Filmpremiere: Alles ist eins — NSO Pegasus — Cell Broadcast Flutkatastrophe — Impfzertifikate-Apotheken-Hack — Lucafails — 10 Jahre Frag den Staat
Wir beenden unsere Sommerpause und setzen unser Programm fort. Vielen Dank für die Geduld und vielen Dank für die wohlmeinenden Kommentare hier und auf anderen Kanälen zur 400. Sendung.
Heute gehen wir auf die Premiere des Films "Alles ist eins, außer der 0" ein, der in diesen Tagen für leider nur sehr kurze Zeit in die Kinos kommt. Aber spätestens wenn der Film als Ladeware verfügbar ist müsst ihr den natürlich alle anschauen, um das Rätsel zu lösen, warum Tim und Linus hier in einem Atemzug mit Albert Einstein, Timothy Leary und David Bowie genannt werden.
Linus geht ausführlich auf die jüngsten Publikationen rund um die israelische NSO Pegasus Software ein, bei der zahlreiche Oppositionspolitiker, Aktivisten und Journalisten weltweit Abhörziel von Regierungen wurden.
Dann sprechen wir noch über die vorübergehende Aussetzung der Aussetzung der Erstellung von Impfzertifikaten in Apotheken, weil mal wieder zu wenig über die Sicherheit nachgedacht wurde, über ein paar neue lustige Fehler der Luca App und gratulieren dem Projekt "Frag den Staat" zum zehnjährigen Geburtstag.
Linus Neumann
Tim Pritlove
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Tim Pritlove 0:00:00
Guten Morgen Linus.
Linus Neumann 0:00:00
Guten Morgen Tim.
Tim Pritlove 0:00:02
Sag mal, bist du eigentlich schon bereit für deine Drittimpfung.
Linus Neumann 0:00:06
Ja, aber ich warte noch, bis die auf zwei Bratwürste erhöhen oder Currywurst, Pommes Mayo.
Tim Pritlove 0:00:33
Netzpolitik Nummer vierhundertundeins, man könnte fast davon sprechen, dass unsere Sommerpause beendet ist.
Linus Neumann 0:00:41
Ja, langsam.
Tim Pritlove 0:00:43
Langsam, also mit der Ebene ist, fährt langsam hoch, aber äh wir fahren hier hoch. So und das ist hier unsere unsere unautorisierte Sendung ist das heute.
Linus Neumann 0:00:58
Der Tim glänzt mit Wissen.
Tim Pritlove 0:01:03
Das ist einfach mal, ich meine, die Kommentare würden wir jetzt sowieso bekommen, dann können wir sie auch gleich selber machen.
Linus Neumann 0:01:07
Können wir einmal so einmal das hinter uns denkt euch mal ein andere Kommentare aus.
Tim Pritlove 0:01:09
Aber schon durch dieses Land gehen. Genau, über das Gleiche, ihr Nerds. Tja, ja.
Linus Neumann 0:01:19
Ich möchte an dieser Stelle anfangs noch mal einen wirklichen äh herzlichen Dank loswerden für die vielen lieben Kommentare, Zuwendungen, Mails zu unserer vierhundertsten Sendung. Das hat mich sehr gefreut und ähm.Das war sehr, sehr nett.
Tim Pritlove 0:01:35
Habe mich auch äh sehr gefreut. Mich hat auch die ganze Sendung sehr gefreut. Ich fand das ähm sehr angemessen und sehr gelungen an der Stelle auch mal Dank noch an Andre und Thomas, die dazu erheblich beigetragen haben und vor allem ähm schön auch mal denTisch gedreht haben und ähm.
Linus Neumann 0:01:50
Andre hat das sehr gut gemacht, ne.
Tim Pritlove 0:01:52
Also wir mehr in so eine Frage ähm Beantwortungssituation gekommen sind. Uns lädt ja immer keiner ein, eine andere Podcast. Es stimmt auch nicht ganz bisschen.Ihr habt einfach nicht richtig gefragt.
Linus Neumann 0:02:07
Spotify Content, was habt ihr? Nee, machen wir nicht.
Tim Pritlove 0:02:13
Na ja, na du warst ja äh jüngst auch äh an der einen oder anderen Stelle äh zu Gast und auch ich äh leuchte hier und da äh mal auf.
Linus Neumann 0:02:21
Wo war ich zu Gast.
Tim Pritlove 0:02:23
Du hast auch vor ein paar Sendungen, hast du doch irgendwie eine eine Sendung vorgestellt, wo zu Gast warst, was gerade mal genau richtiges war.
Linus Neumann 0:02:29
Bei Malik war ich zu Gast. Es gab auch irgendwo anders, war ich auch zu Gast, ja.
Tim Pritlove 0:02:32
Und ich glaube, du warst auch irgendwann mal im Sendegarten.
Linus Neumann 0:02:35
Ah ja, aber das ist schon länger her, ja.
Tim Pritlove 0:02:37
Ja, ist schon wieder ein bisschen länger her, das stimmt schon. Also taucht auf. So, mit anderen Worten, wir waren mal ganz froh, äh mal,Die kurze, aber heftige Geschichte von noch Buchnetzpolitik ein bisschen zu reflektieren und das war dann in der Runde glaube ich ganz angemessen.Und äh auch von mir vielen Dank für die netten Kommentare und deswegen gibt's jetzt auch wieder was Neues. Sonst hätten wir hier zugemacht.
Linus Neumann 0:03:01
Sonst hätte ich ja immer gesagt, leckt uns.
Tim Pritlove 0:03:02
Das war so ein Test.
Linus Neumann 0:03:03
Können wir alle gerne haben hier. Ich habe äh über ich war weißt du, wo ich auch zu Gast war, Tim?
Tim Pritlove 0:03:07
Ähm ja, aber ich weiß nicht, ob ich das jetzt erzählen darf.
Linus Neumann 0:03:12
Im Kino war ich zu Gast.
Tim Pritlove 0:03:14
Ah, das darf ich erzählen, das ist gut.
Linus Neumann 0:03:19
Wir waren in der, wir waren in der äh Kinopremiere äh der Berliner Kinopremiere. Es gibt ja sehr viele äh des Filmes.Null.Und ich war zu Gast im Publikum und auf dem Screen, was sehr lustig war, ich war im Kino, aber gleich zweimal.
Tim Pritlove 0:03:42
Dreimal eigentlich, weil du Bastian auch noch kurz vorher in dieser Gesprächsrunde ähm davor auch noch dabei mit äh einem der beiden Autoren oder Regisseure oder Produzenten oder alles, genau, Klaus Meck und äh Tanja.Schwermann.
Linus Neumann 0:03:58
Die konnte aber leider nicht da sein. Die hat äh wie Klaus ja schon sagte, ist sie äh gerade äh mit Zwillingen beschäftigt und äh Zwillinge machen eine Menge äh Beschäftigung. Habe ich, kann ich mir so vorstellen.
Tim Pritlove 0:04:12
Ja, also wer eins äh gehabt hat, weiß, kann sich in etwa vorstellen, dass Zwillinge nicht deutlich weniger Arbeit sind.
Linus Neumann 0:04:19
Ist eins, außer Zwillinge.
Tim Pritlove 0:04:20
War auf jeden Fall eine eine sehr nettes äh Setting. Ich muss zugeben, ich war, glaube ich, bis dahin auch.Nur ein einziges Mal in diesem Kino. Ist eigentlich ein sehr schönes Kino, dieses Freilichtkino in Freiluft. Freiluftkino in Friedrichshain. Sehr angemessene Atmosphäre.Ja und dann ähm habe ich den Film eigentlich auch das erste Mal so richtig bewusst in so einer.Zuschauerperspektive gesehen. Ich hatte den einen oder anderen Ausschnitt schon gekannt, aber wie gut das dann sich so äh am Ende zusammenfügt, das habe ich dann auch erst in dem Momentgemerkt. Und wir wollen's mal gleich vorwegnehmen. Wir empfehlen euch.Euch diesen Film anzuschauen, weil der 'ne sehr schöne Zusammenfassung ist,einer wichtigen Zeit. Für die, die jetzt unsere bisherigen Kommentare dazu noch nicht mehr aufm Zettel haben oder es nicht gehört haben. Der Film ist im Wesentlichen ein Dokumentarfilm,den Gründer des CCC.Aber in dem Zuge porträtiert es auch den CCC und ich würde sagen auch so generell so die Hackerkultur der Achtziger und der ähm neunziger Jahre ganz gut.Also es ist auch ein schönes äh Zeitdokument so aus der Perspektive, dass das Clubs und ich hab's dem Klaus Meck danach auch.Ich hatte, ich hatte nichts auszusetzen an diesem Film, also es ist alles sehr stimmig angesprochen worden. Ähm wow es ja zweitausendeins gestorben.Das ist jetzt genau zwanzig Jahre her und natürlich hat sich der Club,danach extrem noch weiter äh entwickelt,der Film versucht das so ein bisschen anzudeuten ohne jetzt da auch voll in die dokumentarische Spur zu kommen und belässt von daher sein Schwerpunkt schon auf diesen,ersten zwanzig Jahren. Ja,Und das ist ein ist ein guter Film, den sollte man gesehen haben. Vor allem durch diesen Stil von Klaus Mack, dass er alles so mit original,Dokumenten zeigt, ohne jetzt so einen eigenen Kommentar dazu abzugeben, ohne irgendwie das groß zu bewerten, in die eine oder in die andere Richtung, sondern es ist einfach, es wirkt aus sich selbst heraus. Das finde ich ganz angemessen.
Linus Neumann 0:06:55
Das ist also das ist auch so eine hohe Kunst. Ich meine, jetztist glaube ich kein war jetzt kein Geheimnis, dass ich seit Jahren mit Klaus da in Kontakt bin, weil er eben diesen Film macht und weil ich ähJa, weil er was weiß ich, Fragen an mich hatte, weil ich ihm versucht habe, Kontakte herzustellen, manchmal erfolgreich, manchmal nicht erfolgreich, ähm weil wir insgesamt darüber gesprochen haben, ichkommen ja auch an an ganz am Ende ganz kurz in dem Film vor. Ähm dass icheigentlich bis das Ding fertig war, dachte so, Junge, Junge, ob das mal gut geht. Weil wenn du, wenn du, wenn man jetzt das so beschreibt, was er da macht, ist eigentlich der Film ist eine Collage aus.Material aus der Vergangenheit. Ja, das sind Fernsehausschnitte, privat Filmaufnahmen, was auch immer, irgendwas, irgendwelches Videomaterial, was Sie über viele, viele Jahre äh oder ja doch über Jahre des Sammelns zusammenbekommen haben, aus verschiedenen Archiven und dann eben zu einerzu einer Dokumentation zusammenfilmen, die noch dazu von Peter Glaser.Dem bekannten Schriftsteller und äh Ehrenmitglied des CCC und ehemaligen Chefredakteur der Datenschleuder so ein bisschen aus dem Off erzählt wird in einer der typischen, ich glaube aus Graz kommt der äh Peter, ne?So dieser typischen, ruhigen, pointierten,österreichischen Art, ja? Und da kann man das kann an vielen Stellen sehr schiefgehen, wenn man sagt, man möchte das so machen. Und äh das kann aber auch unglaublich.Großartig gelingen, wenn man das beherrscht. Und das haben die. Ja, also Klaus und Tanja und Peter in dem Zusammenhang mitcooler Musik noch dazu und ich habe jetzt natürlich alle Kritiken davon gelesen und die sind alle überragend, positiv und ich hatte natürlich auch einige Freundinnen und Freunde mitgenommen zu der ähmzu der Premiere, die den Film vorher nicht kannten und die auch nachher sagten so, also ganz ehrlich.Ich war auf eine ganz andere äh Unterhaltungserlebnis,eingestellt, als ich wusste, wir gehen heute Abend ins Kino und gucken eine Dokumentation. Ja, ne, das ist irgendwie nicht,das, was äh was äh ne und die waren wirklich äh enormpositiv sagten sie, egal, was das unterhaltsam war, was der Film Spaß gemacht hat, wie geil die Musik in dem Film war, äh hätte ich, damit hätte ich nicht gerechnet. Alsoich würde fast der Klang fast so ein bisschen raus, dass sie dass sie das vielleicht so ein bisschen als,Pflichttermin wahrgenommen hatten, weil sie merken, ja okay, den die Linus liegt da irgendwie was an dem Kinofilm und na gut, dann gehen wir da halt mal rein. Äh die waren wirklich richtig gut gelaunt, sind die aus dem Kino rausgekommen.Und äh haben dann noch ein paar Stunden davor rumgelungen. Äh das war äh also es ist wirklich ein,großartiges äh Ergebnis. Und äh der Moment, an dem ich wusste, dass das oder an dem ich das Gefühl bekam, dass das potenziell auch wirklich so klappen könnte, ist als ich geschaut hatte.Ähm das andere äh Werk von Klaus Meck, das im Prinzip in ähnlicher Weise ähm,oder auf auf ähnliche Art produziert wurde. Äh Westberlin.Oder sowas, ne? Heißt, ist, glaube ich, der Gesamttitel. Also diese,Avangaard, Punk, sonst was weiterentwicklung von Berliner Subkultur, Musik ähm.Darstellt bis zum Beginn der Elektromusik vom äh Beginn der Punkmusik und äh sehr ähm.Also auch ein sehr geiler Film ist, der eben mit dem in dem ähnlichen äh Stil äh gemacht wurde, die ich auch sehr empfehlen kann.
Tim Pritlove 0:10:58
Genau, da man merkt halt auch da sehr klar den den Bezug von,ähm Klaus Meck zur zur Musikkultur, wo er ja auch selber eine große Rolle gespielt hat. Ähm,das kommt halt auch in dem alles ist eins Film gut rüber, also wirklich eine schöne Selektion von Musik aus der Zeit,die dann aber auch konkret auf VAUs, leben und so das Gesamtgefühl dieser Hackerzeit damals, also Hackerkultur, gut reflektiert. So allein drei Versionen von,Computer statt. Also es sind.Es gibt drei Lieder, die Computerstart heißen. Das eine ist von, jetzt komme ich wieder nicht drauf, ähm.Abwärts, ja? Dann gibt's noch einen von den Toten Hosen,Ein anderes Lied und dann gibt's aber in dem Film auch noch eine Variante von die goldenen Zitronen, die, wie ich dann lernte, äh als danach erzählt hat, äh extra für diesen Film nochmal überhaupt erst geschaffen wurde von denen.Also als Spätwerk. Naja und es ist alles ähm sozusagen, auch belebt und und und gut untermalt durch durch diesen Soundtrack.
Linus Neumann 0:12:12
Und und den Soundtrack hat ja auch nicht irgendwer gemacht, sondern den Filmscore hat Alexander Hacke gemachtder ähm ja als langjähriges Mitglied der äh einschätzenden Neubauten bekannt ist und ähJa, es ist überall nicht, nicht irgendwer wie äh Andy Müller magun auch äh vorher äh sagte und das ist äh ja, sehr, sehr, sehr gelungen.Leider äh muss man, glaube ich, sagen, ähm.Es ist Dokumentationsfilm und den kriegst du nicht irgendwie über mehrere Wochen in Kinos platziert, sondern der läuft im Zweifelsfall in jedem Kino ein Mal,wenn du da Glück hast. Und äh das wird dann auch schon sehr, sehr bald äh vorbei sein diese Zeit, dass man den Film überhaupt noch im Kino schauen kann und das wird äh dann äh mindestens sechs Monate dauern, bis ihr die nächsteGelegenheit habt, das wäre dann äh im Zweifelsfall der Kauf einer DVD oder ähnlichem.Und ähm dann wird es irgendwann nochmal äh eine TV-Ausstrahlung geben und ähm dann.Gewesen. Insofern glaube ich, dass für viele jetzt die, denke ich, der Moment ist, sich darauf vorzubereiten, äh diesen Film ähm irgendwie zu kaufen. Ich habe am am Ende auch nochmal.Dem Verleih gesprochen. Ähm.Auch wirklich ein cooler Verleih, neue Visionen und ähm wir sind da ein bisschen am überlegen, was man da noch für Vorführungen vielleicht äh schaffen kann. Die sind natürlich auch interessiert daran, dass der, dass der Film gesehen wird und ja.Coole coole Leute. Finde ich echt eine schöne Erfahrung gewesen.
Tim Pritlove 0:13:57
Auf der Webseite kein Verzeichnis aller Vorstellungen, ihr müsstet also mal in eurem lokalen Kinoverzeichnissen selber schauen.
Linus Neumann 0:14:05
Auf CCC DE habe ich alles gesammelt, in welchen Kinos der zumindest läuft. Also das ist auch die Liste, die ich von der, von dem Verleih habe, ähm aber die letzte Premiereist tatsächlich heute am ersten achten im Open Kino in Cottbus und dann kann das eben sehr gut sein, denn haben wir noch irgendwie, weiß ich nicht, über fünfzig Städte aufgelistet, aber ähm.Das kann sehr gut sein, dass das eben einfach jetzt durch ist, ne, dass diese Aufführung jetzt eben auch stattgefunden haben.
Tim Pritlove 0:14:39
Ja, nee, da gibt's schon noch ein paar Gelegenheiten. Also, erster Blick hier auf der einen Liste, da ist zum Beispiel in Bielefeld am elften achten.Also müsst ihr einfach mal gucken, äh ist jetzt vielleicht knapp, aber gibt auf jeden Fall noch die ein oder andere Option. Jut, das dazu.
Linus Neumann 0:14:57
Genau, war cool. Hach, ich war, das war wirklich schön. Ein bisschen überfordert.
Tim Pritlove 0:15:03
Du warst überforderte, dass du dich selber aufm auf dem Screen gesehen hast.
Linus Neumann 0:15:07
Nein, ähm.
Tim Pritlove 0:15:09
Ich habe mal einen kurzen, ich habe meinen kurzen Auftritt fast verpasst, weil ich irgendwie noch aufs Klo gehen musste, genau in dem Moment.
Linus Neumann 0:15:14
Nee, bitte, also auf dem Screen zu sein, daran habe ich mich inzwischen gewöhnt, aber diese ähja doch irgendwie emotionale Reise und dann dazu sitzen so Peter Glaser war ja auch da und hier Klaus Schleisig ebenfalls Gründungsmitglied war da und dann ne zu zu äh ist ja auch ein emotionaler Film und dann viele Leute da und so, das ist man ja auch das ist man ja alles nicht mehr gewohnt, Tim.
Tim Pritlove 0:15:38
Ich ich war nur ein bisschen geplättet, als dann so am Schluss, so im Abspann, so eine Texttafel kam, wäre dann hier so die Protagonisten sind, so und äh da standst du ja drauf, ich stand da drauf und dann Albert Einstein, Timo,Und David Boie, da dachte ich mir so, okay, alles klar, jetzt kann ich hoch. Jetzt kann ich ja auch aufhören, das ist alles. Alles gelaufen.
Linus Neumann 0:16:04
Ja ähm genau, also schaut euch den Film an und ähm kauft ihn dann. Also das äh glaube ich, ist auch so der Punkt. Also bevor jetzt wieder die ähmAch so genau, das muss ich aber glaube ich ganz kurz erzählen. Warum werden Filme auf diese Weise verwertet, ne, also mit einmal im Kino, dann sechs Monate warten, Verkauf, dann irgendwie nochmal warten, bis irgendwie eine Ausstrahlung oder eine Verwertung in Streams und so stattfindet, weil dasdie Förderungsbedingungen sind. Das muss man vielleicht einfach nochmal ganz kurz dazu sagen.
Tim Pritlove 0:16:31
In Deutschland funktioniert einfach so.
Linus Neumann 0:16:33
Genau, die funktioniert so und du kannst entweder sagen, du äh versuchst es ohne Förderung.Oder du kannst sagen du machst es mit Förderung und dann hast du eben diese diese Regeln anzuerkennen.Und äh den den zu folgen. So. Äh wir haben auch sehr viel ja schon darüber gesprochen, wie das ist, wenn man einen Film ohne Förderung macht. Da gibt's die Erfahrung von Sandra Trostel mit dem FilmQuietchers welcome, das ist eben ein anderer äh ganz anderer Ansatz, einen Film zu machen.Und ähm ich denke, man wir wissen alle, dass Sandra da eben auch einen sehr steinigen Weg gewählt hat, mit eben dem grandiosen Ergebnis, ein Open-Source-Film äh zu haben. Das war für äh alles ist eins außer der Null eben,nicht der Weg, der da gegangen werden gegangen wurde und auch vermutlich einfach nicht gegangen werden konnte.Weil wir eben zum Beispiel auch große Teils aus Archivmaterial besteht und diese Musik und so alles bezahlt werden.
