Feedback — CCC Regierungsprogramm — Facebook — BD und Pegasus — Modern Solution — The Billion Dollar Code
Heute wieder mal ganz viel tolles Feedback, auf das wir gerne eingehen. Dazu geben wir einen Überblick für die Blaupause, die der CCC der künftigen Bundesregierung für digitale Fragen mitgegeben hat. Außerdem erklären wir, warum Facebook down war (und was es erfordert hat, es wieder online zu bekommen) und wie Facebook gerade von einer Whistleblowerin blossgestellt wird. Dann schauen wir noch das Desaster an, dass die Firma mit dem unangemessenen Namen "Modern Solution" angestellt hat. Zum Schluß erläutern wir kurz die Hintergründe des Films "The Billion Dollar Code" und was das mit dem CCC und mit Tim zu tun hat.
Linus Neumann
Tim Pritlove
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Tim Pritlove 0:00:00
Guten Morgen Linus.
Linus Neumann 0:00:00
Guten Morgen Tim.
Tim Pritlove 0:00:03
Facebook war dauernd. Hast du mitgekriegt.Logbuchnetzpolitik Nummer vierhundertundneun vom fünfzehnten Oktober zwanzig einundzwanzig. Ja und ähm,kriegen mal wieder nix mit. Das halbe Internet schaltet sich ab und wir kriegen's nicht mit.
Linus Neumann 0:00:44
Tatsächlich ein Kumpel hat mir erzählt, wie er das mitbekommen hat. Ähm ist auf einmal ganz viel auf Tinder los war.Und er sagte was denn jetzt so, oder? Nee, das macht das heute gar nicht mehr auf zu piepen.Und dann hat er irgendwann gecheckt, dass das halt offenbar damit zu tun hatte, dass ähm den Leuten nix also die hat jetzt was anderes äh machen.Und dann war halt offenbar Tinder die zweite oder dritte Option.
Tim Pritlove 0:01:14
Mark Zuckerberg, ich suche eine neue Freundin. Könnten sie bitte nochmal Facebook abschalten?Na ja, da reden wir auf jeden Fall äh nachher noch drüber, ne.
Linus Neumann 0:01:24
Alle fucking Witze. Es ist so Zeit aller Witze, diese diese ganzen,können wir die gerade ganz kurz alle loswerden? Also erstmal ein paar Kifferwitze so zum Einstieg, weil jetzt gerade die Cannabis-Legalisierung nochmal diskutiert werden muss, als wäre die nicht seit 20 Jahren abschließend erörtert. Und ähm dann,In neun Monaten gibt's ganz viele Facebook-Babys.Boah Alter, ich kann das nicht mehr. Wirklich, ey, du kommst dir vor wie in so einem Zeitloch der Witze.
Tim Pritlove 0:01:55
Tja,Steigen wir lieber gleich mit, was richtig Langweiligem ein, nämlich mit dem HTTP-Status äh Code vier null neun, äh mit dem schönen Namen Konflikt.Sagt eigentlich auch nicht sehr viel aus, ist auch total unaufregend, müssen wir nicht viel Zeit drauf äh verwenden, aber ist halt auch wieder so ein hin- und her Fehler äheigentlich fast nie auf und äh ja, ist so ein, den ihr, über den ihr nicht weiter nachdenken müsst, ist nur was, was so Programmierer äh beschäftigt, äh was man dann so äh macht in dem Fall, wenn sowas passiert.
Linus Neumann 0:02:27
Äh äh die das beste Beispiel für Conflix steht tatsächlich in den äh Webdogs.
Tim Pritlove 0:02:47
Richtig, also wenn man halt so das.
Linus Neumann 0:02:48
Jetzt was älteres hochladen auf was neueres.
Tim Pritlove 0:02:51
Mal das für Datei Uploads benutzt, aber das macht ja kaum einer heutzutage. Wer lädt denn heute noch was hoch?
Linus Neumann 0:02:59
Was denn heute noch Sachen über HTDP.
Tim Pritlove 0:03:01
Das läuft doch alles in den Uploadfilter.
Linus Neumann 0:03:04
Okay vier null neun, gibt der Uploadfilter dann zurück, ne. Ähm wir haben ähm Feedback.
Tim Pritlove 0:03:14
Ja, eine ganze Menge sogar.
Linus Neumann 0:03:15
Man kann sein Auto tatsächlich digital ummelden. Es haben sich mehrere Leute gemeldet, die das persönlich bezeugen konnten.
Tim Pritlove 0:03:23
Hm, ja, ich hatte das ja auch schon berichtet, habe mich dann äh wieder dran erinnert, äh wurde daran erinnert, wer mich daran darauf hingewiesen hat.
Linus Neumann 0:03:31
Ralf Stockmann, äh hier Ralf, wie heißt er eigentlich? Rottmay, genau. Äh aber dass alle bestätigt, ja und in den Kommentaren waren auch Leute, äh die das bestätigen konnten, dass es das gibt.
Tim Pritlove 0:03:45
Ja und es gibt hier und da gibt's so dieses und jenes äh theoretisch damit möglich ist, aber dass das massiv benutzt wird, sehe ich einfach noch nicht.
Linus Neumann 0:03:54
Das geht halt. Das heißt also, man kann sogar, das fand ich auch sehr schön S hat uns darauf hingewiesen. Man kann sogar äh digital mit dem mit dem elektronischen Ausweis, der jetzigen, ja, einen äh Auszug,aus dem Kraftfahrtbundesamtregister, dem Eignungsregister, also Flensburger, ähm.
Tim Pritlove 0:04:14
Mhm.
Linus Neumann 0:04:15
Flensburger Punktekonto, ja? Direkt und man bekommt direkt ein digital signiertes PDF mit der Auskunft zurück.
Tim Pritlove 0:04:23
Das Schöne in der Tat.
Linus Neumann 0:04:26
Dann hast du halt ein PDF. Ja, aber immerhin hast du eins, ne? Also kannst du kann man ja also ich, ja, geht. Ist gut. So, sollte alles gehen vielleicht irgendwann mal.
Tim Pritlove 0:04:36
Informationsabfragen zum Beispiel.
Linus Neumann 0:04:39
Ja, dann haben wir äh zu signierten,PDFs. Äh wir haben ja ähm darüber gesprochen, dass man mit, dass das digitale Signaturen schon lange gibt,und ähm man die auch anwenden kann, ja, zum Beispiel hier dieses Digital signierte flensburger Dingen und das ist auch die Ausweise gibt und das ist,nach wie vor,einem Anwendungsfall mangelt, dass man dafür eine bräuchte.Also eine Blockchain. Ähm,und da haben auch äh alle zugestimmt und dann gab es aber einen Hinweis, dass was wir sachten so. Wenn man jetzt ein an ein PDF eine Signatur anbringen möchte, dass es dabei ähm.Also dass es da mehrere unterschiedliche konkurrierende Standards gibt und dass es nicht unbedingt so einfach ist, ähmkorrekt zu implementieren, ja? Das wurde vonkommentiert ja und sagt also versteht mich nicht falsch, ich bin genau eurer Meinung aber eine PDF-Signatur ist auch nicht so einfachund da würde ich halt entgegnen,ja ja, vielleicht ist das nicht einfach. Also auf jeden Fall tausend Mal einfacher da einfach einen Standard durch zu implementieren, als,irgendeine fucking Blockchain aufschwatzen zu lassenund äh und da irgendwie so eine Webseite zu machen. Und äh und diesen diesen ganzen Quatsch äh zu erfinden. Also ich glaube, mit dem gleichen Geld, wie wie diese Essatos, äh versucht hat, eine ID-Wolle zu bauen. Hättest du halt einfach einmal,quelloffen, implementieren können.Ähm die hier eine eine wie zu signieren sei, ja? Und dann bist du damit durch,Übrigens, oh, jetzt, oh, die sind wieder online, die Seite gibt's wieder.Bis vor ein paar Tagen immer noch offline, ne? Das war ja der also das war ja so was von da, also ich habe direkt gedacht, äh in in dieser in dieser ähmBlockchain und Krypto Coin, Bubble und so, ne? Da sind ja Exits Gams relativ häufig, ne? Dachte ich zwischendurch, ob diese nicht einfach so ein Exitscam gemacht hat, weißt du? So Kohle kassiert und dannweg, so wie wie diese ähm.Wie alle anderen auch.
Tim Pritlove 0:07:09
Ja, also vor allem, also ich meine, was was in gewisser Hinsicht noch etwas mutiger äh wäre und wo erstmal vielleicht auf EU-Ebene auch problemlos mal äh anleiern könnte, wäre sich einfach mit den großen Betriebssystemherstellern da einfach mal auf einen klaren Standard und mit Adobe zu einigen.Ja, einfach zu sagen so, Leute.Müssen das jetzt mal hier mit dem PDFs und mit den Signaturen da brauchen wir jetzt aber mal einen verlässlichen weltweiten Standard und äh dann gibt's dann ein eine Spezifikation und genau so machen wir das jetzt,immer,überall und dann geht das auch in jedem Betriebssystem und dann kann irgendwie jeder Standard PDF über einem das auch sofort bestätigen und macht eine Zertifikatsüberprüfung, wie das jeder Webbrowser ja auch macht. Und ähm fertig ist die Laube. So, aber die reden einfach wahrscheinlich nicht miteinander.
Linus Neumann 0:07:56
Ja, es ist äh also ja, es ist eine eine sehr frustrierende Geschichte. Haben wir auch letzte Mal schon viel drüber gesprochen, aber sagen wir mal.Man kriegt wahrscheinlich einfacher einen Standard zum Signieren von PDFs etabliert als ein komplett neuen Standard für irgendwelche Blockchain-basierten äh Identitäten, ja, das ist also man braucht es halt einfach nicht. Würde auch nochmal erklärt übrigens imChaos Radio zu ID Wallet, das äh ich glaube gestern veröffentlicht wurde. Link findet ihr in den ShownotesDa sind bei Markus zu Gast Flüpke und CK. Ähm,CK würde ich sagen, so wahrscheinlich in diesem ganzen Bereich EID ungefähr der der eine Experte, den's überhaupt gibtso. Äh ohne jetzt großartig zu sagen, was er noch seine beruflichen äh Miriten in dem Bereich sind. Und äh Flipke eben einer von den beiden, die sich dieseID Wallet Geschichte angeschaut haben.Erklären da mal ein bisschen, ich hätte am am Ende es noch schön gefunden, wenn sie noch mehr erklärt hätten, warum man keine Blockchain braucht, ja, das ist am Ende ein bisschenkurz gekommen aber der Rest der Sendung nochmal sehr schön in Ruhe genau erklärt was da,bei diesem ID Wallet alles ähm falsch gelaufen ist und warum das eben halt auch äh so traurig ist. Letztendlich denke ich die die eine Sache, die dieimmer vergessen, ne? Man macht Blockchains oder wenn man eine.Gruppe von Leuten hat, die ähm die sich nicht vertrauen und keiner zentralen Instanz vertrauen wollen.Und wenn du dann am Ende aber nur einen machst oder wie diese wie diese.Diese Beispiel implementierung immer mit so 'ner Webseite dass du die sagen ja am Ende geh auf 'ne Webseite,und dann gibt's eine Webseite mit mit irgendeinem schönen 3D animierten GIF oder so einen Scheiß. Ja und sagen dann, das ist jetzt hier diese Webseite zertifiziert jetzt, dass das echt ist, ne? Und das ist ja,Das ist ja so lächerlich, weil du damit ja wieder nur eine zentrale Instanz hast, der du traust. Und ob dahinter eine Datenbank ist oder eine Blockchain oder einfach nur ähm.Also einfach, dass das Ding einfach nur antwortet und sagt, ist echt? Oder dass du halt auf eine Seite umlenkst, die genauso aussieht, ähm das ist ja alles völlig unerheblich, ne. Also, du willst eigentlich das Problem los werden, also das eine, was du nicht haben willst, ist,eine Webseite gibt, die die Echtheit bestätigt, weil diese Webseite zu fälschen, ist halt trivial und die kann die Echtheit nämlich nicht nachweisen, ne? Deswegen gibt's ja auch zum Beispiel bei äh und Koffpasscheck eben diese externe App, wo man sagt so,Wenn du einen QR-Code, einen Impfpass validieren willst, dann musst du exakt diese App nutzen, um diesen QR-Code zu scannen und dann weißt du, der ist echt oder nicht.Aber komm, lass mal, es ist, es, es, äh, es ist auch leider völlig vergebene Mühe,mit diesen Leuten zu diskutieren, ja? Ich habe mir da äh einen eingetreten, der ähm so ein so ein,Ja, ich würde sagen, so ein Blockchain-Evangelikalen, der dann da irgendwie sodie ganze Zeit das geht und das ist toll machen aber diese Frage die du auch immer stelltest warum weißt du so ja,kann das alles auch mit einem Hammer machen, aber es ist halt viel eleganter, was weiß ich, newenn man äh das richtige Werkzeug nimmt, was für diese Arbeit geschaffen wurde und jetzt kriegst du auch aus den Leuten nicht raus, ne. Die sind,die sind sowas von in ihrem eigenen.In ihrer eigenen Cool-Aid, das ist wirklich nicht mehr feierlich so. Es ist wirklich nicht mehr feierlich. Na ja.
Tim Pritlove 0:11:51
Generelles Problem und das war auch schon wieder fast beim nächsten äh Feedback Thema,ist auch für diesen Wahlen, dieser Traum von wählen mit dem Computer, so es ist einfach immer so getrieben von diesem, es kann doch nicht sein, äh dass das nicht geht, weil ich das will, dass das geht.
Linus Neumann 0:12:07
Genau. Und dann, dann denken die, sie wären irgendwie Elon Musk, weil weil sie jetzt irgendwie das Ding auf der Welt gefunden haben, was nicht geht,und und und müssen und sie bringen das jetzt, weißt du, so ich bin aber der Elon Musk, der digitalen Wahl und ich habe hier mit diesem Skript kann ich wählen und alsodesto schmerzhaft sich diese Leute anzuhören, ja. Na ja, ähm genau, der hat mir nämlich auch noch einen schönen Kommentar von äh Lobby. Hm.Und äh da geht es jetzt um ich lese einfach mal vor.Er hatte mehr Kommentare aber den einen. Ach ja und dann auch noch eine Anmerkung aus persönlicher Erfahrung zum Eingangsthema Wahlkaos führt zu Bestrebungen der digitalen Wahl. In der Tat,ist mir erst am Samstag wieder die Aussage ähm,Ich frage mich sowieso, warum wir die Wahl nicht einfach digital machen, untergekommen. Es ist schon sehr schade,dass es sich dabei natürlich um eine rhetorische Frage handelt. Die Person, der ich dann versucht habe, die Genialität unserer Wahl und Auszählmethodik im Hinblick auf Manipulationssicherheit,Nachvollziehbarkeit und Wahrung des Wahlgeheimnisses erklären, weil nicht gerade.Dass er eine universelle Datenverarbeitung für unsere Maschine nicht wirklich nachvollziehbar für die Mehrheit der Bevölkerung dazu gebracht werden kann, eine Manipulation sichere und geheime Wahl zu ermöglich.Sie war aber ohne jemals eine Auszählung oder einen Wahltag in Gänze beobachtet zu haben, ebenfalls nicht davon zu überzeugen, dass,Erstens, es sinnvoll wäre, etwas vorherUrne zu werfen, es sinnlos wäre, etwas vorne vorher in die Urne zu werfen, denn es wird geprüft, dass die Urne leer ist, es aufgrund des Auszählungsverfahrens mindestens sehr unwahrscheinlich ist, dass sich Personen dazu verabreden können, die Stimmen nicht korrekt auszuzählenAufgrund der gewissermaßen zufälligen Auswahl tausender Wahlhelfer und ebenso eher zufällig in Zusammenstellung der Wahlvorstände sehr unwahrscheinlich ist, dass es ein derartiges Vertrauensverhältnis überhauptgibt, dass eine solche Verabredung spielt, theoretisch möglich machen könnteund dass es eine derartige dass eine derartige Verabredung allein durch anwesende Wahlbeobachter durch auftretende Inkonsistenten wahrscheinlich bemerkt aber zumindest,Überprüfungsbedarf erkannt werden würde.Und äh eine digitale Abstimmung, keine Verteilung des Risikos von Irrtümern auf tausende Wahllokale ermöglichen kann oder eben nur,wie mit äh.Oder eben nur wieder mit Bruch des von Linus ja auch mehrfach erklärten magische Dreiecks. Wir sollten also wirklich in nächster Zeit besonders aufmerksam gerade im persönlichen Umfeld sein.Und noch ein paar andere Sachen. Jetzt ähm das finde ich nämlich ein wirklich was ich auch denke, was wir letztes Mal nicht äh ausreichend betont haben, gewürdigt haben. Das ist wirklich sehr also,Ich habe ja,geguckt, ob man nicht vielleicht ein bisschen die Wahl manipulieren kann, ja? Und äh nee, geht nicht, weil weil du eben zufällig gewürfelt bist mit den Leuten, ne? Und äh das ist, glaube ich, tatsächlich äh ein Aspekt, den wir letzte Mal nicht ausreichend betont haben.
