Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de
Feedback — Assange — log4j — NSO-Exploit — Klarnamenpflicht & Telegram — Cyberbunker-Urteil — Digital Services Act / Digital Markets Act — EMS-Leak — ID Wallet
Die letzte Woche wurde die digitale Welt von einer neuen Sicherheitsschwankung erfasst, die noch lange anhalten dürfte: wir besprechen ausführlich, welche Auswirkungen ein fehlgeleitetes "Feature" in der Java-Logging-Bibliothek log4j nach sich ziehen wird und was man künftig dafür tun kann, solche Desaster zu vermeiden. Dazu viel Feedback, eine erste Analyse der Exploittechniken von NSO, das Cyberbunker-Urteil, neues zu DSA und DMA und noch ein paar Possen aus Österreich und Deutschland.
https://logbuch-netzpolitik.de/lnp416-zusammenrottung-aus-dem-kreise-der-politischen-gegner-mit-hacking-affinitaet
Veröffentlicht am: 20. Dezember 2021
Dauer: 2:36:56
Oh ja, hast wieder so etwas, was man ähm was eigentlich total technisch ist, aber man sich äh sicherlich auch bemühen kann, einen politischen Witz draus zu machen, Der hatte die Picot vier 16, bedeutet nämlich rangenotal. Und ähm das hat also sehr viel mit zu tun. Auch die gibt's im Internet nicht äh immer ohne Weiteres, ne.
Auf jeden Fall, aber wenn man dann in seiner Anfrage äh ein bisschen übers Ziel hinausschießt, so, dann kriegt man halt unter Umständen diesen Fehler, vor die Füße. Hintergrund ist der, dass man eben so Dateien ähm in Gänze anfordern kann, aber man kann auch sagen, mich interessiert jetzt nur dieser Teil. Gib mal das, gib mal das, gib mal das, was man so, was weiß ich, vorspulen kann zum Beispiel in Videos. Dass man sagt so, oh ja, ich muss eh nur bei der Minute zehn und so und dann rechnet der irgendwie aus, wo das so in der Datei sein müsste anhand irgendwelcher zuvor. Gelesener Tabellen und sagt so, ich brauche jetzt nur genau von da bis da. Und wenn man sich dabei vertut und diese Ressource, also zum Beispiel der Film, den man da anfragt, so hat diesen Bereich gar nicht mehr, weil die Datei viel kleiner ist, dann kriegt man so eine Fehlermeldung. Genau, also wenn mal wieder ein Politiker übers Ziel hinausschießt, dann ist das ein klarer vierhundert16.
Okay. Ich habe auch ein ein eine kleine Art äh äh HTTP-Errorcode gerade. Und zwar hat mir offenbar jemand ein Mikrofon schenken wollen ähm welches. Vermutlich bei irgendeinem Nachbarn abgegeben wurde und ich kann aber mit den mir verfügbaren Informationen nicht herausfinden. Wo das jetzt abgeblieben ist. Also wenn die Person sich angesprochen fühlt, würde ich mich freuen, wenn sie, äh unter Linus Bindestrich Neumann Punkt DE Schrägstrich Kontakt mal kurz mit mir in Verbindung treten könnte.
Das bitte melde dich Syndrom. Das kenne ich ja auch, nachdem wir unsere Spendengeschichte jetzt nochmal am Umstellen müssen, ist immer eine gute Gelegenheit, da nochmal so einen genaueren Blick drauf zu werfen. Also vielen, vielen Dank, An alle, weil das hat, wieder sagenhaft gut funktioniert, muss man sagen. Also bin wirklich äh mächtig beeindruckt. Habe ich natürlich nochmal so ein bisschen geschaut, also ich habe da schon so ein paar Kandidaten, die ähm. So gut gemeinte Sachen machen wie so zehn Cent Spenden. Ja ich bin ein großer Freund des Micropayment. Das Problem ist nur, die Banken nicht. Und früher war das echt mal anders so, ne, als noch Zinsen gab und so immer noch irgendwie, Geld anlegen konnte und Sparbücher und so ne Sachen, das klingt ja heute schon wirklich wie ein Bericht aus der Steinzeit Und mittlerweile äh ist das ja sogar äh äh so schlimm, dass wenn man irgendwie zu viel Geld hat, dass dann ähm die Bank dann sogar noch Geld dafür nimmt. Aber vor allem nehmen sie halt jetzt ganz gerne Gebühren, wie das ja so im Internet überall äh der Fall ist. Und so bei zehn Cent spenden, spendet man halt einfach der Bank. Also das ist sozusagen solche Beträge zu versenden. Macht keinen Sinn. Wenn ihr nur wenig zu geben habt. Kein Problem. Ja ich fordere überhaupt nix ein, aber äh wenn ihr sozusagen irgendwie so unter zwei Euro oder vielleicht besser sogar unter fünf Euro seid, so macht das Vierteljährlich, macht das halbjährlich, macht es jährlich mir egal. Aber so äh gewinnt einfach nur die Bank und das ist ähm für niemanden gut, weil ich glaube, so die Banken brauchen's jetzt grad nicht so dringend. Also, weil die werden ja im Zweifelsfall ja vom Staat rausgekauft auf unsere Kosten.
7und3 Cent, das ist das ist das PayPal-Problem, ne, also auch PayPal ähm ist ja im Angebot und es ist halt so eine Sache mit PayPal, weil die eben für kleine Beträge auch enorm abzieht, ne. Also was du meinst, wenn du siebenunddreißig Cent, das ist oder siebenunddreißig Prozent, das fällt halt bei einem Euro Spenden an. Also wenn ihr irgendwie jemandem, per PayPal da so ein Euro schickt so, da bleiben dann halt ähm nur dreiundsechzig, Cent übrig. So und ist halt auch ein bisschen doof. Also auch so was lieber dann ähm halbjährlich oder so zusammenfassen. Nur mal so als kleiner Hinweis. Aber ansonsten vielen, vielen Dank an alle, die sich beteiligen, auch danke an alle, die ähm unsere äh Textilien abgenommen haben. Wir sind sehr motiviert noch äh demnächst eine kleine Überraschung hinterher äh zu schieben. Also es wird an neuen Motiven gearbeitet und ähm da gibt's dann ähm auch bald mehr zu. Ja und das war's eigentlich schon und ähm dann können wir gucken, was wir so an Feedback haben diese Woche.
Ja also, wir hatten's ja in der letzten Sendung schon vorsichtig vermutet, ähm dass die Insolvenz dieser einen Finn-Fischer GmbH nicht wirklich das Ende der Geschichte sein kann und da scheint sich tatsächlich eine äh Neuumstrukturierung des Firmengeflechts grade anzukündigen. Jetzt gibt es die. Holding und ähm die wird die alte Tochter Finn Fischer GmbH wird dabei irgendwie unter neuem Namen neu gegründet. Also insgesamt Namenskosmetik und die Geschäfte laufen aktuell wohl weiterhin gut, denn Finn Fischer wird laut einem Assessment, dem ich jetzt noch nicht so Ganz folgen kann in 33 Ländern eingesetzt. Ähm, von denen nur 36 Prozent von diesen 33 Ländern äh die den den Demokratiestempel verdient haben. Also das Business läuft weiterhin bei Finn Fischer. Wir hatten das ja schon vermutet, leider hatte der Pingu auf Twitter noch entsprechende ähm, Ja so Orsint im weiteren Sinne Recherchen hinzugefügt, in der äh sich eben da hier die Sachen hin und her äh hin und her verschoben werden. Lässt sich da erkennen, dass es da eine neue Gründung gibt Anfang zwanzig20. Tja.
Ist mir egal. Es ist genauso wie bei Facebook, die können sich auch umbenennen, die bleibt gleiche Dingen. So und Raider hat das auch schon mal versucht, da sind sie auch nicht mit durchgekommen. So, dann haben wir. Messenger Interoperabilität als Thema gehabt. Hm da gab's natürlich viele ähm Antworten zu. Einige die äh, ja nicht ganz den Kern verstanden haben, was wir was wir tatsächlich als das Problem sehen und einige, die dem Problem äh ähm sinnvoll geantwortet haben, davor habe ich mal drei rausgesucht.
Darauf bezieht es sich in dem Moment, genau. Beispiel, man kann als Mailprovider doch selbst entscheiden, welche Abwärtskompatibilität man zulässt. Es ist doch nicht so, dass es da keine Weiterentwicklung gäbe. Man kann auch als Endnutzer jederzeit seine interoperabilität individuell einschränken. Etwa Gmailabsender standardmäßig abweisen, weil die noch TLS 2null unterstützen oder einem Kumpel sagen, nö sorry, an deine Yahoo-Adresse schicke ich keine Nachricht von dieser Entscheidungsfreiheit würde doch auch beim interoperablen Messenger niemand entbunden. Wo läge da der Nachteil verglichen mit heute?
Also da muss ich glaube ich sagen, na ja ähm viel Spaß, wenn du Gmail Absender abweist, also das ist auf jeden Fall das. Ist, glaube ich, der beste Weg zur Inbox zero, ja? Ähm und gleichzeitig spezifisch das würde ja dann nicht mehr gehen, ähm wenn es ein Interoperabilitäts, Zwang gibt. Aber da haben natürlich einiges schon erkannt, ja, dieser Interoperabilitätszwang, der muss sich zumindest dann irgendwie quasi weiterentwickeln, ja? Nun gab's einen Kommentar von, Trolli Schmidtlauch, der der ein spezifischen Punkt betrifft, nämlich, dass wir gesagt haben, na ja, im Moment ist die Schlüsselverwaltung, ne, was weiß ich, bei dem einzelnen Messenger und es wird ungleich problematischer, auf einmal zwischen zwei Messengern schreiben muss, ja? Und da hat Trolli denke ich einen sehr guten Punkt zu.
Ich sehe da ehrlich gesagt das Problem nicht, zumindest nicht im Vergleich zum von mir ohnehin als kaputt empfindenden Status Quo. Beim, aktuellen Szenario mit einer zentralen Anbieterin, Vertrauen alle derselben Zentralstelle doch bitte den korrekten Initialkie zu vermitteln. Jede Nutzerin vertraut also ihrer Anbieterin. In diesem Fall haben beide die gleiche Anbieterin. Wenn wir jetzt in ein Szenario wechseln, bei den Nutzerinnen jeweils verschiedene Anbieterinnen haben, die aber jeweils wechselseitig direkt miteinander kommunizieren, vertraut immer noch jede Nutzerin ihrer Anbieterin und zwar wird jeweils darauf vertraut, dass der eigene Key korrekt an die Chatpartnerin übermittelt wird sowie der übermittelte Key der Partnerin korrekt zurückgegeben wird. Beide Anbieterinnen, haben sich für die Server to Server Kommunikation ohnehin ein vertrauenswürdigen Kanal ausgehandelt. Konkret TLS Zerz. Solange also wieder jede Nutzerin der eigenen Anbieterin vertraut und dieses Vertrauen berechtigt ist, funktioniert alles gleichartig gut. Was aber, wenn das Vertrauen in einem Fall nicht berechtigt ist? Auch das ist kein, nur bei verteilten Messaging, Auftreten des Szenario, denn schließlich kann es auch sein, dass dieselbe zentrale Anbieterin ihre Kundinnen unterschiedlich behandelt, einem der beiden also einen falschen Key gibt. Letztendlich kommen wir in meiner Meinung auch schon jetzt nicht um irgendeine Art des zusätzlichen Vertrauensankers aus. Gute Kompromisse sind etwa, Beforefication oder die Kombination von Kreuzsignaturen und gegenseitiger Verifikation über Emojis, Matrix Punkt ORG Umfeld.
Letztendlich, sagt Trolli hier, okay, die meisten Messenger arbeiten heute mit Tofu, also trust on first use. Beim ersten Mal wo du eine Kommunikation herstellst ne, Kontakt oder überhaupt kommunizierst, vertraut einfach jede Partei, dem Schlüsselpaar, was sie von der anderen bekommen hat und die, Überlegung von Tofu ist zu sagen, na ja, wir sparen uns den Heckmeck beim ersten Mal die Schlüssel auf einem anderen Kanal auszutauschen, weil wir jetzt mal annehmen, dass bevor wir jemals kommuniziert haben, noch niemand da ist, die, die Kommunikation abhören will, Ja? Ähm und dann bleiben wir einfach bei dem Schlüssel und gucken, ob der sich äh also den speichern wir bei uns und gucken, dass der weiter verwendet wird und wenn davon eine Abweichung stattfindet. Dann ähm machen wir diese Warnungen, ja? Wo ja dann auch jetzt immer festgestellt wird, dass die Warnungen natürlich viel öfter, Daher rühren, dass jemand sein Telefon verloren hat und ein neues hat, als dass sie jetzt tatsächlich äh auf aufgrund eines Angriffs kommen. So und diesen Schlüssel, Integritätssicherheitsmechanismus, Verteidigung gegen MITM würde natürlich auch über Anbieterinnen, Grenzen hinweg funktionieren, Ja? Und äh da hat er einfach einen Punkt. Ja, das ist äh grundsätzlich erstmal klar. Man könnte also auf diesem Wege hat er Recht, sagen so wir, haben, Föderation. Wir können aber, wir haben vorher mussten wir nur einer Anbieterin vertrauen, in diesem Falle zwei, aber da wir sowieso beidseitig verifizieren, ändert sich eigentlich unterm Strich nicht wirklich etwas. Hat er einen Punkt. Ähm nur und jetzt kommt der letzte Schluss ist, wir brauchen also auch nicht, wir kommen nicht drum herum irgendeine Art zusätzlichen Vertrauensanker zu haben. Und da geht's dann eben um Kreuzignaturen ja würde ich jetzt nicht nicht tiefer reingehen, sondern nochmal ein bisschen äh zu, Martin kommen.
Genau und Martin schreibt, Das, was man bei der Messenger interobbarilität letztlich haben will, ist eine Föderation zwischen den unterschiedlichen Messaging-Anbietern. Das heißt, nutze auf einem Server müssen reibungslos mit Nutzern auf anderen Servern kommunizieren können Standards für föderierte Kommunikation gibt es bereits. Die beiden Großen sind XM, PP und Matrix. Bei Matrix werden Nutzer derzeit ähnlich wie bei E-Mail, per global adressierbaren Benutzernamen, Doppelpunkt Server adressiert, wodurch man Nutzer auf anderen Servern erreichen kann. Es wurden dort bereits alle Probleme bezüglich Schlüsselaustausch, Gruppenchats, Zugriffskontrollen et cetera, serverübergreifend gelöst. Beim Matrix kommt das gleiche Double Radget Verschlüsselungsprotokoll zum Einsatz, Von Single stammt und zum Beispiel auch bei WhatsApp eingesetzt wird. Der Schlüsselaustausch wird bei Matrix Mittel Tofu, Trust und First use, beziehungsweise mit einer optionalen, manuellen Verifizierung zwischen den Endgeräten gelöst. Man müsste schauen, inwiefern das bestehende Schlüsselmaterial der Anbieter weiter genutzt werden könnte oder auf den Endgeräten separate Kies für den Austausch anderen Anbietern per Matrix angelegt werden müssten. Wenn alle Messaging-Anbieter das Server to Serverprotokoll von Matrix implementieren würden, könnte man wahrscheinlich einen Großteil, der von euch angesprochenen Probleme lösen. Bei XMP besteht das Problem, dass Gruppenchats, einem zentralen Server gehostet werden. Sind somit nicht unabhängig vom jeweiligen Anbieter. Gruppenchats bei Matrix dagegen sind echt dezentral, das heißt sie sind nicht servergebunden und funktionieren auch, wenn der erstellende Server nicht mehr mitspielt, Zu Matrix gibt es eine offene Spezifikation. Die von einer nicht gewinnorientierten Stiftung verwaltet wird, aus diesen Gründen kommt es inzwischen bereits in diversen deutschen und französischen Behörden im Gesundheitswesen und gar bei der Bundeswehr zum Einsatz. Bleibt die Gretchenfrage, welches genaue Features hätte man als Minimalkonsens für eine Messenger, Föderation voraussetzen will. Es bräuchte wohl ein zentrales Gremium, welches darüber entscheidet.
Ja, also das das ist ja, glaube ich, also meine. Das wäre halt meine weitere Sorge, dass man dann einmal etwas festlegt und das muss sich ja dann irgendwie stetig weiterentwickeln und also lassen wir es mal dabei ähm. Technisch haben wir jetzt erklärt bekommen, dass man das alles doch irgendwie auch lösen kann, ohne dass sich der Status quo nennenswert verschlechtert aus einer Security-Perspektive? Sofern man irgendeine Form von Kiverifikation eben über diese Grenzen auch macht. Jetzt wäre meine weitere Frage oder meine Sorge ähm was machst du jetzt, also wie sicherst du dass diese Weiterentwicklung stattfindet, ja, weil du müsstest jetzt quasi europaweise verordnen, es muss eine Operabilität geben und zwar nach dieser Art, dann sagst du auf einmal, übrig, es gibt jetzt ein Update, ne, in einem Jahr oder in zwei Jahren oder wie auch immer. Das sind Dinge, die sich die ich politisch noch nicht, gebildet gesehen habe in Verordnungen. Ja, also meine äh vielleicht auch meine Skepsis, mein mein meine Skepsis? Nee. Skeptik, wie heißt das Wort.
Okay, meine Skepsis ähm kommt eher so ein bisschen aus dem Bereich. Dass äh ich ja mit der IT-Sicherheitsregulierung ähm schon durchaus die eine oder andere Erfahrung hatte mit den IT-Gesetzen, ja mit den IT-Sicherheitsgesetzen und, da halte ich das für letztendlich unwahrscheinlich, wenn man da technisch was Gutes umsetzen kann, dass die Politik das dann auch so verordnet.
Vor allem, was ist, wenn wenn sich dann das gewählte System als fehlerhaft herausstellt, also dann auch da entsprechend schnell nacharbeiten zu können, ist sehr schwierig. Und meine Glaube, dass bei den meisten Leuten, die jetzt, als ich diesen Kommentar vorgelesen habe, die jetzt hier zuhören, ohnehin äh schon irgendwie so eine so ein leichtes so ein leichter Fiep-Ton entstanden ist. Weißt du? Es ist einfach mal hochkomplexer äh Quatsch und äh den in den politischen Prozess äh reinzubringen, sozusagen so als Vorgabe. Dann doch schon für sehr schwierig. So also das ist ähm Wir erinnern uns auch so hier Urheberrecht und was bedeuten jetzt die beschlossenen Maßnahmen für Filter? Was müssen die dann genau tun, wenn das dann irgendwie so weit reingeht, dass man also hier wirklich bis ins allerletzte Detail Protokolle politisch vorgibt und sich äh des Gesetzesblatt auf einmal liest wie so ein Referenzmangel für irgendwie äh erste, fünf Vorlesungen Kryptographie im Informatik. Ich kann mir einfach nicht vorstellen, dass das gut funktionieren wird. Also es ist einfach praktisch wird es einfach ein äh Elend sein und es mag ja sein, dass das bei Matrix gelöst ist, aber dieses Matrix redet ja im Wesentlichen auch nur mit sich selbst. Und nicht mit allen anderen und alle anderen mit Matrix.