Tim Pritlove 0:17:33
Na ja, alles immer noch schwierig hier mit dem Urheberrecht und all dem.
Linus Neumann 0:17:38
Urheberrechtsförderung, Pipapo, also.
Tim Pritlove 0:17:40
Alles, alles.
Linus Neumann 0:17:41
Kann man kann man lange drüber reden. Die mussten ja auch so gut wie jede Minute dieses Films bezahlen, auch wenn das Archivmaterial von vor zwanzig Jahren ist, weil da gibt's dann Katalog und da musst du eben bei der ARD diese Drehminute äh kaufen,Die wird halt zum, zum Festmeterpreis äh angeboten. Also das äh kannst du nicht einfach äh von YouTube nehmen.Genau, nur bevor das jetzt wieder losgeht, dass die Leute sich beschweren, dass dieser Film eben verkauft wird und nicht verschenkt.Okay, äh ein paar schöne Kritiken haben wir im äh in den verlinkt. Es ich habe keine weiteren gefunden. Es gab keine negativen Kritiken, die TAZ bemerkte das in dem Film ähm hauptsächlich Männer eine Rolle spielen.Das äh muss man leider so anerkennen. Ähm es gab sehr wenige Frauen, die in der Anfangszeit eine Rolle gespielt haben, aber.Ganz klar, Rena Tangens hätte da auch vorkommen können. Ähm stattdessen ist Paddelun vorgekommen.
Tim Pritlove 0:18:42
Gab auch noch ein paar andere, die auch noch hätten auftauchen können, aber,es tauchen auch schon so viele auf, aber das sind dann einfach auch Entscheidungen, die oft dann einfach auch auch äh aus anderen Gründen gefällt werden, nämlich welches Material überhaupt vorhanden ist. Gerade das ganze Videomaterial von von wow zum Beispiel, das ist auch so dünn gesät, also ich habe zu den Eindruck, sie haben so ziemlich alles zusammengekratzt, was überhaupt existiert, aber esviel zu wenig, weil einfach macht man sich heutzutage kaum noch klar, aber diese ganze Aufzeichnungskultur das ist auch erst ein Phänomen der letzten zehn Jahre so und.
Linus Neumann 0:19:17
Und weißt du was denn? Wenn die irgendwann, wenn man irgendwann mit dem gleichen Ansatz ein Dokumentationsfilm über irgendwelche Leute ausm zwanzig zwanzigern macht, ne, dann hat man immerhin ganz viele Selfies auf Instagram von denen.
Tim Pritlove 0:19:35
Also bei mir ist dann immer noch.
Linus Neumann 0:19:39
Ein Scheißwelt.Okay, gehen irgendwohin, fahren ans andere Ende der Welt und sehen trotzdem nur sich selber. Na ja, okay. Wir reden wir reden mal über das erste äh Thema, oder?
Tim Pritlove 0:19:53
Genau. Machen wir das doch mal. Was ist denn passiert? Da ist auch wieder was passiert.
Linus Neumann 0:19:58
Urlaub, kaum machst du Urlaub, tanzen die äh Mäuse auf den Tisch.Sehr äh großer äh und sehr viel Aufsehen erregender Skandal, um die um das NSO Pegasus. Jetzt haben wir immer wieder äh erwähnen wir die NSO Group ähmaber ich denke, in längerer Zeit nicht mehr so ausführlich.Und zwar gibt es äh weltweit eben einige wenige ähm relativ berüchtigte Unternehmen, die,Staatstrojaner herstellen. Ähm wir kennen ja den Kampf gegen Staatstrojaner, der ja in Deutschland seinen Auftakt hatte damit, dass der CCC, ich glaube zwanzig elf diesen Ozapft ist,analysiert und auseinandergenommen hat. Das war ein äh gegen Windows Maschinengerichteter Staatstrianer Wald, ne. Damals war diese ganze,ähm Smartphonegeschichte noch nicht so groß. Heute.Konzentriert sich der Markt natürlich auf äh Smartphones und wir haben ja auch schon sehr viel darüber gesprochen, mit der Quellen Telekommunikationsüberwachung, also.Dem Kunstbegriff der im Prinzip sagt, wir hacken dieses Handy um,die Kommunikation abzuhören, weil sie verschlüsselt stattfindet. Äh die Onlinedurchsuchung kürzlich mit Andre Meister, hatte ich da ja eine Episode gemacht, äh die wir vielleicht nochmal zur zur Einleitung verlinken,Ähm.Außerdem hatten, gab es diesen äh gibt es diesen Staat zu einer Hersteller äh Gamma-Arfin Fischer ähm über den wir ja auch regelmäßig berichtet haben, habe ich auch in dieser Episode mit André,gesprochen und da hatten ja auch Torsten und ich zwanzig neunzehn eine Analyse beigefügt und gegen die gibt es ja gerade das laufende Strafermittlungsverfahren wegen umgehen von,äh von Exportrestriktionen, wo es irgendwie, ich glaube, Hausdurchsuchung an über siebzehn Standorten gab. So, ähm das sind.Privatwirtschaftliche Unternehmen, die Schadsoftware für äh eben.Mobiltelefone programmieren, also,für Android und iOS-Devices in der Regel und auch die Comand and Control Infrastruktur dafür unterhalten, also die Server, wohin die Daten dann exfiltriert werden.Und die ähm Dienstleistungsverträge mit,die mit Staaten eingehen, die also sagen, unser Produkt, das was wir hier anbieten, das äh bieten wir nur staatlichen Stellen an, sprich Geheimdiensten und Strafverfolgungsbehörden zur.Rechtmäßigen.Anwendung im Rahmen einer demokratisch legitimierter Geheimdienst Operation hust und äh Straffverfolgungsoperation.Ähm soweit die die äh Selbstdarstellung dieser Unternehmen und natürlich haben die relativ,dubiose oder sagen wir agieren die in einem relativ gefährlichen Umfeld, auch das sei nochmal zusammengefasst, weil sie ja Wissen darüber sammeln müssen, um ihren.Ihren Auftrag zu erfüllen, müssen sie wissen, wie man ein Telefon infiziert.Ja? Und diese Schadsoftware muss ja auf das Gerät aufgebracht werden. Und das geschieht in der Regel mit Hilfe von Schwachstellen.Und diese Schwachstellen sind für diese Unternehmen natürlich nur dann gut,wenn sie auch möglichst viele Geräte betreffen, mit anderen Worten, die haben ein großes Interesse, diese Schwachstellen geheim zu halten. Das sind also Unternehmen, die,inhärentes Interesse haben, dass es Schwachstellen auf euren Geräten gibt, diese Schwachstellen gezielt suchen und dann im Rahmen ihrer äh beruflichen geschäftlichen Tätigkeit ausnutzen.Das ist ähm etwas, was äh gemeinhin als unfein äh betrachtet wird, weil es zur Folge hat, dass diese Schwachstellen eben auf allen Geräten sind und damit das äh Risiko,für die Gesellschaft eben sehr viel größer ist. Weiterhin,muss man natürlich sagen, wenn man sagt, wir verkaufen nur an Staaten und nur an irgendwie demokratische Staaten, die äh es mit den Menschenrechten sehr genau nehmen.Hast du eine sehr enge Einschränkung deines potenziellen Marktes. Ja, weil der größere Teil der Staaten, dass mit der Demokratie und den Menschenrechten und so weiter noch nicht so ganz äh ernst nimmt.Und ähm Einschränkungen deines potenziellen Marktes wiederum sehen die äh Wirtschafter in einem Unternehmen äh regelmäßig,als nicht so äh förderlich an, sodass diese Unternehmen regelmäßig eben dabei erwischt werden an,starten, verkauft, exportiert zu haben, an die man nicht.Sollte, wenn man sich entlang äh gängiger moralischer und ethischer Standards bewegen möchte.So, so viel zur Vorgeschichte, ist das gut zusammengefasst, Tim.
Tim Pritlove 0:25:23
Habe ich jetzt erstmal nichts dran äh auszusetzen.
Linus Neumann 0:25:25
Okay, ähm so die NSO-Group war äh ich glaube, wir hatten irgendwie vor ein paar Jahren so einen äh Vortrag auf dem Kongress, wo wo dann sich damit auseinandergesetzt wurde. Ähm.Und wo man so merkte, oh, oh, die, die können was, ja? Und,dieser Markt ist natürlich relativ heiß umkämpft und natürlich auch gut bezahlt. Das ist das also um diese Schwachstellen zu finden brauchst du,sehr fähige Leute, sehr fähige Leute, wollen immer sehr viel Geld haben und ähm dafür, dass sie vielleicht dann auch noch ihren äh ethischen Kompass äh mal ignorieren im Rahmen ihrer Tätigkeit musst du äh üblicherweise vielleicht auch noch einen Aufpreis zahlen. Ähm.Und offenbar ist es denen halt gelungen, sich da äh zu etablieren in diesem Markt. Ähm,und relativ viele unter viele Staaten dann zu ihren,Kundinnen zu zählen. Jetzt ist es passiert, dass eine ein Recherche-Kollektiv mit dem Namen For Bidden Stories an ein Datenleck von fünfzigtausend Telefonnummern gekommen ist.Die mit der Software Pegasus, so heißt der Staatstrianer der NSO Group, ähm überwacht wurden.Diese Liste kriegen die jetzt in ihre Hände. Was machen die? Sagen aha, okay, jetzt müssen wir das natürlich verifizieren, wenn wir so eine, wenn wir so eine Liste bekommen, Quelle ist unklar. Ähm was machen wir jetzt damit?Dann haben sie einfach ähm,auch sein, dass da einfach irgendeine Liste von Telefonnummern ist. Äh haben sie dann angefangen, auszuwerten. Erstens, ähm,Was sind das hier für Menschen und haben dabei unter diesen fünfzigtausend Leuten Journalisten, Menschenrechtsaktivisten, Führungskräfte von Unternehmen, Militärangehörige, Premierminister und staatsüberhäuter gefunden und haben,insgesamt siebenunddreißig Geräte analysiert.Von dieser Liste also von Menschen, deren Telefonnummern auf dieser Liste standen und auf siebenunddreißig Geräten eben ähm eine Infektion mit Pegasus nachgewiesen.Pegasus, da haben wir auch schon ähm länger drüber hier gesprochen, die verfügten oder verfügen über mehr oder weniger so eine äh,Infrastruktur. Also da gibt man einfach nur 'ne Telefonnummer ein und dann wird das an dem anderen Ende befindliche Gerät äh übernommen.Diese Analyse fokussiert sich primär auf iOS. Ich komme gleich nochmal dazu, äh warum.Auf iOS ist es also vermutlich, jetzt kommt der leicht, vermutliche Teil, findet die Infektion darüber statt, dass in der in dem Image IO Framework von iOS, also in der Grafik,Darstellungs und Weiterverarbeitungs ähm Library eine Schwachstelle ist,oder vermutlich mehrere, weil oder nee, auf jeden Fall mehrere, weil in den letzten Updates jedes Mal, also vierzehn drei, vierzehn, vier, vierzehn, fünf, vierzehn, sechs, jedes Mal Schwachstellen in Image-Io,gefixt wurden, also Image-Iye Allstar offenbar ein ähm Fehlersuchbild. Die schicken also den Opfern.Message, die vermutlich ein Bild beinhaltet, dass äh.Von dieser Image-IO verarbeitet wird und dabei Schwachstellen dieser Image-IO ausnutzt, um dann äh am Ende den Prozess dieses Staatstrojaners auszuführen. Das ist insofern spannend, weil sie,den nicht installieren.Ähm sie haben also keine äh Persistenz. Ja, also wenn man eine Schadsoftware hat, ähm ist es üblicherweise wünscht man sich, dass die dauerhaft auf dem Zielgerät ist.Es gibt natürlich unterschiedliche Abwägungen ähm sich zu entscheiden, das nicht zu tun. Dazu kann gehören, dass man sagt, okay, wir möchten möglichst wenige Spuren.Hinterlassen. Deswegen versuchen wir einfach mal nur im Rahmen zu bleiben. Ähm dazu kann auch gehören, dass man sagt, wir haben einfach so viele ähm,Exploits auf diese Zielplattform, dass wir,uns keine Sorgen machen müssen, das Gerät neu zu infizieren und dazu gehört auch, dass diese Smartphones eben nur unter Not und Zwang neu gestartet werden, sodass du äh quasi der Drang.Dich dauerhaft das Gerät dauerhaft zu infizieren, damit du nach einem Neustart immer noch da bist, ähm offenbar ein bisschen abgenommen hat.So, äh hat also für forensische Analysen ähm durchaus Konsequenzen, wenn du.Nämlich sagst, selbst wenn wir uns das Dateisystem anschauen, werden wir nichts finden,ja? Ähm das heißt, du müsstest im laufenden System nach einer Infektion suchen. Das wiederum kriegst du kaum hin, weil du,in der Regel diese Telefone nicht kannst. Deswegen hat sich hier das Team von Amnesty International, die übrigens ein also ja ein weltklasse Team,in ähm Staatstrojaner Forensik unterhalten. Es gibt da eigentlich nur ähm.Zwei, drei weltweite Teams, die in dieser Liga da spielen. Das ist das, das Team um Amnesty. Ähm das ist das Citizen Lab,und nach meiner Wahrnehmung kommt dann erstmal längere Zeit nichts und dann kommen irgendwie noch so ein paar äh.Ähm Schadsoftware äh Buden, die,auch Analysen machen und dann irgendwann ganz unten kommen dann vielleicht nochmal so so Hobbyisten wie Torsten und ich die sich das auch mal angucken, ne? Aber diese die Weltklasse ist eben Citizen Lab und äh das und Amnesty.Ähm so, die haben sich also jetzt äh auf eine Analyseform äh konzentriert, die.Inkonsistenzen, in den Backups von iOS erkennt, weil nämlich der Prozess, der, also der, also, ein, ein Staatsferner muss ja,ausgeführt werden auf dem Zielgerät. Und dieser äh gibt also einen mit der Pegasusinfektion verbundenen Prozess, der heißt Bridge Head BH und der verändert ein paar Dateien. Äh ist das irgendwie.Also der, der wenn der Crash das dann keine Meldung an Apple geht, ist meine Vermutung, dass das die Änderung ist. Und der räumt ein bisschen hinter sich auf.Dass sein eigenes, sein eigenes Datenvolumen nicht.Von von dem Standardsystem Locks erfasst wird. Und dabei schafft er aber Inkonsistenzen.Das sind also sehr kleine, feine ähm Unterschiede, die man erstmal äh kennen muss, die eben im Gesamtbild äh darauf hinweisen, eine, dass eine Pegasusinfektion stattgefunden hat. Da kann ich nur sagen, das wird,sehr, sehr viel Zeit in Anspruch genommen haben, diese Inkonsistenzen überhaupt einmal zu entdecken.Und mit einer Infektion in Verbindung zu bringen. Das ist also das Ergebnis von vielen Jahren äh Forschungund ähm das Schwierige dabei ist natürlich immer infizierte Geräte zu bekommen. Ähm beziehungsweise es ist nicht schwierig, Leute zu finden,die der festen Überzeugung sind, dass ihr Telefon infiziert ist, ja? Die suchst du nicht langeäh stellt sie sich einfach kurz vor vor einen beliebigen für eine beliebige für einen beliebigen des Chaos Computerclubs und wartest. Ja kommt jemand mit uns fest überzeugt, dass ihr Handy gehackt ist, ja?Aber.
Tim Pritlove 0:33:03
Alternativ einfach auf einer Querdenkerdemoiro herumfragen.
Linus Neumann 0:33:06
Ja genau, also von denen findest du viele. So, dann musst du die aussieben nach, okay, habe ich hier einen angemessenen ähm Verdacht, ne, einer.Dann Anhaltspunkt und dann irgendwann findest du was und dann musst du deine Indicaters of Compromis natürlich geheim halten, damit die nicht gefixt werden und so weiter. Das ist also viele Jahre Arbeit, die ähm.Amnesty ja auch macht, deswegen wird ja zum Beispiel ähm.Und dass es äh spätestens da hört's ja dann auch wirklich auf, lustig zu sein. Wir erinnern uns an den Fall von äh Jamal Khashoggi, der ja äh ermordet wurde, der eben auch eine äh auf dessen Telefon eben auch Infektionen mit Pegasus,also arbeiten da seit sehr langer Zeit da dran.Und haben jetzt auch äh ein Tool veröffentlicht, ähm das Amnesty Lab, äh das Mobile Verification Tool Kit, das im Prinzip ähm eine Analyse von.Phone Backups vornimmt.Füttern kannst. Und damit kannst du jetzt quasi erkennen, ob dein iPhone Backup.Spuren beinhaltet die eben darauf hindeuten, dass dieses Telefon mal mit ähm.Äh Pegasus infiziert war oder was weiß ich seit dem Zeitpunkt des letzten Backups ist.
Tim Pritlove 0:34:28
So digitale Kratzspuren sozusagen.
Linus Neumann 0:34:31
Genau, also winzig kleine, also Indicateres of Compromis sind so die hohe Kunst dessen, ne, dass man sagt, okay,Das ist ein festes Anzeichen dafür und das bedeutet natürlich auch, dass diese Inkonsistenzen nicht aus irgendwelchen anderen Gründen stattfinden oder von mir aus hast du mehrere Inkonsistenzen.Die in Kombination dann eben ein ein äh sicheres Indizi sind. Aber wie gesagt, das ist jahrelange Forschung. Ähm okay,dann haben gibt's natürlich die andere Seite, also jetzt wieder aus Sicht von NSO. Du hast also dein, dein sogenanntes Implant.Deine also du hast dein du hast deine und die.Ex filtriert ja Daten, dafür schickst du die ja da drauf. Und ähm da macht übrigens jetzt eine Sache Sinn, die mich.Früher immer beschäftigt hat. Also es gab ja auch vor einiger Zeit die Meldung, dass Jeff Bezos,Zielperson der NSO Group gewesen sei oder der Charts und da in den Berichten hast du immer gelesen, dass die quasi infiziert werden und dann nach der Infektion ein hohes Datenvolumen auftritt,Ja, dass also direkt nach der Infektion große Mengen oder größere, ungewöhnlich große Mengen an Daten ähm weggesendet werden. Und das hat mich immer gewundert.Wenn man aber bedenkt, dass die keine Persistenz haben, macht das total Sinn. Weil in dem Moment, wo sie infiziert haben, wissen sie nicht, wie lange es dauertäh das Gerät neu gestartet wird und sie vielleicht einen neuen Versuch machen müssen, wenn die iMessage angezeigt wird, ist das schlecht, ne? Also äh macht das total Sinn, dass die direkt nach Erfolg da in viel äh nach Erfolg da äh äh,Übernahme des Gerätes sofort Daten extrahieren. Ähm die muss die müssen irgendwohin.Das sind die sogenannten Command and Control Server. Du unterhältst also im Internet Server, die diese Daten entgegennehmen. Ähm anderskriegst du ja nicht von dem von dem Mobiltelefon runter. Auch da habendie Forscherinnen und Forscher ganze Arbeit geleistet und haben Kommand in Kontrollserver in Deutschland, UK, Schweiz, Frankreich, USA und in Amazon gefunden.Amazon Cloudfund hat die,ihnen zugeordneten Server sofort abgeschaltet. Dreiundsiebzig Stück waren das. Äh andere Anbieter sind noch und äh OV. Da wird irgendwie noch, also da bin ich gerade nicht auf dem aktuellen Stand wie die mit diesen,mit den Informationen umgegangen sind, dass dort eben äh ja Commanden-Control-Server ähm unterhalten werden.
Tim Pritlove 0:37:03
Also äh liefen diese Kontrollserver in deren Cloud oder sind ist diese Cloud-Front quasi nur vorgeschaltet für Last.
Linus Neumann 0:37:13
Ich ich bin mir genau, ich bin mir nicht hundertprozentig sicher, was also Amazon hat so viele Cloud-Dienste, die ich nicht alle hundertprozentig kenne,aber ähm üblicherweise nimmst du also Amazon Cloudfront ist einfach ein CDN, Content Delivery Network ähm.Üblicherweise nimmst du diese also du nimmst diese Amazon-Services, weil,die ja eh jeder nutzt. Das heißt, was äh was ist der, der, der, der unverdächtigste Traffic, den ein Gerät machen kann, ist natürlich irgendwo zur Amazon-Cloud gehen, weil der ist eh alles.
Tim Pritlove 0:37:51
Der Heuhaufen, wo auch alle anderen Nadeln rumliegen.
