Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP401 Gespaltenes Verhältnis zu Sonderzeichen

Filmpremiere: Alles ist eins — NSO Pegasus — Cell Broadcast Flutkatastrophe — Impfzertifikate-Apotheken-Hack — Lucafails — 10 Jahre Frag den Staat

Wir beenden unsere Sommerpause und setzen unser Programm fort. Vielen Dank für die Geduld und vielen Dank für die wohlmeinenden Kommentare hier und auf anderen Kanälen zur 400. Sendung.

Heute gehen wir auf die Premiere des Films "Alles ist eins, außer der 0" ein, der in diesen Tagen für leider nur sehr kurze Zeit in die Kinos kommt. Aber spätestens wenn der Film als Ladeware verfügbar ist müsst ihr den natürlich alle anschauen, um das Rätsel zu lösen, warum Tim und Linus hier in einem Atemzug mit Albert Einstein, Timothy Leary und David Bowie genannt werden.

Linus geht ausführlich auf die jüngsten Publikationen rund um die israelische NSO Pegasus Software ein, bei der zahlreiche Oppositionspolitiker, Aktivisten und Journalisten weltweit Abhörziel von Regierungen wurden.

Dann sprechen wir noch über die vorübergehende Aussetzung der Aussetzung der Erstellung von Impfzertifikaten in Apotheken, weil mal wieder zu wenig über die Sicherheit nachgedacht wurde, über ein paar neue lustige Fehler der Luca App und gratulieren dem Projekt "Frag den Staat" zum zehnjährigen Geburtstag.

https://logbuch-netzpolitik.de/lnp401-gespaltenes-verhaeltnis-zu-sonderzeichen
Veröffentlicht am: 1. August 2021
Dauer: 1:47:41


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:32.963
  3. Filmpremiere: Alles ist eins 00:03:06.511
  4. NSO Pegasus 00:19:50.410
  5. Cell Broadcast Flutkatastrophe 00:51:47.710
  6. Impfzertifikate-Apotheken-Hack 01:16:08.598
  7. Lucafails 01:30:19.784
  8. 10 Jahre Frag den Staat 01:38:23.221
  9. Epilog 01:42:11.881
  10. Bonus Track 01:43:33.180

Transkript

Tim Pritlove
0:00:00
Linus Neumann
0:00:00
Tim Pritlove
0:00:02
Linus Neumann
0:00:06
Tim Pritlove
0:00:33
Linus Neumann
0:00:41
Tim Pritlove
0:00:43
Linus Neumann
0:00:58
Tim Pritlove
0:01:03
Linus Neumann
0:01:07
Tim Pritlove
0:01:09
Linus Neumann
0:01:19
Tim Pritlove
0:01:35
Linus Neumann
0:01:50
Tim Pritlove
0:01:52
Linus Neumann
0:02:07
Tim Pritlove
0:02:13
Linus Neumann
0:02:21
Tim Pritlove
0:02:23
Linus Neumann
0:02:29
Tim Pritlove
0:02:32
Linus Neumann
0:02:35
Tim Pritlove
0:02:37
Linus Neumann
0:03:01
Tim Pritlove
0:03:02
Linus Neumann
0:03:03
Tim Pritlove
0:03:07
Linus Neumann
0:03:12
Tim Pritlove
0:03:14
Linus Neumann
0:03:19
Tim Pritlove
0:03:42
Linus Neumann
0:03:58
Tim Pritlove
0:04:12
Linus Neumann
0:04:19
Tim Pritlove
0:04:20

War auf jeden Fall eine eine sehr nettes äh Setting. Ich muss zugeben, ich war, glaube ich, bis dahin auch. Nur ein einziges Mal in diesem Kino. Ist eigentlich ein sehr schönes Kino, dieses Freilichtkino in Freiluft. Freiluftkino in Friedrichshain. Sehr angemessene Atmosphäre. Ja und dann ähm habe ich den Film eigentlich auch das erste Mal so richtig bewusst in so einer. Zuschauerperspektive gesehen. Ich hatte den einen oder anderen Ausschnitt schon gekannt, aber wie gut das dann sich so äh am Ende zusammenfügt, das habe ich dann auch erst in dem Moment gemerkt. Und wir wollen's mal gleich vorwegnehmen. Wir empfehlen euch. Euch diesen Film anzuschauen, weil der 'ne sehr schöne Zusammenfassung ist, einer wichtigen Zeit. Für die, die jetzt unsere bisherigen Kommentare dazu noch nicht mehr aufm Zettel haben oder es nicht gehört haben. Der Film ist im Wesentlichen ein Dokumentarfilm, den Gründer des CCC. Aber in dem Zuge porträtiert es auch den CCC und ich würde sagen auch so generell so die Hackerkultur der Achtziger und der ähm neunziger Jahre ganz gut. Also es ist auch ein schönes äh Zeitdokument so aus der Perspektive, dass das Clubs und ich hab's dem Klaus Meck danach auch. Ich hatte, ich hatte nichts auszusetzen an diesem Film, also es ist alles sehr stimmig angesprochen worden. Ähm wow es ja zweitausendeins gestorben. Das ist jetzt genau zwanzig Jahre her und natürlich hat sich der Club, danach extrem noch weiter äh entwickelt, der Film versucht das so ein bisschen anzudeuten ohne jetzt da auch voll in die dokumentarische Spur zu kommen und belässt von daher sein Schwerpunkt schon auf diesen, ersten zwanzig Jahren. Ja, Und das ist ein ist ein guter Film, den sollte man gesehen haben. Vor allem durch diesen Stil von Klaus Mack, dass er alles so mit original, Dokumenten zeigt, ohne jetzt so einen eigenen Kommentar dazu abzugeben, ohne irgendwie das groß zu bewerten, in die eine oder in die andere Richtung, sondern es ist einfach, es wirkt aus sich selbst heraus. Das finde ich ganz angemessen.

Linus Neumann
0:06:55

Das ist also das ist auch so eine hohe Kunst. Ich meine, jetzt ist glaube ich kein war jetzt kein Geheimnis, dass ich seit Jahren mit Klaus da in Kontakt bin, weil er eben diesen Film macht und weil ich äh Ja, weil er was weiß ich, Fragen an mich hatte, weil ich ihm versucht habe, Kontakte herzustellen, manchmal erfolgreich, manchmal nicht erfolgreich, ähm weil wir insgesamt darüber gesprochen haben, ich kommen ja auch an an ganz am Ende ganz kurz in dem Film vor. Ähm dass ich eigentlich bis das Ding fertig war, dachte so, Junge, Junge, ob das mal gut geht. Weil wenn du, wenn du, wenn man jetzt das so beschreibt, was er da macht, ist eigentlich der Film ist eine Collage aus. Material aus der Vergangenheit. Ja, das sind Fernsehausschnitte, privat Filmaufnahmen, was auch immer, irgendwas, irgendwelches Videomaterial, was Sie über viele, viele Jahre äh oder ja doch über Jahre des Sammelns zusammenbekommen haben, aus verschiedenen Archiven und dann eben zu einer zu einer Dokumentation zusammenfilmen, die noch dazu von Peter Glaser. Dem bekannten Schriftsteller und äh Ehrenmitglied des CCC und ehemaligen Chefredakteur der Datenschleuder so ein bisschen aus dem Off erzählt wird in einer der typischen, ich glaube aus Graz kommt der äh Peter, ne? So dieser typischen, ruhigen, pointierten, österreichischen Art, ja? Und da kann man das kann an vielen Stellen sehr schiefgehen, wenn man sagt, man möchte das so machen. Und äh das kann aber auch unglaublich. Großartig gelingen, wenn man das beherrscht. Und das haben die. Ja, also Klaus und Tanja und Peter in dem Zusammenhang mit cooler Musik noch dazu und ich habe jetzt natürlich alle Kritiken davon gelesen und die sind alle überragend, positiv und ich hatte natürlich auch einige Freundinnen und Freunde mitgenommen zu der ähm zu der Premiere, die den Film vorher nicht kannten und die auch nachher sagten so, also ganz ehrlich. Ich war auf eine ganz andere äh Unterhaltungserlebnis, eingestellt, als ich wusste, wir gehen heute Abend ins Kino und gucken eine Dokumentation. Ja, ne, das ist irgendwie nicht, das, was äh was äh ne und die waren wirklich äh enorm positiv sagten sie, egal, was das unterhaltsam war, was der Film Spaß gemacht hat, wie geil die Musik in dem Film war, äh hätte ich, damit hätte ich nicht gerechnet. Also ich würde fast der Klang fast so ein bisschen raus, dass sie dass sie das vielleicht so ein bisschen als, Pflichttermin wahrgenommen hatten, weil sie merken, ja okay, den die Linus liegt da irgendwie was an dem Kinofilm und na gut, dann gehen wir da halt mal rein. Äh die waren wirklich richtig gut gelaunt, sind die aus dem Kino rausgekommen. Und äh haben dann noch ein paar Stunden davor rumgelungen. Äh das war äh also es ist wirklich ein, großartiges äh Ergebnis. Und äh der Moment, an dem ich wusste, dass das oder an dem ich das Gefühl bekam, dass das potenziell auch wirklich so klappen könnte, ist als ich geschaut hatte. Ähm das andere äh Werk von Klaus Meck, das im Prinzip in ähnlicher Weise ähm, oder auf auf ähnliche Art produziert wurde. Äh Westberlin. Oder sowas, ne? Heißt, ist, glaube ich, der Gesamttitel. Also diese, Avangaard, Punk, sonst was weiterentwicklung von Berliner Subkultur, Musik ähm. Darstellt bis zum Beginn der Elektromusik vom äh Beginn der Punkmusik und äh sehr ähm. Also auch ein sehr geiler Film ist, der eben mit dem in dem ähnlichen äh Stil äh gemacht wurde, die ich auch sehr empfehlen kann.