Tim Pritlove 0:15:18
Nee, haben wir, haben wir nicht gemacht und und selbst, wenn da so viel Kriminelle Energie ist, ähm diese Leute kurzfristig zu beeinflussen und so weiter, es würde niemals skalieren.Also es es würde niemals soweit skalieren und und und so oder und und selbst wenn man,es schaffen würde, was eigentlich durch diese genannten Gründe schon weitgehend ausgeschlossen ist, ähm wirklich eine Vielzahl von Leuten dazu zu bringen, da diesen Be,zu unterstützen, dann ist das eine so große Verschwörung, die unmöglich geheim gehalten werden kann. Das ist einfach äh,nicht realisierbar, dass das wirklich äh unter der Decke bleibt.
Linus Neumann 0:15:59
Naja, Tim, also ich muss jetzt mal sagen, ne, die äh der Impfbetrug, der Impfbetrug, hallo, ja. Und die 5G, die 5G.
Tim Pritlove 0:16:04
Linos. Lass lass mich raten, du hast da.Hast deine Webseite gefunden im Internet, wo das alles draufsteht. Ah ja, okay.
Linus Neumann 0:16:17
Im Internet.Ha, die machen wir auch immer mehr Spaß, ey. Ja, nee, genau, also der das ist äh tatsächlich die Resilienz und ähm.Also interessant ist ja auch, ich habe jetzt das in Berlin gar nicht mehr so weiter verfolgt, aber es ähm.Also die wollen ja jetzt irgendwie äh wieder, also das Wahlergebnis wurde jetzt, glaube ich, als äh amtlich gemeldet und jetzt wollen sie aber dagegen Widerspruch einlegen, ja. Aber quasi eine.Dass sich dadurch etwas ändert, ist halt unwahrscheinlich. Trotz trotz dieser vielen Fehler. Und das ist natürlich auch äh skurril.Vom Gefühl her, ne, dass wir den Leuten einerseits sagt, okay, deine Stimme zählt und so und das tut sie ja auch, aber dass wenn du halt irgendwie mal so und so viel tausend ungültige hast oder so, dass das am Ende hinterm Komma ist und keine Rolle spielt für das Ergebnis, ne? Das sind ja quasi so diese beidenähm scheinbar einander widersprechenden Wahrheiten. Und ähm.
Tim Pritlove 0:17:22
Dazu ein aktuelles Update, das hast du vielleicht noch nicht äh gesehen, also diese ähm mittlerweile ja auch offiziell zurückgetretene Landeswahlleiterin in Berlin, hat jetzt selber Einspruch eingelegt.
Linus Neumann 0:17:35
Ja genau, genau, die haben.
Tim Pritlove 0:17:37
Und das bezieht sich im Wesentlichen auf 22 Wahlkreise, wo tatsächlich das Auszählungsergebnis relativ knapp war und das kann sehr gut sein, dass die tatsächlich neu ausgezählt werden.Das ist dann schon so in der Größenordnung von, ich glaube, 62000 zumindest in einem der Wahlkreise, was jetzt nicht ganz genau, ob das sich auf beide bezieht, aber,fünfstellige Zahl von WLAN, die gegebenenfalls tatsächlich noch einmal aufgefordert werden zu wählen und das kann dann schon darüber entscheiden, ob da eine Grüne oder SPD und im anderen Fall AfD,und äh habe ich vergessen zum Zuge kommt, also der Drops ist da noch nicht ganz äh gelutscht.
Linus Neumann 0:18:18
Ja, so viel, glaube ich, war so zum Feedback, würde ich jetzt mal an der Stelle sagen. Dann haben wir.Wir befinden uns ja jetzt in der Situation, dass.Sondierungsgespräche und Koalitionsverhandlungen stattfinden, ja? Und das war ja sehr interessant, dass sie ja erstmal zwischen Grünen und FDP geführt wurden, die sich dann eben entschieden haben, okay,Und jetzt äh erweitern wir die Gespräche, um eine dritte Teilnehmerin und das ist die SPD.Ja?Und die sind natürlich jetzt, also die unterhalten, die sondieren jetzt halt ihre Position und sagen so was von euren Wahlversprechen, seid ihr bereit, zu opfern für die Macht? Äh und äh dafür,ne, anderen ein das Einhalten eines Wahlversprechens zu ermöglichen und am Ende kommt ja quasi so ein Koalitionsvertrag raus, in dem.So ein bisschen die politische Agenda dann der nächsten vier Jahre die politische Zielsetzung zumindest mal festgehalten sind, ne? Und ähm.In dieser Diskussion hat sich jetzt der CCC, also mehrere Leute aus dem CCC, zu denen ich,nicht mit nennenswerten Beitrag gehört habe. Ähm,mal hingestellt, äh hingesetzt und haben eine Formulierungshilfe für den digitalen Teil im neuen Regierungsprogramm,formuliert. In den Bereichen Infrastruktur, Bildung, Verwaltung, Urheberrecht, Überwachung, IT-Sicherheit, Nachhaltigkeit, Außenpolitik.Tracking und.Menschenrechte bei automatisierten Entscheidungen. Also alle äh Punkte benannt. Das ist ein relativ langer Text und äh ist auch sehr viel Arbeit reingeflossen. Und ich würde sagen, auch ein ziemlich guter Text. Und ich bin,nicht so sicher, ob wir den jetzt vollständig hier besprechen werden, weil dann haben wir die Sendung dicht. Jedenfalls, glaube ich, kann man sagen, dass man hier äh das hier mal so viele oder wahrscheinlich sämtliche Positionendie in den letzten 409 Folgen Logbuch Netzpolitik äh in vertreten wurden.Auch wiederfindet, ja? Es geht zum Beispiel los bei der Infrastruktur, ne, dass man die Frequenzversteigerungen abschafft, dass man die Anreize beim Breitbandausbau dahingehend korrigiert, äh dass ähnenicht, dass das Schaffen von Infrastruktur belohnt wird und nicht das Aussitzen, ähm dann natürlich Open Act, ein Open Access Glasfasernetz, ne, was klassisch dein deine äh Zentralforderung ist, zu sagen, okay, diese Infrastruktur,hinlegen und dann die Anbieter auf dieser einen Infrastruktur äh konkurrieren lassen.
Tim Pritlove 0:21:07
Software-Infrastrukturförderung. Ich weiß nicht, ob Gemeinnützigkeit hier eigentlich auch äh das fehlt tatsächlich sogar. Das hätte ich ja dann auch ganz gerne gesehen, ne.Ne, also das ist sozusagen Open Source Entwicklung, auch gemeinnützig sein kann und so was.
Linus Neumann 0:21:23
Sicher bin mir nicht sicher ob das in Infrastruktur gehört, das könnte sein, dass das nämlich eher unten bei Verwaltung ist, das ist ja noch der kompliziertere Teil Bildung, klar,für jede einzelne Schule, Bundeseinrichtung, damit dort Breitbandinternet und zeitgemäße Technik äh sowie Ausbildung stattfindet. Ich meine, das ist ja etwas, was nicht stattfindet, muss man einfach mal sagen,Dann natürlich zum Thema IT-Sicherheit Nachhaltigkeit in der also Energie sparende Programmierung. Das ist auch so ein Thema, was glaube ich sehr viel.Unterschätzt wird. Ähm die Computer.Steigen, ja oder die die CPUs steigen in ihrer Leistungsfähigkeit ja enorm an und das führt auch dazu,dass man quasi für für Aufgaben, die der Computer lösen muss, nicht mehr gezwungen ist.Ressourcen effizient zu programmieren,ja? Was irgendwie wenn man sich der Disto auch mal, glaube ich, eine wunderbare Folge CRE mit den äh Leuten, die den C vierundsechzigan seine Grenzen gebracht haben und versucht haben, über seine Grenzen hinauszubringen in dieser Demoszene, ne? Wo sie quasi dem diesem Rechner,mehr entlocken als seine theoretischen Grenzen sind, weil sie Programmiertricks anwenden, um in bestimmten Phasen Dinge schneller erscheinen zu lassen, als der Computer sie eigentlich rechnen kann und ne, also die wirklich quasi.In CPU-Zyklen optimieren mussten, ja? Heute lädst du dir erstmal irgendwie so ein riesiges NPM und fünfundachtzig ähm Librarys, um dann ein Hello World äh zu äh zu zu schreiben, ja?Und das ist,natürlich auch äh ein ein Problem, weil trotzdem natürlich diese Energie wird ja verbraucht, ja? Der Rechner rechnet das ja trotzdem, insofern auch da ein ein äh Themenfeld der Zukunft.Ähm dann in der Verwaltung Public Money Public Code, Vermeidung von Herstellerabhängigkeiten, also wird sich irgendwie dein ganzes, deine ganze Bude dein ganzes Land an Microsoft verkaufen. Ähm.Ähm Studien, die öffentlich finanziert wurden, dürfen nicht dürfen nicht unter Verschluss gehalten werden, Forschungsergebnisse, müssen gemeinfrei sein, ne? Da mal eben noch ganz schnell diesen ganzen äh ähm Open Access,wichtiger, also mal auf,auf richtige Füße stellen, Projektmanagementkompetenzen in Bund und Ländern für digitale Klein- und Großprojekte, ja, IDalle zeigt es.
Tim Pritlove 0:24:04
Alles zeigt es, ja.
Linus Neumann 0:24:06
Ein Open Data Parlament und die gläserne Regierung, das war ja schon eh immer der die gläserne Regierung ist ja schon immer so eine Forderung des CCC und ganz kurz zu erklären. Äh es geht.Im Generellen Kräfteverhältnis zwischen.Staat und Bürgerinnen. Im Prinzip darum, dass äh die Bürgerinnen, die Privatsphäre Rechte hat.Damit die Regierung nicht in in sie nicht über übernimmt und über kontrolliert und gleichzeitig aber diese hohen Transparenzrechte der Bürgerinnen gegenüber dem Staat da sein müssen, damit eben sich der Staat,oder die Machthabenden nicht gegen die äh gegen die Demokratie verschwören können, ja.Urheberrechtsneu, Ordnung, Abschaffen von Uploadfiltern, ähm Softwarepatente endlich auflösen, ja, das ist ja auch noch so ein,größeres Problemchen, äh das mit Softwarepatenten eben auch Wettbewerb,und Fortschritt äh in weiten Teilen verhindert werden. Verbot, biometrischer Überwachung im öffentlichen RaumVorratsdatenspeicherung abschaffen, Kryptoverbote abschaffen, ja? Und dann die Überwachungsgesamtrechnung, das ist ein Begriff, den wir längere Zeit nicht benutzt haben. Ähm.Glaube, das wurde irgendwann auch mal, also die, die Idee kam, meine ich so vom CCC ähm und wurde dann aber auch von der, von dem.
Tim Pritlove 0:25:32
Bundesverfassungs.
Linus Neumann 0:25:33
Verfassungsgericht übernommen, dass man im Prinzip gesagt hat, so, wir gehen jetzt nicht mehr nur hin und sagen, hier gibt es eine Überwachungsmaßnahme und wir beurteilen diese eine Überwachungsmaßnahmesondern,Wir fügen diese Überwachungsmaßnahme ein in die Überwachungsgesamtrechnung und sagen nämlich nicht, wenn wir in Staatstrojaner äh besprechen, so ah okay, Staatshänder, alles klar, brauchen wir, sondern Moment mal, wir haben ja auchund was nicht alles, ja? Und guckt guckt sich quasi die Gesamtrechnung an.Im Bereich der IT-Sicherheit äh ja unabhängiges BSI äh Meldepflichten für Sicherheitslücken aufhebung des äh Hacker Paragraphen202 CSTGB,grundsätzliche Straffreiheit, wenn jemand Sicherheitslücken aufdeckt, dann natürlich unsere alten Klassiker Produkthaftung für Software.Entwicklung, ja, also wer dir Software bereitstellt, muss halt auch ähm dabei dafür haften, ja, eingeschränkt, weil bei Fahrlässigkeit und vor allem bei der Verschleppung der Behebung von IT-Sicherheitslücken.Gleichzeitig wäre äh Patches nicht einspielt, haftet dann eben auch für die Schäden, ja, dass man hier diesen ähm.Diesen Druck auch aufrecht erhält, dass eben Schwachstellen auch wirklich behoben werden. Ähm.Und ja, weitere, ja, würde ich sagen, Nebensächlichkeiten, Nachhaltigkeit würde ich an dieser Stelle jetzt mal äh überspringen.In der Außenpolitik die Verpflichtung zur defensiven Cyber-Außenpolitik dann noch ein Recht auf Anonymität äh,Bildung entgegenwirken, Verschlüsselung immer weiter voranbringen.Und am Ende eben äh die hochautomatisierten Systeme einschränken, die die Grundrechte von Menschen berühren.Das ist jetzt so ein Schnelldurchlauf durch diese gesamte äh durch diesen gesamten Forderungskatalog, den ich ja sehr gelungen finde und den fanden finde, glaube ich, nicht nur ich sehr gelungen, wir haben auch von den Parteien.Wahrgenommen, dass sie den äh berücksichtigen und äh ähm.
Tim Pritlove 0:27:56
Ich sage mal, zur Kenntnis genommen haben.
Linus Neumann 0:27:58
Ja, also.
Tim Pritlove 0:28:00
Ob sie den wirklich berücksichtigen, das werden wir dann erst noch sehen.
Linus Neumann 0:28:03
Das werden wir sehen, aber die haben denen ist das sehr wohl gewiss, dass äh wir das getan haben und äh oder oder dass der CCC das veröffentlicht hat, hier federführend war an der Stelle Erdgeist. Ähm,dass es das gibt, ja und dass man sich das, dass das äh das findet Berücksichtigung, ja? Und wenn man jetzt mal, zumindest will ich jetzt sagen, bei der bei den Grünen, sieht das ja jetzt auch nicht Themen, die denen völlig neu sind, wo die jetzt nochmal googeln müssenJa? Ähm bin mal gespannt und bei der FDP.
Tim Pritlove 0:28:31
Bei der FDP auch, ja. Genau, aber bei der SPD wahrscheinlich.
Linus Neumann 0:28:35
SPD müssen wir nochmal gucken, ja. Da wäre eben jetzt auch die, ja, vielleicht, vielleicht haben wir Glück,und die schaffen das jetzt mit dieser Kiffernebel-Kerzen-Debatte,sich darüber einfach die ganze Zeit zu unterhalten und der SPD so 'n paar vernünftige digitalpolitische Themen in ins Regierungsprogramm zu zu mogeln. Das ist so ein bisschen die Hoffnung.
Tim Pritlove 0:29:00
Ja, ich halte nicht meinen Atem an. Um es mal so zu sagen.
Linus Neumann 0:29:10
Und jetzt aber so ist die politische Arbeit hier, ne? Es ist tatsächlich also es ist jetzt ein sehr wichtiger Moment, ja? Fürderart derartiges Engagement, weil wenn du's in also wenn du es mit der mit dem Ziel in das Regierungsprogramm schaffst.Dann kannst du eben auch durchaus darauf pochen oder davon ausgehen, dass es da eben tatsächlich auch ähm.Eine Umsetzung geben wird. Ja, wie gut die sein wird, wie sieht man dann nochmal, aber es wird eine geben.So, was gab's nicht? Facebook gab's nicht.
Tim Pritlove 0:29:45
Verdauen, also okay, also dein deine Bubble hat das Antenne gemerkt und ich.Ich war ein bisschen stolz, ich hab's einfach gar nicht gemerkt.Weil ich einfach all diese, also weder WhatsApp noch Instagram, noch Facebook wirklich aktiv benutze,Ähm und das von daher, also für mich erstmal keinerlei Diskruption, äh dargestellt hat. Bis zu dem Zeitpunkt, wo ich einen Podcast veröffentlicht habe.Und da äh gab's dann tatsächlich auf einmal eine skurrile Fehlermeldung. Denn ich benutze ja mittlerweile ähm einen automatischen Transkriptionsdienst.
Linus Neumann 0:30:24
Nein und der ist von Facebook.