Linus Neumann 0:37:54
Das ist ja quasi das Internet leider jetzt bald, ne? Und äh insofern versuchst du natürlich auch, also die sind natürlich die Programmierer dieser Schadsoftware, sind natürlich erpicht, äh so wenig,und so wenig Auffälligkeiten wie möglich zu produzieren.Kommen wir mal dazu, ähm in welchen Staaten es jetzt da äh Skandale gibt. Ähm das sind sehr vieleAlso wenn man nur mal schaut auf, ich hätte ja gerade gesagt, einhundertachtzig Journalistinnen und Journalisten. Wenn man nur mal auf Staats und Regierungschef schaut, dann äh sind die Zielpersonen aus Frankreich, Irak, Südafrika, Marokko. Jemen, Libanon, Uganda,Algerien, Belgien, Pakistan, Ägypten, Kasachstan. So, das sind irgendwie so die Zielpersonen.Und in ähm Ungarn sind äh vier Journalisten und ein Fotograf überwacht worden. Außerdem mehrere Geschäfts,Leute und Ex-Politiker in Frankreich rund dreißig Journalistinnen und Chefs von Medienunternehmen, aber auch äh der Präsident,und Mitglied der Regierung Frankreichs sowie EU-Ratspräsident Michelle. Ähm.Macron muss man sagen, da waren's äh eine von mindestens zwei Nummern und die Nummern nutzt ja seit zweitausendsiebzehn sein früherer Leibwächter war auch betroffen und der französische Umweltminister Franoa de Regieder hat sein Telefon selber analysieren lassen, also Amnesty hat spezifisch auf dessen,ähm Handy äh festgestellt, dass Pegasus im Juli zwanzig neunzehn auf dem Gerät aktiv war.Ja? Äh das ist schon ein starkes Stück. Und äh ja, NS, die NSO-Group leugnet natürlich alles, äh die.Tja, wie soll man das sagen? Das sind natürlich, also diese diese Gruppen, diese diese Unternehmen haben natürlich sehr ähm,Es ist sehr schlecht, dass es solche Unternehmen gibt, weil die natürlich einerseits staatliche Interessen verletzen.Andererseits sehr äh äh sehr süße Angebote für staatliche äh Interessen machen, ja? Ähm.Im Falle von von des Hacks von ähm von französischen Regierungsüberholptern geht man davon aus, dass,der auf Marokko zurückgeht, aber hier König Mohammed, der sechste und,sind beides Personen aus Marokko, die halt auch getaget wurden. Jetzt kann es sein, dass der marokkanische Geheimdienst eben auch einfacheigene Bürgerinnen damit äh angegriffen hat. Das dann würde es irgendwie wieder Sinn machen. Äh langer Rede, kurzer Sinn, äh,jetzt sind natürlich einerseits die Leute, die Betroffenen äh Regierungschefs, das sind ja die einzigen, die äh denen zusteht, sich über so etwas zu beschweren, ja. Ähm dass hier Menschenrechtsaktivisten und Journalisten damit angegriffen werden, dass äh,interessiert ja nur äh,so ein paar Idealisten eigentlich, ne? Der wahre Skandal ist ja, dass dann irgendwie Macron abgehört wird. Ähm.Entsprechend sind die da,In ihrer Reaktion noch relativ zurückhaltend habe ich den Eindruck, in ähm in Israel, wo die NSU Group sitzt, haben also Vertreterinnen unterschiedlicher Behörden die Geschäftsräumeinspiziert haben wir geklopft und haben gesagt, können wir mal reinkommen und gucken. Äh das ist natürlich äh gar nichts,Ähm ich habe mir längere Zeit darüber Gedanken gemacht, was ist jetzt eigentlich, ne, dass,sinnvolle die gute Konsequenz aus so etwas, weil man ja ganz offensichtlich sieht, ich meine, wir wir üben ja schon Kritik an ähm.Der Existenz von Geheimdiensten, ja? Aber wie schlimm ist es erstmal, wenn du dann auch noch für diese Geheimdienste.Ähm privatwirtschaftliche Sub-Contractor hast.Die äh im Prinzip eben deine, die im Prinzip sagen, jo, alles klar, dein Start ist bei uns Kunde und äh gleichzeitighecken wir noch einen anderen Staat auch, ne? Das ist halt wirklich echt nichts, was du.Was du haben willst, das ist nicht gut, dass es das gibt. Oder wie sehe ich das falsch?
Tim Pritlove 0:42:26
Das ist überhaupt nicht falsch. Also es ist einfach,zeigt vor allem, dass selbst die sichersten Systeme hier äh schnell ähm quasi in das Licht geführt werden kann, also wenn so ein Siro-Dee auftaucht, mal das Beispiel mit iMessage da auf dem äh Eiweiß, mein Eiweiß,Gilt ja nicht zu unrecht, so eigentlich als das am besten gesichertste System, aber es äh bewahrt einen natürlich auch nicht davor, dass auch dort Fehler gemacht werden und gerade so dieses Beispiel mit dem Bild.Ja, das ist ja sozusagen was das ja bedeutet, ist in dem Bild ist der Code,Das heißt, es beschreibt eigentlich gar nicht Pixel, es beschreibt eigentlich Code und durch einen fehlerhafte interpretation dieser Daten,einlesen dieses Bildes, weil er einfach irgendwo nicht das steht, was erwartet wird, was da normalerweise drin steht, sondern steht was anderes unddie Leute von NSO oder wo auch immer sie dann quasi diesen Hack her haben, haben halt herausgefunden so, ah okay, wenn ich jetzt hier irgendwie eine Drei äh statt einer Zwei reinschreibe, dannist der Kot einfach unvorsichtigähm stellt sich quasi selbst ein Bein, fällt auf die Fresse und dann führt es dazu, dass äh andere Daten, die in diesem Bild noch mit drinstecken, einfach äh von dem System in dem Moment als lauffähiger, valider Code ausgeführt werden. So und wenn das dann.
Linus Neumann 0:43:44
Jetzt müssen wir aber noch ganz eine weitere Ergänzung, Tim, ne, also das ist äh äh also du hast gerade Buffer Overflow genau gut erklärt. Ähm eine Sache noch.Du kriegst aber, also du brauchst ja für diesen Hack dann außerdem noch Rutrechte, das heißt, es gibt auf jeden Fall dann noch weitere,die eine ermöglichen. Es sei denn, diese Image Library läuft schon mit Rutrechten, was ich mir nicht vorstellen kann. Also, diese wird.Eine ständige Pflege brauchen und sie wird auf jeden Fall aus mehreren bestehen.
Tim Pritlove 0:44:19
Genau, mir ging's jetzt auch gar nicht so sehr jetzt um um die korrekte technische Beschreibung, sondern nur um dieses,in dem Moment, wo wieder irgendeine Fehlerkette gefunden wird, ja, die im Prinzip zum Erfolg führt,dann halt so diese ganze NSO-Infrastruktur dann auch sofort da das Larschscale sofort überall zum Einsatz zu bringen,und deswegen ist ja diese ganze Debatte so wichtig, die wir auch immer wieder führen mit Sicherheitslücken müssen einfach so früh wie möglich veröffentlicht werden, damit das gestopft werden kann, weil es einfach so oder so, selbst wenn selbst wenn dieser Fehler.Bekannt wäre und bei Apple vorliegt und die das dann irgendwie patchen und dann ein Betriebssystem-Update draus machen. Bis das dann wirklich in der Welt ist, da vergehen,im besten Falle Tage ja manchmal auch Wochen undunter Umständen eben auch Monate und solange ist das eben in US und die Infrastruktur, die NSO halt dazu bereitstellt, die erlaubt eben dann auch einfach sofort dieses Ausnutzen solcher Sicherheitslücken in im industriellen Maßstab, so.Das ist ja die eigentliche Gefährdung. Dadurch werden diese Sicherheitslücken erst so gefährlich durch diese Software.
Linus Neumann 0:45:30
Das äh Krasse ist übrigens auch, wenn man sich die Rolle in dieser NSO Group anschaut, ähm im Prinzip,Ist das ja, also das ist das, was du an jeder Stelle siehst. Wenn es mehrere Stellen mit Nachfrage gibt.Geht jemand hin und sagt ich biete euch das als als Service an ja? Ich bündle die Kompetenz bei mir.Ich äh biete euch das als Dienstleistung an, woran ihr alle Bedarf habt und warum sollte das eben nicht auch in in dem Markt für für Geheimdienste und Strafverfolgungsbehörden,so sein, ne? Es ist ein, also so marktwirtschaftlich betrachtet macht das total Sinn, dass es so eine NSO-Group,sich eben formiert und dass die ein sehr gutes äh florierendes Geschäft mit sehr vielen Staaten hat und dann eben mh,es auch tatsächlich in der Verantwortung dieser Staaten sieht, wen die Tagettenja? Dann sagst du ja nee, nee, wir haben uns ja nur, wir haben uns ja nur hier zeigen lassen, dass ihr, dass ihr Staaten seid. Worauf ich noch hinaus wollte, ist, es wäre natürlich super, wenn dieses Unternehmen vom Erdboden verschwindet. Ähm es ist allerdings äußerst unwahrscheinlich.Dass ausgerechnet Israel dieses Unternehmen äh schließen lässt, ja? Ähmes sei denn, das hätte jetzt irgendwelche äh Handelsbeziehungen mit was weiß ich, dem Iran oder äh sonst was, dann würde Israel da vielleicht nochmal äh gucken, ob man das Unternehmen behalten will. Das Problem istallerdings natürlich auch, dass dieses Unternehmen.Wenn man es auflöst, die Leute gibt's ja nun mal, ja? Und diesen Markt kriegst du jetzt nicht, also diese Kompetenzen und den Markt kriegst du ja nicht weg, nur weil du jetzt ein Unternehmen platt machst.Und da wird man irgendwie äh also am besten wäre es einfach, wenn die Staaten sich verbünden würden und sagen würden, nee, sowas solchen Leutengeben wir kein Geld, die möchten wir bei uns nicht, aber genau das wird auch wieder nicht passierenAlso, wer meine Prognose weder das jetzt so, so ein Skandal, der wird jetzt irgendwie ausgesessen, die poltern ein bisschen rum und sagen, stimmt gar nicht und dann machen alle weiter wie vorher.
Tim Pritlove 0:47:33
Das ist äh das wahrscheinlichste auf jeden Fall. Es gibt da einfach überhaupt keinerlei,Ähm ja, es gibt auch vor allem keinerlei, also abgesehen davon, dass es keinerlei Bereitschaft gibt, bei den Staaten sich da quasi.In dem was sie tun könnten, beschneiden zu lassen. Ne, also alle wollen irgendwie mitspionieren, alle wollen äh genau den gleichen Waffenstand haben wie alle anderen, das ist ja so die eine Triebfeder, also nach dem Motto, wir müssen ja, weil die anderen machen das ja auch und,würden wir uns ja ins eigene Fleisch schneiden, ne? Ähm und es gibt halt auch keinerlei international Verträge oder Sanktionsmöglichkeiten, so etwas in irgendeiner Form zu bestrafen, aus genau diesen Gründen.Deswegen ist es halt sehr schwierig, wie man da überhaupt eine Verbesserung der Situation erzielen kann.
Linus Neumann 0:48:24
Das ist genau also ich will nur sagen, das sind die Probleme, die du dir eintrittst, ja? Wenn du in jeder,blöden Sitzung des Innenausschusses des Deutschen Bundestags irgendein ähschlecht gelaunten alten, weißen Mann sitzen hast, der irgendwie sagt, wir müssen jetzt alles hacken, weil die, weil die Verbrecher äh sind im Internet. Wenn du äh ein Innenminister wie Horst Seehofer hast, die ohne jede Rücksicht auf,Konsequenzen, ähm Überwachung und IT Unsicherheit aktiv vorantreiben. Das ist das, was sie dir damit eintritt. Das, das ist,sowas kommt von sowas. Und am Ende kannst du ja sogar noch sagen, ähm musst du ja froh sein, dass immerhin noch.Die die Mehrheit der demokratischen Staaten.Bei denen Kunde sind, weil sie dann vielleicht noch ein Zünglein an der Waage haben, äh zu sagen, übrigens, wenn ihr, wenn wir euch hier, wenn wir nochmal hören, dass ihr irgendwie in Unrechtsregime ähm,verkauft, dann sind wir weg.Ne? Und wenn die nicht die Kunden werden, dann werden's eben nur noch die die die Diktatorin und und äh es gibt glaube ich hauptsächlich Diktatoren, da kann man ruhig auf Gendern verzichten, aber wenn wir jetzt nur noch die die.Toren und und Unrechtsregime, die sowas einsetzen und die Menschenrechtsaktivisten und die äh Journalisten.Und Journalistin, die ähm hier dann die Zielpersonen sind.
Tim Pritlove 0:49:53
Tja. Echt, es gibt keine Diktatorinnen. Aktuell? Bist du sicher? Aber es.
Linus Neumann 0:49:59
Weiß ich nicht. Google mal Diktatorin. Weiß nicht, wer's? Wer ist eine lebende, lebende Diktatorin? Google ich jetzt mal, lebende.Leben der Diktatorin. Der erste Treffer, ne die zehn, das wird sofort Diktorin, meinten sie Diktatoren.
Tim Pritlove 0:50:23
Evaluiert nicht.Wir lassen uns in den Kommentaren wieder aufklären. Ihr habt sicherlich äh ein paar Hinweise.
Linus Neumann 0:50:32
Nee, nee, Tim, ich weiß, ich kenne Diktatorin. Kennst du auch.
Tim Pritlove 0:50:35
Ach Merkel. Na die ist ja jetzt auch bald.
Linus Neumann 0:50:49
Okay.Ähm noch ein ein abschließend noch mal meine höchste Anerkennung für diese Forschung, die da eben äh betrieben wurde, das ist äh,Liga,Ähm wir versuchen's ja hier allgemein verständlich zu machen, aber die Blogposts von Amnesty und die Tools von Amnesty äh kann man sich durchaus mal anschauen. Kleine Vorwarnungenes dauert Ewigkeiten mit dem MVT, eure iPhone Backups durchzuwühlen, weil ja die erstmal entschlüsseln müsst.Da sind dann schon mal ein paar hundert Gigabyte entschlüsseln und dann äh dann die Analyse macht. Wenn ihr eure Backups nicht verschlüsseln äh entschlüsseln müsst, habt ihr was falsch gemacht, dann müsst ihr das Häkchen setzen bei Backups verschlüsseln, meine lieben Freunde.
Tim Pritlove 0:51:34
Jo. Damit hätten wir, glaube ich, das Thema dann erstmal umfangreich belegt, oder?Ähm ja, womit machen wir weiter? Machen wir weiter mit Flut.
Linus Neumann 0:51:52
Flutkatastrophe, ja.
Tim Pritlove 0:51:53
Ja genau, die die hat uns auch eine Idiotenflut äh wieder beschert so als Seitenarm. Also vorher ein paar Wochen, ihr werdet es alle mitbekommen haben,heftige Regenfälle über äh lange, lange Tage, vor allem in Nordrhein-Westfalen und Rheinland-Pfalz, in Deutschland auch in den angrenzenden Ländern Belgien, glaube ich, auch,Niederlanden äh war's glaube ich auch recht heftig, das habe ich alles nur ein bisschen aus der Ferne wahrgenommen. Auf jeden Fall ja habt ihr ja gesehen, was das alles ausgelöst hat. Da wurden große Teile von Dörfern einfach äh weggespült, reihenweise.Brücken und Straßen, teilweise auch Autobahnen abgeräumt und viele Leute sind davon,betroffen, vor allem weil halt auch viele Leute gestorben sind. Ich glaube, die Todeszahl ist über hundertsiebzig letzte Mal, als ich äh da eine Nachricht zu wahrgenommen habe.Und äh ja, dadurch würde natürlich im wahrsten Sinne des Wortes wieder einiges freigespült, unter anderem,wie nackt äh es denn doch äh aussieht, wenn's um die digitale Infrastruktur in Deutschland steht, denn es wurden vor allem viele Leute nicht äh gewarnt, das hat,wesentlichen zwei Gründer. Das ist eine, das wohl Warnung, die von den Wetterdiensten tatsächlich ähm an die Länder weitergereicht wurden,auf irgendeiner Ebene der Bürokratie stecken geblieben sind, also nicht weitergereicht wurden, da kann ich mich jetzt nicht groß zu äußern, äh wo dasund ähm warum das sozusagen nicht stattgefunden hat, aber dass es sagen wir mal, dass eine bürokratische Probleme, das andere ist, dass in dem Moment, wo wir dann wirklich mal Warnungen ausgesprochen werden solltenja schlicht diese Warninfrastruktur so nicht vorhanden war. Wir hatten ja hier im letzteneine Sendung schon gemacht, als dieser Warntag in Deutschland weitgehend gefällt ist. Da wurde ja mal versucht, die paar Sirenen, die noch äh rumstehen äh zum Singen zu bringen und die ganzenWarnapps mit entsprechenden Nachrichten zu fluten, was dann eben dazu geführt hat, dass äh sich alles schön aufgehangen hat und das alles irgendwie hinten und vorne nicht funktioniert hat.Und damals hatten wir schon diese ganze Debatte, warum denn bitteschöneigentlich nicht äh eine Technik, die explizit zum Warnen gedacht ist, in Deutschland zum Einsatz kommt. Na ja und ähm,Ist halt immer noch nicht so und jetzt haben wir genau die Situation gehabt, wo genau das dann doch mal eine sinnvolle Sache gewesen wäre.Stattdessen wird halt viel über Apps geredet, ähm es gibt übrigens, habe ich halt nochmal nachgeschaut, vier verschiedene Warnapps in Deutschland,einen so warnen sollen. Da so versäuß du dir vier verschiedene Sirenen aufs Dach stellen.
Linus Neumann 0:54:42
Welche denn Nina, Katwarn.
Tim Pritlove 0:54:45
Genau, dann gibt's halt vom DWD, vom Deutschen Wetterdienst dieses Warnwetter.Und dann äh habe ich gelernt, gibt's noch eine App, die heißt auch sehr, geht auch sehr flüssig von der Zunge.Formen bei Gemeinden, auf Gemeindelevel irgendwie zum Einsatz kommen,die dann auch noch von mir äh berichtet, aber das ist auf jeden Fall alles mehr als unübersichtlich, weil,Ich meine, wenn du schon auf eine App setzt, dann wäre doch vielleicht eine, genau die richtige Zahl so, weil das,Da kann man dann zumindest noch so halbwegs für trommeln. Ähm gut, wir haben auch noch die Corona-Warn-App. Andere Geschichte.Aber auch da und da kommen wir ja leider äh nochmal zu in dieser Sendung, ist es halt auch wieder hochgradig verwirrend, wenn du dann auf einmal mit mehreren Apps äh daherkommst.Egal, auf jeden Fall ist das so, es ist ein Wildwuchs und alle diese Apps haben natürlich dasselbe Problem. Erstensman muss sie erstmal installieren, zweitens man muss dafür ein Telefon haben, wo man sowas überhaupt installieren kann, sprich ein Smartphone, viele Leute tun das nicht oder,dann vielleicht auch Warnungen, durch stumm geschaltetJa, also das ist halt äh ist schon mal das grundsätzliche Problem, dass diese Apps einfach nur in einem bestimmten Maße einen auch wirklich warnen können, weil sie halt jetzt auch nicht lauter schreien können, als die anderen Apps und,die schreien ja schon laut mit klick mich hier und hier hast du noch ein Gewinnspiel und irgendwann hat dann jeder äh alles mal stumm geschaltet,bleibt natürlich dann von solchen Apps nicht mehr sehr viel übrig. Klar, Leute, die da bewusst nachschlagen in dem Moment, wo sie Informationen bekommenwie funktioniert es vielleicht, aber ähm ja gut, spätestens, wenn dann eben das Netz überlastet ist undja, teilweise war's ja auch komplett weggeschwemmt, dann ist dann auch nichts mehr zu machen, aber äh die Überlastung ist natürlich gerade in solchen Katastrophensituationen sofort sehr hoch, weil alle, alle anrufen.Und damit hast du eine eine riesige Last auf dem Netz und wir wissen alle, was das bedeutet. Das bedeutet, dass dann einfach für Datenübertragung äh auch einfach nicht mehr viel übrig bleibt.Ja ähm.
Linus Neumann 0:56:48
Also das das stimmt jetzt glaube ich nicht so hundertprozentig, äh dass also Telefonie sollte nicht unbedingt zu Last von Datenübertragung gehen, aber äh ähm ja, das das äh die Dinge gehen ja miteinander einher.
