LNP409 Komplexer dargestellt

Guten Morgen Linus.

Guten Morgen Tim.

Facebook war dauernd. Hast du mitgekriegt. Logbuchnetzpolitik Nummer vierhundertundneun vom fünfzehnten Oktober zwanzig einundzwanzig. Ja und ähm, kriegen mal wieder nix mit. Das halbe Internet schaltet sich ab und wir kriegen's nicht mit.

Tatsächlich ein Kumpel hat mir erzählt, wie er das mitbekommen hat. Ähm ist auf einmal ganz viel auf Tinder los war. Und er sagte was denn jetzt so, oder? Nee, das macht das heute gar nicht mehr auf zu piepen. Und dann hat er irgendwann gecheckt, dass das halt offenbar damit zu tun hatte, dass ähm den Leuten nix also die hat jetzt was anderes äh machen. Und dann war halt offenbar Tinder die zweite oder dritte Option.

Mark Zuckerberg, ich suche eine neue Freundin. Könnten sie bitte nochmal Facebook abschalten? Na ja, da reden wir auf jeden Fall äh nachher noch drüber, ne.

Alle fucking Witze. Es ist so Zeit aller Witze, diese diese ganzen, können wir die gerade ganz kurz alle loswerden? Also erstmal ein paar Kifferwitze so zum Einstieg, weil jetzt gerade die Cannabis-Legalisierung nochmal diskutiert werden muss, als wäre die nicht seit 20 Jahren abschließend erörtert. Und ähm dann, In neun Monaten gibt's ganz viele Facebook-Babys. Boah Alter, ich kann das nicht mehr. Wirklich, ey, du kommst dir vor wie in so einem Zeitloch der Witze.

Tja, Steigen wir lieber gleich mit, was richtig Langweiligem ein, nämlich mit dem HTTP-Status äh Code vier null neun, äh mit dem schönen Namen Konflikt. Sagt eigentlich auch nicht sehr viel aus, ist auch total unaufregend, müssen wir nicht viel Zeit drauf äh verwenden, aber ist halt auch wieder so ein hin- und her Fehler äh eigentlich fast nie auf und äh ja, ist so ein, den ihr, über den ihr nicht weiter nachdenken müsst, ist nur was, was so Programmierer äh beschäftigt, äh was man dann so äh macht in dem Fall, wenn sowas passiert.

Äh äh die das beste Beispiel für Conflix steht tatsächlich in den äh Webdogs.

Richtig, also wenn man halt so das.

Jetzt was älteres hochladen auf was neueres.

Mal das für Datei Uploads benutzt, aber das macht ja kaum einer heutzutage. Wer lädt denn heute noch was hoch?

Was denn heute noch Sachen über HTDP.

Das läuft doch alles in den Uploadfilter.

Okay vier null neun, gibt der Uploadfilter dann zurück, ne. Ähm wir haben ähm Feedback.

Ja, eine ganze Menge sogar.

Man kann sein Auto tatsächlich digital ummelden. Es haben sich mehrere Leute gemeldet, die das persönlich bezeugen konnten.

Hm, ja, ich hatte das ja auch schon berichtet, habe mich dann äh wieder dran erinnert, äh wurde daran erinnert, wer mich daran darauf hingewiesen hat.

Ralf Stockmann, äh hier Ralf, wie heißt er eigentlich? Rottmay, genau. Äh aber dass alle bestätigt, ja und in den Kommentaren waren auch Leute, äh die das bestätigen konnten, dass es das gibt.

Ja und es gibt hier und da gibt's so dieses und jenes äh theoretisch damit möglich ist, aber dass das massiv benutzt wird, sehe ich einfach noch nicht.

Das geht halt. Das heißt also, man kann sogar, das fand ich auch sehr schön S hat uns darauf hingewiesen. Man kann sogar äh digital mit dem mit dem elektronischen Ausweis, der jetzigen, ja, einen äh Auszug, aus dem Kraftfahrtbundesamtregister, dem Eignungsregister, also Flensburger, ähm.

Mhm.

Flensburger Punktekonto, ja? Direkt und man bekommt direkt ein digital signiertes PDF mit der Auskunft zurück.

Das Schöne in der Tat.

Dann hast du halt ein PDF. Ja, aber immerhin hast du eins, ne? Also kannst du kann man ja also ich, ja, geht. Ist gut. So, sollte alles gehen vielleicht irgendwann mal.

Informationsabfragen zum Beispiel.

Ja, dann haben wir äh zu signierten, PDFs. Äh wir haben ja ähm darüber gesprochen, dass man mit, dass das digitale Signaturen schon lange gibt, und ähm man die auch anwenden kann, ja, zum Beispiel hier dieses Digital signierte flensburger Dingen und das ist auch die Ausweise gibt und das ist, nach wie vor, einem Anwendungsfall mangelt, dass man dafür eine bräuchte. Also eine Blockchain. Ähm, und da haben auch äh alle zugestimmt und dann gab es aber einen Hinweis, dass was wir sachten so. Wenn man jetzt ein an ein PDF eine Signatur anbringen möchte, dass es dabei ähm. Also dass es da mehrere unterschiedliche konkurrierende Standards gibt und dass es nicht unbedingt so einfach ist, ähm korrekt zu implementieren, ja? Das wurde von kommentiert ja und sagt also versteht mich nicht falsch, ich bin genau eurer Meinung aber eine PDF-Signatur ist auch nicht so einfach und da würde ich halt entgegnen, ja ja, vielleicht ist das nicht einfach. Also auf jeden Fall tausend Mal einfacher da einfach einen Standard durch zu implementieren, als, irgendeine fucking Blockchain aufschwatzen zu lassen und äh und da irgendwie so eine Webseite zu machen. Und äh und diesen diesen ganzen Quatsch äh zu erfinden. Also ich glaube, mit dem gleichen Geld, wie wie diese Essatos, äh versucht hat, eine ID-Wolle zu bauen. Hättest du halt einfach einmal, quelloffen, implementieren können. Ähm die hier eine eine wie zu signieren sei, ja? Und dann bist du damit durch, Übrigens, oh, jetzt, oh, die sind wieder online, die Seite gibt's wieder. Bis vor ein paar Tagen immer noch offline, ne? Das war ja der also das war ja so was von da, also ich habe direkt gedacht, äh in in dieser in dieser ähm Blockchain und Krypto Coin, Bubble und so, ne? Da sind ja Exits Gams relativ häufig, ne? Dachte ich zwischendurch, ob diese nicht einfach so ein Exitscam gemacht hat, weißt du? So Kohle kassiert und dann weg, so wie wie diese ähm. Wie alle anderen auch.

Ja, also vor allem, also ich meine, was was in gewisser Hinsicht noch etwas mutiger äh wäre und wo erstmal vielleicht auf EU-Ebene auch problemlos mal äh anleiern könnte, wäre sich einfach mit den großen Betriebssystemherstellern da einfach mal auf einen klaren Standard und mit Adobe zu einigen. Ja, einfach zu sagen so, Leute. Müssen das jetzt mal hier mit dem PDFs und mit den Signaturen da brauchen wir jetzt aber mal einen verlässlichen weltweiten Standard und äh dann gibt's dann ein eine Spezifikation und genau so machen wir das jetzt, immer, überall und dann geht das auch in jedem Betriebssystem und dann kann irgendwie jeder Standard PDF über einem das auch sofort bestätigen und macht eine Zertifikatsüberprüfung, wie das jeder Webbrowser ja auch macht. Und ähm fertig ist die Laube. So, aber die reden einfach wahrscheinlich nicht miteinander.

Ja, es ist äh also ja, es ist eine eine sehr frustrierende Geschichte. Haben wir auch letzte Mal schon viel drüber gesprochen, aber sagen wir mal. Man kriegt wahrscheinlich einfacher einen Standard zum Signieren von PDFs etabliert als ein komplett neuen Standard für irgendwelche Blockchain-basierten äh Identitäten, ja, das ist also man braucht es halt einfach nicht. Würde auch nochmal erklärt übrigens im Chaos Radio zu ID Wallet, das äh ich glaube gestern veröffentlicht wurde. Link findet ihr in den Shownotes Da sind bei Markus zu Gast Flüpke und CK. Ähm, CK würde ich sagen, so wahrscheinlich in diesem ganzen Bereich EID ungefähr der der eine Experte, den's überhaupt gibt so. Äh ohne jetzt großartig zu sagen, was er noch seine beruflichen äh Miriten in dem Bereich sind. Und äh Flipke eben einer von den beiden, die sich diese ID Wallet Geschichte angeschaut haben. Erklären da mal ein bisschen, ich hätte am am Ende es noch schön gefunden, wenn sie noch mehr erklärt hätten, warum man keine Blockchain braucht, ja, das ist am Ende ein bisschen kurz gekommen aber der Rest der Sendung nochmal sehr schön in Ruhe genau erklärt was da, bei diesem ID Wallet alles ähm falsch gelaufen ist und warum das eben halt auch äh so traurig ist. Letztendlich denke ich die die eine Sache, die die immer vergessen, ne? Man macht Blockchains oder wenn man eine. Gruppe von Leuten hat, die ähm die sich nicht vertrauen und keiner zentralen Instanz vertrauen wollen. Und wenn du dann am Ende aber nur einen machst oder wie diese wie diese. Diese Beispiel implementierung immer mit so 'ner Webseite dass du die sagen ja am Ende geh auf 'ne Webseite, und dann gibt's eine Webseite mit mit irgendeinem schönen 3D animierten GIF oder so einen Scheiß. Ja und sagen dann, das ist jetzt hier diese Webseite zertifiziert jetzt, dass das echt ist, ne? Und das ist ja, Das ist ja so lächerlich, weil du damit ja wieder nur eine zentrale Instanz hast, der du traust. Und ob dahinter eine Datenbank ist oder eine Blockchain oder einfach nur ähm. Also einfach, dass das Ding einfach nur antwortet und sagt, ist echt? Oder dass du halt auf eine Seite umlenkst, die genauso aussieht, ähm das ist ja alles völlig unerheblich, ne. Also, du willst eigentlich das Problem los werden, also das eine, was du nicht haben willst, ist, eine Webseite gibt, die die Echtheit bestätigt, weil diese Webseite zu fälschen, ist halt trivial und die kann die Echtheit nämlich nicht nachweisen, ne? Deswegen gibt's ja auch zum Beispiel bei äh und Koffpasscheck eben diese externe App, wo man sagt so, Wenn du einen QR-Code, einen Impfpass validieren willst, dann musst du exakt diese App nutzen, um diesen QR-Code zu scannen und dann weißt du, der ist echt oder nicht. Aber komm, lass mal, es ist, es, es, äh, es ist auch leider völlig vergebene Mühe, mit diesen Leuten zu diskutieren, ja? Ich habe mir da äh einen eingetreten, der ähm so ein so ein, Ja, ich würde sagen, so ein Blockchain-Evangelikalen, der dann da irgendwie so die ganze Zeit das geht und das ist toll machen aber diese Frage die du auch immer stelltest warum weißt du so ja, kann das alles auch mit einem Hammer machen, aber es ist halt viel eleganter, was weiß ich, ne wenn man äh das richtige Werkzeug nimmt, was für diese Arbeit geschaffen wurde und jetzt kriegst du auch aus den Leuten nicht raus, ne. Die sind, die sind sowas von in ihrem eigenen. In ihrer eigenen Cool-Aid, das ist wirklich nicht mehr feierlich so. Es ist wirklich nicht mehr feierlich. Na ja.

Generelles Problem und das war auch schon wieder fast beim nächsten äh Feedback Thema, ist auch für diesen Wahlen, dieser Traum von wählen mit dem Computer, so es ist einfach immer so getrieben von diesem, es kann doch nicht sein, äh dass das nicht geht, weil ich das will, dass das geht.