Das und das ähm auch dieser Gradank sich bei einfach N zu aufm aufm aufm Markt, die alle ihre eigenen Interessen haben, so durchsetzen lässt. Also mag ja sein, dass in so einem föderierten System, was in Open Source entwickelt wird, wo alle dieses Ziel haben und wo das sozusagen der Traum ist genau das hinzubekommen, äh funktionieren kann, aber in einem System, wo sich eigentlich alle Spinne feind sind und auf dem Markt äh bittere äh Wettbewerber sind, ja, dass die dann die entsprechende Energie drauf werfen, dass das alles gut funktioniert, woran sie eigentlich gar kein Interesse haben. Das äh steht auf einem ganz anderen Blatt Papier.
Okay, dann haben wir äh darüber gesprochen, dass die, verschlüsselten Archive mit dem dokumentierten Kindesmissbrauch weiterhin online sind. Da wurden wir auch in den Kommentaren, ich glaube von André daran erinnert, dass das ja das war damals die große Diskussion. Als es um die Stoppschilder von Ursula von der Leyen ging, löschen statt sperren. Ja, also die große politische Forderung war, sperrt nicht den Zugang zu diesen Inhalten, sondern löscht diese, Inhalte, ne, sorgt für ihre Löschung. Und das ist ja hier nicht passiert. Jetzt haben wir uns darüber unterhalten, woran das wohl liegen mag, ja? Mhm, zu sagt dann der ähm Y.
Guter Punkt so ähm relativ klar dargelegt. Dann gibt es noch eine Sache einen weiteren Punkt von Hans Wurst, denn Tim hatte vorgeschlagen, man kann ja quasi ähm den den Kuchen haben und ihn essen, indem man einerseits das Material austauscht, und zweitens trotzdem die Zugriffe lockt, wovon wir ja jetzt schon wissen, dass das nicht äh sinnvoll stattgefunden hat. Dazu sagt Hans Wurst.
Das mit dem Austauschen von dem Kripo-Material, sagen wir, durch Katzenbilder, ist insofern ein Problem, das anschließend jeder, der darauf zugreift, behaupten kann, dass er darauf zugegriffen hat die Katzenbilder sehen wollte, damit haben die Strafverfolger dann so gar nichts gegen diese Person in der Hand, dann kann man das Ganze auch einfach nur löschen.
Ja, ist richtig. Also mir bleibt es weiterhin unverständlich, ähm warum man diese Materialien online gelassen hat, weil ähm offensichtlich hier nichts, also keine keine sinnvoll erkennbare Strategie da ist. Ähm die sage ich mal sich mit den. Ja Selbstverständnis und Zielen der polizeilichen Strafverfolgung und Gefahrenabwehr in Verbindung bringen lassen würden. Dann hatten wir schon über den Assange Fall gesprochen. Im ähm in der letzten Sendung, das jetzt äh quasi wieder in die Richtung steht, dass eine Auslieferung an die USA wahrscheinlicher ist. Ähm. Es ist weiterhin krass, wie wenig äh Aufmerksamkeit und Aufschreit dieses Thema bekommt. Weil wir ja nicht vergessen dürfen, dass es hier am Ende um eine journalistische Tätigkeit geht in der Veröffentlichung und Auswertung. Dieser Dokumente und das ist ja ein gefährlicher Präzedenzfall ähm entstehen kann. Da gibt es auch entsprechend strenge Kommentare, von denen wir noch ein paar äh in den. Shownotes haben und dann gibt's noch die sehr, üble Geschichte, dass er offenbar auch einen äh Schlaganfall erlitten hat in der Gefangenschaft in dem Bellmarsch, indem er ja jetzt ja auch schon wieder seit weiß ich nicht wie viel Jahren ist zwei Jahre oder was ähm im Kampf gegen seine Auslieferung. Auch wieder dran erinnern muss normalerweise wenn du auf deine Auslieferung wartest. Sitze nicht unbedingt in im Hochsicherheitsgefängnis äh Belmarsch, ne? Also wir haben's hier wirklich mit einem sehr äh schwerwiegenden. Äh Fall zu tun und das wäre äh es ist irgendwie erstaunlich weiterhin, dass die Medien sich da so zurückhalten, weißt du, das verstehe ich irgendwie nicht. Also ich verstehe es wirklich nicht.
Weil sie ja betrifft, ne, weil es ja sozusagen hier auch um den Journalismus geht an sich und es ist bemerkenswert, dass also äh dem äh Nawalny in Russland da Preise äh verliehen werden. Doch dann für äh ein toller Kämpfer für die Freiheit ist, weil er irgendwie das böse Regime oft äh deckt so. Aber sowas macht man dann halt immer nur so mit den eigenen Feinden, ne? Aber wenn so das eigene System aufgedeckt wird, dann sieht das schon wieder ganz anders aus und dann wird dieses Spiel auch mitgespielt. Ist jetzt auch nicht so, dass jetzt alle Journalisten. Das ignorieren, ja. Ich meine, wir hatten ja hier auch ähm, ausführliche äh Gespräche dazu und es gibt natürlich auch viele, die ähm dagegen anschreiben, aber so generell, so ein großer Aufschrei ist da nicht und das ist in der Tat ähm. Eine Frage, warum das eigentlich so ist. Also warum steht das nicht im, Mittelpunkt. Ist ja jetzt auch nicht so, dass die äh der Journalismus nicht laut aufschreien würde, wenn's generell an die eigenen Interessen geht, aber offensichtlich scheint äh Assange hier ein schwieriges Thema zu sein.
Also Nils Melzer, der so einer äh Beauftragte für, was heißt denn Folter oder Menschenrechte? Ich weiß gar nicht genau, was ein offizieller Titel ist. Hm der sagt ja auch, dass er anfangs. Ähm als er sich dem Fall näherte auch so dachte so komische Figur äh wer weiß und so äh, und ähm dann sich ihm die Augen immer mehr geöffnet haben, also, da scheint es schon so dieses ah okay Assange Schmuddelknabe äh hier mit der die Sache in Schweden ist irgendwie unklar und dann auch noch diese Trump-Nähe und so und er irgendwie. Auf den ersten Blick äh ist das klingt das jetzt nicht nach äh dem dem besten Kampf für die Freiheit, den der Typ da gerade äh in letzter Zeit geführt hat, Ähm aber das sind eben erstens äh andere Dinge und äh und ähm, andere Themen als die, für die ihr da nämlich gerade verfolgt wird und diese Trennung äh auch einfach im ganz ungeachtet, der anderen äh ähm vergehen darf, weil wir mal wirklich jetzt gar nicht beachten, ja? Muss man die natürlich trotzdem trennen, für was wird der am Ende verurteilt, ja? Und äh wenn man jetzt der Ansicht wäre, was weiß ich, äh diese Sache in Schweden ist irgendwie klar und ähm weil ein Trump-Supporter ist, wollen wir den eh nicht mehr haben. Da müsste man sich eben trotzdem noch anschauen, für was wird der denn gerade verurteilt, ja oder für was sollte denn gerade ausgeliefert werden und was schaffen wir uns hier für eine Präzedenz? Und diese ähm und diesen Transfer, der gelingt offenbar nicht in der Breite.
Okay, damit kommen wir zu den spannenden Nachrichten der Woche. Ähm. Am Freitag, genau vor einer Woche, ist jetzt schon eine Woche, machte eine Sicherheitslücke ihre Runde, wirklich also ähm auf eine Weise äh, also auf auf viele Weisen faszinierend ist, ja äh, meisten wissen wahrscheinlich schon, worum es geht und zwar ist es die äh Sicherheitslücke lock2, die das die Java Bibliothek, Lok for Jay betrifft.
Genau. Ist von so ein paar Leuten äh entwickelt worden, ist dann irgendwann, weil's von vielen verwendet wurde zu dieser Apache äh Foundation gewechselt, wie das so viele solche Bibliotheken tun mit dem Ziel da Konsens orientiert dran weiterzuarbeiten, damit so diese Software, die von vielen genutzt wird, auch in irgendeiner Form am Leben bleibt. Aber das heißt nicht, dass das nicht auch. Fehler enthalten kann, die dann irgendwann mal äh gefunden werden. Vielleicht hat man ja erstmal kurz auch weil wir ja hier das Logbuch sind, ne? Sollte man vielleicht mal kurz sagen, Was ist eigentlich Logging? So, ich meine, wir loggen ja hier die Nachrichten. So, deswegen heißt es Logbuch. Ne, im übertragen aus diesem, Begriff. Das Buch, in dem man so alle Vorfälle einträgt und genau das ist so ein bisschen ja sowohl die Idee bei diesem Podcast als eben auch beim Loggen und Loggen ist halt einfach wichtig in der Softwareentwicklung. Aus verschiedensten Gründen, also manchmal mag das eben die Aufgabe der Software, die man schreibt, selber sein, ähm aber meistens ist es eben so, dass man damit dem die Fortschritte, Software, während sie so ihre Arbeit äh verrichtet, so in einem definierten Format an eine Stelle reinschreibt, damit man einerseits so ein bisschen zuschauen kann, ja, man kann dann dieses Locken geschrieben werden. Kann man sich über den Bildschirm laufen lassen und guckt so, ah okay, alles klar, hier ist eine Anfrage reingekommen, da ist eine Datei geöffnet worden, da ist eine Datenbank auf- und zugemacht worden und so weiter. Was auch immer es ist, was diese Software tut, steht dann da in irgendeiner in irgendeinem Grad der Ausführlichkeit mit drin, aber eben auch Fehlermeldungen ähm oder eben Panik-Attacken, die das System hat, weil irgendwas ganz Grundlegendes weg ist, kein Internet mehr da irgendwie alle Festplatten sind weg, äh großes Drama und üblicherweise werden solche Einträge dann auch in unterschiedlichen Warnstufen unterschieden, also von leichten Hinweisen, dass irgendwas getan wurde, ganz normal bis hin zu hm ja das habe ich jetzt mal irgendwie hinbekommen, aber es was weiß ich, es hat nicht so schnell funktioniert, wie ich das gewohnt bin, so Warnung, guckt mal, vielleicht ist da irgendwas falsch, bis hinzu hat nicht geklappt, die Festplatte war voll, konnte ich nicht wegschreiben, Fehler bis hin zu eben so totalen äh Paniksituationen, wie es eben schon angedeutet habe und man benutzt für diesen Vorgang, weil das halt jeder irgendwie braucht, auch gerne Bibliotheken und greift natürlich zu irgendetwas, was im Open Source-Bereich so really Avaleble ist, typischerweise in der eigenen Programmiersprache.
Da würde ich aber jetzt gerne kurz einhaken, weil tatsächlich ist das so verbreitet nicht, dass man äh sich ähm seine eigenen Login Bibliotheken baut im im Javabereich schon, weil was müssen wir einen kleinen Schritt zurückgehen, was du nämlich gerade schilderst, ist Also besonders spannend wird dieses Login, weil es ein du hast ein Format. Du definierst dir im Prinzip als Applikation so dein eigenes Format. Üblicherweise fängst du vielleicht mit einem Datum an, ja? Mit der Datum-Uhrzeit und sagst dann, was ist hier vorgefallen? Ja und besonders interessant wird das dann. Nämlich nicht nur bei einer Applikation, die lockt dann, was weiß ich hier, ich wurde gestartet oder so, aber besonderen Wert bekommt das halt bei Servern. Zum Beispiel wenn, euer Podcast Client, den äh Metaebene Server zugreift, um dort eine Folge LogBuch Netzpolitik runterzuholen, dann schickt als erstes ein äh Getrickfest an den RSS-Feed, stehen dann, ne, da kommt dann eine Datei zurück mit, mit den aktuellen Episoden und wenn da was Neues bei ist, dann schickt ihr ein Gatrik-Fest für zum Beispiel eine Audiodatei. Ja? Und der metaelbene Server, ich weiß jetzt nicht, ob er's macht, aber der könnte und wird wahrscheinlich dann jeweils einen Lockeintrag schreiben. Wie Uhrzeit folgendes ist vorgefallen, Und für diese Art Lock, was der sich schreibt, gibt's aber jetzt nicht notwendigerweise ein standardisiertes Format. Wie der das speichert, was weiß ich zum Beispiel, in welchem Format das Datum, welche Sachen überhaupt gelockt werden ähm das konfiguriert man eben in dem Webserver. Und, genauso wenn jetzt deine eine Webation läuft, dann wäre halt die Frage, was lockt die überhaupt? Und eine der großen Probleme ähm ist oder eine der großen Herausforderungen, die man natürlich auch durch wahrscheinlich, ein bisschen begegnen wollte. Ist halt eine eine Vereinfachung und auch eine Vereinheitlichung zu finden. Zum Beispiel kannst du in wenn ich das richtig verstanden habe, auch mal mehrere Zeilen locken. Nicht nur also jetzt das klassische Unix Ding ist ja, schreibst halt nach Standard Error, landet im ne oder schreibst nach Standard Out oder sonst was ähm. Die haben sich quasi schon eine etwas schönere, vereinheitlichtere Möglichkeit geschaffen, ähm Loks zu aggregieren und dann da eben paar nette Tools reingebaut, sodass du im Prinzip nämlich dann nicht jedes Mal, wenn du eine Applikation schreibst, sagst, okay, wir werfen das jetzt nach, Error oder sonst was raus, ja? Oder wir machen einen Lockfall auf, sondern du sagst einfach, hier, Äh äh ich mache ich mache eine Instanz von und jedes Mal, wenn ich was mache, habe ich eine Funktion und sage einfach Lockfolgendes, ja? Und dann den Rest, dass das ordentliche Format hat und so weiter, da kümmert sich dann dieses drum. Und spannend wird das dann, wenn du nämlich jetzt zum Beispiel Forensik machst, ja? Wie ich ja äh gerne manchmal muss. Dass du dann halt ein Lock hast von mir ist von dem Datenbank-Server und ein Lock von dem, Webserver und ein Lock von dem Mailserver. Die haben aber irgendwelche völlig unterschiedlichen Formate und die werden auch nicht an einer Stelle aggregiert und dann ist das alles ein großes Tohuwabohu. Dass du die Kiste nicht mehr vereinheitlich, dann läuft der eine Scheißserver in einer anderen Zeit, weil der läuft in UTC, den anderen hat einer irgendwann mal beim Setup in GMT plus eins gesetzt und hier der lockt in dem Datumsformat, der in dem anderen, du wirst wahnsinnig die Sachen zu aggregieren, ja? Und dafür, quasi diese Idee, machen wir mal Lok vor Jay ähm, auf jeden Fall keine schlechte. Ja und jetzt kommt der in meinen Augen entscheidende Punkt, weißt, Also als ich diese Sicherheitslücke äh zum ersten Mal geschildert bekommen habe äh oder also mir durchgelesen habe, habe ich gesagt, das ist ja keine Sicherheitslücke, weil, was die da gebaut haben, das ist ja in herent unsicher. Also ist eine eine Funktionalität, die einen Locker in meinen Augen niemals hätte haben dürfen. Zwar haben die sich gesagt, wir möchten, dass eventuell die lockende Instanz, ja, also, Programmteil, der das empfängt ähm darin noch Änderungen vornehmen kann. Ja und ich nehme mal ein Beispiel für eine solche Änderung. Man könnte zum Beispiel sagen, okay unser. Webserver, der lockt erstmal nur die IP-Adresse. Ja, der von demjenigen oder derjenigen, die zugreift. Und dann gibt er die dem Lockserver. Und der Lockserver soll aber jetzt zum Beispiel nochmal sagen, ach okay, da gibt's eine IP-Adresse. Ich gucke mal, ob die ein Reverse äh DNS-Eintrag hat. Ja, also einen Pointer Record, wo man einfach sagt, gibt es die irgendwo noch, registriert, dass sie dass sie mir dass sie mir eine Domain dazu sagt, zum Beispiel dass man dann irgendwie sieht ah okay, das ist ein, oder sonst was, ne? Also ich mache noch einen weiteren Lookup zu dem, was mir. Der loggene Applikationszeit oder die Loggen der Applikation rüberwirft. Und das ja erstmal keine schlechte Funktion. So sowas zu machen. Nur. Die haben sich das so gebaut, dass quasi die gelockte Applikation dem lockenden Teil. Einen Befehl geben kann und dieser Befehl kann sein geh mal bitte an diese Stelle, lad dir ein Stück Javacode runter und führ das aus. Um, weiter damit umzugehen, weil Java äh das das ihn auf flexible Nachladen von äh Codeteilen halt ähm grundsätzlich unterstützt und so Java Software funktioniert und so kann's dann irgendwie sagen, okay, hol dir mal bitte hier diesen Code an dieser Stelle und führe den mal aus. Und ich glaube ehrlich gesagt, dass das also das hätte man nie machen dürfen. Also niemals. Es ist völlig klar, weil hier ähm, die das loggende, also es ginge ja also nicht nur dadurch, dass jetzt hier ausführbaren Code gibt und so, ne, aber dass ja auch eine potenzielle Vergiftung deiner Lockfiles, wenn die lockende Instanz dir noch irgendwelche Befehle dazugeben kann. Ja Anpassungen von mir aus, aber das muss ja der Logger entscheiden und nicht der gelockte, ja? Insofern verstehe ich überhaupt nicht, wie man auf diese Idee kommen konnte. Also mir ist völlig unklar, warum man das macht ja? Auf diese Weise, dass halt die loggende Instant sagt, hier ist ein Befehl. Da kommt nämlich ein sehr großes Problem hinzu, was bei den meisten IT-Sicherheitslücken eine Rolle spielt oder bei vielen, insbesondere im Webbereich und das ist das Escaping, weil man sich ja irgendwelche Kontrollcharaktere äh Charakters baut, also Kontroll ähm äh Zeichen, wo man sagt, aha pass auf in diesem Fall zum Beispiel, wenn dann Dollar und eine geschweifte Klammer kommt, dann für das, was da drin steht mal bitte aus. Ja und jetzt kommt, warum diese Sicherheitslücke so krass ist. Ich brauche also nur irgendeine Applikation, die verwendet und diese Funktionalität aktiviert hat. Und ich muss die nur dazu bringen irgendwo in irgendeinen Lockeintrag, diesen spezifischen Command eine eine Commandsequenz zu schreiben und die lädt sich dann meinen Code dazu herunter und führt den aus. So das ist also.
