jetzt hinterher raus, dass Nexenio diese Schlüsselanhänger selber generiert 00:26:43.057 --> 00:26:57.268 die am Ende druckt, ist egal, also die Frage ist ja, wer hat die Seriennummern dafür, denn da schlägt das Schlüsselmaterial drin. Was gemacht wurde nach Luca Trecker ist einfach äh zu sagen, okay, wenn jetzt von außen die AP abgefragt wird und so ein Check-In gehört zu einem 00:26:57.149 --> 00:27:05.104 Schlüsselanhänger, dann senden wir das nicht mehr. Wenn der zu einem App-Nutzer gehört, senden wir das trotzdem noch, aber die Daten sind trotzdem unverschlüsselt da. 00:27:07.238 --> 00:27:10.867 Und das ist, das zeigt auch so ein bisschen, ne? Also. 00:27:11.582 --> 00:27:20.055 Ich fand das ja schon auch ein bisschen scharf, wie jetzt in den letzten Monaten mit den vielen Schwachstellen bei Luca. Ähm die, 00:27:20.067 --> 00:27:25.523 immer als so einen Glaubenskrieg dargestellt wird, ne. Ja 00:27:25.337 --> 00:27:37.710 die sind ja nur irgendwie, ne, die sind ja irgendwie fundamentalistische, die Zentralisten und da finden wir nicht in Ordnung so, da muss man ja auch mal hier muss man auch ein bisschen zentral denken und so, ne? Und. 00:27:37.428 --> 00:27:39.056 Ja bisher witzig. 00:27:38.761 --> 00:27:47.570 Äh das sind natürlich genau die Probleme, die man sich einfängt, wenn alles aus einer Hand kommt, ne. 00:27:48.040 --> 00:28:00.063 Ja, ich glaube, was du sagst, sind auch fast schon äh Zitate, ne, weil wenn man äh jetzt mal einen Spiegel so von äh Aussagen aus der Lukamacher-Riege nimmt, da wirst du genau solche Schlagworte finden, wie fundamental Kritik 00:27:59.943 --> 00:28:09.714 das sind Verfechter vom zentralen System, die entwickeln selber zentral. Die spielen natürlich mit so was ist eher, ich glaube eher PR getrieben, als dass das, 00:28:09.816 --> 00:28:17.099 fachlich, inhaltlich wertvoll ist, oft was von da kommt, aber ja. Nee, das stimmt, ja. 00:28:16.805 --> 00:28:25.175 Würdest du sagen, also wenn man jetzt, wenn man jetzt Luca-Track mal so anschauen, ne? Würdest du sagen, das Problem wäre 00:28:25.085 --> 00:28:35.715 geringer wenn Luca ein dezentrales System wäre und die Leute sich die Schlüsselanhänger beispielsweise hätten selber würfeln können. 00:28:38.119 --> 00:28:45.125 Oder es gäbe mehrere Leute, bei denen man die Schlüsselanhänger kaufen kann, was weiß ich. 00:28:45.835 --> 00:28:54.433 Ich halte es für äh schwierig so ein Feature wie äh. 00:28:54.758 --> 00:29:02.059 Softwarelose Partizipation, was ja die Schlüsselanhänger, die lassen dich an dem System ohne äh Software, ohne 00:29:02.029 --> 00:29:10.267 Komponenten teilnehmen, das dezentral zu implementieren, aber ja, das geht und dann wird er das das Problem nicht geben, nämlich dann, wenn ähm. 00:29:10.628 --> 00:29:22.766 Ich sage, ich äh lagere die Daten äh direkt beim Gesundheitsamt. Das wäre natürlich ein immenser Aufwand äh und den das ist ja auch ein Verkaufsargument von Luca, das abzunehmen, auch wenn sie das. 00:29:23.800 --> 00:29:38.288 Nicht an jeder Stelle sicherstellen, weil dezentral für Schlüsselanhänger würde heißen ja du hast nur eine Seriennummer, die ist im Pseudonym und das Gesundheitsamt hat die Daten schon, sonst kann man das nicht dezentral dezentral abbilden, ne, also. 00:29:40.938 --> 00:29:52.998 Wenn das Gesundheitsamt dich anruft, um von dir die Seriennummer von dem Schlüsselnummer, äh von dem Schlüsselanhänger zu erfragen, dann können die eigentlich auch gleich deine Kontaktdaten erfragen, ne? Und äh. 00:29:54.542 --> 00:30:00.431 Würde die Probleme nicht geben, äh wenn das kein zentrales System wäre, ja. 00:30:00.461 --> 00:30:08.225 Das muss man so sagen. Äh die Frage ist auch, ob man dann so einen Kunstgriff macht und so einen Schlüsselanhängerkonstrukt schafft oder dann sagt 00:30:08.117 --> 00:30:22.292 okay. Äh ich habe halt harte Voraussetzungen, um an so ein System zu partizipieren und das ist halt eine App. Äh und wenn ich keine App habe, muss ich die Papieralternative wählen, ne? Also man hat da schon einen Trade oft zwischen. 00:30:22.647 --> 00:30:29.599 Datensicherheit und ähm Informationssicherheit und Usability, wie das überall ist. 00:30:29.906 --> 00:30:37.507 Ja. Jetzt ist also genau diese diese äh Schlüsselanhängernummer scheint für mich auch so ein. 00:30:38.373 --> 00:30:46.082 So ein Ding zu sein, das war immer Thema, ne? Also ich kann ich man sieht so ein bisschen, wie die gesehen haben. Jo, pass auf. 00:30:46.359 --> 00:30:53.257 Welche über welche Probleme klagt die Welt? Die lösen wir jetzt einfach alle auf einmal. Die klagen über äh, 00:30:53.329 --> 00:31:07.450 dass die Adressen nicht verschlüsselt sind, kein Problem, aber Verschlüsselung, ne. Die klagen darüber, dass irgendwie alte Handys nicht im Bild machen. Alles klar, machen wir mit einem mit einem QR-Code, wo man einen QR-Code hinein, Schlüsselanhänger drauf, Schlüssel hat man immer dabei, ne? Und ähm. 00:31:08.424 --> 00:31:13.976 Wie würdest du jetzt so grundsätzlich also ich kenne das aus der, 00:31:14.079 --> 00:31:21.722 aus der IT Security, in der ich ja auch tätig bin, dass man sich halt ein Fredmodel macht und eben gesagt, okay, was möchten wir erreichen, was möchten wir bauen? 00:31:21.758 --> 00:31:33.421 Was sind potentielle Bedrohungsszenarien und dann begegnet man denen? Was ist jetzt so dein Eindruck, nachdem du das Sicherheitskonzept gelesen hast und die Umsetzung gesehen hast, wo hapert's eigentlich? 00:31:33.434 --> 00:31:42.789 Liegt es daran, dass die kein ordentliches äh Fredmodel haben oder liegt es daran, dass sie ihrem Fred Model nicht, 00:31:42.910 --> 00:31:51.376 gewissenhaft begegnen, wie wir also als jemand, der sich das wirklich so äh in dieser Tiefe angeschaut hat, was glaubst du, ist da eigentlich schief gegangen? 00:31:51.473 --> 00:32:02.860 Also wenn man das mal strukturmäßig ohne die ganzen feinen Facetten durchmacht, muss ja ganz, ganz, ganz am Anfang musst du ja mal eine Zielvorstellung setzen, wenn du irgendein Produkt schaffen willst, das soll irgendein Ziel verfolgen, ne. Du hast ja irgendeine, 00:32:02.896 --> 00:32:13.880 Anforderungen. Ich denke, die war schon mal bei Luca nicht ganz klar äh definiert, sondern man hat versucht, äh ein Problem zu lösen, was noch nicht scharf umrissen ist. Und hat da erstmal eine Lösung drumrum gestrickt. Ähm 00:32:13.779 --> 00:32:22.329 wurde das schon mal vom normalen Make-up weicht. Woanders hast du ich sage mal eine eine funktionale Lücke, die gedeckt werden soll. Das kann man mit einem Software, 00:32:22.588 --> 00:32:34.768 machen und dann fängst du an, das zu designen, erstmal in der Architektur, dass da ist nun mal Pen und Paper, Theorie, aber da wird von Anfang an Security, von Anfang an äh Informationssicherheit und Datenschutz betrachtet, bei Design. 00:32:35.598 --> 00:32:42.988 Und dann kommst du irgendwann zu einer Architektur und dann kommst du irgendwann zu einer Realisierung und wenn man äh äh wo diese, 00:32:43.205 --> 00:32:56.124 Security, Datenschutz und so weiter natürlich immer weiter mit berücksichtigt werden. Und man dann auch sagen kann, okay, ich kann bestimmte Feinziele nicht mehr erreichen oder ich muss dafür äh Risiken in Kauf nehmen oder ich gebe Security auf. Und ich, 00:32:56.197 --> 00:33:00.853 bei Luca. Äh so ließ sich das auch an vielen Stellen, egal ob denen das Konzept, 00:33:00.908 --> 00:33:07.193 in der Security, es heißt ja nicht mehr Security-Konzept, Gott sei Dank, Sicherheitskonzept sieht deutlich anders aus, 00:33:07.235 --> 00:33:21.831 das siehst du so richtig oder es kommt beim Lesen so vor, auch beim Code als wurden immer nachträglich Sachen angepflanzt und äh geflickt schustert, was erstmal gar nicht so gedacht war. Ich meine, muss jetzt vorsichtig sein in dem äh äh, 00:33:22.018 --> 00:33:31.427 Security-Konzept oder in dem, was da veröffentlicht wurde, als Security-Konzept stand am äh am Anfang standen ja noch die äh, 00:33:31.524 --> 00:33:41.475 wissenschaftlichen Mitarbeiter drin, die sind, glaube ich, mal in einem Update schon mal rausgenommen worden. Ich denke, das ist auch ein Zeichen dafür, weil nicht alle Aspekte ähm. 00:33:41.902 --> 00:33:46.168 So anfangs geplant waren, dass nur jeder sagt, ja ich trage das so mit, 00:33:46.402 --> 00:33:55.908 Die Schlüsselanhänger sind, glaube ich, so ein richtig Überhangding, wo man gesagt hat, okay, das ist ein Feature, das wollen wir irgendwie haben und versuchen da äh da wollen wir irgendwie haben und versuchen, das jetzt in 00:33:55.903 --> 00:34:05.018 Architektur zu pressen, die schon da ist und da ist halt versucht worden, alles was logisch in der App existiert, auf Schlüsselanhänger abzubilden, das geht halt nicht. 00:34:05.379 --> 00:34:17.883 Na weil es sind, das sind nur feinere Funktionalitäten dahinter, du hast Scanner, du hast User, die haben alle eigene äh Schlüssel, eigene IDs und auf den Schlüsselanhänger wird das alles zusammengepresst und niemanden in die Hand gedrückt, 00:34:18.094 --> 00:34:22.871 von irgendjemandem. Da passt halt das ganze Trustmodell nicht mehr, ne, was da dahinter steht. 00:34:23.208 --> 00:34:33.129 Ja, weil Markus, du musst ja verstehen, die CDU äh die leben ja hauptsächlich von Letztwählern, ne und die, die haben ja keine. 00:34:32.840 --> 00:34:34.312 Brauchen die Schlösser. 00:34:34.619 --> 00:34:42.989 Ja, ich sage, ich sage mal, den Angreifer freut das nur, weil man muss auch sagen, es ist eine lange äh ich war ja froh, dass man über diesen. 00:34:43.429 --> 00:34:56.972 Was falsch gemacht, strang wenigstens ein paar Informationen bekommen hat, wie viele Anhänger so im Umlauf sind. Es sind, glaube ich, ich müsste jetzt Lügen zuletzt dreißigtausend, vierzigtausend, ich weiß es nicht genau, gewesen, die da erstellt wurden. 00:34:57.868 --> 00:35:03.390 Ich glaube, zur Zeit von Luca Dreck waren's noch zwanzigtausend, also da wird auch kräftig nachproduziert. 00:35:03.427 --> 00:35:16.899 Und dann sagt man ja, ah, das ist so ein geringer Anteil, ne, das Risiko ist nicht hoch, aber alleine bei den Lücken gut, das passt jetzt zumindest bei den Sachen, die ich mir angeguckt habe, wenn ich ein äh die Nutzertaten von einem Schlüsselanhänger ändern kann, mal 00:35:16.671 --> 00:35:23.160 eine Seelennummer öffentlich geworden ist und kann diesen einen Schlüsselanhänger in beliebig viele Locations einchecken. 00:35:23.563 --> 00:35:29.944 Ähm und manipuliere die Daten davon, so dass sie vielleicht was auslösen oder auch nur das Gesundheitsamt, 00:35:30.101 --> 00:35:38.838 zusätzliche Arbeit kosten, äh dann je mehr ich den verwenden kann, um inso mehr Infektionsketten bringe ich den ein, 00:35:38.856 --> 00:35:53.854 Dafür reicht mir eine so eine Seriennummer an, dafür für solche Szenarien ist das unerheblich, ob das nur einen ganz kleinen Systemanteil ausmacht, ob ich da hundert Seriennummern habe oder eine oder vierzigtausend, das spielt dann keine Rolle mehr, weil ich schon mit einer beliebig viel. 00:35:54.666 --> 00:36:02.742 In dem System, ja, ich sage mal, äh Workload erzeugen kann. Und auch für das Gesundheitsamt Workload erzeugen kann. Das ist. 00:36:03.169 --> 00:36:08.559 Ist schön für halt die Leute, die die brauchen das nicht. Ich glaube die Leute, für die, die vorgesehen sind, brauchen das nicht. 00:36:08.385 --> 00:36:13.738 Äh ich habe auch so den Eindruck, meine klang ja schon an, ne, so dieses, 00:36:13.793 --> 00:36:25.342 Was war denn eigentlich das Ziel und was hat man sich denn eigentlich für ein Modell gemacht? Und das ist ja oft auch damit äh verbunden, so mit der Frage, okay, was will man eigentlich letzten Endes bewirken, was was ist sozusagen. 