Genau. Und dann, dann denken die, sie wären irgendwie Elon Musk, weil weil sie jetzt irgendwie das Ding auf der Welt gefunden haben, was nicht geht, und und und müssen und sie bringen das jetzt, weißt du, so ich bin aber der Elon Musk, der digitalen Wahl und ich habe hier mit diesem Skript kann ich wählen und also desto schmerzhaft sich diese Leute anzuhören, ja. Na ja, ähm genau, der hat mir nämlich auch noch einen schönen Kommentar von äh Lobby. Hm. Und äh da geht es jetzt um ich lese einfach mal vor. Er hatte mehr Kommentare aber den einen. Ach ja und dann auch noch eine Anmerkung aus persönlicher Erfahrung zum Eingangsthema Wahlkaos führt zu Bestrebungen der digitalen Wahl. In der Tat, ist mir erst am Samstag wieder die Aussage ähm, Ich frage mich sowieso, warum wir die Wahl nicht einfach digital machen, untergekommen. Es ist schon sehr schade, dass es sich dabei natürlich um eine rhetorische Frage handelt. Die Person, der ich dann versucht habe, die Genialität unserer Wahl und Auszählmethodik im Hinblick auf Manipulationssicherheit, Nachvollziehbarkeit und Wahrung des Wahlgeheimnisses erklären, weil nicht gerade. Dass er eine universelle Datenverarbeitung für unsere Maschine nicht wirklich nachvollziehbar für die Mehrheit der Bevölkerung dazu gebracht werden kann, eine Manipulation sichere und geheime Wahl zu ermöglich. Sie war aber ohne jemals eine Auszählung oder einen Wahltag in Gänze beobachtet zu haben, ebenfalls nicht davon zu überzeugen, dass, Erstens, es sinnvoll wäre, etwas vorher Urne zu werfen, es sinnlos wäre, etwas vorne vorher in die Urne zu werfen, denn es wird geprüft, dass die Urne leer ist, es aufgrund des Auszählungsverfahrens mindestens sehr unwahrscheinlich ist, dass sich Personen dazu verabreden können, die Stimmen nicht korrekt auszuzählen Aufgrund der gewissermaßen zufälligen Auswahl tausender Wahlhelfer und ebenso eher zufällig in Zusammenstellung der Wahlvorstände sehr unwahrscheinlich ist, dass es ein derartiges Vertrauensverhältnis überhaupt gibt, dass eine solche Verabredung spielt, theoretisch möglich machen könnte und dass es eine derartige dass eine derartige Verabredung allein durch anwesende Wahlbeobachter durch auftretende Inkonsistenten wahrscheinlich bemerkt aber zumindest, Überprüfungsbedarf erkannt werden würde. Und äh eine digitale Abstimmung, keine Verteilung des Risikos von Irrtümern auf tausende Wahllokale ermöglichen kann oder eben nur, wie mit äh. Oder eben nur wieder mit Bruch des von Linus ja auch mehrfach erklärten magische Dreiecks. Wir sollten also wirklich in nächster Zeit besonders aufmerksam gerade im persönlichen Umfeld sein. Und noch ein paar andere Sachen. Jetzt ähm das finde ich nämlich ein wirklich was ich auch denke, was wir letztes Mal nicht äh ausreichend betont haben, gewürdigt haben. Das ist wirklich sehr also, Ich habe ja, geguckt, ob man nicht vielleicht ein bisschen die Wahl manipulieren kann, ja? Und äh nee, geht nicht, weil weil du eben zufällig gewürfelt bist mit den Leuten, ne? Und äh das ist, glaube ich, tatsächlich äh ein Aspekt, den wir letzte Mal nicht ausreichend betont haben.

Nee, haben wir, haben wir nicht gemacht und und selbst, wenn da so viel Kriminelle Energie ist, ähm diese Leute kurzfristig zu beeinflussen und so weiter, es würde niemals skalieren. Also es es würde niemals soweit skalieren und und und so oder und und selbst wenn man, es schaffen würde, was eigentlich durch diese genannten Gründe schon weitgehend ausgeschlossen ist, ähm wirklich eine Vielzahl von Leuten dazu zu bringen, da diesen Be, zu unterstützen, dann ist das eine so große Verschwörung, die unmöglich geheim gehalten werden kann. Das ist einfach äh, nicht realisierbar, dass das wirklich äh unter der Decke bleibt.

Naja, Tim, also ich muss jetzt mal sagen, ne, die äh der Impfbetrug, der Impfbetrug, hallo, ja. Und die 5G, die 5G.

Linos. Lass lass mich raten, du hast da. Hast deine Webseite gefunden im Internet, wo das alles draufsteht. Ah ja, okay.

Im Internet. Ha, die machen wir auch immer mehr Spaß, ey. Ja, nee, genau, also der das ist äh tatsächlich die Resilienz und ähm. Also interessant ist ja auch, ich habe jetzt das in Berlin gar nicht mehr so weiter verfolgt, aber es ähm. Also die wollen ja jetzt irgendwie äh wieder, also das Wahlergebnis wurde jetzt, glaube ich, als äh amtlich gemeldet und jetzt wollen sie aber dagegen Widerspruch einlegen, ja. Aber quasi eine. Dass sich dadurch etwas ändert, ist halt unwahrscheinlich. Trotz trotz dieser vielen Fehler. Und das ist natürlich auch äh skurril. Vom Gefühl her, ne, dass wir den Leuten einerseits sagt, okay, deine Stimme zählt und so und das tut sie ja auch, aber dass wenn du halt irgendwie mal so und so viel tausend ungültige hast oder so, dass das am Ende hinterm Komma ist und keine Rolle spielt für das Ergebnis, ne? Das sind ja quasi so diese beiden ähm scheinbar einander widersprechenden Wahrheiten. Und ähm.

Dazu ein aktuelles Update, das hast du vielleicht noch nicht äh gesehen, also diese ähm mittlerweile ja auch offiziell zurückgetretene Landeswahlleiterin in Berlin, hat jetzt selber Einspruch eingelegt.

Ja genau, genau, die haben.

Und das bezieht sich im Wesentlichen auf 22 Wahlkreise, wo tatsächlich das Auszählungsergebnis relativ knapp war und das kann sehr gut sein, dass die tatsächlich neu ausgezählt werden. Das ist dann schon so in der Größenordnung von, ich glaube, 62000 zumindest in einem der Wahlkreise, was jetzt nicht ganz genau, ob das sich auf beide bezieht, aber, fünfstellige Zahl von WLAN, die gegebenenfalls tatsächlich noch einmal aufgefordert werden zu wählen und das kann dann schon darüber entscheiden, ob da eine Grüne oder SPD und im anderen Fall AfD, und äh habe ich vergessen zum Zuge kommt, also der Drops ist da noch nicht ganz äh gelutscht.

Ja, so viel, glaube ich, war so zum Feedback, würde ich jetzt mal an der Stelle sagen. Dann haben wir. Wir befinden uns ja jetzt in der Situation, dass. Sondierungsgespräche und Koalitionsverhandlungen stattfinden, ja? Und das war ja sehr interessant, dass sie ja erstmal zwischen Grünen und FDP geführt wurden, die sich dann eben entschieden haben, okay, Und jetzt äh erweitern wir die Gespräche, um eine dritte Teilnehmerin und das ist die SPD. Ja? Und die sind natürlich jetzt, also die unterhalten, die sondieren jetzt halt ihre Position und sagen so was von euren Wahlversprechen, seid ihr bereit, zu opfern für die Macht? Äh und äh dafür, ne, anderen ein das Einhalten eines Wahlversprechens zu ermöglichen und am Ende kommt ja quasi so ein Koalitionsvertrag raus, in dem. So ein bisschen die politische Agenda dann der nächsten vier Jahre die politische Zielsetzung zumindest mal festgehalten sind, ne? Und ähm. In dieser Diskussion hat sich jetzt der CCC, also mehrere Leute aus dem CCC, zu denen ich, nicht mit nennenswerten Beitrag gehört habe. Ähm, mal hingestellt, äh hingesetzt und haben eine Formulierungshilfe für den digitalen Teil im neuen Regierungsprogramm, formuliert. In den Bereichen Infrastruktur, Bildung, Verwaltung, Urheberrecht, Überwachung, IT-Sicherheit, Nachhaltigkeit, Außenpolitik. Tracking und. Menschenrechte bei automatisierten Entscheidungen. Also alle äh Punkte benannt. Das ist ein relativ langer Text und äh ist auch sehr viel Arbeit reingeflossen. Und ich würde sagen, auch ein ziemlich guter Text. Und ich bin, nicht so sicher, ob wir den jetzt vollständig hier besprechen werden, weil dann haben wir die Sendung dicht. Jedenfalls, glaube ich, kann man sagen, dass man hier äh das hier mal so viele oder wahrscheinlich sämtliche Positionen die in den letzten 409 Folgen Logbuch Netzpolitik äh in vertreten wurden. Auch wiederfindet, ja? Es geht zum Beispiel los bei der Infrastruktur, ne, dass man die Frequenzversteigerungen abschafft, dass man die Anreize beim Breitbandausbau dahingehend korrigiert, äh dass äh ne nicht, dass das Schaffen von Infrastruktur belohnt wird und nicht das Aussitzen, ähm dann natürlich Open Act, ein Open Access Glasfasernetz, ne, was klassisch dein deine äh Zentralforderung ist, zu sagen, okay, diese Infrastruktur, hinlegen und dann die Anbieter auf dieser einen Infrastruktur äh konkurrieren lassen.

Software-Infrastrukturförderung. Ich weiß nicht, ob Gemeinnützigkeit hier eigentlich auch äh das fehlt tatsächlich sogar. Das hätte ich ja dann auch ganz gerne gesehen, ne. Ne, also das ist sozusagen Open Source Entwicklung, auch gemeinnützig sein kann und so was.

Sicher bin mir nicht sicher ob das in Infrastruktur gehört, das könnte sein, dass das nämlich eher unten bei Verwaltung ist, das ist ja noch der kompliziertere Teil Bildung, klar, für jede einzelne Schule, Bundeseinrichtung, damit dort Breitbandinternet und zeitgemäße Technik äh sowie Ausbildung stattfindet. Ich meine, das ist ja etwas, was nicht stattfindet, muss man einfach mal sagen, Dann natürlich zum Thema IT-Sicherheit Nachhaltigkeit in der also Energie sparende Programmierung. Das ist auch so ein Thema, was glaube ich sehr viel. Unterschätzt wird. Ähm die Computer. Steigen, ja oder die die CPUs steigen in ihrer Leistungsfähigkeit ja enorm an und das führt auch dazu, dass man quasi für für Aufgaben, die der Computer lösen muss, nicht mehr gezwungen ist. Ressourcen effizient zu programmieren, ja? Was irgendwie wenn man sich der Disto auch mal, glaube ich, eine wunderbare Folge CRE mit den äh Leuten, die den C vierundsechzig an seine Grenzen gebracht haben und versucht haben, über seine Grenzen hinauszubringen in dieser Demoszene, ne? Wo sie quasi dem diesem Rechner, mehr entlocken als seine theoretischen Grenzen sind, weil sie Programmiertricks anwenden, um in bestimmten Phasen Dinge schneller erscheinen zu lassen, als der Computer sie eigentlich rechnen kann und ne, also die wirklich quasi. In CPU-Zyklen optimieren mussten, ja? Heute lädst du dir erstmal irgendwie so ein riesiges NPM und fünfundachtzig ähm Librarys, um dann ein Hello World äh zu äh zu zu schreiben, ja? Und das ist, natürlich auch äh ein ein Problem, weil trotzdem natürlich diese Energie wird ja verbraucht, ja? Der Rechner rechnet das ja trotzdem, insofern auch da ein ein äh Themenfeld der Zukunft. Ähm dann in der Verwaltung Public Money Public Code, Vermeidung von Herstellerabhängigkeiten, also wird sich irgendwie dein ganzes, deine ganze Bude dein ganzes Land an Microsoft verkaufen. Ähm. Ähm Studien, die öffentlich finanziert wurden, dürfen nicht dürfen nicht unter Verschluss gehalten werden, Forschungsergebnisse, müssen gemeinfrei sein, ne? Da mal eben noch ganz schnell diesen ganzen äh ähm Open Access, wichtiger, also mal auf, auf richtige Füße stellen, Projektmanagementkompetenzen in Bund und Ländern für digitale Klein- und Großprojekte, ja, IDalle zeigt es.

Alles zeigt es, ja.

