LNP402 Katastrophe Pro

Feedback — Chatkontrolle — CDU will nicht mehr gewarnt werden — UHG-Reform in D — Sony vs. Quad9 — Kaseya / REvil — Anhalt-Bitterfeld

Heute gibt es ganz viel Feedback zur letzten Sendung (danke dafür). Danach berichten wir von der neuen EU-Verordnung zur Chatkontrolle und deren drohender Verschärfung in Richtung. Die CDU wiederum sieht sich im Cyberkrieg gut aufgestellt und verzichtet künftig freiwillig auf die Unterstützung unabhängiger Sicherheitsforscherinnen. Die schlechten Nachrichten runden wir ab mit einem Blick auf die jetzt in Kraft getretene Reform des Urheberrechts und ein paar skurille Ransomware-Fälle.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Linus.
Linus Neumann
Guten Morgen Tim.
Tim Pritlove
Du, ich habe eine Idee. Wir könnten doch mal eine werbefreie Version von Logbuch Netzpolitik starten. Gegen Bezahlung.
Linus Neumann
Haben wir doch schon.
Tim Pritlove
Buchnetzpolitik Nummer vierhundertundzwei vom, was haben wir denn heute? Äh fünf da August, du hast recht, zwanzig einundzwanzig, so sieht's nämlich aus Leute, ein Donnerstag und wir sind am Start. Ja und wir äh halten Schritt Mit der gesamtwirtschaftlichen Entwicklung. Ja, vier null zwei, also letztes Mal haben wir ja schon ein bisschen rumgewitzelt. Ähm dass das sozusagen ja so ein wieder mal so eine Zahl ist, auf die Nerds reagieren. Das stimmt auch irgendwie, ne? Und ich dachte, vielleicht könnte man das auch mal ein bisschen genauer erklären, warum das eigentlich so ist. Weil es geht ja vielleicht nicht unbedingt jedem so, ne. Also, Dieser vierer Bereich, dieser dreistellige Viererbereich, naja, der ist halt einfach allen Leuten, die sich das Web eine Sekunde genauer angeschaut haben, ähm ja, einfach als Fehlermeldung oder vielmehr als Status kurz quasi so als Rückmeldung aus diesem World Wide Web. Bekannt. Und das ähm, hat ja eine relativ wichtige Rolle gespielt so in der gesamten Entwicklung des Internets, weil mit dem Web kam so ein bisschen der Durchbruch und deswegen sind irgendwie diese Response Codes äh zu so einem gewissen Ruhm äh gekommen.
Linus Neumann
Das sind ja HTTP-Statuscodes, der der Browser kommt, macht die Anfrage, ne, sagt äh in der Regel so etwas wie Get oder äh Post, also sagen wir einfachste, macht ein Getrickwest auf eine bestimmte Seite und sagt, ich hätte gerne den Inhalt dieser Seite, wenn alles gut geht, ist ist eigentlich die die Antwort, die vom Server dann kommt, der Statuscode äh zweihundert, ja, gefunden und hier ist der Inhalt und dann sagt der Browser, boah geil ey hier jetzt fange ich an, das HTML zu rändern oder was weiß ich, ne? Ähm gemäß dem damit umzugehen und wenn da äh etwas nicht äh so läuft, wie man's vielleicht erwartet hätte oder wie es der der Clint eigentlich erwartet hat, dann gibt's da eine eine bunten Strauß an unterschiedlichen ähm Fehlercodes, die auch nicht immer richtig verwendet werden, ne? Oder es ist auch, es sind auch nicht alles Fehler, also zum Beispiel gibt's ja auch äh diese diesen Dreierbereich, ne, Drei null äh eins drei null zwei äh für Temporay und Permanent Reads, aber einer, ich glaube, der drei null eins ist eigentlich found und der Red wäre eigentlich ein anderer. Irgendwo gibt's da doch so einen klassischen, also was, was viele gerne falsch machen, ne?
Tim Pritlove
Genau, also grundsätzlich, dieses Status kurz in so Zahlenblöcke eingeteilt und wie du schon richtig gesagt hast, so der Zweierbereich ist der so ja eigentlich alles okay, Mit verschiedenen Abstufungen. Der Dreierbereich ist so, ja, meinetwegen aber nicht hier und zeigt dann eben auf verschiedene Arten und Weisen woanders hin, im im Netz, so entweder halt vorübergehend oder eben auch dauerhaft, so nach dem Motto ja äh sorry, du hast hier eine alte Adresse, die hat sich dauerhaft geändert, kannst dir gleich merken, du brauchst gleich wieder zu fragen und so wird natürlich auch nicht alles richtig benutzt, wieder richtig angezeigt, noch äh richtig verwendet, aber zumindest gibt's das alles Naja, dieser vierer Bereich, na, der ist natürlich insofern am lustigsten, weil er halt erstmal so die klassischen, Fehler äh macht und Fehler sind ja irgendwie immer das das Lustigste, ne? Und so vierhundert ist halt so allgemein so ja irgendwie Bad Request, also schön, dass du was von mir willst, aber ich verstehe die Frage nicht. Und letzte Woche hatten wir ja so dieses so nach dem Motto Ja, meinetwegen, aber du darfst hier irgendwie gar nicht rein, weil du hast hier nicht die entsprechenden Zugangsdaten äh vorher abgeliefert.
Linus Neumann
Und und heute?
Tim Pritlove
Ja und heute äh sind wir bei einem dieser äh Status kurz, die zwar irgendwann mal eingerichtet wurden, aber die eigentlich nicht so richtig benutzt werden, das ändern wir jetzt mal. Vier null zwei heißt nämlich Payment Require. Ja? Und das war so ein äh Statuscode, wo man sich dachte, naja, irgendwann wird man ja vielleicht auch mal was bezahlen im Netz und so, ne? Und dann muss man das ja auch irgendwie anzeigen und dann fließt sowas einfach in solche Standards mit rein. Aber ist halt irgendwie bis heute noch nicht wirklich genutzt worden, weil man halt einfach dazu übergegangen ist, einfach normale Webseiten anzuzeigen, wo es dann eben so Menschen lesbar draufsteht und man überlässt das dann eben nicht dem Browser. Manchmal ist das eine gute Idee, manchmal ist das auch nicht so eine gute Idee, wie auch immer. Auf jeden Fall existiert das Ding und da ich aber heute vier null zwei ist, mal wieder über Geld reden. So eine lächerliche Ausrede.
Linus Neumann
Rede, Rede von Geld, Tim. Geld äh grundsätzlich finden wir gut.
Tim Pritlove
Ja, ich hatte ja ein neues Businessmodell. Du meinst, wir haben das schon.
Linus Neumann
Nee, das also das können wir jederzeit anbieten, ohne Mehraufwand. Das sind ja die besten Businessmodelle, ja, wo man äh wo man ohne mehr Aufwand, mehr Geld, das ist also das unterscheidet äh den Erfolgreichen, das erfolgreiche Businessmodell vom äh nicht erfolgreichen Businessmodell, ne. Also, sage ich mal, wenn du nicht mehr Aufwand hast, ja und mehr Geld kriegen kannst, Das ist äh das, was der der Fachmann ein ein skalierendes Businessmodell nennt. Ja? Und uns skalierende Businessmodelle sind sehr gut. Äh am besten wäre exponentiell skalierend.
Tim Pritlove
Jetzt muss man nicht übertreib.
Linus Neumann
Und ich habe eine, ich habe eine ganz einfache Idee. Ähm ja, ähm wenn jede Hörerin nur äh drei Leuten Logbuch Netzkritik empfiehlt.
Tim Pritlove
Ja super, Schneeballsystem.
Linus Neumann
Und und dir aber dann bittet, dass auch drei Leuten zu empfehlen. Dann hast du ein exponentielles äh exponentielles Wachstum.
Tim Pritlove
Mhm. Aber erstmal nur höhere Rennen, ne?
Linus Neumann
Ja ja, in dem Bereich brauchen wir auch noch ein bisschen exponentielles Wachstum. Scheint mir.
Tim Pritlove
Das stimmt allerdings auch, genau. Und dasselbe könnte auch mit Geld funktionieren. Aber ist schwieriger. Definitiv.
Linus Neumann
Zinsen, meinst du?
Tim Pritlove
Nee, so einfach aus exponentielles Wachstum. Das ist so dieses Schneeballsystem, sowas, was immer mal wieder äh so reöciert, ne, wo dann Leute sagen, so ja.
Linus Neumann
Das sind auch sehr gute Geschäftsmodelle. Schneeballsysteme.
Tim Pritlove
Du gibst mir tausend Euro und so und dann überredest du einfach nur zehn Leute, auch noch tausend Euro und die dann auch wieder und dann werden alle reich so, ne.
Linus Neumann
Geht Schneeballsysteme gehen lange Zeit echt gut, ja?
Tim Pritlove
Mhm. Das stimmt. So lange, bis es dann nicht mehr funktioniert und dann sitzen die Leute halt auf ihrer Kohle.
Linus Neumann
Schneeballsystem auf jeden Fall auch ökonomisch eine sehr interessante Erfindung gewesen.
Tim Pritlove
Soweit wollen wir es jetzt gar nicht kommen lassen, aber wir wollten einfach nochmal dezent darauf hinweisen, dass natürlich auch diese ganze Podcasterei durchaus finanzielle Unterstützung gebrauchen kann, weil wir haben ja äh sozusagen auch Aufwand und äh manifestiert sich vor allem natürlich in Zeit. Und gar nicht mal so wenig, wenn man hier äh richtig viel los ist. Und natürlich der ganze andere äh Mumpels. So, die Server wollen gefüttert werden und weinen. Und Geräte wollen gekauft werden.
Linus Neumann
Bald gibt's neue Max, ja. Das wird alles gekauft werden.
Tim Pritlove
Genau. Das was da steht so eine komplette neue Produktpalette vor uns und.
Linus Neumann
Also das kann man bei der Gelegenheit ja schon mal sagen, dass du hier auf dem, wie heißt der Käsehobel äh Mac Pro, ne? Was ist welches Baujahr ist dein Mac Pro?
Tim Pritlove
Zweitausendneun. Wie gesagt, könnte man wieder.
Linus Neumann
Junge, Junge. Der ist der ist, da würde ich vorsichtig sagen, der ist abgeschrieben.
Tim Pritlove
Der ist definitiv äh abgeschrieben, ja und ähm der äh schreit eigentlich auch schon die ganze Zeit nach Rente. Aber bisher konnte ich ihm diesen Gefallen noch nicht tun. Tja, also mit anderen Worten, wir wollen jetzt gar nicht hier groß äh rumeiern, aber einfach mal die Gelegenheit äh aufgreifen. Ihr habt die Möglichkeit, uns zu unterstützen. Das wisst ihr auch schon, was am besten funktioniert, sind einfach, Daueraufträge, kleine Zahlungen, egal wie viel, könnt ihr euch selber ausdenken, was euch halt irgendwie möglich ist. Dazu findet ihr natürlich in den äh beziehungsweise sowieso auf der Webseite und ähm wenn ihr da LNP reinschreibt, dann freut sich auch der Linus, weil dann kriegt er auch was ab. Sonst nicht. Nee, natürlich.
Linus Neumann
Also bitte mal alle eure Daueraufträge kontrollieren, dass da auch LNP drin vorkommt. Ja, oder noch, noch einen zweiten Dauerauftrag an mich.
Tim Pritlove
Ach so.
Linus Neumann
Auch jede Folge kriegt er jede Folge halt so viel Werbung und dürft sie doppelt so oft hören. Wird 'nen Deal.
Tim Pritlove
Aha, okay. Kriege ich dann auch die Hälfte von dem irgendwie, also wenn ihr mal Ninos was hinschickt, dann schreibt aber auch Tim rein. Da kommt er voll in die.
Linus Neumann
Nee, dann dann lehne ich die ab.
Tim Pritlove
Genau. Mit vier null drei dann verbitten.
Linus Neumann
Ja
Tim Pritlove
Da kommen wir dann nächste Woche drauf. Na gut, äh jetzt lassen wir euch aber auch schon wieder in Ruhe, weil hier geht's ja äh nicht dadrum, euch die ganze Zeit die Ohren vollzusäuseln, sondern wir haben nur grad die Gelegenheit genutzt.
Linus Neumann
Wenn das HTDP, äh wenn der wenn der Standard uns das ermöglicht. So, dann sind wir beim Feedback.
Tim Pritlove
Das war umfangreich.
Linus Neumann
Das war umfangreich und äh gerade schon kurz bei der Vorbereitung zu Tim gesagt. Das ist äh sehr schön, aber auch ärgerlich, dass wir so viele kompetente Kommentare mit Hintergrundwissen zum Thema Broadcast, Katastrophenschutz und sonstigen bekommen haben, die, leider, also erstens zu viel und zweitens zu lang sind, dass wir die alle ähm verlesen können, deswegen aber auf jeden Fall, wenn euch dieser Bereich. Noch mehr äh interessiert, dann äh schaut auf jeden Fall mal in die Kommentare, zur letzten Sendung und ich nehme da jetzt mal exemplarisch so ein bisschen den, den längsten äh und der kommt von Jan ähm und ich werde den jetzt etwas etwas für euch äh kürzen. Also Jan sagt, erstens ich bin, wie so viele andere auch der Meinung, dass einer App überlegen ist, zumindest für den eigentlichen Zweck der Warnung. Zweitens, äh und das ist der der wichtige der wichtige oder einer der vielen wichtigen Punkte in diesem Kommentar. Ähm das Argument einer Mitarbeiterin des BBK, war tatsächlich der Datenschutz, aber anders als es in der Diskussion, angebracht wird. Ihr Punkt war, dass man in Deutschland niemanden so ansprechen darf, wenn die Person nicht vorher eingewilligt hat. Also nicht, dass Datenschutz in irgendeiner Weise datenschutzrelevante Daten beim. Versand von Nachrichten anfielen, sondern dass man einfach nicht jemanden äh kontaktieren darf, wenn diese Person nicht zugestimmt hat. Wir haben auch in der letzten Sendung eben diesen Aspekt, äh behandelt, dass da eben gar keine Daten anfallen pro Person. Und deswegen ist das äh als Korrektur hier zu werten. Gleichzeitig korrigiert äh den Jandern oder ergänzt die Janne, den Jan dann auch die Sandra Weil Jan sagt, ich habe keine Ahnung von äh bin im Datenschutz nicht so sattelfest, aber könnte das eventuell der Punkt sein? Er sagt Sandra, nein. Ähm es man braucht zwar eine Einwilligung, aber es gibt viele Rechtsgrundlagen, ähm wo man. Diese Anforderung nicht hat und zwar berechtigtes Interesse oder man kann einfach sagen, hier ne, das BBK darf das. Und dann wäre diese Sachen äh erledigt. Ja, also dass das Argument ähm, zählt nicht, ja? Dass man jetzt sagt so, ach, wir hätten dir gerne eine Warnung geschickt, aber du hattest ja nicht gesagt, dass du eine.
Tim Pritlove
Interesse daran hast, zu überleben.
Linus Neumann
Ähm so weiter äh Dritten, drittens, weiter als den Kommentar von Jan. Die App, bieten ja durchaus mehr Funktionen, beispielsweise eine Warnungsverhalten für einen Bereich, in dem ich mich persönlich gar nicht befinde, aber zum Beispiel Angehörige. Äh das kann man mit kannst nicht mal eben so machen, ja, stimmt, würde ich aber äh auch sagen, ist nice to have, aber jetzt nicht im Rahmen des Katastrophenschutzes ein, ein Must äh Feature. Ähm sagt er aber außerdem, klar, du kannst weiterführende Verhaltenstipps und so weiter geben, für die Prävention, das da hat die App durchaus einen gewissen Mehrwert. Ja, das ist halt eben ich finde, also diesen Mehrwert sehe ich, ja? Und da den muss eben, muss man man kann ja dann halt so eine, so eine App machen, Katastrophe pro, ja, wo man vielleicht noch mehr Informationen bekommt, ja? Ist Premium-Content, Da kannst du eigentlich eine App machen, Tim. Fremian machen wir. Bis zu drei Katastrophenwarnungen im Monat.
Tim Pritlove
Die sind kostenlos, ja? Also.
Linus Neumann
Kostenlos ab.
Tim Pritlove
Genau. Ab dann wird's.
Linus Neumann
Wenn du dann noch Empfehlungen haben möchtest, ja, da kannst du natürlich das Paket, äh, das Prepperpaket buchen. Ja? Als äh das aber ne, das ist klar. Okay, wir spinnen rum. Viertens, sagt Jan. Die Anwendung der warnenden Stellen ist relativ entspannt machbar. Dazu ein kleiner Exkurs ist das modulare Warnsystem, Äh früher mal satt was, weil es über Satelliten funktioniert. Station, welche die Warnung erstellt, ist auf zwei Wegen angebunden. Therestisch über eine MPLS Leitung und redundant über Satellit. Der Betreiber des Systems ist die Firma MICOM die eine Tochter diverser Nachrichtenagenturen ist und da kommt der Spaß auch her. Es wird Infrastruktur genutzt, die sonst für die Verteilung von Nachrichten in Redaktionssystemen gedacht ist. Laut Aussage des Betreibers ist das ganze System so teuer und unwirtschaftlich. Dass sich keine freiwillige Konkurrenz dazu findet. Ähm Movas SE Station, also Senn und Empfang stehen in vielen Bundesländern direkt bei den jeweiligen Leitstellen, beispielsweise in NRW und in Rheinland-Pfalz entscheidet sich Seil also, Bei kleineren Lagen der Einsatzleiter vor Ort, dass eine Warnung ausgesendet werden soll, wird diese in der örtlich zuständigen Leitstelle, also da, wo die eins, eins, zwei, abgefragt Feuerwehr und Rettungsdienst alarmiert werden, erstellt und in das System eingespeist. Die Ausleitung findet bei selbst statt, wobei die Warnung sowohl an diverse Apps, Katva, Nina, Biwap FFA. Medien wie Radio, TV, Nachrichtenagenturen sowie andere Empfänger deutsche Bahn, Betreiber von Werbetafeln übergeben wird. Wo genau, wie genau, da bin ich jetzt raus, aber ich meine, ich hätte dazu mal irgendwo was gelesen, müsste ich nochmal nachschauen. Okay, das ist schon mal sehr gut. Was müsste also in Zukunft gemacht werden? Man müsste in Anführungszeichen einfach eine Anbindung an die Mobilfunk Provider schaffen. Die ähnlich wie die Schnittstelle zu den Warnapps funktioniert. Die Betreiber erhalten einen Polygon des Warenbereichs. Und den Inhalt der Warnung samt einer Klassifizierung, dass Polygion bis auf die Infrastruktur gemappt werden, was sich sicher relativ entspannt darstellen lässt, zumal die leichte Unschärfe hier ja nicht schaden wird, dann sagt er noch was zu Sirenen, das lasse ich jetzt mal aus, darüber hatten wir schon gesprochen. Also sechstens, zum gerne zitierten Warntag. Man sollte nicht vergessen, dass man hier ein Szenario aufgefahren hat, welches so in der Praxis der Warnung der Bevölkerung fast nicht vorkommt. Welches Szenario soll das sein? Äh wenn ich mal, in Deutschland möglichst jeden fahren soll. Ja, nuklearer Angriff, oder? Oder? Unfall wäre jetzt etwas, wo ich denke, müsste man alle sofort fahren. Mir fällt da nicht wirklich was ein.