Tim Pritlove 0:30:25
Der ist äh tatsächlich ist die Bude, die ich benutze, jüngst von Facebook gekauft worden und war dann eben auch von dieser Outfit betroffen.Also äh von daher sieht man mal wieder, wie wie die langen Arme dieses Unternehmens überall herein.
Linus Neumann 0:30:40
Ich hätte gehofft, dass wir hier, dass wir hier jetzt äh sagen können, hostet selber, macht das.
Tim Pritlove 0:30:46
Ja, gut, aber Transkription ist haltderzeit einfach nur über diesen Weg äh nennenswert ähm zu realisieren, also zumindest for free, ne. Na ja, egal. Lief ja dann auch irgendwann wieder, was war denn eigentlich passiert?Also von einem Moment auf den anderen ist so mehr oder weniger das komplette Facebook Netzwerk abhanden gekommen.
Linus Neumann 0:31:06
Es muss halt dazu sagen, dass Facebook Netzwerk ist ja, du hast es ja schon gesagt. Was Instagram, WhatsApp und Facebook, ne, sind so die drei großen.
Tim Pritlove 0:31:15
Die großen Dienste, glaube ich, die die Leute eben auch so aktiv ansteuern.
Linus Neumann 0:31:20
Und, und, und unser Transkriptionsservice, Alter, was ist denn hier los? Ich steh nirgendwo in der Tagesschau.
Tim Pritlove 0:31:27
Genau, da hängen sicherlich auch es gab sicherlich auch noch eine ganze Reihe anderer kleinerer äh Buden, die in irgendeiner Form auf Facebook gehören, diegar nicht aufzuzählen, weil ich das äh wieder genau weiß noch, dass mich irgendwie nennenswert interessiert. Nur also das wirklichalles von einem Moment komplett vollständig, von der Bildfläche verschwunden ist, hat natürlich äh viele Leute irgendwie sehr verwundert, Facebook natürlich auch. Ähm und,hat halt auch, sagen wir mal, für die technisch versierten Leute auch schnell ähm.Diese Möglichkeit, dass sie sich hier in irgendeiner Form um einen, in Anführungsstrichen Hackerangriff handelt oder so etwas. Eigentlich ähmnicht mehr im Bereich des Denkbaren. Denn dieses vollständige Verabschieden von einem Moment auf den anderen, also wirklich vollständig im Sinne vonalles komplett. Das ähwie es, glaube ich, die Experten schon relativ schnell darauf hin, dass sie sich hier primär um ein Netzwerkproblem handelt. Und jetzt denkt man so, na ja gut, aber Facebook hat doch so viele Server, äh kann ja nicht sein, dass die alle auf einmal ausgeschaltet warenwaren sie auch nicht, sondern äh was passiert ist, ist bitte.
Linus Neumann 0:32:39
Die waren alle an.
Tim Pritlove 0:32:40
Die waren alle an, also alles lief, die an die die saßen da irgendwie, das ist so wie so ein Laden, der äh das Geschäft aufmacht und sich wundert, dass keine Kunden reinkommen.Und der Grund ist einfach der,Die Facebook-Infrastruktur ist einfach mittlerweile wirklich, wirklich, wirklich groß. Ich kann das jetzt nicht konkret quantifizieren, aber man muss sich das eben als einen signifikanten Teil des gesamten Internets vorstellen. Und genau das ist es technisch nämlich auch.Internet heißt ja deshalb so, weil's eben ein ein Network auf Networks ist. Ja und das Internet,einfach alle diese Netzwerke und es gibt dann eben auch entsprechende Protokolle, die dieses Gefüge der ganzen Netzwerke auch ähm.Sie wo sich diese ganzen Netzwerke gegenseitig vorstellen können und sagen können so, hallo, uns gibt es, äh wir sind übrigens über diesen Weg zu erreichen. UndFacebook hat natürlich eine weltumspannende Infrastruktur mit eigenen Glasfaserleitungen und Data-Centers und vor allem auch vielen kleinen einzelnen Verbindungsorten, wo so Rauter äh stehen, wo sich Facebook,an die anderen großen Netze, also die Telekom und und was nicht alles und Starling, also,alle größeren Unternehmen, die in irgendeiner Form eine so eine weltweite Infrastruktur äh anbieten oder für sehr viele Kunden in einem Land, Internet anbieten.Die sind so auf diesem Level unterwegs,autonome Systeme, die quasi von Facebook ähm ja erstmal verwaltet quasi Facebook sein Netz und dann gibt es den Teil, wo sie sagen,Rest vom Internet. Hier sind übrigens die ganzen Zugangspunkte, wo ihr unsere Server erreichen könnt.
Linus Neumann 0:34:26
Um das vielleicht nochmal noch einfacher zu sagen, ne, äh nochmal, noch einfacher zu darzustellen.Eure jeder Rechner, der mit diesem Internet verbunden ist, hat eine IP-Adresse und unter dieser IP-Adresse ist er erreichbar.Aber das Internet muss ja irgendwoher auch wissen, wo diese IP-Adresse denn nun mal ist. Also, ne, euer Datenpaket sagt, ich möchte jetzt, was weiß ich, also.Frag den DNS-Server, was ist Facebook dot com, da kommt irgendwie eine IP-Adresse zurück, wird gesagt, meld dich mal da und dann schickt dir ein IP-Paket raus und sagt, ähm,Ich möchte mit, was weiß ich, diesem dieser IP-Adresse reden. Und dieses IP-Paket geht als allererstes an euren Router.Und der trifft an der Stelle eine sehr einfache Entscheidung, nämlich okay, ist das eine lokale IP,zu der ich hier ruten muss, also zum Beispiel eine, die mit eins und zwei, eins, sechs, acht anfängt oder äh mit zehn, ne, also eine lokale Adresse, dann nehme ich das Paket und schicke das dahin.Und wenn es eine ist, die ich nicht lokal erreichen kann, dann schicke ich die jetzt zur Deutschen Telekom oder zu meinem nächsten Router. Ja?Spätestens der muss dann irgendwann mal sagenAlles klar, ich bin hier, was weiß ich, fett angebunden am DKX. Ich habe äh ne, Dattunterseekabel, diese in diese Richtung ist der, ne, da da hinten sind die zwanzig.tausend Switches, die in Richtung des einenUnterseekabels gehen und hier ist ein Router, der geht da lang, will ich jetzt nach Asien, da will ich nach Amerika.Der muss irgendwann wissen, auf der Ebene, der Kabel letztendlich, ja, oder der, also der des des äh Protokolls, was sie darunter sprechen, ähm,An welchen meiner vielen Ports muss ich denn jetzt dieses Paket schicken, um zu dieser IP-Adresse zu kommen?
Tim Pritlove 0:36:20
Das war jetzt sein Versuch einer einfachen Erklärung.
Linus Neumann 0:36:23
Ja, das ist doch jetzt, das war doch jetzt nachvollziehbar.
Tim Pritlove 0:36:25
Ich würde äh na ja okay gut, wir haben unterschiedliche Vorstellungen von einfachen Erklärungen.Ich mache mal eine ganz einfache Erklärung, ja? Facebook ist eine dicke, fette Shopping-Mall und die steht an so einer Autobahnausfahrt und Facebook hat einfach alle Schilder, die an der Autobahn hat sozusagen diese Autobahnausfahrt,gesperrt. Und keiner konnte mehr zur Shoppingmal mit all seinen tausend äh kleinen Läden äh finden, weil einfach nichts mehr dahin zeigt.Mal kurz erklären, was einfach passiert ist. Also es gibt ähmNatürlich sehr viele Admins, die äh für Facebook dieses Netz warten und die haben auch eine ganze Menge äh auf den Kastennur wie es eben so ist. Software macht auch mal Fehler, Programmierer äh bauen auch mal Bugs ein. Und sie haben halt einfach ein reguläres Update, wie sie's den ganzen Tag über weltweit die ganze Zeit äh machen und machen müssen äh eingefahren. Und durch einen Softwarefehler.Ist Ihnen aber sozusagen diese ähm also Sie benutzen da so ein Protokoll, das heißt Protokoll, ja, da steckt schon so ein bisschen im Namen, dass da sozusagen eben die die einzelnen,Grenzlinien im Internet, also die Verbindungspunkte zwischen den äh einzelnen Netzwerken konfiguriert werden, die Borders,und äh im Prinzip hat Facebook ähm,nichts mehr bekannt gegeben oder alles das, was bekanntgegeben ist, war auf einmal ungültig. Das heißt, Facebook war einfach für alle anderen Netze unsichtbar. Es gab keinFacebook-Mad, diese ganzen IP-Adressen, wie du's grad äh erläutert hast, hatten kein Ziel mehr,kein Router konnte irgendwo was hingehen und da eben auch diese ganzen DNS-Server, die halt Namen auf IP-Adressen,auflösen, ne? Wenn du Facebook dot com eingibst, muss ja erstmal daraus eine Adresse generiert werden, auch die waren dann nicht mehr erreichbar. Also Facebook war einfach komplett weg wie vom von vom Planeten.Weggefegt, ja, also einfach eigentlich so ein Traumzustand, ne.
Linus Neumann 0:38:16
Also so würde man's machen.
Tim Pritlove 0:38:17
So würde man's eigentlich machen und das können sie aber selber dann am besten. Dann,haben sie das natürlich relativ schnell gemerkt. Ist ja jetzt nicht so, dass sie sowas nicht bemerken würden, wenn irgendwie all ihre Dienste weltweit nicht mehr zu erreichen sind, weil auf einmal geht die Last auf allen Systemen weg und natürlich fangen alle an zu schreien und alle sind dann irgendwie auf Twitter und auf Tinder. Auf Twitter beschweren sie sich nur auf Tinder, beschäftigen sie sichund ähm dann äh war aber das Problem, dass jetzt sozusagen sie auch nicht so ohne weiteres das wieder einschalten konntensie ja auch ihre eigenen Netze nicht mehr erreichen konnten, also sie hatten selber auch gar keinen Zugang mehr zu diesen Data-Centern, also zumindest nicht über das Netz.Und mussten dann, um alles äh hochzufahren, tatsächlich physikalisch Leute in diese Datacenter schicken, um,die äh äh Rechner sozusagen, um überhaupt diesen Zugriff wieder zu erlangen, um diese Konfiguration wieder zu ändern. Da kommen dann aber auch verschiedene,physikalische Security Prozesse rein, weil natürlich nicht in so ein Datacenter einfach mal irgendjemand mal mit so einem kleinen Ausweis reingeht, sondern das sind dann aufwendige Prozeduren, die doppelt und dreifach abgesichert sind. Und die mussten dann alle erstmal durchschritten werden. Und deswegen hat das, glaube ich, sechs Stunden gedauert,oder 9 irgendwas in der Größenordnung,dann eben auch wirklich der Zugriff der Admins selbst erstmal wieder hergestellt waren, damit sie dann eben diese Änderung rückgängig machen könnten und das Netz dann wieder verfügbar war.
Linus Neumann 0:39:40
Und jetzt kommt noch eine erschwärende Sache hinzu. Ähm Facebook und Apple macht das, glaube ich, auch und Google auch. Ähm,Und die machen das sogenannte,Also, das bedeutet, du musst dein eigenes Hundefutter essen, ja? Und die bilden quasi alle ihre Prozesse auf der eigenen Infrastruktur ab, also Facebook.Die Mitarbeiterinnen von Facebook.Arbeiten, koordinieren und sprechen miteinander über Facebook. Und Facebook war aber jetzt nicht mehr da. Das heißt, die hatten.
Tim Pritlove 0:40:15
Kein Kommunikationstool.
Linus Neumann 0:40:16
Nicht nur ihr Produkt und ihre Infrastruktur runtergenommen, sondern auch ihr ihre eigene Kommunikation. Ja, also die hatten sich alles, die hatten gar nichts mehr. Das war so richtig irgendwie so.Ich würde mal vorsichtig sagen, man man rechnet ja so mit allem, ne.Und ähm die haben sicherlich auch Kontingentspläne für alles. Aber ich würde mal so sagen, unsere kompletten BGP-Anouncements sind weg.Das hatten die bisher auch noch nicht so in ihrem roten Büchlein,Ja, weil die wahrscheinlich sagen, okay, Facebook ist dauern, dann müssen wir eine WhatsApp-Nachricht an den Chef schicken, so ungefähr, ne? Aber ähm das, dass das halt einfach alles weg ist und was du ja dann auch hast, sind ähm,glücklicherweise ist das ja eine relativ einfache Sache, weil in dem Moment, wo die, wo du von deinen Core-Rutern wieder diese diese Ruten announced, funktioniert ja auch einfach sofort alles wieder, ne?
Tim Pritlove 0:41:13
Ja, nicht ganz äh nicht ganz sofort.
Linus Neumann 0:41:16
Genau, aber häufig hast du ja zirkuläre Abhängigkeiten. Nämlich zum Beispiel, was weiß ich, dass dein Zugangssystem.Zugangskontrollsystem zum Datacenter. Halt irgendso eine kleine Online-Abhängigkeit hatja? Und wenn da wenn das halt auf einmal auch offline ist, ne, dass du quasi äh dass die halt dann da nicht so ohne Weiteres reinkommen, also alle Prozesse, die sie irgendwie hatten, haltmindestens stark äh erschwert waren. Es ist wunderschön gewesen.
Tim Pritlove 0:41:45
Und es ist auch nicht so, dass man jetzt mal eben dann einfach mal alles wieder freischalten kannweil das natürlich äh mittlerweile sich alles so aufgebaut hat, dass quasi so eine Milliarde Menschen die ganze Zeit mit dem Button irgendwie gekämpft haben und so, ich will jetzt aber hierja? Ich will ich will auch spielen.Ähm und wollten halt unbedingt wieder auf Facebook und ähHätten sie jetzt wirklich so mit einem Switch einfach alles eingeschaltet, dann wären sozusagen alle User mehr oder weniger gleichzeitig im selben Moment aufgeschlagen und dann würden die Data-Center halt auch explodieren. Also mussten sie dazu einenein Protokoll ähm waren, was eben diese Dienste dann tatsächlich einzeln wieder verfügbar macht, also obwohl sie theoretisch alle sofort wieder erreichbar waren, haben sie das dann eben schon so gemacht. Dafür hatten sie aber zumindest schon maleine Übung, weil das ist dann sozusagen eben dieser Fall. Was ist, wenn jetzt irgendwie ein Data-Center äh durch irgendeinen Sturm.Ist, ja? Stromausfall, keine Ahnung, äh Glasfaserkabel werden durchtrennt, et cetera. Was istwenn wir das jetzt wieder so alles anschalten, dann können wir das nicht machen. Das ist genauso wie nachm Stromausfallkannst du auch nicht sofort von 0 auf 1hundert alle elektrischen Geräte sofort wieder in Betrieb nehmen, sondern du musst es immer so schrittweise machen, damit dann eben auch die entsprechende Last von diesen Kraftwerken auch verkraftet werden kann. So ähnlich ist es dann halt auch in diesem Fall. Aber das hatten sie zumindest äh auf der Kette, zumindest nach ihrer eigenen Aussageund am Ende ähm hat's dann auch wieder äh funktioniert, aber hat halt leider leider nur sechs Stunden oder so gedauert.