In diesem String halt einen kompletten Serveradresse angeben kann mit einer Ressource quasi eine URL mitgeben kann dann ist das einfach das normale Verhalten so ah ich muss das auflösen oh da ist Dollar äh geschweifte Klammer auf drin, also habe ich den Rest so und so zu interpretieren und dann wird dieses Jahr mal so von sich aus aktiv und sagt einfach okay alles klar Da ist Code drin, der muss ausgeführt werden, ist alles total wichtig.
Ein üblicher also man macht auch keine Webserver Indianer, ich weiß, aber ich mache das jetzt mal äh ich bleibe mal bei dem Beispiel. Also eine übliche Information, die so einen Webserver oder so eine Webapplikation mitlockt, ist zum Beispiel auch der User-Agent des Browsers. Ja, also euer Browser sagt. Ich bin ein Internet Explorer in der Version elf und ich laufe auf einem äh Windows XP oder sowas, ja? So grobe Versionsangaben äh ähm oder vor allem ihre Herkunft, machen diese Browser schon.
Die Server loggen das mit. So, das heißt, wenn du jetzt lustig bist, setzt du dir einfach einen User Agent in deinem Browser, quasi eigentlich diesen machst, surfst im Internet und guckst mal, was du so für Zugriffe bekommst. Und jetzt wird hoffentlich auch klar, warum das so ein Problem ist, weil wenn es irgendwo jemanden gäbe, der seine Mails. In irgendeiner Form von Java-Software weiter verarbeitet und ich es schaffe, was weiß ich, in einem der Felder, die dieses Logging-Tool lockt, diesen eine Kommandsequenz, die äh äh die die auslöst ähm einzuspeisen, dann kann ich eine Mailserver auseinandernehmen, ja? Ähm es gibt hier Beispiele von Leuten, die haben halt ihr iPhone so benannt, ja und kriegten dann auf einmal Request aus dem ähm aus dem IP-Netzwerk range von Apple, mit anderen Worten irgendetwas, was ihren iPhonenamen angeht, wird bei Apple gelockt, am Ende durch einen Lock vor Jay geworfen und hat dann quasi gezeigt, dass deren Server darauf angreifbar waren. Du weißt jetzt immer nicht, wer das welcher Server das ist und welche Zugriffsmöglichkeiten der hat, ja? Ähm aber es ist auf jeden Fall nicht gut Und das ist das, was diese diese Schwachstelle so krass macht, dass du jetzt ähm. Im Prinzip, in jedem Service, in jedem Dienst, der irgendwo da draußen am Ende etwas, was eine Nutzerin bestimmen kann. In ein wirft, hast du halt diese Schwachstelle, potenziell wenn dieses Feature aktiviert ist, was es aber eben grundsätzlich ist.
So, jetzt ist das also da wo haben wir jetzt Angriffsflächen? So, überall da, wo Java, Software läuft und lockt. Jede Software lockt. Ja? Ähm. Und jetzt geht's los auf potenziell Applikationen, die einfach ähm auf deinem Computer laufen, irgendeine Java-Applikation. Schreiben dabei diese Bibliothek verwendet, ist angreifbar. Unter der Bedingung, dass sie irgendetwas in die Lok schreibt, so was du als Nutzerin oder eine Angreiferin ähm kontrollieren kann. Ja? Ähm und da da Programmiererinnen lieber mehr als wenig loggen. Ist es jetzt auch gar nicht so unwahrscheinlich, dass dass du irgendetwas, Nutzer kontrolliertes oder sogar von externen Angreifern Kontrolliertes findest, was so eine Applikation dann weglockt, Was weiß ich, Dateiname, irgendwelche Metadaten in der Datei, ja? Alles, was irgendwie gelockt wird, ähm. Ist am Ende eine Angriffsmöglichkeit. Also wenn du jetzt nimmst dir irgendein Programmiertool, was in Jawa geschrieben ist, äh das schreibt jetzt, was weiß ich, von mir aus irgendwelche Oder irgendwas weg, ja? Egal, was der lockt, wenn du es schaffst, da dort eine solche Befehlskette reinzubringen, zack, ist die Wahrscheinlichkeit groß, dass es eben ausgeführt wird. Code nachläd und aus ausgeführt wird. Und ähm. Auf deinen Desktop-Applikationen, dann in Geräten, die du hast, ja, was weiß ich, irgendwelche Netzwerk äh WLAN, Controller oder sonst was, ja? Also neben diesen ganzen Bereich gibt's dann natürlich auch sehr viel Java und dann eben auch draußen im großen bösen Internet, mit ähm mit irgendwelchen Servern, wo dann eben auch zentrales Loging oder so was aktiviert ist. Und alles immer. Protokoll unabhängig und das ist das Bittere, dass da nämlich also Escaping ist eh immer eine schlechte Idee und geht sehr viel schief. Aber weil diese ganzen Programmierer ja auch immer sagen, ja wir wir versuchen möglichst alle möglichen Charakter Encordings und so weiter zu unterstützen und ähm wenn wir das jetzt in Base 64 bekommen, dann erkennen wir das und bauen uns das selber um. Kriegst du. Eigentlich keinen du kannst jetzt nicht irgendwohin gehen und sagen, na ja, wenn da äh ähm Prozent. Eckige Klammer JNB drin steht, dann machen wir dann dann loggen wir's nicht oder so. Also du kriegst es nicht weg. Ja ich war eben erst überrascht, weil ich dachte, ich hab's nicht nicht verstanden, wo jetzt überhaupt die Schwachstelle liegt. Aber ähm dann hat Christian Kühntop Isotop auf Twitter auch auf Heise, mal äh ähm einen Kommentar geschrieben, wo er sagt, nee, das funktioniert wie spezifiziert. Ja, das ist also das ist exakt nichts, ist eine Schwachstelle. So da da gibt's jetzt nicht irgendwie etwas wie äh Go-to-File oder ne oder hier irgendwie Falschspeicher sonst was, nein. Es es macht genau das.
Es ist ein Konzeptfehler, ja. Und das ist äh tja dramatisch, ja und äh. Eine grundsätzliche Sache, die sich jetzt hier zeigt, ist eben, es gibt Software-Bibliotheken und Software-Bibliotheken sind erstmal auch gut, Ja, aber es gibt eben das das Problem, dass sich also grade in so bestimmten Welten einem Python hält es sich noch in Grenzen. Du mal so ein NPM-Projekt machst, ja? Da gibt's eine schöne Befehle wie äh. NPM Audit, wo der dir dann einfach mal sagt, wie viele Pakete du da überhaupt verwendest und welche davon schon wieder irgendwelche äh Schwachstellen hatten. Also ein grundsätzliches Phänomen. Der heutigen Programmierlandschaft ist, dass man mit immer mehr ähm, Bibliotheken, Frameworks und sonstigem arbeitet, ja? Also es geht heute keiner mehr hin und schreibt wirklich noch irgendwie CSS, sondern man schreibt SAS. Es gibt niemanden mehr, er geht hin und schreibt irgendwie HTML, sondern man benutzt äh, ne, was weiß ich, Django oder so was, was das dann irgendwie rausrandert, ja? Das ist auch erstmal völlig in Ordnung, weil quasi die. Unteren Ebenen so ein bisschen weg abstrahiert werden und da quasi ja erstmal Komplexität scheinbar weggenommen wird. Für die Programmiererin. Gleichzeitig aber dadrunter ein riesiger Haufen an gegenseitigen Abhängigkeiten und Komplexität entsteht, den niemand mehr überblicken kann. Ja? Und ähm da gab es vor einiger Zeit mal so eine wunderschöne äh Story wie äh jemand, der es zwar ähm, war so eine äh Fiktion, dass er dann irgendwie ein relativ einfaches NPM Modul entwickelt für irgendwie äh rot-grün, blau. Texte ausgeben oder sowas, ja? Und dass das dann irgendwie ähm, dass er dann in in beliebtere NPM Module äh quasi das einbaut, ne? Ach guck mal hier farbiges Logging und dann aber eine Dependency, auf sein eigenes von ihm kontrolliertes MPM Modul hat, in das er dann irgendwann einmal bösartigen Code einschleust, der dann einfach mitgeladen wird und das ist ein bisschen. Quasi die Problematik, in dem sich in der sich die Programmierwelt gerade befindet, ist, dass das. Dadurch, dass immer mehr Librarys immer mehr Frameworks immer mehr verwendet wird, man selber gar nicht mehr einen Überblick hat, ähm was die eigenen. Angriffsflächen überhaupt angeht und das kritisiert äh Christian hier. Dem wichtigen Punkt, ne, Code ist nicht dein Freund. Ja, ganz besonders nicht dynamisch aus dem Internet nachgeladener Code. Äh ich weiß, es klingt komisch, wenn man Entwickler ist und den eigenen Lebensunterhalt damit bestreitet, dass man glaubt, man sei mit dem Code befreundet. Aber so ist es. Weniger Code ist besserer Code, am besten so wenig Code, dass man ihn zu gänze und mit all seinen Interaktionen verstehen kann und auch den Code, der notwendig ist, den eigenen Code zu betreiben und das ist natürlich jetzt hier nicht mehr der Fall. Ja? Ähm ich denke. Ein Großteil der Programmiererinnen und Programmierer, wenn sie denn gewusst hätten, was dieses überhaupt für eine Funktionalität hat, hätten die auf jeden Fall deaktiviert oder nicht verwendet.
Nee, aus der ersten ist es nicht. Es ist aus der zweiten. Also aus der Erstzeit jetzt bei Apache ist aus der 20 Version die aller aller allererste hatte es nicht. Gelandet und hat's irgendwann dieses Feature ähm bekommen. Wir hatten ja übrigens auch vor zwei äh Sendungen hier ähm mit äh unseren äh Gästinnen, Adriana und Katharina, hatten wir ja über, souverän Techfand gesprochen und unter anderem halt auch auf diese schöne XKCD die Comic äh verwiesen. So Allmodern Digital Infrastruktur und das sieht halt aus wie so ein riesiger Wust an Bauklötzchen, alles steht so aufeinander und dann rechts unten so ein ganz kleines Miniteil auf dem alles lastet, Das ist so ein bisschen so dieser äh Blick auf die Sache von so. Wirklich bei Individuals äh äh oder eben dann auch nicht. Diesem Fall war's ein bisschen anders, weil ja eben bei der Apache Foundation durchaus schon ähm. Recht weit oben aufgehangen war. Allerdings haben diese. Auch das Problem, dass die dann eben auch mit so einem Konsens arbeiten äh und dann sehr viel Politik äh gemacht wird, bis dann wirklich mal Neuerungen oder Änderungen von alten Sachen auch durchgesetzt werden. Da sind also schnelle Entscheidungen auch nicht mehr so üblich. Und inwiefern das dieses Feature jetzt konkret betroffen hat, kann ich nicht sagen, aber es ist auch nicht unbedingt immer einfacher alles selber zu schreiben. Weil da macht man natürlich dann auch Fehler, ja, äh wo man dann eben sagt so, na hättest du mal lieber die Bibliothek genommen, da konzentrieren sich Leute drauf. Und dann gibt's ja nur noch diesen Mythos der tausend Augen, ja, die da auch alle mal regelmäßig drauf schauen und dann halt potenzielle Schwachstellen auch finden, aber das ist halt eben auch nicht immer so.
Das ist das, was du grade sagst, ist genau der der richtige Punkt. Warum also warum nutzt man äh Frameworks und Bibliotheken, weil da Leute Dinge gelöst haben, ja? Man baut sich nicht mehr seine eigene Datenbankanbindung, Indem man was weiß ich, selber sauber zusammengebastelte Datenbankanfragen in ein wirft, ja, sondern man nutzt, was weiß ich, ne, die Bibliothek zur Anwendung von Datenbanken und, versucht die dafür zu nutzen, dass sie eben ja saubere prepared Statements hat und dafür sorgt, dass es keine SQA Injections gibt ja? Ich denke nicht, dass es mir ohne Weiteres gelingen würde, ja, also wirklich nicht die Hand für ins Feuer legen, Also ich trau's mir zu, aber ich würde jetzt mal nicht den Mund zu weit aufmachen, dass ich es schaffe eine komplette Webapplikation zu bauen, ohne eine SGL Injection reinzukriegen, ja? Ich weiß, wie man die prinzipiell vermeidet. Ähm ich weiß ähm auch Glaube das noch hinzukriegen, ja, weiß aber auch, dass es ähm eben Bibliotheken dafür gibt, die das Problem, gelöst haben, und ich möchte es nicht noch einmal lösen, ja? Deswegen würde ich halt die Funktionalität nutzen zur Anbindung einer Mascall-Datenbank, die mir das jeweilige Programmierframework zur Verfügung stellt. Also es gibt schon Gründe. Dafür diese solche Bibliotheken zu nutzen. Das wäre dann halt nur schön, wenn die ganz gut abgehangen sind und das ist hier ja auch der Punkt von Christian, wenn du die dann auch verstanden hast, was die machen, Ja und ähm in also ein überhaupt Format Strings in einem Logger zu haben, das ist auch eine Funktionalität, die ich von einem Loginsystem nicht erwarte. Ich erwarte, dass es entgegennimmt. Und äh nicht Kommandos, ja.
Man hätte im Prinzip sagen können, okay, schön, dass ihr solche Features einbaut, ja? Vielleicht seht ihr irgendwie erstmal da auch kein unmittelbares Problem damit, weil definitiv die Leute haben das eingebaut aus irgendwelchen Gründen und haben erstmal nicht so ein Sicherheitsproblem gesehen. Schon mal eine nennenswerte Änderung. Und sie haben dafür auch eine Einstellung, also es gibt so einen Konfigurationsfleck, was man setzen kann, dann ist diese Funktion deaktiviert. Nur dass der halt aktiviert war bei Defold und das ist vielleicht so ein bisschen das Problem. Man hätte problemlos dieses Feature einbauen können und sagen können, Erst wenn das sozusagen alle sagen, so was muss auch ein Default sein, das ist total sinnvoll und warum ist denn das nicht immer eingeschaltet und wir haben das jetzt auch tausend Mal ausprobiert, ist alles kein Problem. Kann man das einschalten. Das wäre äh ein Weg gewesen, der diese Katastrophe, die wir jetzt haben, das im Prinzip so jedes IOT-Device, was mit Jawa funktioniert heutzutage so theoretisch exportable ist, was der die totale Hölle ist, ähm schon hätte verhindern können.
So jetzt und jetzt kommen wir zu der tatsächlichen Katastrophe. Du musst jetzt eigentlich sämtliche also du kannst nur sämtliche Instanzen updaten und ich glaube, sie hatten ja dann erst gesagt, nimmt alle hier die zwei fuffzehn, was ausgebaut, da haben sie dann aber direkt den nächsten drin gehabt, weil sie, quasi da gab's dann noch ein den man ausführen konnte und dann haben sie in der zwei sechzehn, einzig Sinnvolle getan, das komplette Feature rausgeschnitten und zwar mit dem flammenden Schwert, ja und das war das, was man von vornherein hätte machen müssen und ja, wie gesagt, man hätte es von vorneherein gar nicht einbauen dürfen, aber erst recht, musste man es dann eben auch nicht nicht dran herumdockern, sondern es muss komplett ausgebaut werden. Ähm. Also du musst jetzt äh du hast jetzt die Aufgabe, sämtliche Instanzen zu updaten, Nun hast du aber überhaupt keinen Bestand, kein Inventar, wo du weißt, wo das überhaupt drin ist. Ja, also ich weiß zum Beispiel, dass der ähm Hersteller meiner WLAN Access Points in dem Controller, Schwachstelle hat. Also muss ich diesen Controller jetzt updaten, ja? Jetzt ist aber die Frage, ähm ich kann jetzt aber nicht selber testen, weil ich weiß ja nicht unbedingt, was der lockt. Ich müsste ja um um sicher zu sagen, ein Gerät hat nicht Look for J, muss ich im Prinzip sein Lock-Format-Format mir anschauen, gucken, Okay, dann weiß ich aber auch schon, ob's Lock for Jay hat. Das heißt, ne, bei den meisten Diäten sehe ich ja das nicht, ne? Also muss ich dann irgendwie gucken, welche Sachen davon kann ich potenziell? Was lockt der überhaupt alles? In allen Zuständen, in denen das Gerät sein kann, in dies ihr aber vielleicht auch gar nicht bringe und in welchem Fall kann ich jetzt da irgendetwas rein tun? Also diese, Dieser Weg ist quasi sehr schwierig, also heißt es am Ende musst du wissen. Welche Geräte habe ich? Server, Devices, Computer, Software auf irgendwelchen Rechnern, in denen drin ist. Und jetzt muss ich das abdaten, ja? Oder der Hersteller, weil ich es nicht kann, ja? Und das wird ähm, nie ganz gefixt sein. Also mit dieser Schwachstelle werden wir noch Jahre Spaß haben. Monate im üblen Bereich, dann noch irgendwie Das ist so ein Klassiker, weißte, den findest du dann irgendwann noch mal bei so einem Pantast. Vier Jahre später beim Kunden und denkst, ach komm, hier Standard, mach mal eben zack, bum, hast das Ding auf, ne? Das ist so den kriegst du nicht mehr weg, weil das eben auf so vielen Geräten, verteilt wurde. Man muss jetzt, da wo es an Servern hängt, ist natürlich höchst kritisch, weil jetzt ähm natürlich die ganzen Scanner automatisierten Angriffe, über die über das Internet drüber scannen, ja. Ich habe jetzt auch schon irgendwie deswegen habe ich auch das Beispiel mit den. Mit den äh mit dem Webserver genommen, weil ich natürlich erstmal bei mir auf den Webservern in den in den Lock Fights geschaut habe, ja, immer sehr äh sehr ähm interessant, weil da kriegst du nicht nur. Angriffsversuche, ja, sondern auch die Varianten, die Leute dann eben spielen, ne? Mit anderen Charakter-Encordings und was nicht alles, um um irgendwie zu versuchen, ob da noch was kommt. Das heißt, du man kann jetzt so in seinen in seinen Lock-Fights ganz gut sehen, was da so was da so für Varianten von den Angriffen passieren, wo die sich den Code nachladen wollen und so weiter. Ähm jetzt werden natürlich einige, die von den Unternehmen, die betroffen sind, machen jetzt irgendwie groß Forensik. Da werden sie aber dann teilweise unsaubere Arbeiten machen. Ne, das heißt irgendwie ein paar Monate später äh stellen sie dann fest, Shit äh wir haben äh hier, nicht hingehört ja und ja ist ein ist ein riesen Problem und. Wird uns jetzt noch sehr lange beschäftigen. Ich bin mal gespannt, so so der gleichzeitig gab's ja dann auch so, ja irgendwie relativ dramatisierte Beschreibungen von dem, was da jetzt passieren würde, ne, die ich ähm so nicht teile. Also es ist eine hochkritische Schwachstelle auf jeden Fall Aber so Internet erst mal funktioniert ja noch, ne Und wir machen alle Überstunden, um diese Sachen zu finden und irgendwie zu katalogisieren und überhaupt herauszufinden, was was betreiben wir, ja, also wenn die Zensur in großen Unternehmen bist, kann ich ja nicht sagen, sag mir mal bitte alle Server mit Lok for Jay. Kann's ja gar nicht, niemand. Das heißt, da wird äh wird halt Unmengen gesucht und versucht irgendwie auf diese neue Version zu gehen und eben diejenigen, wo das nicht stattfindet, die werden dann halt äh. Irgendwo blöd landen. So, jetzt kommt die Frage, also solche Sachen passieren, jetzt hattest du erst gesagt, der Mythos der tausend Augen, ne? Äh alle also auch eine frei, die ich für einen Deutschlandfunk verantworten musste oder sollte also nicht weil die die Frage hatten, sondern weil, wichtiges Thema ist. Ja, aber ist doch open source, warum ist das denn jetzt unsicher? Und das ist natürlich.