Tim Pritlove
Ja, aber es, ich meine, es Wenn man sicherstellen will, dass ein System im im Bedarfsfall gut funktioniert, dann ist es gar kein gar kein Problem, wenn man's mit einem, mit einer Lagetesse, die so ein bisschen über das normale hinausgeht, weil dann kann man auch davon ausgehen, dass der Normalfall funktioniert. Also das äh ist jetzt auch nicht so das na also ist natürlich ein Problem, aber es sollte ein lösbares Problem sein, genau diesen Zustand herzustellen, weil da hat man, wie man so schön sagt, etwas ein bisschen Luft nach oben, ähm damit man dann im Zweifelfall sich auch drauf verlassen kann, dass der normale, übliche Fall auch funktioniert.
Linus Neumann
So jetzt genau, dann sagt Jan weiter In der Praxis sieht es meist ganz anders aus, Warnungen sind lokal begrenzt, vielleicht an der Ortschaft, vielleicht auch mal der Landkreis. Das funktioniert und wir täglich von Behörden genutzt. Mit der heute vorhandenen Infrastruktur, welche ich immer noch ideal finde, siehe Punkt eins. Der Warntag ist daher, immer noch immer, ich glaube, er meint immer noch nicht ideal finde. Äh Der Warntag ist daher eher ein kommunikatives, als ein technisches Disaster gewesen. Wieso fahre ich ein durchaus funktionierendes System mit einer solchen Aktion gegen die Wand? Keine Ahnung, war vermutlich irgendjemand schlauer als alle anderen und damit meine ich durchaus nicht den Kollegen Unger, der seinen Hut nehmen musste. Siebtens, damit kommen wir zu des Pudelskern. Die Technik hätte eine Warnung der Bevölkerung in den Überschwemmungsgebieten durchaus erreichen können. Wer bis hier hindurchgehalten hat beim Lesen, kann sich aber mal die Situation eines sich in die Situation einer Entscheidungsträgerin versetzen, die in einem ganzen Landstrich eine Evakuierung antworten, anordnen soll. Ich war nicht dabei, ich kann und werde hier niemand in Schutz nehmen, aber was vermutet, denn die erste kluge Klugscheißer-Gemeinde, welche politische Konsequenz einem Landrat droht, der ganze Orte räumen lässt, in denen dann nachher nur ein paar Tropfen vom Himmel fallen. Das ist echt ein massives Problem das sich auch gar keine Lösung habe. So, das äh der. Der ausführliche Kommentar. Wir hatten auch noch einen weiteren zu diesem und zwar von. Simon, ähm der äh sagte, also es gibt dieses und so weiter, ja, Das war auch genau das, was beim Warentag letztes Mal ausgefallen ist, weil es mit der Anzahl der gleichzeitig ausgesendeten Warnungen überlastet war. Die Apps waren da also gar nicht das Problem, sondern das Baby ist schon daran gescheitert, die App-Server zu alarmieren. Sale Broadcast wären davon wohl genauso betroffen gewesen. Einige äh viele ähm Links dazu. Und ähm, in der äh in den Antworten auf Simon wiederum gibt es einen Kommentar von OTC. Ähm. Ähm der äh von der Katastrophe insofern betroffen war, dass sie in der Katastrophennacht evakuiert wurden, und das Wasser aber auf kurz vor ihrem Haus halt gemacht hat. Und er schildert ein bisschen wann die wann sie die Warnungen bekommen haben. Also, Als wir um drei Uhr dreißig von den Nachbarn wach gemacht wurden, Wasser ein paar Meter vor unserer Tür stand und wir evakuiert wurden, war der Strom längst weg. Entsprechend war das Netz ebenfalls weitestgehend weg, Frauen, Kinder sind weggefahren. Ich habe noch den Nachbarn geholfen und den Keller etwas aufgeräumt. Ausgeräumt, nicht aufgeräumt.
Tim Pritlove
Wenn man schon mal wach ist, können wir auch mal den Keller aufräumen. Wie sieht das hier denn aus?
Linus Neumann
Na ja, ähm nachdem die Flut durchs Tal gerauscht ist, stellte sich jedenfalls Horst Seehofer vor die Kamera der Mann, der nach dem letzten Sirenendebakel, dem BBK-Chef von der SPD durch ein Part drei Freund ersetzt hat und sagte, man brauchte jetzt Sale Broadcast. Es ist traurig zu erkennen, dass wir scheinbar mittlerweile in einem System leben, in dem nur unter dem. Eindruck von Katastrophen, eigentlich selbstverständliche Dinge durchgeführt werden können. Ebenso ist es sehr schade, dass Horst Seehofer nicht persönlich verantwortlich gemacht wird, sondern dass er sich wie ein, neben stehender ein nicht Verantwortlicher vor die Presse stellt und Missstände, die von ihm selbst verantwortet werden anprangert und deren Beseitigung ankündigt. Ja also ist eigentlich alles mit Herr Horst Seehofer ist äh schade. Für meine ertrunkenen Nachbarn in der nächsten Straße kommt das zu spät. Vielleicht finden ihre Angehörigen ja Trost in einer solchen Ankündigung. Ähm ja, also viele äh Kommentare zu diesem Thema. Und ähm seien, seien wir mal gespannt, äh wie das jetzt mit äh Broadcast in Zukunft. Funktionieren wird.
Tim Pritlove
Ja, also äh ein guter Hinweis, dass jetzt äh Sale Broadcast allein hier das Problem auch nicht gelöst hätte, weil unter Umständen die Nachricht gar nicht erst bis dahin gekommen ist. Das lässt sich jetzt im Einzelnen natürlich äh schwer teilen an welcher Stelle jetzt dieses System gefehlt hat und ähm ja, was ich auch ganz interessant fand, ich hab's auch nochmal kurz nachgelesen, find ich auch ganz gut, wusste ich aber bisher noch nicht, dass eben auch diese ganzen Stadtwerbetafeln, Ne, so von Ströer und Wall und so weiter, die ja in der Regel für sie äh Stadtmöblierung, wie das heißt, äh da die Aufträge bekommen und quasi, Bushaltestellen bauen, aber dafür dann eben quasi mit Werbefläche äh bezahlt werden, die sie sich dann wiederum von wärmenden bezahlen können, dass die dann auch noch angeschlossen sind. Nicht, dass ich jemals da eine Warnung drauf gesehen hätte, aber ja, nicht blöd.
Linus Neumann
Sind regelmäßig Warnungen drauf, was weiß ich irgendwie, Schat.
Tim Pritlove
Kauft das, kauft.
Linus Neumann
Konzert oder sowas.
Tim Pritlove
Okay, ja, da hast du recht. Schon interessant. Also, sag noch mal einer das funktioniert nicht.
Linus Neumann
So, dann hatten wir über äh die Impfzertifikate gesprochen.
Tim Pritlove
Oh ja.
Linus Neumann
Ähm wo Also kurze Erinnerung, wo sich Martin äh sich zusammen mit Andre Zich die Möglichkeit äh erschaffen hat, äh auf diesen Server zuzugreifen und damit ähm Impfzertifikate auszustellen. Und da hat äh Martin äh offenbar die Sendung gehört und kommentiert, schöner Beitrag zum Thema Impfzertifikate. Ähm und er zitiert wahrscheinlich was ich gesagt habe, wenn du jetzt jeder Apotheke und jeder Arztpraxis wirklich eine Tourkarte und eine eigene Software gegeben hättest, dann wäre das nie fertig geworden. Das hatte ich, glaube ich, gesagt. Kommentar von Martin, Hier wird es jetzt idiotisch. Voraussetzung zur Ausstellung von Impfzertifikaten. Über besagtes DAV Portal war schon immer ein Anschluss an die Telematik-Infrastruktur TI obwohl das DAV Portal selbst aus dem Internet erreichbar ist. Ein solcher TI-Anschluss beinhaltet eine Signaturkarte Und zwar eine SMCB mit PIN und eine Signatur Anwendungskomponente, nämlich den Konnektor und das Kartenterminal. Connector, ja.
Tim Pritlove
Die Apotheken haben das schon.
Linus Neumann
Gleiches Spiel bei den Arztpraxen. Das heißt, die betroffenen Apotheken und Arztpraxen melden sich sowieso alle bereits mit Signaturkarte und PIN an der Telematik Infrastruktur, Verfahren also durch Signatur einer Nuns an. Ähm. Diejenigen, die den Teil jetzt nicht verstanden haben, unerheblich, die ihn verstanden haben, herzlichen Glückwunsch. Ähm letztendlich also was meint ihr einfach sagt, diese die Anmeldung erfolgt durch das Anbringen einer elektronischen Signatur, Dadurch meldest du dich überhaupt da an. Die Infrastruktur für dezentral signierte Impfzertifikate ist also bereits fertig. Vermutungen noch zur Frage, warum man neben den Gastzugängen auch die Zugänge der regulären DAV-Mitglieder abgeschaltet hat. Auch DAV-Mitglied werden ist nicht schwer. Okay. Ja äh danke danke für äh an Martin. Das DRV-Mitglied Martin, für die. Für diese äh Ergänzung. Ja, das also da habe ich natürlich wirklich einfach nicht dran gedacht, dass die TI ihr wirklich genau das Ausrollen von. Kryptographischen Keypes ist und du hättest jetzt äh also da entweder hätten die sich jetzt selber mit diesen Karten, tatsächlich direkt die Impfzertifikate unter äh unterschreiben können oder du hättest eben einen Service machen können, wo du dich mit der TI-Karte anmeldest und ausweist, ja und dann ähm.
Tim Pritlove
In deinem Namen.
Linus Neumann
In deinem Namen das unterschrieben, ja.
Tim Pritlove
Oh Mann, ey.
Linus Neumann
Tja, aber da hätte man wahrscheinlich mit Leuten reden müssen, deren Schwerpunkt nicht Blockchain ist. Die dann kurzfristig zu zu Zertifikaten gezwungen werden. Okay, dann gab's noch einen äh noch einen äh Kommentar zu dieser Impf äh Revocation. Ja, ich hatte ja äh gesagt, dass. Wenn man eine ähm. Signiere Infrastruktur unterhält oder eine äh dann muss man den Fall berücksichtigen. Das ausgestellte Zertifikate eventuell vor dem ab, vor der vor dem Ablaufen ihrer Gültigkeit revogt werden müssen und weil, Prüfung des einzelnen Zertifikates ja offline und ohne weitere Informationen funktionieren kann und dass die Stärke des Systemes ist, braucht man einen Weg zur Revocation und der kann nur sein, dass man eben. An einer öffentlich zugänglichen Stelle. Im Prinzip, sagen wir mal, designierte Informationen. Und sagt, hiermit rufe ich zurück. Das Zertifikat mit der Nummer so und so, ja? Das heißt, es gibt dann eine öffentlich zugängliche Revocation-Liste. Ähm, Zu dem Thema kommentierte Matthias von Impfeinträgen. Habt den Standard dazu nicht gelesen, aber ich habe gehört, das gibt's auch auf EU-Ebene explizit nicht wegen Datenschutz, weil dazu müsste man sich die Impfinfos irgendwie speichern, damit man da eine Revolution raushauen kann. Das also ich glaube, ich weiß, dass das diskutiert wurde, aber ich bin mir eigentlich relativ sicher, dass das äh ähm. Nicht ähm also dass sie diesen Teil dann doch eingesehen haben, dass du nämlich äh deine Impfzertifikate sonst äh äh also einfach anhand der Seriennummer revoten kannst. Du kannst ja sehen, ja? Aber jetzt äh entscheidender Punkt von Matthias, aber die X fünf null neun, Zertifikate, mit denen die Impfzertifikate signiert sind, können revogt werden. Also du kannst im Prinzip du revox nicht das einzelne Zertifikat, sondern direkt, das, was es das Ding signiert hat. Ähm viele Länder haben tatsächlich Revocation mit ihren Zertifikaten, aber von vielen davon führen die URLs ins Leere. Äh vier null vier oder sogar notfond.
Tim Pritlove
Das kommt dann später.
Linus Neumann
Viele Länder sagen einfach, es gelten nur die Zertifikate in der Trust-List und die Trust-List darf nicht älter als achtundvierzig Stunden sein, sollte besser, stündlich geupdatet werden. Ähm, Ich glaube, dass es in Deutschland auch so, weil ich aus den Gesprächen mit den Entwicklern dieser Impf äh Infrastruktur der Infrastruktur der technischen äh weiß, dass sie eben auch immer diese Trust-List sich neu holen müssen. Also. Es gibt die Möglichkeit der Revocation, aber so also technisch gibt's die auf jeden Fall, aber irgendwie implementiert ist sie eben äh trotzdem nicht.
Tim Pritlove
Ja und vor allem, das war jetzt natürlich alles ein bisschen schwierig zu verstehen. Man kann sich das ja so vorstellen, wie so ein von äh es gibt so einen Top-Level Zertifikat und da drunter sind dann andere Zertifikate und darunter sind andere Zertifikate. Und je nachdem, wie weit man das halt treiben will, hast du halt so den Staat, die Länder die ausgebenden Stellen, regionale Unterteilung und dann eben runter bis zur einzelnen Apotheke oder eben zum Arzt. Ja, das wäre so das ideale Bild in diesem Denkmodell, wo du dann eben an jedem dieser Knoten sagen kannst, so, alles ab hier gilt nicht mehr. Ne, also wenn du den ganzen Landkreis abschneidest, dann fällt halt alles andere automatisch mit äh, das ist halt das, was nicht stattgefunden hat. Also das hier, was Revogt äh werden kann, äh gut, schön, aber hängt eben sehr davon ab, wie filigran das alles ausgegeben wird und das haben wir ja eben bei dem Beispiel gehabt mit der, Telematik und den Apotheken, obwohl da im Prinzip ein Apothekenspezifisches Zertifikat existiert, ist es wird es so nicht mit reingeschrieben in diese Kette, um das eben kurz zu halten, das hatten wir glaube ich auch schon mal diskutiert, damit das irgendwie alles in diesen QR-Code noch reinpasst, was natürlich nochmal ein anderes Problem ist.
Linus Neumann
Jo, dann haben wir noch einen Kommentar. Wir haben ja relativ ausführlich über diese NSO Pegasus-Geschichte gesprochen und da hat Andreas ein paar Anmerkungen, die sich primär darauf beziehen, dass ich äh die Zahlen genannt, aber nicht, alle vollständig ins richtige Verhältnis gesetzt habe. Deswegen äh vielen Dank für diese wichtige äh Ergänzung. Also Andreas, ein paar Anmerkungen zum NSO Projekt. Amnesty International, zu insgesamt siebenundsechzig Nummern konkret untersucht, ob ein Hack mit Pegasus vorlag oder versucht wurde Und auf siebenunddreißig Geräten eine erfolgreiche oder versuchte Pegasus Infektion nachgewiesen. Ich hatte nur die Zahl siebenunddreißig genannt und nicht, dass die eben aus der Gesamtmenge siebenundsechzig Untersuchungen kamen Also nicht siebenunddreißig von siebenunddreißig, sondern siebenunddreißig von siebenundsechzig. Bei den übrigen dreißig gab es kein schlüssiges Ergebnis, zum Teil, weil die Geräte nicht mehr verfügbar waren. Außerdem wird die Präsenz einer Nummer unter den fünfzigtausend von den Journalisten als Indication of Intend interpretiert. Gegenüber People of interest Auch die Journalisten selbst gehen nicht davon aus, dass tatsächlich alle fünfzigtausend überwacht wurden oder das auch nur versucht wurde, wie Linus sagt. Wenn ich das gesagt habe, ja, also falsch, sorry. Quelle, hat dann Guardian dazu. Das Ganze ist natürlich trotzdem ein Skandal, aber es könnte auch juristisch relevant sein, derartige Feinheiten korrekt darzustellen. Ist das eine Drohung? Ist das eine Drohung? Hat er mir gedroht? Nein, danke, danke Andreas, nein, wichtig, ähm. Wichtiger Hinweis fünfzigtausend Zielpersonen ist 'ne 'ne echt wär wirklich enorm und ja die, erfolgreiche äh äh also die die Analysen äh beides Wichtige Ergänzung. Danke dafür. Das war das Feedback soweit. Also es gibt noch sehr viel mehr, könnt ihr gerne äh lesen, ist auch empfohlen immer zu lesen.
Tim Pritlove
Ich habe noch eine kleine Anmerkung, die vielleicht kein unmittelbares Feedback ist, aber noch eine kleine Korrektur. Wir hatten uns recht skeptisch geäußert bezüglich der verfügbaren Kinotermine des Films. Alles ist eins, außer der Neue, wart ihr dann schon wieder abgeschreckt. Ich habe dann selber mal geschaut, allerdings nur für Berlin und war dann überrascht, dass dann doch einige Kinos den Film, zumindest in dieser Woche, äh, noch gefahren haben, also ihr solltet durchaus mal schauen, wie's bei euch aussieht, mindestens in größeren Städten, denke ich, ist die Chance noch recht gut. Und ja, mal gucken, wenn ihr da alle hingeht, dann läuft er vielleicht auch noch ein bisschen länger.
Linus Neumann
In Lübeck läuft der Film im Filmhaus Köngistraße. Am Samstag äh fünfter achter, heute Abend fünfzehn Uhr. Also wenn ihr euch beeilt müsst ihr jetzt los, dann schafft ihr's vielleicht noch. Hat uns auch jemand äh als Kommentar. Vielleicht ist es auch die Königsstraße. Ich weiß es nicht. Ähm findet ihr schon.
Tim Pritlove
Ja, wir werden jetzt hier nicht alle Termine äh recherchieren, das könnt ihr selber machen. Ihr habt ja Internet, hoffentlich. Internet. Gut, dann kommen wir zu dem ersten richtigen Thema. Äh hast du kontrollierst du eigentlich deine Chats? Linus?
Linus Neumann
Meine Chats sind außer Kontrolle.
Tim Pritlove