Linus Neumann 0:43:54
Und ich finde, ich muss tatsächlich sagen, also hm ich glaube, ich bewerte diesen Fall äh etwas anders als äh der,insgesamt jetzt medial behandelt wurde. Ähm erstens mal, wenn man sich überlegt, was für eine Rieseninfrastruktur das ist.Und wie, was für ein absolutes Desaster es ist, wenn du halt also kein einziges Gerät, was die irgendwo.Die noch erreichen, ne? Die liefen alle, aber es gab nichts mehr von denen. Die konnten,konnten das nicht machen und und dadurch, dass dieses, sie konnten jetzt auch nicht sich manuelle Ruden setzen oder so, weil sie halt wirklich die Routen zu den IP-Adressen weggenommen haben, ne. Also was ja als erstes auffiel, war,oder daran scheiterte dann die Welt, die DNS-Server waren weg,Ja? Weil das ist der äh oder die DNS-Einträge waren weg und die kommen von den DNS-Servern. Also hat man erstmal nur gesehen, ah okay, die DNS-Server sind weg. Dann hat irgendwann mal einer gesagt, hm, wo haben die denn mal früher hingezeigt? Na okay, die Ruten sind auch weg. Dann hat man halt gesehen, okay, alles ist wegSo, wenn man jetzt mal überlegt, was das für ein riesen Konzern ist, wie viele wie viel Infrastruktur die haben, wie viele Services die haben und dass die,dass sie sich halt wirklich einmal ihr komplettes Routing komplett weggeknallt haben, ist sechs Stunden eigentlich eine ziemlich gute Zeit.Muss ich jetzt echt mal sagen, so. Äh Halleluja, habt ihr gut hingekriegt? So, ich glaube, wenn ich mir hier mal in meinem Heimnetz,ja? Das Routing zerschieße und einmal auf null. Ähm gut, brauche ich wahrscheinlich keine sechs Stunden, aber wahrscheinlich eine, ja? Und wenn die halt ihr weltweites Ding da wieder hinkriegen, äh innerhalb von sechs Stunden,sorry, finde ich absolut, also ist sehe ich nicht dramatisch. Ähm was grundsätzlich natürlich ein Problem ist,ist, dass Facebook zu groß und zu mächtig ist und dass man den den Kauf von Instagram und WhatsApp aus Kartellrechtlichen Gründen niemals hätte zugestehen dürfen.Ja? Das ist korrekt. Es steht aber in meiner Wahrnehmung auf einem anderen Blatt, weil das Risiko dadurch, dass WhatsApp,dass das Facebook auch WhatsApp und Instagram gehört,ist nicht, dass alle drei gleichzeitig ausfallen, sondern das Risiko ist, dass dieses Unternehmen halt viel zu viel Macht akkumuliert und viel zu viel Einsicht. Und im Prinzip für viele Menschen eben das Internet ist.Aber ich finde diesen sechs Stunden Ausfall alles andere als eine Katastrophe und es gab dann,Fand ich auch sehr interessant, dass dann einige sagen, ja, ja, ja, ja, okay. In Europa war's nicht so schlimm äh oder äh weil äh wir konnten ja dann oft hinder oder oder auf Twitter oder äh,auf Signal oder auf Telegramm oder auf Threema gehen, ja, in Ordnung, aber aber in Afrika, äh in einigen Ländern, da ist ja dann äh da ist ja Facebook.Deine Welt und wenn und du hast ja nur eine Facebook Page und wenn die mal ein paar Stunden nicht läuft, dann ist das äh finanzieller Verlust für dich. Ja, okay, ja, spannend. Interessanterweise in den Ländern hat es am wenigsten die Leute interessiertJa, also als irgendwie in Deutschland noch äh fünf Artikel, die ersten fünf Artikel auf Tagesschau DE sich mit Facebook auseinandersetzen, hast du irgendwie,in den afrikanischen Ländern, in denen ich geschaut habe, da war längst wieder was anderes Thema. Er hat die überhaupt nicht interessiert,Also ich glaube, dass dieses oh Facebook ist kritische Infrastruktur, so dass das wirklich mal massiv über äh übertrieben war, ja. Also.
Tim Pritlove 0:47:25
Ja, kommt drauf an, also ich meine, es gibt halt mittlerweile auch eine ganze Menge Unternehmen, die sind einfach auch nur über Facebook,präsent. Sie haben da ihre Seite und ihre gesamte Wirtschaftsexistenz, alle Buchungen beim Friseur und so weiter, laufen dadrüber. Äh oder eben auch über WhatsApp, was in dem Fall ja dann das Gleiche istund ähm da muss man sich schon eben darüber Gedanken machen, ob das Verlassen auf einen einzigen,da ausreicht und ob's nicht zumindest mal ganz angemessen wäre, so eine ganz klassische äh Homepage oder wie man früher gesagt hat, unsere Visitenkarte im NetzÄhm ja, ob das nicht vielleicht äh auch nochmal eine ganz gute Idee wäre, zumindest um so die,Grundverfügbarkeit auf die ein oder andere Art und Weise sicherzustellen, beziehungsweise selber auch kommunizieren zu können, dass es einen noch gibt oder wie man denn jetzt alternativ erreichbar ist, weil das,war ja sozusagen auch äh eine Information, die so nicht mehr vorlag.
Linus Neumann 0:48:20
JaNe? Also ja, aber so echt irgendwie ich, also ja, stimmt, ne, Dinge fallen aus, aber ähm irgendwie wenn man jetzt mal kurze Kopfrechnungen.24 Stunden hat der Tag.Dreihundertfünfundsechzig Tage, also irgendwas achttausendsiebenhundertsechzig Stunden, so sechs davon ist irgendwie auf jeden Fall noch weit unter einem Prozent.Und 99,9 Prozent bietet dir irgendwie jeder. Das heißt oder oder garantiert dir jeder. Das heißt, du musst eh bei allem was du hast, davon ausgehen, dass es vielleicht 1 Prozent down ist.365 Tagen.
Tim Pritlove 0:49:12
Sind schon drei Tage äh die im Jahr.
Linus Neumann 0:49:14
Drei Tage, ja?
Tim Pritlove 0:49:16
Das ist zu viel, also.
Linus Neumann 0:49:18
Ja gut, ist zu viel, aber also ich, ja, also ich meine, äh.Okay, ich freue mich für die Leute, die an diesem verhängnisvollen Tag gelernt haben, dass es vielleicht keine gute Idee war, alles Kritische, was sie haben, ausgerechnet bei Facebook abzubilden.Aber da das ja für alle gleichermaßen ausgefallen ist, ich sehe jetzt nicht die weinenden Friseure ohne Termine, äh die die sagen, oh mein Gott, ey, wenn der große Facebook-Ausfall, der hat mir den Monat ruiniert oder so. Also sehe ich nicht.Also.
Tim Pritlove 0:49:52
Ja gut, also ich meine, da kann auch Veranstaltungen gewesen sein für äh wo derder Tag dann wirklich der entscheidende Tag war. Also weiß man nicht. Ich bin mir sicher, dass es Einzelfälle geben wird, die äh dann schon eher desaströs waren und sicherlich was für die allermeisten äh eher so eine Newsins, aberist ja auch letzten Endes egal, hat stattgefunden, äh wurde abgeschaltet, wir verstehen und Facebook hat's auch relativ gut selbst erklärt und auch glaubhaft,was er eigentlich genau vorgefallen ist und.Und das Schöne ist doch, dass jetzt Facebook endlich wieder zurückkehren äh kann, um seine eigentliche äh Erfüllung äh weiter zu verfolgen, nämlich die Zersetzung der Demokratie.
Linus Neumann 0:50:37
Stimmt. Es war wirklich ein schöner Moment. Also das das war übrigens auch ein ein sehr schöner Tweet. Ähm.In dieser Situation, es gab ja sehr, sehr viele Facebook-Dauwn-Witze, äh mein Lieblingstreet war, äh okay, lasst es jetzt einfach unten, bis wir Herdenimmunität erreicht haben. Den fand ich.
Tim Pritlove 0:51:03
Stimmt.
Linus Neumann 0:51:09
Den fand ich den fand ich sehr.Äh aber okay wir äh es gab äh ziemlich zeitgleich, äh wo dann auch natürlich einige dachten, oh Verschwörung. Ähm.Eine äh Whistleblowerin von Facebook, die ähm erst, glaube ich, im Wall Street Journal oder so was ähm.Anonym irgendwie über Hintergründe und Probleme bei Facebook ausgesagt hat und dann ähm auch vor dem äh Kongress in den USA äh ausgesagt hat,ähm also im Senat äh äh was Facebook eben für Schaden hätte für die Gesellschaft, ne? Also verstärkt die gesellschaftliche Spaltung.Schadet Kindern und ähm diese Spaltung und Hetze, äh die.Befördert ist durch seine Algorithmen, alles Dinge, die wir hier schon weiß nicht, seit wie vielen Jahren rauf und runter beten. Äh und auch die ähm,letztes Jahr dann hier in dieser Netflix-Serie mit Twistin Harris. Wie heißt die denn nochmal? Ähm.Also die sich im Prinzip mit diesen,äh sozialen Netzwerk Algorithmen auseinandergesetzt haben, ja? Und ähm die, das Kern.Problem ist ja, das Ziel dieser sozialen Netzwerke und damit also natürlich auch Facebooks ist es, dass du auf dieser Seite bleibst, ja, weil dadurch können sie dir mehr Werbung anzeigen und gleichzeitig ähm mehr,über dich lernen und über dein Verhalten sammeln, um dir wiederum bessere Werbung zu zeigen. Das heißt, das allergrößte Geschäftsziel von allen, was die erstmal haben.Primäre Ziel von denen ist, mach, dass die Nutzer auf der Seite bleiben. Und das geht eben nur dadurch, dass die,konstant interessante Inhalte kriegen.Ja, also etwas, was ihnen, was sie dazu bringt, sich damit auseinanderzusetzen, weiterzuklicken, zu liken oder down zu voten oder irgendeinen Hasskommentar zu schreiben oder irgendwas, ja. Und.Die relativ einfache Regel ist ja, dass die Leute.Eigentlich nur dann bleiben, wenn es halt nicht langweilig wird. Und damit es nicht langweilig wird, muss halt das nächste interessanter sein als das letzte. Und diesegenerelle Tendenz, wenn jetzt eine Algorithmus,machst, der ja dann, also haben die ja vor Jahren schon angefangen, weiß nicht, wie wir ja dass du nicht mehr deine gesamte Timeline siehst, sondern dass sie die für dich kuratieren, ja? Und äh da kuratieren die natürlichin deinem Sinne raus, dass sie die langweiligen Sachen rausnehmen, die dich wahrscheinlich eh nicht interessieren.Damit du, ne, am Ende mehr auf der Seite bleibst. Und wenn man diesen Algorithmus einfach plump laufen lässt, dann wird der halt äh polarisierende Inhalte bevorzugen.So, da, das ist alles, also ist auch wirklich das ist unstrittig, ja? Und jetzt aber der Punkt ähm.
Tim Pritlove 0:54:25
Vielleicht solltest du das Wort interessant gegen aufregend ersetzen, ne? Inhalte, die einen mehr aufregen, weil das.
Linus Neumann 0:54:35
Also die die die genau die die einfach mehr in in emotionale Sache irgendwie ne,irgendetwas in dir auslösen, was darauf sorgt, dass deine Aufmerksamkeit dort bleibt. Und nicht abwandert zu Tinder. So und,ähm.Also das ist unstrittig, dass es so ist, ja? Das ist auch irgendwie sehr gut äh erforscht, ja und relativ klares Phänomen in der Psychologie.Jetzt ist die die der Punkt, der war jetzt hier an dieser Stelle neu ist mit der äh Francis Horgen heißt die, glaube ich. Äh Francis Horga, Horgen, ähm.Dass Facebook das natürlich auch weiß und dass sie aber eine Abwägung getroffen hätten.Ja und dass sie im Prinzip sagen, okay äh wir wir wissen, dass das Feindseligkeit schürt.Aber wir wissen,wir nehmen das in Kauf, wir werden also quasi unserer Verantwortung hier nicht gerecht, weil die einzige, die einzige Weg unserer Verantwortung gerecht zu werden, wird auf jeden Fall in ähm Umsatzeinbußen,Münden für uns. Und deswegen machen wir das nicht.Ja? Und sie sagt, sie glaubt zwar nicht, dass Facebook darauf aus gewesen sei, eine zerstörerische Plattform aufzubauen, doch am Ende trägt eben Mark Zuckerberg die Verantwortung. Und äh sie schließt eben damit, ähm.Dass sie sagt, okay, dieses Ding muss zerschlagen werden, ja? Und diesen, diesem, äh, Fazit würde ich mich dann auch wiederum anschließen und man muss sich tatsächlich überlegen,Ich habe mal wenn du zum Beispiel Instagram anguckst, ne, weil also,Da musst du dich ja nicht wundern, dass die Kinder alle depressiv sind und und irgendwie Erststörungen kriegen. So, also ganz ehrlich, was was da irgendwie für ein Schönheitsideal äh,propagiert wird und die eifern dem alle hinterher und die Leute operieren sich inzwischen die Gesichter, damit die aussehen wie ein Instagram-Filter. Das ist ja, also ist ja wirklichdramatisch, was das mit dem mit dem Erleben und Verhalten von Menschen macht, ähm,Ist, glaube ich, schon klar, dass man das äh im Zweifelsfall ganz gerne lieber loswerden würde,Ja und da würde ich tatsächlich sagen, das ist auf jeden Fall das sehr viel größere Problem dieser Plattform.Und übrigens auch der Grund, warum ich mich ja von denen fernhalte bis auf Twitter, das wäre so meine.
Tim Pritlove 0:57:13
Hast du Angst um dein Schönheitsideal? Also.
Linus Neumann 0:57:15
Mein Schönheitsideal ist zeitlos, Tim.Das ist völlig egal.
Tim Pritlove 0:57:21
Ja, ist richtig, ne, ist die Frage, ob eine Zerschlagung jetzt auch den äh entsprechenden Erfolg hätte, weil letzten Endes ist es ja auch nicht nur bei Facebook so. Also es ist im Prinzip das Prinzip heutzutageüberall und ähm der nächste äh kennt dieses Erfolgskonzept und will auch die gleiche Kohle machen und,kein Netzwerk, keine Webseite, die heute rangeht. Ich meine, du musst dich ja nur irgendwie bei deiner,Bank irgendwie einloggen und du wirst ja schon die ganze Zeit mit irgendwie ja, guck mal hier, guck mal da, also nicht nur so Eigenwerbung, aber auch so, ja, kannst dich damit noch beschäftigen. Bleib mal hier, melde nochmal dein Konto von der anderen Bank hier an und so weiter. Also es gehtimmer dadrum, Aufmerksamkeit äh und bleibt doch bitte bei uns, denn unsere Plattform wird insgesamt wertvoller dadurch, dass so wie über uns alles andere machst. Man will einfach zum Agenten für alles Möglichewerden, weil das dann eben Screentime generiert wo man dann eben andere Leute Business quasipromoten äh kann und daran mitverdient. Und das ist halt einfach etwas, was wir generell überdenken müssen und wo sicherlich auch noch ein paar wirklichkluge Vorschläge gemacht werden müssen und vielleicht auch schon gibt, die ich jetzt nicht kenne oder zumindest nicht zitieren äh kann,welches Regulativ, welche Art von regulativ man ins Recht einziehen muss, um dieser Problematik Herr zu werden.
Linus Neumann 0:58:42
Ähm werden wir werden wir heute nicht äh werden wir heute nicht lösen.
Tim Pritlove 0:58:47
Abschließend zumindest.
Linus Neumann 0:58:48
Nicht abschließend, aber ähm da ich sage mal so ein scheint schon.
Tim Pritlove 0:58:53
Ist schon mal ein guter Ansatz.
Linus Neumann 0:58:55
Einer der besten Wege zu sein.
Tim Pritlove 0:58:57
Genau.
Linus Neumann 0:58:59
Muss vielleicht auch sagen, ähm Zuckerberg hat quasi derFrancis Horgan widersprochenund sagt, äh sinngemäß, wir verdienen Geld mit Anzeigen und die Werbekunden sagen uns immer wieder, dass sie ihre Anzeigen nicht neben schädlichen oder wuterregenden Inhalten sehen wollen. Erkenne keinen Tech-Konzern, der Produktehersteller, die Menschen wütend oder depressiv machten. Undda würde ich widersprechen. Also da kenne ich aber ähm er sagt natürlich schon, also er er ähm.Er er spricht zumindest an, dass.Sie auch in ihrem wirtschaftlichen Interesse als Unternehmen Facebook einen korrigierenden Faktor haben, der sie davon abhält, das Ding, was weiß ich, zum absoluten äh Hass,Netzwerk.Werden zu lassen allerdings würde ich sagen das also ist OK ne sonst wär's glaub ich auch noch schlimmer aber ich denke dass dieser Faktor nicht,reicht, ja? Also das ist klar, dass sie auch ein Korrekt korrigierenden Faktor haben, aber es ist auch wahrnehmbar, dass der sich nicht ähm.Ja, dass der, dass der nicht ausreichend wirkt.Haltet euch von von äh Instagram und Facebook weg. Das äh tut euch nicht gut, Kinder.Dann kommen wir mal zu den etwas kürzeren Meldungen. Ähm Pegasus, die Staatstrojaner Software des Herstellers NSO äh,stellt sich raus, nicht nur das deutsche BKA setzt sie ein, sondern auch der Bundesnachrichtendienst und der Bundesnachrichtendienst hat das im parlamentarischen Kontrollgremium verheimlicht.Geil, oder? Also, was ist das, ja? Äh also die Bundesregierung hat es dem ähm,parlamentarischen Kontrollgremium verschwiegen, dass der BND die Software wohl längst einsetzt.
Tim Pritlove 1:01:05
Geil. Ich meine, das Kontrollgremium darf ja sowieso nichts weiter erzählen, von daher ist das auch so eh ein bisschen pointles, aber wenn's noch nicht mal die erfahren, fragt man sich wirklich, was das ganze Gremium soll und wo hier eigentlich wirklich eine aktive Kontrolle überhaupt noch stattfindet.