Ein Open Data Parlament und die gläserne Regierung, das war ja schon eh immer der die gläserne Regierung ist ja schon immer so eine Forderung des CCC und ganz kurz zu erklären. Äh es geht. Im Generellen Kräfteverhältnis zwischen. Staat und Bürgerinnen. Im Prinzip darum, dass äh die Bürgerinnen, die Privatsphäre Rechte hat. Damit die Regierung nicht in in sie nicht über übernimmt und über kontrolliert und gleichzeitig aber diese hohen Transparenzrechte der Bürgerinnen gegenüber dem Staat da sein müssen, damit eben sich der Staat, oder die Machthabenden nicht gegen die äh gegen die Demokratie verschwören können, ja. Urheberrechtsneu, Ordnung, Abschaffen von Uploadfiltern, ähm Softwarepatente endlich auflösen, ja, das ist ja auch noch so ein, größeres Problemchen, äh das mit Softwarepatenten eben auch Wettbewerb, und Fortschritt äh in weiten Teilen verhindert werden. Verbot, biometrischer Überwachung im öffentlichen Raum Vorratsdatenspeicherung abschaffen, Kryptoverbote abschaffen, ja? Und dann die Überwachungsgesamtrechnung, das ist ein Begriff, den wir längere Zeit nicht benutzt haben. Ähm. Glaube, das wurde irgendwann auch mal, also die, die Idee kam, meine ich so vom CCC ähm und wurde dann aber auch von der, von dem.

Bundesverfassungs.

Verfassungsgericht übernommen, dass man im Prinzip gesagt hat, so, wir gehen jetzt nicht mehr nur hin und sagen, hier gibt es eine Überwachungsmaßnahme und wir beurteilen diese eine Überwachungsmaßnahme sondern, Wir fügen diese Überwachungsmaßnahme ein in die Überwachungsgesamtrechnung und sagen nämlich nicht, wenn wir in Staatstrojaner äh besprechen, so ah okay, Staatshänder, alles klar, brauchen wir, sondern Moment mal, wir haben ja auch und was nicht alles, ja? Und guckt guckt sich quasi die Gesamtrechnung an. Im Bereich der IT-Sicherheit äh ja unabhängiges BSI äh Meldepflichten für Sicherheitslücken aufhebung des äh Hacker Paragraphen202 CSTGB, grundsätzliche Straffreiheit, wenn jemand Sicherheitslücken aufdeckt, dann natürlich unsere alten Klassiker Produkthaftung für Software. Entwicklung, ja, also wer dir Software bereitstellt, muss halt auch ähm dabei dafür haften, ja, eingeschränkt, weil bei Fahrlässigkeit und vor allem bei der Verschleppung der Behebung von IT-Sicherheitslücken. Gleichzeitig wäre äh Patches nicht einspielt, haftet dann eben auch für die Schäden, ja, dass man hier diesen ähm. Diesen Druck auch aufrecht erhält, dass eben Schwachstellen auch wirklich behoben werden. Ähm. Und ja, weitere, ja, würde ich sagen, Nebensächlichkeiten, Nachhaltigkeit würde ich an dieser Stelle jetzt mal äh überspringen. In der Außenpolitik die Verpflichtung zur defensiven Cyber-Außenpolitik dann noch ein Recht auf Anonymität äh, Bildung entgegenwirken, Verschlüsselung immer weiter voranbringen. Und am Ende eben äh die hochautomatisierten Systeme einschränken, die die Grundrechte von Menschen berühren. Das ist jetzt so ein Schnelldurchlauf durch diese gesamte äh durch diesen gesamten Forderungskatalog, den ich ja sehr gelungen finde und den fanden finde, glaube ich, nicht nur ich sehr gelungen, wir haben auch von den Parteien. Wahrgenommen, dass sie den äh berücksichtigen und äh ähm.

Ich sage mal, zur Kenntnis genommen haben.

Ja, also.

Ob sie den wirklich berücksichtigen, das werden wir dann erst noch sehen.

Das werden wir sehen, aber die haben denen ist das sehr wohl gewiss, dass äh wir das getan haben und äh oder oder dass der CCC das veröffentlicht hat, hier federführend war an der Stelle Erdgeist. Ähm, dass es das gibt, ja und dass man sich das, dass das äh das findet Berücksichtigung, ja? Und wenn man jetzt mal, zumindest will ich jetzt sagen, bei der bei den Grünen, sieht das ja jetzt auch nicht Themen, die denen völlig neu sind, wo die jetzt nochmal googeln müssen Ja? Ähm bin mal gespannt und bei der FDP.

Bei der FDP auch, ja. Genau, aber bei der SPD wahrscheinlich.

SPD müssen wir nochmal gucken, ja. Da wäre eben jetzt auch die, ja, vielleicht, vielleicht haben wir Glück, und die schaffen das jetzt mit dieser Kiffernebel-Kerzen-Debatte, sich darüber einfach die ganze Zeit zu unterhalten und der SPD so 'n paar vernünftige digitalpolitische Themen in ins Regierungsprogramm zu zu mogeln. Das ist so ein bisschen die Hoffnung.

Ja, ich halte nicht meinen Atem an. Um es mal so zu sagen.

Und jetzt aber so ist die politische Arbeit hier, ne? Es ist tatsächlich also es ist jetzt ein sehr wichtiger Moment, ja? Für derart derartiges Engagement, weil wenn du's in also wenn du es mit der mit dem Ziel in das Regierungsprogramm schaffst. Dann kannst du eben auch durchaus darauf pochen oder davon ausgehen, dass es da eben tatsächlich auch ähm. Eine Umsetzung geben wird. Ja, wie gut die sein wird, wie sieht man dann nochmal, aber es wird eine geben. So, was gab's nicht? Facebook gab's nicht.

Verdauen, also okay, also dein deine Bubble hat das Antenne gemerkt und ich. Ich war ein bisschen stolz, ich hab's einfach gar nicht gemerkt. Weil ich einfach all diese, also weder WhatsApp noch Instagram, noch Facebook wirklich aktiv benutze, Ähm und das von daher, also für mich erstmal keinerlei Diskruption, äh dargestellt hat. Bis zu dem Zeitpunkt, wo ich einen Podcast veröffentlicht habe. Und da äh gab's dann tatsächlich auf einmal eine skurrile Fehlermeldung. Denn ich benutze ja mittlerweile ähm einen automatischen Transkriptionsdienst.

Nein und der ist von Facebook.

Der ist äh tatsächlich ist die Bude, die ich benutze, jüngst von Facebook gekauft worden und war dann eben auch von dieser Outfit betroffen. Also äh von daher sieht man mal wieder, wie wie die langen Arme dieses Unternehmens überall herein.

Ich hätte gehofft, dass wir hier, dass wir hier jetzt äh sagen können, hostet selber, macht das.

Ja, gut, aber Transkription ist halt derzeit einfach nur über diesen Weg äh nennenswert ähm zu realisieren, also zumindest for free, ne. Na ja, egal. Lief ja dann auch irgendwann wieder, was war denn eigentlich passiert? Also von einem Moment auf den anderen ist so mehr oder weniger das komplette Facebook Netzwerk abhanden gekommen.

Es muss halt dazu sagen, dass Facebook Netzwerk ist ja, du hast es ja schon gesagt. Was Instagram, WhatsApp und Facebook, ne, sind so die drei großen.

Die großen Dienste, glaube ich, die die Leute eben auch so aktiv ansteuern.

Und, und, und unser Transkriptionsservice, Alter, was ist denn hier los? Ich steh nirgendwo in der Tagesschau.

Genau, da hängen sicherlich auch es gab sicherlich auch noch eine ganze Reihe anderer kleinerer äh Buden, die in irgendeiner Form auf Facebook gehören, die gar nicht aufzuzählen, weil ich das äh wieder genau weiß noch, dass mich irgendwie nennenswert interessiert. Nur also das wirklich alles von einem Moment komplett vollständig, von der Bildfläche verschwunden ist, hat natürlich äh viele Leute irgendwie sehr verwundert, Facebook natürlich auch. Ähm und, hat halt auch, sagen wir mal, für die technisch versierten Leute auch schnell ähm. Diese Möglichkeit, dass sie sich hier in irgendeiner Form um einen, in Anführungsstrichen Hackerangriff handelt oder so etwas. Eigentlich ähm nicht mehr im Bereich des Denkbaren. Denn dieses vollständige Verabschieden von einem Moment auf den anderen, also wirklich vollständig im Sinne von alles komplett. Das äh wie es, glaube ich, die Experten schon relativ schnell darauf hin, dass sie sich hier primär um ein Netzwerkproblem handelt. Und jetzt denkt man so, na ja gut, aber Facebook hat doch so viele Server, äh kann ja nicht sein, dass die alle auf einmal ausgeschaltet waren waren sie auch nicht, sondern äh was passiert ist, ist bitte.

Die waren alle an.

Die waren alle an, also alles lief, die an die die saßen da irgendwie, das ist so wie so ein Laden, der äh das Geschäft aufmacht und sich wundert, dass keine Kunden reinkommen. Und der Grund ist einfach der, Die Facebook-Infrastruktur ist einfach mittlerweile wirklich, wirklich, wirklich groß. Ich kann das jetzt nicht konkret quantifizieren, aber man muss sich das eben als einen signifikanten Teil des gesamten Internets vorstellen. Und genau das ist es technisch nämlich auch. Internet heißt ja deshalb so, weil's eben ein ein Network auf Networks ist. Ja und das Internet, einfach alle diese Netzwerke und es gibt dann eben auch entsprechende Protokolle, die dieses Gefüge der ganzen Netzwerke auch ähm. Sie wo sich diese ganzen Netzwerke gegenseitig vorstellen können und sagen können so, hallo, uns gibt es, äh wir sind übrigens über diesen Weg zu erreichen. Und Facebook hat natürlich eine weltumspannende Infrastruktur mit eigenen Glasfaserleitungen und Data-Centers und vor allem auch vielen kleinen einzelnen Verbindungsorten, wo so Rauter äh stehen, wo sich Facebook, an die anderen großen Netze, also die Telekom und und was nicht alles und Starling, also, alle größeren Unternehmen, die in irgendeiner Form eine so eine weltweite Infrastruktur äh anbieten oder für sehr viele Kunden in einem Land, Internet anbieten. Die sind so auf diesem Level unterwegs, autonome Systeme, die quasi von Facebook ähm ja erstmal verwaltet quasi Facebook sein Netz und dann gibt es den Teil, wo sie sagen, Rest vom Internet. Hier sind übrigens die ganzen Zugangspunkte, wo ihr unsere Server erreichen könnt.

Um das vielleicht nochmal noch einfacher zu sagen, ne, äh nochmal, noch einfacher zu darzustellen. Eure jeder Rechner, der mit diesem Internet verbunden ist, hat eine IP-Adresse und unter dieser IP-Adresse ist er erreichbar. Aber das Internet muss ja irgendwoher auch wissen, wo diese IP-Adresse denn nun mal ist. Also, ne, euer Datenpaket sagt, ich möchte jetzt, was weiß ich, also. Frag den DNS-Server, was ist Facebook dot com, da kommt irgendwie eine IP-Adresse zurück, wird gesagt, meld dich mal da und dann schickt dir ein IP-Paket raus und sagt, ähm, Ich möchte mit, was weiß ich, diesem dieser IP-Adresse reden. Und dieses IP-Paket geht als allererstes an euren Router. Und der trifft an der Stelle eine sehr einfache Entscheidung, nämlich okay, ist das eine lokale IP, zu der ich hier ruten muss, also zum Beispiel eine, die mit eins und zwei, eins, sechs, acht anfängt oder äh mit zehn, ne, also eine lokale Adresse, dann nehme ich das Paket und schicke das dahin. Und wenn es eine ist, die ich nicht lokal erreichen kann, dann schicke ich die jetzt zur Deutschen Telekom oder zu meinem nächsten Router. Ja? Spätestens der muss dann irgendwann mal sagen Alles klar, ich bin hier, was weiß ich, fett angebunden am DKX. Ich habe äh ne, Dattunterseekabel, diese in diese Richtung ist der, ne, da da hinten sind die zwanzig.tausend Switches, die in Richtung des einen Unterseekabels gehen und hier ist ein Router, der geht da lang, will ich jetzt nach Asien, da will ich nach Amerika. Der muss irgendwann wissen, auf der Ebene, der Kabel letztendlich, ja, oder der, also der des des äh Protokolls, was sie darunter sprechen, ähm, An welchen meiner vielen Ports muss ich denn jetzt dieses Paket schicken, um zu dieser IP-Adresse zu kommen?