Also genau das Ding, das nämlich und das ist ja das, was du auch mit dem Mythos der tausend Augen meintest, dass bei Open Source Software kann. Jeder reinschauen in den Code und gucken ob der Code also primär geht's ja auch mal darum, ob der Code das macht, was er macht, einen Fehler hat, dass man ihn korrigieren kann und dass man im Zweifelsfall, auch wenn der Fehler eben im Sicherheitsbereich ist, diesen auch korrigieren kann. Nur äh. Wenn du sagst, ach das ist jetzt open source, da muss ich dann nicht mehr hingucken, weil da gucken ja andere hin Dann denken sich die anderen das im Zweifelsfall auch. Und so war's jetzt hier bei, dass alle dachten, ach ja, da guckt schon irgendjemand hin. Das nehmen wir alle hier, da da sitzen wir dann alle in einem Boot, Und äh wird schon wird schon sich wird sich schon äh jemand drum kümmern, ja? Wir sind's nicht und profitieren da jetzt mal einfach mit. Und das ist leider bei viel Open Source Software durchaus so. Ja, wenn sie nicht eine ähm lebhafte Community hat, die sie pflegt, nur wenn du eine lebhafte Community hast, die sie pflegt, musst du auch wieder darum, damit leben das potenziell halt sehr viele Leute da äh Code Committen der vielleicht nicht ähm so so Knüller ist.
Mal eine Frage so an den Sicherheits äh Experten. Wenn du jetzt ähm angenommen jemand hätte dich jetzt mal so berufsmäßig äh beauftragt, so ein Audi zu machen von dieser Bibliothek. Nach dem Motto hier, wir haben hier so die Bibliothek, die wir verwenden, guck, kannst du den mal angucken. Meinst du, dir wäre dieses Problem auf jeden Fall aufgefallen oder nur vielleicht oder ähm weiß man nicht.
Auf jeden Fall. Also auf jeden Fall, weil also wenn du dir solche Sachen anschaust, wenn jetzt Sachen auditierst oder äh irgendwie anguckst, dann guckst dir, was sind da, was sind das für Funktionalitäten, die hier umgesetzt werden, ja und dann kannst du ja erkennen, sind die äh von kritischer Natur oder nicht? Kritische Natur ist immer, keine Ahnung, es gibt irgendwie von Fremden und, mit dem intergier ich hier irgendwie, ja? Und genau dann, wenn das quasi seinen eigenen, seinen eigenen Kontext verlässt und in den anderen überführt wird, ne? Ich hatte jetzt eine mySPA Injection genommen, da guckste dann natürlich hin.
So und in diesem Fall ist es ja, du hast äh eben diesen gehabt. Du hast die JNDI, das ist dokumentiertes Feature und du kannst jetzt hier im Prinzip in der der Slogan, die Loggen der Instanz kann von der, die Das lockabgebende Instanz kann der das Lock entgegennehmenden Instanz vorwärts Drinks oder eben bis zu komplett dynamische Inhalte übermitteln, die dann dort ausgeführt werden. Äh das würdest du auf jeden Fall anschauen. Jetzt kommt aber der andere Punkt. Wenn mir jemand irgendetwas anderes in Java vorlegen würde und ich sehe ah alles klar, der lädt da oben irgend so ein Logger mit, dann würde ich mir den nämlich nicht angucken. Du denkst, na ja, ist ja nur ein Locker. Gehst ja nicht davon aus, dass der dass diese Loginbibliothek jetzt auf einmal anfängt, ein Eigenleben zu ähm zu entwickeln.
Aber jetzt ist das Ding ja bei der Apache Foundation ein eigenes Projekt, Und da frage ich mich halt, ist es nicht Teil oder sollte es nicht Teil einer solchen Projektpflege, sein, dass genau diese offiziell gehosteten Dinger auch überhaupt mal einen solchen Audit einfach erhalten, Dass man einfach gezielt Leute drauf ansetzt und sagt, so ich gucke dir mal diese Bibliothek an. Die wird von soundso 4000 Programmen auf dieser Welt verwendet. Äh die müssen wir jetzt mal auf sowas checken. Wenn du mir sagst, das findet man dann auch sofort, wenn man dahinschaut, heißt das ja, dass dann wirklich auch noch niemand auch drauf angesetzt wurde, da mal hinzuschauen.
Das äh würde ich jetzt tja, also. Auf jeden Fall würde ich ja, also ich kann auf jeden Fall auf jeden Fall würde ich mir genau das angucken, weil was soll so ein Nogger denn noch für Angriffsfläche haben? Ja, also ist ja die und das ist glaube ich auch der Grund, warum sich niemals jemand angeschaut hat.
Also ich sage das hier mit diesem. Als diese Sache dann hier rauskam und sie sich das angeschaut hat, da habe ich mit einem Kumpel war ich an dem Tag unterwegs drüber unterhalten und ich sagte immer so, ja der ist doch also die die Funktion ist die Sicherheitslücke, dass sie überhaupt gemacht haben. Und er meinte immer so, ne, ne, da muss noch irgendwo ein anderer Fehler sein und na ja am Ende hatte ich halt recht, jetzt hast du diese diese ganze Funktion war halt schon die die die Idee, das kannst du nicht ordentlich bauen, weil eben zu dynamische Inhalte gelockt werden, weil du da keinerlei Annahmen über das Format machen kannst, darfst du das nur noch wegschreiben und damit kannst du schon nur mit mit vorsichtigem Gewissen machen, ne. Ähm. Jetzt kommen wir zu dem Punkt, den wir gerade schon angesprochen hast mit Adriana und Katharina und Souverän Tech fand und fand nicht alles. Wer soll sich jetzt darum kümmern, kritische Komponenten zu identifizieren? Und ne, zu auditieren. Jetzt ist erstmal die Sache, Ich bin da ganz ehrlich, ne? Ich hätte irgend so eine Logging Bibliothek niemals oder wahrscheinlich nie als kritische Komponente identifiziert. Muss ich ganz ehrlich sagen, Ähm ich hätte gleichzeitig, sage ich aber auch, wenn ich mir das angeguckt hätte, hätte ich auf jeden Fall gesagt, das kann nur. Das muss eine Angriffsfläche sein und damit hätte hätte ich ja dann auch, recht behalten. Aber ich erkläre ja auch, wie ich den, wie ich den Gedankengang herbeigeführt hätte, weil es eben viel zu, unklar ist, was dir die andere Seite entgegenwirft. Solltest du das niemals äh interpretieren, erst recht nicht als äh Stelle, von der du nativen Code nachlädst, den du jetzt ausführst, ne? Das das geht so nicht, Das wäre mir aufgefallen. So, jetzt gibt's da zwei Überlegungen, Da wird jetzt auch klar gesagt. So es gibt ja irgendwie die ein paar Coder bei der Foundation, die sich irgendwie mit diesem auseinandergesetzt haben und nicht großartig äh Porsche fahren. Ja und dann gibt es, tausende Unternehmen oder hunderttausende Unternehmen, die diese Software verwenden. In kommerziellen Dienstleistungen, kommerziellen Produkten und wat nicht alles und ähm, jetzt natürlich okay. Die kriegen jetzt auch die haben natürlich auch den Schaden und die Verantwortung. Ähm aber die haben natürlich auch jahrelang eben Software genutzt, die irgendjemand geschrieben hat. Er stellt sich die Frage, ist es jetzt eine Aufgabe des Staates zu sagen? Gut, wir geben jetzt hier Geld aus, um um das alles mal zu orditieren und versuchen euch irgendwie einen einen sicheren Textdeck äh herzuliefern, ist eine Argumentation, die man haben kann oder ist es vielleicht, auch eine Aufgabe dieser Unternehmen dafür zu sorgen, äh dass dass diese Software, die sie verwenden, dass sie da halt auch Beiträge leisten und ich sage das nur deshalb, weil es nämlich bei einigen ja funktioniert. Ja? Es ist es äh funktioniert ja zum Beispiel beim Linux-Körnel so, dass eben die großen Unternehmen, Google, Facebook auch da signifikant leisten ja und dass die da auch quasi sich der Linux-Körnel die Community hm anpassen und unterordnen und mit denen gemeinsam entwickeln, ne? Und äh das ist natürlich auch eine Frage. Äh ich habe ja jetzt auch gar keine Antwort drauf. Ne? Das das Problem ist, das kann halt in in vielen Software Bibliotheken der Fall sein. Das war jetzt hier so ein so ein kleine Ort, von dem eben vorher auch keine Sau wusste oder dass auch niemand im meine Thesis, das hatte jetzt niemand im Verdacht, dass ausgerechnet da die neue Remotecode Execution drin ist. Wenn es dir anschaust, ist es sonnenklar und denkst dir so, boah alter Vater, so ne, total klar, alles lockt, du hast jetzt auf einmal in allen Services, in allen Applikationen diese Angriffsfläche, Wahnsinn! Ne? Absolut Schlimmste, was passieren kann. Totaler Irrsinn, ist auch wirklich ist auch schlimmer als und alles, was du gesehen hast, ist auf jeden Fall das, ne?
Na ja gut, ich meine man könnte ja jetzt auch andersrum argumentieren und sagen, gerade weil das keiner im Verdacht hat, ist es eigentlich genau das Erste, was man untersuchen müsste, ne. Also zur Finanzierung eines solchen Techfahrens. Ich meine, man könnte schon sagen so ein Tech fand, Könnte sich auch um solche Sachen kümmern. In dem Fall meine hier liegt natürlich die Verantwortung in gewisser Hinsicht bei dieser Apache Foundation. Ne, muss man einfach mal so sagen, weil das Projekt ist halt jetzt eins von ihnen, die bieten das an. Sagen, na ja, ist aber seid ihr ja selber Schuld, aber das kann ja jetzt auch nicht ihr Anspruch sein. Kann ja nicht sein. Äh über einen längeren Zeitraum, ich kann Ihnen jetzt leider nicht benennen, aber das ist wie gesagt kein Feature, was erst seit zwei Jahren gibt, sondern was schon sehr, sehr, sehr lange da so äh drin schlummert. Dass sie über so einen langen Zeitraum noch nicht mal auf die Idee gekommen sind zu sagen, wir setzen jetzt mal hier ein Pro auf dieses Teil an und zwar nicht nur auf das. Sondern auf jedes, was wir haben. Also alles muss irgendwie mal angeschaut werden. Eigentlich sogar regelmäßig und, Das hat ja offensichtlich entweder nicht stattgefunden oder wenn's stattgefunden hat von Leuten, die irgendwie offensichtlich, nichts wo die notwendigen Grad an Kompetenz an den Tag gelegt haben, zumindest zu dem Zeitpunkt, wo sie's durchgeführt haben. Also hm, geht ja jetzt auch nicht dadrum hier das große Problem Game zu machen. Man muss sich natürlich aber schon fragen Strukturen in Zukunft aussehen können, um so was zu minimieren, ne? Und da muss man sicherlich nicht nur an einer einzigen Stelle ansetzen Finanzierungsfrage, Organisationsfrage, das ist so das eine. Die Motivationsfrage, eine Verpflichtung auch vielleicht für für solche Sicherheitsüberprüfungen Andererseits müssen sich natürlich auch Unternehmen jetzt äh mal die Frage stellen, Was ist denn mit diesen 999 anderen Open Force Bibliotheken, die noch in irgendwie unserem Javacode äh drinstecken? Wie sicher sind wir uns denn da ja und es gibt wahrscheinlich bisher noch keine Webseite, wo all diese Pakete gelistet sind nach in wie vielen Programmen steckt das drin und äh wann war der letzte äh offiziell dokumentierte Security Audit bei diesem Tool. Das wäre schon mal ganz interessant, wenn man so was hätte, sondern könnte man halt schnell sagen, so, na ja gut hier müssen wir mal gucken. Und natürlich dann eben auch vielleicht im Kontext von dem, was wir schon besprochen haben, dass man eben auch einfach generell sagt. Teilfunktionalität, die optional sein kann, sollte auch optional sein und sollte vielleicht optional auch erstmal ausgeschaltet sein, ne, um dann eben, wenn irgendeine Sicherung durchbrennt, dass es eben nicht gleich überall knallt, sondern eben nur an bestimmten Stellen.
Also genau, diese äh Schlüssel, den schließe ich mich an und jetzt muss man natürlich auch nochmal sagen, die, ja klagen über Undank und Stress ja und auch zu Recht ja die die haben natürlich jetzt ich meine die schlafen grade nicht gut Ne, ich meine, das ist jetzt, die haben da irgendwie über Jahre irgendwie ihre komischen Logger da so ein bisschen vor sich hingepflegt. Das war jetzt sicherlich auch nicht deren Herz wird das jeden Tag gesagt haben, wir wollen jetzt hier mal neue noch, lockerere Looks machen, ja, sondern, die wachen halt auf einmal auf und kriegen irgendwie sind verantwortlich für wahrscheinlich eine der schwersten Sicherheitslücken, die so in die Geschichte eingehen wird, ja. Die auf jeden Fall die meiste Angriffsfläche nach außen hat und ähm das ist natürlich das ist jetzt kein Zustand dieser dieser ist schon auch der richtige äh der richtige Punkt, dass da nämlich die ganzen großen Unternehmen haben ihre Sandburgen äh auf Basis dieses dieser Software gebaut und da nichts für bezahlt, ja? Und jetzt die Programmierer sollten Andreas Bogt twitterte das glaube ich, ne? Äh die jetzt da gerade die Überstundenschichten äh um irgendwie die Software rauszuhauen und so weiter hat er auch gesagt. Keiner von denen, sollte jemals wieder für seine Getränke bezahlen müssen, zumal die ja, Im Zweifelsfall alle dieses Feature gar nicht eingebaut haben. Also einer der Developer, ich suche den Tweet nochmal raus, twitterte auch so, ey gerade ein Bashing für irgendein Feature, was wir von Anfang an nicht haben wollten, was wir aber nicht selber geschrieben haben und dürfen das jetzt da äh rausschneiden, ne? Das ist. Fehler passieren und man muss sich halt überlegen, wie man den Sachen sich strukturell nähern soll, ich verbinde das gerne mit der politischen äh Forderung für mehr irgendwie insgesamt und ich, wie gesagt, das ist hat nichts mit. Mit irgendwie Hippietum zu tun, sondern mh damit, dass die großen Unternehmen machen das aus guten Gründen auch, ähm ja, wenn niemand dieses Lock vor J sich jemals angeschaut hat und es offenbar viele, viele, viele quasi alle benutzen. Dann ist hier eben offenbar irgendwas schiefgelaufen, dass da nie jemand mal hingeschaut hat. Habe ich gerade gesagt, bei gab es eine Schwachstelle, die so offensichtlich ist, dass ich sie auch gefunden hätte. Kommen wir mal zu einer, die so dermaßen krass ist, dass sie garantiert nicht gefunden hätte. Und zwar äh zum NSO Explod, den sie zur Installation von. Ihrem Staatstrojaner Pegasus benutzt haben. Kurz zur Vorgeschichte.
Kurz zur Vorgeschichte, was wir gerade sagen. Wir wissen äh aus schon seit längerer Zeit aus ähm Erzählungen. Oder auch aus Berichten von eben Leuten, die für NSO gearbeitet haben oder dass sie letztendlich eine Infrastruktur haben, wo du eine Telefonnummer angibst ähm und dann ist, Handy gehackt, ja? Also wirklich einfach mit hm einer äh SMS.