Linus Neumann 1:01:20
Also das ist wirklich ein, also es istSkandal, ja, es ist ein und und das sind so Meldungen. Ja, also ich meine, guck mal, das hier nicht irgendwelche Leute, die das äh rausbringen, ne, Georg Maskolo, Florian Vlade, so ernstzunehmende, mh.Journalisten, die äh ja hier,auch eine wahnsinnige Leistung verbracht haben, das irgendwie rauszukriegen, ne, dann müssen wir im Zweifelsfall irgendwo äh ein Leak gefunden haben, irgendjemanden, den sie äh dazu gebracht haben, das zuzugeben. Und jetzt ist gerade jetzt diskutieren, aber alle gerade irgendwie übers Kiffen.Und uns so etwas verpufft sogar, ja, dass das und darf man nicht vergessen, ne? Das sind ja die, ich meine,diese alte Bundesregierung. Das sind die, die wir jetzt zum Glück hoffentlich mal, wenn wir Glück haben, für vier Jahre los sind. Ja, aus guten Gründen.Die haben diese Dinge zu verantworten.Eine und äh es gab ja jetzt gerade wieder äh kritische Updates für für Apple. Ich weiß nicht, also bei diesem Mal war war nicht,mit dabei gesagt, ob sie jetzt im Zusammenhang mit Pega so stehen oder nicht, aber Vermutung steht nah. Er liegt nahe und ähm das ist einerseits sehr schön, weil dann eben diese Schwachstellen behoben werden. Andererseits natürlich katastrophal, weil manäh dadurch erfährt, dass es diese Schwachstellen gab und dass es eben ein Unternehmen gab, dass diese Schwachstellen jahrelang kannte und ausgenutzt hat und dass dieses Unternehmen,nicht nur von irgendwelchen Autokraten und Diktatoren irgendwie Geld bekommt, sondern auch von der deutschen Bundesregierung.Tja.
Tim Pritlove 1:02:59
Ein Elend.
Linus Neumann 1:03:01
Also das ist das und es sollte natürlich Konsequenzen haben. Übrigens auch, das ist hier in diesem Artikel äh von Florian Flade und Georg Maskoloschön drin, ja, den wollen wir auch dran erinnern, ja?Ähm lalala. Der stellvertretende Grünen-Fraktionsvorsitzende Konstantin Notz nannte Pegasus einen Alptraum für den Rechtsstaat. Die FDP forderte, die Überwachung durch Staatstrojaner zu stoppen.Das ist das,Grün und das Gelb in der ähm in der ähm in der äh Koalition und äh da wollen wir mal hoffen, dass sich dass die sich durchsetzen.Auf der anderen Seite, äh wenn du in Deutschland als Hacker mal eine Schwachstelle irgendwo meldestÄh wie ist da angezeigt und kriegst eine Hausdurchsuchung, ja? Wir haben den Fallvon Lidl Wittmann ja besprochen, da gab's ja dann die Strafanzeige sehr zuvor reagiert, CDU hat sich ins Zeug gelegt, dass irgendwie äh das zu,und es kam dann zur Einstellung des Verfahrens mit Sicherheit eigentlich durch den politischen Druck der Betroffenen.Ähm und wir haben das in der letzten Sendung schon kurz angesprochen, dass gerade ein äh Entwickler, ich würde jetzt noch nicht mal sagen, Hacker äh.Quasi große Probleme hat mit dem Unternehmen äh Modern Solution. Und zwar hatten die eine.Bereitgestellt für Online-Marktplätze, wie zum Beispiel Otto-Check 24 oder Kaufland. Also ist nicht irgendwie nicht kleine, ne? Und äh da waren 700.000 Kundinnen betroffen.Und zwar war das dieser Fall, ich erinnere nur daran, wir hatten da schon drüber gesprochen, dass dass die diese App hatten, die dann statt über eine API zu kommunizieren.Direkte MySQL-Verbindung auf deren Server.Und das ist so, es ist so krass, ja? Also, dass die haben quasi in der App die die MySQL Zugangsdaten gehabt,und dann hat die App ja doch und dann hat die App äh sich quasi über my SQL dorthin verbunden und hat gesagt, was ne select from äh Kunden, ja. So und jetzt kommt also erstens.Macht man so nicht.
Tim Pritlove 1:05:24
Nein, das macht man nicht.
Linus Neumann 1:05:26
Das kann man so nicht machen. Man baut eine API, die ne rechte Kontrolle davorsetzt und so weiter. Zwei, weil in dem Fall du ja den Kunden, auch die Rechte gibt's zum Beispiel zu sagen, äh ne, drople und so weiter und.
Tim Pritlove 1:05:40
Mal alles, genau.
Linus Neumann 1:05:42
Noch dazu war das jetzt für unterschiedliche ähm Kunden, ja, das Gleiche, das heißt, du konntest mit den Otto-Zugangsdaten auch die Tabelle von äh.
Tim Pritlove 1:05:56
Zwanzig leermachen, oh man ey.
Linus Neumann 1:05:59
Und das ist also das ist so also das ist so krank.Ja, das kannste nicht machen, ne. Also, also das ist so dilettantisch, das kannst also auf ich habe schon viel gesehenIch habe ja wirklich schon viel gesehen, ne. Ich meine, ich mache das ja beruflich. Man will nicht sehen, willst gar nicht wissen, was ich jeden Tag beruflich sehe und wie ich mir danach immer mit Kernseife die Augen auswasche, ja. Aber so was.Ist mir in zehn Jahren IT Security nicht untergekommen. Nur um mal das Ausmaß zu zeigenandere Dinge schon, ja, ich meine, wir haben ja ein paar äh äh Vorträge über solche Dinge gehalten, wenn es wenn es halt mal nicht irgendwie äh im beruflichen Verschwiegenheitskontext war, aber so etwas habe ich noch nicht gesehen. Und sowas habe ich noch nicht gesehen.
Tim Pritlove 1:06:43
Und das ist vor allem alles, aber bestimmt keine Modern Solution.
Linus Neumann 1:06:48
Nein, das ist keine Materie.
Tim Pritlove 1:06:49
Das ist das, es ist wirklich also,Also das ist noch nicht mal Steinzeit, weil das hätte man auch in der Steinzeit so nie tun dürfen. Also es war schon immer falsch. Aber es ist einfach jenseits jeglicher Security äh Praxis. Es ist auch einfachgenerell äh.Fällt mir nichts zu ein.
Linus Neumann 1:07:13
Absolut, also unvorstellbar.
Tim Pritlove 1:07:15
Katastrophe.
Linus Neumann 1:07:16
Unvorstellbar, also wie man so etwas überhaupt veröffentlichen kann, als also.
Tim Pritlove 1:07:20
Überhaupt erwägen kann, so was überhaupt so erstmal zu machen. Geschweige denn eben dann auch wirklich auszuliefern und dann im Betrieb zu halten.
Linus Neumann 1:07:29
Man muss dazu sagen, also es gibt ähm.Also was man häufiger hat, ja, ist, dass ähm also um jetzt mal die eine nicht, nicht viel bessere.Ähm äh Interation des gleichen Fehlers mal zu bemühen. Man hat es häufig, dass Programmierer.In einer Applikation, Passwörter, Hardcoden.Ja? Und dann denken so das ist ja jetzt hier in dem binärcode drin und da kommt ja niemand dran. Da findet ja niemand. Ähmweil ich bin ja schlau, weil das ist ja in dem in dem Code versteckt und nicht in irgendeiner Konfigurationsdatei oder so, die ja jeder finden würde. Also, hardcore ich in meinem.Und äh kopiliere das und bin dann irgendwie äh glücklich und denke mir,dieses Passwort wird niemals jemand finden. Ja, jetzt gibt's aber natürlich so ähm Tools wie Eider Pro, Dibu, IL Spye, wie sie alle heißen, mit denen manquasi in den kompilierten Programm-Cord wieder reinschauen kann und ihn äh ja dekolliert. Also das Ding macht im Prinzip.So ein so ein so ein äh versucht ähm das das Kompilat,quasi aus dem den Quelltext zu rekonstruieren. Und so etwas wie ein String, der da drin verarbeitet wird, finden alle die Komppierer sehr einfach, ja? Also zum Beispiel, wenn du jetzt irgendwie.Was weiß ich, einen einfach in irgendeiner Programmiersprache deiner Wahl, einen String zuweist und sagst, das ist das Passwort, was wir nachher verwenden. Den holst du da in null Komma nichts raus, ne? Also auch, da brauchst du gar keinen dafür.Das ist ein Fehler, den Leute sehr oft machen, dass sie dann aber auch noch quasi direkt über auf MySQ Apports zugreifen,Äh das ist äh das ist halt nochmal eine damit kommst du dann halt wirklich in die in die internationale Liga,Die internationale Liga, der des des Vollversagens. Weil kann, so blöd kann keiner sein.
Tim Pritlove 1:09:40
Also man stellt nicht die nackte Datenbank direkt ans Netz, sondern da muss immer so ein mitdigierender, mindestens einintegrierender, vermittelnder Leer, dazwischen sein, wenn nicht sogar mehrere. Allein schon, um überhaupt erstmal eine Trennung von dem,eingeloggten Nutzer zu dem System äh zu machen und und dann auch sicherzustellen, dass eben genau dieses äh wenn ich auf Otto zugreifen kann, kann ja auch auf Check zwanzig4 zugreifen, um das zu verhindern. Also wo einfach eine Logik das einfach von vorne rein schon mal so trennt, dass es auchgar nicht geht.
Linus Neumann 1:10:10
Und, und, dass du, dass du natürlich, also du, was du machst, ist eine APID bestimmt, die, die.Dann eben einen eingeschränkten Funktionsumfang bereitstellt und für den auch ähm Berechtigungen berücksichtigt,und sagt, okay, äh du bist angemeldet als Nutzerin vom Typ Administrator, äh du darfst dieses und jenes, aber dieses und jenes nicht, das darfst du sehen, das darfst du nicht. Das sind alles Dinge, die kann die Datenbank selber nichtDeswegen hast du und dieses LayerDer Berechtigungsprüfung kannst du natürlich nicht, das kannst du, aber solltest du nicht in die bösen Hände des Kunden oder des Angreifers gebenNaja, okay. Was ist hier passiert, wenn ich das richtig in Erinnerung habe? Hat der äh Entwickler, der hier betroffen ist, ähm.Mehr oder weniger, glaube ich, einfach nur angemacht, weil das diese, also ein Netzwerk äh Traffic mitgeschnitten und die ähm.Weil die Verbindung zu dieser Mais äh Datenbank halt unverschlüsselt stattfindet, konnte er die quasi äh das.
Tim Pritlove 1:11:19
Kabel auslesen sozusagen.
Linus Neumann 1:11:21
Ja, so, also so ging es auf jeden Fall auch. Ich müsste jetzt nochmal gucken, es sind wie gesagt, haben jetzt letzte Woche schon angeschaut. Ähm,So, was haben die gemacht? Die haben halt Bescheid gegeben. Ne, also deräh Decker hat der dem Unternehmen Bescheid gegeben und hat dann noch so einen Blogger Bescheid gesagt und dieser Blogger hat dann ja sehr, sehr zeitnah darüber geschrieben,Ja. Ähm und dann auch noch weiter, weil Reparaturversuche bei diesem Anbieter.Eben untauglich waren.Und das ist jetzt so, sage ich mal, also das ist jetzt nicht so hundert Prozent optimal gelaufen, weil es eben wohl eine sehr kurze Zeit war zwischen er hat diedie den betroffenen Anbieter informiert und es kam keine Reaktion und es gab einen Artikel darüber.
Tim Pritlove 1:12:15
Was hast du, was hast du die etablierte Zeitraum, wie viel Zeit man Vorlauf gibt? Bevor man was veröffentlicht?
Linus Neumann 1:12:22
Na, also zumindest auf ein paar Tage auf Antwort warten, musste dann halt schon, ne?
Tim Pritlove 1:12:28
Und wie viel war's jetzt hier effektiv?
Linus Neumann 1:12:30
Ich glaube, also wenn ich das richtig erinnere, ich müsste jetzt nochmal genau gucken, aber nicht, nicht sehr viel, ja. Also der hat halt irgendwie innerhalb kürzester Zeit, ja? Und,ja oder Tage so. Das aber ne, das ist jetzt also das ist eine Detailsache. Am Ende darf man nicht vergessen, dieses,Unternehmen,hat einen Server gehabt, der sofort abgeschaltet werden musste. Und es gab auch keine andere äh Forderungen, die man sinnvoll diesem Unternehmen gegenüber hätte stellen können.Und die mussten dieses Ding sofort abschalten, weil das ist ein Fall von ähm,Du musst davon ausgehen, dass das schon jemand anderes längst gefunden hat.Mit einem schlechten Passwort und so. Das das das du musst eben in diesem Fall kannst du nicht sagen, okay, danke, dass sie uns Bescheid gesagt haben. Wir nehmen uns jetzt drei Monate Zeit und beheben die Schwachstelle. Was jetzt ähm.Vielleicht in anderen Fällen üblich ist, wo es sich um irgendeinen Zero-Day Exploite handelt, wo die Wahrscheinlichkeit gering ist,dass jemand anderes das jetzt in dieser Sekunde findet, ne? Aber bei so einer,katastrophalen Sache, denke ich, ist die Forderung angemessen zu sagen, schaltet diesen Server umgehend ab und ähm ne, fertig.Die haben aber dann irgendwie gesagt, ja, okay, dann bauen wir jetzt eine neue App, in der wir ein anderes Passwort irgendwie versuchen, drin zu verstecken, dasso kommen dann nämlich blöde Programmierer und versuchen dann irgendwiealles klar, dann machen wir jetzt dann machen wir jetzt 'ne Verschlüsselung, ich erfinde jetzt ein genialen Verschlüsselungsalgorithmus und dann entschlüssele ich das Passwort und dann steht das Passwort nicht mehr im, sondern erst nachdrei Läufen im Speicher, ne, solche irgendwie solche beknackten Ideen kriegen die Leute ja dann immer, ne.Anzuerkennen, dass das fundamental nicht reparierbar ist. So, also die Veröffentlichung hier.Sehr zeitnah und ähm irgendwie ist er auch unklar, wie viel Zeit jetzt noch genau dazwischen war, dass die diesen Server abgeschaltet haben und dieser Blogger,darüber berichtet hat, ja? Ähm warum sage ich das? Na ja, das also das das Problem ist ja hier, du willst ja.Dass diese, also du, du, du informierst ja den Hersteller und dann die Öffentlichkeit, damit diese Daten geschützt werden, also den Hersteller, damit der,den Missstand beseitigt und die Öffentlichkeit, damit sie über den Missstand in Kenntnis gesetzt wird, ja? Und über das Risiko.
Tim Pritlove 1:15:03
Und in dem Fall auch noch, nicht ganz zu vergessen, auch die Kunden, die hier unmittelbar betroffen sind, weil so weder Otto noch check 24 dürften ein größeres Interesse daran haben, dass alle ihre Kundendaten ausgelesen werden, weil dafür haften sie ja dann auch, selbst wenn es jetzt erstmal der Fehler eines Dritten.War.
Linus Neumann 1:15:18
Und erst recht nicht, die Kunden von denen, ja? Erst recht nicht die Kunden von denen, also die dieses Unternehmen Modern Solution, ja, das kennt ja gar keiner, aber es gibt 700.000 Leute, die deren persönliche Daten und,und unverschlüsselte Passwörter in dieser verfluchten Datenbank waren.
Tim Pritlove 1:15:36
Unverschlüsselte Passwörter auch noch.
Linus Neumann 1:15:39
Ja, natürlich. Natürlich Tim.
Tim Pritlove 1:15:42
Was sind denn das für Anfänger, die da irgendwie.
Linus Neumann 1:15:45
Absolut also du kannst es dir nicht als das ist nicht äh absolut nicht. Hier die haben.
Tim Pritlove 1:15:51
Schon fast kriminell schlecht.