00:36:25.799 --> 00:36:30.612 Der eigentliche Zweck dieser App. Und ich werde immer so diesen Verdacht nicht los. 00:36:31.159 --> 00:36:41.627 Dass es eigentliche der eigentliche Zweck dieser App ist halt so minimal vor Stoß zu machen, der dazu führt, dass irgendwie Events. 00:36:41.921 --> 00:36:50.135 Und Gastronomie und sozusagen das kulturelle Leben wieder stattfinden kann. Was ich nicht sagen will, dass das jetzt ein illegitimes Ziel ist, 00:36:50.352 --> 00:36:59.209 ja? Nur ähm es ist natürlich schon so ein bisschen es ich habe jetzt nicht jedem Interview mit Smudo gefolgt. 00:36:59.540 --> 00:37:09.112 Das das könnte ich gar nicht ertragen, aber äh es war ja so eine so ein bisschen so dieses heilsversprechen ist hier, da gibt's was zum Scannen. 00:37:09.863 --> 00:37:14.358 Und das ist dann so ein bisschen so diese Absolution, die man dann erteilt mit, 00:37:14.502 --> 00:37:26.442 Ja und wenn das dann irgendwie gescannt ist, dann dann ist ja für alles gesorgt. Dann haben wir irgendwelche Vorgaben erfüllt, die auf dem Papier sind, aber eigentlich auch keinen Sinn machen. Und daraufhin hat man das Ding halt, 00:37:26.484 --> 00:37:32.451 optimiert. Also man hat halt äh eigentlich diese Kontaktlisten soweit digitalisiert. 00:37:32.788 --> 00:37:39.614 Und einfach nur nachgebildet, was ja sagen wir mal so ein klassischer Verlauf ist von, 00:37:39.717 --> 00:37:53.297 Development und äh oft auch legitim ist, ja, dass man einfach etwas nimmt, was so in der realen Welt stattfindet, aber dann eben digitalisiert, nur dass die Implikation natürlich jetzt in dieser Situation ähm vielfältiger sind 00:37:53.225 --> 00:37:58.693 weil's mit Gesundheitsdaten zu tun hat. Weil's ein aufgeladenes Thema ist. Weil 00:37:58.567 --> 00:38:11.642 hoher Zeitdruck existiert, weil wenn etwas nicht funktioniert, ist auf einmal eine große Aufmerksamkeit erzeugen kann und sich sehr viele Leute natürlich darüber zurecht auch aufregen und das ist so ein bisschen der Punkt, wo ich so den Eindruck habe, 00:38:11.535 --> 00:38:19.839 dass es ihnen auch so ein wenig entglitten ist. Dass sie äh am Anfang dieses Development gedacht haben, na ja Kontaktlisten, was kann da schon so schwer sein 00:38:19.815 --> 00:38:27.410 dem Ziel entwickelt haben und dann irgendwann durch die auch selbst herbeigerufene Relevanz 00:38:27.375 --> 00:38:40.864 Dieses aufblähen in der Öffentlichkeit so, ja was wollt ihr denn hier? Wenn wir unsere Zauber-App äh in die Welt streuen, dann dann können wir sofort wieder äh äh uns stundenlang äh kiffen, ins Hinterzimmer setzen. 00:38:41.261 --> 00:38:50.172 Das war ja so ein bisschen so dieses Versprechen, was im Raum war. Hä? Nur mit einem QR-Code und dann kamen eben diese ganzen Realword-Anforderungen 00:38:50.041 --> 00:39:04.432 die halt dann einfach in dem Moment greifen, wo es heißt, okay, jetzt bauen wir aber nicht nur eine kurze Digitalisierung von so einem Sicherheitssystem und wir machen das mal mit den Zetteln einfacher, sondern wir bauen jetzt quasi eine, 00:39:04.607 --> 00:39:15.110 Lösung, um wirklich so eine Pandemie zu entflechten. Und daran sind sie dann, glaube ich, als als System ein wenig gescheitert. 00:39:16.307 --> 00:39:23.330 Ja, man muss auch mal ähm ich glaube, das erfasst das ganz gut, aber es gibt eben auch so, 00:39:23.571 --> 00:39:29.021 Facetten äh ich glaube, das was du gerade beschrieben hast, Tim, das ist ähm das. 00:39:29.664 --> 00:39:37.830 Endergebnis, wo man sich jetzt hin entwickelt hat, was man eigentlich verkaufen will. Aber das Produkt war schon, das war schon lange im Einsatz, da ist noch äh 00:39:37.801 --> 00:39:45.594 dadrüber nachgedacht wurden, ob man das vielleicht mal für Ticketing verwendet. Es ist und so ist es ja jetzt auch gekommen ähm. 00:39:46.105 --> 00:40:00.587 Da impfnach eingepflegt wurden, ne? Also es ist die Zielsetzung und das Feature-Set, das ist gar nicht klar umrissen. Während noch an allen Ecken und Enden Probleme sind, weil diese, ich sage mal, die Basic Features, das, was du gerade gesagt hast, dass du Kontakt. 00:40:00.882 --> 00:40:02.390 Listen irgendwie. 00:40:02.744 --> 00:40:12.010 Erfassung im Gesundheitsamt bereitstellt, um im Endeffekt die Forderung vom Infektionsschutzgesetz oder auch von den Corona-Schutzverordnungen, so wie sie jetzt noch aussehen, abzu, 00:40:12.209 --> 00:40:21.757 abzudecken nicht mal die Funktionalität ist ja richtig gewährleistet, das ist aber das Core-Feature, was verkauft wird, das heißt aber nicht, dass da also für mich zumindest und ich, 00:40:21.805 --> 00:40:29.484 mich tatsächlich erst ein paar Wochen damit, dass das von Anfang an so aussah, als wäre das das ganz klare Ziel der App. Er war eigentlich eher. 00:40:30.152 --> 00:40:39.033 Des Systems, aber eigentlich viel. Also für mich ist das heute noch unscharf, ne? Wo will man hin damit? Was soll das künftig können? 00:40:39.148 --> 00:40:52.836 Also was sie ja sehr gut hinbekommen haben, ist und das ist ja wirklich auch bärenstark, ne. Wenn du irgendwo dran schreibst, verschlüsselt, dann denken alle so, boah Hammer. Hammer! Ne? Also. 00:40:52.584 --> 00:40:55.257 Und der doppelt verschlüsselt. 00:40:54.999 --> 00:41:02.595 Genau hier ist doppelt verschlüsselt so. Junge, Junge, Junge, so. Das ist äh unglaublich, was wir hier haben, ne. 00:41:02.295 --> 00:41:06.627 Frage, seit was und womit aber. 00:41:06.422 --> 00:41:18.092 Genau, was ist verschlüsselt? Welche Daten fallen trotzdem an, ne? Wir also, was wir auch gerade sehr schön geschildert hast, was du einfach nur aus Metadaten dir rekonstruieren kannst, ist halt. 00:41:18.387 --> 00:41:32.640 Der größere Teil dessen, was relevant ist, es gibt diesen, ich glaub Netzpolitik Orkate inzwischen für sich auch so 'n bisschen reklamiert, wer hat uns verraten Meterdaten, ne? Wenn die Metadaten dich halt einmal deinen Schlüssel. 00:41:33.476 --> 00:41:40.914 Mit der Telefonnummer linken und deine IP-Adresse, mit den Schlüsseln, dann ist halt am Ende nix mehr übrig, 00:41:41.113 --> 00:41:55.078 in den verschlüsselten Werten, was da noch ähm rauszupulen wäre. Gleichzeitig ähm ist es natürlich als Werbedingende in einer Welt, wo überall die Daten rausgetragen werden, halt hinzugehen und zu sagen, so Leute, 00:41:55.228 --> 00:41:58.220 Bei uns ist es so verschlüsselt. Verschlüsselt doppelt. 00:41:59.519 --> 00:42:08.273 Doppel haste nicht gesehen, ne? Und äh dann alle sagen so, boah, endlich hat der Smudo das verschlüsselt. Endlich, 00:42:08.508 --> 00:42:11.825 und und dann ist auch irgendwie Feierabend, dann ähm. 00:42:12.060 --> 00:42:14.811 Smudo hat die Pandemie verschlüsselt. 00:42:15.581 --> 00:42:24.696 Ne? Unabhängig davon, dass äh und das wäre der zweite Punkt, sich noch kurz anmerken würde, dass natürlich ohnehin die. 00:42:25.917 --> 00:42:30.020 Also contact tracing ist ein wichtiger Beitrag zur. 00:42:30.303 --> 00:42:41.618 Einhebung des ähm Infektionsgeschehen. Da sind wir uns sogar einig, das wissen wir. Es ist nun nicht so, als wäre contact tracing allein in der Lage, ähm. 00:42:42.604 --> 00:42:56.160 Dass äh dieses Problem der Pandemie für uns zu lösen, auch wenn äh das immer wieder äh dahergeredet wird. Und was ich glaube, hm um das so ein bisschen zusammenzufahren, was er gerade gesagt hat. 00:42:56.575 --> 00:43:03.809 Die haben, glaube ich, nicht unbedingt, als sie angefangen haben mit dem Ding, gedacht so. 00:43:04.332 --> 00:43:06.856 Boah Alter, das verkaufen wir an die Länder? 00:43:07.181 --> 00:43:20.863 Und dann dann kassieren wir da in Wartungsverträgen Millionen. Also, dass sie dachten, das ist eine Millionen Idee ist, ist schon klar, sonst hättest du nicht irgendwie diese Fantastic Capital äh Investoren, 00:43:20.996 --> 00:43:26.049 dazubekommen, na? Aber dass sie dachten, das ist eine Multimillionen 00:43:26.031 --> 00:43:35.429 Idee und wir verkaufen's ausrechnen an den Staat. Ich glaube, das war den Anfangs nicht klar. Die haben vielleicht gedacht, alles klar, vielleicht verkaufen wir das eine oder an das eine oder andere Land. 00:43:36.541 --> 00:43:43.217 Vielleicht verkaufen wir es einfach um massenhaft an die Gastronomie, vielleicht verkaufen wir's an äh Ticketanbieterin. 00:43:43.530 --> 00:43:48.625 Viertausend Leute, ne, oder fünftausend sogar. Und ähm. 00:43:49.382 --> 00:43:57.693 Aber dass die dachten, dass sie damit am Ende wirklich den Fiskus äh an die Nadel hängen und und um wirklich. 00:43:58.186 --> 00:44:11.994 Was sind da zweiundzwanzig, fünfundzwanzig Millionen Euro erleichtern? Äh ich glaube, das war den in dem Moment, wo es passiert ist, haben die sich halt denen wahrscheinlich ein Ei aus der Hose gehüpft und dann äh aber wirklich auch das äh. 00:44:12.602 --> 00:44:19.175 Das das Herz äh runtergerutscht, weil sie gemerkt haben, fuck, Alter, wenn die jetzt sehen wollen, dann dann stehen wir ein bisschen blöd da, oder? 00:44:20.498 --> 00:44:30.124 Ja, den Fehler kannst du aber in einem Start-up nicht alleine anrechnen, ne? Da musst du auch schon den Käufern. Das sind ja nicht die, die es am Ende haben wollen, die Käufer und die sagen mal, 00:44:30.322 --> 00:44:42.238 Verwalter, das sind ja alles öffentliche Mittel und die, die den Bedarf haben, der gedeckt werden muss, das sind ja leider auch nicht immer die gleichen. Und manchmal werden die, die den Bedarf artikulieren müssen, auch gar nicht angehört, 00:44:42.431 --> 00:44:48.842 Ja, ich weiß schon, du willst das schon abrunden, ich merke das schon, aber ich wollte nochmal was, ich muss nochmal. 00:44:49.197 --> 00:44:53.024 Ne, weil der Tim, der Tim hat das so schön versucht, auf was, 00:44:53.169 --> 00:44:59.815 greifbares zu reduzieren, was Luca eigentlich ist, ne? Und wenn du wenn du das wirklich mal versuchst und, 00:44:59.977 --> 00:45:12.277 Aus dem Werbeversprechungen, die Essenz rausziehst, ja, dann versprechen die ja, äh, Entlastung der Gesundheitsämter, Kontaktdatenerfassung, plausibel und verwertbar für die Gesundheitsämter und keine, ich sage mal, gar Bettaten 00:45:12.211 --> 00:45:18.695 die bei den Gesundheitsämtern auflaufen. Also die reine Digitalisierung der Kontaktlisten. 00:45:19.308 --> 00:45:31.909 Nur dass das Gesundheitsamt die eben im Bedarfsfall sehr viel schneller abgreifen kann. Wenn du aber anguckst, was von dem Versprechen tatsächlich üble äh übrig ist, ja. Wir wissen äh die die Nutzerkontaktdaten wären nicht, 00:45:31.915 --> 00:45:40.634 verifiziert, bis auf die Telefonnummer, was ich auch nach wie vor umgehen lässt, sie zu verifizieren, weil es wird auch teuer, denke ich mal, das nacherträglich einzuführen. 00:45:41.368 --> 00:45:48.320 Du hast keine Kontaktdaten. Okay, dann weißt du aber nur, du hast ein Kontaktdatum, das ist die Telefonnummer. Ja, aber du kennst das, 00:45:48.579 --> 00:46:02.513 überall einloggen, ja? Weil und nirgends, ja, du kannst mit trotzdem mit falschen Daten einloggen, also auch die Kontaktlisten sind falsch, ja? Und jetzt kommen die, jetzt gehen wir mal von aus, dass das alles nicht passiert. Jetzt kommen diese Kontaktlisten zum Gesundheitsamt. 