Tim Pritlove
0:10:58
Linus Neumann
0:12:12
Tim Pritlove
0:13:57
Linus Neumann
0:14:05
Tim Pritlove
0:14:39
Linus Neumann
0:14:57
Tim Pritlove
0:15:03
Linus Neumann
0:15:07
Tim Pritlove
0:15:09
Linus Neumann
0:15:14
Tim Pritlove
0:15:38
Linus Neumann
0:16:04
Tim Pritlove
0:16:31
Linus Neumann
0:16:33
Tim Pritlove
0:17:33
Linus Neumann
0:17:38
Tim Pritlove
0:17:40
Linus Neumann
0:17:41
Tim Pritlove
0:18:42
Linus Neumann
0:19:17
Tim Pritlove
0:19:35
Linus Neumann
0:19:39
Tim Pritlove
0:19:53
Linus Neumann
0:19:58

Urlaub, kaum machst du Urlaub, tanzen die äh Mäuse auf den Tisch. Sehr äh großer äh und sehr viel Aufsehen erregender Skandal, um die um das NSO Pegasus. Jetzt haben wir immer wieder äh erwähnen wir die NSO Group ähm aber ich denke, in längerer Zeit nicht mehr so ausführlich. Und zwar gibt es äh weltweit eben einige wenige ähm relativ berüchtigte Unternehmen, die, Staatstrojaner herstellen. Ähm wir kennen ja den Kampf gegen Staatstrojaner, der ja in Deutschland seinen Auftakt hatte damit, dass der CCC, ich glaube zwanzig elf diesen Ozapft ist, analysiert und auseinandergenommen hat. Das war ein äh gegen Windows Maschinengerichteter Staatstrianer Wald, ne. Damals war diese ganze, ähm Smartphonegeschichte noch nicht so groß. Heute. Konzentriert sich der Markt natürlich auf äh Smartphones und wir haben ja auch schon sehr viel darüber gesprochen, mit der Quellen Telekommunikationsüberwachung, also. Dem Kunstbegriff der im Prinzip sagt, wir hacken dieses Handy um, die Kommunikation abzuhören, weil sie verschlüsselt stattfindet. Äh die Onlinedurchsuchung kürzlich mit Andre Meister, hatte ich da ja eine Episode gemacht, äh die wir vielleicht nochmal zur zur Einleitung verlinken, Ähm. Außerdem hatten, gab es diesen äh gibt es diesen Staat zu einer Hersteller äh Gamma-Arfin Fischer ähm über den wir ja auch regelmäßig berichtet haben, habe ich auch in dieser Episode mit André, gesprochen und da hatten ja auch Torsten und ich zwanzig neunzehn eine Analyse beigefügt und gegen die gibt es ja gerade das laufende Strafermittlungsverfahren wegen umgehen von, äh von Exportrestriktionen, wo es irgendwie, ich glaube, Hausdurchsuchung an über siebzehn Standorten gab. So, ähm das sind. Privatwirtschaftliche Unternehmen, die Schadsoftware für äh eben. Mobiltelefone programmieren, also, für Android und iOS-Devices in der Regel und auch die Comand and Control Infrastruktur dafür unterhalten, also die Server, wohin die Daten dann exfiltriert werden. Und die ähm Dienstleistungsverträge mit, die mit Staaten eingehen, die also sagen, unser Produkt, das was wir hier anbieten, das äh bieten wir nur staatlichen Stellen an, sprich Geheimdiensten und Strafverfolgungsbehörden zur. Rechtmäßigen. Anwendung im Rahmen einer demokratisch legitimierter Geheimdienst Operation hust und äh Straffverfolgungsoperation. Ähm soweit die die äh Selbstdarstellung dieser Unternehmen und natürlich haben die relativ, dubiose oder sagen wir agieren die in einem relativ gefährlichen Umfeld, auch das sei nochmal zusammengefasst, weil sie ja Wissen darüber sammeln müssen, um ihren. Ihren Auftrag zu erfüllen, müssen sie wissen, wie man ein Telefon infiziert. Ja? Und diese Schadsoftware muss ja auf das Gerät aufgebracht werden. Und das geschieht in der Regel mit Hilfe von Schwachstellen. Und diese Schwachstellen sind für diese Unternehmen natürlich nur dann gut, wenn sie auch möglichst viele Geräte betreffen, mit anderen Worten, die haben ein großes Interesse, diese Schwachstellen geheim zu halten. Das sind also Unternehmen, die, inhärentes Interesse haben, dass es Schwachstellen auf euren Geräten gibt, diese Schwachstellen gezielt suchen und dann im Rahmen ihrer äh beruflichen geschäftlichen Tätigkeit ausnutzen. Das ist ähm etwas, was äh gemeinhin als unfein äh betrachtet wird, weil es zur Folge hat, dass diese Schwachstellen eben auf allen Geräten sind und damit das äh Risiko, für die Gesellschaft eben sehr viel größer ist. Weiterhin, muss man natürlich sagen, wenn man sagt, wir verkaufen nur an Staaten und nur an irgendwie demokratische Staaten, die äh es mit den Menschenrechten sehr genau nehmen. Hast du eine sehr enge Einschränkung deines potenziellen Marktes. Ja, weil der größere Teil der Staaten, dass mit der Demokratie und den Menschenrechten und so weiter noch nicht so ganz äh ernst nimmt. Und ähm Einschränkungen deines potenziellen Marktes wiederum sehen die äh Wirtschafter in einem Unternehmen äh regelmäßig, als nicht so äh förderlich an, sodass diese Unternehmen regelmäßig eben dabei erwischt werden an, starten, verkauft, exportiert zu haben, an die man nicht. Sollte, wenn man sich entlang äh gängiger moralischer und ethischer Standards bewegen möchte. So, so viel zur Vorgeschichte, ist das gut zusammengefasst, Tim.