Tim Pritlove 0:57:03
Ja, es ist nicht nur das Telefonieren, sondern die die die gesteigerte Telefonnutzung in dem Moment, ja, da werden Webseiten aufgerufen und so weiter, also da ist dann relativ schnell alles braun. Genau und deswegen ähm ja.
Linus Neumann 0:57:16
Und deswegen brauchst du eben ein äh ein System, das äh also dass das Design sollte vorsehen, dass dein System möglichst überlastungsresistent istund das geht dann, wenn du möglichst geringen Aufwand pro einzelner Information hast.Das ist, glaube ich, der wichtige Punkt, der hier genannt werden muss.
Tim Pritlove 0:57:39
Genau, das hatten wir auch in Logbuch dreihundertneunundfünfzig auch schon mal dargelegt. Die Technologie existiert halt schon lange. So, die gibt's einfach,heißt beziehungsweise gibt's da noch verschiedene andere Namen, teilweise heißt es auch SMS, Zellbroadcast und dann hieß es Service Area, Broadcast und heutzutage wird das unter dem Begriffzusammengefasst. Auf jeden Fall hat sich lange gedauert bis entsprechende Diskussionen aufkam und alle dann meinten so, ja nee so SMS-Warnung, das wäre ganz toll, aber das belastet die Netze ja noch sehr viel mehr, also es ist immer wieder.
Linus Neumann 0:58:17
Unsinn, Freunde.
Tim Pritlove 0:58:18
Einfach keine Ahnung haben von äh dem ganzen Kram.Und äh auch am geilsten fand ich dann auch so, naja, das hätte ja nicht installiert werden können in Deutschland, weil wegen aus Datenschutzgründen.
Linus Neumann 0:58:30
Ey, was äh wirklich den Leuten, ne, also wer so eine Argumentation vorbringt, ne,es, es, es geht nicht, Leute. Wir müssen, wenn Menschen in verantwortungsvollen Positionen.Sehr offenbaren, vollständigen Bullshit reden, das muss dann auch mal eine Konsequenz haben,Da musstest da vielleicht okay, vielleicht einfach nur eine Schelle, ja, dass man so ey patsch, denk nach! Wir haben, wir bezahlen dichja? Aber wenn jemand sagt, äh das würde die Netze überlasten, das Ding heißtBroadcast. Und das ist genau das Geheimnis, Broadcast. Es geht, es wird gebroadcasted, also nicht hier, ich hätte eine Nachricht eine Nachricht für dich, möchtest du die haben? Ja, sag mal, hast du die auch bekommen, okay, TCP, Pipapo, alles Mögliche, sondernBroadcast. Und mit Datenschutz mit dem gleichen Argumentation kannst du sagen, dass wir den terrestrischen TV ähdie die terrestischen TV-Systeme abschalten müssen, weil das ein Datenschutzproblem wäre, weil das ist einfach Unsinn.
Tim Pritlove 0:59:31
Oder UKW-Radio.
Linus Neumann 0:59:33
Schalten wir jetzt auch ab.
Tim Pritlove 0:59:34
Genau, es ist Unsinn, weil grade eben einmal geht nur in eine Richtung, da gibt's überhaupt gar keine Rückmeldung, da wird auch nichtsspeichert. Ja, da wird überhaupt gar nicht nach Nutzern selektiert. Da weiß das System noch nicht mal, wem es das sendet, weil es sendet es quasi einmal für alle,alle Geräte empfangen ist, gleichzeitig aus exakt demselben ZeitslotJa? Und äh deswegen ist es auch nicht so überlastungsgefährdet. Diese Nachricht kann permanent wiederholt werden.Die Telefone können selber feststellen, dass sie diese Nachricht vielleicht schon mal genau in dieser Form gesehen haben und zeigen sie dann nichtnoch ein weiteres oder alarmieren in dem Moment nicht noch mal, also anzeigen sollten sie es vielleicht trotzdem äh können et ceteraund vor allem ist das Ganze ein Standard. Also das gibt es seit.Anfang an, seit neunzehnhunderteinundneunzig, also seitdem GSM überhaupt in in Deutschland irgendeine Realität hatten. Damals war ja C-Netz noch. Äh das das normale Netz. Äh mit GSM wurde das quasi eingeführt, ebenals äh SMS-Zellbroadcast in drei G wurde es noch ein bisschen weiter ausgebaut, da hieß es dann eben,Service Area, Broadcast und äh tatsächlich wurde es auch in Deutschland schon genutzt, nur eben nicht zum warnen, sondern,was weiß ich, die Netze haben dann halt so unsinnige Tarife gehabt. Ja, du bist dann halt irgendwie in so einen anderen,Tower Bereich gekommen, also hast dich quasi so bewegt und dann wurde von den Provider, ich weiß nicht ob das jetzt von Vodafone war oder Telekom oder so.
Linus Neumann 1:01:06
Du meinst die O2 Home Zone, aber das kann ich ehrlich gesagt nicht vorstellen, dass das über Broadcast gelöst wurde. Das muss ich sagen, kann ich mir nicht vorstellen.
Tim Pritlove 1:01:13
Ich beziehe mich jetzt hier auf den schönen, langen Blogpost von von äh Harald Welte, der das da genau so darstellt und ich würde sagen, wenn einer Ahnung hat davon, wie das alles funktioniert hat, dann Harald Welter.
Linus Neumann 1:01:25
Ja, aber das, also sorry, muss ich sagen, also diese Homezone ist ist eine billigen Sache. Das heißt, alles, was mit der Home Zone stattfindet, findet dahinter statt.
Tim Pritlove 1:01:35
Nee, es ging nicht um die hohen Säulen, sondern es ging so um so komische Tarife mit so Nahtarifen, dass du dann sozusagen bestimmte Vorwahlen dann billiger anwählen konntest, weil du dann näher dran bist und so weiter äh äh so völligSachen, von denen du nie was hören wolltest, aber hier wurde es dir dann gleich per Soli Broadcast direkt aufs Telefon.
Linus Neumann 1:01:53
So okay, na ja, aber.
Tim Pritlove 1:01:56
Kann mich da auch noch dran erinnern, dass es dass es immer mal wieder so komische Meldungen gab, so dass da so Sachen drauf übertragen wurden? Alles, was ich damit sagen möchte, ist nur das ist jetzt keine unbekannte Technologie, sondern die war von Anfang an da.
Linus Neumann 1:02:10
Also und und für den Katastrophenfall, um das jetzt mal einfacher zu gestalten, ne, der der Begriff verrät auch sehr viel über diese Technologie. A, es ist Broadcast, also es geht an alle.Und B oder es geht potenziell an alle äh und B.Auf Basis der Zelle und von den Zellen hast du viele tausend. Ja? Und damit hast du eine eine geographische Auflösung. Mit der du sagen kannst, ja, theoretisch, ich nehme jetzt alle Zellen,in diesem geographischen Einzugsbereich, da gibt's natürlich bei den Seiten des Providers ein Mapping und sage, ihr macht jetzt mal bitte eine Broadcast-Meldung von folgender, von folgendem Typ,ja? Und da wird folgende Information gegeben. Und da sind auch unterschiedliche Typen ähm spezifiziertDie sind auch in SMS spezifiziert, zum Beispiel gibt es die äh sogenannte Flash SMS, das ist eine SMS und es muss auch jedes Gerät unterstützen, die kriegst du nur nie. Ähm inzwischen kann ich die auch nicht mehr so gut versenden wie früher. Ähm,Diese SMS steht im Display deines Gerätes und das Gerät macht nichts anderes mehr, bis du die bestätigt hast.So also du und genau so kannst du unter diese unter diesem TypSale Broadcast-Meldung kannst du eben etwas machen, was auf jeden Fall piept, was auf jeden Fall gesehen werden muss und nichts anderes kann weggemacht werden, nicht irgendwie ach so, ist in meiner Liste unter Messages habe ich nicht gelesen, weil unbekannter Absender oder so, ne. Das ist alles,alle Einwände, die du haben könntest, dagegen Broadcast für ähm ähm für Katastrophenwarnungen zu verwenden,wurden bereits in dem Standard berücksichtigt.
Tim Pritlove 1:03:56
Genau, das ist vor allem gibt's noch ein anderes äh trifftiges Argument, warum das eine gute Idee ist. Erstens,Fast alle Länder der Welt machen das, ja? Also äh Japan hat einen etwas. Äh äh in Korea gibt's einen Public Alerting äh System in USA, gibt es Emergency, ja?All das basiert auf diesem Standard und das ist irgendwie abertausende Mal schon zum Einsatz gekommen. Seit vielen, vielen Jahren, ja? Und es gibt es auch in der EU, da heißt es E.Erlert und das gibt es in Holland genauso, das gibt es in Großbritannien, es gibt in Rumänien et cetera,und äh nichts hätte uns davon abgehalten, das äh auch zu machen, ne. Also da unter sind vor allem im Rahmen dieser StandardisierungPublic Ording System sind haltnoch diverse weitere Sachen auch drin, also geographische Region, et cetera. Ja, da ist auch beschrieben die interoperablen Schnittstellen, mit denen man mit diesem System kommunizieren kann, um einfach andere Warnungssysteme anzuschließen, ja? Sogar das gehört dazu.Habe ich schon äh gesagt.
Linus Neumann 1:05:02
Finde ich aber krass, dass du nämlich sagen kannst, also du schickst eine Nachricht, die wird nicht nur in der Landessprache, sondern auch in kannst quasi mehrere andere Sprachen mitschicken.Und das Telefon sagt, okay, ich habe ja hier eine Spracheinstellung, dann nehme ich mal die. Ja, das heißt, eine Zelle Broadcasted, Achtung, Flut, ja.Und was weiß ich, aus aus naheliegenden Gründen nimmst du Sprachen, wie Türkisch, Italienisch, äh Spanisch, äh so typische.
Tim Pritlove 1:05:30
Polnisch, ja.
Linus Neumann 1:05:32
Polnisch, äh niederländisch und so eine typische Sprache, wo du erwarten kannst, dass eigentlich in jeder noch so kleine Region Deutschland du Menschen findest, die diese Sprache sprechen und vielleicht auch besser sprechen. Ähm.Sendest du das noch mit?In diesem Broadcast und das Telefon selber sagt, ah, welche Landessprache habe ich denn hier eingestellt? Aha, ich bin auf türkisch eingestellt, da nehme ich mal die türkische Botschaft und und zeige die an.An alles gedacht.
Tim Pritlove 1:05:58
Genau und alles schon spezifiziert. Äh gibt nur ein kleines Problem. Es gibt da ein gallisches Dorf, was ich äh sozusagen dagegen wehre. Das ist Deutschland. Weil's hier einfach nicht äh vorgeschrieben ist.Ja, also die Netzbetreiber sind äh nicht nicht verpflichtet, das äh einzuführenund äh da entsprechende standardisierte Schnittstellen äh bereitzustellen. Das könnte man ja alles mal vorschreiben, ja? Weil die Technik ist da, die ist Bestandteil,jeder jedes Gerät ist, was da sozusagen mit äh eingreifen muss, kann das sowieso, weil das weltweit zum Einsatz kommt. Es ist alles zum Schreien.
Linus Neumann 1:06:33
Genau, aber die haben's ja vorgeschrieben, weil weil die EU-Richtlinie setzt ja äh für bis Juni zwanzig zweiundzwanzig äh vor äh,fest, dass ein äh europäischer Mitgliedsstaat ein solches Warnsystem zum Zivilschutz haben muss.
Tim Pritlove 1:06:49
Ah, das auch noch. Na super.
Linus Neumann 1:06:50
Oder Deutschland hat gesagt, ja, voll geil, lasst uns mal kurz noch diese Richtlinie abschwächen.Damit man da nicht seine Broadcast nutzen kann, sondern wir mit unserem komischen Nina-Ding äh äh oder was auch immer oder Cut waren oder was auch immer wir uns da überlegt haben, vielleicht auch äh,äh diese dieser Richtlinie äh entsprechen können, ohne jetzt eine sinnvolle Technologie äh zu implementieren.
Tim Pritlove 1:07:15
Also.Es kommt halt alles mal wieder sehr äh spät. Ich verweise äh in den in den Links nochmal auf den tollen Beitrag von Harald Welte, der das alles mal zusammengeschrieben hat, auch noch mit paar schönen, kleinen äh technischen Details, weil er kennt sich da ja aus. Harald Welke äh ist euch vielleicht.Bekannt, der hat ja diese mit dem Ostbuck kommen, äh Projekt, diese gesamte GSM, drei GM,demnächst hoffentlich auch LTE-Infrastruktur als Open-Source äh Hardware und Software nachgebaut und kennt sich dementsprechend in allen Details aus, ne. Diese Public Running Systems können übrigens auch noch,dann empfangen werden, wenn die Zelle irgendwie ihre Netzanbindung verloren hat, dann sendet die einfach diese Nachrichten weiter. Und kann die Nachrichten können sogar von Telefon empfangen werden, die gar nicht eingebucht sind und sowas. Also es ist äh,absurd, warum wir das immer noch nicht haben und es ist noch absurder, dass äh immer noch Ausreden erfunden werden, warum wir das nicht haben können.
Linus Neumann 1:08:13
Ergänzung also ich glaube du meinst eher dass so.
Tim Pritlove 1:08:23
Weiß nicht, ob sie da alle, ja, ja, sie sind sehr umtriebig, ich weiß nicht, ob sie da schon alles abdecken, also ich glaube, zwei G haben sie irgendwie komplett und drei G, weiß ich nicht, glaube ich, auch.Wie auch immer, auf jeden Fall sind sie da ähhinterher und wenn äh mal Deutschland so hinterher wäre, dann wäre dann wäre alles gut, aber ist halt leider nicht so. AlsoWas müssen wir machen? Sale Broadcast äh hier installieren und als erste Warnmeldung gleich mal die allgemeine Warnung, dass hier irgendwie die Politiker alle keine Ahnung haben.
Linus Neumann 1:08:53
So, was ist dafür notwendig? Jetzt äh gibt's natürlich, also jetzt muss das auf einmal alles ganz schnell gehen. Die muss man nämlich nochmal sagen. Du hattest die Sendung ja schon mehrmals erwähnt. Äh die dreihundertneunundfünfzig, wo es diesenbundesweiten Warntag gab,und dann haben sie ihre Warnungen gemacht. Da haben sie gesagt, heute Achtung, äh bundesweiter Wahlen, da haben sie Tage vorher gewarnt, haben gesagt, Achtung, da kommt eine Warnung, ist aber gar nichts. Wir probieren nur mal, ob das funktioniert. Und dann kam raus, funktioniert nicht, funktioniert.Ähm und äh insbesondere auch diese Warnapps haben natürlich äh versagt, weil wenn du sagst, du schickst jetzt hier Push-Nachrichten an ähm.Vielleicht ein paar zehn Millionen Leute und von mir aus schickst du dir noch einen Link oder so, dann hast du halt rucki zucki die Bude,und äh das ist eben auch bei diesem bundesweiten Warntag passiert, da haben sie auch bei mehreren äh beim größeren Teil der Sirenen haben sie festgestellt, da wohnt inzwischen einer drin, die funktioniert nicht mehr und der musste doch, glaube ich, sogar noch der ähm.Der Chef des äh Bundesamtes für Katastrophenschutz musste doch dann auch noch seinen Hut nehmen, ja? Und dann,dann ist nichts passiert, dann kommt jetzt eine Katastrophe. Jetzt sehen sie, ach Scheiße, funktioniert immer noch nicht. Wir haben das seit einem Jahr gewusst und jetzt muss es alles ganz schnell gehen. Jetzt haben, hat das Innenministerium ja auch verkündet, nee, wir machen jetzt hier mit dieser mit dieser SMS machen wir jetzt und ähm.Jetzt ist es natürlich so, auf Seiten des Netzes ist es auf jeden Fall nur ein Fleck.Sale Broadcast einzuschalten.Ich bin mir noch nicht mal sicher, dass müsste ich mal nachfragen, ob das jetzt etwas wäre, wo du nochmal eine Lizenz dann verkaufen muss,fände es einerseits lustig, wenn die Netzwerkequipmenthersteller dafür echt auch nochmal extra Geld verlangen würden, aber es ist sehr gut möglich, dass sie es tun, ja? Und dann musst du eine Infrastruktur bauen, um die relevanten Stellen, die zum.Aussenden von Warnungen befugt sein sollen,anzubinden. Die müssen natürlich dann auch, ne, Katastrophensicher, mehrfach redundant irgendwie angeschlossen sein. Und dann musst du ähirgendwie dafür sorgen, dass du diese Befehlsketten hinkriegst, um solche Warnungen auszusenden. Jetzt haben sie sich vorgenommen, das innerhalb eines Jahres zu machen. ÄhmIch wurde gefragt von der Tagesschau, ob ich das für realistisch halte. Äh meine Antwort war so sinngemäß, klar geht das, ne,kannst du in einem Jahr machen, aber ich bin ob du das machen kannst, wenn du dich in Deutschland befindest, das weiß ich nicht.
Tim Pritlove 1:11:29
Da könnte es schwierig werden.
Linus Neumann 1:11:33
Kann kann schwierig sein, ja.
Tim Pritlove 1:11:37
Vor allem, was ja erforderlich, also sagen wir mal, dass technisch auf Netzbetreiber Seite freizuschalten, ist quasi alles nur eine Frage von genug.
Linus Neumann 1:11:45
Das ist das ist ein Klick. Also das dauert maximal sechs Monate, bis das in allen Mobilfunknetzen in Deutschland nee, ja, du lachst. Ähm.Unter der unter der Annahme, dass äh dieses Feature.Von deutschen Mobilfunknetzen gerade nicht unterstützt wird. Ja, und wenn diese Annahme zutrifft, was sich nicht die, weiß ich nicht, dann.Müsste es quasi für das nächste Release, für das nächste.Für den nächsten Update Zyklus quasi dieses Netzes vorgesehen werden. Und üblicherweise ist der äh Zyklus wie Mobilfunknetze geupdatet werden, so ungefähr sechs Monate,Das liegt daran, primär daran, dass sie sehr lange testen, weil du willst ja nicht irgendwie, ne, also so was wie mit äh ich habe hier Update geklickt und funktioniert auf einmal nicht mehr. Das musst du unter allen Umständenverhindern. Deswegen ähm unterhalten die Mobilfunknetze sehr große oder sehr viele und sehr üppig ausgestattete sogenannte Test-Bads, in denen,quasi die die Konfiguration und Softwaregeneration, die in was weiß ich, in einem Jahr,oder in sechs Monaten laufen soll Ewigkeiten getestet wird, damit alle Bugs gefixt werden, dann werden wieder alle Tests durchlaufen und wenn du im Testbett sagst, okay, alles grün, dann rollst du das ähm,irgendwie aus. Und das könnte ne, unter der Annahme, dass das jetzt eine ausführliche Änderung an der Konfiguration der Mobilfunknetze ist und je nachdem, wie deren Schedule ist und wie viel Druck die bekommen.Könnten, die das in in sechs Monaten könnten das alle haben. Ja? Ich gehe aber ehrlich gesagt davon aus, dass das,müsste ich jetzt nochmal ein paar Leute fragen, dass dass du das gar nicht abschalten kannst und dass das äh eh schon in deinem äh SMSC drin ist. Und dass du jetzt dann quasi den den Kram dahinter basteln musst. Und der, der glaube ich eben schon, dassdass das auszurollen eben auch eine Zeit dauern kann.
Tim Pritlove 1:13:45
Ja und vor allem geht es ja dadrum, ein komplettes Warnsystem bedeutet ja auch und das war ja genau diese Schwäche äh hier auch wieder, dass äh die Nachrichten dann.Dass diese Freischaltung, die Durchleitung bis zur technischen Aussendung, dass das halt auch funktioniert. Das ist auch eine Frage, wie ähm.Wer entscheidet, wer ist der Gate-Keeper äh um die Daten weiterleiten zu können und,dann brauchst du ja auch noch die konkrete technische Anbindung und wir haben ja alle gesehen, wie schön das bei der Corona-Warn-App funktionierte, bis diese ganzen Labore da mal angeschlossen waren, um so ein paar Strinks durch die Gegend zu tragen. Es ist halt technisch eigentlich Pipifax.
Linus Neumann 1:14:22
Es ist eigentlich Pipifax, aber ich bin mal gespannt. Ich glaube, also ich also.Ich bin mal gespannt, wo es schiefgeht. Ich würde meine Prognose wäre, die schaffen's nicht in einem Jahr und es wird an der Anbindung der alarmierenden Stellen liegen.
Tim Pritlove 1:14:38
Genau. Das wäre auch meine Vermutung.