00:46:03.355 --> 00:46:12.789 Ähm dann wird damit geworben, dann werden die Leute schnell gewarnt. Nein. Weil das Gesundheitsamt muss sie ja alle abfragen und die Relevanz prüfen, ja? Wird das System kann jetzt sagen, ja, 00:46:12.843 --> 00:46:19.933 eine Liste von der Location XY ist vom Gesundheitsamt abgefragt worden, kann jetzt dem Nutzer sagen, du bist abgefragt worden, 00:46:20.204 --> 00:46:24.122 Das ist ja aber nicht automatisch eine Warnung vom Gesundheitsanwalt. Das Arbeit, 00:46:24.248 --> 00:46:38.267 das Gesundheitsamt hat ja immer noch die Aufgabe nachzuvollziehen, ob jetzt diese Kontaktliste irgendeine jeder, der da drauf stand, irgendwie Infektionsrelevant war, ne? Und muss den Menschen dann anrufen, so er denn erreichbar ist unter der angegebenen Telefonnummer. 00:46:38.592 --> 00:46:42.185 Und den Befragten, also ich sage mal, der Aufwand ist dergleiche wie vorher. 00:46:42.678 --> 00:46:52.502 Die die Kontaktlisten werden nicht besser, also es bleibt von den von den Werbeversprechen bleibt nichts übrig, ohne dass du in die Sicherheitslücken guckst. Die Risiken, die diese Lösungen alle. 00:46:53.272 --> 00:47:01.624 Mit sich bringen. Die kommen eigentlich on top dazu, äh zu keiner Verbesserung aus meiner Sicht. So werde ich's mal versuchen versuchen, reduziert zu betrachten. 00:47:02.346 --> 00:47:15.415 Das ist, glaube ich, sehr, sehr schön zusammengefasst an der, an der Stelle muss man immer nochmal sagen, das Einzige, was contact racing leisten kann, ist halt schneller, den Leuten Bescheid sagen, damit sie ihrerseits die Kontakte reduzieren, 00:47:15.578 --> 00:47:24.195 dann erst wirkt es, ja? Und diesen Wertbeitrag, den den sieht man auch ohne die ganzen Sicherheitslücken kaum. 00:47:25.307 --> 00:47:31.063 So, jetzt sind wir, glaube ich, an dem Punkt angelangt, dass wir uns mal langsam darüber Gedanken machen können. 00:47:31.544 --> 00:47:38.790 Schwachstelle du jetzt demonstriert hast, denn interessanterweise in deinem Video sagst du ja. 00:47:39.170 --> 00:47:47.918 Das wurde schon vor drei Wochen gemeldet und du hast es jetzt nur noch noch einmal demonstriert, was ist denn da passiert? 00:47:49.048 --> 00:47:54.216 Ja erstmal sind das alles keine Schwachstellen auch keine Sicherheitslücken. Das sind ja meistens, 00:47:54.252 --> 00:48:07.995 Es wird von Luca immer umtituliert. So wenn sogar wenn ich die Bitte, ja komm, ich habe nicht so Zeit, eine Advisory zu schreibe, mach doch mal selber ein Ischio auf, dann heißt das dann auch nicht mehr Security Echo oder so, da können zig Schutzziele IT-Sicherheit betroffen sein. 00:48:07.695 --> 00:48:08.914 Immer nur ein Error, ne. 00:48:08.614 --> 00:48:12.495 Funktionaler Fehler hinterher, ja. 00:48:12.280 --> 00:48:13.563 Also die haben die haben bis heute. 00:48:13.313 --> 00:48:14.502 Ne 00:48:14.270 --> 00:48:22.440 Das ist Tim, der du kannst dir das nicht vorstellen, ne? Die haben bis heute nicht eine Eins, nicht ein einziges Mal gesagt, 00:48:23.276 --> 00:48:31.412 Es gab eine Sicherheitslücke, die ganz im Gegenteil, die leugnen das ja sogar aktiv, ne, also Luca Track und so, alles keine Sicherheitslücke. 00:48:32.248 --> 00:48:36.880 Ja, heute bei dem Ding war's sogar ganz konkret, das ist keine Sicherheitslücke. 00:48:36.598 --> 00:48:44.277 Unglaublich. Aber okay, also es war keine Sicherheitslücke. Es war ähm es war ein völlig überraschendes Feature. 00:48:44.133 --> 00:48:51.795 Genau dieses Feature, was eigentlich vor drei Wochen aufkam. Ähm es geht um äh es ging um. 00:48:52.240 --> 00:48:56.770 In oder CSV im engeren Sinn. 00:48:57.822 --> 00:49:02.533 Und man hat ja auch gesehen in dem Video von mir, da stehen ziemliche viele Credits hinten drin, weil ich habe. 00:49:03.645 --> 00:49:16.372 Thema gar nicht selber aufgetan, denn ich habe an einer anderen nicht Sicherheitslücke von Luca gearbeitet äh und hatte quasi das Setup fertig, um das schnell noch zu testen und äh Idee, wie man, 00:49:16.414 --> 00:49:20.356 ansetzen kann. Also äh ganz klassisch. 00:49:21.161 --> 00:49:27.519 An sich adressiert erstmal Tabellenkalkulation. 00:49:28.564 --> 00:49:39.621 Klassisch Excel, ja, also Microsoft-Systeme mit Microsoft Office ausgestattet, klassisch ist das eigentlich immer Excel und zwar diese Funktionalität, dass man in Zellen Formeln eintragen kann. 00:49:40.469 --> 00:49:51.849 Nicht nicht Makros, das möchte ich nochmal betonen, weil wir reden nicht von Programmierungen oder VBH, so wie das jetzt in einigen Medien äh gekommen ist, formeln und dieses Formeln, äh je nach 00:49:51.783 --> 00:49:59.102 Excel oder Office-Version, die können halt nette Sachen, wie auch ähm, ich sage mal, ein Beispiel ist, dass du sagst, 00:49:58.982 --> 00:50:05.808 der jetzt in dieser Tabellenzelle sehen soll, der wird mit einer Formel generiert, die der mir den von irgendeiner Webseite runterlädt. 00:50:06.482 --> 00:50:13.969 Für einen Angreifer heißt das, ich kann in eine äh Zelle was eintragen, was mir dabei hilft auf einen externen Sover zuzugreifen. 00:50:13.867 --> 00:50:23.781 Markus da müssen wir mal kurz noch was anderes äh nochmal vielleicht zusammenfassen, ne? Also das wäre jetzt mal den Kontext verstehen. Also du hast diese, 00:50:23.854 --> 00:50:27.495 Sicherheitslücke in diesem Video dokumentiert. Das haben ja die Anna jetzt alle noch nicht gesehen. 00:50:27.448 --> 00:50:36.527 Ja, worum geht es? Es geht um die vorhin äh genannten Komponenten. Konkret die Anbindung von diesem Luka 00:50:36.485 --> 00:50:46.406 System, was ja aus der App besteht und aus deren Backend besteht, ja, sie Daten fließen jetzt ins Gesundheitsamt. Darum geht es, ne, diese 00:50:46.358 --> 00:50:59.043 sogenannte Anbindung ist ja eigentlich nichts anderes als so eine Art Exportgenerator, also das Gesundheitssystem kann sich quasi an dieses System ranpflanzen und sagen, jetzt gib mal her die Daten. 00:50:59.350 --> 00:51:07.960 Für diese für diesen Ort, ja, wo äh Aktivität stattgefunden hat, die von dieser Luka-App äh aufgezeichnet wurde. 00:51:08.273 --> 00:51:17.923 Und jetzt möchte gerne das Gesundheitsamt diese Daten haben und diese Daten erhält sie ganz klassisch in so einem Textbasierten 00:51:17.773 --> 00:51:30.470 Datenexport. Das heißt, man kriegt so eine CSV Datei oder man hat die Möglichkeit, verschiedene Formate äh zu wählen und das Beispiel, was du dort gibst, ist halt diese CSV-Datei 00:51:30.320 --> 00:51:39.802 So und dann liegen die Daten erstmal roh vor. Man könnte sagen, es ist eine Art Download. Ja, es ist ja auch nichts, nix anderes wirklich. 00:51:39.592 --> 00:51:48.816 Es ist alles ein Download. Also du kommst an die Daten aus dem Lukas-System, das Gesundheitsamt kommt an die Rohdaten, immer nur als Download dran, weil es gibt. 00:51:49.633 --> 00:51:56.315 Glücklicherweise würde ich jetzt sagen, noch keine automatisierte Schnittstelle zu anderen Verfahren. Noch nicht. 00:51:56.196 --> 00:52:02.703 Genau, ja okay, gibt's nicht, aber so ist es jetzt, nur dass man sich das vorstellen kann. Also wir reden jetzt hier über diesen Zeitpunkt 00:52:02.673 --> 00:52:10.544 wo das Gesundheitsamt sagt, so jetzt müssen wir uns aber wirklich mal diese Daten holen, man hat den entsprechenden Schlüssel, um diese Daten zu entschlüsseln und erhält 00:52:10.401 --> 00:52:25.027 unverschlüsselte Exportdaten auf das eigene System, also im Normalfall natürlich irgend so ein Windows-Computer, wo dann so eine ganz normale Datei rumliegt und diese wird dann geöffnet und sie wird dann halt dann doch sehr oft, das wissen wir 00:52:24.901 --> 00:52:30.633 in einer stinknormalen Tabellenkalkulation, also in Excel aufgemacht. 00:52:30.741 --> 00:52:36.768 So und das ist natürlich immer ein Problem, weil wenn die Daten halt in irgendeiner Form. 00:52:37.153 --> 00:52:44.520 Anders sind, als man das jetzt vielleicht so erwartet oder konkreter anders als die Software sie erwartet, 00:52:44.520 --> 00:52:49.976 dann kann halt auch schon mal was schief gehen. Und das ist im Prinzip ja hier der Angriffspunkt, wenn ich das richtig verstehe. 00:52:50.115 --> 00:52:58.593 Ja, das ist sogar ein äh verbreitetes Problem. Man muss ja auch sagen, ein Problem, was äh viele Hersteller äh sogar aus Backbountees 00:52:58.486 --> 00:53:05.636 ausschließen, bewusst ähm also erstens äh, 00:53:05.775 --> 00:53:19.228 Daten, wenn man speziell vom CSV spricht, auf einem normalen Büro, Arbeitsplatzsystem, was ein Office installiert hat, muss man erstmal sagen, äh eine CSV-Datei, die ist standardmäßig mit dem Office-Produkt verknüpft, also mit Excel 00:53:19.067 --> 00:53:25.418 die ablegt und doppelt anklebt und hat vielleicht auch keine Dateerweiterung angezeigt, dann sieht man nicht mal, dass das 00:53:25.304 --> 00:53:31.475 reine Excel-Tabelle ist, sondern ist Excel erstmal das äh die Software der Wahl, um die zu öffnen. 00:53:31.175 --> 00:53:34.004 Voreingestellte Tool einfach dafür, ne. 00:53:33.741 --> 00:53:37.418 Das ist da die Ford sozusagen genau, dass das in Excel geöffnet wird. 00:53:37.376 --> 00:53:40.969 Genau. Und CSV, wem das nicht sagt, heißt einfach nur 00:53:40.831 --> 00:53:52.524 Komma separierte Werte. Ja, das heißt, es ist einfach, wenn man das in normalen Texteditor aufmachen würde, sieht man einfach einen Datensatz pro Zeile. Die einzelnen äh Werte mit Komma 00:53:52.435 --> 00:54:01.652 getrennt. Das ist dann nicht unbedingt zwangsläufig immer ein Komma, ist auch manchmal ein Semikolon oder ein Tab, aber das finde ich jetzt auch ein bisschen zu weit. Es geht einfach um strukturierte Daten in Textform. 00:54:01.581 --> 00:54:15.587 So und das heißt, man äh öffnet die und dann geht halt in der Regel das voreingestellte Programm auf und das ist dann eben Excel, was ja auch Sinn macht, weil es handelt sich ja letzten Endes um tabellarische Daten und man will ja letzten Endes auch hier auch ein tabellarischen 00:54:15.474 --> 00:54:25.033 auf diese Daten gewinnen, um sie dann weiterverarbeiten zu können. So, alles kein Problem, oder? Was kann da schon schiefgehen? 00:54:26.212 --> 00:54:30.472 Ja, dann kommt eben diese ähm. 00:54:31.283 --> 00:54:36.992 Formel äh ins Spiel oder CSV wird das auch genannt. Ähm. 00:54:37.533 --> 00:54:44.317 Wenn du das jetzt isoliert auf Excel betrachtest, ist das wie wenn du in eine Zelle eine Formel einträgst. Die kann vor, 00:54:44.461 --> 00:54:54.827 zwei andere Zellen zusammenaddieren oder einen statischen Wert haben, die kann aber auch sagen, äh ich brauche ich muss ein anderes Programm starten, um da einen Wert reinzubringen. 00:54:54.527 --> 00:55:04.862 Gut, aber bei diesen Daten sind doch sind doch solche Formeln erstmal gar nicht drin. Ich meine, wir reden doch hier von Name, Vorname, Nachname, Anschrift, Postleitzahl, das ist doch das, was man eingegeben hat, ne. 00:55:04.820 --> 00:55:14.422 Genau da will ich hin. Wenn du jetzt ähm äh CSV-Datei in Excel lädst, dann interpretiert äh 00:55:14.404 --> 00:55:22.811 Excel natürlich diese strukturierten Daten so, äh dass das auch analysiert, ob jetzt eine Zelle mit einer Formel belegt werden soll, eine Tabellenzelle. 00:55:23.677 --> 00:55:35.304 Und wenn du die Daten in der CSV-Datei richtig gestaltest, dann kannst du das durchaus äh auslösen, dass Excel auch so eine Formel beim Öffnen anlegt und dann auch Aktionen auslöst. 