Tim Pritlove
0:25:23
Linus Neumann
0:25:25

Okay, ähm so die NSO-Group war äh ich glaube, wir hatten irgendwie vor ein paar Jahren so einen äh Vortrag auf dem Kongress, wo wo dann sich damit auseinandergesetzt wurde. Ähm. Und wo man so merkte, oh, oh, die, die können was, ja? Und, dieser Markt ist natürlich relativ heiß umkämpft und natürlich auch gut bezahlt. Das ist das also um diese Schwachstellen zu finden brauchst du, sehr fähige Leute, sehr fähige Leute, wollen immer sehr viel Geld haben und ähm dafür, dass sie vielleicht dann auch noch ihren äh ethischen Kompass äh mal ignorieren im Rahmen ihrer Tätigkeit musst du äh üblicherweise vielleicht auch noch einen Aufpreis zahlen. Ähm. Und offenbar ist es denen halt gelungen, sich da äh zu etablieren in diesem Markt. Ähm, und relativ viele unter viele Staaten dann zu ihren, Kundinnen zu zählen. Jetzt ist es passiert, dass eine ein Recherche-Kollektiv mit dem Namen For Bidden Stories an ein Datenleck von fünfzigtausend Telefonnummern gekommen ist. Die mit der Software Pegasus, so heißt der Staatstrianer der NSO Group, ähm überwacht wurden. Diese Liste kriegen die jetzt in ihre Hände. Was machen die? Sagen aha, okay, jetzt müssen wir das natürlich verifizieren, wenn wir so eine, wenn wir so eine Liste bekommen, Quelle ist unklar. Ähm was machen wir jetzt damit? Dann haben sie einfach ähm, auch sein, dass da einfach irgendeine Liste von Telefonnummern ist. Äh haben sie dann angefangen, auszuwerten. Erstens, ähm, Was sind das hier für Menschen und haben dabei unter diesen fünfzigtausend Leuten Journalisten, Menschenrechtsaktivisten, Führungskräfte von Unternehmen, Militärangehörige, Premierminister und staatsüberhäuter gefunden und haben, insgesamt siebenunddreißig Geräte analysiert. Von dieser Liste also von Menschen, deren Telefonnummern auf dieser Liste standen und auf siebenunddreißig Geräten eben ähm eine Infektion mit Pegasus nachgewiesen. Pegasus, da haben wir auch schon ähm länger drüber hier gesprochen, die verfügten oder verfügen über mehr oder weniger so eine äh, Infrastruktur. Also da gibt man einfach nur 'ne Telefonnummer ein und dann wird das an dem anderen Ende befindliche Gerät äh übernommen. Diese Analyse fokussiert sich primär auf iOS. Ich komme gleich nochmal dazu, äh warum. Auf iOS ist es also vermutlich, jetzt kommt der leicht, vermutliche Teil, findet die Infektion darüber statt, dass in der in dem Image IO Framework von iOS, also in der Grafik, Darstellungs und Weiterverarbeitungs ähm Library eine Schwachstelle ist, oder vermutlich mehrere, weil oder nee, auf jeden Fall mehrere, weil in den letzten Updates jedes Mal, also vierzehn drei, vierzehn, vier, vierzehn, fünf, vierzehn, sechs, jedes Mal Schwachstellen in Image-Io, gefixt wurden, also Image-Iye Allstar offenbar ein ähm Fehlersuchbild. Die schicken also den Opfern. Message, die vermutlich ein Bild beinhaltet, dass äh. Von dieser Image-IO verarbeitet wird und dabei Schwachstellen dieser Image-IO ausnutzt, um dann äh am Ende den Prozess dieses Staatstrojaners auszuführen. Das ist insofern spannend, weil sie, den nicht installieren. Ähm sie haben also keine äh Persistenz. Ja, also wenn man eine Schadsoftware hat, ähm ist es üblicherweise wünscht man sich, dass die dauerhaft auf dem Zielgerät ist. Es gibt natürlich unterschiedliche Abwägungen ähm sich zu entscheiden, das nicht zu tun. Dazu kann gehören, dass man sagt, okay, wir möchten möglichst wenige Spuren. Hinterlassen. Deswegen versuchen wir einfach mal nur im Rahmen zu bleiben. Ähm dazu kann auch gehören, dass man sagt, wir haben einfach so viele ähm, Exploits auf diese Zielplattform, dass wir, uns keine Sorgen machen müssen, das Gerät neu zu infizieren und dazu gehört auch, dass diese Smartphones eben nur unter Not und Zwang neu gestartet werden, sodass du äh quasi der Drang. Dich dauerhaft das Gerät dauerhaft zu infizieren, damit du nach einem Neustart immer noch da bist, ähm offenbar ein bisschen abgenommen hat. So, äh hat also für forensische Analysen ähm durchaus Konsequenzen, wenn du. Nämlich sagst, selbst wenn wir uns das Dateisystem anschauen, werden wir nichts finden, ja? Ähm das heißt, du müsstest im laufenden System nach einer Infektion suchen. Das wiederum kriegst du kaum hin, weil du, in der Regel diese Telefone nicht kannst. Deswegen hat sich hier das Team von Amnesty International, die übrigens ein also ja ein weltklasse Team, in ähm Staatstrojaner Forensik unterhalten. Es gibt da eigentlich nur ähm. Zwei, drei weltweite Teams, die in dieser Liga da spielen. Das ist das, das Team um Amnesty. Ähm das ist das Citizen Lab, und nach meiner Wahrnehmung kommt dann erstmal längere Zeit nichts und dann kommen irgendwie noch so ein paar äh. Ähm Schadsoftware äh Buden, die, auch Analysen machen und dann irgendwann ganz unten kommen dann vielleicht nochmal so so Hobbyisten wie Torsten und ich die sich das auch mal angucken, ne? Aber diese die Weltklasse ist eben Citizen Lab und äh das und Amnesty. Ähm so, die haben sich also jetzt äh auf eine Analyseform äh konzentriert, die. Inkonsistenzen, in den Backups von iOS erkennt, weil nämlich der Prozess, der, also der, also, ein, ein Staatsferner muss ja, ausgeführt werden auf dem Zielgerät. Und dieser äh gibt also einen mit der Pegasusinfektion verbundenen Prozess, der heißt Bridge Head BH und der verändert ein paar Dateien. Äh ist das irgendwie. Also der, der wenn der Crash das dann keine Meldung an Apple geht, ist meine Vermutung, dass das die Änderung ist. Und der räumt ein bisschen hinter sich auf. Dass sein eigenes, sein eigenes Datenvolumen nicht. Von von dem Standardsystem Locks erfasst wird. Und dabei schafft er aber Inkonsistenzen. Das sind also sehr kleine, feine ähm Unterschiede, die man erstmal äh kennen muss, die eben im Gesamtbild äh darauf hinweisen, eine, dass eine Pegasusinfektion stattgefunden hat. Da kann ich nur sagen, das wird, sehr, sehr viel Zeit in Anspruch genommen haben, diese Inkonsistenzen überhaupt einmal zu entdecken. Und mit einer Infektion in Verbindung zu bringen. Das ist also das Ergebnis von vielen Jahren äh Forschung und ähm das Schwierige dabei ist natürlich immer infizierte Geräte zu bekommen. Ähm beziehungsweise es ist nicht schwierig, Leute zu finden, die der festen Überzeugung sind, dass ihr Telefon infiziert ist, ja? Die suchst du nicht lange äh stellt sie sich einfach kurz vor vor einen beliebigen für eine beliebige für einen beliebigen des Chaos Computerclubs und wartest. Ja kommt jemand mit uns fest überzeugt, dass ihr Handy gehackt ist, ja? Aber.

Tim Pritlove
0:33:03
Linus Neumann
0:33:06
Tim Pritlove
0:34:28
Linus Neumann
0:34:31

Genau, also winzig kleine, also Indicateres of Compromis sind so die hohe Kunst dessen, ne, dass man sagt, okay, Das ist ein festes Anzeichen dafür und das bedeutet natürlich auch, dass diese Inkonsistenzen nicht aus irgendwelchen anderen Gründen stattfinden oder von mir aus hast du mehrere Inkonsistenzen. Die in Kombination dann eben ein ein äh sicheres Indizi sind. Aber wie gesagt, das ist jahrelange Forschung. Ähm okay, dann haben gibt's natürlich die andere Seite, also jetzt wieder aus Sicht von NSO. Du hast also dein, dein sogenanntes Implant. Deine also du hast dein du hast deine und die. Ex filtriert ja Daten, dafür schickst du die ja da drauf. Und ähm da macht übrigens jetzt eine Sache Sinn, die mich. Früher immer beschäftigt hat. Also es gab ja auch vor einiger Zeit die Meldung, dass Jeff Bezos, Zielperson der NSO Group gewesen sei oder der Charts und da in den Berichten hast du immer gelesen, dass die quasi infiziert werden und dann nach der Infektion ein hohes Datenvolumen auftritt, Ja, dass also direkt nach der Infektion große Mengen oder größere, ungewöhnlich große Mengen an Daten ähm weggesendet werden. Und das hat mich immer gewundert. Wenn man aber bedenkt, dass die keine Persistenz haben, macht das total Sinn. Weil in dem Moment, wo sie infiziert haben, wissen sie nicht, wie lange es dauert äh das Gerät neu gestartet wird und sie vielleicht einen neuen Versuch machen müssen, wenn die iMessage angezeigt wird, ist das schlecht, ne? Also äh macht das total Sinn, dass die direkt nach Erfolg da in viel äh nach Erfolg da äh äh, Übernahme des Gerätes sofort Daten extrahieren. Ähm die muss die müssen irgendwohin. Das sind die sogenannten Command and Control Server. Du unterhältst also im Internet Server, die diese Daten entgegennehmen. Ähm anders kriegst du ja nicht von dem von dem Mobiltelefon runter. Auch da haben die Forscherinnen und Forscher ganze Arbeit geleistet und haben Kommand in Kontrollserver in Deutschland, UK, Schweiz, Frankreich, USA und in Amazon gefunden. Amazon Cloudfund hat die, ihnen zugeordneten Server sofort abgeschaltet. Dreiundsiebzig Stück waren das. Äh andere Anbieter sind noch und äh OV. Da wird irgendwie noch, also da bin ich gerade nicht auf dem aktuellen Stand wie die mit diesen, mit den Informationen umgegangen sind, dass dort eben äh ja Commanden-Control-Server ähm unterhalten werden.