Das war jetzt sein Versuch einer einfachen Erklärung.

Ja, das ist doch jetzt, das war doch jetzt nachvollziehbar.

Ich würde äh na ja okay gut, wir haben unterschiedliche Vorstellungen von einfachen Erklärungen. Ich mache mal eine ganz einfache Erklärung, ja? Facebook ist eine dicke, fette Shopping-Mall und die steht an so einer Autobahnausfahrt und Facebook hat einfach alle Schilder, die an der Autobahn hat sozusagen diese Autobahnausfahrt, gesperrt. Und keiner konnte mehr zur Shoppingmal mit all seinen tausend äh kleinen Läden äh finden, weil einfach nichts mehr dahin zeigt. Mal kurz erklären, was einfach passiert ist. Also es gibt ähm Natürlich sehr viele Admins, die äh für Facebook dieses Netz warten und die haben auch eine ganze Menge äh auf den Kasten nur wie es eben so ist. Software macht auch mal Fehler, Programmierer äh bauen auch mal Bugs ein. Und sie haben halt einfach ein reguläres Update, wie sie's den ganzen Tag über weltweit die ganze Zeit äh machen und machen müssen äh eingefahren. Und durch einen Softwarefehler. Ist Ihnen aber sozusagen diese ähm also Sie benutzen da so ein Protokoll, das heißt Protokoll, ja, da steckt schon so ein bisschen im Namen, dass da sozusagen eben die die einzelnen, Grenzlinien im Internet, also die Verbindungspunkte zwischen den äh einzelnen Netzwerken konfiguriert werden, die Borders, und äh im Prinzip hat Facebook ähm, nichts mehr bekannt gegeben oder alles das, was bekanntgegeben ist, war auf einmal ungültig. Das heißt, Facebook war einfach für alle anderen Netze unsichtbar. Es gab kein Facebook-Mad, diese ganzen IP-Adressen, wie du's grad äh erläutert hast, hatten kein Ziel mehr, kein Router konnte irgendwo was hingehen und da eben auch diese ganzen DNS-Server, die halt Namen auf IP-Adressen, auflösen, ne? Wenn du Facebook dot com eingibst, muss ja erstmal daraus eine Adresse generiert werden, auch die waren dann nicht mehr erreichbar. Also Facebook war einfach komplett weg wie vom von vom Planeten. Weggefegt, ja, also einfach eigentlich so ein Traumzustand, ne.

Also so würde man's machen.

So würde man's eigentlich machen und das können sie aber selber dann am besten. Dann, haben sie das natürlich relativ schnell gemerkt. Ist ja jetzt nicht so, dass sie sowas nicht bemerken würden, wenn irgendwie all ihre Dienste weltweit nicht mehr zu erreichen sind, weil auf einmal geht die Last auf allen Systemen weg und natürlich fangen alle an zu schreien und alle sind dann irgendwie auf Twitter und auf Tinder. Auf Twitter beschweren sie sich nur auf Tinder, beschäftigen sie sich und ähm dann äh war aber das Problem, dass jetzt sozusagen sie auch nicht so ohne weiteres das wieder einschalten konnten sie ja auch ihre eigenen Netze nicht mehr erreichen konnten, also sie hatten selber auch gar keinen Zugang mehr zu diesen Data-Centern, also zumindest nicht über das Netz. Und mussten dann, um alles äh hochzufahren, tatsächlich physikalisch Leute in diese Datacenter schicken, um, die äh äh Rechner sozusagen, um überhaupt diesen Zugriff wieder zu erlangen, um diese Konfiguration wieder zu ändern. Da kommen dann aber auch verschiedene, physikalische Security Prozesse rein, weil natürlich nicht in so ein Datacenter einfach mal irgendjemand mal mit so einem kleinen Ausweis reingeht, sondern das sind dann aufwendige Prozeduren, die doppelt und dreifach abgesichert sind. Und die mussten dann alle erstmal durchschritten werden. Und deswegen hat das, glaube ich, sechs Stunden gedauert, oder 9 irgendwas in der Größenordnung, dann eben auch wirklich der Zugriff der Admins selbst erstmal wieder hergestellt waren, damit sie dann eben diese Änderung rückgängig machen könnten und das Netz dann wieder verfügbar war.

Und jetzt kommt noch eine erschwärende Sache hinzu. Ähm Facebook und Apple macht das, glaube ich, auch und Google auch. Ähm, Und die machen das sogenannte, Also, das bedeutet, du musst dein eigenes Hundefutter essen, ja? Und die bilden quasi alle ihre Prozesse auf der eigenen Infrastruktur ab, also Facebook. Die Mitarbeiterinnen von Facebook. Arbeiten, koordinieren und sprechen miteinander über Facebook. Und Facebook war aber jetzt nicht mehr da. Das heißt, die hatten.

Kein Kommunikationstool.

Nicht nur ihr Produkt und ihre Infrastruktur runtergenommen, sondern auch ihr ihre eigene Kommunikation. Ja, also die hatten sich alles, die hatten gar nichts mehr. Das war so richtig irgendwie so. Ich würde mal vorsichtig sagen, man man rechnet ja so mit allem, ne. Und ähm die haben sicherlich auch Kontingentspläne für alles. Aber ich würde mal so sagen, unsere kompletten BGP-Anouncements sind weg. Das hatten die bisher auch noch nicht so in ihrem roten Büchlein, Ja, weil die wahrscheinlich sagen, okay, Facebook ist dauern, dann müssen wir eine WhatsApp-Nachricht an den Chef schicken, so ungefähr, ne? Aber ähm das, dass das halt einfach alles weg ist und was du ja dann auch hast, sind ähm, glücklicherweise ist das ja eine relativ einfache Sache, weil in dem Moment, wo die, wo du von deinen Core-Rutern wieder diese diese Ruten announced, funktioniert ja auch einfach sofort alles wieder, ne?

Ja, nicht ganz äh nicht ganz sofort.

Genau, aber häufig hast du ja zirkuläre Abhängigkeiten. Nämlich zum Beispiel, was weiß ich, dass dein Zugangssystem. Zugangskontrollsystem zum Datacenter. Halt irgendso eine kleine Online-Abhängigkeit hat ja? Und wenn da wenn das halt auf einmal auch offline ist, ne, dass du quasi äh dass die halt dann da nicht so ohne Weiteres reinkommen, also alle Prozesse, die sie irgendwie hatten, halt mindestens stark äh erschwert waren. Es ist wunderschön gewesen.

Und es ist auch nicht so, dass man jetzt mal eben dann einfach mal alles wieder freischalten kann weil das natürlich äh mittlerweile sich alles so aufgebaut hat, dass quasi so eine Milliarde Menschen die ganze Zeit mit dem Button irgendwie gekämpft haben und so, ich will jetzt aber hier ja? Ich will ich will auch spielen. Ähm und wollten halt unbedingt wieder auf Facebook und äh Hätten sie jetzt wirklich so mit einem Switch einfach alles eingeschaltet, dann wären sozusagen alle User mehr oder weniger gleichzeitig im selben Moment aufgeschlagen und dann würden die Data-Center halt auch explodieren. Also mussten sie dazu einen ein Protokoll ähm waren, was eben diese Dienste dann tatsächlich einzeln wieder verfügbar macht, also obwohl sie theoretisch alle sofort wieder erreichbar waren, haben sie das dann eben schon so gemacht. Dafür hatten sie aber zumindest schon mal eine Übung, weil das ist dann sozusagen eben dieser Fall. Was ist, wenn jetzt irgendwie ein Data-Center äh durch irgendeinen Sturm. Ist, ja? Stromausfall, keine Ahnung, äh Glasfaserkabel werden durchtrennt, et cetera. Was ist wenn wir das jetzt wieder so alles anschalten, dann können wir das nicht machen. Das ist genauso wie nachm Stromausfall kannst du auch nicht sofort von 0 auf 1hundert alle elektrischen Geräte sofort wieder in Betrieb nehmen, sondern du musst es immer so schrittweise machen, damit dann eben auch die entsprechende Last von diesen Kraftwerken auch verkraftet werden kann. So ähnlich ist es dann halt auch in diesem Fall. Aber das hatten sie zumindest äh auf der Kette, zumindest nach ihrer eigenen Aussage und am Ende ähm hat's dann auch wieder äh funktioniert, aber hat halt leider leider nur sechs Stunden oder so gedauert.

Und ich finde, ich muss tatsächlich sagen, also hm ich glaube, ich bewerte diesen Fall äh etwas anders als äh der, insgesamt jetzt medial behandelt wurde. Ähm erstens mal, wenn man sich überlegt, was für eine Rieseninfrastruktur das ist. Und wie, was für ein absolutes Desaster es ist, wenn du halt also kein einziges Gerät, was die irgendwo. Die noch erreichen, ne? Die liefen alle, aber es gab nichts mehr von denen. Die konnten, konnten das nicht machen und und dadurch, dass dieses, sie konnten jetzt auch nicht sich manuelle Ruden setzen oder so, weil sie halt wirklich die Routen zu den IP-Adressen weggenommen haben, ne. Also was ja als erstes auffiel, war, oder daran scheiterte dann die Welt, die DNS-Server waren weg, Ja? Weil das ist der äh oder die DNS-Einträge waren weg und die kommen von den DNS-Servern. Also hat man erstmal nur gesehen, ah okay, die DNS-Server sind weg. Dann hat irgendwann mal einer gesagt, hm, wo haben die denn mal früher hingezeigt? Na okay, die Ruten sind auch weg. Dann hat man halt gesehen, okay, alles ist weg So, wenn man jetzt mal überlegt, was das für ein riesen Konzern ist, wie viele wie viel Infrastruktur die haben, wie viele Services die haben und dass die, dass sie sich halt wirklich einmal ihr komplettes Routing komplett weggeknallt haben, ist sechs Stunden eigentlich eine ziemlich gute Zeit. Muss ich jetzt echt mal sagen, so. Äh Halleluja, habt ihr gut hingekriegt? So, ich glaube, wenn ich mir hier mal in meinem Heimnetz, ja? Das Routing zerschieße und einmal auf null. Ähm gut, brauche ich wahrscheinlich keine sechs Stunden, aber wahrscheinlich eine, ja? Und wenn die halt ihr weltweites Ding da wieder hinkriegen, äh innerhalb von sechs Stunden, sorry, finde ich absolut, also ist sehe ich nicht dramatisch. Ähm was grundsätzlich natürlich ein Problem ist, ist, dass Facebook zu groß und zu mächtig ist und dass man den den Kauf von Instagram und WhatsApp aus Kartellrechtlichen Gründen niemals hätte zugestehen dürfen. Ja? Das ist korrekt. Es steht aber in meiner Wahrnehmung auf einem anderen Blatt, weil das Risiko dadurch, dass WhatsApp, dass das Facebook auch WhatsApp und Instagram gehört, ist nicht, dass alle drei gleichzeitig ausfallen, sondern das Risiko ist, dass dieses Unternehmen halt viel zu viel Macht akkumuliert und viel zu viel Einsicht. Und im Prinzip für viele Menschen eben das Internet ist. Aber ich finde diesen sechs Stunden Ausfall alles andere als eine Katastrophe und es gab dann, Fand ich auch sehr interessant, dass dann einige sagen, ja, ja, ja, ja, okay. In Europa war's nicht so schlimm äh oder äh weil äh wir konnten ja dann oft hinder oder oder auf Twitter oder äh, auf Signal oder auf Telegramm oder auf Threema gehen, ja, in Ordnung, aber aber in Afrika, äh in einigen Ländern, da ist ja dann äh da ist ja Facebook. Deine Welt und wenn und du hast ja nur eine Facebook Page und wenn die mal ein paar Stunden nicht läuft, dann ist das äh finanzieller Verlust für dich. Ja, okay, ja, spannend. Interessanterweise in den Ländern hat es am wenigsten die Leute interessiert Ja, also als irgendwie in Deutschland noch äh fünf Artikel, die ersten fünf Artikel auf Tagesschau DE sich mit Facebook auseinandersetzen, hast du irgendwie, in den afrikanischen Ländern, in denen ich geschaut habe, da war längst wieder was anderes Thema. Er hat die überhaupt nicht interessiert, Also ich glaube, dass dieses oh Facebook ist kritische Infrastruktur, so dass das wirklich mal massiv über äh übertrieben war, ja. Also.