Außer Kontrolle ist alles außer Kontrolle. Den Zustand kenne ich irgendwie. Ja. Siehste mal, genau. Und die EU möchte gerne helfen. Möchte dir gerne helfen, dass deine Chats außer Kontrolle sind und möchte sie ganz gerne in die Kontrolle mit reinnehmen. Unter ihre Kontrolle, weil das halt einfach äh findet die EU einfach ganz äh geil. Ja, was ist passiert? Während ihr alle noch im Sommer wart und wir auch, hat die EU mal wieder was beschlossen, das Parlament, hat sich da zusammengerauft und hat am sechsten Juli. Eine neue EU-Verordnung verabschiedet und ihr erinnert euch, für Ordnung, das ist das, was sofort für alle gleichzeitig äh gilt, im Gegensatz zur Richtlinie, die dann immer mehr äh Teilkatastrophen nach sich ziehen, Dazu kommen wir auch gleich noch. Ähm, und ja, hat äh eine EU-Verordnung eben zur Chatkontrolle angenommen. Diese erlaubt es, E-Mail und Messaging Anbietern ähm ja, private Nachrichten, unterschiedlich und vor allem in Echtzeit nach äh verdächtigen Inhalten zu durchsuchen. Wohlgemerkt die Betonung ist auf erlaubt ist diesen Anbietern das zu tun. Was heißt jetzt noch nicht, dass sie das dann gleich tun, aber sie könnten es halt tun? Also es ist ihnen dann quasi hier nicht mehr verboten. Da wundert man sich doch, irgendwie hatten wir nicht gerade irgendwie so eine äh Verordnung, in der das irgendwie genau verhindert werden soll, Ja, aber diese neue Verordnung zur Z-Kontrolle wiederum ist eine Ausnahmeverordnung in Bezug auf die ähm Verordnung. Das heißt, die wird hier entsprechend eingeschränkt. Von den deutschen Abgeordneten stimmten die CDU und die CSU weitgehend geschlossen dafür, wenn ich das äh richtig sehe, ja Genau, ist so, alles grün. Bei der SPD äh wurde mehrheitlich dafür gestimmt. Ähm. Mit der Ausnahme von äh vier aufrechten äh Kämpfern, die sich trauen da, gegen die Fraktionsmeinungen zu äh stimmen, der Rest interessanterweise einschließlich der AfD, wohl was zu verbergen, ne? Äh die wandern dagegen. Na ja, auf jeden Fall große Mehrheit im Parlament, fünfhundertsiebenunddreißig, dafür hundertdreiunddreißig. Dagegen vierundzwanzig haben sich enthalten, Na ja, was heißt denn das jetzt? Das bedeutet, dass es jetzt ein Rechtsmittel gibt, um Chatverläufe äh automatisiert, also. Da ist natürlich von, Künstlicher Intelligenz die Rede. Ich sage mal mit Machine Learning ähm zu durchkämmen. Sprich, da Algorithmen gegen zu fahren, die in irgendeiner Form verdächtiges finden soll. Wir wissen alle, was das bedeutet. Das bedeutet, dass es alles so ein bisschen so ein reinhorchen in so einen Datensalat und man guckt halt, ob man irgendwas findet, was man vorher schon mal gefunden hat, Algorithmen natürlich auch nur so gut sind, wie sie vorher trainiert werden und trainiert werden, können sie halt nur mit Dingen, die eben vorher schon klar und bestätigt sind. Und äh ob das dann immer auf Neues auch passt, das ist äh die eine Frage, die andere Frage ist Wie genau ist dieses Matching? Und die Erfahrung zeigt, nur wirklich extrem gut trainierte Sachen, wo man sehr klare Aussagen auch dazu machen kann, also wo quasi auch die Vorlage, das Trainingsmaterial zweifelsfrei irgendetwas identifiziert. Überhaupt zu überzeugenden Ergebnissen führen. Ja, das bedeutet, man möchte ganz gerne hier nach Kindesmissbrauch äh Fotos, Fahnen und äh oder Anbahnungs, irgendwie herausfinden, sprich da soll schon eine relativ elaborierte Interpretation von Kommunikationsverläufen stattfinden, das Ganze natürlich anlasslos. Und das äh hat natürlich dann den entsprechenden Widerstand auch erzeugt bei Leuten, denen das wichtig ist und die sich da auskennen. Patrick Breyer von den Priaraten. Wir hatten ihn ja hier auch schon mal in der Sendung, hat sich hier auch.
Linus Neumann
Zu dem Thema, ja?
Tim Pritlove
Auch unter auch unter anderem auch zu diesem Thema genau ist er nach wie vor sehr engagiert, es gibt eine eine. Ein Dokument einer ehemaligen Richterin des EUGH, Nienon Colne Ritch, die äh der Meinung ist, dass wir halt alles grundrechtswidrig, und Patrick Breyer will halt jetzt dagegen klagen, er sucht ähm nach Leuten, die ihn da unterstützen, äh unter anderem auch nach ähm potentiellen Missbrauchs Opfern, die also quasi in zweierlei Hinsicht hier betroffen sind, aber die selber befürchten, dass ihnen durch diese Verordnung ihre sicheren Kommunikationswege genommen werden. Das wäre jetzt alles schon schlimm genug, aber das eigentliche Problem ist, dass die EU-Kommission bereits schon an einer Verschärfung dieser Verordnung arbeitet. Denn ich hatte ja anfangs betont, dass sie sich hierbei um die Erlaubnis handelt, dass Anbieter diesen Vorgang überhaupt durchführen, Das heißt ja nicht, dass sie dann auch automatisch damit beginnen. Also, was sagt die Logik der Überwachung? Die Logik der Überwachung sagt, da brauchen wir jetzt aber auch noch eine Verordnung, die dann eben auch die Leute dazu zwingen kann, das zu tun, wenn wir das gerne hätten, Und genau das sollte eigentlich jetzt schon im Juli nachgereicht werden, ist aber aufgrund erster Proteste bereits auf den September verschoben worden. Dann will also die EU-Kommission einen entsprechenden Plan ähm ankündigen, wie denn hier ein Zwang zur Nachrichtendurchleuchtung implementiert werden soll. Ja und das bedeutet halt unterm Strich, dass hier gerade bei Messaging Diensten, also bei E-Mail ist eher nicht viel zu holen, aber bei Messagingdiensten im Prinzip Druck ausgeübt werden kann auf Anbieter, also in dem Befall dann halt auch, Hersteller von Telefon und Betriebssystemen, sprich Google, Apple et cetera, aber auch kleineren äh Messaging Dienst dann Dienstanbietern oder eben auch, Größeren vor allem, WhatsApp, et cetera, äh diese ento-ent in Kryption mit entsprechenden Backdoors zu versehen, denn ansonsten ist ja so ein Mitlesen überhaupt nicht möglich. Ja, also das Hauptproblem ist hier ganz klar, die Gewährung von Zugriff öffnet das Ganze dem Missbrauch der äh Überwachung äh und ja. Das äh könnte bedeuten, dass halt mittelfristig dadurch die gute Krypto, die wir da teilweise noch sehen, einfach nicht mehr, Betreibbar wäre in Europa, zumindest in der EU.
Linus Neumann
Also die dies, also die also du kannst schon weiter verschlüsseln, dass dieser Scan soll ja soll ja auf deinem Endgerät stattfinden, aber der ist dann Teil dieser App, ja, das heißt die die was weiß ich, dein Messenger gibt sich zwar Mühe, die Nachrichtenende zu Ende zu verschlüsseln Prüft ihr aber nach Abituren äh Kriterien, die von einer. Dritten Instanz vorgegeben werden und leitet potentiell die Inhalte aus, ja? Was schon wirklich ähm absoluter Irrsinn ist, vor allem bei der Menge an, also bei einer solchen bei der Menge an Nachrichten, die gesendet werden. Ähm jede noch so kleine ähm. Jede noch so kleine Wahrscheinlichkeit eines Falls positives sofort irgendwo in den sechs, siebenstelligen Bereich, ne? Weil einfach so Unmengen an Nachrichten und so weiter äh durch die Gegend gesendet werden. Und das ist schon wirklich eine ziemlich üble Sache, zumal wir ja. Auch das das lässt sich ja nun wirklich nachzeichnen, neue Überwachungsmethoden immer mit Terrorismus. Und äh Kinder, Kindesmissbrauch begründet werden ähm, bis sie dann irgendwann für Alltagskriminalität zur Verfügung stehen, ne? Und ähm wenn wir jetzt an unsere Telegramm-Folge denken, äh ne, so ein so ein Algorithmus, der Kindesmissbrauch erkennen soll, der kann sicherlich auch ähm andere Dinge erkennen, von denen man sich vielleicht äh Fotos sendet, ne.
Tim Pritlove
Vor allem bedeutet, ich meine, man muss sich immer wieder klarmachen, was was das bedeutet. Machine Learning ist so ein diffuser Suchalgorithmus der gar nicht so klar benannt werden kann. Als wir diese ganze Skandal um äh die BKA, äh NSA, die ganzen Abhör ähm Skandale, die durch die Snoaden ausgelöst wurden. Da haben wir immer noch von den, äh was war noch gleich der Begriff der ähm Suchbegriffe, was war da noch der der, der, der Name dafür, für die äh für den Anlass der Ausleitung, die die Suchbegriffe selber.
Linus Neumann
Selektor.
Tim Pritlove
Genau, die Selektoren, ja? Die konnte man dann quasi benennen, da kann man so eine Liste ausdrucken und sagen, so, das, das, das, das, das. So funktioniert das beim Machine Learning nicht mehr. Maschine Learning ist irgend so ein Brei, der sich irgendwie aus äh Millionen von Integration von so Lernvorgängen irgendwie ergibt, woraufhin dann so ein Algorithmus die sozusagen den zu untersuchenden Text oder die Bilder bekommt und dann sagt dieser Bit-Prei halt irgendwie so ja oder nein. Aber du kannst in diesem Bitbrian nicht ansehen, wo nachher eigentlich wirklich selektiert. Das ist natürlich auch ein Problem für die Kontrolle, ja. Also wer beschließt jetzt da, wonach gesucht wird, wer kann diesen Bit Brei eigentlich wirklich äh korrigieren äh und und kontrollieren und und und verifizieren oder nachweisen, dass irgendetwas da nicht gesucht wird. Und das ist natürlich schon ein wirklich ähm sehr leistungsfähiges Überwachungssystem, weil man im Prinzip nach allem suchen kann. Da es ja hier auch um die Kommunikation, also auch um das hin und her, Anbahnung und so weiter geht, ja, ist es ja gar nicht mal nur das einzelne Untersuchung von einzelnen Nachrichten.
Linus Neumann
Sondern auch die Inhalte, ja.
Tim Pritlove
Sondern Inhalt oder auch auch im Kontext des Hin und Hers. Und dann kannst du halt alles entdecken.
Linus Neumann
Und ne, was was also eine Sache, die immer. Was, was die sagen wir mal, die Laien äh des Themenbereichs immer nicht verstehen ist, wenn das Ding deine, Textnachrichten untersuchen soll, auf, was weiß ich, Anbahnungsversuche oder deine Fotos auf äh illegale Inhalte, dann muss das jedes einzelne Foto und jede einzelne Nachricht, anschauen, ja? Es ist nicht so, dass man sagt, ja, äh wir wir wir schauen uns ja nur die bösen Sachen an. Nein, der prüft jede einzelne Nachricht. Und wird äh, technisch eben jeden eingehenden Inhalt gegen diese gegen dieses Ding äh scannen und viel Spaß, bei euren zukünftigen Anbahnungsversuchen im im Erwachsenenumfeld, das Ding dann auf einmal meint, ey Moment mal, hier findet doch ein Anbahnungsversuch mit einer äh Minderjährigen statt. Ja, das kann also da da hat man ja dann auch diese, also neben diesem Überwachungs-Albtraum, der eigentlich allen klar sein sollte und den einige hier offenbar für positiv halten, muss man ja noch dazu sagen, dass es eine. Geradezu groteske, Überschätzung der Leistungsfähigkeit von Technik ist, davon auszugehen, dass das irgendwie überhaupt funktionieren könnte. Ja, ähm weil also diese ähm. Also die sogenannte Artificial Intelligence wird ja. Grandios überschätzt in einigen Bereichen, teilweise aber auch grandios unterschätzt, weil die Menschen nicht also sagen wir mal, nicht unbedingt die informatische Komponente des Problems. Oder die stoch hastischen Komponenten des Problems tatsächlich erfasst haben, was sich mit Sicherheit erkennen lässt unter welchen unter durch aus welchem, Aus welcher Informationsmenge und was nicht. Und ich halte es für äh tatsächlich selbst wenn man das bauen würde und machen würde und so, halte ich das für eine äh für eine Detektion, die sich nicht inakzeptablem. Maß überhaupt realisieren lässt.
Tim Pritlove
Schön formuliert. Ihr habt keine Ahnung.
Linus Neumann
Der äh was sich also das ist, glaube ich, äh muss ich wirklich sagen, eines der. Unterschätztesten und am wenigsten berichteten Probleme in der Netzpolitik jetzt gerade. Ja obwohl, und das muss man wirklich dann auch mal hoch anrechnen, Patrick Breyer hängt ja an dem Thema dran, aber er ist irgendwie im deutschsprachigen Bereich der einzige, steht da allein auf weiter Flur, kriegt noch nicht mal irgendwie seine seine Greens damit an Bord, so 'n diesen Mist äh abzulehnen, das ist schon wirklich äh, ja, krass. Hat er seine schwedischen und äh tschechischen Kolleginnen dabei, aber äh ja, das sind ja die vier da, ne. Das ist wirklich äh. Sehr äh ärgerlich.
Tim Pritlove
Ist so. Also falls ihr in irgendeiner Form. Hier mithelfen äh könnt, also gegebenenfalls äh in Frage kommt, die Klage zu unterstützen oder sonst in irgendeiner Form auf dieses Thema aufmerksam machen könnt, dann macht das doch bitte. Äh wir haben Links zu zwei, -Einträgen von Patrick Preyer, wo er unter anderem auch ausführlich darstellt, wie man sich da noch mit einbringen kann.
Linus Neumann
Ähm also was kann was könnt ihr tun? Ja, darüber reden, andere informieren, hat irgendwie. Vorbereitet. Sharepics und so weiter. Äh die Hashtags Chat Control. Oder man kann mit seinen äh im Parlament reden, aber das ist natürlich jetzt auch schon relativ spät, Medienaufmerksamkeit haben wir hiermit versucht äh zu generieren äh und natürlich auch mit den Service-Providern reden, dass man denen sagt, ey ähm macht äh macht das bitte nicht. Äh ja wendet euch dagegen, schützt mich als euren als euer als euren Kunden. Ja.
Tim Pritlove
Meinte auch, dass also Umfragen relativ deutlich zeigen, dass eine klare Mehrheit gegen diese Pläne ist. Das Hauptproblem ist natürlich wie immer, keiner kriegt's mit.
Linus Neumann
Ja und diejenigen, die also natürlich mit dem Thema ähm. Dokumentierter Kindesmissbrauch hast du natürlich auch etwas, wo wo du seit jeher, im Prinzip, sage ich mal, dein, dein, dein Abgeordnete, Person sagt, hm, ich möchte eigentlich nicht, dass sich irgendjemand bei mir meldet und fragt, wieso ich für Kindesmissbrauch bin. Ja? Das hat ja schon, sehr gut funktioniert oder drohte sehr gut zu funktionieren als es um diese Stoppschilder ging ne? Wo dann eben auch gesagt wurde das kann ja wohl nicht. Wo also jede Kritik daran von Gutenberg übrigens auch und von der Leyen dann irgendwie. So erschickt wurde so, also der das könnten sie sich überhaupt nicht vorstellen hier, ne, dass da solche äh dass man jetzt hier als Proponent von äh Kindesmissbrauch auftritt und das äh würden sie sich doch wirklich verbieten, so ungefähr, ne? OK
Tim Pritlove
Ja und dann ähm ja ich weiß gar nicht, wie ich das einleiten soll. Das ist schon wieder. Also wir hatten ja schon mal davon berichtet.
Linus Neumann
Es es ist ja die die wenigen einige von euch werden's bemerkt haben. Das sind ungefähr anderthalb Monaten eine Bundestagswahl stattfinden soll und dass die Parteien, jetzt äh sich in den Wahlkampf begeben. Und äh diese Wahlkämpfe koordinieren. Die Parteien ähm ich glaube, das machen auch alle mit Hilfe von Apps, ja? Und da hat die CDU eben diese App CDU-Connect. In der sich die Wahlkämpferinnen der CDU quasi koordinieren. Da registrierst du dich drin, da hast du irgendwie ein bisschen Gamification, dann kannst du irgendwie eine Straße langgehen und die erfassen dann auch ähm, zwar nicht die Namen, aber so also Daten so, okay, da war ich, Person hat folgende Einstellung hinsichtlich der CDU und hier habe ich noch ein Kommentarfeld oder so ja? Und natürlich schreiben die sich dann gerne das Kommentarfeld einfach den Namen der Person rein äh der nämlich normalerweise nicht erfasst wird. Diese App hat sich im wenn ich mich nicht täusche Anfang Mai. Lilith Widmann angeschaut. Wir haben auch im Logbuch darüber berichtet. Es war die äh Sendung mit dem äh da war ein Hacker drin. Ähm denn sie hat äh festgestellt, dass diese App ähm. Quasi im Hintergrund auf APIs zugreift und dabei keine Authentisierung vornimmt oder keine keine Prüfung vornimmt, ob man berechtigt ist, diese Daten abzurufen. Ergebnis, die persönlichen Daten von achtzehntausendfünfhundert, Wahlkampfhelferin mit E-Mail-Adressen und Fotos, persönlichen Daten von eintausenddreihundertfünfzig Unterstützerinnen der CDU, inklusive Adresse, Geburtsdatum und Interessen waren frei verfügbar und Ebene halbe Million Datensätze über diese politischen Einstellungen und Notizen der kontaktierten Personen. Alles, alles frei im Internet verfügbar. So was hat sie gemacht? Sie hat die äh diese Schwachstellen gemeldet und zwar der äh Datenschutz, Verantworten der CDU, ja? Datenschutzbeauftragten sorry, das ist der Begriff dem BSI, und der Berliner Datenschutzbeauftragten. Das ganze Ding wurde äh gebaut von natürlich nicht von der CDU selber, sondern von allen Unternehmen PXN oder so heißen die. Ganz kurz gucken, nicht dass das jetzt das falsche Unternehmen, die Agentur PXN ist äh für diese App verantwortlich. Ähm. Genau, sie hatte das jetzt gemeldet, was passiert. Ähm innerhalb kürzester Zeit wurden diese Datenbanken äh abgeschaltet. CDU hat Besserung gelobt, hat wahrscheinlich dieser Agentur, die den Mist äh geschrieben hat, in den Arsch getreten und ich glaube, einige Zeit später war die App dann wieder verfügbar, hatten sie