Linus Neumann 1:15:52
Meldung vom 230621 von dieser diesem Unternehmen Modern Solution GmbH und Co KG. Äh sehr geehrte Damen und Herren, mit dieser Nachrichteine Datenschutzverletzung bei der Modern Solution GmbH und deren Umstände informieren. Was ist genau passiert? Heute am dreiundzwanzigsten sechsundzwanzig einundzwanzig, acht Uhr neun wurden wir von einem in Anführungszeichen ethischen,auf eine Sicherheitslücke in unserem System hingewiesen. Eine Sicherheitslücke, ne? Aufgrund dieser Sicherheitslücke war es möglich, dass,Passwort zu unserer Datenbank abzugreifen und auf unverschlüsselte Passwörter und personenbezogene Daten zuzugreifenSo. Das ist immer richtig geil, diese Texte, weil was ich da eigentlich drin befindet, ist, okay, wir haben das Datenbank-Passwort einfach unseren Kunden gegeben und,ähm von den an, von deren Kunden haben wir die Passwörter unverschlüsselt in unsere Datenbank reingeschrieben, ja? Über dieses Datenbank-Passwort verschaffte sich der Hacker,externen Zugriff auf unsere Datenbank sowie unser Ticketing System. Inwiefern eine Weitergabe oder Weiternutzung dieser Daten durch den Anführungszeichen ethischen Hacker erfolgt ist. Und ob es zu weiteren Zugriffen gekommen ist, ist uns derzeit nicht bekannt. Wir arbeiten intensiv an der Aufklärung. Welche Daten sind betroffen?Betroffene Daten unserer Kunden sind Namen, Vorname, E-Mail-Adresse, Telefonnummer, Bankdaten, Passwörter und Gesprächsverläufe sowie Anrufhistorie aus unserem Ticketsystem,betroffene Daten ihrer Kunden sind Versand, Informationen wie Name, Vorname und Anschrift. Es ist so, dass ich so der, also das ist das, was also dieses Datenleck, ne, wenn du da jetzt drin bistund der durchschnittliche Bürger bist, der überall das gleiche Passwort setzt, dann bist du in diesem Moment erledigt.
Tim Pritlove 1:17:27
Das ist echt.
Linus Neumann 1:17:28
So und dann sagen sie, ne, dann,Welche Folge hat die Daten äh äh obwohl wir unverzüglich Abhilfemaßnahmen eingeleitet haben, bestand potenziell potenziell die Gefahr, dass,unbefugter Zugriff auf Personen bedanken und genommen wurde, dadurch kann es dazu gekommen sein, dass sich unbefugte Personen mit ihrem Passwort in ihrem Account einloggten. Auch könnten unbefugte Personen versucht haben, ihre Personen,bezogene Daten, wie beispielsweise Finanzdaten zu missbrauchen. Welche Abhilfemaßnahmen haben wir getroffen? Jetzt wird's wieder lustig, ne?Unsere Kundenzugänge wurden erneuert und komplexer dargestellt.
Tim Pritlove 1:18:02
Das ist gut.
Linus Neumann 1:18:08
Ebenfalls haben wir bereits damit begonnen, ein neues Verschlüsselungsverfahren einzuführen, um eine höhere Sicherheit unserer Infrastruktur zu gewährleisten. Ist auch schön, ne, ein neues Verschlüsselungsverfahren macht natürlich den,macht den Eindruck, als hätte schon mal eins gegeben,also der Satz wäre ja eigentlich ohne Neues, ist er ja immer noch, ist es, ist es ja, ist er ja wahr, aber durch diesen Hinzufügen des Wortes Neues, wird der Eindruck erweckt, ähm ne, jetzt oh, wir haben bessere Verschlüsselung, ne?Gleich nachdem die Verletzung aufgefallen ist, haben wir unseren Datenschutzbeauftragten kontaktiert und werden unverzüglich die zuständige Datenschutzaufsichtsbehörde über den Vorfall informieren, was können sie tun?Was isthier ne, fertig, denn welche Themen sind zu beachten? Seit heute Morgen zehn Uhr sind alle abgleiche in Richtung der Märkte deaktiviert, Marktplatzbestellungen werden bei uns im Interface zwischengespeichert, jedoch nicht in ihre VAVI.Geschrieben war, wie es war in Wirtschaft. Ähm das ist also seit 10 Uhr haben sie eben diesen.Diese Datenbank äh vom Netz, dann sagen sie, was das noch für andere Sachen äh hat und was ich sehr schön finde,Dieser Text ist dann endet mit für weitere Fragen finden Sie hier die Kontaktdaten unseres Datenschutzbeauftrag,Pro Lions GMBH, WWW Datenschutzexperte DE aus München und die E-Mail-Adresse, Datenschutzbeauftragter at Datenschutzexperte DE.Wenn du willst. Super E-Mail-Adresse. Ähm und da siehst du, die haben offenbar, ne, einen externen Datenschutzexperten, ja?Wenn du so arbeitest, dann musst dich natürlich nicht wundern,dass du solchen Kram baust und da kannst du dich natürlich auch fragen, wie geil dieser Datenschutzexperte ist, wenn er dir solche Würste durchgehen lässt, ne? Weil natürlich, betone das ja immer, Datenschutz hat nichts mit IT-Sicherheit zu tun.Tja, also Katastrophe, wie und jetzt, also was macht dieses Unternehmen? Äh es über diesen Fall wurde damals auch berichtet, zum Beispiel äh Patrick Beuth hatte auf äh Spiegel Online am 1. Juli darüber geschrieben.Und ähm ja, jetzt ist war das letzte Woche oder so ähm Hausdurchsuchung,dem Typen, der das gemeldet hat, ne? Das ist, muss man jetzt sagen, ihr irgendeinen äh ich sage jetzt mal, irgendein ähm,Programmierer, freiberuflich hat eben kleine Unternehmen, hatte halt daher in diesem Kontext mit dieser Software zu tun, ist auf diese Schwachstelle gestoßen, hat sie,gemeldet und hat eben auch die Öffentlichkeit darüber in Kenntnis gesetzt und man könnte jetzt noch, hätte vielleicht sagen können, hättest du zwei Tage später darüber die Leute in Kenntnis gesetzt, wäre immer noch okay gewesen, aber da es ja nun mal seit zehn Uhr abgeschaltet war.Und die Veröffentlichung dieser Tatsache, dass es so war, eben danach erfolgt ist.Denke ich, kann man hier niemandem einen einen ähm einen Vorwurf machen, so. Gab ja kein, worauf willst du denn noch weiter warten? Ja, in dem Moment, woGefahr gebannt ist, äh informierst du die Öffentlichkeit, insbesondere, wenn du davon ausgehen musstest, dass betroffene Unternehmen professionellen Rat hat, von einem Datenschutzexperten, der natürlichdessen Hauptaufgabe natürlich ist, in solchen Fällen. Ähm das Unternehmen mit äh Minimalschaden daraus zu wurstenJa? Und das ist natürlich hier äh äh nicht nicht angemessen. Ja, also ein Unternehmen, was so agiert, wie diese Modern Solution GmbH, dass äh muss durch die natürlichen Kräfte des Marktes äh bereinigt werden.Ganz klar.Ne, ist ja Katastrophe. Wenn irgendwie Otto und Kaufland und wäre da nicht alles äh Software von diesem Unternehmen nutzt und damit irgendwie eine eine.Eine 3viertel Millionen Kundendaten irgendwie ins Internet ballert offen. Ne, das geht natürlich so nicht.Tja, aber jetzt haben die offenbar äh eine äh Strafanzeige erstattet und dann gab's eben auch tatsächlich eine Hausdurchsuchung,Konsequenz für den Betroffenen, ne? Ich habe ja alle Computer weggenommen, ne und ähm ja, kann jetzt nicht arbeiten und äh ja, das ist äh denke ich eine ziemlich, ziemlich üble Geschichte und.Kabe wiedersehen. Ähm.Hackerparagraph, ne, also diese zweihundertzwei äh A, B, C ähm zeigen natürlich ähm.Hier die die einschüchternde Wirkung, ja, die,der gute Timo Tirakowski, der Geschäftsführer der Modern Solution. Hier natürlich auch ausnutzt, um,diesen Menschen halt in Misskredit zu bringen, ja?Timowski ist der verantwortliche Geschäftsführer von Modern Solution. Die haben diese Scheiße an große Unternehmen Deutschlands verkauft und ein paar hunderttausend äh Menschen äh ihre Daten frei und mit unverschlüsselten Passwörtern ins Netz geschrieben,ja? Und jetzt äh sorgt er dafür, dass fünf Notebooks drei externe Festplatten, zwei USB-Sticks und äh die Rechner, indem sie steckten, äh beschlagnahmt werden, Smartphone weg, ähm,Arbeitsgeräte, alle Arbeitsdaten, alle Projekte, ne, sofort existenzbedrohende Situation für diesen Programmierer, ne?
Tim Pritlove 1:23:28
Frechheit.
Linus Neumann 1:23:31
Für viele Projekte fehlt ihm jetzt der Quelltext, um weiterzuarbeiten.Könnte man oft Gitarb haben, aber äh ähm je nachdem, ne.Und ja, jetzt hat er das Geld nach der Beschlagnahme seiner Geräte, reicht die Kohle nicht mehr für eine juristische Auseinandersetzung. Ja, hat jetzt äh durchaus äh äh Geld äh bekommen.Und äh geht jetzt hier in den Prozess. Und ich meine, man muss ganz klar, ne, sagen, es ist hier sehr, sehr eindeutig in diesem Fall.Wer sich absolut.Absolut inakzeptabel verhält, ja? Und das ist eben das Unternehmen Modern Solutions.Geschäftsführer, wie heißt der nochmal? Timo Tirakowski, eben diesen Schrott in die Welt gesetzt hat und jetzt auch noch denjenigen ruinieren lässt, der ihn darauf hingewiesen hat.Und das ist halt schon äh äh ziemlich krass.
Tim Pritlove 1:24:33
Das wird auf jeden Fall teuer, also weil nach DSGVO können hier wirklich sehr hohe äh Strafen gelten.
Linus Neumann 1:24:41
Ja und ich denke auch, man muss sich mal, also man muss auch mal überlegen, ob diese Strafanzeige.Sich als gerechtfertigt herausstellt, ja? Dass also wie wir also man könnte hier eigentlich hoffen, dass es einen gleichen Ausgang hat wie das Verfahren der ähm.
Tim Pritlove 1:25:01
Lilith Fitman.
Linus Neumann 1:25:01
Mit der CDU Connect App, weil es ist ein ähnlicher, also es ist ein ähnlichdämliches Gefühl gewesen, ja, was äh also an Inkompetenz, was da gebaut wurde und ähm da besteht,schon Hoffnung, dass diese äh Modern Solution äh GmbHda eben auch mal die Quittung für kriegt und vor allem auch die angemessene DSGVO Strafe. Und um der zu entgehen, hat ihnen im Zweifelsfall auch der Datenschutzexperte hier dazugeraten, ähm jetzt gegen den, gegen denjenigen vorzugehen,der sie auf den Missstand hingewiesen hat, ne. Wir müssen hier als Gesellschaft eisenhart bleiben, dass wir diese,dieses Vorgehen halt denen das auch nicht durchgehen lassen, ne? Und damit meine ich eben spezifisch hier die Modern Solution GmbH und eben auch,Pro Lions GmbH, die äh unter Datenschutzexperte DE ihre Dienste anbietet. So, das sind hier die Missetäter, da da gibt's überhaupt gar keinen Zweifel und ähmda muss man sich ernsthaft überlegen, ob wir äh ja, also wenn wir uns hier über Digitalisierung und Sicherheit und so weiter Gedanken machen.Ob man ähm solche Unternehmen dulden möchte. Ja, muss ich äh ganz einfach äh sagen,Und das geht so nicht. Wir werden den Fall mal weiter äh beobachten und äh ja, würde ich sagen, sind dann einfach mal äh,gespannt wie das weiter verläuft. Wir sind da auch als CCC äh natürlich im Gespräch und im Bilde und äh werden da schon darauf achten, dass hier am Ende,die richtigen Leute, die Strafen kriegen.Worüber ich ja jetzt noch gerne gesprochen hätte, Tim, wer äh The Billion Dollar Code, die Netflix-Serie über Art Plus com. Art und Com.
Tim Pritlove 1:26:51
Nur bei Art Plus com, auch über den CCC, also zumindest.
Linus Neumann 1:26:55
Sehr viel drin vorkommt, ja.
Tim Pritlove 1:26:56
Ja da zumindest Raum einnimmt, sagen wir's mal so. Ja du, du warst ja sehr überrascht, du wusstest nicht, dass dieser Film in der Pipeline ist, ich äh hatteErkenntnis äh davon, wovon ich allerdings keine Kenntnis hatte und und äh sonst hätte ich sich wahrscheinlich da auch schon früher darauf hingewiesen ist, A, wann der eigentlich genau rauskommt, das habe ich irgendwie nicht so richtig auf dem Zettel gehabt und B,ähm dass der Club dann da auch tatsächlich so sichtbar sein wird. Also das ist sozusagen äh wirklich ein Thema der Geschichte ist, das war mir jetzt so nicht bekannt.
Linus Neumann 1:27:25
Ich habe auch den Eindruck, das wurde da ein bisschen aus aus dramaturgischen Gründen mit hochgeschoben, oder? Also.
Tim Pritlove 1:27:33
Erzählen wir erstmal wo worum's eigentlich geht. Also äh es ist eine Serie, äh eine eine sogenannte Miniserie mit vier Folgen ungefähr eine Stunde bei Netflix veröffentlicht worden, eben unter diesem Titel, also Billion Dollar Code und äh,kann man sich auch äh anschauen. Das ist ähm ganz unterhaltsam gemacht und es ist äh wie man so schön sagt, so eine dramatische ähm,Realisierung eines Themas was halt auf einer wahren Geschichte basiert. Und man kann auch sagen, dass dieser Film,in bestimmten Details sehr auf dieser wahren Geschichte basiert, also äh sehr viel davon ist auch wirklich exakt genau so passiert.Allerdings ist so die Person und wie diese Person so interagieren und so, ne, äh da ist dann wiederum sehr viel äh Freiheit genommen worden und das ist eigentlich auch okay so, wenn man eben das Ganze nicht mit einem Dokumentarfilm,verwechselt. Was ist diese wahre Geschichte? Die wahre Geschichte ist die ähm Geschichte der Software Terrorvision, die damals.Von dem Verein A plus com e. V. In Berlin entwickelt wurde. Das begann so äh neunzehnhundertvierundneunzig.Und Terrorvision ist halt vielen nicht bekannt, aber Terravision ist im Prinzip das,Google Earth. Das war das erste Mal, dass es Leuten gelungen ist, auf einem Computer die komplette Welt zu rändern und äh die Möglichkeit zu bietenflüssig aus dem Weltall sich bis auf den Boden herab zu senken und sich dort die Gebäude anzuschauen. Und das war damals eine absolute Meisterleistung.Diese Geschichte greift der Film auf und zwar nicht nur wegen dieser Software, sondern was dann später draus geworden ist, weil dann kamen halt zehn Jahre später Google Earths und Google Earth war schon ein.Extremes Plagiat und wie sich später auch herausstellte, auch im Detail, sodass dann eben von den ursprünglichen Programmierern ähm ein ähm.Softwarepatent dann äh aktiviert wurde, was sie ähm auf eine bestimmte Methodik äh hatten, dieses Ränderns der Welt et cetera. Da war so das ein oder andere an Innovation schon äh drin. Und dann äh nachdem Google,nicht bereit war, hier irgendwie eine Lizenz zu erwerben und in irgendeiner Form in so ein Kooperationsweg einzuschlagen, wurde dann eben in den USA dagegen geklagt, letzten Endes wurde diese Klage verloren und so,ist die Situation heute und daraus wurde dann eben dieser Spielfilm gemacht oder diese Miniserie,Nun ist es so, dass uns das natürlich in gewisser Hinsicht äh tangiert, also uns äh als CCC, weil halt einer der Protagonisten in diesem Film, der letztlich auf zwei realen Personen äh basiert, äh quasivom CCC ist, ja? Ums gleich zu sagen, der,Das stimmt so nicht, ja, sondern A plus kommen hatte zwar eine große Nähe zum Club und da gab's auch sehr viel Verstrickungen, nur soso wie die Geschichte da erzählt wird, dass dann auf einmal so der halbe Club rekrutiert wird und dann daran gearbeitet hat, das äh lässt sich so nicht halten, ja?
Linus Neumann 1:30:41
Also es ist schon so, dass du auch da gearbeitet hast.
Tim Pritlove 1:30:43
Ich habe da auch gearbeitet, ja und tatsächlich hat fast damals der gesamte äh Chaos-Computer-Club Berlin dort gearbeitet. Also das das äh.
Linus Neumann 1:30:51
Also das stimmt ja schon so ein bisschen.
Tim Pritlove 1:30:53
Ja, nur waren wir eben nicht das Terrorvisionsteam. Ja, also es es gab diese Nähe und ähm,persönlich äh war auch mit Terrorvision unterwegs, also es ist ja dann viel auf Messen gezeigt worden und so und das war halt so eine meiner Aufgaben eben auch äh solche Messetermine zu bedienen.