Das sind nämlich ein Klick ähm haben, also einen One-Click Explode. So und das war immer ziemlich ähm. Ja übel, weil du natürlich jetzt kommt auch wieder die Frage, jetzt denkst du halt, wo ist die Angriffsfläche, ne? Dann denkst du, okay, ist das jetzt ein Baseband, ähm eine Basebandschwachstelle, ne, also das Baseband das Subsystem in dem Mobiltelefon, das, sage ich mal, den ganzen, Die ganzen Mobilfunkprotokolle spricht, ja? Kannst du irgendwie eine eine schief formatierte SMS Nachricht hinsenden und dann kannst du das Spacement übernehmen, oder äh gibt's irgendwelche weiteren Probleme in der Verarbeitung der Nachricht auf Apple-Betriebssystem, wo ist dann am Ende die Angriffsfläche, ja und, Vor allem, weil es so unheimlich, dass es ja so ein Zero-Click ist. Also Zero-Click ist genau ne, also auch so eine Schwachstelle wie, du musst nichts anderes mehr tun. Es gibt keine weitere Interaktion von der Nutzerin oder so, sondern, zack, dieses System verarbeitet, die Nachricht, die du schickst und ist instant kompromittiert. Ja, das ist ja bei Lok for J, eben auch so, ne? Du hast instant die Kontrolle darüber, weil du eben bestimmst, wo der sein Code äh sich herholt. Ähm. Und in den bisherigen ähm hm Berichten über diese Schwachstelle. War das immer so ein bisschen war klar, das ist irgendwie in dem PDF Pasa und wir, wir haben den jetzt auch gefaket. Das war irgendwie ein relativ kleiner Overflow, ähm aber da wurde nicht so viel drüber erzählt. Ja, also es wurde, war so ein bisschen unklar. Insbesondere im Amnesty Bericht sagen sie auch sehr, wir haben nicht mehr wirklich gefunden, wie der Explode funktioniert. Wir wissen nur, da irgendwo kommt daher, ne? Und es war so ein bisschen, schwierig die konnten also sagen da ist die Schwachstelle aber die konnten nicht sagen wie das Ding wirklich abgegangen ist ja also wie der Explode wirklich funktioniert hat. Und. Das also auf eine Weise war es mir dann auch so ein bisschen egal, weil ich mir denke, okay, Hauptsache, die haben die Dinge gefunden und Hauptsache gibt diese Fixes jetzt, ja und die wurden ja dann auch ausgerollt von Apple und dann haben äh aber, die hm und die Leute vom Citizen Lab, Das jetzt mal dem Google Projekt Zero gegeben, ja? Und zwar ein Bier und Samil Gross. So, die. Samuel groß. Ich weiß nicht, ob ihr also schon mit den ausspricht so. Ähm den wurde äh das Ding mal vorgelegt und das sind so, sage ich mal, Leute, die können das mit dem Reverse Engineering aufn aufn Weltklasselevel, ja. Und die haben sich das angeschaut äh zusammen mit Apple Security Engineering, Architecture Group. Also du hast jetzt, ne? Citizen Lab, die Staatstrainer Expertin, du hast Apple, das Security Engineering and Architecture Team und Google Projekt Zero, Google Projekt Zero, dort eben diese Security Forscher, die sich ja Google eigentlich hält, um um Zero Days zu finden, bevor andere die finden und die einfach zu fixen. Und die haben sich jetzt mal zusammen angeschaut oder oder zumindest Projekt Zero berichtet jetzt darüber, die haben sich quasi äh diesen ähm Explod mal angeschaut, wie der funktioniert. Und genau, gefixt wurde der am dreizehnten September äh einundzwanzig in iOS vierzehn Punkt acht. Ja, das hatten wir schon erklärt. Es geht um den Explode Forst Entry. So ähm jetzt haben Sie. Und ich muss es, also weil ich selber nur in in so im im vom groben Konzept her verstehe ähm sie haben's also jetzt geschafft, sich das mal zu verengieren und zu gucken, was da genau passiert. Letztendlich geht es hier also darum, man schickt eine Nachricht und ich sage ja, irgendwo muss die Angriffsfläche kommen. Und die ist hier in diesem äh in der Image IO Library. Ja, also das ist eine ja, eine Grafikverarbeitungs Library, die eben mit unterschiedlichen ähm Dateiformaten umgehen kann. Unter anderem GIF, und äh PDF. Und so weiter, ja? Und was man hier offenbar äh bekommt, ist ein PDF-Datei, in der ein Gift drin ist und dieses dieses GIF, fällt irgendwie da verwenden sie dann die JB ähm Kompressions äh Technik so und. Jetzt wird es richtig witzig. Es gab mal beim Kongress, ich glaube beim boah ich weiß gar nicht mehr, beim einunddreißig C drei oder sowas. Ein Vortrag von David Griesel, traue keinem Scan, den du nicht selbst gefälscht hast.
Die verlinken ihn übrigens auch hier, was so ungefähr die größte Krone ist, die du aufgesetzt bekommen kannst, in dem Blogpost äh verlinkt zu werden, ja. Ähm. So. Folgendes, du hast einen Scanner. Und Kopierer, ja, Scanner. So der der scannt jetzt, du scannt mit dem ein Dokument und du möchtest das möglichst äh komprimieren, nicht kompromittieren, das kommt später. So, jetzt haben Sie eine einen Kompressionsalgorithmus dafür gebaut, der, ähnliche Pixelregionen erkennt und ähm was. Ähnlich genug ist, wird einfach ersetzt. In diesem Beispiel war das so, dass es also es hatte David auch in seinem Vortrag drin. Das ist ja Zweifel gab, dass Barack Obamas veröffentlichtes Geburtszertifikat. Echt ist, weil Leuten aufgefallen ist, dass bestimmte Zeichen darin, An anderer Stelle genau exakt pixelgenau gleich sind. Und dann haben sie gesagt, na ja okay, das ist ein Photoshop fake, weil hier hat ja offensichtlich jemand, ne, das E aus dem einen Teil an die andere Stelle kopiert, damit er am Ende, American steht oder was auch immer. Und David hatte dann in seinem äh Vortrag ging's im Prinzip um zwei Dinge. Einmal dass er damit quasi diese. Idee entkräften kann, weil das Ding im Zweifelsfall einfach nur auf einen normalen Scanner gescannt wurde, der eben diese JB äh ähm Ersetzung macht auf Charakters. Und er hatte einen anderen Fall, nämlich wo er und das war, glaube ich, der Ursprung für den Vortrag, wo massenhaft Dokumente gescannt wurden. Und kleinere Fehler waren zum Beispiel das ähnliche Buchstaben teilweise anders ersetzt wurden, Ja, also ähm wo dann in irgendwelchen Architekturskizzen auf einmal statt eine acht eine drei stand, äh weil eben dieser Kompressionsalgorithmus ein bisschen durchgedreht ist.
Genau und dieser Kompressionsalgorithmus der regelt das und der sagt dann nämlich, der funktioniert eben so, dass du sagst, pass mal auf. Wir haben hier eine Acht, so geht eine Acht und die haben wir an diesen zwanzig Stellen auf dieser Din A4 Seite, ne? Jetzt hast du dir schon mal die Pixel für zwanzigachten gespart. So funktioniert dieser äh Kompressionsalgorithmus. Außerdem kann der noch äh Refinement incording haben, dass du quasi sagst, okay, wir haben hier einen äh Charakter und ich sage jetzt schon mal, das ist der und du machst aber noch die drei Pixel dazu. Ja? Dadurch, kann er und um das zu machen quasi nutzt der, den äh X-Ohr-Operator. So und jetzt wenn du das entpackst. Da kommt der Moment, wo ich sage, dass jetzt wirklich relativ schwierig wenn du diesen nur diesen Dekodingalgorithmus nutzt. Dann kannst du dir daraus, wenn du jetzt unterschiedliche ähm Character vorher definierst. Also quasi, Dieser also du willst etwas dekoden und das ist jetzt kein Bild mehr, sondern du baust quasi du du du gehst jetzt eigentlich nur noch damit davon aus, dass du du weißt jetzt, dass es jetzt dein Explod, ja? Du definierst jetzt unterschiedliche Dinge mit diesem Stream, der dann dekodiert wird. Schaffst es dir dadurch am Ende. Einen virtuellen Computer zu bauen, weil du kannst nämlich einen Landgatter bauen in diesem Dekompressionsalgorithmus. Und wenn du ein Land hast, kannst du alles bauen oder alle wichtigen für einen Computer. Das heißt, die. Du hast ein Touring Complites ähm Kompressionsform. Was bei der Dekompression es dir ermöglicht eine virtuelle Maschine zu bauen, der du dann Befehle geben kannst. Und äh jetzt kommt der Punkt, jetzt kommen sie, wie kommen sie dahin? Die Herausforderung war, es gab, du brauchst ja immer noch eine Schwachstelle. Es gab quasi in diesem Image IO einen kleinen viel zu kleinen, Bufferoverflow, der jetzt nicht ausreichte, um wirklich ihn ordentlich zu exploten. Aber dadurch, dass sie diese Funktionalität, diesen JB2-Decoder hatten, konnten sie quasi mit dem bisschen, was sie hatten ähm diese virtuelle Maschine in Gang bringen, die dann irgendwelchen anderen Mist verarbeitet und dann am Ende der Explod ist. Das heißt also es ist absoluter Irrsinn. So also wirklich da kommst du nicht drauf, dass das überhaupt gehen würde, ja? Ähm und sie sie schreiben auch, dass das der krasseste Explode ist, den sie je gesehen haben ja und das sind Leute, die sich halt also die überhaupt, das sind die Leute, die in der Lage sind, so was zu analysieren, ja und auch nachher zu erklären. Ich wäre also absoluter, absoluter Irrsinn, dass du auf äh auf auf so einen Explod kommst. Ja und sagen auch, das ist das wahrscheinlich das Krasseste, was Sie je gesehen haben.
Okay ich ich versuche das mal mit meinen Worten nochmal nachzuvollziehen und du kannst kannst mir mal äh korrigieren ob ob ich das jetzt richtig, habe, soweit du es verstanden hast, ähm so. Also zunächst einmal, Die Attacke findet statt, indem einem eine Nachricht zugeschickt wird. Das heißt, die haben eigentlich nur meine Telefonnummer und wissen oder vermuten, dass ich ein iPhone habe. Schicken mir jetzt eine Nachricht, also eine SMS. Die ein Link ist auf ein Bild auf ein PDF.
Okay, die wissen, ich habe ein iPhone, klar, dann können sie mir auch direkt über i Messageprotokoll äh etwas schicken. Es kommt wie von einem anderen iPhone und da ist dann halt ein Bild drin, so. Natürlich möchte mein Telefon dann dieses Bild anzeigen und in dem Moment wird diese Bibliothek aktiv in diesem Dokument, was dann, ein PDF ist, ein PDF ist ja quasi so eine Art äh Container für alle möglichen Dinge, ne. Da können, kann Text drin sein, aber eben auch andere Bilder und die können dann in einem beliebigen Format sein, unter anderem halt auch im, ist unglaublich. Gif, ausgerechnet GIF auch noch, wenn also wirklich das Proloformat schlechthin überhaupt das einfachste, simpelste äh in zehn Sekunden erklärbare äh Dateiformat. Ja? Sie ja dann machen ist also ein Bild ist ja dann so quasi so eine ähm sagen wir mal so. Wenn ich äh dieser Algorithmus bin, dieser Bild auspack äh Algorithmus ja und und du gibst mir ein Buch zum Lesen und da ist dann so ein ähm, Fischers Fritze äh frischt frische Fische. So und jetzt habe ich's schon äh falsch gemacht, ne. Also so ein so ein Zungenbrecher drin und im Prinzip genauso ist dieses Bild für diese Software so ein so ein Zungenbrecher, weil dann einfach das Ding versucht, dieses Bild zu lesen, so nach dem Motto ja Gif und so weiter kenne ich, weiß ich ganz genau, wie das ist. Aber die Software nutzt dann einen Fehler aus und äh schafft es einerseits.
Und jetzt jetzt kommt aber das, was sie kriegt, es ist größer. Das heißt, du schreibst jetzt, du sagst, ich möchte hier in den Speicher schreiben. Ich merke mir davor, ich brauche einen MB Speicher und jetzt kommen aber zwei, Was dann passiert ist tatsächlich, dass das Ding halt über die Speichergrenze hinaus schreibt. Das ist im also es ist im einfachsten Fall ein Bufferoverflow mal einfach erklärt. Die Frage ist, wie viel, kannst du da noch rüber schreiben ähm in diesen also über deinen dir zugeteilten Speicherbereich. Wie viel Platz hast du da, ne? Um dann noch etwas auch gezielt ausführen zu können. Da du hier aber in dem Bereich bist, der dir quasi ähm. Ein Bild entpackt, kommst du nicht unbedingt an dem Punkt jetzt auch einfach ein Kommando da hinzuschicken. Da nutzen Sie die weiteren Eigenschaften dieser JB zwei Funktionen, dass Sie damit weitermachen und sich dann eine VM bauen.
In kleinen Schritten gehen. Ich find's ja immer bemerkenswert, dass diese Speicherbereiche, die da angefordert werden, um Bilder auszupacken da landen dann die Daten drin, dass die dann auch immer so ohne Weiteres ausführbar sind. Wobei ich das jetzt hier so verstehe, als ob das dann gar nicht mal erforderlich ist, also selbst wenn jetzt das Betriebssystem quasi verhindert, dass da unmittelbar direkt ausführender Code der so geschrieben ist, wie das für diesen Prozessor gedacht ist, gelandet, ja. Also das ist so ein bisschen mein Verständnis, dass so was nicht sofort ausführbar wäre, aber was Sie jetzt hier wahrscheinlich gemacht haben, ist, dass Sie dort gar nicht Code für den Prozessor äh äh reingeschrieben haben, sondern eigentlich mehr Code für diese Bibliothek, dass wenn die dann dadrauf arbeitet quasi, wie auf einem Bild sie letzten Endes missbraucht wird wie ein Computer, also dass man so quasi diese Bibliothek fernsteuert dadrüber mit Logik und da drin wiederum richtigen virtuellen Code schreiben kann. Also das ist wirklich echt mein blowing.
Also total krass und der der führt ja dann trotzdem auch noch und da da wird's dann auch wirklich einfach nur noch crazy. Der führt ja also dieser Code, den du dir in deiner eigenen laufen lässt, der der übernimmt ja dann trotzdem äh noch Zugriffe auf das äh IOS Betriebssystem dadrunter, ne? Die lesen ja dann Nachrichten aus und so weiter. Also das ist äh. Wie gesagt, es ist, man kann es, glaube ich, nur auf diesem auf dieser Ebene beschreiben, dass sie halt durch diesen äh also dass sie sich halt Gatter bauen konnten, durch dadurch wie dieser, Dekompressionsalgorithmus funktioniert und dadurch, was sie dem dann gefüttert haben, hatten sie irgendwann eine VM und die hat dann einfach irgendwelche Sachen ausgeführt. Völlig crav.
Was könnte man Gutes in der Welt tun, wenn solch klugen Leute, Nicht unbedingt in kriminelle Strukturen eingebunden werden, sondern vielleicht bei arbeiten würden. Also es ist ähm offensichtlich kann man dort wirklich so dermaßen viel Kohle verdienen. Dass ich das äh lohnt so sein Leben für so was herzugeben.
Also der entscheidende Satz hier praktisch heißt das, es ist möglich. Und X nur logische Operatoren, also logische Memory, also Speicherregionen zu machen in freiwählbaren Offsets. Und zwar aus dem aktuellen Backing Buffer von dem JB Bitmap. Und weil dieser Speicher anbauend ist. Kannst du diese logischen Operationen ähm in Abituriens, machen und in dem Moment, wo du halt end-Or, X-Ohr und X-Norr auf Abiture Speicherinhalte ausführen kannst, kannst du halt alles machen. Dann musst du dir nur noch was dafür bauen, was dann am Ende das macht, was du willst. Völlig crazy. Also.
Ist schon echt cool. Also die haben wirklich äh zutiefst verstanden, wie ein Computer funktioniert, aber sie haben ihn wirklich auf der niedrigstmöglichen Ebene auch gebaut. Also das ist wirklich so die Kernlogik mit mit der man anfängt so die womit die aller aller aller allerersten Computer überhaupt gebaut wurden und ähm auf dem Prinzip eigentlich auch alle normalen nicht Quantencomputer basieren Und das ist ja auf jeden Fall verdient Anerkennung. Also jetzt so Anerkennung im Sinne von. Habe da geil hinbekommen, auch wenn eure Ziele uns nicht passen.
Ja, das also ist auf jeden Fall ein krasser Shit und macht einem natürlich auch Sorge, weil wenn man das jetzt mal vergleicht mit, ne, dem Level. Ähm gleichzeitig, ja, also muss ich jetzt auch wieder dazu sagen, Kopf fängt wieder Diskussion an. Wenn also kein Angreifer macht sich mehr Mühe, als er muss und äh wer die sich so viel Mühe gegeben haben, Dann ist das schon ein relativ gutes ähm Zeichen für das iPhone. Hm. Und ich habe jetzt während du äh gesprochen hast, nochmal hier so ein bisschen in den Blockpost vom Citizon Lab vom von vor ein paar Monaten geschaut. Ähm, Da ist mir jetzt ein also äh mir ist noch nicht ganz klar, wie die bei den tatsächlichen Einsätzen in the Wild auf wirklich es hingekriegt haben. Dass das PDF ohne einen weiteren Klick dann gepast wurde. Ich weiß nicht, ob das dieses Preloading ausgenutzt hat oder ob sie eben an anderen Stellen, weil die haben wir zur SMS. Also da bin ich gerade noch ein bisschen unsicher, aber letztendlich, So, du öffnest dieses PDF und dein iPhone ist geoend. Fertig. Durch. Und das ist schon ja, also ist krasser Shit. Der äh Jürgen Schmidt hat äh in Heise kommentiert leider geil, Seid Arschlöcher, aber das habt ihr halt gut hingekriegt. Und das ist halt echt ähm. Ist einfach nur krass.
Also es ist so ein bisschen um den mal den Vergleich auch zu diesem Lockforjay äh Desaster zu machen, so. Das ist so, äh dem zeigst du irgendwie einen Zettel, der steht drauf, mach hinten die Tür auf. Und dann mach da hinten die Tür auf. Hier kommt kommt so der äh DHL-Bote und äh äh zeigt ja irgendwie so das Etikett und du denkst, du liest das, wirst aber in dem Moment hypnotis. Genau bis so hypnotisiert und äh äh kannst du in in Trance äh empfängst du Botschaften aus äh fremden Welten Welten und dann tust du irgendwie all diese Dinge. Na ja.
Ja. Wir haben letzte Mal schon über die Telegram-Diskussion gesprochen. Die haben ja hier quasi schon aber vor vorerörtert in der sie bevor sie jetzt in der Öffentlichkeit äh geführt wird und jetzt kriegen wir natürlich noch eine weitere. Forderungen hinzu, die darf nie lange auf sich warten lassen, wenn irgendwas im Internet nicht gut ist. Pflichtdiskussion. Auch spannend, weil wir gerade erst in der letzten Sendung darüber gesprochen haben, dass die Kleinnamenpflicht von Facebook, gesetzwidrig ist oder unter Verdacht steht gesetzlich zu sein und vom BGH diskutiert wird. Und jetzt kommt die neue Bundestags, Bundestagspräsidentin oder Vizepräsident Präsidentin und sagt ja mit dem Internet. Wir brauchen jetzt mal wieder eine Kleinnampfpflicht. Hatten wir lange nicht mehr. Ich würde sagen, so die letzten sechs, acht Monate hatten wir keine kleineren Pflichtdiskussionen mehr.
Na ja, Pflicht heißt halt doch, dass dass Leute, die einen äh berechtigtes Schutzinteresse ihrer Persönlichkeit haben, dann äh gezwungen werden, diesen äh Schutz ohne Not aufzugeben, ne. Es gibt genug Leute, die, urteilt werden, dafür was sie einfach sind und nicht ändern können, ja, Sexuelle Orientierung, Geschlecht, alles mögliche und äh haben oft ein berechtigtes Interesse, auch eine Kommunikation zu führen, ohne das sofort ersichtlich ist, welche Identität dahinter steht. Und ähm von daher ist das das Problem mit einer klaren Namenpflicht.