Linus Neumann 1:14:39
Denke ich.Andererseits kannst du, wenn du da halt Abstriche machst, kannst du halt sagen, okay, wir haben jetzt irgendeinen Probebetrieb, das Bundesamt für Katastrophenschutz, kann auslösen. Wir sind halbfälligäh so jetzt jetzt ihr und dann bricht halt das Mobilfunknetz zusammen und niemand kann dem Bundesamt für Katastrophenschutz mehr sagen, dass eine Katastrophe stattfindet. Oder irgendwie sowas, ne?
Tim Pritlove 1:15:05
Na gut, wir werden wir lassen uns gerne überraschen, äh aber mal gucken.
Linus Neumann 1:15:10
Aber weißt du, was ich abschließend dazu nochmal sagen möchte, ne? Stell, also was ist das? Wir haben diese wunderschöne,ich saß ja immer noch wunderschöne digitale Infrastruktur, ja? Und etwas, was ich sehr oft sage, ist so, wir wir sammeln.Alle Nachteile der Digitalisierung unter konsequenter ähm Vermeidung jeglicher Vorteile.Und du hast jetzt hier in Deutschland seit äh über dreißig Jahren digitale Mobilfunknetze und noch nicht einmal, noch nicht einmal die Katastrophenwarnunghast du, äh um zu sagen, hier Digitalisierung haben wir in Deutschland doch auch ganz gut.Noch nicht einmal diesen Vorteil der offen Silbertablett kommt noch nicht einmal den hast du, weil irgendwelche Pappnasen den seit dreißig Jahren Akt nicht nur vergessen, sondern aktiv bekämpfen.Reden wir über äh Impfzertifikate Tim.
Tim Pritlove 1:16:17
Da läuft ja alles richtig gut.
Linus Neumann 1:16:19
Äh da ist super. Also ich sage mal so, die die Kurzfassung ist die gute Nachricht ist, wenn ihr einmal ein digitales Impfzertifikat habt, das nimmt euch so schnell keiner mehr weg, weil man kann die nicht revoten. Die gute Nachricht.
Tim Pritlove 1:16:32
Die eigentlich auch keine gute Nachricht ist, aber in dem Zusammenhang schon.
Linus Neumann 1:16:38
Also, was war geschehen? Äh nach dem ursprünglich äh die deutschen Impfpässe mit fünf Blockchains abgesichert werden sollten, hat man sich am Ende doch äh für ein mehr oder weniger,an etablierter an etablierten Standards und sinnvollen für diesen Anwendungszweck gedachten,äh kryptographischen Technologien bedient und hat gesagt, wir machen eben.Eine oder mehrere CAs und die signieren die Impfausweise oder die, die diese digitalen Impfpässe und der digitale Impfpass ist letztendlich die Information äh.Eine Person mit diesem Namen und diesem Geburtsdatum wurde an folgendem Datum durchgeimpft.Signatur. Und wenn du jetzt irgendetwas an dem Inhalt änderst, passt die Signatur nicht mehr zu dem Inhalt, dann baust du eine App mit dem Namen Check und die kann die vorgehaltenen QR-Codes scannen, kann die Signatur prüfen und sagt, alles klar, das ist jetzt ein,valida Impfpass. Soweit so gut.Jetzt ist natürlich der Fall denkbar, dass man feststellt, okay, oh, ähm ein,Aus irgendwelchen Gründen stellt man fest, hier ein Impfzertifikat, was wir ausgestellt haben, das hätten wir nicht ausstellen dürfen.Das müssen wir revoken. Das kann viele Gründe haben. Vielleicht, dass man feststellt, äh was weiß ich, die Person war doch nicht geimpft, äh aber das wahrscheinlich am Ende der einzige Grund, ja. Ähm,oder dass du ähm dass du zum Beispiel feststellst, dass eine ausstellende Stelle.Kompromittiert wurde, beispielsweise irgendein ähm irgendein Querdenker äh Arzt oder sowas, äh von dem du dann weißt, der hat hier bösartig,gehandelt und dann könntest du sagen, alle Zertifikate, die diese Person signiert hat, möchte ich revoten. Das ist also Revocation.Ist ein äh definierter Standardprozess sämtlicher ähm PKI, also Public Private Key.CA Infrastrukturen, da ist das immer auch vorgesehen, dass du also einen Standard dafür hast, eine signierte Liste zu veröffentlichen und zu sagen, hier übrigens.Entgegen der Signatur, die wir was weiß ich vor drei Monaten angebracht haben, bitte,diesem Zertifikat nicht mehr trauen. Wo haben wir so etwas schon mal äh gesehen oder in Logbuch Netzwerk berichtet? Das äh findet man zum Beispiel, wenn so eine CA kompromitiert wurde. Wir haben, glaube ich, vor,oder wir werden sicherlich vor vielen Jahren über diesen berichtet haben, wo eben eine CA gehackt wurde und dann quasibösartige, also Zertifikate signiert wurden, die waren dann gültig und die mussten dann eben auf eine Revocation-Liste und dann mussten alle Browser sich merken, Zertifikate mit der Seriennummer von denen signiert, sind nicht gültig, obwohl sie noch,im Rahmen ihres Gültigkeitszeitraums sind. Das ist der Grund übrigens.Warum? Ähm wenn du jetzt eine Kopf hast, Check-Up App hast, die.Du, du, du erwarten müsstest, dass die regelmäßig einmal online ist, um sich die aktuellen CRL zu holen, die nun.Genau diese Revocation wird wurde aber nicht gebaut.Und ähm es äh es wurde also nicht daran gedacht, dass man eventuell irgendeinen digitalen Impf, was irgendwann einmal vielleicht auch widerrufen wollen würde. Ähm,Ich weiß nur, dass sie nicht gebaut wurde. Mir ist nicht ganz klar warumÜblicherweise liegt das in solchen Fällen daran, dass das äh Bundesgesundheitsministerium das nicht beauftragt hat. ÄhmEs könnte auch daran liegen, dass äh das nicht angeboten hat, aber das halte ich für unwahrscheinlichJa, dass also da muss ich wirklich sagen, ich ich weiß, ich kann nur sagen, was der Status quo ist. Ich kann nicht sagen, wer dafür der oder die verantwortlich ist. Ich bin mir aber sehr sicher, dass wir Feedback bekommen zu dieser Sendung und ich esse in der nächsten Sendung sagen kann,So, jetzt äh gäbe es ja außerdem den Punkt, wer wie schaffen wir es, dass diese ganzen.Berechtigten Stellen, also Impfzentren, Ärztinnen und Ärzte und Apotheken, diese,diese Zertifikate zum signieren bekommen. Und der, sage ich mal, die reine Lehre wäre, jede einzelne Stelle.Die Erlaubnis hat Impfzertifikate auszustellen, bekommt ein individuelles Keeper, ja, also ein eigenes Zertifikat, welches berechtigt ist, zum Ausstellen von.Impfbescheinigungen. Das wiederum ist mit einer oder mehreren CAs äh signiert, denen dann eben die check-Apps,vertrauen und dann hättest du eine Situation, in der du wenige Vertrauensanker in der App hast und diese,Vertrauensanker dürfen aber das Vertrauen delegieren und dann könntest du am Ende dafür sorgen, dass, ne, jedes Impfzentrum, jede Apotheke, jede Ärztin, ihre eigenen äh Zertifikate hätte zum zum signieren. Und äh das wäre, das wäre jetzt die reine Lehre gewesen.Ähm natürlich stellt hast du dann ein riesiges logistisches Problem, weil du jetzt auf einmal Kies an,alle diese Stellen geben musst. Da hat man sich dann eben für einen Weg entschieden zu sagen, nee, nee, lass uns lieber,irgendwie so ein so ein Service bauen, so ein Signatur der dann eben von einigen wenigen Stellen.Unterhalten wird und du bekommst als Ärztin, als Apotheke oder sonst eben quasi ein Account dazu. Ähm.Nachvollziehbar, Tim hatte ja auch äh ursprünglich äh sehr große Zweifel daran, dass sie das so schnell ausgerollt kriegen mit dem digitalen Impfpass. Und da muss man einfach sagen, das haben sie so schnell hinbekommen. Das haben sie innerhalb kürzester Zeitaus dem Boden geschossen. Ähm und jetzt kommt natürlich das Problem.Wenn du etwas aus in kürzester Zeit aus dem Boden schießt,eben mit einer heißen Nadel machen. Und jetzt äh gibt es also folgende Situation, dass eben der Deutsche Apothekerverband ein Webportal äh unterhält, ähmdie Apotheken diese Impfausweise ausstellen können. Die Apotheken, ne, die müssen ja viel Geld verdienen, um ganzenja was kaufen die sich eigentlich davon? Die Apotheker, weiß ich nicht genau, aber die kriegen auf jeden Fall viel Geld, wissen viel Geld, auch wenn im fast kriegen sie viel Geld. Ähm und jetzt hat der deutsche Apothekerverband quasi gesagt, so für alle unsere Mitglieder.Also Mitglied in unserem Verein sind.Den schicken wir dann einfach Zugänge zu diesem Portal und dann können die damit Geld verdienen. Ähm es gibt aber auch Apotheken, die sind nicht Mitglied des DAV. Äh das sind äh laut Berichterstattung wenige hundert.Die können sich aber auch über den DAV einen Zugang zu diesem Webportal geben lassen, einrichten lassen.Und dafür müssen sie äh ihre Existenz als Apotheke nachweisen. Und dafür brauchen sie im Prinzip drei äh zwei Dokumente, nämlich die Betriebserlaubnis.Und äh den Bescheid des Nacht und Notdienstfonds,Ja? Ähm das sind zwei Dokumente, die du ihm da beibringen musst und außerdem kannst du in diesem musst du doch deine Telematik-ID angeben.Das sind die drei Dinge, die du brauchst. Jetzt sind äh Martin Schiersig und André Zilch, die äh einigen ja äh sicherlich bekannt sind, auch von Vorträgen auf dem,Communication Congress, wo sie genau diesen Trick, den sie jetzt machen, mit jeder einzelnen äh Sache durchgespielt haben, ja, also man sollte sich inzwischen eigentlich damit rechnen, wenn du irgendwie sagst, wir haben ein äh Registrierungsprozess, der mit irgendwelchen Dokumenten,funktioniert, dann solltest du eigentlich damit rechnen, dass äh Martin Schier sich dir ein gefälschtes Dokument schicktja? Und das hat er natürlich auch hier äh getan, nämlich die Betriebserlaubnis findest du bei vielen Apotheken im Internet,äh weil sie die zu Beweis, dass sie in der Apotheke sind, offenbar bereitstellen. Er hat halt die genommen, hat eine andere Apotheke erfunden, den äh Bescheid des Nacht-und Notdienst vor, haben sie von einem benachbarten Apotheker äh bekommen.Und in das Feld der Telematik-ID haben sie einfach irgendwas eingetragen.Ergebnis, sie haben dann wenige Tage später in an ihre Wohnadresse äh die Zugangsdaten für dieses DAV.Webportal bekommen, was nur mit Nutzernamen und Passwort geschützt ist.So, damit haben sie sich dann zwei äh offensichtlich gefälschte Impfzertifikate ausgestellt und damit sie einen Beweis hatten und haben dann eben äh Bescheid gesagt.So, jetzt äh fordert André Zilch die einzige ehrliche Lösung wäre die Millionen von Impfnachweisen, die über das DAV Portal ausgestellt wurden, allesamt für ungültig zu erklären. Insgesamt sind siebzehntausendneunhundert Apotheken,angeschlossen. Wie gesagt, der angreifbare Prozess ist hier nur der mit den äh wenigen hundert äh Gastapotheken.Äh diese Forderung halte ich für äh etwas überzogen, äh um das mal diplomatisch auszudrücken. Ähm was der DAV gemacht hat, ist, die haben diesen Service abgeschaltet für eine,mehrere Tage und meine Vermutung ist, sie haben den Service abgeschaltet, um zu prüfen.Irgendeiner dieser Anträge, die sie positiv beschieden haben, fälschlicherweise ähm positiv beschieden wurde und sie damit einer Apotheke Zugang äh erlaubt hätten, die diesen Zugang nicht haben soll.Ähm und werden das Ding dann jetzt bald wieder.Online schalten. Sie haben das allerdings auch für Vereinsmitglieder gesperrt, also die die siebzehntausendneunhundert, ne, oder die siebzehntausendfünfhundert anderen,vierhundertsiebzig kommen über diesen Gastzugang. Sie haben es für alle gesperrt,da ist nicht ganz klar, warum sie das getan haben. Was sie jetzt äh beabsichtigen, als nächstes zu tun, ist eine Anbindung an die Telematikum dann quasi zu sagen, äh dieses Feld Telematik ID, was Leute ja eingeben müssen, das prüfen wir dann eben auch auf äh Existenz und Konsistenz.Ja, also ich denke, ähm.Das große Problem ist, dass es hier eben jetzt kein, dass es diesen Revocation-Mechanismus nicht gibt. Das ist das, was ich eigentlich für problematisch halte. Ähm.Würde ich der Argumentation folgen, dass dass sich dass es ein,Angriffsszenario ist, dass es noch andere Fake-Apotheken gibt, die sich, die jetzt quasi sich diese Mühe der Dokumentenfälschung gemacht haben, äh das glaube ich ehrlich gesagt nicht.Ich denke, dass die meisten dieser Zertifikate, die irgendwo auf Telegram und sonst was gehandelt werden, eben von irgendwelchen,Mitarbeiterinnen und Mitarbeitern in Apotheken, in Impfzentren und haste nicht gesehen ähm äh gedealt werden und das ist da oder oder in Arztpraxen und sonst was, dass also der wahre Betrug weniger darin ist, dass du,Nicht, dass du dich als berechtigte Stelle ausgibst, obwohl du keine berechtigte Stelle bist, sondern dass du eine berechtigte Stelle bist, die nicht alle Latten im Zaun hat.
Tim Pritlove 1:28:01
Genau oder zumindest so viel äh interne kriminelle Energie äh verspürt äh da äh von den vorgeschriebenen Prozeduren abzuweichen.
Linus Neumann 1:28:15
Genau das, das denke ich, wäre hier die äh realistischere äh Perspektive undJa, äh natürlich muss man dem DAV sagen, ich meine, wer solche Berechtigungen vergibt, äh der sollte ohnehin kein Nutzername passwortgeschütztes Webportal haben und natürlich äh sind die,hätten die diese Berechtigung ordentlich prüfen müssen. Also die, die Schwachstelle ist ja da. Ich glaube, ne, also die lässt sich auch nicht wegdiskutieren, die muss auch behoben werden. Die hätte auch nie da sein dürfen. Äh ich denke nur, dass sie ähm das jetzt,nicht äh der Schwarzmarkt für ähm fake im Zertifikate zum erliehen kommt.
Tim Pritlove 1:28:52
Ja, also der, dass dieser ganze Rollout, dieses Systems so schnell, schneller gegangen ist, als.Ich das dargestellt habe, liegt vor allem dadrin, dass sie.Nicht alles da drin haben, was man eigentlich hätte drin haben müssen, um es wirklich zu einem sicheren, vollständig sinnvollen Systemen zu machen, sondern man hat sich halt für eine gute NAF Security äh entschieden, eben um es beschleunigen zu können.Da spricht sicherlich in Teilen, was dafür, aber von vornherein eben äh solche Revocation-Szenarios dann auch nicht zu ermöglichen, halte ich dann perspektivisch eher für einen Fehler.
Linus Neumann 1:29:30
Auf jeden Fall auf jeden Fall ein Fehler. Äh da haben wir übrigens auch damals noch mit Ralf Bender drüber gesprochen, also auf der EU,der EU-Impffass, der sieht auf jeden Fall vor, dass du Revocation machen kannst, ja?Aber man ich muss jetzt zumindest mal sagen, dass du ein, also es ist nicht, ist natürlich nicht gut, dass du einen Webservice ausrollst, der diese Signiererei machst. Aber wenn du.Jetzt jeder Apotheke und jeder Arztpraxis wirklich eine Signaturkarte und eine eigene Software gegeben hättest, dann wäre das auch wirklich niefertig geworden. Und dann hättest du außerdem irgendwie einen relativ teuren äh Support-Hotline haben müssen, für die Leute, die halt was weiß ich, die PIN zur Signaturkarte vergessen haben äh und nicht mehr in der Lage sind, ihre,Aufgaben zu erfüllen, weil wenn du Leuten Schlüssel in die Hände gibst, dann musst du natürlich auch dafür sorgen, dass dir die Bedeutung dieser Schlüssel verstehen.Und äh diese äh anwenden. Ja und dieser gerecht werden. Weißt du, wer das nicht getan hat?
Tim Pritlove 1:30:37
Na, na?
Linus Neumann 1:30:41
Die Luca äh Luca äh Film war super, die Luca so wir kommenÄhm will da gar nicht lange drauf rumreden. Also sie hatten jetzt äh zwischenzeitlich haben sie einem Journalisten juristisch gedrohtder äh sich negativ über die Luca-App geäußert hatte und haben dafür eine Anwalts äh sich einer Anwaltskanzlei bedient, die ähm.Auch in dieser in dieser Ibiza-Affäre, den Strache und so verteidigt, also haben sie genau die richtigen Anwälte, so. Ähm,dann haben sie äh jetzt eine äh Situation oder mehrere, wo es ein ein Fall gibt.Ähm wo die äh wo also der Betreiber, die Location, kann die.Gäste, da also es gibt ein, also es eine Location. In dieser gab's jetzt irgendwie eine Veranstaltung. In dieser Veranstaltung war eine coronapositive Person.Und die hat jetzt gesagt, ich bin äh Corona positiv, liebe Veranstaltungen.Sag doch mal eben den anderen Leuten Bescheid, ihr habt doch da dieses Luca. Und jetzt sagt die äh Veranstaltung, ah ja, hm, äh hier steht irgendwie Error.Und so und die können äh also diese diese Location kann nicht auf die,Daten zugreifen, die sie da für die zu dieser Veranstaltung gesammelt hat, die sie jetzt dem Gesundheitsamt melden müsste und.Das ist ja das also das ist ja die die das eine Versprechen, was äh die Luca-App hat, ist ja, dass jetzt das Gesundheitsamt sehr schnell entlastet und informiert wird. Äh das ist aber bis heute nicht geschehenUnd äh jetzt ist es richtig Schöne daran ist,in der Presseberichterstattung gesagt wird, es gibt eben hier einen technischen Fehler mit der Luca, die kommen nicht in der Lage, die sind nicht in der Lage, diese Daten zu entschlüsseln. Und dann dauert's natürlich nicht lange, bis die Betreiber der Luka-App sich dann echt noch die Mühe gebenzu beschuldigen, weil sie die Keys nicht ordentlich ähm ähm.Aufbewahrt hat. Ja? Das liegt natürlich daran, dass deren Prozess beim ähm.Beim beim Einrichten der Location den Leuten nicht nachdrücklich genug sagt, ey Achtung, du musst diesen Kiesicher aufbewahren. Und übrigens in einer der vielen Sendungen, die wir hier zur Luca App hatten, habe ich auch spezifischdiesen Problemfall äh prophezeit. Da muss man jetzt aber auch kein Prophet für sein, den zu prophezeien, weil äh das eben dazugehört, wenn du einenschaffst, den die Leute ähm anwenden müssen und der ein Singlepoint of Fair ist und du ihn nicht,sie dazu zwingst, diesen in irgendeiner Form sicher aufzubewahren, dann dauert's eben nicht lange, bis ähm irgendjemand.Diesen Kieferbasselt hat, ja? Und dann kannst du natürlich.Also das finde ich ja auch so so. Also es zeigt ja wirklich von großer charakterlicher Größe, dass du als Betreiber dieser Luca-Plattform danndie die Locations beschuldigst. Aber die sind ja zum Glück nicht deine Kunden, weil du hast ja nur den Staat um Kohle für diesen Kram erleichtert. Insofern kannst du den natürlich gerne und leicht,die Schuld geben. Das ist das eine, ansonsten gibt's Probleme.Dass die hatten ja immer so ein ein sagen wir ein gespaltenes Verhältnis zu Sonderzeichen.
Tim Pritlove 1:34:15
Ja
Linus Neumann 1:34:22
Ähm jetzt haben sie äh gibt es also Probleme mit in äh Halle an der Saale,weil der Staatname eine Klammer beinhaltet.
Tim Pritlove 1:34:33
Gott.