Tim Pritlove
0:37:03
Linus Neumann
0:37:13
Tim Pritlove
0:37:51
Linus Neumann
0:37:54

Das ist ja quasi das Internet leider jetzt bald, ne? Und äh insofern versuchst du natürlich auch, also die sind natürlich die Programmierer dieser Schadsoftware, sind natürlich erpicht, äh so wenig, und so wenig Auffälligkeiten wie möglich zu produzieren. Kommen wir mal dazu, ähm in welchen Staaten es jetzt da äh Skandale gibt. Ähm das sind sehr viele Also wenn man nur mal schaut auf, ich hätte ja gerade gesagt, einhundertachtzig Journalistinnen und Journalisten. Wenn man nur mal auf Staats und Regierungschef schaut, dann äh sind die Zielpersonen aus Frankreich, Irak, Südafrika, Marokko. Jemen, Libanon, Uganda, Algerien, Belgien, Pakistan, Ägypten, Kasachstan. So, das sind irgendwie so die Zielpersonen. Und in ähm Ungarn sind äh vier Journalisten und ein Fotograf überwacht worden. Außerdem mehrere Geschäfts, Leute und Ex-Politiker in Frankreich rund dreißig Journalistinnen und Chefs von Medienunternehmen, aber auch äh der Präsident, und Mitglied der Regierung Frankreichs sowie EU-Ratspräsident Michelle. Ähm. Macron muss man sagen, da waren's äh eine von mindestens zwei Nummern und die Nummern nutzt ja seit zweitausendsiebzehn sein früherer Leibwächter war auch betroffen und der französische Umweltminister Franoa de Regie der hat sein Telefon selber analysieren lassen, also Amnesty hat spezifisch auf dessen, ähm Handy äh festgestellt, dass Pegasus im Juli zwanzig neunzehn auf dem Gerät aktiv war. Ja? Äh das ist schon ein starkes Stück. Und äh ja, NS, die NSO-Group leugnet natürlich alles, äh die. Tja, wie soll man das sagen? Das sind natürlich, also diese diese Gruppen, diese diese Unternehmen haben natürlich sehr ähm, Es ist sehr schlecht, dass es solche Unternehmen gibt, weil die natürlich einerseits staatliche Interessen verletzen. Andererseits sehr äh äh sehr süße Angebote für staatliche äh Interessen machen, ja? Ähm. Im Falle von von des Hacks von ähm von französischen Regierungsüberholptern geht man davon aus, dass, der auf Marokko zurückgeht, aber hier König Mohammed, der sechste und, sind beides Personen aus Marokko, die halt auch getaget wurden. Jetzt kann es sein, dass der marokkanische Geheimdienst eben auch einfach eigene Bürgerinnen damit äh angegriffen hat. Das dann würde es irgendwie wieder Sinn machen. Äh langer Rede, kurzer Sinn, äh, jetzt sind natürlich einerseits die Leute, die Betroffenen äh Regierungschefs, das sind ja die einzigen, die äh denen zusteht, sich über so etwas zu beschweren, ja. Ähm dass hier Menschenrechtsaktivisten und Journalisten damit angegriffen werden, dass äh, interessiert ja nur äh, so ein paar Idealisten eigentlich, ne? Der wahre Skandal ist ja, dass dann irgendwie Macron abgehört wird. Ähm. Entsprechend sind die da, In ihrer Reaktion noch relativ zurückhaltend habe ich den Eindruck, in ähm in Israel, wo die NSU Group sitzt, haben also Vertreterinnen unterschiedlicher Behörden die Geschäftsräume inspiziert haben wir geklopft und haben gesagt, können wir mal reinkommen und gucken. Äh das ist natürlich äh gar nichts, Ähm ich habe mir längere Zeit darüber Gedanken gemacht, was ist jetzt eigentlich, ne, dass, sinnvolle die gute Konsequenz aus so etwas, weil man ja ganz offensichtlich sieht, ich meine, wir wir üben ja schon Kritik an ähm. Der Existenz von Geheimdiensten, ja? Aber wie schlimm ist es erstmal, wenn du dann auch noch für diese Geheimdienste. Ähm privatwirtschaftliche Sub-Contractor hast. Die äh im Prinzip eben deine, die im Prinzip sagen, jo, alles klar, dein Start ist bei uns Kunde und äh gleichzeitig hecken wir noch einen anderen Staat auch, ne? Das ist halt wirklich echt nichts, was du. Was du haben willst, das ist nicht gut, dass es das gibt. Oder wie sehe ich das falsch?

Tim Pritlove
0:42:26
Linus Neumann
0:43:44
Tim Pritlove
0:44:19
Linus Neumann
0:45:30

Das äh Krasse ist übrigens auch, wenn man sich die Rolle in dieser NSO Group anschaut, ähm im Prinzip, Ist das ja, also das ist das, was du an jeder Stelle siehst. Wenn es mehrere Stellen mit Nachfrage gibt. Geht jemand hin und sagt ich biete euch das als als Service an ja? Ich bündle die Kompetenz bei mir. Ich äh biete euch das als Dienstleistung an, woran ihr alle Bedarf habt und warum sollte das eben nicht auch in in dem Markt für für Geheimdienste und Strafverfolgungsbehörden, so sein, ne? Es ist ein, also so marktwirtschaftlich betrachtet macht das total Sinn, dass es so eine NSO-Group, sich eben formiert und dass die ein sehr gutes äh florierendes Geschäft mit sehr vielen Staaten hat und dann eben mh, es auch tatsächlich in der Verantwortung dieser Staaten sieht, wen die Tagetten ja? Dann sagst du ja nee, nee, wir haben uns ja nur, wir haben uns ja nur hier zeigen lassen, dass ihr, dass ihr Staaten seid. Worauf ich noch hinaus wollte, ist, es wäre natürlich super, wenn dieses Unternehmen vom Erdboden verschwindet. Ähm es ist allerdings äußerst unwahrscheinlich. Dass ausgerechnet Israel dieses Unternehmen äh schließen lässt, ja? Ähm es sei denn, das hätte jetzt irgendwelche äh Handelsbeziehungen mit was weiß ich, dem Iran oder äh sonst was, dann würde Israel da vielleicht nochmal äh gucken, ob man das Unternehmen behalten will. Das Problem ist allerdings natürlich auch, dass dieses Unternehmen. Wenn man es auflöst, die Leute gibt's ja nun mal, ja? Und diesen Markt kriegst du jetzt nicht, also diese Kompetenzen und den Markt kriegst du ja nicht weg, nur weil du jetzt ein Unternehmen platt machst. Und da wird man irgendwie äh also am besten wäre es einfach, wenn die Staaten sich verbünden würden und sagen würden, nee, sowas solchen Leuten geben wir kein Geld, die möchten wir bei uns nicht, aber genau das wird auch wieder nicht passieren Also, wer meine Prognose weder das jetzt so, so ein Skandal, der wird jetzt irgendwie ausgesessen, die poltern ein bisschen rum und sagen, stimmt gar nicht und dann machen alle weiter wie vorher.

Tim Pritlove
0:47:33
Linus Neumann
0:48:24
Tim Pritlove
0:49:53
Linus Neumann
0:49:59
Tim Pritlove
0:50:23
Linus Neumann
0:50:32
Tim Pritlove
0:50:35
Linus Neumann
0:50:49
Tim Pritlove
0:51:34
Linus Neumann
0:51:52
Tim Pritlove
0:51:53