ihre, Schwachstellen äh gefixt. Jetzt muss man natürlich sagen, also das ist also eine das war keine Schwachstelle, sondern das war einfach ein, fundamental Fail. Ja, also überhaupt sozusagen, ach ja geil, wir machen da irgendwie eine API und da kann die App, die ballert dann darauf rum und das merkt schon keiner, dass wir das Wieso sollte irgendjemand anderes darauf zugreifen ohne die App, ja, oder wieso sollte wieso sollte das jemand machen? Das haben sie offenbar nicht dran gedacht und. Also ein bei dieser Menge Daten, ne, zwanzigtausend oder annähernd zwanzigtausend ähm. Personenbezogene Daten mit äh mit Adresse und dann noch eine halbe Million ähm irgendwie auf Straßenebene, wo viel dann auch reinkommentiert wurde, wer die Person ist, über politische Einstellungen, das ist schon ziemlich hart. So, und äh die Lilith Widman hat dann äh das der CDU gemeldet. Die haben dann, sind dann auch irgendwie ein Austausch mit ihr getreten, und sie berichtet aus diesem Austausch zwei Dinge. Erstens, sie hätten sie hätten ihr einen Beratervertrag angeboten, Ja, das ist nicht ähm. Das ist nicht unüblich, dass man eben sagt, okay krass, du hast offenbar Ahnung, du hast uns hier gerade kostenlos eine Schwachstelle gemeldet, wir bieten dir jetzt an, gegen Honorar für uns tätig zu werden. Ähm üblicherweise lehnt man das aber ab. Ja, es sei denn, man man ist jetzt wirklich in einer in einem großen, krassen Bereich und man weiß, okay, hier die brauchen wirklich jemanden und natürlich bietet sich das an, weil ich da jetzt als Forscher, Bekenntnisse drin habe. Übrigens kleiner Punkt am Rande, niemals nie, nie, nie, nie, sollte man als Forscherin selber das anbieten. Und sagen, übrigens, hier eine Schwachstelle, ihr könntet mich übrigens für den und den Tagessatz beschäftigen das geht schief, ja, das wird gerne mal äh missverstanden, als ein Erpressungsversuch Was man aber auch als Erpressungsversuch missverstehen kann, ist, dass die CDU in diesem Fall der Lilith gesagt hat, ähm ja hier. Beratervertrag angeboten und dann als sie quasi oder den hat sie nicht, Dieses äh Angebot hat sie nicht wahrgenommen, ja. Und haben dann gesagt, dass sie also rechtliche Schritte gegen sie einleiten würden. Was du, wo ich jetzt sagen würde, das ist etwas, was du sehr oft hörst ja? Aber wo eigentlich kaum jemand so unglaublich dumm ist, das auch tatsächlich zu machen, ja? Das ist äh so eine Mischung aus Frustration und Inkompetenz, ne? Man ey, das ist so eine schöne App und jetzt ist die, jetzt ist die, äh, nur weil da so ein Hacker drin war. Bin ich sauer, ich verklag die Sau, ja? Und dann schläfst du 'ne Nacht drüber und merkst, dass die die Person, die da grade eigentlich einen riesigen Gefallen getan hat, diese Schwachstelle zu melden und zwar kostenlos, damit du sie beseitigen kannst. Insofern hat wurde auch hier eben dieser Drohung keine. Besondere ähm. Keine besondere äh Bedeutung beigemessen, bis dann eine Nachricht bei ihr einging und zwar eine E-Mail von einem Herrn, der beim äh LKA. Sieben zwei vier. Tätig ist, sehr geehrte Frau Wittmann, auf hiesige Dienststelle, bearbeite ich als Hauptsachbearbeiter ein Ermittlungsverfahren unter der Vorgangsnummer XY. Der Inhalt dieses Verfahren betrifft die CDU-Connect-Applikation. Indem sie als Beschuldigte geführt werden. Ich benötige von ihnen eine ladungsfähige Anschrift und bitte sie mir diese schriftlich oder gerne auch telefonisch zu übermitteln. So, im Klartext heißt das, die CDU. Sicherheitsforscherin äh hat Strafantrag gegen die Sicherheitsforscherin gestellt, ähm die ihr eine Schwachstelle gemeldet hat.
Tim Pritlove
Das ist nicht der Klartext, der Klartext ist, diese Wichser. Das ist der Klartext.
Linus Neumann
Also das ist wirklich äh es ist wirklich unglaublich ähm also an an Dummheit nicht zu überbieten so etwas zu tun, ja? Ähm tja. Wir haben dann so ein bisschen überlegt, was ähm man da so macht. Also die Lilith ist auch im CCC aktiv, hat zum Beispiel hier zu dem äh elektronischen Personalausweis an der letzten Stellungnahme auch mitgearbeitet und ähm. Ich habe das dann irgendwie ja, erstmal so zur Kenntnis genommen, dann hatten wir einen kurzen Austausch, habe ich gesagt, hier übrigens eine Anwälte haben wir natürlich und. Kosten wirst du da auch nicht haben in diesem Bereich. Ähm das dafür sind wir ja nun mal der äh CCC. Tja und dann habe ich irgendwie gedacht, naja jetzt also will ich auch ganz ehrlich, meine, war eigentlich diese Sache nicht großartig jetzt schon an die Glocke zu hängen, weil das riecht ja nach etwas, was relativ langfristig gibt. Ja, ein Geschenk, das. Regelmäßig weitergibt und ähm vor allem wenn man dann als Beschuldigte kann man ja über einen Anwalt äh oder Anwältin Akteneinsicht verlangen und das kann ja sehr unterhaltsam werden, ja? Ähm ich bin eigentlich so ein bisschen, ich warte immer dadrauf, also ich mache also das Risiko eine Strafanzeige zu bekommen, wenn man eine Schwachstelle meldet, ist natürlich immer da. Aber es ist ähm enorm. Also es ist, man hat eben selten das Glück, jemanden zu finden, der so doof ist. Ja, irgendwo ist immer noch, selbst bei dem beknacktesten einer im Raum, der sagt, Leute. Ich habe eine, ich habe die Befürchtung, das ist keine gute Idee. Weil das hat ja noch nie jemand gemacht. Äh und vor allem nicht erfolgreich. Äh abgesehen von übrigens auch dramatischen Fällen, die ähm jetzt zum Beispiel bei dem StudiVZ-Hacker. Andere Geschichte. Also ich habe mich eigentlich immer auf so einen Fall gefreut und dachte irgendwie so okay, äh halten wir mal still. Dummerweise war das jetzt halt schon auf Twitter bekannt und äh alle meinten sich dazu melden zu müssen. Und dann habe ich mir gedacht, da müssen wir natürlich auch als CCC reagieren. Und dann haben wir als CCC eine Pressemitteilung veröffentlicht, äh veröffentlicht mit dem Titel CCC meldet keine Sicherheitslücken mehr an CDU. Der wäre den Fall erklärt haben und äh dann sagen, leider erweist sich die CDU als äußerst undankbar die ehrenamtliche Nachhilfe. Sie hat beim LKA-Strafantrag gegen die Aktivistin gestellt. Shooting the Messenger wird die dysfunktionale Strategie genannt, nicht das Problem zu lösen, sondern jene anzugreifen, die darauf hinweisen. Das macht die CDU nicht nur in diesem Fall sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemsfeldern. Insofern ist dies dieses destruktive Vorsehen Vorgehen nur konsequent, sagte, Linus Neumann, Sprecher des Kaufcomputerclubs. CTC wünscht CDU viel Glück bei zukünftigen Schwachstellen. Leider hat die CDU das implizite Ladies and Gentlemen Agreement der responsible einseitig aufgekündigt, um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen Bei Schwachstellen auf System der CDU zukünftig auf Meldung zu verzichten, kündigte Neumann an, der CCC bedauert ausdrücklich, dass damit das Risiko anonymer Veröffentlichung für die CDU und ihre freiwilligen Unterstützerinnen steigt. Die Verantwortung für zukünftige, derartige Veröffentlichung weisen wir vorsorglich von uns. Es hat nicht so lange gedauert, bis dann mein Telefon klingelte.
Tim Pritlove
Echt.
Linus Neumann
Das ging relativ schnell. Äh ich kann aber nicht sagen, mit wem ich da gesprochen habe und was die Inhalte waren. Aber äh ja, das äh ist natürlich, glaube ich, auch der CDU klar, was das potenziell bedeutet, wenn du anderthalb Monate vor der Bundestagswahl leider, den CCC angepisst hast, so äh vor allem in einer Zeit, in der das BSI gerade vor den Angriffen auf die Parteien warnt, ja, das ist ja das, was das BSI sagt halt grade, ne, hier Bundestagswahl, oh Gott, oh Gott, oh Gott, oh Gott. Und äh warnt halt irgendwie die Parteien, haben irgendwelche Handreichungen und so weiter. Äh Sorgen sich vor äh Hack and League, Operationen und so. Äh das ist natürlich jetzt also das hatte das hatte CDU dann schon verstanden. Ähm und es dauerte dann nicht mehr so lange, bis Stefan Hennewick, der CDU-Bundesgeschäftsführer ja doch hat noch ein bisschen gedauert um zwanzig vor drei hat er diesen Tweet folgenden Tweet dann folgenden, veröffentlicht. Vor einigen Wochen haben wir Anzeige im Zusammenhang mit der Sicherheitslücke der Connect App erstattet. Alfred Unsere Anzeige richtet sich nicht gegen das Verfahren von Lite Widmann Verfahren sind ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen. Ich halte diese Verfahren für einen wichtigen Baustein, um IT-Sicherheit zu erhöhen. Allerdings kam es im Zusammenhang mit der Sicherheitslücke unserer App angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte, sowie zu öffentlichen Hinweisen auf die Sicherheitslücke, vor der Information an uns, außerhalb des. Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun. Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen. Mit Lillit Widmann habe ich besprochen, dass ich die Klarstellung und Entschuldigung hier auf Twitter veröffentliche, Der interessante Tweet ist hier der der Dritte. Äh, Es kam im Zusammenhang mit der Sicherheitslücke unserer App angeblich auch zu einer Veröffentlichung Personen da bezogener Daten durch Dritte. Ähm. Jetzt ist die Frage angeblich. Gab es die oder nicht? Gab es, gibt es irgendwo einen Link mit den personenbezwungenen Daten? Hat jemand abgezogen und veröffentlicht? Ähm oder verhandelt oder im Darknet gepostet oder sonst was? Warum steht da angeblich. Wahrscheinlich äh ich kann mir das jetzt nur so erklären. Also dass angeblich wird ja nicht ohne Grund stehen. Und ähm. Wenn sie, wenn sie wirklich wüssten, dass diese Daten veröffentlicht wurden, dann müsste da stehen, es kam zu dieser Veröffentlichung. Ich vermute dir wahrscheinlich einfach irgendeinen Tweet gelesen, wo einer meint, die Daten sind schon längst im Darknet und haben gesagt, oh shit, Darknet, So, also und haben vermutet, also hier steht ja ganz klar, dass sie nicht, sie bestätigen nicht, dass diese Daten veröffentlicht wurden, mit anderen Worten, was weiß ich, wer angeblich ich wer hat das denn angegeben? Und dann. Zu öffentlichen Hinweisen auf die Sicherheitslücke vor der Information an uns. Außerhalb des also irgendjemand hätte öffentlich diese Schwachstelle. Bekannt gegeben, bevor sie davon erfahren haben. Das ist ja das, was da äh gesagt wird. Ehrlich gesagt, Also aus dem Teil kann ich mir keinen Reim machen, beziehungsweise ich kann mir einen draus machen, aber den darf ich nicht öffentlich machen. Ähm. Also wenn Sie Hinweise haben, dass diese Schwachstellen auch von anderen ausgenutzt wurden, dann äh. Bietet sich natürlich an eine Strafanzeige gegen Unbekannt zu stellen. Ja, das äh bleibt ihnen ja auch unbenommen und dann können sie eigentlich noch glücklicher sein, dass äh ausgerechnet die äh Lilith die Sache schnell gefunden hat und gemeldet hat, bevor vielleicht noch mehr Schaden entstanden ist. Aber spezifisch, ist ja hier gar kein Schaden entstanden und dann fragst du dich natürlich, wieso benennst du dann die Lilit Widmann als Beschuldigte? Du kannst ja niemand hindert dich daran, eine eine Strafanzeige gegen Unbekannt zu erstatten, aber ähm, äh als diejenige, die in die Schwachstelle gemeldet hat, als äh Beschuldigte zu führen, ist eben nicht besonders äh. Ja, das gilt gemeinhin als unfein. Wenn äh ja, doch, das ist unfein, Tim, das ist gehört sich nicht.
Tim Pritlove
Das, man so sagen. Ja, nee, das ist äh schlechter. Die haben's total vergeigt, also da da ist irgendwas intern völlig schiefgelaufen. Irgendjemand hat da freigedreht und äh keine Ahnung, äh war vielleicht auch etwas rachsüchtig unterwegs und die haben da irgendwie ihre Strukturen auf jeden Fall nicht im Griff. Und jetzt äh sehen, dass ja die Felle davonschwimmen.
Linus Neumann
Und jetzt kommt meine, also juristisch kann ich das nicht ganz genau beurteilen. Ich bin mir, ich glaube nicht, dass du, also wenn du also eine Anzeige heißt ja erstmal, du du bringst quasi. Dass äh ähm du du setzt die Staatsanwaltschaft oder die Polizei darüber in Kenntnis, dass eine Straftat, stattgefunden hat und stellst Strafantrag, ja? Ich glaube, wenn ich das richtig verstehe, kannst du nicht einfach sagen, achso, ja, hier, übrigens, nee, ich hab's mir anders überlegt, ich möchte doch nicht, dass die bestraft werden, vor allem weil ja potenziell die Geschädigten, wenn es jetzt hier zu einer Veröffentlichung dieser Daten gekommen wäre, äh gar nicht äh die CDU sind, sondern die Leute, deren Daten, die CDU da verarbeitet hat ja? Das heißt, es ist im Zweifelsfall nicht ohne weiteres, damit getan, dass jetzt hier der gute Herr Hennewick äh dem LKA sagt übrigens, ich möchte nicht, dass die äh beschuldigt wird, dass es jetzt, wenn die Ermittlungen stattfinden. Liegt das im im Ermessen dieses LKA, also ganz ohne weiteres können die das jetzt nicht, anhalten ist meine meine Wahrnehmung, insofern werden wir mal sehen, wie das äh wie das weitergeht. Man muss auch sagen ähm der. Markus Drenger hatte das, glaube ich, auch gesagt. Wenn du in diesem Bereich tätig bist. Bereich der IT, IT-Sicherheit vertrauen, also dann willst du keine Strafanzeige haben, ja? Du willst nicht irgendwo in den Akten vermerkt haben, dass es äh das gab, weil das potenziell, in bei bei Datenauskünften irgendwie im Führungszeugnis steht und so weiter, ne? Wenn also eingestellte Verfahren natürlich nicht, aber äh sagen wir mal ähm. Du möchtest dich jetzt, was weiß ich, du arbeitest, möchtest gerne im Büro einer Bundestagsabgeordneten arbeiten. Und diese Bundestagsabgeordnete setzt sich mit einem Geheimdienstskandal auseinander, haben wir ja jede Legislaturperiode mindestens einen, geht's eine Untersuchungsausschuss, brauchst du Zugang zu einem zu irgendwie äh geheimen Informationen, dafür brauchst du irgendwie eine Clearince, ja? Und wenn dann da irgendwie diese Geheimhaltungs äh ne Geheimschutz, was weiß ich, wo die dann irgendwie äh diese Untersuchungen machen, mit dir reden, gibt's ja die kleine und die große. Ne, und bei sowas, da gucken die natürlich in in die in die Datenbank und sagen, hm, hör mal, du hattest doch mal hier wegen wegen Hacking, Ärger, ne? Und da ist das durchaus 'n. Ist es nicht gut, ja? Wenn äh wenn wenn sowas in deinen Akten steht, das kann eben doch durchaus äh längerfristigen Schaden haben. Insofern ist es aber auch gut, dass wenn das der Fall ist, ja, dieser Fall eben auch öffentlich gut dokumentiert ist. So dass du hier dann eben zu deiner äh Ehrenrettung äh anbringen kannst. Das sind einfach nur ein paar beknackte äh Christdemokraten waren. Den du den du geholfen hast, kostenlos.
Tim Pritlove
Ja. Aber Hilfe, Hilfe gibt's jetzt trotzdem erstmal nicht mehr, oder? Ich meine, das muss das muss jetzt erstmal komplett geklärt werden, was Wasser, was da passiert ist.
Linus Neumann
Ich würde auch sagen, das warten wir jetzt mal ab. Ja, also da äh da das das warten wir jetzt mal ab. Was da jetzt so rauskommt, ne? Also die Kuh soll ja erstmal vom Eis, denke ich.
Tim Pritlove
Vom Eis, genau und irgendjemand muss über die Planke äh äh marschieren so, also wir erwarten jetzt einen Bauern.
Linus Neumann
Ich hätte, ich kenne einen guten Bauern, ich kenne einen guten Bauern.
Tim Pritlove
Ich kenne auch schon einige Bauern.
Linus Neumann
Laschet, das ist ein guter Bauer.
Tim Pritlove
Genau, Seehofer gleich mit.
Linus Neumann
Der hat auf jeden Fall die dicksten Kartoffeln. Der.
Tim Pritlove
Ich würde sagen, wenn die jetzt, wenn die zurücktreten, dann sind wir wieder, dann sind wir wieder clean.
Linus Neumann
Es gibt ja jetzt auch so eine Sache, dass dann jetzt irgendwie also äh äh sie hat sich jetzt, das hätte ich also hat dazu habe ich auch geraten, eben einen Anwalt genommen und der Anwalt will natürlich Geld haben. Und äh da denke ich jetzt zum Beispiel, da hat sie dann um Spenden gebeten, was ich ja äh äh. Unnötig finde, weil ja relativ klar ist, dass diese finanziellen Unannehmlichkeiten von der CDU beglichen werden, die ihr den Scheiß eingebrockt haben, da brauchen wir gar nicht drüber zu diskutieren, dass das die CDU zahlt. Oder oder ist das jetzt, steht das jetzt auf einmal zur Debatte? Da kann mir nicht vorstellen, Tim, dass das jetzt zur Debatte steht, dass sie jetzt ihre eigene Verteidigung bezahlen muss oder irgendjemand anderes die Verteidigung bezahlen muss, als die CDU. Das kann gar nicht sein, oder? Vorstellen, ne?
Tim Pritlove