Ja, kommt drauf an, also ich meine, es gibt halt mittlerweile auch eine ganze Menge Unternehmen, die sind einfach auch nur über Facebook, präsent. Sie haben da ihre Seite und ihre gesamte Wirtschaftsexistenz, alle Buchungen beim Friseur und so weiter, laufen dadrüber. Äh oder eben auch über WhatsApp, was in dem Fall ja dann das Gleiche ist und ähm da muss man sich schon eben darüber Gedanken machen, ob das Verlassen auf einen einzigen, da ausreicht und ob's nicht zumindest mal ganz angemessen wäre, so eine ganz klassische äh Homepage oder wie man früher gesagt hat, unsere Visitenkarte im Netz Ähm ja, ob das nicht vielleicht äh auch nochmal eine ganz gute Idee wäre, zumindest um so die, Grundverfügbarkeit auf die ein oder andere Art und Weise sicherzustellen, beziehungsweise selber auch kommunizieren zu können, dass es einen noch gibt oder wie man denn jetzt alternativ erreichbar ist, weil das, war ja sozusagen auch äh eine Information, die so nicht mehr vorlag.

Ja Ne? Also ja, aber so echt irgendwie ich, also ja, stimmt, ne, Dinge fallen aus, aber ähm irgendwie wenn man jetzt mal kurze Kopfrechnungen. 24 Stunden hat der Tag. Dreihundertfünfundsechzig Tage, also irgendwas achttausendsiebenhundertsechzig Stunden, so sechs davon ist irgendwie auf jeden Fall noch weit unter einem Prozent. Und 99,9 Prozent bietet dir irgendwie jeder. Das heißt oder oder garantiert dir jeder. Das heißt, du musst eh bei allem was du hast, davon ausgehen, dass es vielleicht 1 Prozent down ist. 365 Tagen.

Sind schon drei Tage äh die im Jahr.

Drei Tage, ja?

Das ist zu viel, also.

Ja gut, ist zu viel, aber also ich, ja, also ich meine, äh. Okay, ich freue mich für die Leute, die an diesem verhängnisvollen Tag gelernt haben, dass es vielleicht keine gute Idee war, alles Kritische, was sie haben, ausgerechnet bei Facebook abzubilden. Aber da das ja für alle gleichermaßen ausgefallen ist, ich sehe jetzt nicht die weinenden Friseure ohne Termine, äh die die sagen, oh mein Gott, ey, wenn der große Facebook-Ausfall, der hat mir den Monat ruiniert oder so. Also sehe ich nicht. Also.

Ja gut, also ich meine, da kann auch Veranstaltungen gewesen sein für äh wo der der Tag dann wirklich der entscheidende Tag war. Also weiß man nicht. Ich bin mir sicher, dass es Einzelfälle geben wird, die äh dann schon eher desaströs waren und sicherlich was für die allermeisten äh eher so eine Newsins, aber ist ja auch letzten Endes egal, hat stattgefunden, äh wurde abgeschaltet, wir verstehen und Facebook hat's auch relativ gut selbst erklärt und auch glaubhaft, was er eigentlich genau vorgefallen ist und. Und das Schöne ist doch, dass jetzt Facebook endlich wieder zurückkehren äh kann, um seine eigentliche äh Erfüllung äh weiter zu verfolgen, nämlich die Zersetzung der Demokratie.

Stimmt. Es war wirklich ein schöner Moment. Also das das war übrigens auch ein ein sehr schöner Tweet. Ähm. In dieser Situation, es gab ja sehr, sehr viele Facebook-Dauwn-Witze, äh mein Lieblingstreet war, äh okay, lasst es jetzt einfach unten, bis wir Herdenimmunität erreicht haben. Den fand ich.

Stimmt.

Den fand ich den fand ich sehr. Äh aber okay wir äh es gab äh ziemlich zeitgleich, äh wo dann auch natürlich einige dachten, oh Verschwörung. Ähm. Eine äh Whistleblowerin von Facebook, die ähm erst, glaube ich, im Wall Street Journal oder so was ähm. Anonym irgendwie über Hintergründe und Probleme bei Facebook ausgesagt hat und dann ähm auch vor dem äh Kongress in den USA äh ausgesagt hat, ähm also im Senat äh äh was Facebook eben für Schaden hätte für die Gesellschaft, ne? Also verstärkt die gesellschaftliche Spaltung. Schadet Kindern und ähm diese Spaltung und Hetze, äh die. Befördert ist durch seine Algorithmen, alles Dinge, die wir hier schon weiß nicht, seit wie vielen Jahren rauf und runter beten. Äh und auch die ähm, letztes Jahr dann hier in dieser Netflix-Serie mit Twistin Harris. Wie heißt die denn nochmal? Ähm. Also die sich im Prinzip mit diesen, äh sozialen Netzwerk Algorithmen auseinandergesetzt haben, ja? Und ähm die, das Kern. Problem ist ja, das Ziel dieser sozialen Netzwerke und damit also natürlich auch Facebooks ist es, dass du auf dieser Seite bleibst, ja, weil dadurch können sie dir mehr Werbung anzeigen und gleichzeitig ähm mehr, über dich lernen und über dein Verhalten sammeln, um dir wiederum bessere Werbung zu zeigen. Das heißt, das allergrößte Geschäftsziel von allen, was die erstmal haben. Primäre Ziel von denen ist, mach, dass die Nutzer auf der Seite bleiben. Und das geht eben nur dadurch, dass die, konstant interessante Inhalte kriegen. Ja, also etwas, was ihnen, was sie dazu bringt, sich damit auseinanderzusetzen, weiterzuklicken, zu liken oder down zu voten oder irgendeinen Hasskommentar zu schreiben oder irgendwas, ja. Und. Die relativ einfache Regel ist ja, dass die Leute. Eigentlich nur dann bleiben, wenn es halt nicht langweilig wird. Und damit es nicht langweilig wird, muss halt das nächste interessanter sein als das letzte. Und diese generelle Tendenz, wenn jetzt eine Algorithmus, machst, der ja dann, also haben die ja vor Jahren schon angefangen, weiß nicht, wie wir ja dass du nicht mehr deine gesamte Timeline siehst, sondern dass sie die für dich kuratieren, ja? Und äh da kuratieren die natürlich in deinem Sinne raus, dass sie die langweiligen Sachen rausnehmen, die dich wahrscheinlich eh nicht interessieren. Damit du, ne, am Ende mehr auf der Seite bleibst. Und wenn man diesen Algorithmus einfach plump laufen lässt, dann wird der halt äh polarisierende Inhalte bevorzugen. So, da, das ist alles, also ist auch wirklich das ist unstrittig, ja? Und jetzt aber der Punkt ähm.

Vielleicht solltest du das Wort interessant gegen aufregend ersetzen, ne? Inhalte, die einen mehr aufregen, weil das.

Also die die die genau die die einfach mehr in in emotionale Sache irgendwie ne, irgendetwas in dir auslösen, was darauf sorgt, dass deine Aufmerksamkeit dort bleibt. Und nicht abwandert zu Tinder. So und, ähm. Also das ist unstrittig, dass es so ist, ja? Das ist auch irgendwie sehr gut äh erforscht, ja und relativ klares Phänomen in der Psychologie. Jetzt ist die die der Punkt, der war jetzt hier an dieser Stelle neu ist mit der äh Francis Horgen heißt die, glaube ich. Äh Francis Horga, Horgen, ähm. Dass Facebook das natürlich auch weiß und dass sie aber eine Abwägung getroffen hätten. Ja und dass sie im Prinzip sagen, okay äh wir wir wissen, dass das Feindseligkeit schürt. Aber wir wissen, wir nehmen das in Kauf, wir werden also quasi unserer Verantwortung hier nicht gerecht, weil die einzige, die einzige Weg unserer Verantwortung gerecht zu werden, wird auf jeden Fall in ähm Umsatzeinbußen, Münden für uns. Und deswegen machen wir das nicht. Ja? Und sie sagt, sie glaubt zwar nicht, dass Facebook darauf aus gewesen sei, eine zerstörerische Plattform aufzubauen, doch am Ende trägt eben Mark Zuckerberg die Verantwortung. Und äh sie schließt eben damit, ähm. Dass sie sagt, okay, dieses Ding muss zerschlagen werden, ja? Und diesen, diesem, äh, Fazit würde ich mich dann auch wiederum anschließen und man muss sich tatsächlich überlegen, Ich habe mal wenn du zum Beispiel Instagram anguckst, ne, weil also, Da musst du dich ja nicht wundern, dass die Kinder alle depressiv sind und und irgendwie Erststörungen kriegen. So, also ganz ehrlich, was was da irgendwie für ein Schönheitsideal äh, propagiert wird und die eifern dem alle hinterher und die Leute operieren sich inzwischen die Gesichter, damit die aussehen wie ein Instagram-Filter. Das ist ja, also ist ja wirklich dramatisch, was das mit dem mit dem Erleben und Verhalten von Menschen macht, ähm, Ist, glaube ich, schon klar, dass man das äh im Zweifelsfall ganz gerne lieber loswerden würde, Ja und da würde ich tatsächlich sagen, das ist auf jeden Fall das sehr viel größere Problem dieser Plattform. Und übrigens auch der Grund, warum ich mich ja von denen fernhalte bis auf Twitter, das wäre so meine.

Hast du Angst um dein Schönheitsideal? Also.

Mein Schönheitsideal ist zeitlos, Tim. Das ist völlig egal.

Ja, ist richtig, ne, ist die Frage, ob eine Zerschlagung jetzt auch den äh entsprechenden Erfolg hätte, weil letzten Endes ist es ja auch nicht nur bei Facebook so. Also es ist im Prinzip das Prinzip heutzutage überall und ähm der nächste äh kennt dieses Erfolgskonzept und will auch die gleiche Kohle machen und, kein Netzwerk, keine Webseite, die heute rangeht. Ich meine, du musst dich ja nur irgendwie bei deiner, Bank irgendwie einloggen und du wirst ja schon die ganze Zeit mit irgendwie ja, guck mal hier, guck mal da, also nicht nur so Eigenwerbung, aber auch so, ja, kannst dich damit noch beschäftigen. Bleib mal hier, melde nochmal dein Konto von der anderen Bank hier an und so weiter. Also es geht immer dadrum, Aufmerksamkeit äh und bleibt doch bitte bei uns, denn unsere Plattform wird insgesamt wertvoller dadurch, dass so wie über uns alles andere machst. Man will einfach zum Agenten für alles Mögliche werden, weil das dann eben Screentime generiert wo man dann eben andere Leute Business quasi promoten äh kann und daran mitverdient. Und das ist halt einfach etwas, was wir generell überdenken müssen und wo sicherlich auch noch ein paar wirklich kluge Vorschläge gemacht werden müssen und vielleicht auch schon gibt, die ich jetzt nicht kenne oder zumindest nicht zitieren äh kann, welches Regulativ, welche Art von regulativ man ins Recht einziehen muss, um dieser Problematik Herr zu werden.

Ähm werden wir werden wir heute nicht äh werden wir heute nicht lösen.

Abschließend zumindest.

Nicht abschließend, aber ähm da ich sage mal so ein scheint schon.

Ist schon mal ein guter Ansatz.

Einer der besten Wege zu sein.

Genau.