Ja genau, die die hat uns auch eine Idiotenflut äh wieder beschert so als Seitenarm. Also vorher ein paar Wochen, ihr werdet es alle mitbekommen haben, heftige Regenfälle über äh lange, lange Tage, vor allem in Nordrhein-Westfalen und Rheinland-Pfalz, in Deutschland auch in den angrenzenden Ländern Belgien, glaube ich, auch, Niederlanden äh war's glaube ich auch recht heftig, das habe ich alles nur ein bisschen aus der Ferne wahrgenommen. Auf jeden Fall ja habt ihr ja gesehen, was das alles ausgelöst hat. Da wurden große Teile von Dörfern einfach äh weggespült, reihenweise. Brücken und Straßen, teilweise auch Autobahnen abgeräumt und viele Leute sind davon, betroffen, vor allem weil halt auch viele Leute gestorben sind. Ich glaube, die Todeszahl ist über hundertsiebzig letzte Mal, als ich äh da eine Nachricht zu wahrgenommen habe. Und äh ja, dadurch würde natürlich im wahrsten Sinne des Wortes wieder einiges freigespült, unter anderem, wie nackt äh es denn doch äh aussieht, wenn's um die digitale Infrastruktur in Deutschland steht, denn es wurden vor allem viele Leute nicht äh gewarnt, das hat, wesentlichen zwei Gründer. Das ist eine, das wohl Warnung, die von den Wetterdiensten tatsächlich ähm an die Länder weitergereicht wurden, auf irgendeiner Ebene der Bürokratie stecken geblieben sind, also nicht weitergereicht wurden, da kann ich mich jetzt nicht groß zu äußern, äh wo das und ähm warum das sozusagen nicht stattgefunden hat, aber dass es sagen wir mal, dass eine bürokratische Probleme, das andere ist, dass in dem Moment, wo wir dann wirklich mal Warnungen ausgesprochen werden sollten ja schlicht diese Warninfrastruktur so nicht vorhanden war. Wir hatten ja hier im letzten eine Sendung schon gemacht, als dieser Warntag in Deutschland weitgehend gefällt ist. Da wurde ja mal versucht, die paar Sirenen, die noch äh rumstehen äh zum Singen zu bringen und die ganzen Warnapps mit entsprechenden Nachrichten zu fluten, was dann eben dazu geführt hat, dass äh sich alles schön aufgehangen hat und das alles irgendwie hinten und vorne nicht funktioniert hat. Und damals hatten wir schon diese ganze Debatte, warum denn bitteschön eigentlich nicht äh eine Technik, die explizit zum Warnen gedacht ist, in Deutschland zum Einsatz kommt. Na ja und ähm, Ist halt immer noch nicht so und jetzt haben wir genau die Situation gehabt, wo genau das dann doch mal eine sinnvolle Sache gewesen wäre. Stattdessen wird halt viel über Apps geredet, ähm es gibt übrigens, habe ich halt nochmal nachgeschaut, vier verschiedene Warnapps in Deutschland, einen so warnen sollen. Da so versäuß du dir vier verschiedene Sirenen aufs Dach stellen.

Linus Neumann
0:54:42
Tim Pritlove
0:54:45

Genau, dann gibt's halt vom DWD, vom Deutschen Wetterdienst dieses Warnwetter. Und dann äh habe ich gelernt, gibt's noch eine App, die heißt auch sehr, geht auch sehr flüssig von der Zunge. Formen bei Gemeinden, auf Gemeindelevel irgendwie zum Einsatz kommen, die dann auch noch von mir äh berichtet, aber das ist auf jeden Fall alles mehr als unübersichtlich, weil, Ich meine, wenn du schon auf eine App setzt, dann wäre doch vielleicht eine, genau die richtige Zahl so, weil das, Da kann man dann zumindest noch so halbwegs für trommeln. Ähm gut, wir haben auch noch die Corona-Warn-App. Andere Geschichte. Aber auch da und da kommen wir ja leider äh nochmal zu in dieser Sendung, ist es halt auch wieder hochgradig verwirrend, wenn du dann auf einmal mit mehreren Apps äh daherkommst. Egal, auf jeden Fall ist das so, es ist ein Wildwuchs und alle diese Apps haben natürlich dasselbe Problem. Erstens man muss sie erstmal installieren, zweitens man muss dafür ein Telefon haben, wo man sowas überhaupt installieren kann, sprich ein Smartphone, viele Leute tun das nicht oder, dann vielleicht auch Warnungen, durch stumm geschaltet Ja, also das ist halt äh ist schon mal das grundsätzliche Problem, dass diese Apps einfach nur in einem bestimmten Maße einen auch wirklich warnen können, weil sie halt jetzt auch nicht lauter schreien können, als die anderen Apps und, die schreien ja schon laut mit klick mich hier und hier hast du noch ein Gewinnspiel und irgendwann hat dann jeder äh alles mal stumm geschaltet, bleibt natürlich dann von solchen Apps nicht mehr sehr viel übrig. Klar, Leute, die da bewusst nachschlagen in dem Moment, wo sie Informationen bekommen wie funktioniert es vielleicht, aber ähm ja gut, spätestens, wenn dann eben das Netz überlastet ist und ja, teilweise war's ja auch komplett weggeschwemmt, dann ist dann auch nichts mehr zu machen, aber äh die Überlastung ist natürlich gerade in solchen Katastrophensituationen sofort sehr hoch, weil alle, alle anrufen. Und damit hast du eine eine riesige Last auf dem Netz und wir wissen alle, was das bedeutet. Das bedeutet, dass dann einfach für Datenübertragung äh auch einfach nicht mehr viel übrig bleibt. Ja ähm.

Linus Neumann
0:56:48
Tim Pritlove
0:57:03
Linus Neumann
0:57:16
Tim Pritlove
0:57:39
Linus Neumann
0:58:17
Tim Pritlove
0:58:18
Linus Neumann
0:58:30
Tim Pritlove
0:59:31
Linus Neumann
0:59:33
Tim Pritlove
0:59:34

Genau, es ist Unsinn, weil grade eben einmal geht nur in eine Richtung, da gibt's überhaupt gar keine Rückmeldung, da wird auch nichts speichert. Ja, da wird überhaupt gar nicht nach Nutzern selektiert. Da weiß das System noch nicht mal, wem es das sendet, weil es sendet es quasi einmal für alle, alle Geräte empfangen ist, gleichzeitig aus exakt demselben Zeitslot Ja? Und äh deswegen ist es auch nicht so überlastungsgefährdet. Diese Nachricht kann permanent wiederholt werden. Die Telefone können selber feststellen, dass sie diese Nachricht vielleicht schon mal genau in dieser Form gesehen haben und zeigen sie dann nicht noch ein weiteres oder alarmieren in dem Moment nicht noch mal, also anzeigen sollten sie es vielleicht trotzdem äh können et cetera und vor allem ist das Ganze ein Standard. Also das gibt es seit. Anfang an, seit neunzehnhunderteinundneunzig, also seitdem GSM überhaupt in in Deutschland irgendeine Realität hatten. Damals war ja C-Netz noch. Äh das das normale Netz. Äh mit GSM wurde das quasi eingeführt, eben als äh SMS-Zellbroadcast in drei G wurde es noch ein bisschen weiter ausgebaut, da hieß es dann eben, Service Area, Broadcast und äh tatsächlich wurde es auch in Deutschland schon genutzt, nur eben nicht zum warnen, sondern, was weiß ich, die Netze haben dann halt so unsinnige Tarife gehabt. Ja, du bist dann halt irgendwie in so einen anderen, Tower Bereich gekommen, also hast dich quasi so bewegt und dann wurde von den Provider, ich weiß nicht ob das jetzt von Vodafone war oder Telekom oder so.

Linus Neumann
1:01:06
Tim Pritlove
1:01:13
Linus Neumann
1:01:25
Tim Pritlove
1:01:35
Linus Neumann
1:01:53
Tim Pritlove
1:01:56
Linus Neumann
1:02:10

Also und und für den Katastrophenfall, um das jetzt mal einfacher zu gestalten, ne, der der Begriff verrät auch sehr viel über diese Technologie. A, es ist Broadcast, also es geht an alle. Und B oder es geht potenziell an alle äh und B. Auf Basis der Zelle und von den Zellen hast du viele tausend. Ja? Und damit hast du eine eine geographische Auflösung. Mit der du sagen kannst, ja, theoretisch, ich nehme jetzt alle Zellen, in diesem geographischen Einzugsbereich, da gibt's natürlich bei den Seiten des Providers ein Mapping und sage, ihr macht jetzt mal bitte eine Broadcast-Meldung von folgender, von folgendem Typ, ja? Und da wird folgende Information gegeben. Und da sind auch unterschiedliche Typen ähm spezifiziert Die sind auch in SMS spezifiziert, zum Beispiel gibt es die äh sogenannte Flash SMS, das ist eine SMS und es muss auch jedes Gerät unterstützen, die kriegst du nur nie. Ähm inzwischen kann ich die auch nicht mehr so gut versenden wie früher. Ähm, Diese SMS steht im Display deines Gerätes und das Gerät macht nichts anderes mehr, bis du die bestätigt hast. So also du und genau so kannst du unter diese unter diesem Typ Sale Broadcast-Meldung kannst du eben etwas machen, was auf jeden Fall piept, was auf jeden Fall gesehen werden muss und nichts anderes kann weggemacht werden, nicht irgendwie ach so, ist in meiner Liste unter Messages habe ich nicht gelesen, weil unbekannter Absender oder so, ne. Das ist alles, alle Einwände, die du haben könntest, dagegen Broadcast für ähm ähm für Katastrophenwarnungen zu verwenden, wurden bereits in dem Standard berücksichtigt.