Fehlt noch das passende äh die passende Pressemitteilung der CDU steht noch aus.
Linus Neumann
Ja, habe ich, also die habe ich auch noch nicht gefunden, aber ich kann mir echt nicht vorstellen, dass die Lilith das jetzt selber zahlen muss oder irgendjemand ihr Geld spenden muss, um das zu bezahlen, das äh kann ich mir hier wenig vorstellen.
Tim Pritlove
Vorstellen.
Linus Neumann
Ja, insofern schauen wir mal, wie wie sich das weiter entwickelt. Es war auf jeden Fall ähm. Ja, ich, also insgeheim hoffe ich ja immer darauf, wenn wir in der responsible Disclosure machen, dass dass es dann mal eine Anzeige, dass es mal zu einer Anzeige kommt. Und es ist auch, also es ist nicht selten, dass damit gedroht wird, ganz im Gegenteil. Dass äh ist auch einer der Gründe, warum, sehr häufig, ich mache für andere, also sehr häufig kommen Leute aus dem CCC oder auch nicht aus dem unbedingt aus dem Chaos, melden sich bei mir und sagen, hier pass mal auf, dieses und jenes gefunden. Ähm bin da nicht so erfahren im Austausch mit denen. Äh oder ne, in diesen Kommunikationen und äh vielleicht kannst du das einfach kurz für mich übernehmen, und dann melde ich mich bei den Leuten und sag so, ich bin der und der ich überbringe die Nachricht einer anderen Person und damit wäre halt quasi äh dadurch ist dann klar, dass sie, dass ich ihnen nicht die Gelegenheit gebe, überhaupt irgendjemanden anzuzeigen, weil ich von vorne herein sage, äh dass ich hier nur die Nachricht überbringe und nicht diese Forschung angestellt habe und zweitens wissen die meisten Leute im Bereich der IT-Sicherheit, wenn sie mit dem CCC haben auch mit wem sie da Kontakt haben. Das äh äh schwächt dann auch immer so den den Klagewillen. Oder die Leute googeln einfach mal, wie ist es Leuten ergangen? Die gegen den CCC geklagt haben. Eine Welt aus Schmerz, eine Welt auf Schmerz.
Tim Pritlove
Insofern Hashtag danke CDU.
Linus Neumann
Ja, okay, also ich mache mal weiter, ne? Wir haben ähm noch ein paar Sachen, eher, eher kleinere Meldungen, die Urheberrechtsreform ist, ist jetzt in Kraft getreten, Tim.
Tim Pritlove
So sieht es aus und äh das bedeutet vor allem, dass äh sie in Deutschland in Kraft getreten ist, weil die Urheberrechtsreform ist ja eine Richtlinie der EU. Und wie das immer so ist mit Richtlinien, die müssen ja dann erstmal umgesetzt werden. Im Gegensatz zu den Verordnungen, hatten wir ja vorhin schon, ne, die quasi sofort und vor allem überall gleich gelten, ist hier eine entsprechende Umsetzung erforderlich. Und nach die die CDU und Jahrtausend Sachen versprochen hat im Vorfeld, was da alles nicht kommt. Kommt das jetzt alles? Und zwar im Rahmen des Urheberrechte, äh Urheberrechtsdienste, Anbieter Gesetz Dank Und das gilt jetzt seit dem ersten achten. Das ist also quasi die deutsche Implementierung von diesem Artikel siebzehn der EU Urheberrechtslinie. Das bedeutet Plattformen müssen jetzt äh gegen eine sich gegen eine Haftung für Inhalte wappnen Ja? Und das bedeutet dann im Umkehrschluss, dass sie sich natürlich dann bei den Nutzern äh entsprechend absichern und von diesen Nutzern entsprechende Lizenzen zur Nutzung dieser Inhalte verlangen, dafür äh Tools bauen, und natürlich auch die Uploadfilter einführen, weil dann muss ja geklärt werden, wenn da was hochgeladen wird, dass es irgendwie nicht äh böse Urheberrechtsverletzung ist, Das ist ja das, was die CDU immer gesagt hat, was auf gar keinen Fall kommt. Und das kommt jetzt. Insofern auch hier wieder Hashtag danke CDU. Aber ist ja alles nicht so schlimm, sagt die CDU, weil es gibt ja noch Ausnahmen, um sozusagen hier die Mehmeme und die Kulturfreiheit und äh was weiß ich noch alles zu retten leider in entsprechend klar definierten Rahmen, äh die da heißen, du kannst, hochladen fünfzehn Sekunden je eines Filmwerks oder Laufbilds. Da heißt unter einer Tonspur. Hundertsechzig Zeichen eines Texts und richtig geil. Hundertfünfundzwanzig Kilo Bite je eines Fotos oder einer Grafik. Kilo bald. Also wenn man jetzt nicht grade irgendwie, zweitausend oder sonst irgendeinen modernen äh abgefahrenen AI-basierten Kompressionsfilter macht, dürfte bei hundertfünfundzwanzig Kilo bald von keinem, nennenswert viel äh übrig bleiben und ich meine, war überhaupt so. Also wer checkt denn jetzt hier irgendwie seine gepasteten Bilder da drauf, dass sie irgendwie genau unter hundertfünfundzwanzig Kilo Bike sind? Und ab hundertsechsundzwanzig Kilo bald kommst du an den Knast oder was? Also Hitlery Acts ist damit erstmal nicht mehr möglich, weil das einfach mal länger läuft als fünfzehn Sekunden und das gehört halt auch einfach dazu. So, ja? Und das bedeutet Hitler, Wird selber nicht auf die urheberrechtslinie äh angemessen reagieren können. Und das ist doch ein Skandal. Na ja Immerhin soll es äh Forschern und Forscherinnen möglich sein, äh die Auswirkungen und die konkrete Umsetzung zu messen, es sollen also entsprechende Schnittstellen bereitgestellt werden, die dann halt Statistiken oder was weiß ich, abwerfen, damit man das eben mal messen kann, wie viel das jetzt eigentlich benutzt wird und keine Ahnung, was dann letzten Endes sich dabei alles ablesen lässt, äh ob. Die Anzahl der positiven, negativen Meldungen et cetera. Äh da gemessen werden kann. Keine Ahnung, werden wir sehen. Allerdings äh gibt es ja aber auch noch eine Klage, die beim EUGH anhänglich ist und die kommt ja überraschenderweise aus Polen, Ja, also ist ja jetzt nicht gerade so das erste Land in Europa, was einem gerade mal so einfallen würde, wenn's darum geht, irgendwie rechtlich was abzuklären. Aber das ist sicherlich immer noch so eine Auswirkung der Akta äh Proteste einst, die ja äh in Polen so ein bisschen ihren Anfang genommen haben. Da war irgendwie am meisten Mobilisierung Und da war ja dann die polnische Regierung relativ schnell eingeschüchtert und offensichtlich gibt's davon noch so ähm ja, Restbeben. Auf jeden Fall ist diese Klage anhänglich. Es gab aber jetzt wohl gerade eine Meldung des Staatsanwalts, äh der wohl eine Ablehnung der Klage empfiehlt und äh ist ja immer generell so, man nimmt, das ist jetzt nicht immer so gewesen. Gerade in letzter Zeit gab's ein paar Ausnahmen, aber so grundsätzlich folgt das EUGH äh oft? Ich will jetzt nicht sagen in der Regel, aber meist äh der Empfehlung dieser Staatsanwälte Er schlägt allerdings vor, dass dieser Artikel siebzehn im Lichte der Grundrechte so interpretiert werden muss, schreibt Heise das nur eindeutig illegale Inhalte automatisch gesperrt werden dürfen, Diensteanbieter können ihm zufolge nicht verpflichtet werden, eine Wiederverwendung von Auszügen aus Werken in anderen Zusammenhängen präventiv zu filtern. Ja, das würde dann quasi so ein bisschen mehr Nebenfreiheit äh machen und Hitler hätte vielleicht wieder eine Chance. Äh so ganz nebenbei, dieses Leistungsschutzrecht, was ja auch damit äh eingepackt ist, gilt schon seit dem siebten Juni, Provider sind natürlich nicht so begeistert. Der Eco, Verband der Provider äh in Deutschland moniert, insbesondere den Flickenteppich, der jetzt hier wieder durch diese ungleichen Umsetzungen der EU äh, herausgekommen. Das war natürlich jedes Land diese Richtlinie etwas anders interpretiert, andere Grenzen hat, andere Dinge als geht schon oder passt doch nicht. Äh interpretiert, sodass so äh quasi von dieser EU Richtlinie, die ja eine Einheitlichung von Recht anstrebt immer, ja, eigentlich genau wieder so ein System hast, wo dann doch jeder Anbieter, je nach Laden, je nach EU-Land eine eigene Abstimmung dieser Rechtsinterpretation äh vornehmen muss, ne. Ja. Ja und die GF die geht ja auch noch gegen Uploadfilter vor.
Linus Neumann
Genau, da haben wir ja auch mit Julia äh hier schon drüber gesprochen, aber vielleicht fasst es trotzdem nochmal zusammen.
Tim Pritlove
Also die GF äh sagt, ähm damit wir Upload-Filter vor Gericht bringen können, brauchen wir deine Hilfe. Seit dem ersten August nehmen wir im Rahmen von Julia Reders Projekt Control C, mit dir lange drüber gesprochen, auch darüber, wie cool dieser Name ist. Hinweise über fälschliche Sperrung, legaler Inhalte wegen angeblicher Urheberrechtsverletzung unter folgender Adresse entgegen, Uploadfilter at Freiheitsrechte Punkt org. Sprich, wenn ihr konkret betroffen seid. Dann ähm wäre das eine Möglichkeit, die äh Betroffenheit dann durchzureichen. Was mich so ein bisschen zu der Frage bringt, Was ist eigentlich hier mit unseren hypererregten Youtubern, die sich irgendwie äh so, viel Werbe und Anti-CDU Protesten und viel Hashtag äh aufgebäumt haben. Da habe ich jetzt irgendwie nicht mehr so viel gehört.
Linus Neumann
Da ist irgendwie nicht mehr so viel gewesen, ne?
Tim Pritlove
Ich weiß nicht, ob nicht viel gewesen ist und ich das noch nicht mitbekommen habe oder ob dann wirklich nichts.
Linus Neumann
Glaube, die haben äh jetzt also ich, also ich ich würd's mal so interpretieren. Ich glaube, die haben ihre Frustration jetzt durchaus mitgenommen und das ist ja nicht so, als würde man aus dem äh YouTube-Bereich äh gar nichts mehr gegen ähm, also würde man im YouTube Bereich nicht mehr äh gegen die CDU vorgehen. Ähm aber so ja diese. Es fehlte wahrscheinlich dieser Community, der, der, der lange Atem oder die die lange Aufmerksamkeitsspannung so ein Thema so lange zu begleiten, ne. Aber ich ich denke auch tatsächlich, es wird ja oft auch so wahrgenommen, dass. Irgendwie halt klar ist, dass junge Menschen. Für die CDU ohnehin verloren sind und hoffentlich keiner von denen oder nur nur ganz wenige, überhaupt auf die Idee kommen mit dieser Partei interagieren zu wollen und das ist denke ich auch einer der langfristigen Schäden für die CDU, den Axel Voss und dieses gesamte. Weitere Verarbeitung dieses Themas oft in Deutschland äh angerichtet haben für diese Partei, Pech gehabt.
Tim Pritlove
Naja, also wir werden ab jetzt einfach beobachten müssen, was äh diese Gesetzesnovelle an konkreten Schäden so zutage bringt. Es wird auf jeden Fall für viel Verunsicherung sorgen und äh ja, wir sind gespannt, was sich da so tut.
Linus Neumann
Im Bereich des Kampfes gegen Urheberrechtsverletzungen gab es, Schon vor einiger Zeit, ja, das ist jetzt eine Meldung eigentlich aus äh aus dem Juni, äh die wir aber nicht behandelt haben, die ähm aber relativ katastrophal ist und hier immer so ein bisschen äh unten, die jetzt so unter in den Themen ist, die wir wenigstens nochmal erwähnen müssen, weil sie auch in Zukunft sicherlich noch eine äh Rolle spielen. Und zwar gibt es ein paar Unternehmen, die DNS anbieten. Äh also die betreiben DNS-Server, ja? Und zwar öffentliche. Die ähm die man sich eben einstellen kann, ja? Und einer davon ist äh Quad neun. Oder nein und die wurden äh also die betreiben einen DNS-Server, ne, kannst du kostenlos verwenden, wenn ich das richtig äh sehe äh mit hoher Privatsphäre und äh, ne, blocken, aber auch irgendwie also du hast den Vorteil, dass sie was weiß ich, gucken wo Schadsoftware ist und dann einfach das DNS abschalten und äh du kannst sie eben, was weiß ich, auf deinem Gerät oder am Router neun neun neun als IP-Adresse für den DNS einstellen und dann läuft's, ja? Ähm so, die wurden. Wir waren früher in den USA, sind vor kurzem irgendwie in die Schweiz umgezogen, aus Datenschutzgründen und die haben dann jetzt äh wurden verklagt von Sony und der Kanzlei rasch Und die haben eine einstweilige Verfügung gegen Quad9 erwirkt, in der ihnen verboten wird, ähm. Oder in der sie gezwungen werden, den Zugang zu einer Domain zu unterbinden. Und diese Domain ist ein Sharehoster, auf dem Alben von Sony offenbar zugänglich gemacht werden. Wie gesagt, ein DNS Serverbetreiber, ja? Nicht den Sharehoster selber oder so, sondern, und, und auch nicht nur, Sony Alben, sondern Quad neun soll quasi aus seiner aus seiner Datenbank der DNS-Einträge diesen Share-Hoster rausnehmen und seinen Nutzerinnen und Nutzern nicht mehr diese Domain auflösen. Androhung von zweihundertfünfzigtausend äh Euro äh Ordnungsgeld oder alternativ Ordnungshaft. Und das ist das äh Ergebnis, ja? Und jetzt ist natürlich die Frage, wie wie argumentierst du das denn rechtlich? Weil DNS-Sperren. In Deutschland wir ja eigentlich nicht haben, insbesondere nicht, wenn sie rechtlich angeordnet sind. Es gibt dann hier diese äh äh Clearingstelle Urheberrechte im Internet, wo die sich im Prinzip halt verschwören. Und sagen, wir machen das freiwillig, ja? Wo, was eigentlich etwas ist, wo wogegen man wiederum klagen müsste, aber ähm hier jetzt also eine einstweilige Verfügung gegen den Betreiber eines DNS-Servers Ähm und das ist äh heftig, ja und zwar werden sie als Störer betrachtet. Weil sie eben über diesen kostenfrei verfügbaren DNS-Server diese Domain den Zugriff auf diese. Ermöglichen und das Landgericht Hamburg, wo dieses Verfahren stattgefunden hat, es stellte eben fest, dass Quad9 nicht wie ein Internetservice Provider oder ein Domain-Registrat. Von den Haftungsprivilegien profitieren würde. Ja? Ähm sondern die sagen, du bist also du, du hast hier einen Server, der hilft den Leuten dabei, ne, also ich meine, der hat ja überhaupt nicht den Zweck dieser eine Domain aufzulösen, sondern er hat den Zweck aller aufzulösen, also auch die. Ja, aber sie müssen, wir sind jetzt zum Sperren verpflichtet. Auch gegen Cloud-Flair, die ähm also Cloudflair ist ja eigentlich bekannt als eben hoch Verfügbarkeits-Hosting eigentlich. Ähm die aber auch ein äh ein DNS-Server betreiben unter, ich glaube, eins, eins, eins, eins, war das. Ähm, Auch gegen die hatte rasch ein Urteil erwirkt, äh allerdings ging's da eher um den CDN-Kram und nicht um die äh um die DNS-Services. Ähm ich finde besonders besorgniserregend, dass Quad neun ja nur einer von vielen DNS äh Resäuvern ist. Und ähm die haben irgendwie einen Marktanteil von ein Prozent. Und jetzt ist natürlich die äh die Frage, was machen die jetzt mit den anderen? Jetzt auch kriegen wir jetzt von dem äh berüchtigten Landgericht Hamburg jetzt alle DNS-Serverbetreiber demnächst einstweilige Verfügungen. Das finde ich schon echt ziemlich krass.
Tim Pritlove
Hast du verstanden, warum jetzt eigentlich das Landgericht Hamburg äh in der Lage ist, da so eine.
Linus Neumann
Weil es das Landgericht ach so ähm interessante Frage. Also normalerweise gehst du vor das Landgericht Hamburg, weil da völlige, also weil da Richterinnen tätig sind, die erstens immer immer und grundsätzlich im Sinne dieser ähm Abmahnkanzleien. Entscheiden und außerdem mit den ähm aktuellen. Legislativen Entwicklungen nicht vertraut sind. Ja, ähm das ist tatsächlich so, ja. Äh hier Beate Hubrik, äh die Anwältin von Freifunk, ja, die ähm. Klagt da äh regelmäßig drüber, gibt auch andere Landgerichte, aber der Klassiker ist eben tatsächlich dieses äh in Hamburg, wo wir ja. Eigentlich diese ähm. Wie war das denn jetzt Moment? Die Störer, wir hatten doch diese Gesetzesänderung, die ursprünglich auch mal von digitale äh Gesellschaft ähm. Angestellt wurde, wo es nämlich die äh Haftungsprivierung des Paragraph acht TMG für Diensteanbieter. Die gilt natürlich auch eigentlich für Freifunkbetreiberinnen und das also da gab es eben Gesetzesänderungen, die. Insbesondere diesen Abmahnkram betreffen, ne? Also dass du dann irgendwie hier das sind ja auch bekannte Freifunkfälle, irgendwie so eine Neunzigjährige, die der sie irgendwann mal ein neues. Neues Telefongerät hingestellt haben, weil sie ihr Wildscheibentelefon abgeschnitten hatten und die dann ein offenes WLAN hatte, äh wo dann in ihrer äh in ihrer ähm Abwesenheit, irgendwelche Leute falsch herum über WLAN gemacht haben, von dem sie nicht wusste, dass sie das hat, ja? Und ihr trotzdem jetzt irgendwie äh vor Gericht steht. Na ja, aber das, also Landgericht Hamburg ist eines derer, der bekannten, wo du als. Eben als Anwaltskanzlei, die sich auf diesen Bereich spezialisiert hat, hingehst und warum die jetzt ausgerechnet dieses Schweizerunternehmen dort ähm. Anklang konnten, kann ich, kann ich jetzt nicht juristisch genau herleiten, ich kann nur sagen, dass sehr naheliegend ist, das dort zu tun.
Tim Pritlove
Ich bin mir sicher, zu dem Zeitpunkt, wo ihr das jetzt hört.
Linus Neumann
Dass ja.
Tim Pritlove
Einen Kommentar bei uns, äh der das äh ausführlich erläutert. Ja. Lass weiter äh machen. Wir hatten da noch einen Fall, den wir eigentlich letzte Woche schon berichten wollten.