Muss vielleicht auch sagen, ähm Zuckerberg hat quasi der Francis Horgan widersprochen und sagt, äh sinngemäß, wir verdienen Geld mit Anzeigen und die Werbekunden sagen uns immer wieder, dass sie ihre Anzeigen nicht neben schädlichen oder wuterregenden Inhalten sehen wollen. Erkenne keinen Tech-Konzern, der Produktehersteller, die Menschen wütend oder depressiv machten. Und da würde ich widersprechen. Also da kenne ich aber ähm er sagt natürlich schon, also er er ähm. Er er spricht zumindest an, dass. Sie auch in ihrem wirtschaftlichen Interesse als Unternehmen Facebook einen korrigierenden Faktor haben, der sie davon abhält, das Ding, was weiß ich, zum absoluten äh Hass, Netzwerk. Werden zu lassen allerdings würde ich sagen das also ist OK ne sonst wär's glaub ich auch noch schlimmer aber ich denke dass dieser Faktor nicht, reicht, ja? Also das ist klar, dass sie auch ein Korrekt korrigierenden Faktor haben, aber es ist auch wahrnehmbar, dass der sich nicht ähm. Ja, dass der, dass der nicht ausreichend wirkt. Haltet euch von von äh Instagram und Facebook weg. Das äh tut euch nicht gut, Kinder. Dann kommen wir mal zu den etwas kürzeren Meldungen. Ähm Pegasus, die Staatstrojaner Software des Herstellers NSO äh, stellt sich raus, nicht nur das deutsche BKA setzt sie ein, sondern auch der Bundesnachrichtendienst und der Bundesnachrichtendienst hat das im parlamentarischen Kontrollgremium verheimlicht. Geil, oder? Also, was ist das, ja? Äh also die Bundesregierung hat es dem ähm, parlamentarischen Kontrollgremium verschwiegen, dass der BND die Software wohl längst einsetzt.

Geil. Ich meine, das Kontrollgremium darf ja sowieso nichts weiter erzählen, von daher ist das auch so eh ein bisschen pointles, aber wenn's noch nicht mal die erfahren, fragt man sich wirklich, was das ganze Gremium soll und wo hier eigentlich wirklich eine aktive Kontrolle überhaupt noch stattfindet.

Also das ist wirklich ein, also es ist Skandal, ja, es ist ein und und das sind so Meldungen. Ja, also ich meine, guck mal, das hier nicht irgendwelche Leute, die das äh rausbringen, ne, Georg Maskolo, Florian Vlade, so ernstzunehmende, mh. Journalisten, die äh ja hier, auch eine wahnsinnige Leistung verbracht haben, das irgendwie rauszukriegen, ne, dann müssen wir im Zweifelsfall irgendwo äh ein Leak gefunden haben, irgendjemanden, den sie äh dazu gebracht haben, das zuzugeben. Und jetzt ist gerade jetzt diskutieren, aber alle gerade irgendwie übers Kiffen. Und uns so etwas verpufft sogar, ja, dass das und darf man nicht vergessen, ne? Das sind ja die, ich meine, diese alte Bundesregierung. Das sind die, die wir jetzt zum Glück hoffentlich mal, wenn wir Glück haben, für vier Jahre los sind. Ja, aus guten Gründen. Die haben diese Dinge zu verantworten. Eine und äh es gab ja jetzt gerade wieder äh kritische Updates für für Apple. Ich weiß nicht, also bei diesem Mal war war nicht, mit dabei gesagt, ob sie jetzt im Zusammenhang mit Pega so stehen oder nicht, aber Vermutung steht nah. Er liegt nahe und ähm das ist einerseits sehr schön, weil dann eben diese Schwachstellen behoben werden. Andererseits natürlich katastrophal, weil man äh dadurch erfährt, dass es diese Schwachstellen gab und dass es eben ein Unternehmen gab, dass diese Schwachstellen jahrelang kannte und ausgenutzt hat und dass dieses Unternehmen, nicht nur von irgendwelchen Autokraten und Diktatoren irgendwie Geld bekommt, sondern auch von der deutschen Bundesregierung. Tja.

Ein Elend.

Also das ist das und es sollte natürlich Konsequenzen haben. Übrigens auch, das ist hier in diesem Artikel äh von Florian Flade und Georg Maskolo schön drin, ja, den wollen wir auch dran erinnern, ja? Ähm lalala. Der stellvertretende Grünen-Fraktionsvorsitzende Konstantin Notz nannte Pegasus einen Alptraum für den Rechtsstaat. Die FDP forderte, die Überwachung durch Staatstrojaner zu stoppen. Das ist das, Grün und das Gelb in der ähm in der ähm in der äh Koalition und äh da wollen wir mal hoffen, dass sich dass die sich durchsetzen. Auf der anderen Seite, äh wenn du in Deutschland als Hacker mal eine Schwachstelle irgendwo meldest Äh wie ist da angezeigt und kriegst eine Hausdurchsuchung, ja? Wir haben den Fall von Lidl Wittmann ja besprochen, da gab's ja dann die Strafanzeige sehr zuvor reagiert, CDU hat sich ins Zeug gelegt, dass irgendwie äh das zu, und es kam dann zur Einstellung des Verfahrens mit Sicherheit eigentlich durch den politischen Druck der Betroffenen. Ähm und wir haben das in der letzten Sendung schon kurz angesprochen, dass gerade ein äh Entwickler, ich würde jetzt noch nicht mal sagen, Hacker äh. Quasi große Probleme hat mit dem Unternehmen äh Modern Solution. Und zwar hatten die eine. Bereitgestellt für Online-Marktplätze, wie zum Beispiel Otto-Check 24 oder Kaufland. Also ist nicht irgendwie nicht kleine, ne? Und äh da waren 700.000 Kundinnen betroffen. Und zwar war das dieser Fall, ich erinnere nur daran, wir hatten da schon drüber gesprochen, dass dass die diese App hatten, die dann statt über eine API zu kommunizieren. Direkte MySQL-Verbindung auf deren Server. Und das ist so, es ist so krass, ja? Also, dass die haben quasi in der App die die MySQL Zugangsdaten gehabt, und dann hat die App ja doch und dann hat die App äh sich quasi über my SQL dorthin verbunden und hat gesagt, was ne select from äh Kunden, ja. So und jetzt kommt also erstens. Macht man so nicht.

Nein, das macht man nicht.

Das kann man so nicht machen. Man baut eine API, die ne rechte Kontrolle davorsetzt und so weiter. Zwei, weil in dem Fall du ja den Kunden, auch die Rechte gibt's zum Beispiel zu sagen, äh ne, drople und so weiter und.

Mal alles, genau.

Noch dazu war das jetzt für unterschiedliche ähm Kunden, ja, das Gleiche, das heißt, du konntest mit den Otto-Zugangsdaten auch die Tabelle von äh.

Zwanzig leermachen, oh man ey.

Und das ist also das ist so also das ist so krank. Ja, das kannste nicht machen, ne. Also, also das ist so dilettantisch, das kannst also auf ich habe schon viel gesehen Ich habe ja wirklich schon viel gesehen, ne. Ich meine, ich mache das ja beruflich. Man will nicht sehen, willst gar nicht wissen, was ich jeden Tag beruflich sehe und wie ich mir danach immer mit Kernseife die Augen auswasche, ja. Aber so was. Ist mir in zehn Jahren IT Security nicht untergekommen. Nur um mal das Ausmaß zu zeigen andere Dinge schon, ja, ich meine, wir haben ja ein paar äh äh Vorträge über solche Dinge gehalten, wenn es wenn es halt mal nicht irgendwie äh im beruflichen Verschwiegenheitskontext war, aber so etwas habe ich noch nicht gesehen. Und sowas habe ich noch nicht gesehen.

Und das ist vor allem alles, aber bestimmt keine Modern Solution.

Nein, das ist keine Materie.

Das ist das, es ist wirklich also, Also das ist noch nicht mal Steinzeit, weil das hätte man auch in der Steinzeit so nie tun dürfen. Also es war schon immer falsch. Aber es ist einfach jenseits jeglicher Security äh Praxis. Es ist auch einfach generell äh. Fällt mir nichts zu ein.

Absolut, also unvorstellbar.

Katastrophe.

Unvorstellbar, also wie man so etwas überhaupt veröffentlichen kann, als also.

Überhaupt erwägen kann, so was überhaupt so erstmal zu machen. Geschweige denn eben dann auch wirklich auszuliefern und dann im Betrieb zu halten.

Man muss dazu sagen, also es gibt ähm. Also was man häufiger hat, ja, ist, dass ähm also um jetzt mal die eine nicht, nicht viel bessere. Ähm äh Interation des gleichen Fehlers mal zu bemühen. Man hat es häufig, dass Programmierer. In einer Applikation, Passwörter, Hardcoden. Ja? Und dann denken so das ist ja jetzt hier in dem binärcode drin und da kommt ja niemand dran. Da findet ja niemand. Ähm weil ich bin ja schlau, weil das ist ja in dem in dem Code versteckt und nicht in irgendeiner Konfigurationsdatei oder so, die ja jeder finden würde. Also, hardcore ich in meinem. Und äh kopiliere das und bin dann irgendwie äh glücklich und denke mir, dieses Passwort wird niemals jemand finden. Ja, jetzt gibt's aber natürlich so ähm Tools wie Eider Pro, Dibu, IL Spye, wie sie alle heißen, mit denen man quasi in den kompilierten Programm-Cord wieder reinschauen kann und ihn äh ja dekolliert. Also das Ding macht im Prinzip. So ein so ein so ein äh versucht ähm das das Kompilat, quasi aus dem den Quelltext zu rekonstruieren. Und so etwas wie ein String, der da drin verarbeitet wird, finden alle die Komppierer sehr einfach, ja? Also zum Beispiel, wenn du jetzt irgendwie. Was weiß ich, einen einfach in irgendeiner Programmiersprache deiner Wahl, einen String zuweist und sagst, das ist das Passwort, was wir nachher verwenden. Den holst du da in null Komma nichts raus, ne? Also auch, da brauchst du gar keinen dafür. Das ist ein Fehler, den Leute sehr oft machen, dass sie dann aber auch noch quasi direkt über auf MySQ Apports zugreifen, Äh das ist äh das ist halt nochmal eine damit kommst du dann halt wirklich in die in die internationale Liga, Die internationale Liga, der des des Vollversagens. Weil kann, so blöd kann keiner sein.

Also man stellt nicht die nackte Datenbank direkt ans Netz, sondern da muss immer so ein mitdigierender, mindestens ein integrierender, vermittelnder Leer, dazwischen sein, wenn nicht sogar mehrere. Allein schon, um überhaupt erstmal eine Trennung von dem, eingeloggten Nutzer zu dem System äh zu machen und und dann auch sicherzustellen, dass eben genau dieses äh wenn ich auf Otto zugreifen kann, kann ja auch auf Check zwanzig4 zugreifen, um das zu verhindern. Also wo einfach eine Logik das einfach von vorne rein schon mal so trennt, dass es auch gar nicht geht.

Und, und, dass du, dass du natürlich, also du, was du machst, ist eine APID bestimmt, die, die. Dann eben einen eingeschränkten Funktionsumfang bereitstellt und für den auch ähm Berechtigungen berücksichtigt, und sagt, okay, äh du bist angemeldet als Nutzerin vom Typ Administrator, äh du darfst dieses und jenes, aber dieses und jenes nicht, das darfst du sehen, das darfst du nicht. Das sind alles Dinge, die kann die Datenbank selber nicht Deswegen hast du und dieses Layer Der Berechtigungsprüfung kannst du natürlich nicht, das kannst du, aber solltest du nicht in die bösen Hände des Kunden oder des Angreifers geben Naja, okay. Was ist hier passiert, wenn ich das richtig in Erinnerung habe? Hat der äh Entwickler, der hier betroffen ist, ähm. Mehr oder weniger, glaube ich, einfach nur angemacht, weil das diese, also ein Netzwerk äh Traffic mitgeschnitten und die ähm. Weil die Verbindung zu dieser Mais äh Datenbank halt unverschlüsselt stattfindet, konnte er die quasi äh das.

Kabel auslesen sozusagen.

Ja, so, also so ging es auf jeden Fall auch. Ich müsste jetzt nochmal gucken, es sind wie gesagt, haben jetzt letzte Woche schon angeschaut. Ähm, So, was haben die gemacht? Die haben halt Bescheid gegeben. Ne, also der äh Decker hat der dem Unternehmen Bescheid gegeben und hat dann noch so einen Blogger Bescheid gesagt und dieser Blogger hat dann ja sehr, sehr zeitnah darüber geschrieben, Ja. Ähm und dann auch noch weiter, weil Reparaturversuche bei diesem Anbieter. Eben untauglich waren. Und das ist jetzt so, sage ich mal, also das ist jetzt nicht so hundert Prozent optimal gelaufen, weil es eben wohl eine sehr kurze Zeit war zwischen er hat die die den betroffenen Anbieter informiert und es kam keine Reaktion und es gab einen Artikel darüber.