Tim Pritlove
1:03:56
Linus Neumann
1:05:02
Tim Pritlove
1:05:30
Linus Neumann
1:05:32
Tim Pritlove
1:05:58
Linus Neumann
1:06:33
Tim Pritlove
1:06:49
Linus Neumann
1:06:50
Tim Pritlove
1:07:15
Linus Neumann
1:08:13
Tim Pritlove
1:08:23
Linus Neumann
1:08:53

So, was ist dafür notwendig? Jetzt äh gibt's natürlich, also jetzt muss das auf einmal alles ganz schnell gehen. Die muss man nämlich nochmal sagen. Du hattest die Sendung ja schon mehrmals erwähnt. Äh die dreihundertneunundfünfzig, wo es diesen bundesweiten Warntag gab, und dann haben sie ihre Warnungen gemacht. Da haben sie gesagt, heute Achtung, äh bundesweiter Wahlen, da haben sie Tage vorher gewarnt, haben gesagt, Achtung, da kommt eine Warnung, ist aber gar nichts. Wir probieren nur mal, ob das funktioniert. Und dann kam raus, funktioniert nicht, funktioniert. Ähm und äh insbesondere auch diese Warnapps haben natürlich äh versagt, weil wenn du sagst, du schickst jetzt hier Push-Nachrichten an ähm. Vielleicht ein paar zehn Millionen Leute und von mir aus schickst du dir noch einen Link oder so, dann hast du halt rucki zucki die Bude, und äh das ist eben auch bei diesem bundesweiten Warntag passiert, da haben sie auch bei mehreren äh beim größeren Teil der Sirenen haben sie festgestellt, da wohnt inzwischen einer drin, die funktioniert nicht mehr und der musste doch, glaube ich, sogar noch der ähm. Der Chef des äh Bundesamtes für Katastrophenschutz musste doch dann auch noch seinen Hut nehmen, ja? Und dann, dann ist nichts passiert, dann kommt jetzt eine Katastrophe. Jetzt sehen sie, ach Scheiße, funktioniert immer noch nicht. Wir haben das seit einem Jahr gewusst und jetzt muss es alles ganz schnell gehen. Jetzt haben, hat das Innenministerium ja auch verkündet, nee, wir machen jetzt hier mit dieser mit dieser SMS machen wir jetzt und ähm. Jetzt ist es natürlich so, auf Seiten des Netzes ist es auf jeden Fall nur ein Fleck. Sale Broadcast einzuschalten. Ich bin mir noch nicht mal sicher, dass müsste ich mal nachfragen, ob das jetzt etwas wäre, wo du nochmal eine Lizenz dann verkaufen muss, fände es einerseits lustig, wenn die Netzwerkequipmenthersteller dafür echt auch nochmal extra Geld verlangen würden, aber es ist sehr gut möglich, dass sie es tun, ja? Und dann musst du eine Infrastruktur bauen, um die relevanten Stellen, die zum. Aussenden von Warnungen befugt sein sollen, anzubinden. Die müssen natürlich dann auch, ne, Katastrophensicher, mehrfach redundant irgendwie angeschlossen sein. Und dann musst du äh irgendwie dafür sorgen, dass du diese Befehlsketten hinkriegst, um solche Warnungen auszusenden. Jetzt haben sie sich vorgenommen, das innerhalb eines Jahres zu machen. Ähm Ich wurde gefragt von der Tagesschau, ob ich das für realistisch halte. Äh meine Antwort war so sinngemäß, klar geht das, ne, kannst du in einem Jahr machen, aber ich bin ob du das machen kannst, wenn du dich in Deutschland befindest, das weiß ich nicht.

Tim Pritlove
1:11:29
Linus Neumann
1:11:33
Tim Pritlove
1:11:37
Linus Neumann
1:11:45

Das ist das ist ein Klick. Also das dauert maximal sechs Monate, bis das in allen Mobilfunknetzen in Deutschland nee, ja, du lachst. Ähm. Unter der unter der Annahme, dass äh dieses Feature. Von deutschen Mobilfunknetzen gerade nicht unterstützt wird. Ja, und wenn diese Annahme zutrifft, was sich nicht die, weiß ich nicht, dann. Müsste es quasi für das nächste Release, für das nächste. Für den nächsten Update Zyklus quasi dieses Netzes vorgesehen werden. Und üblicherweise ist der äh Zyklus wie Mobilfunknetze geupdatet werden, so ungefähr sechs Monate, Das liegt daran, primär daran, dass sie sehr lange testen, weil du willst ja nicht irgendwie, ne, also so was wie mit äh ich habe hier Update geklickt und funktioniert auf einmal nicht mehr. Das musst du unter allen Umständen verhindern. Deswegen ähm unterhalten die Mobilfunknetze sehr große oder sehr viele und sehr üppig ausgestattete sogenannte Test-Bads, in denen, quasi die die Konfiguration und Softwaregeneration, die in was weiß ich, in einem Jahr, oder in sechs Monaten laufen soll Ewigkeiten getestet wird, damit alle Bugs gefixt werden, dann werden wieder alle Tests durchlaufen und wenn du im Testbett sagst, okay, alles grün, dann rollst du das ähm, irgendwie aus. Und das könnte ne, unter der Annahme, dass das jetzt eine ausführliche Änderung an der Konfiguration der Mobilfunknetze ist und je nachdem, wie deren Schedule ist und wie viel Druck die bekommen. Könnten, die das in in sechs Monaten könnten das alle haben. Ja? Ich gehe aber ehrlich gesagt davon aus, dass das, müsste ich jetzt nochmal ein paar Leute fragen, dass dass du das gar nicht abschalten kannst und dass das äh eh schon in deinem äh SMSC drin ist. Und dass du jetzt dann quasi den den Kram dahinter basteln musst. Und der, der glaube ich eben schon, dass dass das auszurollen eben auch eine Zeit dauern kann.

Tim Pritlove
1:13:45
Linus Neumann
1:14:22
Tim Pritlove
1:14:38
Linus Neumann
1:14:39
Tim Pritlove
1:15:05
Linus Neumann
1:15:10
Tim Pritlove
1:16:17
Linus Neumann
1:16:19
Tim Pritlove
1:16:32
Linus Neumann
1:16:38