Susan dazusagen, sie hat dann auch gesagt, sie die Diskussion steht noch am Anfang und bisher juristisch noch nicht irgendwie sauber umgesetzt oder sowas, ja, aber äh findet das schon grundsätzlich gut, ne? Ähm. Es geht hier am Ende darum, dass dass dass jede einzelne Nutzerin im Internet eben am Ende nicht mehr anonym ist und ähm alles, was du schreibst, tust oder sonst was, machst im Internet am Ende auf dich zurückführbar sein wird. Und das ist ähm, glaube ich eine eine äußerst schlechte Idee.
Ein bisschen anders formulieren und sagen. Ende, ja? Bist du heutzutage sowieso schon fast immer irgendwie identifizierbar? Die Frage ist nur, wie lang ist dieser Weg dahin und wie viel äh Aufwand technischer Aufwand muss äh gefällt werden. So eine so eine totale absolute, knallharte, superanonymität bietet dir fast keinen Ort im Internet wirklich. Klarnamenpflicht heißt aber sofort, dass du quasi äh jegliche Anonymität vom Staat weg vergessen kannst. Das schon nochmal eine ganz andere Nummer.
Also das ist. Ne also der gibt ja dann immer unterschiedliche Ideen, was weiß ich, irgendwie äh äh Personalausweispflicht äh sind dann so Seehoferstyle Vorschläge, andere sagen dann, okay na ja äh. Machen so Sachen wie okay, wir haben jetzt die wir haben anonyme Sims. Mehr oder weniger vor ein paar Jahren verboten, dann versuchen wir jetzt die Klarnamenpflicht durch eine erzwungene Telefonnummernregistrierung irgendwie hinzukriegen, ne. Also irgendwelche Ideen, damit immer und es ist jedes Mal eine nicht so gute Idee, ja? Und ich glaube, was man entscheidend da einfach mal sagen muss, ist, ähm. Diese Probleme, die wir da haben, was weiß ich, auf Telegram und was nicht alles. Die kommen ja nicht da, die kommen ja nicht aus der Anonymität. Ganz im Gegenteil. Äh wir haben ja hier diese äh Frontal 1zwanzig, die dann da einfach ganz normal in eine Telegram-Gruppe gehen und die äh die Arbeit der Polizei machen, indem sie die die halt verfolgen, ne und, Ich sehe mhm. Ich sehe nicht, dass dass das jetzt die Anonymität, die die treibende Kraft hinter dem Hass im Netz ist. Ganz im Gegenteil, also schau dir die Bildredakteure an, die hat hetzen jeden Tag unter ihrem eigenen Namen. In Facebook gibt's eine Klarnamenpflicht, ja, gegen die gerade geklagt wird, weil die nicht den äh den den Gesetz der Bundesrepublik Deutschland entspricht. Ich sehe irgendwie nicht, dass jetzt ausgerechnet die Anonymität die Keimzelle äh des Hasses ist, ja, der existiert auch äh so leider weiter.
Das das ist ein totaler Mythos ist das. Also ich meine, das ist äh erinner dich, das ist jetzt eine Diskussion, die gibt es seit den Anfängen eigentlich des. Des Netzes in der öffentlichen Wahrnehmung. Ja, das also am Anfang war die Wahrnehmung des Netzes ähm. Durch die Internetausdrucker, also die, die sozusagen nicht damit aufgewachsen sind. Und dann eben auch der Politik so oh das böse Internet, wo die Leute anonym unterwegs sind. Das Anonyme war in dem Sinne so gar nicht so sichtbar, ja? Also das war immer eine Erfindung in gewisser Hinsicht. Es gab. Pseudonyme Kultur, mit der sie so noch nicht vertraut waren, Nur dass dieses Pseudonyme ja erstmal nur bedeutet, ich arbeite nicht unbedingt jetzt erstmal mit meinem bürgerlichen eingetragenen Namen, aber ich habe schon einen Namen, an dem ich in irgendeiner Form erkennbar und im Zweifelsfall sogar auch identifizierbar bin. Und das hat sich dann schnell in so einer öffentlichen äh Nichtsblicker-Diskussion aufgeschaukelt mit das böse Internet, wo alle anonym unterwegs sind und das ist ja irgendwie die die Gefährdung. Ne, so das die Angst vor dem Unbekannten. Das ist das halt das ist da eigentlich so rein codiert. Ohne dass das gestimmt hat so und, in gewisser Hinsicht zieht sich diese Debatte bis in diese Diskussion immer noch fort, weil wie du's ja auch schon gesagt hast so, ist nicht so, dass jetzt keiner wusste, wer dieser wer sich hinter dem Namen Attila Hildmann. Befindet, ja. Attila Hildmann hatte, war Fernsehkoch oder was weiß ich, was er nicht noch alles gemacht hat. Der Typ äh bei einem Fernsehkoch, ne, der war der hatte einen Laden und hat irgendwie, keine Ahnung. Ich habe nehme mir an diesen äh Kulturen nicht teil, aber auf jeden Fall der war sichtbar. Man kannte den, der läuft rum und rennt rum und wie gesagt, ich bin Attila Hildmann mit A und mit H und deswegen bin ich irgendwie der neue Hitler. Also ja aber ja also wirklich also darum redet du dann alles ja wie aber wer ist das? Ist wirklich schwierig jetzt rauszubekommen wer der ist oder wo der wohnt. Das ist nicht das Problem. All diese ganzen Leute, die dort auf Facebook rumhetzen und so weiter ist überhaupt gar kein Problem, die zu identifizieren, Es wird noch nichts gemacht. Ich meine, die Leute werden ja noch nicht mal, wenn sie irgendwie vor dem Polizisten stehen und gegen das Gesetz verbrechen, wenn die irgendwie aufgehalten. Das ist ja irgendwie das Absurde. Also es ist äh totale Illusion.
Das entfaltet sich natürlich jetzt alles im Rahmen dieser Telegram äh Diskussion und ja das äh, spitzt sich jetzt zu, ja? Ich habe ja also als wir das letzte, Woche besprochen haben, war das noch so ein bisschen theoretisch, wo ich gesagt habe, na ja, die könnten DNS-Sperren machen, die könnten IP-Sperren machen. Die können versuchen Apple und Google irgendwie dazuzubringen. Diese App rauszudrücken und ähm jetzt, wird viel letzte Möglichkeit, Geoblocking, das ist ja nicht Geoblocking, das ist ja IP spenden, aber okay. Das äh erkläre ich habe ich einigen Journalistinnen auch schon erklärt, dass was der Unterschied zwischen Geoblocking oder Tischbären ist. Ähm. Da spitzt sich jetzt zu und ich bin mal gespannt, das kann echt bitter werden. Also ich wirklich, ich meine, üblicherweise blicke ich ja auf diese netzpolitische Geschehen mit so einer Erwartungshaltung, wo ich ungefähr weiß, wie das wahrscheinlich am Ende läuft. Ja? Aber ich bin echt mal gespannt, wie. Verschärft, sich jetzt ausgerechnet die neue Bundesregierung mit Telegram anlegen will. Ähm und zu welchen Maßnahmen die da greifen werden und ich. Ich habe fast die den Eindruck, dass die Bundesregierung einen Kürzeren ziehen wird, weil wenn die jetzt eher also das Zeug ernsthaft zu sperren in einer. Wahrscheinlich noch am besten mit Beginn des Lockdowns oder so?
Sondern es geht geht um die Gruppen, die halt ja beliebig viele Teilnehmer haben können, die also im Prinzip öffentliche Kanäle sind wie Webseiten, Funktioniert anders, ne, aber es hat äh ein eine ähnliche äh Reichweite oder kann eine ähnliche Reichweite haben oder sogar weiter darüber hinaus gehen. Und natürlich. Äh unterliegt dieses Unternehmen in unserer Vorstellung hier den äh lokalen Regeln. Dazu haben wir diese Regeln ja auch und die gelten ja auch für alle anderen. Also warum sollten sie nicht auch für Telegram gelten? Problem ist nur, keiner weiß, wie man irgendwie Telegram habhaft werden kann und dann finde ich's durchaus legitim, dass man äh dokumentiert, okay, alles klar. Wenn ihr äh nicht bereit seid, auch nur ansatzweise diesen Regeln Folge zu leisten und eure Verpflichtungen einzugehen, die da heißen, wir müssen mal wissen, wer ihr seid und wie man äh wie man anrufen kann. Ne als Minimum. Ich meine, das ist ja wirklich das also das absolute Minimum, Sozusagen, da ist ja noch gar nichts passiert. Da weiß man einfach nur mal, mit wem man reden kann. Wenn das halt nicht gewährleistet ist, muss man sich natürlich dann schon fragen. Okay, also was ist dann sozusagen eure ähm Überlebensberechtigung? So, was was ist überhaupt eure Existenzberechtigung? Oder inwiefern sollten, Unternehmen wie Apple und Google durch ihre App Stores dazu beitragen, dass dass diese Existenz existiert. Also ich versuche jetzt nur die die Gedankenwelt ne ein eines juristisch politischen Menschen nachzuvollziehen, die ähm. Ich bin kein Jurist, deswegen äh kann ich den Teil ehrlich überhaupt nicht nachvollziehen, aber so die Debatte finde ich legitim, dass die geführt wird. So, die Frage ist, was was macht man was macht man damit jetzt so? Geht man dann zu Apple und Google und sagt so, ihr müsst jetzt diese App verbieten. Weil die einfach sich nicht an die Regeln hält und ihr müsst euch ja auch an die Regeln halten und äh ihr seid letzten Endes die Distributoren dieser Software, die sich nicht an die Regeln hält, also müsst ihr diese Regeln dann äh stattdessen durchsetzen.
Richtig, du hast aber also das ist absolut richtig, du hast nur jetzt also ähm ich sehe nicht, wie wie also was mich, interessiert ist, wie soll die ganze Sache nachher enden? Das geht ja dann bis einer heult. Und am Ende hat halt die Bundesregierung im Zweifelsfall die soundsoviel Millionen Telegram Nutzerinnen gegen sich.
Nee, aber der es gibt einen Ansprechpartner für das Unternehmen, um mal Sachen zu klären, gegen die Regel habe ich jetzt erstmal äh so nix. Und dass sie halt jetzt äh äh gut ich meine klar man kann jetzt über die Ausführung dieses Netzwerkdurchsetzungsgesetzes darüber kann man natürlich trefflich äh klagen, ne aber ändert halt nichts an der Tatsache, dass es ja irgendein Weg, geben muss. Diese Umtriebe, die manche Kanäle so entwickeln, auch verfolgbar zu machen. Auf die eine oder auf die andere Art und Weise.
Wir kommen zum Cyber-Bunker. Denn hier geht es nämlich de facto ein bisschen um das gleiche äh oder um ein ähnlich gelagertes Problem. Äh wir erinnern uns, äh Cyber-Bunker äh hatte, ich weiß gar nicht, wann da die wann die den da äh die Leute verhaftet haben. Ich glaube, das war zwanzig neunzehn oder sowas. Äh Oktober zwanzig zwanzig dann der Prozessbeginn. Cyber Bunker, Leute, die ja Bulletproof-Hosting angeboten haben, also die haben eine eine äh, Ein Datenzentrum betrieben Data-Center und da haben sie irgendwie gesagt bei uns kommt keiner rein und äh um das äh zu unterstreichen, dass bei ihnen keiner reinkommt, haben sie diese Datenzentren in einen Bunker gebaut. Erstmal in, Holland irgendwann und dann nach Traben Trabach oder wie das hieß, so ein irgendsoein ähm äh Kaff ähm, gezogen und haben dort sich einen Bunker gekauf.
Bunker sind üblicherweise will die keiner haben, weil die relativ kleine Fenster haben und äh irgendwie ja schwer einen Nagel in die Wand zu kloppen, ne? Und die haben den haben sich diesen Bunker gekauft und, Ja, dann dort eine relativ homogene und recht eindeutige Kundschaft angezogen offenbar mit ihrem Angebot. Und äh da waren also relativ viele hidden Services gehostet und ähm der, überwiegende Teil der Inhalte, die dort gehostet waren, waren in irgendeiner Weise ähm illegal. So. Ähm unter anderem, glaube ich, mich zu erinnern, dass in den Anfangszeiten auch mal The Pirate Bay und Wiki Leaks bei bei den, Cyberbunker Leuten gehostet waren, aber das war noch zu alten Zeiten, als die noch in einem anderen Bunker waren. Ähm wenn ich mich da jetzt, wenn ich kann sein, dass ich mich täusche, aber ich bin mir eigentlich relativ sicher. Ähm dass sie unter anderem auch mal dort waren. Jetzt hatten sie die irgendwie, äh und und jetzt rechtlich stellt sich die Situation so dar, dass die ja nun mal einen Provider waren, nämlich ein Datenzentrum Provider beziehungsweise ein Server Provider, der sich aber nichts ähm nicht in die Daten, die seine Kundinnen und Kunden dort verarbeiten, eingemischt hat. Und jetzt wollten sie dir aber trotzdem irgendwie in den Knast bringen und die Frage ist, wie machst du das? Weil, so haben die sich auch ähm rechtlich dargestellt, siehe das Provider-Privileg haben, nämlich dass sie für die Inhalte, die ihre Kundinnen und Kunden auf ihren Geräten, was weiß ich, verarbeiten, bereitstehen und so weiter, nicht verantwortlich sind. Und jetzt hat die Staatsanwaltschaft, die im Prinzip über zwei ähm Winkel versucht zu also vor Gericht zu verurteilen zu lassen, Beihilfe zu Straftaten. Und ähm Bildung einer kriminellen Vereinigung. Und. Dieses Urteil war jetzt quasi auf kriminelle Vereinigung, haben sie bekommen als Urteil. Aber nicht ähm die den Vorwurf der Beihilfe. Der wurde ihnen nicht ähm zur. Äh Last gelegt, Das ist also quasi ein ein Schlag für die Staatsanwaltschaft gewissermaßen, weil die versucht haben natürlich über diese Beihilfegeschichte, den die zu Mittätern zu machen und das wäre aber eben auch der Teil gewesen, der halt sehr übel ähm, in Richtung der Providerhaftung gekommen wäre. Insofern hat das Gericht hier offenbar noch ein bisschen hm ja. Vorsicht walten lassen und verstanden, dass es eben gefährlich ist an die Providerhaftung zu. Heranzugehen, wenngleich dieses Hyba-Bunker-Vögel halt tatsächlich äh vieles getan haben dafür, dass die schöne Provider-Haftung angegriffen wird, ne, weil die Provider Haftung äh, hast du ja eigentlich mit der Begründung, dass du eben sagst, okay der überwiegende Teil dessen, was der Provider macht. Hatte erstens keine Kenntnis von, zweitens ist es überwiegend legal, das heißt, wenn man ihm etwas anzeigt, muss er darauf reagieren und diese Sachen dann eben offline nehmen und, ansonsten ist er aus der Haftung raus und hat ein Privileg hier obwohl er technisch vielleicht einen entscheidenden Beitrag zu der Straftat äh geleistet hat, ist er nicht äh in der Situation. Der Beihilfe schuldig zu sein, sonst könnte könnte sie Deutsche Telekom ja auch zumachen. Ja ähm tja.
Das war dann wahrscheinlich das Hauptbedenken so. Ja eigentlich mussten wir da draufhauen aber dann können wir ja die Telekom, stimmt ja auch, ich meine das ist ja genau das Problem, was äh hier darunter äh steckt und vielleicht hat sich an der Stelle äh das äh diese Überlegung beim Gericht auch einfach durchgesetzt, dass sie sagen, Klar könnte man jetzt hier einfach mit Beihilfe draufhauen, aber was wäre die generelle hm, Auswirkungen davon, weil das würde ja dann bedeuten, dass eigentlich jeder, der in irgendeiner Form kriminelles Gut auf seinen Servern hat und dem nicht unbedingt nachgewiesen werden kann, dass er davon Kenntnis hatte. Ähm, sofort. Äh der Strick gedreht wird und damit trifft's natürlich dann irgendwie alle. Ne, weil ich meine, kein Provider weiß, was. Auf den Servern ist. Also vielleicht hast du von manchen Kenntnis und wir hatten ja neulich hier den Fall äh mit dem Provider in Berlin, der irgendwie die Server von Attila Hildmann. Hildmann, hat so. Der hatte schon Kenntnis davon, dass er sein Kunde war. Ist schon nochmal ein bisschen was anderes. So, aber wenn jetzt halt irgendjemand da einen Server macht und da irgendwelche illegalen Geschäfte drüber abwickelt, dann ist das ja nicht unbedingt so, dass bei dir sofort die Alarmglocken läuten und von daher äh ist es schon sinnvoll, dass jetzt hier eben konkret nur die kriminelle Struktur als solche nachgewiesen und dann eben auch bestraft wurde. Und ich, das Ganze als Providerprojekt.
Interessant ist die Begründung des Gerichts. Sie sagen also alle hatten positive Kenntnis von den gehosteten Seiten mit illegalen Inhalten. Bis auf äh Bunker, Manager und Buchhalter. Diese Kenntnis hätten sie zu unterschiedlichen Zeitpunkten unter anderem über die Bearbeitung von erlangt beziehungsweise über Anfragen seitens der Behörden im Rahmen von Ermittlungsverfahren gegen ihre Kunden, welche von den Angeklagten entweder überhaupt nicht, verspätet beantwortet wurden, ja? Äh also die wussten, was da abgeht und ähm. Jetzt äh, sagen Sie weiterhin die haben also alle einen Tatbeitrag im Rädchen des Getriebes gemacht und somit zum Gesamtziel der Gruppierung beigetragen, Und zwar hätten alle gewusst, dass die Kunden generell die Server für strafbare Handlungen nutzen, aber die generelle Kenntnis, dass illegale, gehostet werden, reicht nicht für den Gehilfenvorsatz, dass sie nämlich quasi konkret über eine konkrete Haupttat Bescheid gewusst hätten, Das wurde ihnen nicht nachge, und deswegen haben sie hier jetzt auch eben diese Beihilfe äh nicht bekommen. Der Oberstaatsanwaltschaft hat direkt angekündigt, er wird prüfen, ob er äh Revision einlegt. Ähm der Verteidiger des Hauptangeklagten sagt, es handelt sich nicht um eine kriminelle Vereinigung denn es gab kein Geschäftsmodell und weil das ohnehin juristisches Neuland sei äh erwartet er, dass man am Ende ohnehin vor dem, ähm Bundesgerichtshof steht. Wie gesagt, hier wird es ist. Hier ist ein relativ hohes Rechtsgut, diese Provider äh. Freistehendes Provider Privileg ist sehr wichtig für das gesamt funktionierendes Internets, wie es gerade ist. Wenn das fällt, haben wir ein Riesenproblem und, gleichzeitig ist es und diese Cyber-Bunker-Leute sind halt Arschlöcher, ne? Und man man will jetzt also es ist schon, man will mit denen wirklich nicht sympathisieren, Sitzt da jetzt eher und zittert, dass weil die Arschlöcher halt das ausgenutzt haben und sich benommen haben im Internet wie eine offene Hose, noch dazu, also das haben wir ohnehin schon gemacht, irgendwelche Angriffe und so. Das war halt echt ein bisschen komische Vögel und dann auch noch quasi, ne, das illegale Hosting zum Geschäftsmodell erheben. Das ist am Ende halt ein Angriff auf auf dieses Provider Privileg und da muss man natürlich jetzt hoffen, dass die. Dass die deutsche Justiz und auch die deutsche Legislative hier den coolen Kopf bewahrt und sagt alles klar, wir holen uns die in den Knast, irgendwie alle so irgendwie zwischen ich glaube fünf und sechs Jahren oder so was, äh über äh über die, Möglichkeiten, die wir haben, aber wir kratzen jetzt nicht am äh Provider-Privileg. Tja.