Linus Neumann 1:34:34
Jetzt funktioniert es da nicht mehr. Ähm.Ich will da gar nicht mehr viel mehr zu sagen. Ich kann nur sagen, wenn wir als Chaos, Computerclub, ja, hingehen und sehr eindringlich.Vor einer App waren, die wir uns ein bisschen angeschaut haben und sagen so, hm.Warnung. So. Das lieber nicht. Dann haben wir uns da echt vorher Gedanken zu gemacht.Das versagen wir nicht einfach so. Und jetzt gibt's hier inzwischen diese wunderschöne Website Timeline Punkt Luka Punkt Fail, wo das alles gesammelt ist. Da kommt jeden Tag was Neues und ähm hier dieser schöne,Fred von Torben,den ich mal kurz verlesen möchte, nur kurz. Am Freitag gab es in meinem Heimatdorf eine Party mit über sechshundert GästenNun hat sich herausgestellt, dass es mindestens ein Corona-Positiven unter den Gästen gab, was mich daran wütend machtAm Eingang mussten immerhin alle Gäste in der Luca-App einchecken. Das Gesundheitsamt hat mittlerweile alle Daten angefordert, aber es gab bislang keine SMS oder E-Mail an alle Gäste. Warum nicht? Alle Tickets wurden schöner weise nur vorab online verkauf.Diesen Daten.Alle Gäste per Mail über den Corona-Feld und sinnvolle Maßnahmen informiert werden können. Vor dem Eingang wurde dicht an dicht gedrängelt, keine Zäune überforderte Security. Polizei schaut nur zu. Masken hat kaum jemandauf, so geht's super, aber so sieht kein Hygienekonzept aus. Das ist zu dem Gedränge kam, lag unter anderem daran, dass es für alle Gäste nur ein einziger QR-Code der Luca App bereit.Den alle scannen müssten, vor Abcheckin war nicht möglich, nur ein Fehler des Veranstalters von vielen. Schön, dass es die Corona-Warnapp gibt und Risikobegegnungen angezeigt werden. Nicht schön.Dass ich,auf mein Telefon bekommen habe und es mir deswegen nicht aufgefallen wurde. Es wurden nur vollständig geimpfte genesen oder Leute mit tagesaktuellem negativen Schnelltest. Äh eigenes äh schon, na gut, dann lese es jetzt nicht zu Ende vor. ÄhmEs gibt noch einen ähm Post von der äh mal noch mal in Ruhe zusammengeschrieben hat, so bitte,installiert nicht die Luca App auf eurem Telefon und wenn ihr sie installiert habt, dann schmeißt sie runter. Ich kann hier nur sagen.Das ist, glaube ich, auch eines der wichtigen Argumente von Enopark. Viele glauben immer noch, eine Veranstaltung oder ein Ort wäre sicher.Wenn einzig mit Luca eincheckt, dass es ein Trugschluss die Verwendung von Luca hat keinerlei Einfluss darauf, ob Infektionen passieren oder nicht, auch mit Luca senken nurHygieneregeln die Wahrscheinlichkeit einer Ansteckung auch mit Luca ist eine Aerosolwolke in einem Innenraum eine Aerosolwolke in einem Innenraumauch mit Luca bleibt ein Impfdurchbruch, ein Impfdurchbruch. Und das ist denke ich auch, dass da so das rächt sich eben jetzt, dass wirklich.Ich meine, hier mit Luca sicher einchecken oder was auch immer, oder hier sicher sein wegen Luca, ist ja das große Versprechen.Von dieser App und äh ja, können sie nicht einlösen, wundert auch keinen.
Tim Pritlove 1:37:47
Ja, also ich meine, das ist so das Versprechen, was so.Postuliert wurde, obwohl das eigentliche das einzige Versprechen ist nur Restaurants äh können sich damit rausreden, dass sie irgendwie jetzt mit Luca alle Maßnahmen ergriffen haben.Wälzen das sozusagen ab auf äh auf die Leute.
Linus Neumann 1:38:08
Genau und wenn in einer Location irgendetwas schief geht, dann hast du die Betreiber höchstpersönlich, die dir dann auch die Schuld daran geben und sagen, nein, nein, nein, ist nicht unser Fehler, dein Fehler, dein Fehler. Mit solchen Leuten willst du nichts zu tun haben.
Tim Pritlove 1:38:18
Da wird man wirklich müde.
Linus Neumann 1:38:20
Ja, zehn Jahre frag den Staat. Ole.
Tim Pritlove 1:38:26
Ja, das ist äh in der Tat schön, weil das deckt ja dann auch mittlerweile schon so in etwa unseren Berichtszeitraum ab.
Linus Neumann 1:38:32
Ja, wir hatten auch den Stefan Wehrmeier in einer der ersten Sendungen, oder? Oder einer der frühen Sendungen?
Tim Pritlove 1:38:37
In der neunten Sendung äh das achten äh dreißig C drei äh Spezial.
Linus Neumann 1:38:44
Achtundzwanzig zu drei.
Tim Pritlove 1:38:45
Wie ich gesagt, achtunddreißig Jahre.Ja, schön wär's. Also das äh achtundzwanzig äh C drei Spezial, damals noch aus Berlin. Und äh ja, da sind wir ja ein bisschen rumgerannt und haben ein paar Interviews,übrigens auch eine der Sendungen, die jetzt äh ein vollständiges Transkript erhalten hat. Ich habe mir ja tatsächlich jetzt mal die Mühe gemacht und nahezualle Sendungen mit Transkrippen versehen. Ich glaube, es sind nur so zehn übrig, wo irgendwie keine richtigen Backups da waren und so weiter,keine schlechte Quote, aber ich hätte natürlich gerne auch alle erwischt, wie auch immer. Auf jeden Fall ist hier das kurze Interview mit Stefan Wehrmeier, der halt dort einen Vortrag gehalten hat und das Projektwas im August vorher gegründet wurde, äh erstmalig der größeren Öffentlichkeit vorgestellt und seitdem ging's ja nur steil nach oben.Tausendmal erwähnt und wir gratulieren an der Stelle auch für die entsprechende und die lange lange Liste von Erfolgen, die dieses äh Projekt schon gehabt.
Linus Neumann 1:39:42
Arne Senfrottfahrer natürlich auch äh bei uns in der Sendung zu Gast, den haben wir uns zu erfüllen.Bühnenjubiläum eingeladen und von ihm ist auch der kurze und knackige Blogpost, der eben auch signalisiert, zweihunderttausend Anfragen, einhundert Klagen und äh Veränderungen und damit auch so zeigt, wie sie,ähm welche Einflüsse eben auch frag den Staat äh Veröffentlichung ähm.Hatten, unter anderem zum Beispiel die Anfrage mit dem einfachen Titel, Anfrage zum Bericht des Prüfungsgremiums zur Doktorarbeit von Franziska GiffeyUnd.
Tim Pritlove 1:40:29
Ja, na ja, also äh ganz ehrlich und das merkt man auch da dran, aber auch an vielen anderen Sachen. Also ich mag's ja immer, wenn sichwenn sich überhaupt Projekte so äh solche aktivistischen Projekte finden und ich mag's auch, wenn sie Erfolg haben und ich mag's auchwenn sie große Sichtbarkeit erlangen und wenn sie weitermachen und äh dabei auch immer besser werden. Aber was ich besonders mag ist, wenn solche Projekte auch so einen ganz eigenen Humor entwickelngrade von Ader, aber auch die anderen Vertretern immer wieder trefflich ähm,in die Öffentlichkeit getragen wird. Grade diese jährlichen Wasserstandsmeldungen, die man auf dem Kongress so nachhören kann, sind immer wieder sehr, sehr, sehr, sehr lustig, weil einfach man äh merkt, dass sie Spaß am Gerät habenund äh auch Spaß am System hacken.Was es ja eigentlich ist, ne? Also man schlägt äh schlägt dem Staat ein bisschen äh das Schnäppchen mit den eigenen äh Waffen,Und ja und den Humor, den sie dabei an den Tag legen, für den gibt's hier noch mal ein extra Bienchen.
Linus Neumann 1:41:33
Und sie haben sich eine äh Webseite gebaut, selber geschenkt. Äh zehn Jahre fragt den Staat. Äh ähm.Mein Geburtstagsgeschenk für frag den Start monatlicher Spendenbetrag, ja? Und da kann man gerne mal auf diese kann man oft äh ähm,Auf diese äh Webseite gehen und dass es da ist Geld halt wirklich ganz gut investiert, würde ich sagen. Und wie wir auch äh uns erinnern, äh chronisch immer noch anders fandet. Was waren damals nochmal unser Sendungs ähKomma drei Stellen auf so und so viel Personen oder was gesagt hatte, da ist euer Geld äh gut angelegt.
Tim Pritlove 1:42:09
Gut, wie auch? Bei Spenden für Netzpolitik ist auch eine hervorragende Investition in die Zukunft, das äh muss dabei auch nochmal erwähnt werden.
Linus Neumann 1:42:24
Könnt ihr gerne machen.
Tim Pritlove 1:42:25
Genau. Das äh macht uns hier äh vieles einfacher und ähm sehr viel mehr gibt's erstmal nicht zu sagen, oder?
Linus Neumann 1:42:34
Nee, wir haben wir haben schon eine, wir haben schon einen bunten Themenstrauß für die nächste Woche aufbewahrt. Ähm.Oder der sich ankündigt und ähm ich bin äh freue mich, dass wir jetzt wieder Podcasten, ehrlich gesagt. Das hat mir hat mir auch äh ein bisschen gefehlt, Tim.
Tim Pritlove 1:42:51
Wirklich, ach du alter Romantiker.
Linus Neumann 1:42:54
Ja, hi, also mir, mir hat das gefehlt, nicht mir das Podcast gefällt, nicht du, jetzt wärt ihr nicht.
Tim Pritlove 1:43:01
So, so. Also ich äh.
Linus Neumann 1:43:05
Nein, ich habe mich gefreut, dass ihr wieder Podcast.
Tim Pritlove 1:43:07
Ja ja, mich auch. Ich werde äh ich ich erwache hier so langsam aus äh meinem äh Urlaubsschlaf. Ähm und fahre jetzt so Stück für Stück die einzelnen Projekte wieder hoch und natürlich fangen wir mit LMP an.Gut, das war's von uns diese Woche und wir wünschen euch eine schöne selbige und ja, hören uns dann wieder und sagen bis bald.
Linus Neumann 1:43:30
Bis bald. Tschau, tschau.
Shownotes
Prolog
- 401 Unauthorized — httpstatuses.com
- twitter.com: Tweet von mdraktuell
- malik.fm: m023 Psychologisches Hacken (mit Linus Neumann) – malik.fm
Filmpremiere: Alles ist eins
- allesisteins.film: ALLES IST EINS. AUSSER DER 0. | Ab 29. Juli 2021 im Kino!
- imdb.com: B-Movie: Lust & Sound in West-Berlin 1979–1989 (2015) – IMDb
- youtube.com: B-Movie: Lust & Sound in West-Berlin 1979–1989 | Official Movie Trailer | English | HD – YouTube
- youtube.com: ALLES IST EINS. AUSSER DER 0. | Trailer deutsch german [HD] – YouTube
- en.wikipedia.org: Alexander Hacke – Wikipedia
- ccc.de: CCC | Am 29. Juli kommt der CCC in die (Freiluft-)Kinos!
- datensicherheit.de: Alles ist eins. Außer der 0: Filmdokumentation über Wau Holland – datensicherheit.de
- berliner-zeitung.de: Film über den Chaos Computer Club: Hacker bringen dem Internet die Unordnung bei
- swr.de: Filmtipp: „Alles ist Eins. Außer der 0.“
- heise.de: Doktor Waus Chaos Computer Film
- zeit.de: „Alles ist Eins. Au\u00dfer der Null“: Nicht bek\u00e4mpfen, sondern beherrschen
- sueddeutsche.de: Doku über den Chaos Computer Club: „Alles ist eins. Außer der 0“ – Kultur – SZ.de
- taz.de: Komputer und Lederhose
- spiegel.de: »Alles ist eins. Außer der 0«: Die Vertreibung aus dem Hackerparadies – DER SPIEGEL
NSO Pegasus
- forbiddenstories.org: The Pegasus Project • Forbidden Stories
- amnesty.org: Forensic Methodology Report: How to catch NSO Group’s Pegasus | Amnesty International
- github.com: GitHub – mvt-project/mvt: MVT is a forensic tool to look for signs of infection in smartphone devices
- logbuch-netzpolitik.de: LNP395 Gute-Geheimdienste-Gesetz
- projekte.sueddeutsche.de: Spähangriff auf Staatsspitzen – SZ.de
- projekte.sueddeutsche.de: Pegasus-Project: Die Übersicht – SZ.de
- projekte.sueddeutsche.de: Pegasus-Project: Cyberangriff auf die Demokratie – SZ.de
- projekte.sueddeutsche.de: Pegasus-Project: Die Skandalfirma NSO – SZ.de
- heise.de: Forensischer Bericht: iMessage-Lücke für Pegasus Spyware wird weiterhin genutzt
- heise.de: Spyware Pegasus: Amazon kappt NSO-Infrastruktur und löscht Accounts
- heise.de: Spyware Pegasus: Ungarn weist Vorwürfe zurück, Frankreich will ermitteln
- heise.de: Spyware Pegasus: Journalistenverbände fordern Handeln nach Ausspäh-Vorwürfen
- heise.de: Spyware Pegasus: Wie die NSO Group für mehr Transparenz sorgen wollte
- spiegel.de: Pegasus-Affäre in Ungarn: »Viktor Orbán will um jeden Preis an der Macht bleiben« – DER SPIEGEL
- tagesschau.de: „Pegasus-Projekt“: Macron im Visier | tagesschau.de
- twitter.com: Tweet von billmarczak
- techcrunch.com: This tool tells you if NSO’s Pegasus spyware targeted your phone – TechCrunch
- heise.de: Spyware: Neue Überwachungsvorwürfe gegen israelischen Software-Anbieter NSO
- tagesschau.de: Trojaner „Pegasus“: Wie autoritäre Staaten ihre Gegner ausspähen | tagesschau.de
- heise.de: „Digitale Gewalt: Wie die NSO Group Staatsterror ermöglicht“
- netzpolitik.org: Pegasus: Der Staatstrojaner-Skandal im Überblick
- zeit.de: Edward Snowden: „Das sollte uns mehr als alles andere Angst machen“
- zeit.de: Spionage-Software Pegasus: Cyberangriff auf die Demokratie
- golem.de: SPIONAGESOFTWARE: Israelische Behörden überprüfen Pegasus-Hersteller NSO
- heise.de: Bürgerrechtler: Spyware-Firma NSO bricht Menschenrechtsversprechen
Cell Broadcast Flutkatastrophe
- logbuch-netzpolitik.de: LNP359 Digitalisierung’s Not Dead
- laforge.gnumonks.org: Notfallwarnung im Mobilfunknetz + Cell Broadcast | LaForge’s home page
- spiegel.de: Cell Broadcast: Deutschlands bürokratische Verhöhnung des 21. Jahrhunderts – Kolumne – DER SPIEGEL
Impfzertifikate-Apotheken-Hack
- heise.de: Corona-Impfzertifikate: Apotheken weiterhin ausgesperrt
- heise.de: Apotheken dürfen ab Montag wieder digitale Impfzertifikate ausstellen
- abda.de: Impfzertifikate: Wieder schrittweiser Zugriff auf DAV-Portal | ABDA
- abda.de: Statement zur Ausstellung von Impfzertifikaten | ABDA
- watson.ch: Covid-Zertifikat: Täuschend echte Fakes in der Schweiz im Umlauf – watson
Lucafails
- timeline.luca.fail: timeline.luca.fail
- steadyhq.com: Liebe Leserïnnen, bitte installiert die Luca-App nicht auf euren… – Technik, Kultur und Katzencontent
- twitter.com: Tweet von ralf
- twitter.com: Tweet von timo01001011
- twitter.com: Tweet von torben_volt
- spiegel.de: Corona-Kontaktverfolgung: Chaos Computer Club kritisiert Quasi-Zwang zur Luca-App – DER SPIEGEL
10 Jahre Frag den Staat
- fragdenstaat.de: 10 Jahre FragDenStaat: Fortschritte sind durchaus erkennbar
- logbuch-netzpolitik.de: LNP009 28C3 Spezial
- fragdenstaat.de: 10 Jahre FragDenStaat – FragDenStaat
Bonustrack
- 0blackmonoliths.de: STATUS AUS DEM NEULAND
Wie schön, dass ihr wieder da seid! Ich habe euch vermisst. Wirklich wirklich.
Sommer ohne LNP nervt hart.
Sei mal nicht so allein ;)
Aber ja, mehr = bessergut.
Weiter so, Gruss
Zum Thema Cell Broadcast:
Ein System zur Verteilung von Warnungen existiert bereits beim BBK, das „Modulare Warnsystem“ (MoWaS). Soweit ich das verstehe müssten die Mobilfunknetze da nur dran angeschlossen werden. Das MoWaS soll auch Warnungen an andere Systeme wie App-Betreiber, aber auch Rundfunk, Sirenen, Werbetafeln, etc. verteilen. (Wobei an anderer Stelle auch die Rede davon ist, dass Kommunen direkt an die Apps angebunden sind und die Apps untereinander Warnungen austauschen, offenbar läuft nicht alles über MoWaS.)
Das MoWas war auch genau das, was beim Warntag letztes mal ausgefallen ist – weil es mit der Anzahl der gleichzeitig ausgesendeten Warnungen überlastet war. Die Apps waren da also gar nicht das Problem, sondern das BBK ist schon daran gescheitert die App-Server zu alarmieren. Cell Broadcasts wären davon wohl genauso betroffen gewesen.
c’t-Artikel dazu von letztem Jahr: https://www.heise.de/hintergrund/App-Desaster-am-Warntag-Warum-die-Handys-stumm-blieben-4920151.html
MoWaS: https://www.bbk.bund.de/DE/Warnung-Vorsorge/Warnung-in-Deutschland/Warnmittel/MoWaS/mowas_node.html
https://de.wikipedia.org/wiki/MoWaS
Bei heise gab es auch ein schönes Interview mit honkhase zum Warndesaster: https://www.heise.de/hintergrund/Infrastruktur-im-Katastrophenfall-Im-Extremfall-sterben-Menschen-6142714.html?seite=all
Den Punkt mit der kaputten Fehlerkultur würde ich mal unterstreichen, den BBK-Chef rauszuwerfen, weil ein System-Test schief ging, führt doch nur dazu, dass das System weniger getestet wird…
Aber auch die schönsten Warnmittel bringen nichts, wenn dann die rechtzeitigen Warnungen irgendwo in den zuständigen Behörden versacken, bis es zu spät ist. Das scheint ja weder in NRW, noch in Rheinland-Pfalz geklappt zu haben.
https://www.tagesschau.de/ausland/europa/hochwasser-flutbehoerde-europa-101.html
Fände es spannend zu dem Thema nochmal was von Menschen zu hören, die da wirklich in den technischen Details stecken, wie das funktioniert.
Zu den technischen Details kann ich leider nicht sagen, aber ich will mal ein paar Informationen aus erster Hand teilen, auch wenn darin kaum Widersprueche zu denen in der Sendung gemachten Statement auftreten.
Ich wohne in Sinzig im Ahrtaldelta. Der Fluss ist fast 300m von meinem Haus entfernt, es ist hier kein ausgewiesenes Hochwassergebiet (anders als andere Teile der Stadt). Uns geht es gut, wir wurden in der Katastrophennacht evakuiert und das Wasser machte schliesslich vor dem Haus halt, sogar der Keller blieb trocken.
Bezueglich Datenversand in so einem Fall: Als wir um 3:30 von den Nachbarn wachgemacht wurden, das Wasser ein paar Meter vor unserer Tuer stand und wir evakuiert wurden, war der Strom laengst weg. Entsprechend war das Netz ebenfalls weitgehend weg. Frau und Kinder sind weggefahren, ich habe noch Nachbarn geholfen und den Keller etwas ausgeraeumt.
Das erste, was man als iPhone Benutzer in so einer Situation machen muss, ist iMessage aus- und SMS einzuschalten. Andere Daten kamen naemlich kaum durch. Das Netz war sehr sporadisch da, SMS gingen wie gesagt haeufig durch. Alles mit anderen Daten konnte man total vergessen, Telefonieren natuerlich ebenso. Der Gedanke, dass man in so einer Situation durch eine oder mehrere Apps mit ggf. ueberlebenswichtigen(!) Informationen versorgt wird ist aus meiner Sicht realitaetsfern.