Was hast du, was hast du die etablierte Zeitraum, wie viel Zeit man Vorlauf gibt? Bevor man was veröffentlicht?

Na, also zumindest auf ein paar Tage auf Antwort warten, musste dann halt schon, ne?

Und wie viel war's jetzt hier effektiv?

Ich glaube, also wenn ich das richtig erinnere, ich müsste jetzt nochmal genau gucken, aber nicht, nicht sehr viel, ja. Also der hat halt irgendwie innerhalb kürzester Zeit, ja? Und, ja oder Tage so. Das aber ne, das ist jetzt also das ist eine Detailsache. Am Ende darf man nicht vergessen, dieses, Unternehmen, hat einen Server gehabt, der sofort abgeschaltet werden musste. Und es gab auch keine andere äh Forderungen, die man sinnvoll diesem Unternehmen gegenüber hätte stellen können. Und die mussten dieses Ding sofort abschalten, weil das ist ein Fall von ähm, Du musst davon ausgehen, dass das schon jemand anderes längst gefunden hat. Mit einem schlechten Passwort und so. Das das das du musst eben in diesem Fall kannst du nicht sagen, okay, danke, dass sie uns Bescheid gesagt haben. Wir nehmen uns jetzt drei Monate Zeit und beheben die Schwachstelle. Was jetzt ähm. Vielleicht in anderen Fällen üblich ist, wo es sich um irgendeinen Zero-Day Exploite handelt, wo die Wahrscheinlichkeit gering ist, dass jemand anderes das jetzt in dieser Sekunde findet, ne? Aber bei so einer, katastrophalen Sache, denke ich, ist die Forderung angemessen zu sagen, schaltet diesen Server umgehend ab und ähm ne, fertig. Die haben aber dann irgendwie gesagt, ja, okay, dann bauen wir jetzt eine neue App, in der wir ein anderes Passwort irgendwie versuchen, drin zu verstecken, das so kommen dann nämlich blöde Programmierer und versuchen dann irgendwie alles klar, dann machen wir jetzt dann machen wir jetzt 'ne Verschlüsselung, ich erfinde jetzt ein genialen Verschlüsselungsalgorithmus und dann entschlüssele ich das Passwort und dann steht das Passwort nicht mehr im, sondern erst nach drei Läufen im Speicher, ne, solche irgendwie solche beknackten Ideen kriegen die Leute ja dann immer, ne. Anzuerkennen, dass das fundamental nicht reparierbar ist. So, also die Veröffentlichung hier. Sehr zeitnah und ähm irgendwie ist er auch unklar, wie viel Zeit jetzt noch genau dazwischen war, dass die diesen Server abgeschaltet haben und dieser Blogger, darüber berichtet hat, ja? Ähm warum sage ich das? Na ja, das also das das Problem ist ja hier, du willst ja. Dass diese, also du, du, du informierst ja den Hersteller und dann die Öffentlichkeit, damit diese Daten geschützt werden, also den Hersteller, damit der, den Missstand beseitigt und die Öffentlichkeit, damit sie über den Missstand in Kenntnis gesetzt wird, ja? Und über das Risiko.

Und in dem Fall auch noch, nicht ganz zu vergessen, auch die Kunden, die hier unmittelbar betroffen sind, weil so weder Otto noch check 24 dürften ein größeres Interesse daran haben, dass alle ihre Kundendaten ausgelesen werden, weil dafür haften sie ja dann auch, selbst wenn es jetzt erstmal der Fehler eines Dritten. War.

Und erst recht nicht, die Kunden von denen, ja? Erst recht nicht die Kunden von denen, also die dieses Unternehmen Modern Solution, ja, das kennt ja gar keiner, aber es gibt 700.000 Leute, die deren persönliche Daten und, und unverschlüsselte Passwörter in dieser verfluchten Datenbank waren.

Unverschlüsselte Passwörter auch noch.

Ja, natürlich. Natürlich Tim.

Was sind denn das für Anfänger, die da irgendwie.

Absolut also du kannst es dir nicht als das ist nicht äh absolut nicht. Hier die haben.

Schon fast kriminell schlecht.

Meldung vom 230621 von dieser diesem Unternehmen Modern Solution GmbH und Co KG. Äh sehr geehrte Damen und Herren, mit dieser Nachricht eine Datenschutzverletzung bei der Modern Solution GmbH und deren Umstände informieren. Was ist genau passiert? Heute am dreiundzwanzigsten sechsundzwanzig einundzwanzig, acht Uhr neun wurden wir von einem in Anführungszeichen ethischen, auf eine Sicherheitslücke in unserem System hingewiesen. Eine Sicherheitslücke, ne? Aufgrund dieser Sicherheitslücke war es möglich, dass, Passwort zu unserer Datenbank abzugreifen und auf unverschlüsselte Passwörter und personenbezogene Daten zuzugreifen So. Das ist immer richtig geil, diese Texte, weil was ich da eigentlich drin befindet, ist, okay, wir haben das Datenbank-Passwort einfach unseren Kunden gegeben und, ähm von den an, von deren Kunden haben wir die Passwörter unverschlüsselt in unsere Datenbank reingeschrieben, ja? Über dieses Datenbank-Passwort verschaffte sich der Hacker, externen Zugriff auf unsere Datenbank sowie unser Ticketing System. Inwiefern eine Weitergabe oder Weiternutzung dieser Daten durch den Anführungszeichen ethischen Hacker erfolgt ist. Und ob es zu weiteren Zugriffen gekommen ist, ist uns derzeit nicht bekannt. Wir arbeiten intensiv an der Aufklärung. Welche Daten sind betroffen? Betroffene Daten unserer Kunden sind Namen, Vorname, E-Mail-Adresse, Telefonnummer, Bankdaten, Passwörter und Gesprächsverläufe sowie Anrufhistorie aus unserem Ticketsystem, betroffene Daten ihrer Kunden sind Versand, Informationen wie Name, Vorname und Anschrift. Es ist so, dass ich so der, also das ist das, was also dieses Datenleck, ne, wenn du da jetzt drin bist und der durchschnittliche Bürger bist, der überall das gleiche Passwort setzt, dann bist du in diesem Moment erledigt.

Das ist echt.

So und dann sagen sie, ne, dann, Welche Folge hat die Daten äh äh obwohl wir unverzüglich Abhilfemaßnahmen eingeleitet haben, bestand potenziell potenziell die Gefahr, dass, unbefugter Zugriff auf Personen bedanken und genommen wurde, dadurch kann es dazu gekommen sein, dass sich unbefugte Personen mit ihrem Passwort in ihrem Account einloggten. Auch könnten unbefugte Personen versucht haben, ihre Personen, bezogene Daten, wie beispielsweise Finanzdaten zu missbrauchen. Welche Abhilfemaßnahmen haben wir getroffen? Jetzt wird's wieder lustig, ne? Unsere Kundenzugänge wurden erneuert und komplexer dargestellt.

Das ist gut.

Ebenfalls haben wir bereits damit begonnen, ein neues Verschlüsselungsverfahren einzuführen, um eine höhere Sicherheit unserer Infrastruktur zu gewährleisten. Ist auch schön, ne, ein neues Verschlüsselungsverfahren macht natürlich den, macht den Eindruck, als hätte schon mal eins gegeben, also der Satz wäre ja eigentlich ohne Neues, ist er ja immer noch, ist es, ist es ja, ist er ja wahr, aber durch diesen Hinzufügen des Wortes Neues, wird der Eindruck erweckt, ähm ne, jetzt oh, wir haben bessere Verschlüsselung, ne? Gleich nachdem die Verletzung aufgefallen ist, haben wir unseren Datenschutzbeauftragten kontaktiert und werden unverzüglich die zuständige Datenschutzaufsichtsbehörde über den Vorfall informieren, was können sie tun? Was ist hier ne, fertig, denn welche Themen sind zu beachten? Seit heute Morgen zehn Uhr sind alle abgleiche in Richtung der Märkte deaktiviert, Marktplatzbestellungen werden bei uns im Interface zwischengespeichert, jedoch nicht in ihre VAVI. Geschrieben war, wie es war in Wirtschaft. Ähm das ist also seit 10 Uhr haben sie eben diesen. Diese Datenbank äh vom Netz, dann sagen sie, was das noch für andere Sachen äh hat und was ich sehr schön finde, Dieser Text ist dann endet mit für weitere Fragen finden Sie hier die Kontaktdaten unseres Datenschutzbeauftrag, Pro Lions GMBH, WWW Datenschutzexperte DE aus München und die E-Mail-Adresse, Datenschutzbeauftragter at Datenschutzexperte DE. Wenn du willst. Super E-Mail-Adresse. Ähm und da siehst du, die haben offenbar, ne, einen externen Datenschutzexperten, ja? Wenn du so arbeitest, dann musst dich natürlich nicht wundern, dass du solchen Kram baust und da kannst du dich natürlich auch fragen, wie geil dieser Datenschutzexperte ist, wenn er dir solche Würste durchgehen lässt, ne? Weil natürlich, betone das ja immer, Datenschutz hat nichts mit IT-Sicherheit zu tun. Tja, also Katastrophe, wie und jetzt, also was macht dieses Unternehmen? Äh es über diesen Fall wurde damals auch berichtet, zum Beispiel äh Patrick Beuth hatte auf äh Spiegel Online am 1. Juli darüber geschrieben. Und ähm ja, jetzt ist war das letzte Woche oder so ähm Hausdurchsuchung, dem Typen, der das gemeldet hat, ne? Das ist, muss man jetzt sagen, ihr irgendeinen äh ich sage jetzt mal, irgendein ähm, Programmierer, freiberuflich hat eben kleine Unternehmen, hatte halt daher in diesem Kontext mit dieser Software zu tun, ist auf diese Schwachstelle gestoßen, hat sie, gemeldet und hat eben auch die Öffentlichkeit darüber in Kenntnis gesetzt und man könnte jetzt noch, hätte vielleicht sagen können, hättest du zwei Tage später darüber die Leute in Kenntnis gesetzt, wäre immer noch okay gewesen, aber da es ja nun mal seit zehn Uhr abgeschaltet war. Und die Veröffentlichung dieser Tatsache, dass es so war, eben danach erfolgt ist. Denke ich, kann man hier niemandem einen einen ähm einen Vorwurf machen, so. Gab ja kein, worauf willst du denn noch weiter warten? Ja, in dem Moment, wo Gefahr gebannt ist, äh informierst du die Öffentlichkeit, insbesondere, wenn du davon ausgehen musstest, dass betroffene Unternehmen professionellen Rat hat, von einem Datenschutzexperten, der natürlich dessen Hauptaufgabe natürlich ist, in solchen Fällen. Ähm das Unternehmen mit äh Minimalschaden daraus zu wursten Ja? Und das ist natürlich hier äh äh nicht nicht angemessen. Ja, also ein Unternehmen, was so agiert, wie diese Modern Solution GmbH, dass äh muss durch die natürlichen Kräfte des Marktes äh bereinigt werden. Ganz klar. Ne, ist ja Katastrophe. Wenn irgendwie Otto und Kaufland und wäre da nicht alles äh Software von diesem Unternehmen nutzt und damit irgendwie eine eine. Eine 3viertel Millionen Kundendaten irgendwie ins Internet ballert offen. Ne, das geht natürlich so nicht. Tja, aber jetzt haben die offenbar äh eine äh Strafanzeige erstattet und dann gab's eben auch tatsächlich eine Hausdurchsuchung, Konsequenz für den Betroffenen, ne? Ich habe ja alle Computer weggenommen, ne und ähm ja, kann jetzt nicht arbeiten und äh ja, das ist äh denke ich eine ziemlich, ziemlich üble Geschichte und. Kabe wiedersehen. Ähm. Hackerparagraph, ne, also diese zweihundertzwei äh A, B, C ähm zeigen natürlich ähm. Hier die die einschüchternde Wirkung, ja, die, der gute Timo Tirakowski, der Geschäftsführer der Modern Solution. Hier natürlich auch ausnutzt, um, diesen Menschen halt in Misskredit zu bringen, ja? Timowski ist der verantwortliche Geschäftsführer von Modern Solution. Die haben diese Scheiße an große Unternehmen Deutschlands verkauft und ein paar hunderttausend äh Menschen äh ihre Daten frei und mit unverschlüsselten Passwörtern ins Netz geschrieben, ja? Und jetzt äh sorgt er dafür, dass fünf Notebooks drei externe Festplatten, zwei USB-Sticks und äh die Rechner, indem sie steckten, äh beschlagnahmt werden, Smartphone weg, ähm, Arbeitsgeräte, alle Arbeitsdaten, alle Projekte, ne, sofort existenzbedrohende Situation für diesen Programmierer, ne?