Linus Neumann
Ja, das war, also ist eigentlich eher eine lustige Anekdote. Und zwar gibt es äh wir alle kennen ja, also Software, die Dateien auf Festplatten verschlüsselt und dann äh eine Zahlung fordert zur Bekanntgabe des, für die Entschlüsselung benötigten Schlüssels. Und da gibt es unterschiedliche Gruppierungen, die das machen, ne. Wir hatten hier über EMOTED gesprochen, wir hatten auch über gesprochen, hatte sich irgendwann, ich glaube zwanzig neunzehn oder so dann zur Ruhe gesetzt und ähm jetzt gibt es äh gerade eine Gruppe, die äh von sich reden macht, nämlich die Gruppe Revil und es gibt auch übrigens Spekulationen, dass Revil, eigentlich die Leute sind nur neu aufgezogen. Wie dem auch sei? Ähm was die was passiert ist, es gibt eine Software mit dem Namen, ähm oder von dem Unternehmen. Und diese Software hat ähm. Ist im Prinzip ein Managementsystem für managed Service-Provider. Was bedeutet das? Du holst dir im Prinzip, du sagst, was weiß, also Beispiel für einen Managed Service. Du hättest gerne ein Exchange-Server, Du möchtest ihn aber eigentlich nicht selber administrieren? Und dann gehst du zu so einem äh dann gehst du halt zu einem Provider zu einem MSP und sagst, okay, ich hätte gern hier so einen Exchange äh Server, ihr kümmert euch darum, dass der, Updates fährt und so weiter, ne? Der dass der da ist, wenn der kaputt geht äh müsst ihr Ersatz beschaffen und so weiter. Und ich kann, was weiß ich, Nutzerinnen anlegen und habe so diese ganz normalen äh Administratorenrechte. Und dafür bezahle ich euch dann eben einen einen monatlichen Beitrag für einen Exchange-Server. Im im Gegensatz zu ähm, Einen Server, auf den ich selber installiere, was ich möchte oder äh ich ich klicke einen Account auf eurem Mailserver, ne, also da dazwischen befindet sich eben diese äh managed Service Provider Geschichte. So und wenn du jetzt managed äh Serviceprovider bist, dann hast du natürlich und du bietest jetzt zum Beispiel äh Exchange an. Das ist jetzt nur so ein Beispiel, dann hast du wiederum das Problem, dass jetzt diese Flotte an Servern hast, die du ja irgendwie managen musst Und um da äh ein skalierendes Geschäftsmodell zu finden, hast du eben dann so eine Management-Software die letztendlich dir die. Die Möglichkeit gibt, diese ganzen Server gleichermaßen zu administrieren oder zu managen. Und diese Software. Eine Unified-IT Management-Software bietet, an. So und das ist dann natürlich auch wie alles heutzutage kannst du ja nicht mehr aushalten, irgendeine Web, Oberfläche, ja? Und in dieser Adminoberfläche hatten die eine Schwachstelle. Und die ermöglichte den administrativen Zugriff. Auf diese Server, die dieses Cassaya dann managed und zwar mehr oder weniger, ohne dass man das Passwort kennt. So, jetzt hatte Casteller wiederum, kannst du dir als Cloud-Lösung holen, oder als eigene oder so selber betreiben. So und jetzt hatten diese Revill Leute diese Schwachstelle in dem und haben einfach, mal so durchs Internet gescannt, wo überall Kassey auf Server sind, haben die übernommen und haben dann diese Server managen ja viele andere und haben dann einfach mal, diese Corsair-Server, die sie übernommen haben, auf die Manageservices, die die die ja dann verwalten, überall ihre draufgeschoben, und haben gesagt, voll geil. Ihr könnt jetzt, einzeln jeder einzelne Wiederherstellungsschlüssel pro Server kostet. Ähm ich glaube, weil irgendwas so fünfundvierzig oder fünfundfünfzigtausend US-Dollar, ja? Ähm, oder ähm wir haben auch hier unser, unser Familienpaket der KI, der für alle gilt, der kostet äh siebzig Millionen. Und ähm das äh wurde dann natürlich erstmal äh das ist natürlich weltweite Nachrichten geworden. Es das, Oberüble daran ist, diese Schwachstelle in der Adminoberfläche, die wahre denen die war denen bekannt. Ja? Die denen wurde quasi ähm mitgeteilt von, ich glaube ähm. Von von der holländischen Security Firma. Ich weiß nicht mehr genau, welcher das war. Äh.
Tim Pritlove
Wie lange vorher.
Linus Neumann
Ich weiß auch nicht mehr genau wie lange vorher, weil es war den auf jeden Fall bekannt und es war auch so, dass diese Leute sich darum gekümmert haben, die gerade zu äh zu ähm. Zu beseitigen, ja? So dass, dass, das ist es nicht. Aber ja, wahnsinnig schnell genug, vor allem, Bei den Servern, die eben nicht unter der Kontrolle von waren, sondern die eben diese MSPs nochmal selber irgendwo betrieben haben, Tja, äh ach so, hier ist die Timeline. Sie haben am ersten April mit der Forschung begonnen, einundzwanzig und sie haben, am sechsten April einundzwanzig informiert und am siebten Juli, also drei Monate später eine eingeschränkte Veröffentlichung mit. Oje, das war auch nicht nur eine Schwachstelle, sondern insgesamt sieben. Äh Local Inclusion. Also einmal so das komplette Buch. Und jetzt war aber der, der jetzt soweit so, so schade. Jetzt kommt aber der der eigentlich der spannende Teil. Also diese ganze Sache wird natürlich sofort weltweite News, weil wegen dieser hohen Forderung von siebzig Millionen Dollar. Stellte sich aber irgendwie raus, es, war wohl keiner bereit, diese siebzig Millionen Dollar zu zahlen. Deswegen haben die Revillle Leute dann gesagt, naja okay, äh wir sind ja keine Unmenschen, nehmen wir mal fünfzig Millionen. Ja? Er hat gesagt, wir wir würden also fünfzig würden uns reichen. So und dann. Meldete sich irgendwie Joe Biden in dieser Angelegenheit zu Wort und es kam wohl auch zu einem Gespräch zwischen beiden und Putin und ähm nichts Genaues weiß man nicht, plötzlich ist diese Revill Gang verschwunden. Also die Website, diese Darknetseiten, von denen zur Zahlung, gibt's nichts mehr, ja? Ähm die ganze Gang ist äh verschwunden. Das ist eigentlich sehr schlecht, weil ähm wenn du wenn du so etwas hast und die sich einfach, ne, zu zu diese Gang verschwindet, weil das sind ja potenziell die einzigen, die noch den Schlüssel für deine Entschlüsselung haben. Ja, deswegen eigentlich bist du ganz froh, wenn du noch Kontakt zu denen haben kannst. Wenn du jetzt wirklich diesen Schlüssel brauchst. Vergeht aber noch mal ein bisschen Zeit. Und plötzlich hat die, Generalschlüssel, also dieses Teil, was vorher mal siebzig Millionen gekostet kosten sollte, dann fünfzig und jetzt quasi eigentlich nicht mehr käuflich ist, weil's weil diese Revillgruppe sich halt äh offenbar, entschieden hat, die IT nicht mehr zu betreiben. Und sagt, nö, wir haben da nicht für bezahlt, aber wir können auch nicht genau sagen, wo wir den her haben.
Tim Pritlove
Also mit anderen Worten, das Ganze ist auf Staatsebene mal soeben gelöst worden.
Linus Neumann
Also es ist völlig unklar, was da äh los war, ja. Ähm. Ich habe keine Ahnung. Also ich ich kann wirklich nur, also es wird natürlich spekuliert, dass äh die US, die USA, in irgendeiner Form mit äh Russland da geredet haben und gesagt haben, folgendes, ähm. Das finden wir nicht gut, was ihr da gemacht habt so. Äh. Am Ende waren eintausend Firmen betroffen, laut Kasseler. Dafür, dass eintausend Firmen betroffen sein sollten. Hat man aber am Ende doch nur relativ wenig von nur relativ wenig Schaden gehört. Das einzige, was irgendwie öffentlich bekannt wurde, war das so ein schwedisch äh, nee, doch schwedischer Supermarkt, hatten konnte keine. Konnte keine Kartenzahlung mehr annehmen, weil offenbar die Server von dem Payment-Back-End betroffen waren, aber sonst hast du eigentlich kaum was gehört. Und, Insofern fände ich's jetzt auch überraschend, wenn jetzt ausgerechnet. In einem solchen Fall, wo jetzt nicht so katastrophale Sachen sind. Ich meine, es ist nicht lange her, dass diese Pipeline da Cologne Pipeline fünf Millionen gezahlt hat, ne. Ähm und hier sind jetzt. Keine äh kritischen Infrastrukturen der USA. Betroffen gewesen, zumindest nicht nach öffentlicher äh Informationslage. Insofern ist das sehr also es deutet daraufhin, Ja, diese äh dass, dass, dass es da irgendeine Form von diplomatischer und äh von Regierungsseite eine Einmischung gab, aber so richtig passt das alles nicht zueinander, weil Russland kann es ja eigentlich völlig egal sein. Also die einzige Erklärung wäre, es gab total viele Ziele in Russland, Ja, wenn wenn das der Fall gewesen wäre, würden wir das alles totalen Sinn machen, das habe ich aber nicht gelesen, weil wir wissen ja, ähm die russische Cyberpolitik ist ja so ungefähr. Liebe Hacker, da draußen ist das Internet, hackt was ihr wollt, außer es befindet sich in Russland. Weshalb er übrigens waren auch diejenigen, die ich hier in meinem Vortrag ähm hier in der Hecken behandelt habe. Wo ähm sie. Uns angeboten haben, als wir so eine Demo äh VM mal verschlüsselt haben, absichtlich, wo sie uns angeboten haben, die kostenlos wieder herzustellen, wenn wir beweisen, dass wir Bürger der russischen Föderation sind, ne? Weil und die hatten auch, in ihrer ähm in ihrer Software. Quasi ein Check drin, ob das äh ob du das Keyboard eingestellt hast und haben dann gar nicht erst verschlüsselt. Also die hatten technische Schutzmaßnahmen dagegen, russische, Systeme zu infizieren, weil sie wussten, sage ich mal die eine ist, in der sie Ärger bekommen können. Ja, Russland liefert ja jetzt nicht irgendeinen Hacker aus, nur weil weil die USA das haben wollen, ja? Russland und USA haben ja gar keine, ähm wer kein Auslieferungsabkommen.
Tim Pritlove
Also liebe Leute und Unternehmen vor allem, wenn ihr euch äh irgendeinem Service Provider mit eurer Security, in eurer Systeminfrastruktur anvertraut, dann lieber zweimal hinschauen ja? Im Zweifelsfall vielleicht doch selber betreiben, aber vor allem so oder so eine ordentliche Backup-Strategie haben oder Tastatur.
Linus Neumann
Tastatur trägt weit, ja? Oder zumindest eine ein Freund oder so, der notfalls mal einen russischen Pass außer äh aus der Schublade holen kann, das hilft, das hilft. Ähm.
Tim Pritlove
Das ist so ein Wagzin, hilft aber auch nur zu fünfundsiebzig Prozent, also die Effektivität ist nicht nicht bei hundert Prozent nicht beklagen, äh wenn's dann doch nicht funktioniert hat, bitte.
Linus Neumann
Meinen Vortrag zu dem Thema lege ich nochmal hier in die Shownotes, der wird gemeinhin. Ganz positiv äh aufgenommen. Ähm man muss aber noch eins dazu sagen, das haben wir jetzt auch, glaube ich, schon öfter mal behandelt, aber also. Jahrelang funktionierte sehr gut, weil Leute keine Backups hatten. Es hat sich dann jetzt doch in den letzten fünf Jahren wohl doch durch rumgesprochen, dass Backups eine gute Idee sind, weshalb diese Gangs immer mehr dazu übergehen, auch mit der Veröffentlichung von Daten zu drohen. Ähm was spielt theoretisch ein riesiger Unterschied ist, weil wenn jetzt quasi kannst du meine Dateien entschlüsseln, ist äh ist eine Dienstleistung, die sie auch demonstrativ. Sie können einmal demonstrieren, dass sie diese dass sie diese Fähigkeit haben indem sie dir eine Datei entschlüsseln. Das hat ja zum Beispiel auch immer angeboten, gesagt. So hier übrigens eine der Teil entschlüsseln wir dir kostenlos und das diente einfach nur dem Herstellen eines Vertrauensverhältnisses, dass sie in der Lage sind, die Dateien zu entschlüsseln, weil ja immer wieder ähm irgendwelche Strafverfolger oder so, die die die Verleumdungen in die Welt setzen. Nee, nee, nee, geben sie denen bloß kein Geld, die stellen in die Datei nicht wieder her. Was bis auf wenige, unbeabsichtigte Fälle einfach nicht wahr ist, ja? Ähm, von der Ausnahme wie äh Nordpetja oder abgesehen, die dafür auf ausgelegt waren, Dinge kaputtzumachen Ähm aber das ist eine andere Geschichte. Also üblicherweise sind das ehrbare Kaufleute und selbstverständlich stellen die Dateien wieder her. Ähm selbstverständlich veröffentlichen die aber auch Dateien wenn du nicht zahlst und das ist natürlich jetzt sehr unschön, weil ähm wenn die mit der Veröffentlichung von Dateien drohen, und du zahlst. Ne, dann können die sich das jeden Tag überlegen, dass diese ähm. Diese Transaktion gar nicht abgeschlossen ist, sondern dass du ja nur für die letzten drei Monate gezahlt hast, die sie gebraucht haben, um dein Geld auf den Kopf zu hauen, Jetzt ist die Kasse leer und sie brauchen wieder Geld. Scheiße, genau, muss man mal bezahlen. Ja, so rein spielt theoretisch eben ein großer Unterschied, ob du, erpresst wirst oder ein Lösegeld zahlst. Mir ist aber auch noch kein äh Fall bekannt, in dem es eine Nachforderung gegeben hätte auch wenn die Angreifer ja durchaus in der Lage wären, eine solche Nachforderung geltend zu machen. Das liegt wahrscheinlich daran, dass das Geschäft gerade äh immer noch im Wachstum begriffen ist und sie genug Neukunden haben, äh um nicht jetzt die alten Kunden nochmal ähm ja an äh After-Sales.
Tim Pritlove
Ja, es muss ja auch klar kommuniziert werden, dass das eben auch was bewirkt, dass äh wenn die Leute zahlen, sonst zahlen die ja nicht mehr.
Linus Neumann
Sonst zahlen die nicht, ne. So, dann diesen Fall, den gibt es außerdem äh in in Anhalt Bitterfeld. Einer Kommune, die auch vor paar Wochen im Juli, ähm gehackt wurde. Anfang Juli war das, glaube ich, der Landkreis Anhalt Bitterfeld. Und da ist die komplette Kreisverwaltung, den eben hochgenommen worden. Ich gehe davon aus, dass das eine irgendeine Windows-Umgebung ist mit einem und dann wurde das halt äh platt gemacht. Da ist natürlich sehr also die haben da, das war halt es einfach mal alles, was die haben, was da getroffen waren. Und die haben sogar. Landrat hat da den Katastrophenfall ausgerufen, hauptsächlich um ähm ja spontan, ähm finanziell äh agieren zu können in großen Summen, die eben notwendig sind, um diesen diesem Schadensfall begegnen zu können, ja.
Tim Pritlove
Aha. Hatte ich aber jetzt nichts in meiner Nina App. Nee.
Linus Neumann
Hattest du nicht musst du mal Notifications fahren, halt Bitterfeld. Das Problem ist, die Infrastruktur um die Warnung auszulösen, haben die auch nicht mehr, weil. Nee, tatsächlich. Hier gibt's diesen schönen Begriff finanzielle Belange von Bürgern, zum Beispiel die Auszahlung der Sozialhilfe, die sind komplett ähm.
Tim Pritlove
Runtergefahren.
Linus Neumann
Äh die haben da auf jeden Fall gerade äh gut zu tun. Und da stellt sich natürlich eine. Ja, wie soll man das sagen, eine eine Frage, das ist, also es ist nicht überraschend, wenn jetzt irgendwie so eine kleine Kommune da, von der man vorher nie gehört hat, äh da wird man sich ungefähr vorstellen, welches IT-Budget die haben und ähm. Wie viel, ne, wie attraktiv die auf im auf dem internationalen Arbeitsmarkt sind, um dort hochkompetente äh Personen zu bekommen, die ähm. Mit üppigen Gehältern ausgestattet sich zum Lebensinhalt machen, eine geile IT für diese für diesen Landkreis zu machen. Und äh, So, ne? Natürlich Landkreise haben in der Regel nicht viel Geld. Die müssen dann an vielen Stellen sparen. Und dann ist das äh eben auch gerne mal passiert. Frage ist, wie wie sollen Landkreise damit umgehen? Ja, soll man sich jetzt irgendwie entscheiden, zum Beispiel gemeinsame IT zu unterhalten Klammer auf, gibt es bereits. Es gibt äh fast in jedem Bundesland, wenn ich mich nicht täusche, diese kommunalen Dienstleister, die dann irgendwie sagen, hier, wir. Wir spezialisieren uns auf das, was eben diese Kommunen brauchen und stellen das als Manageservice bereit.
Tim Pritlove
Da kann nichts passieren. Bleibt ein Problem.
Linus Neumann
Ja, also Cyber, Cyber bleibt äh Cyber bleibt. Okay, damit sind wir, glaube ich, durch.
Tim Pritlove
Äh ja, mit den Themen sind wir auf jeden Fall durch, genau. Ja, das war äh Ausgabe Nummer vier null zwei. Payment Require, nicht vergessen. Ja leichte äh Rückgänge über den Sommer könnt ihr jetzt äh ausgleichen durch euer Engagement. Sonst ähm. Funktioniert vielleicht auch irgendwas nicht mehr bei euch. Man weiß es ja nicht. Ja.
Linus Neumann
Wer weiß? Sonst, sonst müssen wir irgendwann, also ich habe da noch so einen ganz kleinen Audday im in äh. Im AAC Code. Äh nun ich bin da gerade mit den Revillleuten in Verhandlungen, wie viel, wie wir da ob wir da nicht irgendwie. Ne, so ein kleines Joint Venture machen, so ein so ein Ex.
Tim Pritlove
Okay. Mhm. Payment ist äh Manageservice. Nee Leute, vor uns habt ihr überhaupt nichts zu befürchten äh und äh nächste Woche sind wir auch wieder im Ohr bei euch, aber für heute ist erstmal Schluss. Bis dann, tschüss.
Linus Neumann
Tschau, tschau.