Andererseits interessant. Die haben den ja alle Server rausgetragen, und na ja, bei der ganzen Menge an Indizien und Beweisen, die sie, was weiß ich, das Ticketing-System, ne, wo sich dann die die Kunden beschweren, haben sie trotzdem nicht denen die Beihilfe zu den Straftaten nachweisen können. Zumindest nicht so, dass es das, Gericht überzeugt hat. Jetzt ist halt die Frage, was schreibst du für schreibst du in dein Ticketsystem? Ey sorry, ich kann hier gerade keinen Koks verkaufen, weil der Hiddenservice down ist oder sagst du mein Server ist down, ne?
Okay, kommen wir mal weiter hier. Kommen wir zum Digital Services Act und Digital Markets Act. Und zwar äh. Zunächst mal DSA Ich zitiere jetzt mal so ein bisschen die Berichte von Patrick Breier, weil das ist jetzt wieder so etwas, ja, da gibt's dann so ein bisschen Berichterstattung, aber das ist so High-Level, weil das ist ja irgendwie so in den Ausschüssen und so, ne und da entstehen ja eigentlich die wichtigen Entscheidungen, Aber die werden noch nicht so so breit berichtet und äh da Patrick war ja unser Ansprechpartner für diese Themen ohnehin ist und bin ja auch wieder in die Sendung holen werden dazu. Ähm. Ja, der Ausschuss für Binnenmarkt und Verbraucherschutz hat jetzt seinen Bericht ähm, verabschiedet beziehungsweise äh angenommen und äh Folgendes sagen Sie. Äh zu den Upload-Filtern. Es sollen keine neuen Uploadfilter verpflichtend werden, ja. Ähm aber, Das ursprüngliche der ursprüngliche Plan war auch den freiwilligen Einsatz dieser Filter zu verbieten. Das haben sie nicht gemacht. Also es ändert sich in der Praxis nichts. Wer ein Uploadfilter hat, hat ihn, die werden jetzt nicht verboten oder behindert, ähm aber, gleichzeitig ähm es kommen keine neuen hinzu. Ne, schon mal halbwegs okay. Dann das versprochene Recht auf anonyme Internetnutzung, ja, um den ständigen Datenlex und dem Datenmissbrauch im Netz ein Ende zu setzen, soll nicht kommen. Äh. So staatliche Behörden sollen eben potenziell ohne Richterbeschluss umfassende Surfprotokolle der Userinnen anfordern können. Aber immerhin soll sichere Verschlüsselung garantiert werden, also Recht auf Verschlüsselung. Ähm na ja. Das sieht also nicht ganz so irre aus und eine flächendeckende Vorratsdatenspeicherung auf Internetportalen soll erstmal ausgeschlossen werden. Also hier Recht auf Anonymität wäre natürlich schon mal was Schönes gewesen und ansonsten versuchen sie, das klingt mir alles so ein bisschen, dass sie versuchen, dort dann doch am Status quo zu bleiben, ja und nicht irgendwie weit darüber hinauszuschließen, zu schießen, aber eben und zwar leider dann auch in keine Richtung.
Genau. Das meine ich, ne? Also es bleibt irgendwie alles so ein bisschen unreguliert dann jetzt in diesen Bereichen. Jetzt gucken wir mal Überwachungswerbung. Die systematische Überwachung und Erstellung von Persönlichkeitsprofilen der Internetuserin für Werbezwecke soll erlaubt bleiben. Hier wäre die Möglichkeit gewesen, mal wirklich eine fundamentale Änderung herbeizuführen. Aber immerhin soll die Möglichkeit geschaffen werden, sich im Browser generell dagegen entscheiden zu können. Es gab ja schon vor einiger Zeit dieses Donut Track Flag, was aber dann nie, wirklich technische Anwendung fand und Die Idee wäre jetzt, dass du im Browser einstellst, du Track und dann kriegst du auch diese ganzen Einwilligungsbanner nicht mehr. Das wäre potenziell, einen könnte natürlich ein wichtiger Fortschritt bleiben, wenn man wird werden, wenn man das jetzt in irgendeiner Form von, ne, die die EU definiert einen Standard und sagt, pass auf, wenn im Header äh dieses Ding ist, dann darf der Tracker nicht tracken. Wäre schon eine schöne Sache, ne.
Dann ging es um um diese Löschungsgeschichten ähm und zwar primär ähm. Über Grenzen hinweg, selbst wenn sie im Land der Veröffentlichung völlig egal sind, ja, dass da auch darüber hatte der Patrick mit uns gesprochen. Also Viktor Orban kann zukünftig auch in Deutschland löschen auf Grundlage seiner eigenen Gesetze. Sollten Netzwerken verboten werden, werden sie aber nicht. Und die Internetplattform müssen Userin auch nicht fragen, bevor sie löschen, sondern können einfach löschen. Immerhin das Einzige, was äh er hier positiv hervorhebt, ist, eine automatisierte Sperrung von Nutzerinnen, die angeblich wiederholte Urheberrechts- oder Rechtsverstöße begangen haben, soll nicht kommen. Ja, das wollten sie auch noch quasi fordern. Hm und er freut sich immerhin. Im DMA über die Inter-Operabilitätsforderung, denn im da kommt jetzt schon die Idee vom ähm. Dass dass diese Internet äh diese Messengern soll dann eben doch äh von. Soll er doch noch herbeigeführt werden. Also da da wäre dann eben genau diese EU äh Bewegung und das Thema hatten wir gerade ähm ausführlich besprochen Also so viel von dort. Wir machen dann noch mal, ich wie gesagt, dieses Thema ist so umfassend. Ähm da muss man uns irgendwie Hilfe von Thomas äh und oder Patrick holen, um um das nochmal in Ruhe aufzuarbeiten, entweder Ende dieses oder Anfang nächsten Jahres. Und jetzt gibt's hier noch äh ein kleines Schätzchen zum Ende. Zwei Schätzchen kommen noch zum Ende. Und zwar einmal, gibt es in Österreich das epidemiologische Meldesystem. Und das ist ein zentrales Register für ansteckende Krankheiten. Da kannst du ähm da da sammeln die drin, wer Corona hat. Dadurch hat das jetzt natürlich viel ähm ähm. Viel Aufmerksamkeit bekommen oder viel mehr Nutzung, aber auch so Sachen wie äh Syphilis, Aids, Malaria und andere anzeigepflichtige Erkrankungen kannst du da eintragen, ja und üblicherweise hast du dann hast du ja weil die nicht äh pandemisch sind diese Krankheiten, hast du halt eine meldepflichtige Krankheit, dann kommt die Person eben in dieses epidemiologische Meldesystem, ja? Und jetzt passiert folgendes. Es gibt eine Firma. Die macht PCR. Das ist die Firma HG Labruck. Und die bekommt, also macht PCR-Tests, ja? Und jetzt werden halt die Zugänge zu diesem EMS-System werden. Kriegt nur eine Person und zwar in diesem Fall der Geschäftsführer. Ja und dieser Geschäftsführer kriegt jetzt einen Zugang zum EMS. Das ist, wenn ich das richtig verstanden habe, funktioniert das mit Zertifikaten. Ist er jetzt auch äh unerheblich? Denn diese Firma EMS, da zieht sich jetzt als erstes mal der Geschäftsführer irgendwann zurück. Äh diese Firma HG Laptop, der der äh zieht sich der Geschäftsführer zurück. Die behalten aber quasi diesen EMS-Zugang. Und diese Firma HG Laptr. Die ja eben PCR-Tests macht und dann im EMS das eintragen muss hat es aber dann nicht selber gemacht sondern das Eintragen an ein steirisches Subunternehmen ausgelagert und den dann quasi wieder dieses Zertifikat gegeben. Dieses steirische Subunternehmen erklärt, äh sie hätten diese Tätigkeit an eine weitere Firma Wienerfirma ausgelagert. Dieser Zugang, also dieses Zertifikat zum Zugang wurde ähm via unverschlüsselter E-Mail an verschiedene Mitarbeiter verschickt, ebenso wie Excel-Dateien die persönlichen Daten von covid-infizierten, die die Mitarbeiter dann von ihrem Privatrechner in dieses EMS eintragen sollten? So Mit diesem mit diesem Zugang, den das Labor ursprünglich mal bekommen hatte, konntest du jetzt von jedem beliebigen Gerät im ganzen Land aus Krankheiten für alle Personen mit österreichischer Staatsbürgerschaft eintragen. Nicht nur Coronainfektionen, auch Aids, vieles Malaria und so weiter und du kannst Namen und Adressen abfragen, äh wenn die, Betroffenen ihren Wohnort in zentralen. Melderegister sperren ließen. Also mit anderen Worten, selbst die es gesperrt haben, konnte es trotzdem noch drauf zugreifen. Weiterhin konntest du schauen, ob man in den letzten äh Wochen an Corona erkrankt ist. Wenn das so war, konnte man E-Mail-Adresse und Handynummer sehen.
Genau, ja. Äh der HG Laptop wurde der Zugang nach Hinweis des Standard äh vom Gesundheitsministerium entzogen. Da sagt er ja, aber nur weil du dich da einträgst, kriegst du ja nicht sofort ein Genesungszertifikat, weil das wäre nämlich jetzt auch das Business gewesen, ne, neben dem riesigen äh Misstrauenspotential kannst du halt da irgendwie eintragen, alles klar, wir haben dieser Mensch hatte äh Corona kriegt Genesen Zertifikat ne. Also das ist äh auch wieder, ich meine, mir mir fällt natürlich auf, das sind klassische ähm, IT-Probleme, wenn du jetzt so ein System hast, wahrscheinlich hat ein paar Monate vorher kein Mensch sich um dieses EMS äh für dieses EMS interessiert ja? Aber jetzt musst du auf einmal vielen den Zugang dazu geben. Und dann passieren natürlich solche Dinge, dass da dass da nicht auf den ordentlichen, Prozess geachtet wird, man die ja Nutzermanagement macht und dass das einzelne also das das du da halt ein Zertifikat bekommst, was du dann irgendwie an Subunternehmen und das an Subunternehmen und das an seine Mitarbeiter, die vom Zuhause Rechner diesen Zugriff verteilt, ist ja absoluter Irrsinn. Ja? Aber so so laufen die Dinge halt leider, wenn man sie nicht ordentlich regelt. Ja und im ich ist jetzt ein sehr weit hergeholter Vergleich aber ähm. Ähnliche, Probleme haben wir ja hier auch mit den Impfzertifikaten, ne, dass du auf einmal sehr schnell dann doch sehr viele Menschen abfertigen musstest, deswegen sehr viele Leute Zugang auf diese Infrastruktur erhalten und da dann eben schwarze Schafe drunter sind. Also gewissermaßen gleiches Problem. Nur hier halt technisch die Grundlage dafür gelegt, indem man sagt, okay, alle dürfen darauf zugreifen oder es gibt halt irgendwie nur ein Zertifikat pro Unternehmen und das wird nicht irgendwie sinnvoll gemanagt oder aufbewahrt.
Klar, ich meine dieses, Totale Katastrophe. Jetzt kann man natürlich schnell sagen, ja seht ihr mal, das ist ja das Problem, wenn man so eine zentrale Datenbank hat und das stimmt natürlich insofern, als das so eine zentrale Datenbank natürlich, Genau solche, möglichen Probleme mit sich bringt, wenn man sie denn nicht von vornherein ordentlich mitdenkt und meine Vermutung wäre äh in diesem Fall, dass diese Zertifikate quasi so gedacht waren für die Mitarbeiter, die im Rahmen, also auch in diesem innerhalb dieser rechtlichen Grenze, Äh ich weiß gar nicht, wo das aufgehangen ist, wahrscheinlich innerhalb einer Behörde, irgendeines Instituts. Ja, also die unmittelbar für dieses EMS zuständig sind und normalerweise eben solche Meldungen über Ärzte erfolgen so ah, hier ist meine aus dem Urlaub zurückgekommen, der hat jetzt irgendwie Cholera, Ah okay, dann sagen Sie mir mal wie der heißt. So, da wird in so einem zehn Minuten Telefongespräch ähm von einer ähm, autorisierten Mitarbeiterinnen dieses EMS, die dann halt so ein Zertifikat hat an ihrem Arbeitsplatzcomputer, die trägt das dann ein und dann, passt das auch schon. Jetzt kam irgendwie Corona und auf einmal hattest du's irgendwie mit 1tausend verschiedenen Unternehmen die PCR-Tests zu tun oder vielleicht auch erstmal nur ein paar hundert. Egal, auf jeden Fall vielen. Also auf einmal entstand eine extrem hoher Datenzugriffsbedarf, für Leute außerhalb dieser Struktur, weil zwangsläufig diese Struktur selbst das so nicht machen kann. Da kannst du ja nicht jetzt für jeden Menschen da anrufen. Für jeden einzelnen PCR-Test, der da durchgeführt wird, skaliert einfach nicht. Also haben Sie dann einfach die Methode, die Sie bisher hatten, Ja, ach ja dann müsst ihr das dann halt eintragen. Nur jetzt natürlich mehrere Sachen problematisch erstmal das, was wir jetzt hier schon unmittelbar gesehen haben, so dieses Weiterreichen des Zertifikats, dass das von Leuten verwendet wird, die das gar nicht haben sollten, ja, dass das irgendwie auch ungeschützt weitergeleitet wird, dass äh keinerlei Begrenzungen äh gab und natürlich, wie ich vermute, jetzt anhand dieser Schilderung, was für Datenauswertungen gemacht werden kann, dass natürlich der Zugriff dann mit diesem Zertifikat auch gleich vollständig und total war. Also man könnte dann sofort alles ändern und alles sehen. Was natürlich nicht geht, weil es auch vollkommen ausgereicht hätte bei diesem PCR-Test halt, okay, hier ist Personen identifiziert mit was weiß ich, Personalausweis, Nummer was auch immer. Ja, hat diesen Test und dann fließt das über eine definierte Schnittstelle äh automatisiert rein, und muss dann vielleicht noch irgendwie abgesegnet werden, obwohl sie übernommen werden, aber das ist nicht automatisch eine Erlaubnis damit verbunden ist, alle Daten abzurufen, aber das hat natürlich zu dem Zeitpunkt niemand äh gesehen und dann war eben auch niemand in der Lage, das so kurzfristig an die Bedingungen anzupassen und damit man das überhaupt noch bedienen konnte, ist man dann halt diesen Weg gegangen. Nachvollziehbar, wie es passiert ist, macht's nicht besser und ähm ist ein generelles Problem, aber das Problem resultiert eben auch einfach, aus mangelhafter, staatlicher digitalen Planung. Das sind eben genau diese Dinge, von denen wir immer reden, wenn wir sagen, der Staat muss sich einfach auf die digitale Welt einstellen, es muss mehr Kompetenz da sein, es muss im Zweifelsfall halt auch ein bisschen Überkapazität sein, um eben, wenn bestimmte äh Systeme besonderer Bedeutung zugeführt werden, wie eben in einer Pandemie so eine, zentrale Erfassungsstelle, die wir ja so in Deutschland gar nicht haben, aber in Österreich ist es ja dann entsprechend vergleichbar, dass dass man dann eben auch in der Lage ist, hochzuskalieren, dass man sagen kann, oha, okay, gut, wir brauchen jetzt eine Schnittstelle für diese ganzen PCR-Unternehmen. Ist ja nicht so, dass so was nicht leistbar wäre innerhalb von äh einem bestimmten Zeitraum. Da muss man dann nicht gleich so äh vorgeben.