00:55:35.004 --> 00:55:48.662 Ich will jetzt, ich will, ich muss da ganz kurz einhaken. Ich weiß, dass wir jetzt hier als Nerd sofort sagen, in excellence Formel. Du hast es auch gerade im Nebensatz schon gesagt, ich will nur einfach sagen, was ist die die einfachste Formel in Excel, 00:55:48.668 --> 00:55:54.070 Also der eine einfache Formel in Excel in das erste Feld schreibst du die Zahl. 00:55:54.599 --> 00:56:01.449 Eins. In die zweite Zelle der Tabelle zeigt, schreibst du die Zahl zwei. 00:56:01.864 --> 00:56:15.703 Und in die dritte kommt jetzt eine Formel, da schreibst du einfach nur gleich die Summe der ersten und der zweiten Zelle. Und dann wird in diesem dritten Ding drei stehen. Wenn jetzt in das erste Feld aber. 00:56:16.142 --> 00:56:29.752 Fünf schreibst, dann wird in dem dritten Ding sieben stehen, weil dann nämlich die Summe von fünf und zwei berechnet wird, also ein dynamischer Inhalt ist eigentlich das, was 'ne was 'ne Excel-Formel abbildet, oder? 00:56:30.137 --> 00:56:38.069 Genau, der Begriff vor mir ist eigentlich irreführend, weil du hast natürlich dynamischer Inhalt ist sehr viel passender, weil du hast natürlich, 00:56:38.147 --> 00:56:43.963 Programmierer würde es vielleicht Funktionen oder Methoden nennen, du hast natürlich mathematische Formeln. 00:56:44.733 --> 00:56:55.597 Aber du hast, wie ich jetzt gerade auch als Beispiel erwähnt habe, natürlich auch Formeln, die sagen, zieh mir die Zahl von einer Webseite runter, die da angezeigt werden soll. Oder du hast auf Hummeln, die sagen 00:56:55.471 --> 00:57:02.141 starte mal das Programm X Y und wenn das Programm abgelaufen ist, zeigst du den Wert an. 00:57:02.436 --> 00:57:15.349 Von dem Programm ausgegeben wurde. Das heißt, du kannst damit fremde Programme starten, du kannst auf fremde Webseiten zugreifen und du kannst natürlich auch sagen, okay, äh wenn du auf einer den Wert für diese Zelle, wenn, 00:57:15.355 --> 00:57:23.743 äh dass wenn die von einer fremden Webseite geholt werden soll, dann musst du da auch noch äh den Inhalt der Zelle, wo der Name steht, 00:57:23.714 --> 00:57:30.221 wo die Zahl steht, wo eine Postleitzahl steht, das musst du da vorher alles hinschicken. Das kannst du mit Excel-Formeln machen. 00:57:29.921 --> 00:57:36.675 Nehmen wir mal, nehmen wir mal ein Beispiel, wenn jetzt irgendwie hier der Tim macht ja den Podcast, äh den wöchentlichen Podcast mit 00:57:36.633 --> 00:57:49.210 Pavel über die Corona-Pandemie und die wirken da immer auf ganz vielen Zahlen, ne? Jetzt könnten die ja auch auf die Idee kommen, zu sagen, in unserem großen Excel-Ding, das machen die hoffentlich nicht. Das lädt sich. 00:57:49.973 --> 00:57:57.160 Von der EKI-Seite. Ihr die aktuellen Corona-Zeilen runter. Das wäre da so ein Anwendungsfall, ne? 00:57:57.701 --> 00:58:06.450 Genau. Das ist das ist das Entscheidende. Das ist kein Hack. Wir reden da über ein Feature von Excel und nicht nur von Excel, sondern auch von, 00:58:06.474 --> 00:58:16.840 ähnlich georteten äh Tabellenkalkulationsprodukten, weil es gibt ja einen Zweck davon, genau. Wenn du äh externe Daten runterlädst, was auch immer, wenn du das wünschst, ja, äh. 00:58:16.540 --> 00:58:18.877 Aktienkurse ist ein Klassiker. 00:58:18.577 --> 00:58:31.147 Was auch immer. Es gibt sicherlich auch Szenarien, wo man sagt, okay, damit die Tabellenzelle befüllt wird, muss ich ein externes Programm starten, was mir da das Ergebnis reinliefert, weil ich irgendein Skript geschrieben habe, was irgendwas abfragt 00:58:31.141 --> 00:58:40.743 Weißer Geier, da gibt's sicherlich viele legitime Anwendungsfelder, das ist also nicht ein Sicherheitsproblem von Excel. Ein Problem wird das, äh. 00:58:41.195 --> 00:58:53.573 Wenn ich Daten in Exce eröffnee und es ist gar nicht gewünscht, dass die solche Funktionalitäten implementieren. Das ist ein Sicherheitsproblem. Das liegt dann in der Regel aber nicht an Excel, sondern an der Datenquelle. 00:58:54.517 --> 00:59:00.153 Weil wenn ich nicht möchte, äh dass da solche Daten oder ähm. 00:59:01.223 --> 00:59:15.482 Daten, die ich in Excel öffne, irgendwelche Aktionen ausführen, dann muss ich das irgendwie sicherstellen, da gibt's zwei Methoden dafür. Das eine ist äh, dass sich der Quelle absolut vertraue, das kann ich natürlich auch technisch sicherstellen. Das andere ist, dass ich diese 00:59:15.320 --> 00:59:20.560 Datenfilter, bevor ich sie öffne, weil ich kann sie ja nicht anders in Augenschein nehmen, als sie, 00:59:20.764 --> 00:59:28.233 zu laden. Ähm wenn dann eben nicht gewünschte Funktionalitäten auftauchen, da kommen wir dann zu dem Bereich Injection 00:59:28.228 --> 00:59:41.970 Deswegen heißt das auch CSV-Injection, dass man eben in solche äh Datenquellen, die dann eben auch so kommerseparierten, strukturierten Daten kommen, eben Formeln einfügt, wovon gar nicht äh erwartet wird, dass sie da auftauchen. 00:59:42.115 --> 00:59:44.500 Eben irgendwelche Aktionen auslösen. 00:59:44.428 --> 00:59:46.104 Ja, aber Markus. 00:59:46.399 --> 00:59:55.448 Luca ist doch ein vertrauenswürdiges Unternehmen, was äh nur unsere nur die besten Intentionen hat. Warum sollten denn in diesen Daten, 00:59:55.575 --> 01:00:02.725 andere Daten äh drin landen, als die, die die User da äh irgendwann mal eingegeben haben. 01:00:02.606 --> 01:00:07.430 Ja und außerdem Markus, das ist ja auch doppelt verschlüsselt, dass er doppelt verschlüsselt Markus. 01:00:07.137 --> 01:00:08.957 Das das kommt noch dazu, ja. 01:00:08.657 --> 01:00:12.923 Da haben wir ja die Kurve zu den drei Wochen gekriegt, 01:00:13.188 --> 01:00:23.222 da sind wir ja wieder da am Anfang bei den drei Wochen. Ja, vor drei Wochen war das ja noch so. Also Lukas stellt sicher, dass es nicht passiert, dass in den Datenexporten, 01:00:23.469 --> 01:00:31.046 solche Problemstellungen auftauchen. Das war das Statement vor drei Wochen. Und jetzt habt ihr ja die Aspekte schon angerissen, ich sage mal. 01:00:31.389 --> 01:00:36.797 Jemand der mit Kommunikation zu tun hat, wird von einer Datenhebung, einer Datensenkgeräten. 01:00:37.188 --> 01:00:48.641 Gesundheitsamt exportiert Daten aus Luca von infizierten, die gedrehst worden sind, das sind die Daten, die rauskommen. Und irgendwer gibt Daten rein, das sind die Nutzer, die an dem System teilnehmen. Sind nur diese zwei Punkte, 01:00:48.863 --> 01:00:58.147 Ähm und an diesen beiden Punkten muss man sicherstellen, dass da keine Manipulation an den Daten stattfindet, die später zu was führt, was ich nicht möchte. 01:00:58.959 --> 01:01:04.583 Das hat Luca garantiert vor drei Wochen. Ähm 01:01:04.553 --> 01:01:18.524 Und dann war es so, ähm da war eigentlich dieses sehr technische, technisch spezifische Szenario, dieser CSV Injektion, schon mal Thema und ich bin vom äh von der Eva Wolfgang von der Spiegel äh von der Autorin 01:01:18.416 --> 01:01:21.480 von dem Zeitartikel kontaktiert worden. 01:01:22.484 --> 01:01:36.232 Und äh mit dem, was sie eigentlich auch schon angerissen habt, äh die hat damit angefangen, dass der Luca, wenn sie das System äh alles richtig verstanden hat, eine Datenautobahn ins Gesundheitsamt abbildet, weil der Nutzer gibt ja vorne Daten rein 01:01:36.065 --> 01:01:41.382 dann ist alles verschlüsselt, die Betreiber können da nicht reingucken und erst beim Gesundheitsamt wird das dann entschlüsselt. 01:01:41.870 --> 01:01:51.111 Das kann man so stehen lassen, wenn das System funktioniert, ist das so. Ähm und dann kam die Frage auf, ob das Gesundheitsamt denn angreifbar sei, 01:01:51.358 --> 01:02:03.496 aber schon sehr konkret, ob das mittels CSV Intection geht und da habe ich gesagt, das ist für mich äh hypothetisch. Man kann diese Frage nicht äh belastbar beantworten. Ohne ähm, 01:02:03.658 --> 01:02:14.126 Nachweis zu erbringen oder das auszuprobieren. Also das war für zu dem Zeitpunkt für mich gar kein Thema und ich hätte mich da auch vage in meinen Aussagen erhalten und ich hätte es auch gar nicht zitiert 01:02:14.120 --> 01:02:18.927 gesehen haben wollen, bis mir die Eva Wolfe angelt dann gesagt hat, ja sie hat aber schon das Statement. 01:02:19.408 --> 01:02:27.640 Senior dazu ähm und das war äh in die Richtung des Mexingo gesagt hat, ja äh, 01:02:27.827 --> 01:02:32.730 Wir kennen dieses Problem und wir tragen dem Rechnung mit Projekt. 01:02:33.890 --> 01:02:37.020 Das ist, dass ich technisch, dass es einfach nur Bullshit. 01:02:37.291 --> 01:02:49.801 Ja, da musste ich erstmal schlucken und überlegen und habe gesagt, okay, eben hätte ich noch gesagt, ich möchte nicht in dem Artikel zitiert werden, aber jetzt kann ich auch sagen, ohne mir das Problem anzugucken, heißt das ja, erstens. 01:02:50.169 --> 01:03:04.037 Man hat eingestanden, dass ein Risiko besteht, äh dass Daten so durchlaufen, dass damit eine CSV Injektion möglich ist, sonst könnte man, müsse man dem nicht Rechnungen tragen mit einer Maßnahme und die Maßnahme ist und äh, 01:03:04.302 --> 01:03:10.262 Ist ein Visualisierungsframe. Man kann es auch im Backend einsetzen, was auch immer Projekt alles kann, was es nicht, 01:03:10.443 --> 01:03:21.661 Macht es, dass es ein Sicherheitsprodukt ist, was äh eingegebene Daten gegen CSV Injections filtert und überhaupt gegen Code Injections. Wenn man vielleicht mal den Webanteil ausnimmt. 01:03:21.530 --> 01:03:29.437 Ich übersetze mal die Qualität der Antwort ist ungefähr so ähm wir lösen das mit Windows. Ne, das ist irgendwie. 01:03:29.137 --> 01:03:37.784 Ich habe das, ich habe auch schon versucht, solche Vergleiche zu ziehen, nee, das ist besser hier auch gemacht. Ich hab's mal so gesagt, ähm. 01:03:38.217 --> 01:03:46.311 Auch für die, die mir solche Fragen gestellt haben. Ja, das ist jetzt wie wenn du für irgendeinen wahllos rausgegriffene Autohersteller äh behauptest, 01:03:46.257 --> 01:03:57.962 Die Bremsen können da kaputt gehen. Ja, bei jedem Auto können die Bremsen kaputt gehen, diese Behauptung muss erst wertvoll, wenn du belegt hast, da ist ein besonders hohes Risiko, weil Bremsschläuche zu dünn oder sowas, ne? Das wäre jetzt dieses Szenario, was, 01:03:58.011 --> 01:04:06.207 was hat mich äh was hat mich Eva Wolfangel da gefragt? Ja, bei jedem Auto können die Bremsen kaputt gehen, aber ich habe hier kein besonderes Risiko, 01:04:06.291 --> 01:04:12.547 Jetzt sagt sie mir aber dann quasi im nächsten Atemzug ja, aber der Hersteller hat gesagt. 01:04:12.920 --> 01:04:19.811 Wir wissen, dass wir zu dünne Bremsleitungen haben, nur wenn die kaputt gehen, ist ja noch die Scheiben Waschanlage da. So. 01:04:20.623 --> 01:04:28.062 So so ungefähr nur in Technik. Das war das und da habe ich natürlich gesagt, okay 01:04:28.014 --> 01:04:38.974 Also all das, was ich jetzt sage, ist zitierfähig und dann habe ich auch diesen Artikel gelesen und der war ja dermaßen detailliert, also noch die der war ja auf Zeichenebene, ne, was für Zeichen verwendet man, 01:04:39.047 --> 01:04:46.834 für eine CSV. Detaillierter als wir jetzt sprechen. Und das ist ja kein, ich sage mal Technik, Fachmagazin und. 01:04:47.267 --> 01:04:51.948 Es kommt halt diese angekündigte Antwort äh äh von dem. 01:04:52.730 --> 01:05:04.152 Hersteller eigentlich von dem CEO, muss man sagen, von Culture For Life oder von Nexenu, von dem Patrick Henning, von dem Gesicht, was ganz vorne ansteht und der sagt, nee, äh da haben wir alles für Sorge getragen, das kann nicht passieren, 01:05:04.417 --> 01:05:13.737 das Szenario tatsächlich Daten vom Nutzer laufen ins Gesundheitsamt durch. Die können nicht zwischendurch gefiltert werden und sind so manipuliert, dass sie da irgendwie. 01:05:14.116 --> 01:05:25.713 Und das ganz konkret für dieses Szenario CSV Injection. Und wer selbst wer das noch nie gehört hat und googelt mal oder sucht mal nach CSV Injection, das. 01:05:26.164 --> 01:05:29.787 Ist eine Tabellenkalkulation. 01:05:30.617 --> 01:05:38.849 Es geht um die Formeln. Das ist eigentlich Fummeler Intection, also das ist ein Excel, ne. Ich habe mir selber gar nicht angeguckt. Man kann natürlich auch mit diesen. 