Bzgl. Cell Broadcast: Nach eurer Folge im letzten Jahr, habe ich einem Bekannten aus dem BBK geschrieben, dass sie mal ihre Apps wegschmeissen sollen und bitte diesen Standard benutzen. Der Bekannte arbeitet zwar beim BBK, aber nicht im entsprechenden Bereich. Er verwies darauf, dass sich die Netzbetreiber da wohl quer stellen wuerden usw. Mein Eindruck ist, dass er vermutlich Recht hat und dass das BBK einfach keinerlei Macht hat, um so etwas durchzusetzen. Neben der von Dir beschriebenen Kompetenz/ Ausstattung um das ueberhaupt zu machen.
Nachdem die Flut durchs Tal gerauscht ist, stellte sich jedenfalls Horst Seehofer vor die Kamera (der Mann, der nach dem letzten Sirenendebakel den BBK-Chef von der SPD durch einen Parteifreund ersetzt hat) und sagte, man brauche jetzt doch dieses Cell Broadcast.
Es ist traurig zu erkennen, dass wir scheinbar mittlerweile in einem System leben, bei dem nur unter dem Eindruck von Katastrophen eigentlich selbstverstaendliche Dinge durchgefuehrt werden koennen. Ebenso ist es sehr schade, dass Horst Seehofer nicht persoenlich verantwortlich gemacht wird, sondern dass er sich wie ein Nebenstehender, ein nicht-Verantwortlicher vor die Presse stellt, und Missstaende, die von ihm selber verantwortet werden, anprangert und deren Beseitigung ankuendigt.
Fuer meine ertrunkenen Nachbarn in der naechsten Strasse kommt das zu spaet, vielleicht finden ihre Angehoerigen ja Trost in einer solchen Ankuendigung.
Eine Sirene habe ich in der Nacht uebrigens nicht gehoert. Ob das so war, weil Fahrzeuge, Schreie und das Rauschen des Flusses so laut waren, dass ich sie nicht gehoert habe oder dass es so ist, dass die Sirenen am Stromnetz haengen und das weg war, kann ich nicht genau rekonstruieren. Ich habe jedenfalls niemanden getroffen, der Sirenen gehoert hat. Und schon alleine der Gedanke, dass eine Warnsirene evtl. nicht funktionieren koennte, weil sie am Stromnetz haengt, zeugt davon, wieviel Vertrauen man mittlerweile in die Resilienz unserer Gesellschaft hat. Und wenn so etwas simples wie eine Sirene nicht funktioniert, braucht man eigentlich ueber komplizierte Dinge wie SMS gar nicht mehr zu sprechen.
Hallo ihr Lieben,
schön dass ihr wieder zurück seid!
Ich habe eine Anmerkung zu den Impfzertifikaten: Meiner Meinung nach hätte nichts dagegen gesprochen, wenn der Apothekerverband in seinem zentralen Portal für jede Apotheke ein Schlüsselpaar generiert hätte und dies zum Signieren verwenden würde. Das wäre zwar nicht der Goldstandard gewesen, aber sie könnten ganz einfach falsche Apotheken invalidieren.
Lieber Grüße und weiter so
Poschi
Ja, da hast du absolut Recht.
Es ist auch nicht wirklich nachvollziehbar, dass das offenbar nicht so gemacht wurde.
ABER: Das ist nur die Hälfte der Lösung, die Infrastruktur muss die Revocation auch umsetzen können.
Ja, absolut. Die Revocation müsste man aber nachträglich hinzufügen können, oder? Die Check-App updaten usw.
Das ist halt wie beim Campen im Wald mit Freunden: Zahnpasta darf man vergessen, Zahnbürste nicht…
Ich hab mir vor ner Weile ein paar Implementationen angeschaut.
Der HCRL check wird weder bei „EU Digital COVID Certificate App“ noch beim „CovPass Check“ Implementiert.
Ich habe in beiden Repos Issues dazu aufgemacht, aber es sieht nicht so aus als bestehe da Interesse.
CovPass Issue > https://github.com/Digitaler-Impfnachweis/covpass-ios/issues/19
eu-digital-green-certificates > https://github.com/eu-digital-green-certificates/dgca-app-core-ios/issues/72
Auch meinem Verständnis nach sollte das gehen. Einfach Revokations in die nächste Version der App und fertig ist es.
Ich finde den Punkt mit dem ein einziges Zertifikat für alle Apotheken zu verwenden das viel größere Problem.
Schöner Beitrag zum Thema Impfzertifikate.
„Wenn du jetzt jeder Apotheke und jeder Arztpraxis wirklich eine Signaturkarte und eine eigene Software gegeben hättest, dann wäre das nie fertig geworden.“
Hier wird es jetzt idiotisch: Voraussetzung zur Ausstellung von Impfzertifikaten über besagtes DAV-Portals war schon immer ein Anschluss an die Telematik-Infrastruktur (TI), obwohl das DAV-Portal selbst aus dem Internet erreichbar ist. Ein solcher TI-Anschluss beinhaltet eine Signaturkarte (SMC-B + PIN) und eine Signaturanwendungskomponente (Konnektor + Kartenterminal).
Gleiches Spiel bei den Arztpraxen.
D. h. die betroffenen Apotheken und Arztpraxen melden sich sowieso alle bereits mit Signaturkarte und PIN an der Telematikinfrastruktur (im Challenge-Response-Verfahren, also durch Signatur einer Nonce) an.
Die Infrastruktur für dezentral signierte Impfzertifikate ist also bereits fertig.
Vermutung noch zur Frage, warum man neben den Gastzugängen auch die Zugänge der regulären DAV-Mitglieder abgeschaltet hat: auch „DAV-Mitglied“ werden ist nicht schwer…
73 Instanzen bei AWS? Was haben die gemacht? Cloudfront als CDN um sogar noch Caching zu machen und dann nur unter 100 Targets? Hmm. Und dann noch andere Provider. Cloudfront wurde sicher wegen Regions genutzt. Wenn die eine Test/Dev/Prod Infrastruktur hatten, dann ist das trotzdem eine Menge, wobei eben die Zahlen von den anderen Betreibern fehlen. Wenn ihr da noch mehr Infos zu bekommen, waere das nett, wenn ihr die nachreichen wuerdet. Bzw. auch wegen konkreten Infrastruktur Aufbau Infos waere super
Wenn ich so darueber nachdenke, interessiert mich eine Frage noch mehr. Die Daten, die da gesammelt wurden, sind sicher verschlusselt bei AWS gewesen. Also egal ob S3/DynamoDB oder andere Datenbanken. Frage mich so, ob AWS da nun in der Lage ist darauf zuzugreifen. Klar werden wir das nicht erfahren, aber interessant waere das. Es sei denn die haetten vielleicht eine eigene HSM Loesung hingestellt, aber die ist dann physikalisch ja wohl dann auch in einem RZ bei AWS.
Ein paar Anmerkungen zum NSO Project:
Amnesty International hat zu insgesamt 67 Nummern konkret untersucht, ob ein Hack mit Pegasus vorlag oder versucht wurde, und auf 37 Geräten eine erfolgreiche oder versuchte Pegasusinfektion nachgewiesen. Also nicht 37 von 37, sondern 37 von 67 (warum muss das auch beides auf 7 enden). Bei den übrigen 30 gab es kein schlüssiges Ergebnis, zum Teil, weil die Geräte nicht mehr verfügbar waren.
Außerdem wird die Präsenz einer Nummer unter den 50.000 von den Journalisten als „indication of intent“ interpretiert, gegenüber „people of interest“. Auch die Journalisten selbst gehen nicht davon aus, dass tatsächlich alle 50.000 überwacht wurden oder das auch nur versucht wurde, wie von Linus gesagt.
(Quelle, z.B.: https://www.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus)
Das ganze ist natürlich trotzdem ein Skandal, aber es könnte auch juristisch relevant sein, derartige Feinheiten korrekt darzustellen. ;)
Zum Thema CB und Homezone von O2.
Ich weiß nicht wie das jetzt ist, aber um die Jahrtausendwende wurde das tatsächlich auch mittels CB realisiert.
Allerdings habt ihr natürlich beide recht.
Das Billing von O2 wurde im Hintergrund unabhängig von CB gemacht.
Aber das „Häuschen“, welches auf dem Mobiltelefon angezeigt wurde, funktionierte mit CB. Jeder Mast von O2 hat eine Koordinate mittels CB (Kanal 221 – verrückt, dass ich das noch immer weiß) gesendet. Im Mobiltelefon bzw. auf der Simkarte war das Zentrum der Homezone als Koordinate sowie ein Radius hinterlegt (größer als die garantiere Homezone von 500 m, um die Sendemasten mit einzubeziehen, welche von ausserhalb der garantierten Homezone in diese „rein senden“, konnte nur mittels Simkartenleser ausgelesen werden oder bei manchen Herstellern mittels Datenkabel oder IR-Schnittstelle mittels über PC oder PDA).
Damit diesen Informationen – Koordinate des Mobilfunkmasten, Koordinate des Homezonezentrums sowie dessen Radius – konnte das Mobiltelefon (nur O2 gebrandet wenn ich nicht irre) errechnen ob es in der Homezone war oder nicht und dementsprechend das „Häuschen“ anzeigen.
Tatsächlich hat nicht das Telefon sondern eine Anwendung auf der SIM den Cell Broadcast ausgewertet und dann entschieden, ob das Häuschen angezeigt werden soll oder nicht. Die SIM-Karte hat per stiller SMS die Parameter (Zentrum und Radius) erhalten, somit konnten auch Änderungen der Homezone zeitnah abgebildet werden. Das ging auch bei nicht-gebrandeten Geräten. Die Standorte wurden als Gauß-Krüger-Koordinaten übertragen, also letztlich nur eine zehnstellige Zahl (zwei fünfstellige Werte). Manche Geräte haben erlaubt, CB-Kanäle zu abonnieren – was dann zu aller paar Sekunden auftretenden Nachrichten mit eben dieser Zahl führte.
https://web.archive.org/web/20000817193339/http://www.heise.de/ct/99/18/174/
Hallo Tim, Hallo Linus,
als Ihr so über „Cell Broadcast Flutkatastrophe“ gesprochen habt ist mir folgendes eingefallen.
Habt Ihr eigentlich die 3G Mobilfunkabschaltung mitbekommen. Seit Anfang Juli wurde dies mit reichlich Vorankündigung umgesetzt.
Heißt es gibt nun nur noch 2G(Edge), 4G(LTE) und 5G
Führt dazu, dass die an sich schon sehr schlechte Mobilfunkabdeckung in D nun noch schlechter geworden ist.
Ich arbeite im Vermessungswesen. Für Zentimetergenaue GPS-Positionen werden Korrekturdaten benötigt. Diese kommen via Mobilfunk rein. Kein Mobilfunknetz, keine genaue GPS Position. 2G Reicht gerade so aus für Korrekturdaten, aber es gibt kaum noch Modems die dies umsetzen, oder Mobilfunkverträge beinhalten kein 2G mehr. Und zur 4G Abdeckung braucht man ja eigentlich nichts sagen.
Die Vermessung ist deswegen betroffen.
Die Bau-Branche mit Ihren Baumaschinen ist betroffen, sowie die Agrarwirtschaft, dessen Landwirtschaftliche Maschinen diese genaue GPS Position benötigen.
Stichwortsuche
„3g abschaltung deutschland“
Trotz Lektüre will mir nicht in Kopf warum man 3G abschaltet.
Ich arbeite im Support für oben genannte Branchen.
Mit der Abschaltung liefen bei uns zum Glück nicht die Leitungen heißt, aber es ist dennoch merkbar, dass mehr und mehr Anwender sich in Funklöchern wiederfinden und auf umständlichere Positionierungs-Methoden wechseln müssen.
Wenn Ihr da mehr Inside habt, würde ich mich über Informationen freuen.
Grüße
David
Ich stecke in dem Thema nicht sonderlich gut drin, aber ich rechne hier nicht mit einer Verschlechterung der Abdeckung. Denn die freigewordenen Frequenzen werden von LTE übernommen und decken damit eher besser ab. Dass irgendwo 3G abgebaut und nur ein 2G-Würmchen übrig bleibt, halte ich für ausgeschlossen.
3G braucht wirklich keiner mehr.
Das machen die Betreiber, weil sie die Frequenzen mit effizienteren Verfahren nutzen wollen. Also 4G und 5G.
Mit anderen Worten haben die 3G abgeschaltet und an den selben Standorten auf den selben Frequenzen 4G und/oder 5G angeschaltet. Und damit die Kapazität der jeweiligen Funkzellen gesteigert.
Wenns da jetzt Probleme gibt und die Geräte auf 2G zurückfallen, dann doch eher, weil die 4G oder 5G nicht können.
Erstmal alles Gute zur 400.!
Zum Thema Warnung der Bevölkerung und Cell Broadcast ein paar Punkte:
1. Ich bin, wie so viele andere auch der Meinung, dass Cell Broadcast einer App überlegen ist, zumindest für den eigentlcih Zweck der Warnung.
2. Das Argument einer Mitarbeiterin des BBK war tatsächlich der Datenschutz, aber anders, als es in der Diskussion oftmals angebracht wird. Ihr Punkt war, dass man in Deutschland niemanden so ansprechen darf, wenn er nicht vorher eingewilligt hat.
Jetzt bin ich da hinsichtlich Datenschutz nicht ganz sattelfest, aber könnte das evtl. ein Punkt sein? Ja, das ist lösbar, bspw. durch opt-out beim Abschluss eines Mobilfunkvertrags, aber wenn diese Bedenken kommen und gleichzeitig jemand kommt, der eine hübsche App verkauft, war das evtl. der (vorläufige) Tod einer Warnung via CB.
3. Die Apps bieten ja durchaus mehr Funktionen, bspw. eine Warnung zu erhalten für einen Bereich, an dem ich mich persönlich gar nicht befinde, aber bspw. Angehörige. Das wäre mit CB nicht mal eben so mögliich. Ebenso sind die Verhaltenshinweise bspw. in MoWaS/NINA mittlerweile sehr ausführlich, was durchaus ein Punkt ist. Dazu noch Verhaltenstipps für die Prävention und schon hat eine App durchaus einen gewissen Mehrwert.
4. Die Anbindung der warnenden Stellen ist relativ entspannt machbar. Dazu ein kleiner Exkurs:
MoWaS ist das Modulare Warnsystem, früher mal SatWaS, weil es über Satelliten funktioniert. Eine MoWaS-Station, welche die Warnung erstellt, ist auf zwei Wegen angebunden: Terrestrisch über eine MPLS-Leitung und redundant über Satellit. Der Betreiber des Systems ist die Firma Mecom, die eine Tochter diverser Nachrichtenagenturen ist. Und da kommt der Spaß auch her, es wird Infrastruktur genutzt, die sonst für die Verteilung von Nachrichten in Redaktionssystemen gedacht ist. Laut Aussage des Betreibers ist das ganze System so teuer und unwirtschaftlich, dass sich gar keine Konkurrenz freiwillig findet.
MoWaS-SE-Stationen, also Senden und Empfangen, stehen in vielen Bundesländern direkt bei den jeweiligen Leitstellen, bspw. in NRW und in RLP. Entscheidet sich also bei kleineren Lagen der Einsatzleiter vor Ort, dass eine Warnung ausgesendet werden soll, wird diese in der örtlich zuständigen Leitstelle (da, wo die 112 abgefragt und Feuerwehr und Rettungsdienst alarmiert wird) erstellt und in das System eingespeist. Die Ausleitung findet bei Mecom selbst statt, wobei die Warnung sowohl an diverse Apps (Katwarn, NINA, Biwapp, FFAgent), Medien wie Radio, TV, Nachrichtenagenturen sowie andere Empfänger (Deutsche Bahn, Betreiber von Werbetafeln) übergeben wird. Wo genau, wie genau, da bin ich jetzt raus, aber ich meine, ich hätte dazu mal irgendwo was gelesen, müsste also nochmal nachschauen.
Was müsste also in Zukunft gemacht werden? Man müsste „einfach“ eine Anbindung an die Mobilfunkprovider schaffen, die ähnlich wie die Schnittstelle zu den Warnapps funktioniert. Die Betreiber erhalten ein Polygon des Warnbereichs und den Inhalt der Warnung samt einer Klassifizierung. Das Polygon müsste auf die Infrastruktur gemapped werden, was sich sicher relativ entspannt darstellen lässt, zumal die leichte Unschärfe hier nicht schaden wird.
5. Zum Thema Sirenen: Der Bund hat prinzipiell erstmal keine Aktion bei den Sirenen. Diese wurden nach dem Ende des Kalten Krieges teilweise an die Gemeinden übergeben, teilweise waren diese eh schon nicht mehr wirklich funktionsfähig und am Ende war damals der Haupteinsatzzweck tatsächlich in weiten Bereichen nur noch die Alarmierung der örtlichen Feuerwehr. Diese ist aber weitestgehend aus verschiedenen Gründen auf die sogenannte stille Alarmierung mittels Pager, sowohl analog als auch digital, gewechselt. Die Anbindung der Sirenen erfolgte früher mal in weiten Teilen über Standleitungen, welche richtig Asche gekostet haben. Auch insgesamt ist so ein Standort nicht ganz günstig und eine ständige Wartung ist notwendig. Dass da dem einen oder anderen Verantwortlichen das Sparpotential vor die Füße gefallen ist, ist vielleicht durchaus nachvollziehbar.
Mittlerweile hat man deren Funktion wieder entdeckt und auch mein Arbeitgeber wird die Anzahl der Sirenen im Stadtgebiet zukünftig locker verdoppeln. Nur damit klar ist, was das heißt: Bei einer popeligen Stadt mit etwas über 200k Einwohnern und einer entsprechenden Fläche reden wir hier von deutlich über 50 Sirenen. Gerade die alten Motorsirenen wollen übrigens ordentlich Strom haben, da reicht als Notstromversorgung keine 12v-Batterie.
Will sagen: Das Thema Sirenen ist durchaus nicht so simpel, wie es oftmals propagiert wird. Was hätte man bspw. in den Überschwemmungsgebieten den Anwohnern über das Sirenensignal sagen sollen? Im Haus bleiben? Vielleicht nicht immer gut, wie wir wissen. Ins Auto steigen? Auch nicht überall die perfekte Lösung.
6. Zum so gerne zitierten Warntag: Man sollte nicht vergessen, dass man hier ein Szenario aufgefahren hat, welches so in der Praxis der Warnung der Bevölkerung fast nicht vor kommt. Welches Szenario soll das sein, ich mal in ganz Deutschland möglichst jeden warnen soll? Mir fällt da nicht wirklich was ein. In der Praxis sieht es ganz anders aus: Warnungen sind lokal begrenzt, vielleicht eine Ortschaft, vielleicht auch mal ein Landkreis. Das funktioniert und wird täglich von Behörden genutzt, mit der heute vorhandenen Infrastruktur (welche ich immer noch ideal finde, siehe Punkt 1). Der Warntag ist daher eher ein kommunikatives denn ein technisches Desaster gewesen. Wieso fahre ich ein durchaus funktionierendes System mit solch einer Aktion gegen die Wand? Keine Ahnung, war verrmutlich irgendjemand schlauer als alle anderen. Und damit meine ich durchaus nicht den Kollegen Unger, der seinen Hut nehmen musste.
7. Und damit kommen wir zu des Pudels Kern: Die Technik hätte eine Warnung der Bevölkerung in den Überschwemmungsgebieten durchaus erreichen können. Wer bis hierhin durchgehalten hat beim Lesen kann sich aber mal in die Situation eines Entscheidungsträgers versetzen, der in einem ganzen Landstrich eine Evakuierung anordnen soll. Ich war nicht dabei, ich kann und werde hier niemanden in Schutz nehmen, aber was vermutet denn die ach so kluge Klugscheixer-Gemeinde, welche politische Konsequenz einem Landrat droht, der ganze Orte räumen lässt, in den denen nachher nur paar Tropfen vom Himmel fallen? Das ist echt ein massives Problem, für das ich auch keine Lösung habe. Wie der gute @honkhase immer schreibt: There’s no glory in prevention. Am Ende des Tages bewegt man sich immer zwischen den Extremen „Panikmache“ und „hätte mal einer früher was gesagt“. Bei allen technischen Problemen, die ständig diskutiert werden, ist das aus meiner Sicht das zentrale Problem.
Ich hoffe, das war nicht zu episch, aber vielleicht hat es doch der eine oder andere geschafft, mir zu folgen. Wenn Fragen oder Diskussionsbedarf vorhanden sind, dann immer raus damit, gerne auch bei Twitter: @kermit_t_f
„Jetzt bin ich da hinsichtlich Datenschutz nicht ganz sattelfest, aber könnte das evtl. ein Punkt sein?“ – kurz und knapp: Nein :D
Was die Leute beim Datenschutz immer vergessen: Die explizite Einwilligung ist nur eine von vielen möglichen Rechtsgrundlagen, und in der Regel auch nur der letzte Ausweg, wenn es keinen anderen legitimen Grund für eine Kontaktaufnahme oder Datenverarbeitung gibt.