Linus Neumann 1:31:09
Da muss halt der muss er auf jeden Fall sich in den Shoutouts angucken, den Tweet von Tim, wie er irgendwie auf irgendwie in neunziger Jahren auf Hannover Messe war das glaube ich, ne.Hieß die da schon zehn oder was? Damals war die Cebit noch der Teil der Hannover Messe, oder? Aber wie dem oh.
Tim Pritlove 1:31:24
Nee, das war, glaube ich.
Linus Neumann 1:31:25
Tim in Anzug und Fliege am Terravision Globus und äh wird da beim Spielen mit mit seinem mit seinem Globus genervt von einem Reporter.Der, den da so am Rande schmallippig ein paar Antworten gibt.
Tim Pritlove 1:31:44
Ich habe versucht, seriös rüberzukommen. Ich ich weiß, das wirkt, das wirkt so ein bisschen.
Linus Neumann 1:31:51
Super, das ist super.Und es gibt auch in den in der ähm.In der Serie ein Typen. Der hat's auch so ein, so einen Unterlippenbärchen, wie du das lange Zeit getragen hast. Da dachte ich eigentlich, dass äh dass, dass, dass, dass deiner, das ist deine, dein Nachbau ist und natürlich, jetzt muss das auch klar sagen, der Juri,vier maßgebliche Personen, die da gemert wurden, äh in zwei und äh der Juri ist sehr erkennbar äh aus äh Pavel abgeleitet.
Tim Pritlove 1:32:28
RichtigPavel Meier, mit dem ich äh viel in UKW zusammenmache und um's gleich mal vorwegzunehmen. Pavel und ich, wir haben uns auch schon zusammengesetzt und haben die vollständige Geschichte von Terrorvision in einen Podcast gegossen, derin wenigen Tagen äh erscheinen wird, als CRE,Podcast genau und dann könnt ihr euch das alles nochmal im Detail anhören. Da muss ich mich hier auch gar nicht äh wiederholen. Ihr könnt euch das mal anschauen.Schaut euch hört euch den Podcast, wenn sich das interessiert an an, aber schaut euch erst die Serie an, weil das Ding ist natürlich ein grandioser Spoiler. Und äh von daher, aber,interessanter Einblick in die Zeit, interessanter Einblick in die Neunziger, interessanter Einblick in wie Softwareentwicklung damals so lief, wie die Vorstellung von Zukunft so war, aber vor allem auch ein sehr interessanter Einblick in,Google und wie Konzerne so funktionieren und Rechtsstreit ablaufen und ähm ja, dass das so mit Gerechtigkeit dann am Ende nicht sehr viel zu tun hat.
Linus Neumann 1:33:27
Ja das äh die denke, das kann man ja schon sagen, dass sie eben also wie die also der der wirkliche.Twist dieses Verfahrens, ja oder wie die quasi Werte feststellen und und versuchen, eben diese kleinen Unternehmen in eine Situation zu bringen, dass sie diese,Rechte, die sie ganz einfach verletzen von diesen Unternehmen, nicht mehr in Anspruch nehmen können. Das ist schon juristisch ähm,sehr perfide und in diesem Film auch oder in dieser Serie auch sehr gut abgebildet.Kann man auf jeden Fall empfehlen. Ich habe sie durchgebincht und äh ja, fand ich, fand ich gut. Auch ja, ja, ja, fand ich gut, Empfehlung.
Tim Pritlove 1:34:10
Gut, damit äh entlassen wir euch.
Linus Neumann 1:34:15
Genau, das war's. Viel Spaß und äh viel ich freue mich auf jeden Fall auf das CRE dann mit Pavel, der dem zuzuhören sich immer gelohnt hat in jeder Situation.
Tim Pritlove 1:34:27
Auf jeden Fall. Okay Leute, dann sagen wir tschüss und bis bald.
Linus Neumann 1:34:32
Tschau, tschau.
Shownotes
HTTP 409
- developer.mozilla.org: 409 Conflict – HTTP | MDN
Feedback
Fahrzeug digital ummelden
- service.berlin.de: Kraftfahrzeug ummelden – nach einem Umzug nach Berlin – Dienstleistungen – Service Berlin – Berlin.de
- logbuch-netzpolitik.de: Kommentar von Czentara
- logbuch-netzpolitik.de: Kommentar von S
Digitale Signaturen
- logbuch-netzpolitik.de: Kommentar von Mathias Panzenböck
- logbuch-netzpolitik.de: Kommentar von Lu
Chaosradio zu ID Wallet
- chaosradio.de: CR172 ID Wallet
Digitale Wahlen
- logbuch-netzpolitik.de: Kommentar von lobi
CCC Regierungsprogramm
- ccc.de: CCC | CCC veröffentlicht Formulierungshilfe für Digitales im neuen Regierungsprogramm
- br.de: Digitalisierung: Was die künftige Regierung anpacken muss (1) | BR24
- br.de: Digitalisierung: Was die künftige Regierung anpacken muss (2) | BR24
- t3n.de: Digitalisierungsversager: CCC macht Vorschläge für Regierungsprogramm
- cre.fm: CRE177 Commodore 64 | CRE: Technik, Kultur, Gesellschaft
Facebook down
- blog.cloudflare.com: Just a moment…
- blog.apnic.net: Opinion: Learning from Facebook’s mistakes | APNIC Blog
- netzpolitik.org: Digital Services Act: Wie die EU auf den Facebook-Skandal reagieren könnte
- heise.de: Facebook-Ausfall: „Alles ist sehr schnell gegangen“
- heise.de: Post Mortem: Fehlersuche nach dem Facebook-Ausfall
- youtube.com: Ich will Unreal Tournament spielen
Facebook zersetzt die Demokratie
- br.de: Whistleblowerin verlangt scharfe Kontrolle von Facebook | BR24
- golem.de: TITEL NICHT GEFUNDEN
- heise.de: „Unfollow Everything“: Facebook geht massiv gegen Tool für sauberen Newsfeed vor
- spiegel.de: Facebook: Mark Zuckerberg weist Vorwürfe von Whistleblowerin als »zutiefst unlogisch« zurück – DER SPIEGEL
BND nutzt Pegasus
- tagesschau.de: Staats-Trojaner: Bundesnachrichtendienst spitzelt mit Pegasus | tagesschau.de
- netzpolitik.org: Geheimdienst: Bundesnachrichtendienst setzt Staatstrojaner Pegasus ein
- zeit.de: NSO Group Technologies: „Am Anfang war die Vision, mit NSO Gutes zu tun“
Modern Solution
- golem.de: TITEL NICHT GEFUNDEN
- spiegel.de: Online-Marktplätze: IT-Experte entdeckt Informationen von 700.000 Käufern – DER SPIEGEL
- wortfilter.de: Warnung: Datenleck beim JTL-Partner Modern Solution GmbH & Co. KG – wortfilter.de – Der Marktplatz Blog
- wortfilter.de: TITEL NICHT GEFUNDEN
- vice.com: Governor Wants to Prosecute Journalist Who Clicked ‘View Source’ on Government Site
The Billion Dollar Code
- twitter.com: Tweet von pavel23
- twitter.com: Tweet von Linuzifer
- twitter.com: Tweet von timpritlove
- cre.fm: CRE222 Terravision
Bonus Track
- systemabsturz.bandcamp.com: Cyberkrieg | Systemabsturz
Oh wider eine tolle Ausgabe.
Ich habe da mal eine Frage ihr sagt immer Sendung dass ihr Teile von Facebook benutzt um oder Transkript anzufertigen wie macht ihr das und wie bin selber auf der Suche nach einer geeigneten Lösung aber finde nichts was kostengünstig erst da ich nicht besonders viel Geld habe fällt auphonic Samt ihre guten Dienste weg.
Sorry für’s Meta-Feedback aber is ja auch die Metaebene ….
Also zu den Blockchains:
Ich finde zumindest idealistisch philosophisch ergibt es irgendwie Sinn alles mit einer Blockchain lösen zu wollen. Man braucht eben (theoretisch) einfach keine zentrale Instanz der irgendjemand trauen muss. Und technisch zu überwinden einer zentralen Instanz (z.B. einem Staat) trauen zu müssen ist, finde ich, ein nachvollziehbares Bedürfnis.
In der Praxis ist es dann eben doch eine Website der man trauen muss weil: Wer will eine verdammte Blockchain mit Millionen von Blocks lokal auf seinem Handy validieren?
Also bleiben Zertifikate von einer zentralen Instanz einfach die machbare Methode, weil wir zentralen Instanzen eben sowieso in 90% unserer Zeit vertrauen müssen, macht das nicht mehr den Unterschied und Machbar ist die Blockchain die jeder jederzeit validiert eben einfach nicht.
Aber hege schon Sympathieen für die Blockchain Idealisten :’D
In wie fern hältst Du es für „nachvollziehbar“, dass man „einem Staat“ nicht trauen muss? Warum sollte man dem Staat nicht trauen, wenn doch so ziemlich alle Entitäten, Definitionen und Regeln auf den Staat zurückgehen? Und was macht es „besser“, wenn man Entitäten traut, die man nicht kennt?
…eines Staates? Wir reden hier davon, dass staatliche Stellen Blockchains dahin bauen, wo Datenbanken hin gehören.
Wir reden hier von Ausweisdokumenten eines Staates. Das ist die Definition von „diesem Staat vertrauen wollen/müssen.“
Okay, okay … ich bin ja schon leise :D
(wollte nie behaupten, dass es eine gute Idee ist das wirklich zu machen und erst recht nicht, dass es irgendwelche realen Probleme löst … )
Linus hat das Tool IlSpy für dotnet erwähnt. Als langjähriger dotnet entwickler und freizeit hacker möchte ich noch das Tool dnspy (https://github.com/dnSpy/dnSpy) nennen. Decompiler, De-Obfuscator, Debugger und Patcher für dotnet (classic dotnet framework, dotnet core, mono)
Ich fand ja bei der Netflix Serie den einem Charakter ziemlich cool der plötzlich seine Begeisterung für Buchhaltung entdeckte.
haha, DAS war Tim :) Dass ich das nicht gecheckt habe :)
Ich bin gespannt auf den angekündigten CRE mit Pavel zu Terravision, wie er die Zeit erlebt hat und was er heute darüber denkt. In der Serie wird Juri so dargestellt, als würde er nicht nur mit vollem Herzen, sondern sogar mit voller Seele drinstecken in der Sache.
Moin! Ich wollte nur darauf hinweisen, dass ein Punkt des CCC-Regierungsprogramms in naher Zukunft Wirklichkeit wird: mit Wirkung zum 1. Januar 2022 gilt aufgrund der Warenkaufrichtlinie (EU 2019/771), in Deutschland durch das „Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags“ umgesetzt, eine Updatepflicht für Waren, bei denen physische Objekte mit Software verkauft werden (Handys, Konsolen, smarte Kühlschränke etc.). Nach dem neuen § 475b BGB sind derartige „Sachen mit digitalen Elementen“ nur mangelfrei, wenn sie auch nach Übergabe der Sache in „vertragsgemäßem Zustand“ erhalten werden. Die Wirtschaft schlägt die Hände über dem Kopf zusammen und Juristen freuen sich auf viel Arbeit. Es werden sich etwa folgende Fragen stellen: „Wie lange müssen wir updaten – wir verkaufen doch nur ganz billige Handys?“, „Unsere Kühlschränke kommen erst nach Jahren in die Geschäfte, woher sollen wir wissen, ab wann die Updatefrist beginnt?“ „Haften wir für Mangelfolgeschäden, wenn ungepatchte Sicherheitslücken ausgenutzt werden?“ etc. Viele ungelöste juristische Probleme und ein Fortschritt für die Menschheit, im Sinne des CCC. Viele Grüße, Philipp
Was bedeutet Blockchain Eigentlich nichts anderes, als dass, damit gemeint ist, dass neue Einträge alte einträge verifizieren. Das distributed ist ein zusätzliches Feature.
Ersteres braucht man um die eigene Geschichte zu verifizieren. Zweiteres um gegenüber anderen die eigene Geschichte zu verifizieren.
Spannenderweise macht die händische Wahl genau zweiteres manuell.
Von dem CCC-Vorschlägen wird ganz genau NULL umgesetzt.
Echt schade das sich die Leute vom CCC diese Arbeit machen und am Ende die Entscheider in der Politik es komplett ignorieren oder es halbgar umsetzen.
Meine Hoffnung auf irgendeine Art der Verbesserung ist weg, ich hab aber nichts dagegen mich zu irren.
Zu „Facebook Ausfall raubt in manchen Ländern Unternehmen die einzige Platform“ eine Anmerkung:
Richtig ist, wie Linux sagt, das ein kurzzeitiger Ausfall keine relevanten Auswirkung haben dürfte. Es wird aber den Scheinwerfer auf ein Problem, dass es existiert: Leute machen sich von Facebook abhängig. Wer Facebooklogin zum Tindern benutzt, konnte von der erhöhten Tinder-Aktivität nicht profitieren. Das ist auch noch einigermaßen egal, aber wenden wir den Blick auf Internet.org / FreeBasics. Das ist Facebooks Projekt in manchen Ländern, mit dem Facebook Netzinfrastruktur sponsort und es ermöglicht ohne Datenvolumen Facebook-Dienste zu nutzen. Das führt dann dazu, dass in manchen Bereichen WhatsApp der einzige Kommunikationskanal ist. Das habe ich vor ein Zumpaar Jahren in Indonesien erlebt: telefonieren, SMS, … geht nicht, da kein Guthaben, aber wenn man Taxi braucht bitte per WhatsApp melden. Wenn ich den Vermieter des AirBnB erreichen will: Bitte per WhatsApp. usw. da kolonialisiert Facebook die Infrastruktur. Dass der Ausfall da Aufmerksamkeit drauf lenkt ist meiner Meinung nach gut und wichtig. Ich gehe davon aber aus, dass da genug Improvisation möglich war, um den Ausfall zu kompensieren, aber da hangtnviel and FBs goodwill.
Zu der Modern Solution habt ihr soweit ich das verstanden habe etwas durcheinander geworfen.
Kunden der Modern Solutions sind nicht Check24, Otto, Kaufland, etc… sondern viele viele kleine Händler, denen von Modern Solutions ein interface /Portal/App Angeboten wird mit dessen Hilfe sie ihre Produkte gleichzeitig auf den unterschiedlichen Handelsplattformen listen können ohne das diverse Inserate von Hand gepflegt werden müssen. Daher auch die Anbindung an die Warenwirtschaft um Lagerbestände zu synchronisieren.
Beauftragt wurde der Entdecker der Schwachstelle laut golem Artikel von einem dieser kleineren Händler. Die 700.000 Kundendaten sind dementsprechend zb. nicht alle Check24 Kunden, sondern die Kunden die zb. über Check24 bei einem der Modern Solution einsetzenden Marketplace Händler etwas gekauft haben. Dementsprechend ist auch als potentiell betroffener schwer nachzuvollziehen ob man überhaupt betroffen ist, da die Meldung über die Sicherheitslücken nur an die Kunden von Modern Solutions (Marketplace-Händler) gegangen ist, hingegen nicht sichergestellt wird, dass diese wiederum ihre Endkunden benachrichtigen. Auch ist ja Öffentlich nicht bekannt welche Marketplace Händler überhaupt auf Modern Solutions setzen und selbst wenn dem so wäre, wüsste wohl kaum jemand bei welchem Kleinen Händler und über welche Plattform man seit 2018 mal was gekauft hat.
Dementsprechend sollte Modern Solution verpflichtet werden:
1. Dafür sorge zu tragen, dass ihre Kunden die Betroffenen Endkunden benachrichtigen
2. Alle Klartext Passwörter als kompromittiert anzusehen und an Hibpwnd zu melden
3. Alle Passwörter zu Löschen
1:18:20 Ich hab den Text jetzt nicht gelesen, aber neu halt ich nicht für so falsch. Ich bin kein Developer oder so aber wenn man sagt neues feature war es doch davor nicht da. Bugfix oder fix heist das man an was vorhandenem was ändert. So verstehe ich patchtotes.
Wenn der Text aber insinuiert, dass sie eine alte mit einer neuen Verschlüsselung ersetzen und die alte nicht vorhanden ist geht das natürlich nicht.
Ich will aber nicht infrage stellen das ModernSolution einen katastrophalen anschein macht und die Nutzer sich hoffentlich nach einem besseren Anbieter umschauen (Otto und co). Nur die Aufregung wegen „neu“ sehe ich nicht ganz ein.