Also, was war geschehen? Äh nach dem ursprünglich äh die deutschen Impfpässe mit fünf Blockchains abgesichert werden sollten, hat man sich am Ende doch äh für ein mehr oder weniger, an etablierter an etablierten Standards und sinnvollen für diesen Anwendungszweck gedachten, äh kryptographischen Technologien bedient und hat gesagt, wir machen eben. Eine oder mehrere CAs und die signieren die Impfausweise oder die, die diese digitalen Impfpässe und der digitale Impfpass ist letztendlich die Information äh. Eine Person mit diesem Namen und diesem Geburtsdatum wurde an folgendem Datum durchgeimpft. Signatur. Und wenn du jetzt irgendetwas an dem Inhalt änderst, passt die Signatur nicht mehr zu dem Inhalt, dann baust du eine App mit dem Namen Check und die kann die vorgehaltenen QR-Codes scannen, kann die Signatur prüfen und sagt, alles klar, das ist jetzt ein, valida Impfpass. Soweit so gut. Jetzt ist natürlich der Fall denkbar, dass man feststellt, okay, oh, ähm ein, Aus irgendwelchen Gründen stellt man fest, hier ein Impfzertifikat, was wir ausgestellt haben, das hätten wir nicht ausstellen dürfen. Das müssen wir revoken. Das kann viele Gründe haben. Vielleicht, dass man feststellt, äh was weiß ich, die Person war doch nicht geimpft, äh aber das wahrscheinlich am Ende der einzige Grund, ja. Ähm, oder dass du ähm dass du zum Beispiel feststellst, dass eine ausstellende Stelle. Kompromittiert wurde, beispielsweise irgendein ähm irgendein Querdenker äh Arzt oder sowas, äh von dem du dann weißt, der hat hier bösartig, gehandelt und dann könntest du sagen, alle Zertifikate, die diese Person signiert hat, möchte ich revoten. Das ist also Revocation. Ist ein äh definierter Standardprozess sämtlicher ähm PKI, also Public Private Key. CA Infrastrukturen, da ist das immer auch vorgesehen, dass du also einen Standard dafür hast, eine signierte Liste zu veröffentlichen und zu sagen, hier übrigens. Entgegen der Signatur, die wir was weiß ich vor drei Monaten angebracht haben, bitte, diesem Zertifikat nicht mehr trauen. Wo haben wir so etwas schon mal äh gesehen oder in Logbuch Netzwerk berichtet? Das äh findet man zum Beispiel, wenn so eine CA kompromitiert wurde. Wir haben, glaube ich, vor, oder wir werden sicherlich vor vielen Jahren über diesen berichtet haben, wo eben eine CA gehackt wurde und dann quasi bösartige, also Zertifikate signiert wurden, die waren dann gültig und die mussten dann eben auf eine Revocation-Liste und dann mussten alle Browser sich merken, Zertifikate mit der Seriennummer von denen signiert, sind nicht gültig, obwohl sie noch, im Rahmen ihres Gültigkeitszeitraums sind. Das ist der Grund übrigens. Warum? Ähm wenn du jetzt eine Kopf hast, Check-Up App hast, die. Du, du, du erwarten müsstest, dass die regelmäßig einmal online ist, um sich die aktuellen CRL zu holen, die nun. Genau diese Revocation wird wurde aber nicht gebaut. Und ähm es äh es wurde also nicht daran gedacht, dass man eventuell irgendeinen digitalen Impf, was irgendwann einmal vielleicht auch widerrufen wollen würde. Ähm, Ich weiß nur, dass sie nicht gebaut wurde. Mir ist nicht ganz klar warum Üblicherweise liegt das in solchen Fällen daran, dass das äh Bundesgesundheitsministerium das nicht beauftragt hat. Ähm Es könnte auch daran liegen, dass äh das nicht angeboten hat, aber das halte ich für unwahrscheinlich Ja, dass also da muss ich wirklich sagen, ich ich weiß, ich kann nur sagen, was der Status quo ist. Ich kann nicht sagen, wer dafür der oder die verantwortlich ist. Ich bin mir aber sehr sicher, dass wir Feedback bekommen zu dieser Sendung und ich esse in der nächsten Sendung sagen kann, So, jetzt äh gäbe es ja außerdem den Punkt, wer wie schaffen wir es, dass diese ganzen. Berechtigten Stellen, also Impfzentren, Ärztinnen und Ärzte und Apotheken, diese, diese Zertifikate zum signieren bekommen. Und der, sage ich mal, die reine Lehre wäre, jede einzelne Stelle. Die Erlaubnis hat Impfzertifikate auszustellen, bekommt ein individuelles Keeper, ja, also ein eigenes Zertifikat, welches berechtigt ist, zum Ausstellen von. Impfbescheinigungen. Das wiederum ist mit einer oder mehreren CAs äh signiert, denen dann eben die check-Apps, vertrauen und dann hättest du eine Situation, in der du wenige Vertrauensanker in der App hast und diese, Vertrauensanker dürfen aber das Vertrauen delegieren und dann könntest du am Ende dafür sorgen, dass, ne, jedes Impfzentrum, jede Apotheke, jede Ärztin, ihre eigenen äh Zertifikate hätte zum zum signieren. Und äh das wäre, das wäre jetzt die reine Lehre gewesen. Ähm natürlich stellt hast du dann ein riesiges logistisches Problem, weil du jetzt auf einmal Kies an, alle diese Stellen geben musst. Da hat man sich dann eben für einen Weg entschieden zu sagen, nee, nee, lass uns lieber, irgendwie so ein so ein Service bauen, so ein Signatur der dann eben von einigen wenigen Stellen. Unterhalten wird und du bekommst als Ärztin, als Apotheke oder sonst eben quasi ein Account dazu. Ähm. Nachvollziehbar, Tim hatte ja auch äh ursprünglich äh sehr große Zweifel daran, dass sie das so schnell ausgerollt kriegen mit dem digitalen Impfpass. Und da muss man einfach sagen, das haben sie so schnell hinbekommen. Das haben sie innerhalb kürzester Zeit aus dem Boden geschossen. Ähm und jetzt kommt natürlich das Problem. Wenn du etwas aus in kürzester Zeit aus dem Boden schießt, eben mit einer heißen Nadel machen. Und jetzt äh gibt es also folgende Situation, dass eben der Deutsche Apothekerverband ein Webportal äh unterhält, ähm die Apotheken diese Impfausweise ausstellen können. Die Apotheken, ne, die müssen ja viel Geld verdienen, um ganzen ja was kaufen die sich eigentlich davon? Die Apotheker, weiß ich nicht genau, aber die kriegen auf jeden Fall viel Geld, wissen viel Geld, auch wenn im fast kriegen sie viel Geld. Ähm und jetzt hat der deutsche Apothekerverband quasi gesagt, so für alle unsere Mitglieder. Also Mitglied in unserem Verein sind. Den schicken wir dann einfach Zugänge zu diesem Portal und dann können die damit Geld verdienen. Ähm es gibt aber auch Apotheken, die sind nicht Mitglied des DAV. Äh das sind äh laut Berichterstattung wenige hundert. Die können sich aber auch über den DAV einen Zugang zu diesem Webportal geben lassen, einrichten lassen. Und dafür müssen sie äh ihre Existenz als Apotheke nachweisen. Und dafür brauchen sie im Prinzip drei äh zwei Dokumente, nämlich die Betriebserlaubnis. Und äh den Bescheid des Nacht und Notdienstfonds, Ja? Ähm das sind zwei Dokumente, die du ihm da beibringen musst und außerdem kannst du in diesem musst du doch deine Telematik-ID angeben. Das sind die drei Dinge, die du brauchst. Jetzt sind äh Martin Schiersig und André Zilch, die äh einigen ja äh sicherlich bekannt sind, auch von Vorträgen auf dem, Communication Congress, wo sie genau diesen Trick, den sie jetzt machen, mit jeder einzelnen äh Sache durchgespielt haben, ja, also man sollte sich inzwischen eigentlich damit rechnen, wenn du irgendwie sagst, wir haben ein äh Registrierungsprozess, der mit irgendwelchen Dokumenten, funktioniert, dann solltest du eigentlich damit rechnen, dass äh Martin Schier sich dir ein gefälschtes Dokument schickt ja? Und das hat er natürlich auch hier äh getan, nämlich die Betriebserlaubnis findest du bei vielen Apotheken im Internet, äh weil sie die zu Beweis, dass sie in der Apotheke sind, offenbar bereitstellen. Er hat halt die genommen, hat eine andere Apotheke erfunden, den äh Bescheid des Nacht-und Notdienst vor, haben sie von einem benachbarten Apotheker äh bekommen. Und in das Feld der Telematik-ID haben sie einfach irgendwas eingetragen. Ergebnis, sie haben dann wenige Tage später in an ihre Wohnadresse äh die Zugangsdaten für dieses DAV. Webportal bekommen, was nur mit Nutzernamen und Passwort geschützt ist. So, damit haben sie sich dann zwei äh offensichtlich gefälschte Impfzertifikate ausgestellt und damit sie einen Beweis hatten und haben dann eben äh Bescheid gesagt. So, jetzt äh fordert André Zilch die einzige ehrliche Lösung wäre die Millionen von Impfnachweisen, die über das DAV Portal ausgestellt wurden, allesamt für ungültig zu erklären. Insgesamt sind siebzehntausendneunhundert Apotheken, angeschlossen. Wie gesagt, der angreifbare Prozess ist hier nur der mit den äh wenigen hundert äh Gastapotheken. Äh diese Forderung halte ich für äh etwas überzogen, äh um das mal diplomatisch auszudrücken. Ähm was der DAV gemacht hat, ist, die haben diesen Service abgeschaltet für eine, mehrere Tage und meine Vermutung ist, sie haben den Service abgeschaltet, um zu prüfen. Irgendeiner dieser Anträge, die sie positiv beschieden haben, fälschlicherweise ähm positiv beschieden wurde und sie damit einer Apotheke Zugang äh erlaubt hätten, die diesen Zugang nicht haben soll. Ähm und werden das Ding dann jetzt bald wieder. Online schalten. Sie haben das allerdings auch für Vereinsmitglieder gesperrt, also die die siebzehntausendneunhundert, ne, oder die siebzehntausendfünfhundert anderen, vierhundertsiebzig kommen über diesen Gastzugang. Sie haben es für alle gesperrt, da ist nicht ganz klar, warum sie das getan haben. Was sie jetzt äh beabsichtigen, als nächstes zu tun, ist eine Anbindung an die Telematik um dann quasi zu sagen, äh dieses Feld Telematik ID, was Leute ja eingeben müssen, das prüfen wir dann eben auch auf äh Existenz und Konsistenz. Ja, also ich denke, ähm. Das große Problem ist, dass es hier eben jetzt kein, dass es diesen Revocation-Mechanismus nicht gibt. Das ist das, was ich eigentlich für problematisch halte. Ähm. Würde ich der Argumentation folgen, dass dass sich dass es ein, Angriffsszenario ist, dass es noch andere Fake-Apotheken gibt, die sich, die jetzt quasi sich diese Mühe der Dokumentenfälschung gemacht haben, äh das glaube ich ehrlich gesagt nicht. Ich denke, dass die meisten dieser Zertifikate, die irgendwo auf Telegram und sonst was gehandelt werden, eben von irgendwelchen, Mitarbeiterinnen und Mitarbeitern in Apotheken, in Impfzentren und haste nicht gesehen ähm äh gedealt werden und das ist da oder oder in Arztpraxen und sonst was, dass also der wahre Betrug weniger darin ist, dass du, Nicht, dass du dich als berechtigte Stelle ausgibst, obwohl du keine berechtigte Stelle bist, sondern dass du eine berechtigte Stelle bist, die nicht alle Latten im Zaun hat.