01:05:39.168 --> 01:05:43.854 Nutzerdaten, die da durchlaufen, auch mit angebundenen Verfahren wie oder äh, 01:05:44.089 --> 01:05:57.080 was auch immer noch alles so hinten dranhängt, wo die Daten hingehen, spielen. Oder wenn die automatisch verarbeitet werden, ja, automatischer E-Mailversand, ja, dann kann man auch zusätzliche E-Mail-Adressen einfügen, weiß der Geier was nicht. Also die Daten merken nicht validiert, wurden nicht. 01:05:57.069 --> 01:06:08.720 An dieser Stelle lohnt sich wahrscheinlich nochmal so ein kurzer äh eine kurze Erdung, wie der Tim das glaube ich immer äh auf Clubhaus nennt. Also, wenn wir von Injection reden. 01:06:09.351 --> 01:06:18.677 Bedeutet, dass die Daten kommen aus dem einen Kontext in den anderen und haben in dem anderen eine neue Bedeutung. 01:06:19.362 --> 01:06:29.241 In diesem Fall, den Markus jetzt gerade beschreibt, exportieren wir aus Luka in eine CSV-Datei, 01:06:29.488 --> 01:06:37.179 dann in Excel und Excel sagt, oh, das ist eine Formel, ich greife mal aufs Internet zu. Der noch klassischere. 01:06:38.117 --> 01:06:51.943 Fall der Injection ist die äh SQL Injection, ne, der die in der in den Web-Anwendungen eine große Rolle spielt. Da ist es zum Beispiel so, dass äh quasi. 01:06:52.875 --> 01:07:06.780 Also, wenn diese Schwachstelle besteht, wenn mein Nutzername oder mein Name jetzt zum Beispiel lauten würde, äh Anführungszeichen oben, Semikolon, lösche alle Tabellen. Dann könnte ich so heißen. 01:07:07.164 --> 01:07:20.582 Und wenn ich das jetzt an die Webanwendung gebe, gibt sie das weiter an die Datenbank und sagt, hier ist grade ein Nutzer gekommen, der heißt so und so und in dem der Befehl, den die Webanwendung dann an die Datenbank schickt. 01:07:20.889 --> 01:07:32.787 Wäre wieder, würde von der Datenbank anders interpretiert werden, weil durch dieses Anführungszeichen oben und das Semi Colon äh und das lösche bitte alle Tabellen. Ähm 01:07:32.715 --> 01:07:36.675 dass es ein valider Befehl an diese Datenbank und dass, 01:07:36.759 --> 01:07:43.573 das äh das Eklige an solchen Injections ist, dass sich das, was jetzt eine kritische Bedeutung hat. 01:07:44.577 --> 01:07:53.770 Von Kontext zu Kontext ändert. Und deswegen ist es zum Beispiel so so dringend ähm in 01:07:53.729 --> 01:08:08.360 und in der Programmierung ist das ein riesiges Problem, immer und immer wieder, den Typ einer Variable zu bestimmen. Ja, wenn man anfängt zu programmieren, wundert man sich, warum ich eine Variable, zum Beispiel als äh, also als ganze Zahl 01:08:08.180 --> 01:08:12.993 oder als String. Ähm definieren muss 01:08:12.922 --> 01:08:26.959 Aber für den für den Computer bedeutet, dass die Welt, weil die ganzen Zahlen kann ich multiplizieren und wenn ich einen String mit einer Zahl multipliziere, muss ich wissen, was damit zu tun ist. Also, der eine Wert ist in dem einen Kontext komplett, 01:08:27.031 --> 01:08:31.994 ohne besondere Gefahr und in dem neuen Kontext ist er. 01:08:32.980 --> 01:08:40.797 Kritisch. Jetzt sind das zum Glück, ist das eine überschaubare Menge an ähm Zeichen, auf die man prüfen muss. 01:08:41.849 --> 01:08:45.322 Aber man muss halt das dann schon machen. 01:08:45.072 --> 01:08:53.705 Ja, da liegt gar net, ich weiß, wo du hin willst, aber das war gar nicht so das Problem. Nur ich möchte mal, ich finde das mit dem Kontextwechsel, das ist sehr super, aber ich glaube, ich habe noch ein einfaches Beispiel. 01:08:53.519 --> 01:08:56.079 Super, wenn du eine bessere Erklärung hast, dann gibt's die. 01:08:56.608 --> 01:09:06.378 Kenn das noch von von ja von den von den Simpsons von den Simpsons. Früher kenne ich das noch, ne? Ähm du weißt äh du hast diese Bar, wo du anrufst. 01:09:06.865 --> 01:09:10.386 Fragst du noch irgendeinen Namen und jetzt rufst du an und sagst. 01:09:10.897 --> 01:09:22.692 Fragst nach ja? In in deinem Kontext oder in dem Kontext des Anrufes hat Reinsch keine Bedeutung, aber du weißt in dem neuen Kontext, was da draus wird, weil der Barkeeper fragt, dann kennst du jemanden, der reinscheißt. Genau, das ist. 01:09:23.120 --> 01:09:27.025 Eigentlich eine gute Analogie dazu, was du gerade sagst zu dem Kontextwechsel. 01:09:27.194 --> 01:09:29.327 Die finde ich sehr viel besser als meine. 01:09:29.610 --> 01:09:42.006 Ja sie ist kurz aber die äh ja aber das ist äh das ist der Kern der Sache, klar. Weil äh für diese ganze jetzt gezeigte Video heißt das, wenn du ähm. 01:09:42.523 --> 01:09:52.408 Mit Nachnamen, Addierefeld eins plus mit Feld zwei heißt, ja, dann versteht da Excel was anderes drunter, als dass das dein Name ist, sondern das wird zwei Felder addieren. 01:09:52.762 --> 01:10:01.150 Und wenn da halt na also das ist der Kontextwechsel, den du beschreibst und ja ich habe ja vorhin schon mal gesagt, die Formeln können mehr. 01:10:01.463 --> 01:10:11.642 So Jungs, ihr äh habt bisher äh komplett äh vergessen, mal Big Picture nochmal äh zu berücksichtigen. Was passiert eigentlich? Also. 01:10:12.712 --> 01:10:18.264 Daten sollen übernommen werden vom Gesundheitsamt. Gesundheitsamt lädt Daten runter, 01:10:18.439 --> 01:10:23.769 System und normalerweise stehen Name. 01:10:24.256 --> 01:10:37.247 Vorname, Name, Adresse, Telefonnummer, E-Mail-Adresse. Das ist das eigentliche Ziel. Das ist das, was normalerweise passieren soll. Und das geht so lange gut, wie in diesen Daten, die da ankommen. Hoffentlich genau das drinsteht. 01:10:37.200 --> 01:10:43.142 Wenn es jetzt einen Weg gibt, dort böses Zeug reinzuschreiben, 01:10:43.280 --> 01:10:50.035 Wie zum Beispiel, dass nun hier in aller Bandbreite äh äh erläuterte äh Modell von 01:10:49.993 --> 01:11:04.156 Formeln, Anweisung quasi für Excel, die dazu führen, dass Daten auf einmal von einer ganz anderen Quelle aus dem Internet nämlich äh herangezogen und dann im schlimmsten Fall auch noch ausgeführt werden 01:11:04.012 --> 01:11:12.460 dann wäre das schlimm. Das kann aber nur dann schlimm sein, wenn diese Daten tatsächlich auch schlimmen Inhalt haben können. 01:11:12.665 --> 01:11:14.443 Dann stellt sich doch die Frage, 01:11:14.618 --> 01:11:23.409 Wie können denn diese Daten überhaupt schlimmen Inhalt haben? Wo kommt denn dieser schlimme Inhalt überhaupt her? Weil das sind doch alles Daten, die Leute auf ihren Apps eingeben. 01:11:23.950 --> 01:11:28.138 Sind doch gerade bösen Menschen. Die wollen doch nur, die wollen auch nur in die Außengastronomie. 01:11:28.451 --> 01:11:35.818 Ja, da da bist du ganz schnell bei der Tragweite, also für das Big Pactcher, wenn man sich ein Stück zurücklehnt, muss man natürlich erstmal sagen. 01:11:36.738 --> 01:11:45.173 Dass man sich in dem Video nicht gezeigt hat, ganz kurz mit erläutern, wie fragt das Gesundheitsamt ab, dass du Gesundheitsamt fragt, ja einen Einzelnutzer ab, 01:11:45.216 --> 01:11:50.744 und zwar einen mit dem schon im Kontakt steht, weil der wahrscheinlich infiziert ist, äh tauscht mit denen. 01:11:51.423 --> 01:12:02.113 Dann eine Tarn aus, um sei äh über Luca die Locationhistorie von diesem Nutzer wieder herzustellen. Das habe ich in dem Video alles unterschlagen, ne, weil äh dass der Prozess 01:12:01.916 --> 01:12:10.604 Das heißt, äh das Gesundheitsamt bekommt getan, guckt dann in sein Frontend und sieht jetzt die Daten dieses einen Nutzers und wo ist der gewesen? 01:12:11.506 --> 01:12:23.325 In meinem Beispiel hieß das ja glaube ich Bar Lounge oder so, es können natürlich mehrere Locations sein und jetzt kommt diese doppelt Verschlüsselung, die immer beworben wird. Jetzt muss das Gesundheitsamt jede Location anfragen 01:12:23.236 --> 01:12:29.959 Gibst du mir mal bitte äh ähm die Check-In-Daten der restlichen Gäste, die zum Zeitpunkt. 01:12:30.795 --> 01:12:38.727 Dem Zeitpunkt da waren, wo der Nutzer da war, den ich gerade trac. Und das sind dann quasi die Kontaktlisten, also das Gesundheitsamt geht von einem Nutzer aus, 01:12:38.835 --> 01:12:50.210 Ist auch für einen Angreifer nicht so interessant und holt sich dann von vielen Leuten die Kontaktdaten anhand von Gästelisten, also von Locations, wo die gerade eingecheckt waren, da müssen die Locations auch zustimmen. 01:12:50.865 --> 01:12:55.798 So und da bist du dann bei dem, äh wenn das Gesundheitsamt diese Daten 01:12:55.775 --> 01:13:06.013 einsehen will in dem Webfronten entziehen die nur ein Bruchteil, ja? Das sind zum Beispiel die Adressen nicht dabei, da müssen irgendwie die Daten exportiert werden, damit du zum Beispiel Straße, Hausnummer und so weiter siehst. 01:13:05.780 --> 01:13:13.718 In was für einem Format auch immer, wenn's dann CSV ist und da zwei von den drei Exportformaten sind CSV, dann kann man dann Chartcode, 01:13:13.922 --> 01:13:20.958 Ausführung auslösen und zwar genau, wenn einer ein einziger dieser Nutzer, die in dieser gesamten Datenlage 01:13:20.940 --> 01:13:30.392 auftauchen, die das Gesundheitsamt da erzeugt, in seine Kontaktdaten solchen Chartcode eingegeben hat, weil diese Entschlüsselung. 01:13:30.994 --> 01:13:42.681 Mit den in Zusammenarbeit mit der Location und in Zusammenarbeit mit dem Nutzer, der getracet wird, findet alles lokal auf der Seite des Gesundheitsamtes statt. Man sieht das zwar noch 01:13:42.568 --> 01:13:46.239 in äh der Webaplikation, aber das läuft lokal auf den Rechner. 01:13:46.828 --> 01:13:59.867 Also wenn ich dich richtig verstehe, ist es äh Angriffsszenario, was du jetzt beschrieben hast und wir müssen das äh auch jetzt, ich musste jetzt mal kurz mal von A bis Z mal äh vorstellen, weil ich glaube, wir sind irgendwie äh äh verfangen uns immer wieder in den Details. 01:14:00.336 --> 01:14:08.196 Der Angriff erfolgt auf diese Datenübergabe. Das ist sozusagen der Punkt, der jetzt hier äh, 01:14:08.376 --> 01:14:12.384 die eigentliche Schwachstelle im System darstellt. 01:14:13.081 --> 01:14:21.500 Und das Ganze ist in dem Moment äh kann es erfolgreich sein, wenn man die Möglichkeit hat, 01:14:21.669 --> 01:14:27.617 Eingabedaten gezielt zu verändern. Und das bedeutet ja, wenn ich das richtig verstehe, 01:14:27.636 --> 01:14:34.846 man hier sozusagen einen User irgendwo mit eincheckt und dessen Daten, die man dann letzten Endes verschlüsselt, ablegt, 01:14:34.912 --> 01:14:44.532 Lukas System sind irgendwie modifiziert, weil sie müssen ja diese Daten, da muss man ja irgendwie ran und die einzige Möglichkeit, da ranzugehen ist ja die App. So, 01:14:44.581 --> 01:14:55.517 Das, das ist sozusagen der Angriff, der hier äh erfolgt. Die Wirkung, die du in deinem Video gezeigt hast, die müssen wir auch noch erwähnen, ist die Daten werden modifiziert. 01:14:55.932 --> 01:15:01.166 Auf, nutzen eben dieses hier jetzt vorgestellte System mit diesen Formeln. 01:15:01.833 --> 01:15:09.759 Und bringen in dem Moment, wo der Mitarbeiter des Gesundheitsamt diese Daten exportiert und öffnet, 01:15:09.837 --> 01:15:17.384 und das muss man dazu sagen, auch nochmal zwei Wahndialoge einfach, na ja, übergeht 01:15:17.270 --> 01:15:26.260 Ja, einfach sagst du, ja, mir doch egal was, da jetzt in diesem Fenster steht, ich muss jetzt hier so lange Return drücken, bis bis die Tabelle hochkommt, so bin ich das gewohnt, ne? Das ist ja so das 01:15:26.073 --> 01:15:34.450 typische Nutzerverhalten. In dem Moment könnte ja äh das Böse auch noch aufgehalten werden. Wird es aber dann nicht 01:15:34.408 --> 01:15:48.871 Dass es durchaus ein realistisches Szenario, das wissen wir einfach, dass Leute das dann einfach tun, weil sie das normalerweise nie sehen. Ist natürlich auch nicht geschult bekommen haben und die wollen irgendwie an die Daten ran. Und sie sind vollkommen gewohnt, das Windowsprogramme 01:15:48.698 --> 01:15:58.378 immer irgendwelche komischen Dialoge aufpoppen lassen und noch irgendwelche haben wollen, bevor sie dann endlich mal was sinnvolles für einen tun. Und 01:15:58.300 --> 01:16:07.271 diese modifizierten Daten führen dann dazu, dass Excel die Daten einliest, interpretiert. 