Frechheit.

Für viele Projekte fehlt ihm jetzt der Quelltext, um weiterzuarbeiten. Könnte man oft Gitarb haben, aber äh ähm je nachdem, ne. Und ja, jetzt hat er das Geld nach der Beschlagnahme seiner Geräte, reicht die Kohle nicht mehr für eine juristische Auseinandersetzung. Ja, hat jetzt äh durchaus äh äh Geld äh bekommen. Und äh geht jetzt hier in den Prozess. Und ich meine, man muss ganz klar, ne, sagen, es ist hier sehr, sehr eindeutig in diesem Fall. Wer sich absolut. Absolut inakzeptabel verhält, ja? Und das ist eben das Unternehmen Modern Solutions. Geschäftsführer, wie heißt der nochmal? Timo Tirakowski, eben diesen Schrott in die Welt gesetzt hat und jetzt auch noch denjenigen ruinieren lässt, der ihn darauf hingewiesen hat. Und das ist halt schon äh äh ziemlich krass.

Das wird auf jeden Fall teuer, also weil nach DSGVO können hier wirklich sehr hohe äh Strafen gelten.

Ja und ich denke auch, man muss sich mal, also man muss auch mal überlegen, ob diese Strafanzeige. Sich als gerechtfertigt herausstellt, ja? Dass also wie wir also man könnte hier eigentlich hoffen, dass es einen gleichen Ausgang hat wie das Verfahren der ähm.

Lilith Fitman.

Mit der CDU Connect App, weil es ist ein ähnlicher, also es ist ein ähnlich dämliches Gefühl gewesen, ja, was äh also an Inkompetenz, was da gebaut wurde und ähm da besteht, schon Hoffnung, dass diese äh Modern Solution äh GmbH da eben auch mal die Quittung für kriegt und vor allem auch die angemessene DSGVO Strafe. Und um der zu entgehen, hat ihnen im Zweifelsfall auch der Datenschutzexperte hier dazugeraten, ähm jetzt gegen den, gegen denjenigen vorzugehen, der sie auf den Missstand hingewiesen hat, ne. Wir müssen hier als Gesellschaft eisenhart bleiben, dass wir diese, dieses Vorgehen halt denen das auch nicht durchgehen lassen, ne? Und damit meine ich eben spezifisch hier die Modern Solution GmbH und eben auch, Pro Lions GmbH, die äh unter Datenschutzexperte DE ihre Dienste anbietet. So, das sind hier die Missetäter, da da gibt's überhaupt gar keinen Zweifel und ähm da muss man sich ernsthaft überlegen, ob wir äh ja, also wenn wir uns hier über Digitalisierung und Sicherheit und so weiter Gedanken machen. Ob man ähm solche Unternehmen dulden möchte. Ja, muss ich äh ganz einfach äh sagen, Und das geht so nicht. Wir werden den Fall mal weiter äh beobachten und äh ja, würde ich sagen, sind dann einfach mal äh, gespannt wie das weiter verläuft. Wir sind da auch als CCC äh natürlich im Gespräch und im Bilde und äh werden da schon darauf achten, dass hier am Ende, die richtigen Leute, die Strafen kriegen. Worüber ich ja jetzt noch gerne gesprochen hätte, Tim, wer äh The Billion Dollar Code, die Netflix-Serie über Art Plus com. Art und Com.

Nur bei Art Plus com, auch über den CCC, also zumindest.

Sehr viel drin vorkommt, ja.

Ja da zumindest Raum einnimmt, sagen wir's mal so. Ja du, du warst ja sehr überrascht, du wusstest nicht, dass dieser Film in der Pipeline ist, ich äh hatte Erkenntnis äh davon, wovon ich allerdings keine Kenntnis hatte und und äh sonst hätte ich sich wahrscheinlich da auch schon früher darauf hingewiesen ist, A, wann der eigentlich genau rauskommt, das habe ich irgendwie nicht so richtig auf dem Zettel gehabt und B, ähm dass der Club dann da auch tatsächlich so sichtbar sein wird. Also das ist sozusagen äh wirklich ein Thema der Geschichte ist, das war mir jetzt so nicht bekannt.

Ich habe auch den Eindruck, das wurde da ein bisschen aus aus dramaturgischen Gründen mit hochgeschoben, oder? Also.

Erzählen wir erstmal wo worum's eigentlich geht. Also äh es ist eine Serie, äh eine eine sogenannte Miniserie mit vier Folgen ungefähr eine Stunde bei Netflix veröffentlicht worden, eben unter diesem Titel, also Billion Dollar Code und äh, kann man sich auch äh anschauen. Das ist ähm ganz unterhaltsam gemacht und es ist äh wie man so schön sagt, so eine dramatische ähm, Realisierung eines Themas was halt auf einer wahren Geschichte basiert. Und man kann auch sagen, dass dieser Film, in bestimmten Details sehr auf dieser wahren Geschichte basiert, also äh sehr viel davon ist auch wirklich exakt genau so passiert. Allerdings ist so die Person und wie diese Person so interagieren und so, ne, äh da ist dann wiederum sehr viel äh Freiheit genommen worden und das ist eigentlich auch okay so, wenn man eben das Ganze nicht mit einem Dokumentarfilm, verwechselt. Was ist diese wahre Geschichte? Die wahre Geschichte ist die ähm Geschichte der Software Terrorvision, die damals. Von dem Verein A plus com e. V. In Berlin entwickelt wurde. Das begann so äh neunzehnhundertvierundneunzig. Und Terrorvision ist halt vielen nicht bekannt, aber Terravision ist im Prinzip das, Google Earth. Das war das erste Mal, dass es Leuten gelungen ist, auf einem Computer die komplette Welt zu rändern und äh die Möglichkeit zu bieten flüssig aus dem Weltall sich bis auf den Boden herab zu senken und sich dort die Gebäude anzuschauen. Und das war damals eine absolute Meisterleistung. Diese Geschichte greift der Film auf und zwar nicht nur wegen dieser Software, sondern was dann später draus geworden ist, weil dann kamen halt zehn Jahre später Google Earths und Google Earth war schon ein. Extremes Plagiat und wie sich später auch herausstellte, auch im Detail, sodass dann eben von den ursprünglichen Programmierern ähm ein ähm. Softwarepatent dann äh aktiviert wurde, was sie ähm auf eine bestimmte Methodik äh hatten, dieses Ränderns der Welt et cetera. Da war so das ein oder andere an Innovation schon äh drin. Und dann äh nachdem Google, nicht bereit war, hier irgendwie eine Lizenz zu erwerben und in irgendeiner Form in so ein Kooperationsweg einzuschlagen, wurde dann eben in den USA dagegen geklagt, letzten Endes wurde diese Klage verloren und so, ist die Situation heute und daraus wurde dann eben dieser Spielfilm gemacht oder diese Miniserie, Nun ist es so, dass uns das natürlich in gewisser Hinsicht äh tangiert, also uns äh als CCC, weil halt einer der Protagonisten in diesem Film, der letztlich auf zwei realen Personen äh basiert, äh quasi vom CCC ist, ja? Ums gleich zu sagen, der, Das stimmt so nicht, ja, sondern A plus kommen hatte zwar eine große Nähe zum Club und da gab's auch sehr viel Verstrickungen, nur so so wie die Geschichte da erzählt wird, dass dann auf einmal so der halbe Club rekrutiert wird und dann daran gearbeitet hat, das äh lässt sich so nicht halten, ja?

Also es ist schon so, dass du auch da gearbeitet hast.

Ich habe da auch gearbeitet, ja und tatsächlich hat fast damals der gesamte äh Chaos-Computer-Club Berlin dort gearbeitet. Also das das äh.

Also das stimmt ja schon so ein bisschen.

Ja, nur waren wir eben nicht das Terrorvisionsteam. Ja, also es es gab diese Nähe und ähm, persönlich äh war auch mit Terrorvision unterwegs, also es ist ja dann viel auf Messen gezeigt worden und so und das war halt so eine meiner Aufgaben eben auch äh solche Messetermine zu bedienen.

Da muss halt der muss er auf jeden Fall sich in den Shoutouts angucken, den Tweet von Tim, wie er irgendwie auf irgendwie in neunziger Jahren auf Hannover Messe war das glaube ich, ne. Hieß die da schon zehn oder was? Damals war die Cebit noch der Teil der Hannover Messe, oder? Aber wie dem oh.

Nee, das war, glaube ich.

Tim in Anzug und Fliege am Terravision Globus und äh wird da beim Spielen mit mit seinem mit seinem Globus genervt von einem Reporter. Der, den da so am Rande schmallippig ein paar Antworten gibt.

Ich habe versucht, seriös rüberzukommen. Ich ich weiß, das wirkt, das wirkt so ein bisschen.

Super, das ist super. Und es gibt auch in den in der ähm. In der Serie ein Typen. Der hat's auch so ein, so einen Unterlippenbärchen, wie du das lange Zeit getragen hast. Da dachte ich eigentlich, dass äh dass, dass, dass, dass deiner, das ist deine, dein Nachbau ist und natürlich, jetzt muss das auch klar sagen, der Juri, vier maßgebliche Personen, die da gemert wurden, äh in zwei und äh der Juri ist sehr erkennbar äh aus äh Pavel abgeleitet.

Richtig Pavel Meier, mit dem ich äh viel in UKW zusammenmache und um's gleich mal vorwegzunehmen. Pavel und ich, wir haben uns auch schon zusammengesetzt und haben die vollständige Geschichte von Terrorvision in einen Podcast gegossen, der in wenigen Tagen äh erscheinen wird, als CRE, Podcast genau und dann könnt ihr euch das alles nochmal im Detail anhören. Da muss ich mich hier auch gar nicht äh wiederholen. Ihr könnt euch das mal anschauen. Schaut euch hört euch den Podcast, wenn sich das interessiert an an, aber schaut euch erst die Serie an, weil das Ding ist natürlich ein grandioser Spoiler. Und äh von daher, aber, interessanter Einblick in die Zeit, interessanter Einblick in die Neunziger, interessanter Einblick in wie Softwareentwicklung damals so lief, wie die Vorstellung von Zukunft so war, aber vor allem auch ein sehr interessanter Einblick in, Google und wie Konzerne so funktionieren und Rechtsstreit ablaufen und ähm ja, dass das so mit Gerechtigkeit dann am Ende nicht sehr viel zu tun hat.

Ja das äh die denke, das kann man ja schon sagen, dass sie eben also wie die also der der wirkliche. Twist dieses Verfahrens, ja oder wie die quasi Werte feststellen und und versuchen, eben diese kleinen Unternehmen in eine Situation zu bringen, dass sie diese, Rechte, die sie ganz einfach verletzen von diesen Unternehmen, nicht mehr in Anspruch nehmen können. Das ist schon juristisch ähm, sehr perfide und in diesem Film auch oder in dieser Serie auch sehr gut abgebildet. Kann man auf jeden Fall empfehlen. Ich habe sie durchgebincht und äh ja, fand ich, fand ich gut. Auch ja, ja, ja, fand ich gut, Empfehlung.

Gut, damit äh entlassen wir euch.

Genau, das war's. Viel Spaß und äh viel ich freue mich auf jeden Fall auf das CRE dann mit Pavel, der dem zuzuhören sich immer gelohnt hat in jeder Situation.

Auf jeden Fall. Okay Leute, dann sagen wir tschüss und bis bald.

Tschau, tschau.