Shownotes

Prolog

Feedback

Cell Broadcast & MoWaS

Telematik

Impf-Revocation

NSO

Kino-Termine

Chatkontrolle

CDU zeigt Sicherheitsforscherin an

UHG-Reform tritt in Kraft

Sony vs. Quad9

Kaseya / REvil

Hack Anhalt-Bitterfeld

Epilog

30 Gedanken zu „LNP402 Katastrophe Pro

  1. Hallo ihr beiden

    Zur Chatkontrolle. Bin gerade bei der Stelle mit der Unterhaltung und den Chats unter Erwachsenen. Als Ergaenzung weil es heute auch auf Reddit mal Thema war, noch folgender Punkt. Habe dazu leider nur einen Springer Artikel gefunden.

    https://www.welt.de/wirtschaft/webwelt/article232082353/Jugendschutz-Dieser-Plan-wuerde-zur-Blockade-des-Internets-fuehren.html

    Es dreht sich natuerlich auch um einen Punkt aus der Reihe “What about the children?”

    Betriebssystemverifikation des Alters, also der Identitaet vor dem Netzzugang. Ich bin schon laenger Meinung, dass dies auf die eine oder andere Weise kommen muss, bei konsequenter Verfolgung der jetzigen Massnahmen. Nachdem es auch das Thema Digitial-ID auf Smartphones gibt und auf vielen Geraeten auch schon biometrische Verifikation moeglich ist, auch wenn nicht sicher, aber das ist den Entscheiderinnen sowieso egal, koennte das dann eben der naechste Schritt sein.

    Ich hasse den permanenten Alarmismus, aber ^^

    Warum immer warten bis es kurz vor 12 ist und wir haben was freie Kommunikation nicht mehr lange bis dahin und auch wenn das nur Spekulation ist, dann muss dieser Wahn hier bald mal enden.

    Ich erinner auch schon an die News von heute zu Apple und den Scans auf ihrer iCloud.

    • Solche unerfreulichen Bestrebungen sind ein starkes Argument, sich trotz aller Nachteile eher für dezentral aufgebaute Chat-Infrastruktur und -Software zu entscheiden bzw. diese zu fördern. Signal ist super, aber wenn die mal zu irgendwas gezwungen werden, hat man als User keine Alternative mehr. Da hilft auch nix, dass Signal OpenSource ist, denn selbst wenn man das selber aufsetzen würde (sofern das überhaupt machbar ist!?), verlöre man sämtliche bisherigen Kontakte. Das sieht bei XMPP, Matrix und peer-to-peer Messengern (und Email) doch deutlich anders aus…

  2. Erst bösartige Angriffe starten und (erst) bei zuviel negativer Presse dann zurückrudern. War ja alles angeblich nicht so gemeint. Den angerichteten Schaden soll man dann doch bitte sofort ignorieren und mit der Entschuldigung sei doch dann wirklich wieder alles gut.

    Ich kann kaum in Worte fassen wie sehr ich diese Strategie, die größere Konzerne ja auch gerne anwenden, hasse. Ebenso nervt mich wie oft dieses „Ups war ja eigentlich alles nur ein Versehen“ wirklich geschluckt wird.

    Man sieht ja in unseren Kreisen auch schon recht viele Leute die die Entschuldigung der CDU lobpreisen und supertoll und bemerkenswert finden.

    Ich halte das Statement des CCC für absolut richtig.

    Statt die Entschuldigung der CDU zu loben sollte man sich lieber 2 Fragen stellen:

    – Reicht die Entschuldigung WIRKLICH für das Mindeste? Linus sprach mir aus der Seele als er erwähnte dass die Übernahme der Anwaltskosten schon noch dazugehören sollte.
    – Nicht jeder der in ähnliche Situationen gerät hat das Glück dass die Sache in mehreren Nachrichten landet. Hätte die CDU wirklich auch nur einen Finger gerührt ohne die negative Presse? Ich denke nicht. Entsprechend wenig Wert sehe ich auch in einer solchen Entschuldigung.

    Die CDU nahm hier bereitwillig in Kauf jemandem das Leben zu ruinieren oder mindestens zu schädigen (das geht auch mit Freispruch und ohne Feststellung jeglicher Schuld, nicht jeder kann lang anhaltende ständige Anwaltskosten einwandfrei stemmen). und am Ende blieb nur ein „Tut uns leid….dass wir erwischt wurden!“.

  3. Zum Thema Cell Broadcast halte ich die Zustimmung im Sinne des Datenschutzes sowieso für eine Nebelkerze, schließe stimmt ja jeder dem Empfang zu indem er/sie einen bestimmten Broadcast Kanal abonniert oder eben nicht. Daher wird auch keiner ohne Zustimmung mit „Lebensrettenden Benachrichtigungen belästigt“

  4. Wieder mal geile Folge, danke! 3 Ergänzungen:
    * Kindesmissbrauch. Ich möchte ergänzen, dass die Union aktiv Kindesmissbrauch (v.a. in der katholischen Kirche) duldet. In diesem Fall wird aktiv weggeschaut. Opfer werden vielfach scheiße behandelt: 1. zunächst von den direkten Tätern, dann 2. von der Politik vernachlässigt, die aktive Aufklärung verschleppt. Das vorgeschobenes Argument für mehr Überwachung führt 3. dazu, dass das Thema nicht mehr so ernst genommen wird (ist z.B. leider in dieser Folge auch zu kurz gekommen) und 4. sind von der zunehmenden Überwachung auch wieder betroffen.
    * Super, dass der CCC keine Datenlecks mehr meldet. Ein besonders krasses aktuelles Beispiel ist der Umgang mit Seda Başay-Yıldız (NSU-Anwältin, NSU2.0-Opfer): „Die hessische Landesregierung machte im Juli 2021 die neue Meldeadresse samt der Kita ihrer Tochter öffentlich. Die gesperrte Meldeadresse von Seda Başay-Yıldız ging in den Unterlagen zum parlamentarischen Untersuchungsausschuss zum Mord an Walter Lübcke ungeschwärzt allen Fraktionen des hessischen Landtags. Seda Başay-Yıldız war entsetzt über die Landesregierung von Volker Bouffier (CDU), die dies veranlasst hatte. Neben der neuen Privatadresse von Başay-Yıldız ging diesmal auch die Adresse der Kita ihrer Tochter direkt an alle im Landtag vertretenden Parteien. Ihre gesperrten Meldedaten wurden damit erneut auch in rechten Kreisen bekannt durch einen Untersuchungsausschuss zu einem rechtsextremen Mord. Zwar hatte die Fraktion der Linken, die hessische Landesregierung gebeten, die Information wieder unter Verschluss zu bringen. Stattdessen machte der Chef der Hessischen Staatskanzlei Axel Wintermeyer (CDU) laut Frankfurter Rundschau sämtliche Fraktionen per Mail ausdrücklich auf die sensible Stelle mit Başay-Yıldız Daten aufmerksam.“ https://de.wikipedia.org/wiki/Seda_Ba%C5%9Fay-Y%C4%B1ld%C4%B1z#Morddrohungen
    * „angeblich“ Es ist doch offensichtlich, dass das eine Erfindung der CDU für die sie deshalb auch keine Belege aufführen kann. Und damit sie sich hinterher rausreden können ist es halt „angeblich“. lächerlich

  5. Hallo ihr beiden,

    Wie yb schon geschrieben hat beginnt scheinbar die Umgehung der Verschlüsselung bereits bei Apple, wie alle einschlägigen Stellen bereits veröffentlicht haben…
    Oder um es direkt technisch zu demonstrieren:
    https://www.apple.com/child-safety/pdf/CSAM_Detection_Technical_Summary.pdf

    Neben der technischen Möglichkeit für andere Delikte oder Straftaten wie Kinderpornografie -die ihr super beschrieben habt- sehe ich noch einen ganz anderen Punkt der damit verbunden ist:
    Setzen wir Mal bei eurer Vorraussage von 6- oder 7-stelligen Fällen von Detektion durch eine Hash-Datenbank (bekanntes Material) und neuronalem Netzwerk für neues Material an. Dieses Material muss in irgendeiner Meldekette bis zu den Staatsgewalten (Geheimdienste/Polizei) auf entsprechenden Ebenen verteilt werden. Im nächsten Schritt muss irgend ein Mensch dieses Material Sichten und false positive von positive- Fällen trennen. Hinweise auf Straftaten müssen dann natürlich verfolgt werden egal wie klein der Verdachtsfall ist. Daraus folgen Versuche der Zuordnung zu Personen mit Anschreiben/Vorladungen/Durchsuchungen und was die Exekutive noch so her gibt.
    Jetzt erinnere ich nochmal an die mindestens 6-stelligen Fälle…
    Ich glaube so kann man eine Strafverfolgung auch ziemlich schnell ans Limit bringen…

    • Das Problem mit den Hash-Datenbanken ist leider ein ziemlich großes. Zum einen ist es so, dass es eine triviale Aufgabe ist, Dateien so zu verändern, dass sie auf einen neuen Hash abgebildet werden. Und it’s not a bug, it’s a feature: Man will mit Hashes u.a. Veränderungen erkennen, auch minimale. Hinzu kommt (auch das ist ein Feature), dass ähnlicher Input keine ähnlichen Hashes liefert. So viel aber nur zur Technik, jetzt wird’s noch blöder:

      Die Strafverfolgung von Kinderpornografie kann man eigentlich etwas auftrennen: Zum einen will man natürlich das Opfer schützen und die Verbreitung sowie die Zugänglichkeit hemmen und ggf. mit guter Verfolgung auch einen Abschreckungseffekt erzeugen. Wen erwischt man aber damit? Eigentlich die „weniger wichtigen“ Leute, die zwar immer noch eklig genug sind, aber im Wesentlichen bekanntes Material nutzen und ggf verbreiten.
      Zum anderen möchte man aber den tatsächlichen Missbrauch von Minderjährigen verhindern, in dem man die Leute überführt, die das Material eigentlich hergestellt haben – das sind sozusagen die „wichtigeren“ Leute. Das Problem dabei ist aber, dass die ja gerade neues Material produzieren, was sich somit in keiner Hash-Datenbank befindet. Das heißt, für das höherpriore Ziel ist das Mittel der Hash-Datenbank eigentlich völlig unnütz.
      Somit hängt eigentlich alles an der Mustererkennung, die du ebenfalls erwähnt hast. Die hat wiederum die bekannten Eigenschaften und bleibt weit hinter den Erwartungen derer, die sich nicht mit dem Thema beschäftigt haben (sprich der Großteil unserer Politiker) zurück. Das heißt leider aber auch, dass wir niemals eine Evidenz für die Funktionalität unserer Modelle und Filter erhalten werden: Dafür müssten wir ja gerade wissen, wie viel uns entgangen ist. Hier beißt sich die Katze in den Schwanz. Alle Minderjährigen, die man am Ende damit schützen kann, sind es natürlich wert. Aber das ganze ist bei weitem kein Heilsbringer, sondern eigentlich nur eine Teilmaßnahme, deren Effekt wir noch nicht mal quantifizieren können.

      • PhotoDNA[0] wird ja schon von allen großen Anbietern genutzt um Fotos zu filtern. Da die Justiz noch nicht untergegangen ist, deutet das darauf hin, das eher wenig gefunden wird oder wenige Leute so blöd sind CSAM auf solchen Plattformen zu verbreiten. Aber was sich dann bei den Leuten auf den Geräten selber findet, ist noch mal eine andere Frage.

        Irgendwelches ML-Heuristik Zeug könnte da dann ganz andere Mengen von (falsch) Meldungen erzeugen.

        Auch das Material, das von Minderjährigen selbst erstellt wird/wurde und auch privat geblieben ist, kann von diesem neuen Verfahren gefunden werden. Da kann Apple die dann alle Anzeigen. Und irgendwelche Content-Moderatoren gucken sich dann diese Privaten-Bilder an? Das kann nicht deren ernst sein. Aber doch: „In addition,
        Apple manually reviews all reports made to NCMEC to ensure reporting accuracy“

        Also alles hängt davon aber wie gut Apples NeuralHash ist und ob nicht noch andere Erkennungsmethoden dazukommen.

        [0] https://en.wikipedia.org/wiki/PhotoDNA

        • Danke Simon, die wichtigen Stichworte sind hier aufgeführt:
          – CSAM kann keine „Crypto-Hashes“ verwenden, wie Kevin begründet hat.
          – PhotoDNA kommt schon lange genau dafür zum einsatz
          – Apple will hier ein sogenannten „NeuroHash“ verwenden

          Aber zu genau diesem „NeuroHash“ habe ich jetzt auf die schnelle wenig Infos gefunden. Benutzt der wirklich Neuronale-Netze und ML wie der Name vermuten lässt?
          Wenn ja, dann müsste ich hier jegliche Empfehlung für Apple Geräte aufgrund von Privatsphäre nochmal überdenken.

          Würde mir ebenfalls für die nächste Folge LNP403 ein Kommentar hierzu wünschen. Da wir „Family-Admins“ immer häufiger gefragt werden „welches Smartphone soll ich mir kaufen“ und zum Schluss sagt man:
          „apple damit hast kein stress“ oder „dann nimm hald apple wenn du unbedingt willst“ oder ….
          ihr kennt das ;-)

          „Vielen Dank an Linus und Tim für die tolle Zeit einmal pro Woche :) „

          • Neuronale Netze sind in dem Punkt aber echt ganz und gar nicht witzig. Bekanntermaßen funktionieren Techniken, die darauf basieren, ja solange gut, wie die Bedingungen der Messung noch möglichst nah an den Bedingungen der Trainingsdaten sind.
            Ich weiß nicht, wie man den Opfern dann später erklären will, dass man zwar eigentlich ein super-mega-tolles Werkzeug zur Erkennung hatte, dieses Werkzeug aber leider gar nicht gut mit grün-weißer Tapete an der Wand kann und daher leider nicht angeschlagen hat.