01:16:07.560 --> 01:16:13.437 Code drin steht, der äh das Herunterladen eines externen Programms, 01:16:13.545 --> 01:16:22.258 und das Ausführen dieses Programms auf dem Computer bewirkt und dein Beispiel, was du dann in dem Video genannt hast, ist das 01:16:22.156 --> 01:16:31.650 kommt also eine Software, die den Rechner verschlüsselt und Fenster aufmacht und sagt, ja, das war's dann jetzt hier mit den Daten jetzt mal her mit dem Bitcoin, sonst äh 01:16:31.560 --> 01:16:32.960 kriegt er die nie wieder. 01:16:33.718 --> 01:16:37.978 Ja, in einem realistischen Szenario würde da gar nichts passieren, weil ähm. 01:16:38.404 --> 01:16:47.610 Das ist ja eine Demo gewesen, um das ein bisschen plakativ zu machen. Die normalen Demos, da poppt der Taschenrechner auf, um zu wissen, man kann beliebig Sachen ausführen, 01:16:47.839 --> 01:16:49.941 in einem tatsächlichen Angriff 01:16:49.846 --> 01:17:03.366 für diesen einen Sweat Actor, der schnell Geld verdienen will, ist das realistisch, dass da eine Verschlüsselung stattfindet. Das würde nur so aussehen, dass nicht nach einer Sekunde diese Meldung hochpuppt, sondern erst, wenn die Daten auch alle verschlüsselt sind und es dann zu spät 01:17:03.222 --> 01:17:08.600 ist. Oder du hast halt einen also ein ein Angreifer 01:17:08.564 --> 01:17:17.710 sagt, ah, ich bin mir sehr bewusst, was ich für ein System da angreife, da möchte ich nicht schnell Geld rausquetschen, sondern viele Informationen, dann wirst du gar nichts sehen, weil das erste, was der macht, ist, der weiß 01:17:17.668 --> 01:17:19.524 Dieser Angriff über Excel 01:17:19.399 --> 01:17:32.822 wird früher oder später erkannt, wahrscheinlich eher früher, also wird er sich versuchen im System zu verstecken, einen zusätzlichen Zugang zu schaffen, dann auf andere Systeme überzugehen, damit er möglichst lange, möglichst unerkannt, 01:17:33.021 --> 01:17:45.279 viele Informationen daraus ziehen kann und gegebenenfalls auch manipulieren kann. Da wird in Excel nicht mehr als die Fehlermeldung erscheinen. Dann sieht man die der Daten und dann wird ganz langsam dieses Gesamtsystem infiziert. Das ist eigentlich eher 01:17:45.196 --> 01:17:52.802 das ist wahrscheinlich eher das was realistisch ist, was da passiert. 01:17:53.524 --> 01:18:01.209 Weil die Sachen, ich denke mal, äh da muss man auch realistisch bleiben, äh wenn man wenn man jetzt nicht davon aus, wenn man 01:18:01.101 --> 01:18:08.829 ausgeht davon, dass sie auf Profit ausgelegt sind, dann sind die auf Masse ausgelegt und dann nimmt man sich nicht so einen spezifischen Vektor wie für dieses Gesundheitsamt, 01:18:08.961 --> 01:18:20.372 Ist ein klassischer Vektor. Heißt nicht, dass das nicht geht. Und äh auch nicht, wenn wir reden ja immer nur über Cybercrime. Meistens im Hintergrund, die wollen schnell Geld verdienen und nicht. 01:18:20.769 --> 01:18:26.633 Äh viele Daten ausleiten, aber es gibt halt verschiedene Akteure und verschiedene Szenarien. Das muss man auf der. 01:18:27.109 --> 01:18:35.569 Auswirkungsseite sagen, bei dem Input muss man sagen, äh wir haben's jetzt sehr verkompliziert. Eigentlich ist es so einfach ähm, 01:18:35.690 --> 01:18:45.040 Du bist der Nutzer, du kannst als Name Schadcode in deinen Namen eintragen, Luca filtert das nicht und irgendwann ruft das Gesundheitsamt eine Kontaktliste ab, wo dein Name draufsteht. 01:18:45.659 --> 01:18:54.450 Aber wenn es den Namen liest, indem du eingefügt hast, wird das schon ausgeführt. Äh wollte ich schon fast sagen. 01:18:55.520 --> 01:19:01.348 Weil äh im Prinzip, ich hab's nicht so getestet, aber jeder Nutzer, ich habe nicht den, ich habe 01:19:01.198 --> 01:19:14.363 nur nicht den Namen mit Chart-Code hinterlegt aus einem ganz einfachen Grund, dann hätte ich im Video den Chartcode selber zeigen müssen. Deswegen habe ich ein anderes Nutzerdatum genommen. Bei mir lag der Schadcode in der äh Postleitzahl, wenn ich's jetzt richtig im Kopf habe 01:19:14.220 --> 01:19:23.576 äh was eigentlich eine fünfstellige Ziffer ist. Bei Luka kann's auch sein. Alleine das ist schon bemerkenswert, weil das könnte man sehr einfach filtern, 01:19:23.684 --> 01:19:32.668 ähm und jetzt hast du aber nicht das Risiko nur, dass ein Mensch das macht und sagt, ey ich bin der Böse, sondern äh du kannst, 01:19:32.908 --> 01:19:46.554 Beliebig viele Nutzer anlegen, weil die äh Telefonnummern, Zertifizierung noch nicht läuft, du kannst beliebig viele Nutzer mit viel Chartcode in beliebig vielen Kontaktdaten hinterlegen. Und die Wahrscheinlichkeit, ein Gesundheitsamt zu treffen. 01:19:46.963 --> 01:19:55.243 Äh steigerst du damit, dass du die in sehr, sehr, sehr viele Locations eincheckst. Weil du kannst auch einen Nutzer parallel in mehrere Locations einchecken. 01:19:55.484 --> 01:20:02.058 Und irgendwann wird ein Gesundheitsamt eine Location abfragen und dann taucht einer von deinen Schadcode behafteten Nutzern mit auf und das, 01:20:02.250 --> 01:20:14.268 steigert die Wahrscheinlichkeit, dass du so einen Angriff platzieren kannst, natürlich dramatisch. Und je mehr von diesen Angriffen du platzierst, umso höher ist die Wahrscheinlichkeit, dass ein Mitarbeiter in einem Gesundheitsamt so eine Warnmeldung wegklickt. 01:20:14.599 --> 01:20:21.773 Und dann muss man den Impakt hinten sehen, klickt die einer weg. Das ist wie bei Phishing. Es reicht einer, weil du hast dann Systemzugriff, 01:20:21.882 --> 01:20:26.148 Ob das dann noch einer macht, brauchte ich gar nicht mehr interessieren, weil du kannst dann schon mit dem System arbeiten. 01:20:26.461 --> 01:20:37.120 Ob du da jetzt die Daten aus dieser Excel Tabelle von dem einen kontaktracing abgreifst, das ist eigentlich auch egal, weil du kannst dich da einisten und äh auch auf Luca greifst du äh, 01:20:37.247 --> 01:20:49.055 von dem Gesundheitsamt Mitarbeiter zu und wir wissen auch, dass Luka äh es gibt auch keine Trennung mehr, nach Zuständigkeiten der Gesundheitsämter, weil alle Gesundheitsämter äh nutzen die gleichen Schlüssel, 01:20:49.169 --> 01:20:51.140 in dem System zum Datenzugriff. 01:20:51.831 --> 01:21:01.199 Und also alleine was diese Fachanwendung Luca betrifft hast du dann eigentlich Zugriff auf alles. Wenn dir ein so ein Angriff gelingt und du kannst den sehr, sehr, 01:21:01.308 --> 01:21:08.163 breit platzieren, um die Wahrscheinlichkeit zu erhöhen, dass du triffst. Und das ist das, äh, was da eigentlich dahinter steht. 01:21:07.863 --> 01:21:13.752 Okay, also halten wir fest, wenn erstmal böse Daten weit gestreut sind 01:21:13.686 --> 01:21:23.625 ist es äh eigentlich nur noch ähm durch ein besseres Filtern der Daten bei der Übergabe äh zu retten, 01:21:23.691 --> 01:21:37.650 Das ist etwas, was jetzt auch nachträglich von Luca noch gemacht werden kann. Das ist auch, sagen wir mal, von der Komplexität her jetzt nicht so, dass man sagen würde, das ist jetzt unmöglich, das zu verhindern. Es ist halt einfach nur so eine weitere Nachlässigkeit 01:21:37.524 --> 01:21:41.460 von so einem Ding, wo man sagen würde 01:21:41.388 --> 01:21:54.938 Heutzutage sichere Programmierung im Internet gehört einfach so ein Sanity-Check, so ein so ein so eine so eine so eine Gesundheitsüberprüfung von Daten und das äh sicherstellen, dass die Daten auch in der Form, 01:21:54.999 --> 01:22:03.940 und in der Art präsentiert werden, wie sie erwartet werden. Das gehört einfach dazu, ja. Früher gab's ja mal im Internet dieses. 01:22:04.421 --> 01:22:13.008 Etwas äh zu optimistische Idiom, man solle doch ähm bei Software immer sehr st, 01:22:13.110 --> 01:22:21.228 darin sein, was man sendet, aber man sollte sehr offen sein mit dem, was man äh empfängt. Das ist in gewisser Hinsicht 01:22:21.066 --> 01:22:33.402 gut gemeint, also nach dem Motto, naja, wenn's mal einer falsch macht und so, dann dann lassen wir es äh äh lassen wir auch Abweichungen zu. Das führt aber dann dazu, dass eben dann solche äh bösartigen Atta, 01:22:33.475 --> 01:22:46.238 nicht korrekt erkannt werden, ne. Tatsächlich äh sollte man extrem strikt sein in dem, was man äh akzeptiert, weil dann werden sich die Sender schon auch irgendwann danach äh richten. In diesem Fall aber liefert ja quasi 01:22:46.076 --> 01:22:48.292 Luca seine eigenen Daten aus 01:22:48.143 --> 01:22:56.687 und äh die Eingaben der User nicht ansatzweise zu überprüfen, dass sie auch in einer Form kommen, wie es gedacht ist 01:22:56.640 --> 01:23:07.348 Und dabei sogar noch zu erlauben, so den die Daten zu anzupassen, dass sie auf der anderen Seite so ein Excel in so einem Windowssystem springen. Das ist schon ziemlich äh harter Tobak, 01:23:07.462 --> 01:23:18.416 wenn sie wollen, können sie das Problem schnell lösen, aber das Problem ist einfach nur, dass dass man sogar sowas äh noch entdecken muss, obwohl schon wochenlang über Sicherheit dieses Systems diskutiert wird. 01:23:18.315 --> 01:23:29.791 Spezifisch über dieses eine Angriffsszenario, ja, also äh ähm ich habe ich werde auch, glaube ich, in einem Zeit Onlineartikel damit zitiert, zu sagen, so das zu fixen. 01:23:31.041 --> 01:23:37.543 Dauert Minuten. Dauert eine Stunde. Insbesondere, wenn du jetzt weißt, was sind denn die gefährlichen. 01:23:38.024 --> 01:23:49.850 Zeichen im Zielsystem. Bei Excel in dem Fall ist das halt, ich meine, das müsste es müsste größtenteils erledigt sein, wenn du sagst, wir akzeptieren keine Gleichheitszeichen, 01:23:50.090 --> 01:23:59.476 in der Postleitzahl, keine Klammern und keine Anführungszeichen, ne? Das ist jetzt nicht irgendeine irgendeine irre Magie. Du musst natürlich wissen, 01:23:59.951 --> 01:24:07.282 Was sind die potenziell gefährlichen Zeichen äh in dem System, wo es nachher ausgespielt wird? 01:24:07.961 --> 01:24:15.760 Aber ne, die die sind, das ist eigentlich ganz lustig, das weißt du ja auch, Tim und äh für die Hörerin leuchtet's auch ein, 01:24:15.948 --> 01:24:28.662 in den Programmiersprachen und in den in den verschiedenen Kontexten sind es denn häufig Zeichen, die auf der amerikanischen Tastatur relativ einfach zu tippen sind, 01:24:28.909 --> 01:24:41.137 und vielleicht nicht ganz so häufig in normalen Kontexten. Ne? Und äh deswegen ist halt das Gleichheitszeichen bei Excel äh das naheliegende Ding, weil es irgendwie symbolisiert, 01:24:41.180 --> 01:24:47.404 in diesem Feld soll etwas anderes stehen, als was ich hier schreibe, nämlich gleich und, 01:24:47.567 --> 01:24:56.929 niemand rechnet mit dem Gleichheitszeichen als und damit ist es halt der der geeignete Escape Charakter. Und, 01:24:57.103 --> 01:25:04.356 den zu filtern, das ist eben jeder Programmiererin innerhalb von drei Wochen möglich. 01:25:04.946 --> 01:25:13.045 Hat äh in diesem Fall vor drei Wochen eben sehr viel mehr Zeit darauf verwendet, die Schwachstelle zu leugnen. 01:25:14.163 --> 01:25:28.404 Als sie einfach zu fixen und drei Wochen später war es dann soweit, dass Markus irgendwie in seiner Freizeit mal kurz einen Proof of Concept fertig hatte, der zeigte so, hier so schlägt das durch. Wenn man keinerlei. 01:25:29.450 --> 01:25:31.637 Äh macht. 