Z.B. Berechtigtes Interesse: Wenn du zum Arzt gehst, kann dieser davon ausgehen, dass er die für die Behandlung relevanten relevanten Gesundheitsdaten erheben und auswerten darf und bspw. deinen Namen usw. zur Abrechnung an die KV übermitteln kann. Obendrein darf er dir selbstverständlich einen Brief schicken, sobald bspw. das Ergebnis einer Laboruntersuchung vorliegt.
Und für all das ist im Allgemeinen keine explizite Einwilligung erforderlich, da vieles davon zum einen Notwendig ist und zum anderen auch erstmal davon ausgegangen werden kann, dass du damit einverstanden bist.
Ein anderes Beispiel ist eine gesetzliche Grundlage: Wenn es bspw. eine gesetzliche Erlaubnis oder gar Anforderung gibt, bestimmte Daten zu verarbeiten, dann ist dafür selbstverständlich auch keine explizite Einwilligung erforderlich; je nach Situation hast du nichtmal ein Löschungsrecht. Klassiker dafür sind so Sachen wie Buchhaltungs- oder Archivpflichten oder auch Sachen im Bereich der Strafverfolgung.
Bei einer Warnung kann man zum einen von berechtigtem Interesse ausgehen. Zum anderen dürften sich diverse gesetzliche Grundlagen finden, die das erlauben – und falls nicht, könnte man relativ trivial eine schaffen.
Generell gilt die DSGVO ja nicht als Supergrundrecht im luftleeren Raum – gerade im Kontext Katastrophenschutz greifen ja noch diverse andere Rechtsnormen, die eine entsprechende Warnung erlauben usw.
tl;dr: Wer sowas behauptet hat entweder gar keine Ahnung oder will bewusst täuschen.
Kurz Ergänzung der Vollständigkeit zum Thema Warnungen über Apps.
Ich wohne in NRW, 5km von der Grenze zu Rheinland-Pfalz entfernt und ca. 15km vom Ahrtal entfernt. Wir haben ca. 2 Tage vor dem Flutkatastrophe eine Warnung per Nina erhalten, die verkürzt lautete:
Warnstufe Lila, extremes Wetter, 2 Tage Dauerregen.
Mehr Informationen waren daraus nicht zu entnehmen und dementsprechend sind wir auch damit umgegangen, denn das es 2 Tage regnet ist nicht wirklich etwas, was einen zu besonderer Vorsicht bewegt. Würde man solche Möglichkeit in der Zukunft mit entsprechenden Erklärungen versehen, würde es vermutlich auch schon einiges bringen.
Zum Glück gelten die Zertifikate nur 1 Jahr. Also tätowieren wäre etwas übertrieben.
Grüße
Martin
Wenn wir bei Statuscodes sind: Habt Ihr für Folge 413 schon eine Sendung über IoT geplant?
418 natürlich.
451 wird wohl wie immer. :D
Das mit dem Cell Broadcast ist technisch nicht so schwierig, aber ist doch nicht nur ein Schalter, den die Netzbetreiber einfach umlegen müssen. Achtung, Cellbroadcast läuft nicht automatisch im SMSC! Das Cell Broadcast Centre muss man schon aufbauen. Das schöne ist, dass die 3GPP Specs zum Netz die Schnittstellen klar definieren. Siehe https://www.etsi.org/deliver/etsi_ts/123000_123099/123041/15.02.00_60/ts_123041v150200p.pdf
Jetzt bleibt aber noch die Frage, ob jeder Netzbetreiber so ein CBC aufbauen muss oder es gar ein zentrales CBC gibt, dass in alle Netze spricht. Da kann man sich bestimmt mit den Netzbetreibern streiten und, wenn nicht zentral gemacht wird, eine schöne Schnittstelle dahin bauen. Oder man sammelt von den Betreibern die Netzinformationen ein. Das sollte man schaffen, so etwas in einem Jahr zu basteln.
Auf der Nutzungsseite, also dort, wo die Nachrichten reinkommen, gibt es keinen Standsrd. Das ist, glaube ich, schon noch die größere Herausforderung. Wer soll denn mal sagen, dass Stadt xyz mal eben evakuiert wird? Wäre ja doof, wenn man das mal eben hacken könnte.
Danke für die interessanten Ausführungen zu Cell Broadcast! Am abgefahrensten finde ich echt, wie normal das einfach in anderen Ländern ist. Neulich hörte ich einen US-amerikanischen Podcast, die beiden Jungs saßen in verschiedenen Wohnungen / Nachbarschaften in New York, plötzlich macht es mitten im Gespräch bei beiden *ping* auf dem Handy, „ey hast Du auch grad die Warn-Nachricht wegen extremer Hitze und den Hinweis bekommen, nur noch einen Raum mit AC zu kühlen?“ So schön, so einfach. So fucking normal.
Nur kurz, weil von mobil…
Am Anfang des CellBroadcast-Themas erzählt Tim, dass es vier verschiedene Apps gäbe und dass man ja nur genau eine haben will und es nur eine geben sollte.
Ich glaube so eine Monokultur ist nicht erstrebenswert, stattdessen sollten die warnenden Institute (Katasteophenschutz, Innenministerium, deutscher Wetterdienst, Fraunhofer Institut…) ausreichend offene Schnittstellen betreiben an die sich dann beliebig viele verschiedene Apps oder auch Kumulatoren (also als Server) hängen können.
Dann kann jede Nutzerin die App benutzen, die ihr gefällt (und nicht drei) und bekommt trotzdem alle Warnungen und wenn mal eine von denen versagt, hat man wahrscheinlich jemanden im Umfeld der oder die eine andere App benutzt, die erfolgreich warnt.
Ich benutze keine dieser Apps und werde trotzdem im Fall der Fälle von den Menschen um mich rum informiert.
Lass es mich anders formulieren: es sollte nur eine App erforderlich sein, um alle relevanten Warnungen zu erhalten. Ich habe kein Problem damit, wenn andere Apps sich da aus dem gleichen Datenstrom ernähren und man das auch in eigene Systeme übernehmen kann, quasi eine Warn-API.
jap, genau sowas meinte ich mit „ausreichend offene Schnittstellen“. Kann man auch gerne redundant aufbauen.
Harald Welte (LaForge) hat übrigens noch einen zweiten Teil zu seinem Blogpost veröffentlicht, welcher den ersten noch etwas ergänzt.
https://laforge.gnumonks.org/blog/20210720-smscb/
Auch ein interessanter Beitrag zu diesem Thema, und darüber wie lange Infos und Vorschläge zu Cell Broadcast im BMI schon rumgeistern (ohne das diesbezüglich gehandelt wird) vom AG KRITIS blog:
https://ag.kritis.info/2021/07/23/ab-wann-ist-etwas-grob-fahrlaessig-historie-von-cell-broadcast-in-deutschland/
Bzgl. Diktatorinnen, ich hätte schwören können das Imelda Marcos eine war, aber tatsächlich war sie /nur/ die /First Lady/ eines Diktators. Laut Wikipedia wäre einzig mögliche Diktatorin Indira Gandhi aus Indien gewesen, dass ist aber umstritten, denn obwohl sie den Ausnahmezustand ausgerufen, und zeitweise durch Eklat regiert hatte; hat sie sich dennoch Wahlen gestellt, verloren, und ihr Amt ordnungsgemäß verlassen.
Also bleibt anscheinend das Berufsbild Diktator weiterhin eine Männerdomäne.
Hey Linus und Tim,
kleiner Nachtrag aus der Meteorologen-Community bezüglich der Warn-Apps:
Ich bin unsicher, ob es fair ist die WarnWetter-App des DWD in einer Reihe mit den Warnapps Nina, etc., zu nennen.
Der Deutsche Wetterdienst (DWD) hat ursprünglich einfach Wettervorhersagen per App rausgehauen. Das ist denke ich auch ein üblicher Anwendungsfall, wenn man bedenkt, dass fast jeder die Wettervorhersage inzwischen auf dem Smartphone checkt.
Das Privatunternehmen WetterOnline hat daraufhin bis zum BGH geklagt, dass dies Wettbewerbsverzerrung sei, da die DWD-App staatlich finanzierte Konkurrenz zum eigenen Produkt ist. Daraufhin hat sich der DWD auf die Position zurückziehen MÜSSEN, dass sie eben Wetterwarnungen über die App veröffentlichen (eben „WarnWetter-App“) und demnach ihren gesetzlichen Auftrag erfüllen. Faktisch beinhaltet die App aber weiterhin eine zuverlässige Wettervorhersage (hier in ausführlich: https://www.lto.de/recht/nachrichten/n/bgh-izr-126-18-dwd-wetter-app-wettbewerbswidrig-kostenlos-warnungen/).
Ich kann die App übrigens echt empfehlen. Sowohl als Radfahrer als auch als Meteorologe nutze ich sie wirklich gerne.
Österreich hat genau ein Zertifikat für alle QR-codes. Aber in der Trust List von EU Zertifikaten sind für Deutschland eh eine ganze Liste von Zertifikaten. Änder nix an dem was in der Sendung gesagt wurde, ist halt nur ein wenig höher aufgelöst in Deutschland als in Österreich.
Fehler die ich in QR-codes schon gesehen hab: Vor und Nachname vertauscht, Unicode und ASCII Felder der Namen vertauscht. Andere Fehler sind ja nicht so offensichtlich. Wenn man die Codes automatisiert überprüfen will gibt’s dann noch das Problem mit dem Namensvergleich. Haben da so Idioten ihren akademischen Titel im Namensfeld? Ledigen Namen zusätzlich zum verheirateten? Zweiter Vorname im QR-Code aber nicht in gegengeprüften Angaben oder umgekehrt. Was ist mit Umlauten? Sehr mühsam.
Zum revoken von Impfeinträgen: hab den Standard dazu nicht gelesen, aber ich hab gehört das gibt’s auch auf EU Ebene explizit nicht „wegen Datenschutz“. Weil dazu müsste man sich die Impfinfos irgendwie speichern, damit man da eine Revokation raushauen kann. Aber die x509 Zertifikat mit denen die Impfzertifikate signiert sind können revoked werden. Viele Länder haben tatsächlich Revokation List URLs in ihren Zertifikaten, aber von vielen davon führen die URLs ins leere (404 oder sogar Server not found). Viele Länder sagen einfach: es gelten nur die Zertifikate in der Trust List und die Trust List darf nicht älter als 48 Stunden sein, sollte besser stündlich updated werden.
Ok, hab’s hier nachgeschalgen:
https://github.com/ehn-dcc-development/hcert-spec/blob/main/hcert_spec.md#61-hcert-signature-validity-time
“
It is anticipated that health certificates can not be reliably revoked once issued, especially not if this specification would be used on a global scale. Publishing of revocation information containing identifiers may also create privacy concerns, as this information is per definition Personally Identifiable Information (PII). For these reasons, this specification requires the Issuer of HCERTs to limit the validity period of the signature by specifying a signature expiry time. This requires the holder of a health certificate to renew it at periodic intervals.
„
Gut, aber das PII-Argument bezieht sich ja nur auf individuelle Zertifikate. Auch da macht mich das Argument ein bisschen stutzig, denn man könnte ja einfach den Hashwert des Zertifikates speichern – es sei denn, du kannst das Zertifikat sinnvoll erraten (wie bei gehashten Telephonnummern).
Aber selbst wenn: was spricht dagegen, einfach einen Zeitraum zu invalidieren; z.B. Aussteller:von:bis?
Denn einzelne Zertifikate sind eh nicht das Problem, sondern eben eher ein Schlüssel, der abhanden kommt oder so. Und in so einem Fall willst du ja nichtmal alles widerrufen, sondern nur bspw. ab Zeitpunkt x.
Und inwieweit eine solche Revocation PII-daten enthält oder nicht skaliert?
Ja und, wenns blöd läuft ist die Revocation-List halt 1GB groß, und? Mit einem effizienten Lookup ist das ja kein Problem…
Die letzten Absätze sind mir durcheinander geraten; sollte heißen:
Und inwieweit ein solches Revocation-System dann personenbezogene Daten enthält oder nicht skalieren soll, erschließt sich mir nicht… Wenns blöd läuft ist die Revocation-List halt 1GB groß, ja und? Mit einem effizienten Lookup ist das halt kein Problem.
Der WItz bei den Mobilfunkbetreibern ist, dass sie den meisten Krempel mehr oder weniger zentral fuer ganz Europa in einem (verteilt untergebrachten) Datacenter laufen haben, der niederlaendische T-Mobile Kunde klebt im Zweifel in Stuttgart neben dem oesterreichischen, den tschechischen, den polnischen und den deutschen in der selben Datenbank. Der eine hat den Flag Cell Broadcast, der andere nicht. Das ganze Geraffel ist seit rund 12 Jahren gar nicht mehr auf die Laender aufgeteilt, das ist je Konzern ein System mit „Mandanten“. Und es glaubt doch keiner dass in Deutschland andere BTS aufgebaumelt werden (die dann keinen Cell Broadcast koennen wuerden) als in anderen Laendern? Der ganze Krempel kann auf einen Knopfdruck Cell Broadcast, das was nicht existiert ist die in der Sendung erwaehnte Anbindung an die ausloesenden Stellen. Das braucht ein bisschen Software. Wenn man ein paar Prozent in der lawfull interception einspart sollte das in 3 Monaten lauffaehig sein. Klar werden Vodafone und Co nun die Hand dafuer aufhalten, bei der naechsten Frequenzvergabe sollte man ihnen das am besten direkt in die Lizenzen pinseln.
Guten Morgen,
ich bin seit ca 1. Jahr begeisterter LNP Hörer und auch der Autor der Anfrage mit dem Titel: „Anfrage zum Bericht des Prüfungsgremiums zur Doktorarbeit von Franziska Giffey“
Hat mich sehr gefreut dass die Arbeit(schaut gerne mal rein was für eine alberne und sehr lange Diskussion ich über 1 Jahr mit der FU Berlin führen musste[1]) in LNP Erwähnung gefunden hat ;)
Der Witz mit „It’s pronounced Jiffey“ Ist weiterhin der beste den ich 2021 bisher gehört habe :D
liebe Grüße
Janik
[1]https://fragdenstaat.de/anfrage/anfrage-zum-bericht-des-prufungsgremiums-zur-doktorarbeit-von-franziska-giffey/
Der Film war klasse! War bei der Premiere in Dresden bei den Filmnächten am Elbufer. Super Setting ;-) Echtes Schmankerl war, dass der CCC Dresden zu Ehren des Films die Ticket Website des Kinos gehackt hatte ;-P
Bezüglich NSO: Ich empfehle dazu den Film „Lord of War“ (m.E. der beste Film mit Nicolas Cage). Am Ende ist NSO nichts anderes als ein Waffenhändler. In dem schmutzigen Geschäft machen sich nicht selten auch die Kunden in Demokratien die Hände schmutzig. Die betreffende Information nutzen die Unternehmen dann gerne als „Du kommst aus dem Gefängnis frei“ Karte. Das erklärt dann auch die verhaltene Reaktion der betroffenen Staatschefs.
Eine Ergänzung noch zu der Persistenz auf iOS: Neben den aufgezählten Punkten dürfte es zudem eine Rolle spielen, dass die Boot-Chain bei den aktuellen Geräten ziemlich gut abgesichert ist – insbesondere im Vergleich zum restlichen C/C++/Obj-C-Geraffel im iOS.
Das Aufwand-/Nutzenverhältnis für eine „klassische“ Persistenz ist in der Regel nicht gegeben – insbesondere, da wie von euch bereits erwähnt eine Reinfektion ja kein Problem darstellt.
Zudem kann man ja oft auch relativ einfach eine Quasipersistenz durch automatische Reinfektion erreichen. Im Falle von Image I/O reicht es ja, wenn mein Bild geparsed wird; d.h. jedes mal, wenn es angezeigt werden soll, wird der Exploit erneut ausgelöst und ich kann meinen Code ausführen.
Und wenn das Bild jetzt z.B. die jüngste Nachricht in einem Chat ist, wird meistens es automatisch als Vorschau angezeigt und sobald jemand den Messenger öffnet, habe ich wieder Zugriff auf das Gerät – was im Zweifel eher früher als später nach einem Neustart passiert.
D.h. auch in der Praxis ist „klassische“ Persistenz gar nicht mehr so wichtig – solange der Bug nicht gefixed wird oder der Nutzer explizit Verdacht schöpft und den Chat löscht, komme ich eh wieder auf das Gerät rauf.
Hi,
ich habe heute mittag einen Kommentar geschrieben und der ist jetzt nicht mehr da? Wurde der evtl von Akismet gelöscht? Hatte einen Link zu fragdenstaat gepostet. Lag das evtl daran?
lG
Janik
Alles ist eins:
Tipp:
In Lübeck läuft der Film im Filmhaus Köngistraße, Samstag 05.08. 15:00 Uhr.
Das Kinoprogramm für nächste Woche steht noch nicht fest, aber in der gestrigen Vorstellung um 17 Uhr waren gerade mal 6 Personen….also teile ich die Annahme, das der Film schnell wieder verschwindet.-Schade, dass das Interesse in der Bevölkerung so gering ist! Andererseits habe ich trotz Impfung mit mir gehadert, ob ich derzeit überhaupt in’s Kino gehen sollte. Der Film war mir aber wichtig. Immerhin habe ich gestern spontan noch einen Kollegen aus der Product Security überreden können und den Tipp intern geteilt.
Es hat mich überrascht zu hören, dass bei den digitalen Impfzertifikaten keine Recovation implementiert ist. Denn die CovPassCheck-App hat ja dieses „Offline-Modus“ Feature, bei dem es heißt „Um offline prüfen zu können, halten Sie die CovPassCheck-App auf dem aktuellen Stand. Stellen Sie dafür ab und an eine Verbindung mit dem Internet her.“ Ich hatte gedacht, dass damit das herunterladen von CRLs gemeint ist. Wenn das nicht so ist, was lädt die App denn dann herunter? Das einzige was mir noch einfallen würde wären neue Root-Zertifikate (was nicht so oft passieren sollte), oder das aktuelle Datum und die aktuelle Uhrzeit.
CovPassCheck ist natürlich eine schnelle Möglichkeit den Impfstatus zu überprüfen. Allerdings sollten die digitalen Impfzertifikate dann auch mittels dieser App überprüft werden.
Gestern wurde mir in einem großen Krankenhaus beinahe der Zutritt verwährt, weil doch in meinem digitalen Impfzertifikat nur die zweite Impfung vermerkt ist (2 of 2). Es wurde zur Überprüfung nur auf die Anzahl der Impfungen und das Datum der Zweitimpfung geachtet.
Auf die Nachfrage von mir, wieso denn nicht einfach der QR-Code eingescannt werde, wurde mit Unverständnis reagiert. Es wurden hilflos die Schultern gezuckt und folgende Fragen in den Raum gestellt: „Womit sollen wir das denn machen? Wir haben so ein Gerät doch garnicht? Was glauben sie wer wir sind? “
Meine Antwort: „Ein Krankenhaus?!?!“
Liebe „Netzpolitiker“!
DANKE für den super gut lesbaren Artikel!
Zu den Warnapps oder SMS:
In unserer recht bergigen Gegend meist nur 1 Funkmast,der erreichbar ist. Und wenn der stromlos ist, gibts kein Netz.
2. Hier haben viele Masten KEINE oder völlig unzureichende Notstromversorgung!
Der eigentliche Skandal ist, dass der Gesetzgeber hier auf eine gesetzliche Pflicht zur Notstromversorgung verzichtet hat.
Wir haben noch mal bei der Bundesnetzagentur nachgefragt:
Es gibt definitiv KEINE politischen Vorgaben, die Notruf-Fähigkeit des Mobilnetzes auch bei Stromausfall sicherzustellen.
Die Telekom bzw. damals noch Deutsche Post -Fernmeldedienst – hatte diese Auflage im kalten Krieg, als das Telefonnetz noch zentral mit Strom versorgt wurde:
Damals sprangen Notstromdiesel an, wenn der Strom ausfiel.
Diese Auflage wäre für Netzbetreiber recht teuer, also „spuren“ die Regelungsgeber und haben diese Forderung von der Liste gestrichen.
Da nutzen auch keine Rund-SMS, wenn der Funkmast schon stromlos ist.
Vielleicht macht ihr hier mal die mangelnde Vorsorge des Gesetzgebers für Krisenfälle weiter zum Thema.
Nette Grüsse und DANKE für die Anteilnahme!
Ihr Wolf Struensee