            Genauso andersherum. Ich halte es für undenkbar, dass private Fotos dann von Mitarbeitern kontrolliert werden, weil sich die fotografierte Partei „LNP“ als Intimfrisur hat schneiden lassen und die Lerndaten solche Bilder einfach nicht enthalten haben und dann eben „random stuff“ passiert.

            Aus meiner Sicht schießt man mit der Technik nicht nur mit Kanonen auf Spatzen, sondern man schießt mit Kanonen an den Spatzen vorbei und lässt sich dann von diesen Spatzen noch auf den Kopf kacken.
            Und nochmal ganz abgesehen davon scheint es ja so zu sein, dass Apple diese Technik ohnehin nur bei eingeschalteter iCloud-Sync einsetzen wird. Stellt sich natürlich die Frage, wie viele Straftäter das dann noch tun werden. Aber klar, bekanntermaßen kommuniziert der Islamische Staat ja auch nur über SMS mit SIM-Karten, die namentlich registriert wurden.

            Ausblick à la Security Nightmares: 2022 kann man dann mit fremden SIM-Karten seinem Opfer kinderpornografisches Material schicken und dann zusehen, wie die Person sich mit der Strafverfolgung rumschlagen darf. Well played.

            (Ich hör jetzt auf mich aufzuregen, ist ja bald Wochenende)

  6. Zur Sache der CDU-App: Ich finde interessant, dass Stefan Hennewig in seinen Tweets von einer „Veröffentlichung“ der Daten spricht. Eine Veröffentlichung der Daten würde ja voraussetzen, dass die Daten vorher noch nicht öffentlich waren. Korrigiert mich, wenn ich das falsch verstehe, aber so wie ich das sehe, war das hier ganz klar nicht der Fall. Die Daten waren de facto vorher bereits öffentlich, da sie über eine unauthentifizierte API abrufbar waren. In meinen Augen hat die CDU durch den fahrlässigen Umgang mit den Daten der Wahlkampfhelfer*Innen und Wähler*Innen beim Upload in die App diese bereits selbst veröffentlicht. In meinen Augen müsste die CDU also, wenn sie eine Veröffentlichung der Daten anprangert, sich selbst an den Pranger stellen.

    • Nicht nur das, wenn hier personenbezogene Daten wegkommen, sollten die betroffenen Personen darüber nicht informiert werden? Also zumindest die Nutzer der App sowie die Leute, bei denen geklingelt wurde und deren Namen in der App (von den Nutzern eingegeben) gespeichert wurden?

      Ich seh das hier so: Entweder die Daten kamen weg (waren öffentlich zugänglich) und man sollte die Betroffenen informieren. Oder sie kamen nicht weg aber dann gibt es keinen Grund für die Anklage.
      Ich hätte ja gesagt ersteres ist der Fall aber ich hab den Eindruck, dass die CDU hier Schrödinger’s Personenbezogene Daten handhabt, die gleichzeitig wegkamen und nicht wegkamen, und sich jeweils aus beiden Fällen die Konsequenzen rauspickt die ihnen gefallen und die anderen Konsequenzen nicht beachten.

  7. Zur CDU: Ist das denn wirklich eine Strafe? Freut sich die CDU nicht eher, das sie jetzt denn CCC ‚los‘ ist?
    Vielleicht wäre es ja eine Alternative die entsprechenden Sicherheitslücken nur bei den Behörden zu melden, damit ihr als Zwischenspieler raus seid.

    Das bringt mich zu einem anderen Gedanken: Schießt sich die CDU nicht selber ins Bein, wenn sie von Daten sprechen, die verloren gegangen sind? Wenn ich mich richtig erinnere ist es in der DSGVO noch ein deutlicher Unterschied ob es eine Schwachstelle gibt und ob sie auch ausgenutzt wurde.

    • die sind den CCC nicht „losgeworden“. Ich glaube nichtmal, dass CCC-Leute jetzt aufhören, in Software aus dem Hause CDU nach Sicherheitslücken zu suchen. Sie werden nur anders damit umgehen, wenn sie was finden.

  8. CDU Pre-Lilith Datenleck von CDU Daten-Harvester…

    Um eine noch höhere Strafe zu vermeiden, müsste die CDU nicht alle Betroffenen, auch die in den Kommentaren genannten Haushalte, über das angebliche Datenleck informieren?

    • Die CDU bräuchten es nicht mal digital zu machen. Tür-zu-Tür-Besuche würden ausreichen, zumal sie vielleicht damals vergessen haben zu erwähnen, dass die Daten der Befragten in einer Datenbank gespeichert werden.

  9. Ach herrje, die HTTP-Statuscodes lesen sich ja wie das Drehbuch zum LNP-Franchise und es wird wirklich spannend in ein paar Wochen…

    409 — Conflict
    Nach der Bundestagswahl gibt es einen epischen Streit darüber, welche Partei mit der jeweiligen $PARTEI-connect-App am meisten Wählerdaten verloren hat. Linus beharrt darauf, dass die CDU in diesem Fall den besten Job gemacht hat. Mit Hilfe der sogenannten „leak-induced voter migration“ hat eine der anderen Parteien dies ausgenutzt und die Kräfteverhältnisse verschoben. Tim glaubt eher, dass es die SPD war, die am meisten Daten verloren hat und dass es an der Zählweise liege. Die Positionen sind unvereinbar, die Folge endet mit „Smoke on the Water“ und einer Ankündigung eines LNP-Forks durch Linus.

    410 — Gone
    Tim moderiert die Sendung alleine und lässt einen aus den Audioaufnahmen der Vergangenheit angelernten Deep-Fake-Audio-Avatar von Linus zu Wort kommen (das wird allerdings erst im Prolog der LNP411 verraten). Einige Hörer mutmaßen in den Kommentaren zur Sendung bereits, dass Linus irgendwie anders rübergekommen sei, da er auf Fragen ernsthaft mit „ach komm, lass uns das mit Blockchains machen“ und „Backups sind für Anfänger“ geantwortet hat. Tim stellt im Nachhinein fest, dass er beim Training für das ML-Modell für den Linus-Audio-Avatar das Compilerflag „-irony“ nicht mit gesetzt hatte.

    411 — Length Required
    Der echte Linus ist zurück (yay!), hat in der Zwischenzeit einige Folgen vom Zugfunk-Podcast gehört und nimmt sich an deren mittlerer Dauer von mehreren Stunden ein Beispiel. Sein neu auch ironiefähiger Audio-Avatar aus LNP410 übernimmt inzwischen Standard-Beratungsdienste und entlastet damit das Original.

    413 — Payload Too Large
    Nach Hörerbeschwerden à la „ich komme nicht mehr zum Arbeiten, weil die LNP-Folgen jetzt fünf Stunden dauern“ wird Besserung gelobt.

    418 — I’m a teapot
    Tim und Linus schlürfen in der Weihnachtsfolge eine Stunde lang nur Heißgetränke.

  10. Es gibt anscheinend entgegen der Ankündigung hier noch keinen Kommentar, der erläutert, warum beim LG Hamburg gegen einen Schweizer DNS-Anbieter geklagt werden kann.

    Also versuche ich es mal.

    Das Stichwort ist „fliegender Gerichtsstand“: https://de.wikipedia.org/wiki/Gerichtsstand#%E2%80%9EFliegender_Gerichtsstand%E2%80%9C – ganz grob: Weil man auch aus Hamburg auf diesen DNS-Server zugreifen kann, ist Hamburg quasi Tatort und deshalb kann man in Hamburg klagen.

    Das führt zum Phänomen des Forum Shopping: https://de.wikipedia.org/wiki/Forum_Shopping – man klagt vor dem Gericht, bei dem man sich die besten Erfolgschancen ausrechnet. „die besten Chancen auf eine Unterlassungsverfügung hat man hingegen nach wie vor in Hamburg“ (Zitat von Markus Kompa in dem Wikipedia-Artikel).

    • Nur eine kurze Ergänzung: Das LG Hamburg ist in diesem Fall auch nur für Verletzungen zuständig, die in Deutschland stattfinden. Bei internationalen Urheberrechtsverletzungen geht man (zumindest in der EU) davon aus, das jedes Land über die Verletzungen urteilen soll, die innerhalb des eigenen Territoriums stattfinden. Man muss deshalb als Urheberin in der Theorie in allen Ländern, die einen interessieren, jeweils eine eigene Klage erheben (das nennt man etwas hochtrabend Mosaiktheorie). Alternativ kann man am Sitz der Beklagten alles geltend machen. D.h.: Das LG Hamburg kann Quad9 nicht verbieten, DNS-Abfragen aufzulösen, die nicht aus Deutschland kommen. Ob das Quad9 in der Praxis weiterhilft – keine Ahnung.

  11. Zu den dreistelligen Ziffernfolgen habe ich einen historischen Hintergrund, weil ich mal aus Spaß die frühen RFCs durchstöbert habe. Das Prinzip wurde zuerst bei FTP eingeführt (wo nebenbei MAIL zuerst eingeführt wurde), wenn ich das gerade spontan richtig gefunden habe in RFC 640. Die Notation da war, dass 1xx einen tendenziellen positiven, aber unfertigen Zustand meldet, 2xx positiv und fertig, 3xx ist nicht schlecht, aber auch nicht fertig (wie die ‚frag da drüben nochmal nach‘-Redirection), 4xx was negatives, was auch wieder weggehen kann (404 könnte sich auflösen, wenn die Datei noch auftauchen würde, 402 könnte durch Bezahlung zu 200 werden), und 5xx permanente Fehler (das passt mit 500 dem Server ist grad übel, oder er macht Kur in Bad Gateway nicht mehr wirklich).

    Als jedenfalls HTTP entwickelt wurde, war FTP schon gut gereift, und das Konzept der Response-Codes auch mit SMTP durchgesetzt, da war es nicht schwer, die Notation leicht angepasst zu übernehmen. Und so kommt es, dass man die Response-Codes einer Reihe von Internet-Protokollen sehr ähnlich aufgebaut findet.

  12. Ich hatte grade meine 2.Impfung in RLP.
    meinen QR code für den Impfnachweis bekam ich jeweils direkt vor Ort im Impfzentrum ausgedruckt und ausgehändigt. Alles prima.

    Danach sehe Ich dass Ich im Abstand von 10 minuten zwei gleichlautende mails (unterschiedlicher code und token) für erst und zweitimpfung bekommen habe:

    —————————————

    Diese E-Mail wurde automatisch versendet. Bitte antworten Sie nicht auf diese E-Mail. Am Ende der Nachricht finden Sie Kontakthinweise.

    Hallo Max Musterman,

    für Sie wurde ein digitaler Impfnachweis bereitgestellt. Der Link zum Impfnachweis ist 72 Stunden gültig.

    Ihre Impfnummer zur Impfung lautet: ABCD-EFG1-2XYZ

    Bitte beachten Sie: Je durchgeführter und dokumentierter Impfung erhalten Sie ein einzelnes Zertifikat.

    Für den Abruf ist die Eingabe von persönlichen Daten und ein Zugangscode notwendig.

    Ihr persönlicher Zugangscode lautet: abcde

    Folgen Sie

    „https://impftermin.rlp.de/download/impfnachweis/?token=255ZeichenString“

    Sie erhalten den Impfnachweis dann als Download im PDF-Format.

    —————————–

    Der Link führt zu einem Webformular
    in dem Vorname,Name,geb Datum(zb 01.11.1911) und der Zugangscode abgefragt werden.

    (geb Datum ist davon die einzige nicht bereits in der Mail enthaltene Information,
    imho hätte man daher den QR code auch gleich in der mail schicken können. oder den direkten Link auf das Pdf)

    Nach absenden des Formulars erscheint der Link auf das Pdf:

    „https://impftermin.rlp.de/download/impfnachweis/digitaler-impfnachweis.pdf?t=255ZeichenString&v=Max&n=Musterman&g=1911-01-11&c=abcde“

    und ja mit dieser Url kann man das Pdf direkt aufrufen.

    Die pdfs für die erste und zweite Impfung heissen beide digitaler-impfnachweis.pdf, wenn man nicht aufpasst überschreiben die sich beim speichern. und jeder code funktioniert natürlich nur mit dem Link aus der dazugehörigen mail. Leute die einfach nach dem ersten download in der browser history zurück auf das formular gehen um den zweiten code einzugeben haben pech.

  13. Ich fände es schön, wenn Ihr in der nächsten Sendung auf die aktuelle Änderung des BGB’s eingehen könntet. Insbesondere interessiert mich die Diskussion um die Frage, ob die Updatepflicht genutzt werden kann, druck auszuüben, dass zumindest die Firmware diverser Produkte offen gestellt wird.

  14. Toller Podcast, den man definitiv jedem empfehlen sollte.

    Ich hätte mal eine Frage, bzw. eine Idee zu der ich gerne eure Meinung hätte: Mittlerweile werden überall QR-Codes aufgehängt und werden auch genutzt (z.B. Zutritt Restaurant). Wie wird denn hier sichergestellt, dass nicht ein Link zu einer „verseuchten“ Seite hinterlegt ist?
    Ich würde jetzt mal davon ausgehen, dass die meisten Läden selten die QR-Codes prüfen. Besonders wenn diese nur auf einem Din A4 Blatt ausgedruckt und aufgehängt werden, könnten diese auch unbemerkt von dritten ausgetauscht werden.
    Ist das technisch auf dem Gerät zusätzlich gesichert?
    Gerade bei technisch weniger versierten Personen (oder Luca-Nutzer) ist ja auch ein zusätzlicher klick zur Bestätigung für alles im Bereich des möglichen.

    Vg und macht weiter so

  15. Hallo ihr beiden,

    danke für euren sehr tollen Podcast.
    Als ihr über Schneeballsysteme geredet habt, ist mir direkt eingefallen, dass ich letztens zu „Paraiba World“ von einer Bekannten eingeladen wurde. Ich habe natürlich sofort mein ganzes Geld da rein gesteckt und …. nee natürlich NICHT :)
    Ich war überrascht, wie komplex so etwas heutzutage aufgezogen wird, da ist so ziemlich alles drin, was heute als „hip“ gilt: eine (Web-)App, Bitcoin, … und dennoch ist und bleibt es – so scheint es mir – schlicht und ergreifend ein System, dass von vorneherein nur wenigen nützen und einige ihr Geld kosten wird – den letzten beißen die Hunde :)
    Eure Meinung zu diesem konkreten System würde mich tatsächlich sehr interessieren.

    Liebe Grüße

  16. Die Ransomware hat bisher ja so gut funktioniert, weil im Prinzip alles vorbei war, bevor das Opfer überhaupt den Angriff bemerkt. Halte ich bei doxing/Erpressung in Verbindung mit den in Deutschland üblichen upload-raten für deutlich unwahrscheinlicher.

  17. zur CDU-App:
    ich vermisse eine Diskussion über das Thema Datenschutz – haben denn alle Bürger*innen, deren politische Einstellung dort protokolliert werden, der Datenspeicherung zugestimmt?

  18. Eine kleine Anmerkung von mir zur Kostenübernahme im Strafverfahren:
    Es ist davon auszugehen, dass die Staatsanwaltschaft das Verfahren gegen Lilith bereits vor dem Gerichtsverfahren einstellt.
    Die Erstattung ihrer Anwaltskosten ist in §469 StPO geregelt. Diese übernimmt das Gericht (lies: der Steuerzahler), wenn die Anzeige vorsätzlich oder grob fahrlässig erhoben wurde. Sie kann natürlich versuchen ihre Ansprüche gegen die CDU zivilrechtlich mit einer Unterlassungsklage durchzusetzen.
    Ihr ahnt sicherlich, worauf beides hinauslaufen wird. Die CDU mag zwar ausgesprochen dämlich sein, sich jedoch mit leichter Fahrlässigkeit herausreden. Eine „freiwillige“ Kostenübernahme hätte dieser Hennewig sonst bereits angeboten.

  19. Warum die YT-Community diesmal nicht gegen Uploadfilter protestiert: Vrmtl., weil YT selber Uploadfilter bei sich schon umgesetzt hat (und die finanziellen Sorgen mit der GEMA usw. geklärt hat). Ich gehe zudem davon aus, dass bei den erstaunlich regen „Artikel13“-Demos Anfang 2019 durchaus auch Astroturfing im Spiel war. Da gab es einfach ein paar zu viele dieser plötzlich erstaunlich professionellen Amateur-Youtuber und aufgehübschten Damen in Film und auf der Straße. Dahinter steckte meiner Beobachtung nach, dass YT sich schlicht nicht mit GEMA & Co einig war über die zu entrichtenden Gebühren. Google hatte einfach geschickt den (berechtigten) Unmut/Protestpotential gegen Uploadfilter für seine eigenen Zwecke instrumentalisiert. Aufschlussreich wäre zu wissen, wie die Einigung mit Nutzungsrechteverwaltern letztlich gefasst wurde – die Vereinbarung zw. Google und GEMA ist inkl. der zu entrichtenden Lizenzgebühren leider geheim. Mein Tipp: Spotify & Netflix zahlen mehr…

    Zum Arbeitsgerät von Tim: Von 2009? Super, das ist mal nachhaltig! Mein Arbeitsgerät ist von 2011 und bei gelegentlicher Pflege werde ich dieses wohl auch in 10 Jahren noch für die meisten Zwecke nutzen können. Wann endet endlich der Wegwerfwahn… technisch ist er doch allzu oft nicht wirklich begründbar (v.a. wenn man Geräte entsprechend reparatur-fähig bauen und draufgepielte Software offen und upgrade-fähig halten würde). Das wäre nicht nur ökologischer, sondern spart auch Geld. #gegenTabletsinSchulen

Schreibe einen Kommentar zu Simon Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.