01:25:33.073 --> 01:25:43.084 Und das ist denke ich auch das das Krasse hier und dass sie eben, ne, das wurde breit in der Öffentlichkeit diskutiert. Übrigens, kannst du reinschreiben, was du willst? 01:25:43.463 --> 01:25:47.333 Kommt raus, was du willst. Wird, du wirst keine Filter umgehen. 01:25:47.694 --> 01:25:53.877 Es war ja eigentlich sogar noch ein bisschen schlimmer, muss man ja sagen. Ich wüsste jetzt nicht auf das Zeichen dafür runterbrechen, aber es gab ja. 01:25:54.617 --> 01:25:59.279 Artikel ist vor drei Wochen veröffentlicht worden, der das Problem konkret behandelt hat, 01:25:59.381 --> 01:26:10.786 und in dem Artikel stand wie Nex Senior dieses Problem negiert hat mit der, ich sage mal mit der Aussage, ob die jetzt richtig oder falsch waren die Maßnahmen, die sie getroffen haben, aber wir haben Maßnahmen getroffen. Ähm, 01:26:11.033 --> 01:26:14.158 Maßnahmen, es gab einen Tag äh. 01:26:14.579 --> 01:26:24.012 Ich glaube, einen Tag bevor der Artikel veröffentlicht wurde, äh gab's einen Commit, also eine eine ein Update vom Code, in dem Repositor, wo ähm. 01:26:24.643 --> 01:26:31.578 Genau dafür Maßnahmen getroffen worden, für das, was dann in dem Artikel stand, weil die Presseanfrage war natürlich etwas vorher, die war ja nicht. 01:26:31.368 --> 01:26:33.080 Sie haben's noch versucht. 01:26:32.780 --> 01:26:39.852 Eigentlich ist die Zeitlinie so gewesen, die Presse fragt was an, habt ihr das Problem? Äh nee, haben wir nicht. 01:26:40.225 --> 01:26:50.158 Ein Tag später kommt der Patch, um dieses diesem Problem zu begegnen und dann kommt der Artikel, in dem drinnen steht, nein, das Problem besteht nicht, weil wir haben die und die Maßnahmen umgesetzt, die erst kurz vorher nachgepatcht wurden. 01:26:50.988 --> 01:27:02.182 Und ähm das ist eigentlich für mich was ganz gravierendes gewesen. Ich habe mich gar nicht so an diesen wann ist, was passiert aufgehängt, sondern äh dadurch ist mir natürlich der genaue. 01:27:02.585 --> 01:27:10.823 Genaue Mechanismus aufgefallen, mit dem da gefiltert werden soll, so und jetzt hat Linus einzelne Zeichen erklärt, ja, das kann man auf dem Level denken. Ähm 01:27:10.811 --> 01:27:17.980 Man kann ja nur sagen, okay, ich habe ein Risiko, dass das passiert, da muss ich irgendeinen Filter einbauen und irgendwas machen. Wenn ich ein äh IT-System, 01:27:17.992 --> 01:27:23.040 oder betreiben will, äh wo ich sagen muss, äh die Verfügbarkeit, ja, die hat, 01:27:23.172 --> 01:27:37.323 die muss hoch sein, die Vertraulichkeit, die muss hoch sein, da habe ich ganz hohe Schutzziele, den ich mit Maßnahmen Rechnung tragen muss und da reicht es nicht, dass ich sage, ah, ich habe hier mal was hinprogrammiert, was das vielleicht filtert, sondern man muss das auch getestet werden. Das geht gar nicht an einem Tag, 01:27:37.486 --> 01:27:44.276 Also allein davon wie das mit die Presse fragt an und das führt zu einem Patch verlaufen ist, auch der Patch ist nicht nach einem Tag gegessen, 01:27:44.378 --> 01:27:54.269 ich habe ja ein Risikoszenario, nämlich diese CSV Injektion und irgendeine Instanz, muss mir auch unabhängig testen, dass ich mit diesem kleinen Patch. 01:27:54.798 --> 01:27:56.762 Dieses Risiko ausgemerzt habe. 01:27:57.400 --> 01:28:09.129 Was ist bei Luca passiert? Die sagen, nee, wir haben das Risiko nicht. Wir haben Maßnahmen getroffen und dann und bei mir war's so, für Wünsche war's so, ich habe eine Minute da drauf geguckt und habe gesehen, nee, das reicht nicht. Leute, weil ihr habt das Problem nicht durchtrunken. 01:28:09.556 --> 01:28:13.498 Ich habe nur noch nicht die Zeit gehabt, das auch programmiertechnisch, 01:28:13.750 --> 01:28:20.168 validieren, aber wenn man es beim Draufgucken sieht, dann ist schon ganz schlecht, ne? Also ich habe nur auf diesen Code geguckt und, 01:28:20.367 --> 01:28:29.668 Oh, ich denke, das stimmt so nicht. Und das zeigt, dass auch nicht getestet wird und das ist ganz wichtig, dass das hier fehlt. Es wird nicht getestet. Wir haben heute wieder ein Patch, 01:28:29.932 --> 01:28:43.993 Ich würde mich nie dazu hinreißen lassen, wie das Seng Senior heute gemacht hat, zu sagen, ja, wir haben jetzt auch das Problem gelöst, weil das kann nicht getestet sein in der Zeit, wenn heute, wenn in der Reaktion auf dem Video von heute Morgen kommt, äh wir haben da nachgebessert, 01:28:44.180 --> 01:28:45.880 Wenn es denn das getestet wurden. 01:28:45.862 --> 01:28:59.623 Also nachgebessert haben sie ja gar nicht. Also erstmal ist das ja keine Schwachstelle, sondern sie haben nur einen Hinweis auf einen potentiellen Missbrauch des Lukas-Systems im Zusammenhang. Microsoft Excel Code Injection, ja? 01:28:59.395 --> 01:29:02.556 Es stimmt, Entschuldigung. 01:29:02.340 --> 01:29:08.787 Dann haben sie nicht vor drei Wochen davon erfahren, sondern durch eine Medienanfrage und per Twitter, 01:29:08.938 --> 01:29:21.466 äh von einem möglichen Missbrauch, ja, der ab jetzt auch systemseitig verhindert wird, ja? Nicht eine Schwachstelle, nein, nein, das ist ein potentieller Missbrauch, der jetzt auch systemseitig verhindert wird. 01:29:21.767 --> 01:29:22.338 Und. 01:29:22.752 --> 01:29:34.530 Der nächste Satz ist sofort, das gilt für alle Excel-Dateien, die sie per E-Mail empfangen und hier ähm das BSI sagt, sie müssen Markus deaktivieren, wie du schon sagtest, um Markus geht's gar nicht, 01:29:34.740 --> 01:29:43.928 laut den auf Twitter erhobenen Vorwürfen wäre es unter Umständen möglich gewesen. Durch das Luka-System schadhaft. 01:29:44.463 --> 01:29:48.717 Code, an die Gesundheitsämter zu übertragen, 01:29:48.856 --> 01:29:58.121 Hintergrund ist eine sogenannte CSV Injection, ein in Excel bekanntes Problem, weshalb Excel auch generell Dateien auf solchen 01:29:58.050 --> 01:30:05.669 Chartcode bei Offnung prüft und die Nizzerinnen darauf hinweist, die Schwachstelle in Excel kann es theoretisch ermöglichen 01:30:05.633 --> 01:30:12.730 schadhaften Code in Excel auszuführen mit Hilfe von bestimmten Formeln können Angreiferinnen beispielsweise Daten auslesen oder andere 01:30:12.706 --> 01:30:17.140 schädliche Aktionen ausführen. Also Excel ist ja das Problem. Um den potenziellen Missbrauch, 01:30:17.279 --> 01:30:24.988 die Übertragung der Luca-Daten an Excel, Excel, Excel Excel. Über die dort implementierten Sicherheitsmaßnahmen hinaus zu verhindern, 01:30:25.175 --> 01:30:34.704 System verschiedene Filter einer hätte gereicht, angewendet, welche im Vorfeld die Excel und CSV Dateien, 01:30:34.921 --> 01:30:42.234 nach Zeichen und Formeln scannen. Da bin ich ja mal gespannt, welche Zeichen die so scannen. Ich kenne sie ja, die sieht man ja in dem Gitcom mit. 01:30:42.571 --> 01:30:56.661 Viele in Deutschland übliche Nachnamen sind inzwischen ausgeschlossen. Das Luka-System berücksichtigt die Empfehlung von OverSpe bezüglich CSV Injection, die hier aufgelistet sind. Nein, das tun sie nicht. Und spätestens da, 01:30:56.837 --> 01:31:09.232 ist es eben nicht mehr wahr. Entsprechende Zellen werden wie empfohlen. Es gibt heute Vormittag haben wir diesen Filter noch zusätzlich um eine sogenannte Anzeichen erweitert, damit böswillige 01:31:09.203 --> 01:31:13.397 Angreiferinnen, diese Excell-Lücke nicht mehr ausnutzen können. 01:31:13.740 --> 01:31:20.872 Und ich muss ganz ehrlich sagen, mir reicht es langsam, ne? Also wieder einmal ähm, 01:31:21.149 --> 01:31:31.527 sagen sie das Problem ist nicht bei uns, es geht noch es geht noch viel weiter, ja? Sie sagen, ich ich überspringe jetzt mal, weil es auch einfach nur noch eine Frechheit ist. Ähm spezifisch. 01:31:31.815 --> 01:31:36.526 Was bedeutet das für die Arbeit in Gesundheitsämtern, ja? Die Schwachstellen in Luca. 01:31:37.819 --> 01:31:43.437 Generell ist es ratsam, Makros in Excel nur mit Bedacht zu aktivieren. 01:31:43.455 --> 01:31:56.650 Öffnungsversuch entsprechender schadhafter Dateien erfolgt eine Warnung über ein Pop-up-Fenster, welches vor dem Öffnen der Dateien auf dem Bildschirm angezeigt wird. Es ist sehr wichtig diese Hinweise sorgsam zu lesen und nicht direkt wegzuklicken. 01:31:56.693 --> 01:32:05.838 Darüber hinaus ist es ratsam zu überprüfen, inwiefern die Empfehlung des BSI im jeweiligen Gesundheitsamt bereits umgesetzt werden, 01:32:06.025 --> 01:32:15.050 BSI-Empfehlung BSICS eins drei sechs. Es ist unwahrscheinlich der Schaden durch einen derartigen Angriff entstanden ist, wenn Mitarbeiterinnen nicht. 01:32:15.447 --> 01:32:23.883 Tief die Sicherheitswarnungen des Systems missachtet haben. Uns ist kein dementsprechender Sicherheitsvorfall in Zusammenhang mit. 01:32:24.310 --> 01:32:33.720 Lukas System bekannt. Durch weitere Maßnahmen, weitere Maßnahmen, die heute im Lukas-System umgesetzt worden sind, wird in Zukunft ein solcher Missbrauch, 01:32:33.943 --> 01:32:40.703 in Zusammenhang mit Makros in Excel verhindert. Und es ist genau diese Kommunikation, wo ich. 01:32:41.094 --> 01:32:46.646 Also und das habe ich auch dem Patrick Hennig schon persönlich gesagt, dass sie. 01:32:47.373 --> 01:32:56.392 Diese unaufrichtige Kommunikation sich echt mal langsam sparen können. Ja? Das ist eine Schwachstelle bei denen. Das ist, 01:32:56.459 --> 01:33:07.798 Verantwortungsbereich. Und sie können nicht sagen, äh Microsoft Excel ist das Problem. Ähm es gibt einen Vortrag von mir hier in der Haken beim CCC Kongress packen wir in die. 01:33:08.711 --> 01:33:11.746 Wo ich natürlich spezifisch auch, 01:33:11.944 --> 01:33:20.591 Excel und Microsoft dafür verantwortlich mache, dass sie in den Warnungen äh Nutzerverhalten einleiten. 01:33:20.693 --> 01:33:28.018 Dass äh ja die im Zweifelsfall die unsichere Variante bevorzugt. Ja? Das ist aber, 01:33:28.139 --> 01:33:35.812 Eine Situation, die war schon da. Und wenn ich davon ausgehe, dass es Postleitzahlen mit Gleichheitszeichen gibt, 01:33:36.059 --> 01:33:42.830 dann kann ich nicht Microsoft Excel den Vorwurf machen. So und das ist wie immer. 01:33:43.414 --> 01:33:53.400 Der das das klassische Umgehen von Nexen New Luca mit Schwachstellen, dass alle Schuld sind, außer sie selber 01:33:53.281 --> 01:33:59.884 Microsoft ist schuld, der Markus ist schuld, ähm hier Twitter ist Schuld, aber wir nein, 01:33:59.897 --> 01:34:07.450 So und die lassen sich ernsthaft zitieren und tragen heute noch vor, dieses System hätte keine Sicherheitslücken. Und das. 01:34:07.907 --> 01:34:15.952 Tatsächlich auch der Punkt wenn man eine Sicherheitslücke hat, dann sagt man, hier. 01:34:16.710 --> 01:34:24.233 Haben wir Scheiße gemacht? Haben wir Scheiße gebaut, haben wir gefixt, wir kennen das Problem an, tut uns leid, wer uns selber verifiziert, 01:34:24.510 --> 01:34:31.408 Scheiße, sorry. Und ist auch völlig in Ordnung, dass solche Fehler passieren. Nur die können nicht drei Wochen 01:34:31.318 --> 01:34:44.658 später nachgewiesen werden, nachdem es schon auf Zeit online stand und du irgendwie wie so ein Gorilla auf deiner Brust rumgeprügelt hast und gesagt hast, äh bei uns, nee, überhaupt nicht, ey. Wir machen das alles hier mit 01:34:44.550 --> 01:34:58.749 und so, ne? Das ist alles cool, während du gleichzeitig am Datum der Presseanfrage oder einen Tag vor dem Artikel so eindeutig und durchschaubar versuchst, noch irgendwelche komischen Fixes unterzubringen. Und. 01:34:59.597 --> 01:35:07.739 Irgendwann hast du dann eben auch alles Vertrauen verspielt. Es ist nicht so, dass ich ähm. 01:35:08.136 --> 01:35:21.356 Muss wirklich sagen, gerade ich als jemand den ganzen Tag nur mit Sicherheitslücken zu tun hat und ihrer Behebung und auch die Probleme kennt, ja, ich habe ja in meiner beruflichen Tätigkeit mit nicht trivialen Sicherheitslücken zu tun, 01:35:21.458 --> 01:35:29.738 wo du wirklich denkst, Scheiße, wie kriegen wir dieses Risiko eingehegt, ja? Und ähm da akzeptiere ich nur, 01:35:29.937 --> 01:35:34.600 den Umgang der lösungsorientiert ist. Und wenn die um. 01:35:34.882 --> 01:35:45.049 Betreiben und sagen im Zweifelsfall, also wir belehren jetzt mal hier erstmal, ja? Die Mitarbeiterinnen im Gesundheitsamt. 