Tim Pritlove
1:28:01
Linus Neumann
1:28:15
Tim Pritlove
1:28:52
Linus Neumann
1:29:30
Tim Pritlove
1:30:37
Linus Neumann
1:30:41

Die Luca äh Luca äh Film war super, die Luca so wir kommen Ähm will da gar nicht lange drauf rumreden. Also sie hatten jetzt äh zwischenzeitlich haben sie einem Journalisten juristisch gedroht der äh sich negativ über die Luca-App geäußert hatte und haben dafür eine Anwalts äh sich einer Anwaltskanzlei bedient, die ähm. Auch in dieser in dieser Ibiza-Affäre, den Strache und so verteidigt, also haben sie genau die richtigen Anwälte, so. Ähm, dann haben sie äh jetzt eine äh Situation oder mehrere, wo es ein ein Fall gibt. Ähm wo die äh wo also der Betreiber, die Location, kann die. Gäste, da also es gibt ein, also es eine Location. In dieser gab's jetzt irgendwie eine Veranstaltung. In dieser Veranstaltung war eine coronapositive Person. Und die hat jetzt gesagt, ich bin äh Corona positiv, liebe Veranstaltungen. Sag doch mal eben den anderen Leuten Bescheid, ihr habt doch da dieses Luca. Und jetzt sagt die äh Veranstaltung, ah ja, hm, äh hier steht irgendwie Error. Und so und die können äh also diese diese Location kann nicht auf die, Daten zugreifen, die sie da für die zu dieser Veranstaltung gesammelt hat, die sie jetzt dem Gesundheitsamt melden müsste und. Das ist ja das also das ist ja die die das eine Versprechen, was äh die Luca-App hat, ist ja, dass jetzt das Gesundheitsamt sehr schnell entlastet und informiert wird. Äh das ist aber bis heute nicht geschehen Und äh jetzt ist es richtig Schöne daran ist, in der Presseberichterstattung gesagt wird, es gibt eben hier einen technischen Fehler mit der Luca, die kommen nicht in der Lage, die sind nicht in der Lage, diese Daten zu entschlüsseln. Und dann dauert's natürlich nicht lange, bis die Betreiber der Luka-App sich dann echt noch die Mühe geben zu beschuldigen, weil sie die Keys nicht ordentlich ähm ähm. Aufbewahrt hat. Ja? Das liegt natürlich daran, dass deren Prozess beim ähm. Beim beim Einrichten der Location den Leuten nicht nachdrücklich genug sagt, ey Achtung, du musst diesen Kiesicher aufbewahren. Und übrigens in einer der vielen Sendungen, die wir hier zur Luca App hatten, habe ich auch spezifisch diesen Problemfall äh prophezeit. Da muss man jetzt aber auch kein Prophet für sein, den zu prophezeien, weil äh das eben dazugehört, wenn du einen schaffst, den die Leute ähm anwenden müssen und der ein Singlepoint of Fair ist und du ihn nicht, sie dazu zwingst, diesen in irgendeiner Form sicher aufzubewahren, dann dauert's eben nicht lange, bis ähm irgendjemand. Diesen Kieferbasselt hat, ja? Und dann kannst du natürlich. Also das finde ich ja auch so so. Also es zeigt ja wirklich von großer charakterlicher Größe, dass du als Betreiber dieser Luca-Plattform dann die die Locations beschuldigst. Aber die sind ja zum Glück nicht deine Kunden, weil du hast ja nur den Staat um Kohle für diesen Kram erleichtert. Insofern kannst du den natürlich gerne und leicht, die Schuld geben. Das ist das eine, ansonsten gibt's Probleme. Dass die hatten ja immer so ein ein sagen wir ein gespaltenes Verhältnis zu Sonderzeichen.

Tim Pritlove
1:34:15

Ja

Linus Neumann
1:34:22
Tim Pritlove
1:34:33
Linus Neumann
1:34:34

Jetzt funktioniert es da nicht mehr. Ähm. Ich will da gar nicht mehr viel mehr zu sagen. Ich kann nur sagen, wenn wir als Chaos, Computerclub, ja, hingehen und sehr eindringlich. Vor einer App waren, die wir uns ein bisschen angeschaut haben und sagen so, hm. Warnung. So. Das lieber nicht. Dann haben wir uns da echt vorher Gedanken zu gemacht. Das versagen wir nicht einfach so. Und jetzt gibt's hier inzwischen diese wunderschöne Website Timeline Punkt Luka Punkt Fail, wo das alles gesammelt ist. Da kommt jeden Tag was Neues und ähm hier dieser schöne, Fred von Torben, den ich mal kurz verlesen möchte, nur kurz. Am Freitag gab es in meinem Heimatdorf eine Party mit über sechshundert Gästen Nun hat sich herausgestellt, dass es mindestens ein Corona-Positiven unter den Gästen gab, was mich daran wütend macht Am Eingang mussten immerhin alle Gäste in der Luca-App einchecken. Das Gesundheitsamt hat mittlerweile alle Daten angefordert, aber es gab bislang keine SMS oder E-Mail an alle Gäste. Warum nicht? Alle Tickets wurden schöner weise nur vorab online verkauf. Diesen Daten. Alle Gäste per Mail über den Corona-Feld und sinnvolle Maßnahmen informiert werden können. Vor dem Eingang wurde dicht an dicht gedrängelt, keine Zäune überforderte Security. Polizei schaut nur zu. Masken hat kaum jemand auf, so geht's super, aber so sieht kein Hygienekonzept aus. Das ist zu dem Gedränge kam, lag unter anderem daran, dass es für alle Gäste nur ein einziger QR-Code der Luca App bereit. Den alle scannen müssten, vor Abcheckin war nicht möglich, nur ein Fehler des Veranstalters von vielen. Schön, dass es die Corona-Warnapp gibt und Risikobegegnungen angezeigt werden. Nicht schön. Dass ich, auf mein Telefon bekommen habe und es mir deswegen nicht aufgefallen wurde. Es wurden nur vollständig geimpfte genesen oder Leute mit tagesaktuellem negativen Schnelltest. Äh eigenes äh schon, na gut, dann lese es jetzt nicht zu Ende vor. Ähm Es gibt noch einen ähm Post von der äh mal noch mal in Ruhe zusammengeschrieben hat, so bitte, installiert nicht die Luca App auf eurem Telefon und wenn ihr sie installiert habt, dann schmeißt sie runter. Ich kann hier nur sagen. Das ist, glaube ich, auch eines der wichtigen Argumente von Enopark. Viele glauben immer noch, eine Veranstaltung oder ein Ort wäre sicher. Wenn einzig mit Luca eincheckt, dass es ein Trugschluss die Verwendung von Luca hat keinerlei Einfluss darauf, ob Infektionen passieren oder nicht, auch mit Luca senken nur Hygieneregeln die Wahrscheinlichkeit einer Ansteckung auch mit Luca ist eine Aerosolwolke in einem Innenraum eine Aerosolwolke in einem Innenraum auch mit Luca bleibt ein Impfdurchbruch, ein Impfdurchbruch. Und das ist denke ich auch, dass da so das rächt sich eben jetzt, dass wirklich. Ich meine, hier mit Luca sicher einchecken oder was auch immer, oder hier sicher sein wegen Luca, ist ja das große Versprechen. Von dieser App und äh ja, können sie nicht einlösen, wundert auch keinen.

Tim Pritlove
1:37:47
Linus Neumann
1:38:08
Tim Pritlove
1:38:18
Linus Neumann
1:38:20
Tim Pritlove
1:38:26
Linus Neumann
1:38:32
Tim Pritlove
1:38:37
Linus Neumann
1:38:44
Tim Pritlove
1:38:45
Linus Neumann
1:39:42
Tim Pritlove
1:40:29
Linus Neumann
1:41:33
Tim Pritlove
1:42:09
Linus Neumann
1:42:24
Tim Pritlove
1:42:25
Linus Neumann
1:42:34
Tim Pritlove
1:42:51
Linus Neumann
1:42:54
Tim Pritlove
1:43:01
Linus Neumann
1:43:05
Tim Pritlove
1:43:07
Linus Neumann
1:43:30