Ich bin ech nicht positiv gestimmt was die neue Koalition angeht. Die Grünen sagen jetzt schon Reiche können wir nicht mehr besteuern wegen der FDP. Und ich hab nicht das gefühl die SPD wir ein besonders positiven einfluss haben. Wenn man zurück denkt Rot Grün und HARZ4
Ich bin schon gespannt ob das erste was die neue Regierung macht eine Diätenerhöhung ist.
Und die SPD war abgesehen von einem päuschen bei Schwarz Gelb die ganze Zeit an der Regierung. Aber mal abwarten was passiert.
Daumen hoch für das CCC Regierungsprogramm. Wenn die CDU ausscheiden ist das sicher kein Fehler man denke nur an Masken und Aserbaidschan.
Auch wenn ihr oft schlechte Nachrichten bringt, (wie Gandalf Sturmkrähe). Die wenigen Lichtblicke und eure Arbeit sind immer wieder eine Freude. Danke!
Zum Thema „Modern Solution“: ich kann die Kritik an dem Unternehmen gut verstehen. Gleiches gilt auch für Linus‘ Forderung, dieses Unternehmen solle für die Folgen der Strafanzeige zur Verantwortung gezogen werden. Nur: letzteres ist juristisch Quatsch, und zwar aus 2 Gründen:
1. Solange sie dabei nicht Tatsachen bewusst unwahr darstellen, dürfen sowohl Unternehmen als auch Privatpersonen beliebige Sachverhalte anzeigen. Sie müssen sich dabei vor allem keine Gedanken darüber machen, ob das, was sie anzeigen, eigentlich überhaupt strafbar ist.
2. Der Schaden ist in dem geschilderten Fall ja ohnehin nicht unmittelbar durch die Strafanzeige entstanden, sondern durch die Durchsuchung mit Sicherstellung der IT. Letztere war zwar Folge der Strafanzeige, fällt aber in die Verantwortung des Amtsgerichts, das sie (auf Antrag der Staatsanwaltschaft) angeordnet hat.
Heißt: Die Aussicht, die Anzeigeerstatterin in irgendeiner Form für die Angelegenheit haftbar zu machen, ist praktisch Null. Sollte das Verfahrens eingestellt werden, gibt’s in so einem Fall evtl Ansprüche gegen den Staat nach dem Strafrechtsentschädigungsgesetz (StrEG), aber nicht gegen die Anzeigeerstatterin oder gegen deren Geschäftsführer.
Da hat Tim die Möglichkeit verpasst, die Abkürzung Internet zu vervollständigen: Inter Network Network. Das Netzwerk zwischen den Netzwerken. Hab ich in irgend einer RFC aus den 90ern so gefunden
Das mit den Anzeigen ist doch nix neues. Gabs schon 2004, damals hat Peter Huth, der „Internetexperte von SAT1“, eine ganze Menge Menschen angezeigt, ich war damals auch betroffen:
„Huth wurde als Geschäftsführer von My Channel insbesondere kritisiert, weil er die Kunden unzureichend über die Panne informierte und stattdessen Strafanzeige gegen mehrere hundert Internetbenutzer erstattete, die die Daten heruntergeladen hatten.“
Quelle: https://de.m.wikipedia.org/wiki/Peter_Huth_(Computerjournalist)
Damals kursierte der Link zu dem Datensatz im IRC, jeder der sich den ungeschützten Datensatz heruntergeladen hatte bekam daraufhin Post von der Staatsanwaltschaft.
Hallo Linus und Tim,
es gibt es bereits einen Anbieter für digitale Identitäten, nämlich D-Trust von der Bundesdruckerei. (https://www.d-trust.net/de/index.html)
„D-TRUST mit Sitz in Berlin ist ein Unternehmen der Bundesdruckerei-Gruppe. Technologisch ausgereifte Lösungen machen D-TRUST zu einem Vorreiter für sichere digitale Identitäten.“
Ich mache gerade beruflich Support für diesen Anbieter. Leider muss ich sagen das diese Infrastruktur nicht optimal läuft und auch die Unterstützung der Bundesdruckerei sehr zu wünschen übrig lässt. Leider kann ich keine Details anbringen.
Viele Grüße und macht weiter so …
Zum Thema Wahllokal.
Ich bin Wahlhelfer seit ca. 20 Jahren.
In alles Stadten, in denen ich wohnte, hatte die Gemeinde immer dafür gesorgt, dass die Wahlhelfer aus mehreren politischen Lagern kommen.
Das ist recht einfach, da man gerne die in verantworliche Positionen stellt, die durch politische Arbeit dem Rathaus eh bekannt sind; und ihre Partei kennt.
Zudem, wer schon mal für einen Sitz im Stadtparlament oder Beirat kandidiert hat, der hat schon mal eine positive Einstellung zur Demokratie.
Zudem kann man davon ausgehen, dass sie zum Dienst auch erscheinen.
Kurz: Danke.
Podcast-Catcher überprüft, CRE ist aktiviert.
Jetzt warte ich gespannt …
Hi Leute,
zum Thema Energiesparende Programmierung vs. Modulare Softwareentwicklung fällt mir folgendes ein: Ich arbeite beruflich mit einem CAD-PLM-System eines großen deutschen Industriekonzerns. Diese Software klatscht der Anwenderin für jede noch so primitive Operation ein riesiges (und langsames) Dialogfeld vor die Nase, das sie häufig genug erstmal zur Seite schieben muss, um weiter arbeiten zu können.
Das Interessanteste ist aber, dass der Zeitaufwand, den sich das System nimmt, wenn eine Operationen an vielen Objekten auf einmal durchgeführt wird, mit einer höheren Potenz als 1 von der Anzahl der Objekte abhängt. Im Extremfall musste sich schon Dateien löschen und neu anlegen, weil es nicht in akzeptabler Zeit möglich war, 700 Körper zu löschen. In einigen dieser Fälle sind erkennbar verschachtelte Schleifen am Werke, die für jedes Objekt nebenher nochmal alle anderen Objekte durchiterieren.
Schöne Grüße und große Anerkennung für Euer Tun!
Ich hörte zu, und kann nicht anders: Der Datenschutz hat es zwischenzeitlich (sogar) mittels europäischen Sekundärrechts (DSGVO) zur unabdingbaren Pflicht gemacht, IT-Sicherheit als, m.E., Teil der Informationssicherheit in die Prozesse eines jeden Verantwortlichen (im EU-datenschutzrechtlichen Sinne) zu implementieren (s. Art. 32 DSGVO – https://dsgvo-gesetz.de/art-32-dsgvo/). Also, nach meinem Verständnis, spielen IT-Sicherheit, Datenschutz, Informationssicherheit spätestens seit dem ganz offiziell und grundsätzlich in der selben Spielhälfte, meistens sogar im selben Team. Deine Aussage, dass „[…]Datenschutz […] nichts mit IT-Sicherheit zu tun [hat]“, sorry, ich kann es einfach doch nicht über mich bringen, und diese in all ihrer geradezu brutal pauschalen Pracht ;) so stehen/unkommentiert lassen. Gleichwohl, und das bleibt sich unbenommen, fliegt allen Beteiligten eine rechtswidrige Datenschutzberatung früher oder später ganz böse um die Ohren. Meine Meinung. ☺️✌️
P.S. „@Linus“
Ich habe ein paar Fragen zu The Billion Dollar Code bzw. zu dem echten Fall TerraVision vs Google Earth (die Serie hab ich leider noch nicht gesehen, deshalb bitte ich um Verzeihung falls das dort beantwortet wird): Ging es in dem Prozess tatsächlich, wie Tim erwähnte, um ein Softwarepatent, oder ging es um etwas anderes („klassisches (also nicht-Software-) Patent“, Urheberrecht, Markenrecht, Diebstahl von Geschäftsgeheimnissen, etc.)? Und falls es wirklich um ein Softwarepatent ging, wie verträgt sich das damit, dass in unserer Community doch eigentlich alle gegen Softwarepatente sind? Im CCC Regierungsprogramm wird ja auch gefordert, dass Softwarepatente unzulässig werden. Moralisch mag ART+COM hier klar im Recht gewesen sein, aber welche rechtliche Handhabe hätten sie ohne Softwarepatente gegen Google gehabt?
Heyhey! :)
Kein Kommentar sondern ein Themenvorschlag, da ihr apples – aus meiner Sicht – Dammbruch, Geräte vom Betriebssystem scannen zu lassen ja auch schon hattet. Als Fortsetzung sozusagen. Bin da vorhin bei fefe drüber gestolpert (https://blog.fefe.de/?ts=9f946d16):
„Bugs in our Pockets: The Risks of Client-Side Scanning“
https://arxiv.org/pdf/2110.07450.pdf
Mir ist von den Autorinnen nur Bruce Schneier ein Begriff, die anderen sollen lt. fefe aber genau so Koryphäen sein.
Danke euch für eine wie immer coole Sendung!
timte
Ich habe „Billion Dollar Code“ nach 2 Folgen aufgehört zu gucken. Reichlich schlecht geschriebene Dialoge, die ein Stereotyp nach dem anderen bedienen. So stellen sich Filmfuzzis wohl IT-Firmen vor. Inkl. der aus „The Network“ kopierten Szene, wo ein(e) Programmierer(in) „im Tunnel“ ist. Sorry, bei so’nem Mist schalte ich ab. Ganz schlimm die einfältigen Bürokraten von der Telekom, die sich von einem 20jährigen, überheblichen Kunststudenten mit offenen Mündern belehren lassen. Aua aua.
Tja, dann hör mal in den CRE zu dem Thema rein: ist genau so passiert :)
Blockchain Fans (oder meistens eher Fanatiker) sind die Homöopathen und Schwurbler der Technologiewelt.
„Informiert euch mal“ und „Da gibt es ganz tolle Anwendungen für“, natürlich nur ohne jemals etwas genaues nennen zu können gehört da zum alltäglichen Schlachtruf.
Hallo Ihr Beiden,
Der Fall mit Modern Solution ist tatsächlich spannend und erschreckend. Allerdings würde mich sehr interessieren, wie Ihr darauf kommt, dass hier eine Mitverantwortung der externen Datenschutzbeauftragten anzunehmen ist. Die Pflichten des DSB sind ja ziemlich klar abgegrenzt und das Überprüfen von Code gehört ziemlich sicher nicht dazu. Gegebenenfalls wäre es geboten, bestimmte Entwicklungsrichtlinien einzuführen oder zu überprüfen, aber selbst dafür ist in erster Linie das Unternehmen selbst verantwortlich. Zudem konnte ich nicht heraushören, dass es Anhaltspunkte dafür gibt, dass dergleichen unterblieben wäre.
Vor dem Hintergrund finde ich Eure Aussagen, insbesondere aber das Bloßstellen und Runtermachen der ext. DSB etwas unschön. Aber vielleicht habe ich hier auch etwas übersehen, oder Ihr habt gute Gründe, das anders zu sehen. Wäre ernsthaft an einer Antwort interessiert und will hier nicht nur meckern.
Viele Grüße
Ich weiß, ihr wisst es eigentlich, aber ihr habt euch über die unverschlüsselten Passwörtern bei Modern Solution aufgeregt. Ich sehe den großen Vorteil verschlüsselter Passwörter nicht, aber gehasht und gesaltet dürfen sie bitteschön sein, was hier offenbar nicht der Fall war. Es könnte allerdings auch ein Hinweis darauf sein, dass man sich bei Modern Solution nicht unbedingt des Unterschieds bewusst ist.
Wie immer: Danke für die Folge und viele Grüße. :-)
Damit sind Passwörter gemeint, die man später nochmal im Klartext braucht, um sich damit bei den Plattformen zu verifizieren. Gehashed ist da eher „unpraktisch“ :)
Bei Facebook habe ich den Eindruck, dass es in Deutschland gar keine so große Rolle mehr spielt. Mit Instgram sieht es natürlich anders. Für die Demokratie halte ich Twitter für weitaus gefährlicher. Wenn ich mit Journalist/innen, politisch Aktiven aber auch mit Studierenden rede ersetzt Twitter teilweise den politischen Diskurs bzw. Twitter wird mit diesem verwechselt. Wenn ich bei der genannten Gruppe nachfrage, wie sie auf bestimmte Interpretationen und Ansichten kommt wird oft auf Twitter verwiesen. Ich halte das für gefährlich, da das dann ihre Arbeit und damit auch die Medien bestimmt und sich massiv auf Nicht-Nutzer/innen auswirkt. Mein Eindruck ist aber immernoch, dass diese ganze toxische „Twitter-Welt“ bei Menschen die es nicht nutzen keine Rolle spielt und sie Twitter genauso irritiert wie mich.
Zu Modern Solutions: Ein externer DSB hat gegenüber einem internen DSB häufig (nicht immer) den Vorteil der größeren Expertise, daher ist die Entscheidung eines Unternehmens für einen externen DSB total üblich und keinesfalls ein Indiz für schlechten Datenschutz oder entsprechende Einstellung der Geschäftsführung (die hier nichtsdestotrotz vorlag, da habt Ihr sicher recht).
Die Pflichten des (externen) DSB sind in Art. 39 DSGVO abschließend gesetzlich geregelt: Beratung zum Datenschutz und Überwachung des selbigen. Nicht zu den Aufgaben gehört die Beratung zum Strafrecht, bzw. wie hier §§ 202a ff.! Daher kann insofern nicht der DSB beschuldigt werden, es sei denn, Ihr wisst hier mehr? Dann wäre das eine Sache für die Rechtsanwaltskammer, die immer gut aufpasst, dass DSBs keine Rechtsberatung machen.
Zu dem zu beratenden „Datenschutz“ gehört nach Art. 32 DSGVO auch die Verpflichtung zum Ergreifen Risiko-angemessener TOMs. Diese sind nach dem Wortlaut auch auf die Informationssicherheits-Gewährleistungsziele Vertraulichkeit, Integrität, Verfügbarkeit zu beziehen und damit ist m. E. gesetzlich klargestellt, dass Informationssicherheit sehr wohl etwas mit Datenschutz zu tun hat. Mit weiteren Prinzipien des Datenschutzes wie Zweckbindung, Transparenz und Intervenierbarkeit geht Datenschutz aber weit darüber hinaus, bzw. auch mal daran vorbei. Grob gesprochen kann man m. E. sagen, dass die Gewährleistungsziele der Informationssicherheit mit technischen Maßnahmen adressiert werden und die (weiteren) Gewährleistungsziele des Datenschutzes mit organisatorischen Maßnahmen, d. h. mit Papier.
Es ist rechtlich nicht abschließend geklärt, wie weit die Beratungspflicht des DSB in Bezug auf die Informationssicherheit geht. Ich glaube wie andere Kommentierende ebenfalls nicht, dass es darum gehen kann, den Code zu prüfen, und mag er noch so offensichtlich schlecht sein. Dies ist im Übrigen eine Frage der vertraglichen Vereinbarung zwischen Unternehmen und DSB.
Im Übrigen stimme ich Euch in der Bewertung des Falles vollständig zu, §§ 202a ff. StGB sind in der Form eine Sauerei und gehören abgeschafft. Ich hoffe auch, dass Modern Solutions oder die verantwortlichen Betreiber der App oder beide ihre „gerechte DSGVO-Strafe“ erhalten!
Vielen Dank für Euren Podcast und viele Grüße, Philipp
Modern Solutions:
Muss ich künftig einen Großbrand in einem Einkaufszentrum anonym melden da ich sonst sofort mit strafrechtlichen Konsequenzen rechnen müsste?
Ich finde es nicht hinnehmbar dass in diesem Fall Hausdurchsuchungen durchgeführt wurden. Gibt es Konsequenzen für den Richter der dies angeordnet hat?
Tims Pragmatismus beim Thema Transkript kann ich durchaus verstehen und das derzeitige Ergebnis ist ja echt sehr sehr gut :-)
Auf der anderen Seite kenne ich zumindest OpoenAudioSearch (https://github.com/openaudiosearch/openaudiosearch) und wäre interessiert, ob Tim denn damit, oder mit anderen aktuellen OpenSource Lösungen mal wieder getestet hat?
Mit dem freien Mozilla Voice Datensatz und dem darauf aufsetzenden Deepspeech hat sich meiner bescheidenen Meinung echt etwas getan in Sachen Spracherkennung für deutsch. Ich hatte da vor einiger Zeit auch um weitere Samples gebeten und mittlerweile sind über 1100h eingesprochen und geprüft:
https://sendegate.de/t/einsprechen-fuer-common-voice-freie-spracherkennung/7773
Vielleicht dann ja Zeit einmal für Leute aus dem Podcasting Feld dahingehend malwieder zu experimentieren? Ich könnte etwa zur Sprecher-Identifikation kaum etwas sagen …