01:35:45.542 --> 01:35:48.817 Geben jetzt irgendwie Microsoft Excel die Schuld, 01:35:48.920 --> 01:36:01.268 ja? Dass wir keinerlei anwenden, bei hochkritischen Daten in einem sensiblen, zeitkritischen Kontext, ja? Mein, die Warnmeldung, wie lautet die Warnmeldung, Markus? 01:36:01.244 --> 01:36:03.262 Um vertrauenswürdige Quellen. 01:36:03.468 --> 01:36:09.320 Nur wenn sie nur öffnen sie diese Datei nur wenn sie die aus einer vertrauenswürdigen Quelle haben. 01:36:09.975 --> 01:36:17.787 Wer soll denn bei wenn Luca, hör mal Luca, kannst du doch vertrauen, da hat der Smudo doch gesagt, das ist doppelt verschlüsselt. Was willst du denn noch. 01:36:18.562 --> 01:36:26.278 Ja, wenn die, wenn sie hier immer noch die Schuld bei anderen Leuten suchen, dann hast du's halt einfach mit Leuten zu tun, die nicht aufrichtig sind, 01:36:26.386 --> 01:36:34.209 das ist einfach, ne, die haben bis heute nicht zugegeben, dass sie eine einzige Schwachstelle haben. 01:36:35.231 --> 01:36:46.311 Reden hier potentieller Missbrauch unseres Systems, andere Schwachstellen, die Markus, denen äh gemeldet hat, haben sie gesagt, ja hier haben wir einen, hier haben wir einen Error. 01:36:47.316 --> 01:36:51.678 Und ich meine, man fragt sich wirklich, was sind das für Leute. 01:36:52.044 --> 01:36:59.526 Wenn du das, wenn du den Unternehmensnamen googelst, äh hat äh Torsten mich heute noch drauf aufmerksam gemacht, dann ähm. 01:36:59.947 --> 01:37:05.330 Kommt irgendwie so sie machen nur Hochsicherheitslösungen mit. 01:37:05.728 --> 01:37:06.982 Das ist ein guter Witz. 01:37:08.996 --> 01:37:11.538 Jemand, jemand anders antwortet da äh, 01:37:11.592 --> 01:37:24.944 Berliner Startup, das für nutzerfreundliche und hochsichere IT-Lösungen steht. Easy collaboration security by Design. Ein äh weiterer Nutzer auf Twitter antwortete darauf, irgendwie so Hochsicherheit kommt vor dem Fall, 01:37:25.017 --> 01:37:28.369 Ja, was ich auch sehr. 01:37:34.018 --> 01:37:44.491 Oh Mann, das trifft's wirklich sehr gut, ja. Oh. 01:37:45.069 --> 01:37:51.787 Und du du fragst dich dann, ne, äh wie wie kommt es, dass der Chaos-Computer-Club siebenundsiebzig 01:37:51.679 --> 01:38:06.442 äh hoch äh dekorierte Security-Vorstellungen an den Berliner Universitäten. Sie vierhundert noch was Menschen, äh die die auch was von dem Thema verstehen, da drunter schreiben. Und alle sagen, das ist hier Murks 01:38:06.359 --> 01:38:15.216 Das ist Morks, das willst du nicht haben, das möchtest du nicht, da sind deine Daten nicht in guter Hand und da sind deine zweiundzwanzigeinhalb Millionen Euro Steuergelder nicht in guter Hand 01:38:15.114 --> 01:38:21.182 werden dann irgendwie noch als Hater beschimpft, als würden wir nicht diesen Codehaufen. 01:38:22.499 --> 01:38:30.287 Erkennen, als das, was er ist, ein Kothaufen. Und das ist zum Durchdrehen. 01:38:30.660 --> 01:38:38.339 Musste dich noch dafür rechtfertigen und dann wirst du noch diskreditiert bei anderen Unternehmen, ja? Ähm. 01:38:39.114 --> 01:38:52.526 Meldest du eine Schwachstelle und die die kommen nachher zu dir und sagen, hör mal, du hast ja mit Aufwand gehabt, ne, äh wir danken dir, dass du äh einen Beitrag zu der Sicherheit unseres Systems geleistet hast. Ähm 01:38:52.484 --> 01:38:56.006 Wir dachten, wir überweisen dir mal folgenden Betrag. 01:38:55.861 --> 01:39:02.700 Man muss auch sagen, das sagen die auch, wenn's kein wertvoller Beitrag war, damit du wiederkommst und weiter für die Arbeit ist, weil das kostet ja nicht viel. 01:39:02.400 --> 01:39:04.472 Richtig, das kostet dich. 01:39:04.978 --> 01:39:14.435 Sprichwörtliche, müde Arschrunzeln, da mal ein Tausender oder fünfzehn rauszuwerfen ähm oder zwanzig einfach nur, 01:39:14.538 --> 01:39:24.891 um dich mit der Community gut zu halten. Ich will jetzt nicht dafür werben, dass äh Nexenio Markus Geld geben sollte, dafür ist er auch glaube ich zu spät und ähm so wie ich Markus schätze, würde, 01:39:24.976 --> 01:39:30.480 im Zweifelsfall eh einem äh anderen Zweck äh zur Verfügung stellen. Aber das ist halt. 01:39:31.237 --> 01:39:38.681 Ich habe sogar vor der Backbound die muss man äh kurzer Einwurf, es wird eine Backbound hier angeboten. Ich habe da mal vorsichtig vorgewarnt. 01:39:39.806 --> 01:39:48.284 Weil das hat auch immer was mit auch einem Backbound, die hat was mit Vertrauen gegenüber den Herstellern zu tun, weil man steht auch ganz schnell mal unter einer NDA, 01:39:48.447 --> 01:39:55.429 und also dass man dann nicht mehr über das sprechen darf, was man da äh gemeldet hat 01:39:55.393 --> 01:40:04.797 Aber wir reden hier davon, dass das sehr, sehr viele Leute betrifft und wenn ich mir die Firma so angucke, hätte ich normale ich selbst in Persona gar keinen. 01:40:05.627 --> 01:40:13.161 Gar nicht die Tendenz in der Back Bounty zu reporten. Ich würde mich dann nicht unter die Regeln drunter drücken lassen, in dem Fall. 01:40:13.054 --> 01:40:26.718 Ich will das Thema jetzt gar nicht aufmachen. Es gibt halt einen, also es gibt einen Unterschied in einer in einer gelebten IT-Sicherheitskultur und da dazu gehört eben auch das aufrichtige Anerkennen von Fehlern. Ja und, 01:40:26.905 --> 01:40:34.043 hier irgendwie dann noch am Ende die die Gesundheitsamtsmitarbeiterin zum zu belehren. 01:40:34.873 --> 01:40:40.863 Unten, unten trivialfehler, den sie gemacht haben, dann irgendwie noch Microsoft anhängen zu wollen. 01:40:41.921 --> 01:40:51.013 Dann will ich nicht wissen, äh wie das aussieht, wenn wenn mein Name demnächst den den äh den Header einer Excel, einer Excel-Datei hat. 01:40:50.839 --> 01:40:58.632 Das Statement, entschuldige lieben und das Statement, das das ist an Dreistigkeit, das ist echt nicht so zu übertreffen oder auch die alleine äh. 01:40:59.198 --> 01:41:05.976 Eine Aussage dadrüber zu treffen, was Behörden für BSI-Maßnahmen umsetzen, die brauchen alle keine IT-Sicherheitsbeauftragten mehr, weil 01:41:05.873 --> 01:41:14.430 Sagt denen, was für Maßnahmen schon umgesetzt sind. Die brauchen auch keine Konzepte mehr schreiben, weil Next Senior weiß auch, was für Maßnahmen umgesetzt sind und wie den riesigen Rechnungen betragen wird. 01:41:14.287 --> 01:41:15.338 Unglaublich. 01:41:15.038 --> 01:41:23.564 Sicherheitsstrang brauchst du gar nicht mehr, du willst jetzt einen Dreistigkeit kaum noch zu übertreffen, ne? Oder oder alleine der Wunsch. 01:41:23.949 --> 01:41:33.659 Aus der Perspektive Nexenio feststellen zu können, ob's damit mal einen erfolgreichen Angriff gab oder eine Ausnutzung von solchen Schwachstellen, das ist ja auch, 01:41:33.732 --> 01:41:39.290 Ein sehr großes Wunschdenken, ja, dass man da überhaupt Aussagefähig ist von außen, äh ist schon. 01:41:39.945 --> 01:41:43.742 Schon sportlich, was sie da geschrieben haben, muss man so sagen. 01:41:44.043 --> 01:41:46.711 Also mir fällt da nichts mehr zu ein. 01:41:47.264 --> 01:41:52.293 Investiert mehr nicht vier Millionen in SMS, sondern noch mehr in PR. 01:41:51.993 --> 01:41:55.951 Vier Millionen in SMS, die sie nicht prüfen. Das ist einfach nur so. 01:41:56.310 --> 01:42:01.373 Hier vier Millionen ne weg. 01:42:01.554 --> 01:42:06.727 Vielleicht das, vielleicht äh ich habe auch schon mal überlegt, ob das nicht vielleicht der Grund ist, ähm, 01:42:06.890 --> 01:42:18.330 Warum ja diese SMS Verifizierung immer noch nicht stattfindet, weil die Frage ist ja dann auf die Nutzer, die sich da ja schon angemeldet haben, müssen die dann auch nochmal eine neue SMS bekommen oder nicht. Kostet das dann nochmal vier Millionen? 01:42:18.578 --> 01:42:28.300 Also das ist ja wieder nur Quatsch, ne? Das ist ja wieder nur, dass sie morgens irgendein Quatsch geredet haben, die werden niemals äh mit ihren existierenden Nutzerinnen 01:42:28.102 --> 01:42:37.326 nochmal 'ne SMS verifikation durchführen. Das werden die einfach nicht tun, weil sie wissen, dass sie dabei dreiviertel der Nutzerinnen verlieren. Aber, 01:42:37.566 --> 01:42:47.462 Ich denke, wir haben jetzt auch langsam alles geschildert und es ist ja also. 01:42:48.257 --> 01:42:51.831 Es werden hier immer wieder Probleme geschildert, 01:42:51.861 --> 01:43:06.235 es sind immer Probleme aus dem ersten Semester oder dem ersten YouTube-Tutorial und die warum ich auch wirklich so fuchsig darauf reagiere und warum ich das hier auch nochmal in aller Breite 01:43:06.206 --> 01:43:14.071 mit dir. Markus, ich weiß, du hattest einen langen Tag, besprechen wollte, ist, weil diese Antwort so. 01:43:15.681 --> 01:43:24.719 Unverschämt ist, weil sie so gegen alles verstößt, was wir in der IT-Sicherheitskultur seit Jahrzehnten leben. 01:43:26.354 --> 01:43:30.800 Und was wir auch nicht tolerieren dürfen als Gesellschaft. 01:43:31.533 --> 01:43:43.828 Es gibt immer schwierigere Sicherheitslücken. Es gibt immer größere Hacks und so weiter. Aber gerade deswegen musst du als äh Unternehmen, dass Millionen an Steuergeldern kassiert, sagen, 01:43:44.099 --> 01:43:50.618 So und so, habt ihr recht, Hammerscheiße gebaut, müssen wir besser machen. 01:43:50.991 --> 01:44:00.437 Und das hätten sie vor drei Wochen machen können. Und sie machen's drei Wochen später immer noch nicht. Und solchen Leuten willst du nicht vertrauen, 01:44:00.551 --> 01:44:06.872 Und deswegen stelle ich jetzt hier ganz klar die Forderung, na ja, ein Spiegel äh Interview heute schon gestellt 01:44:06.729 --> 01:44:10.802 Verträge, rückabwickeln, Regress fordern, die haben nicht geliefert 01:44:10.695 --> 01:44:23.470 Luca Deh installieren und echt zusehen, ob er wenigstens noch ein paar von den Millionen irgendwie zurückfördern äh zurückfordern können, weil die ganz offensichtlich nicht das geliefert haben, was sie, 01:44:23.476 --> 01:44:30.218 versprechen und weil sie den Anforderungen, die sie an ihre eigene App stellen, nicht gerecht werden. 01:44:31.750 --> 01:44:39.887 So Leute, ich äh denke, jetzt ist äh alles ausführlich diskutiert äh worden. Wir stellen fest, dieses, 01:44:39.971 --> 01:44:46.742 ist äh nicht zu retten und unsere einzige Hoffnung besteht da drin, nicht nochmal drüber sprechen zu müssen. 01:44:47.200 --> 01:44:52.800 Vielen Dank, Markus für die äh Ausführung. 01:44:53.317 --> 01:44:56.964 Ja, danke für das entspannte Gespräch. 01:44:57.090 --> 01:45:00.047 Und danke, dass du an der Nummer so drangeblieben bist. 01:45:00.071 --> 01:45:06.074 Genau. Ja und wir äh Linos haben jetzt ein bisschen viele Sendungen rausgegossen. Ähm. 01:45:06.159 --> 01:45:07.504 Ja, jetzt hören wir auf. 01:45:07.607 --> 01:45:16.493 Aber das hat hat ja auch jetzt ist erstmal Ruhe. Wir melden uns dann wieder, wenn die Pandemie vorbei ist. 01:45:16.193 --> 01:45:18.537 Und die Netzpolitik wieder in Ordnung. 01:45:18.237 --> 01:45:31.402 Ja genau und all diese Apps überhaupt nicht mehr erforderlich sind. Nee, Quatsch. Wird nicht so lange dauern, aber äh jetzt wünschen wir euch noch einen schönen Wochenausklang oder was auch immer gerade bei euch äh ansteht und sagen tschüss und bis bald. 01:45:31.402 --> 01:45:32.496 Tschau, tschau. 01:45:32.917 --> 01:45:34.497 Tschüss.