Ja, das ist einfach nur peinlich und wenn wir schon bei peinlichen Dingen sind, ne, weil der Staat mal wieder was peinliches macht, ne. Wir haben ja, ID Wallet gehabt in Deutschland. War ein kurzer Moment der Glückseligkeit, wo wir diesen digital hatten wir den äh ID Wallet hatten wir, ja, geile Nummer. Irgendwie fünf Minuten gedauert, bis da irgendwie haarsträubende Schwachstellen drin gefunden wurden und dann konnten sie das Ding einklappen, ja? Ein lustiger Tag hatten wir einen schönen Nachmittag mit, ja. Jetzt gibt es eine ähm, Anfrage an das Bundeskanzleramt bei frag den Staat. Die ähm dort gestellt wurde. Und zwar ähm eine ganze Reihe an Fragen und Dokumenten, in denen in denen insbesondere eines sehr interessant ist, nämlich der IT-Sicherheitsbericht, GmbH, die Digital NALIN GmbH. Ist das Unternehmen, was gegründet wurde, um dieses ID Walleting zu machen, ne? Das war ja E-Satus und IBM zusammen, ja, die dann irgendwie gesagt haben, so und jetzt tatsächlich auch die zitieren hier auch an, aus E-Mails, die eben an E-Satus ging, die haben ja quasi für dieses Projekt die Digital and Avling GmbH äh gegründet, und hm jetzt schildern sie irgendwie in diesem IT-Sicherheitsbericht, wir mussten sie im Zweifelsfall der Bundesregierung oder den Bundeskanzleramt vorlegen, denn da kommt die IFG-Anfrage Antwort ja her. Mir ist jetzt nicht klar, wen der äh, an wen er adressiert ist, aber es ist im Prinzip einfach deren Bericht, was denn da auf aus ihrer Sicht äh passiert ist. Erstmal sagen sie wie geil das alles ist, was sie da gebaut haben und dann sagen sie. Sie wurden also von zwei Sicherheitsforschern offiziell über zwei Schwachstellen in Systemen informiert, die unabhängig zur ID Wallet und zugehöriger Infrastruktur betrieben werden? Ähm einmal unkonfigurierte Wordpress Installation auf ihrer Domain. So eine unkonfigurierte Installation auf deiner Dummheit und dann äh Möglichkeit eine Subdomain Takeover wo sie nämlich ähm ähm Supplemades hatten, die auf Microsoft Azure zeigen. Dort am anderen Ende eben keine virtuelle Maschine mehr war ähm und da konntest du dann, hättest du jetzt deine eigene hinlegen können, dann wärst du bei denen unter der Subdomain gewesen. Jetzt kommt der interessante Teil. Am vierundzwanzigsten, also ich zitiere aus diesem Bericht, ja, was die also schreiben. Am vierundzwanzigsten neunten zwanzig einundzwanzig, um bereits einundzwanzig Uhr vier. Erfolgte auf Twitter durch den Account at Flipkeyt der Aufruf Happy Hacking everyone. Gleichzeitig wurde unter dem Titel Helge Chain und er dem erneuten Aufruf Happy Hacking everyone auf GitHub eine Liste mit DNS-Auflösungen erstellt durch DNS-Zonentransfer. Zu von der AG verwalteten Domains publiziert. Der Begriff Helge Chain bezog sich dabei explizit auf Helge Braun, Mitglied des Deutschen Bundestages, Bundesminister für besondere Aufgaben und Chef des Bundeskanzleramtes und dessen, begleitenden Twitter-Posts zum Start des digitalen Führerscheinnachweises, sowie. Die generelle Abneigung der in Anführungszeichen Community, zu allen Technologien im Innovationsbereich Blockchain. Der gezielte Aufruf in eindeutig politischem Kontext mit Polemik und Hasstiraden. Indikator für eine Gruppenbildung, Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität zu gezielten Ausweitung einer negativen, öffentlichen Meinungsmache und Provokation eines sogenannten in Anführungszeichen Shitstorms. Klammer auf, konzertierte, hier unten, Anti-Aktionszeichen oben von Aktivistinnen der jüngeren Vergangenheit hatten ähnliche Verläufe, Vergleiche Luca App, Ausstellung von Impfzertifikaten in Apotheken, HPI Schulcloud, Klammer zu. Schon mal lustig, weil hier ja letztendlich, hä, also die die Veröffentlichen hier eine eindeutige Schrottepp. Und werden dafür ähm, werden die die wird natürlich einer zynischen Kritik und einem einem gewissen Argwohn unterzogen, ihnen werden aber die Schwachstellen gemeldet, ja? Das ist ja das, also sie sagen hier, das ist ja eine politische Gegner mit Haking-Affinität. Sie wollen einen Shitstorm provozieren, ja unglaublich, ja? Also was was für ein Quatsch ist, ja und vor allem also eine eine üble Diskreditierung halt der äh Sicherheitsforscher, die Ihnen ja die Schwachstellen melden. Jetzt kommt äh jetzt geht's weiter hm. Die Verantwortlichen der Digital Enable GmbH und AG bezogen diese Informationen und unter anderem weitere Parameter, wie nachfolgend aufgelistet, in eine Risikobeurteilung ein. Es besteht ein öffentlicher Haking-Aufruf gegen die Systeme der Digital N-Abling GmbH und der Elysatus AG. Großer Begriff öffentlicher Haking-Aufruf. Als wenn Hacker irgendwie aufgerufen werden müssten, ne. Ich meine, du hast ja eine du hast ja eine ähm. Ausweis-Infrastruktur für eine Bundesrepublik geschaffen und jetzt bist du nervös, weil es einen öffentlichen Haking-Aufruf gibt, ja?
Nächster Spiegelstich. Offenkundig stehen die für die Digital in Abling GmbH im Kontext der ID Wallet betriebenen Systeme nicht isoliert im Fokus, sondern potenziell alle Systeme. Der Elsatos AG. Aufgrund der öffentlichen Äußerung einer versierten in Anführungszeichen Hacker-Community sind gezielte, konzertierte Haking-Angriffe auf alle Systeme möglich oder sogar wahrscheinlich. Aufgrund der negativen Intensität von Äußerungen und der teilweise politisch motivierten Diskussion besteht ein hohes Bedrohungspotential. Nicht weil du eine du nicht weil du eine Ausweisinfrastruktur gebaut hast die der Russe haben will oder so ne. Nein nein nein weil irgendjemand auf Twitter Happy Hacking äh geschrieben hat. Die anderen Systeme außerhalb des Kontextes, der ID Wallet werden mit angegriffen, um eine breite Front gegenüber der Digital Eving GmbH und der Elysatus AG aufzubauen. Überlegt war, dass akute Bedrohungsszenario lässt sich nicht mit einer einzelnen Maßnahme in kurzer Zeit adressieren, beispielsweise sind die NS Updates technisch beginnt, erst zeitlich verzögert aktiv. Und dann abzuwägen sind negative Reputationseffekte durch eine präventive Gesamtabschaltung gegenüber möglichen Seiteneffekten durch Angriffe. So, das waren quasi die Risikofaktoren und im letzten, ne, sie haben also jetzt, also um das noch mal zu übersetzen, sie haben ja jetzt gesagt, so oh Shit, nicht nur uns, sondern nicht nur all die Wallets, sondern alles, was da dran ist, gucken die sich auch an. Und wir müssen jetzt überlegen, was sind Repräsentationseffekte, wenn wir das Ding abschalten. Über möglichen Effekten durch Angriffe, ja? Das legen Sie jetzt vor. Jetzt muss ich ja zusagen. Also dass Sie denken äh die die wollen die das ganze Unternehmen hacken, ist natürlich Quatsch. Die Angreifer, in diesem Fall Sicherheitsforscher, die ja auch die Mails übrigens geschrieben haben, ja? Diese Supplemain Takeover ist ja die Schwachstelle, die Flüpfke, die den gemeldet hat. Ähm also der politische Gegner, der fröhlich und freundlich dir an deine, E-Mail-Adresse, die die Meldungen liefert über die Schwachstellen, die ihr findet, ja, dieser gemeine politische Gegner, warum schaut er unter den Subdomas der Unternehmen? Na ja, weil du da üblicherweise die Testinfrastrukturen findest. Also du du guckst dir natürlich an, okay die Wallet, was findest du, was gibt's da so? Und dann guckst du an, okay, hat vielleicht die haben die beteiligten Unternehmen nicht, vielleicht auch noch irgendwo was rumfliegen, wo man mal drauf schauen kann, Deswegen deswegen suchst du natürlich da, ist ja klar, wär's ja blöd dann aufzuhören und zu sagen, nee, nee, da beginnt ja das Unternehmen, da werden ja bestimmt nicht ihr haben oder weißt du ähm na ja. Das nur als kurze äh Erklärung, ja? Also du hast hier den den den den dümmsten politischen Gegner, der dich hacken will, dir gleichzeitig responsibles closers macht. Und. Jetzt kommt, also jetzt haben sie hier diese äh sieben Punkte und jetzt sagen sie, die Risikobeurteilung erfolgte durch die Verantwortlichen auf Seiten der Digital an GmbH und Ey Satus AG. In Abstimmung mit der Bundesdruckerei GmbH demzufolge unter besonderem Zeitdruck eine sich schnell aufbauende Angriffswelle von fachlich höchstversierten Angreifern mit extrem negativen, zu dem politisch motivierten Interessen würde, wurde für möglich gehalten, gemeinsam mit den Projektverantwortlichen und der Bundesdruckerei GmbH wurden am 2409. gegen 23 Uhr nach sorgfältiger Abwägung unter gegebenem Zeitdruck folgende, präventive Maßnahmen beschlossen und umgesetzt. Erstens. Offline-Setung, die am Standort langen befindlichen Systeme werden umgehend von der Internetverbindung getrennt, sowie verschiedene in Cloud-Infrastrukturen betriebene Systeme werden umgehend deaktiviert. Zweitens, gestaffelte Wiederinbetriebnahme. Es erfolgt über die folgende Tage eine prioritätsgeleitete Wiederinbetriebnahme der Systeme. Im Zuge dessen erfolgen zusätzliche Tests vor der erneuten Freigabe für die Online-Anbindung. Langen, 5undzwanzigsterNeun20, ein2und, So, warum habe ich den ganzen Kram jetzt noch vorgelesen?
Weil öffentlich immer gesagt wurde, die haben das abgeschaltet, ähm weil das System der großen Last nicht widerstehen konnte. Und das war ja damals schon lustig, dass das halt, einfach nur Quatsch sein kann, ja weil äh ich glaube da hatte ich ja den den Tweet von Henrik Plotz äh zitiert, indem er auch sagt ähm ja hier die haben, 30 so Führerscheine ausgestellt, nicht pro Sekunde, sondern insgesamt. Und jetzt ist das System platt, ja, Und sie haben's halt abgeschaltet. So, das sind also jetzt hier zwei dann doch sehr interessante Fakten, weil diese Behauptung, das wäre unter der großen Last abgeschaltet worden und würde jetzt bald wieder hochgefahren mit größeren Ressourcen, die war eben unwahr. Ne und äh das ist natürlich so die Sache da, muss man ganz ehrlich sagen. Ich meine, ich kann schon verstehen, dass man ein System Not abschaltet, ja? Aber nicht unbedingt, weil irgendjemand was getwittert hat, ja ähm und vor allem nicht, sollte man nicht in einer solchen Situation sein, dass man ein ne, ein eine Ausweisinfrastruktur zusammen mit der Bundesdruckerei, Für die Bundesrepublik Deutschland baut? Und dann so nervös sein. Und so wenig sich das Ding angeguckt haben, dass wenn man es online nimmt und der Erste sagt, guck mal hier, der hat gar nichts im Griff, dass man's dann direkt wieder offline nehmen muss. Ja? Also ich wie gesagt es gibt Notabschaltungen, die sind manchmal nötig, ja? Aber doch nicht also wie ist dieses Projekt gemanagt, dass quasi zwei, drei Tweets, denen den Eindruck vermitteln. Sie müssen jetzt alles abschalten. Ja, das heißt ja, dass sie sich, dass sie überhaupt keinem vertrauen in die Sehnfrastruktur hatten. Ja? Also wenn du jetzt äh wenn du jetzt sagst, du du betreibst da irgendwas, ja? Jetzt sagt einer hucking, so dann dann hast du ja eigentlich eine eine Risikoabwägung, ein Sicherheitskonzept, dann weißt du, okay. Wir haben uns wir haben die wichtigsten Risiken geprüft. Wir wissen, da kann nicht viel kommen. Ähm. Wollen wir mal schauen. Wenn die was finden, können wir immer noch abschalten. Insbesondere jetzt am Anfang, wo das Scheißding eh noch keiner nutzt, aber dass du quasi äh wie man so schön sagt, äh Selbstmord aus Angst vor dem Tod begehst, das zeigt ja, dass du wirklich halt überhaupt gar kein Verständnis davon hast, äh was da, was du da überhaupt äh am Laufen hast. Und schaltest doch direkt alle Server von deiner Firma mit ab. Das ist schon ziemlich äh. Bemerkenswert, würde ich sagen.
Das ist bei diesen Blockchain-Spackos ja ohnehin ein bisschen so, ne. Also ich habe das ja schon gesagt, dass ich da auch irgendwie habe ich das hier nicht erwähnt, dass es da jemanden, wo man bei Xing LinkedIn und Twitter blocken musste. Der einzige Mensch, den ich jemals per LinkedIn bloggen muss. Ich wusste gar nicht, wie das geht. Musste erst mal googeln, wie mal jemand bei Linking Blog. Ey, irgendwie so, die sind halt völlig in diesem Ding drin, ja, und und und also. Weil sie immer wieder mit der negativen, mit der mit der gemeinen Frage konfrontiert werden, warum eine Blockchain, wenn es auch ohne geht, ja ähm, und auf die sie keine sinnvolle Antwort finden, ja? Sind die da teilweise echt krass emotional unterwegs, ja? Mhm. Während ja hier die Schwachstellen in diesem System völlig offensichtlich sind. Auch nix mit der Blockchain zu tun haben. Die Blockchain brauchst du halt nur nicht, ne? Also aber da sind die sind ist tatsächlich so, dass ich das da ähm. Tja ich weiß auch nicht, wie ich das so wie ich das jetzt irgendwie zusammenfassen soll. Ich meine, die haben da irgendeine fixe Idee gehabt. Die haben das wahrscheinlich auch gut gemeint Ne? Aber das ist halt, es ist halt nun mal leider Käse, was sie da gebaut haben und, tja dann dann dann kommen sie da in so eine Kriegsrhetorik ja. Das ist schon schon erstaunlich. Also.
Ja, es macht so ein bisschen den Eindruck, dass ihr Haus, was sie sich da gebaut haben, einfach so ähm auf so Fleischspießchen steht, ja. Und die das in gewisser Hinsicht auch wissen, dass sie äh völlig verunsichert sind davon, dass es da sozusagen so eine grundsätzliche Kritik daran gibt, die ja auch. Fundiert ist, ja sozusagen die Legitimation und vielleicht eben auch die politische Legitimation, weil das ja qua Bundesregierung alles gefördert ist und so weiter äh in irgendeiner Form bedroht und sie ja genau über diese Versprechen wahrscheinlich das äh Ganze dann auch überhaupt erst in diesen Prozess reinbekommen haben. Da das alles technisch dann aber äh nicht nicht wirklich einen festen Anker äh hat, sondern immer auf diesen Fleischspießchen steht, ist dann im Prinzip jeder eine Bedrohung, der irgendwie erstmal auf das Offensichtliche hinweist. Und dann wird dann halt gegreift und wird dann irgendwie Art Hominem da irgendwie eingeschüchtert.
Das finde ich übrigens auch also das ist etwas, was ich jetzt mal so insgesamt dazu noch äh sagen muss, ne, wie, Mit Menschen, die Sicherheitslücken melden umgegangen wird. Das hat sich in diesem Jahr in meiner Wahrnehmung echt krass verändert. Ja ähm. Schauen wir uns an, ja wir haben ja hier mit äh Markus gesprochen, ne, Markus Mengenks, der die Luca-App-Sachen gemeldet hat. Dem haben sie ja auch, ziemlich üble Dinge unterstellt, ja? Äh unter anderem äh er hätte nicht ordentlich gemeldet und was nicht alles, ja, was ich ja, was ich ja schon, ehrverletzend finde. Schau dir an ähm hier das äh Vorgehen der CDU gegen Littlet Wittmann mit ihrer Connect-App. Ja äh also, mit der Connect-App der CDU ist ja nicht die App von Lilly, wird man ja nur gefunden, dass die eine offene ABI ist. Ähm und, Und und schau dir auch an, was weiß ich, zu welchen Versuchen dann doch relativ kläglicher Natur, sich die ähm Macher der Luca-App dann auch herablassen, ja? Und die Investoren. Das ist es ist irgendwie so eine ähm, Also es war früher so und es nee war auch nicht früher so. Aber du hast, nee, stimmt eigentlich nicht. Aber ich hatte ein paar Jahre den Eindruck. Dass man in der Vinolbility Disclower ähm inzwischen so ein bisschen erwachsen ist, ne. Ich mache das ja sehr viel für, CCC-Mitglieder, für Leute, die nicht CCC-Mitglied sind, die dann einfach hier sich äh beim CCC melden unter des Closia DE oder direkt bei mir und sagen, pass mal auf, ich habe das. Kannst du mal kurz was zu sagen? Ja und üblicherweise, gucke ich kurz über den Bericht, sage pass auf, das nochmal besser erklären nicht ganz verstanden und den und den Teil raus, weil das Quatsch oder unnützes Beiwerk, ja? Und dann kriege ich ja auch immer die Antworten mit, wie das so weiter verläuft. Schreiben Sie zurück und hier oder manchmal mache ich die Meldung ja auch für die Leute und üblicherweise kriegst du inzwischen schon, einfach eine in in in gewissermaßen professionelle Antwort, dass dir gesagt wird, vielen Dank für die Meldung. Äh wir haben folgende Maßnahmen ergriffen. Wir halten sie über weitere Maßnahmen auf dem Laufenden, äh danke sehr, ja? Und das ist so ein bisschen immer das, wo ich dann denke, na ja, okay, das ist die das ist die professionelle Antwort, die du bekommen kannst und dann hauen wir da ja auch jetzt nicht irgendwie übel weiter drauf, weil, ne Fehler machen und wenn die Leute irgendwie sich des Fehlers bewusst sind und damit ordentlich umgehen. Aber, Und es wurde ein gefühlt hatte ich den Eindruck in letzter Zeit seltener, dass so halt an so Leute gerätst, die völlig unsoverän damit umgehen. So ein bisschen, was ich erstmal als positiver für die Unterhaltung ein bisschen schade, aber erstmal als eine positive Entwicklung, gesehen habe, dass die Gesellschaft sich eben zum ja vernünftigen Umgang mit vernünftigen einerseits und auch aufrichtigen Umgang mit Sicherheitslücken hin entwickelt. Aber was du jetzt hier siehst, ist ja dann doch äh ein bisschen was anderes, ne?
Das ist unangenehm, dass das äh so ist und ähm zeigt aber eigentlich auch nur, wie wichtig die Sicherheitsdebatte auch geworden ist. Ich glaube früher ne wurde dem Ganzen noch nicht so viel Aufmerksamkeit geschenkt, aber jetzt äh zeichnet sich eben auch, darüber dann eben auch so die Zukunft solcher Projekte dann auch ähm, davon abhängt. Und insofern ähm schade, dass das dann so unangenehm aufstößt bei euch, aber zeigt auf der anderen Seite auch, dass die ganze Sicherheitsdebatte mehr Aufmerksamkeit, zuteil wird.
Ja und aber auch offenbar, dass den also ich finde es dann halt ähm ja, also es ist schon auf eine Weise bedauerlich, weil also, okay, warum ich, warum ich das so so schwierig finde, was da passiert. Es gibt Leute, die bauen jetzt irgendwelche sicherheitsrelevanten Dinger, ja und die haben erkennbar keine Ahnung davon. So, dann kommt die Community in ihrer Freizeit hin. Und äh reibt dir das unter die Nase, ja? Ähm letztendlich ist das ein, sicherlich nicht immer angenehmer Vorfall äh oder Prozess für die Betroffenen, die da ihren Mist in die Welt gesetzt haben. Aber es ist eben auch ein notwendiger und reinigender Prozess, ja? Und es ist immer noch besser als wenn diese ID Wallet jetzt Verbreitung gefunden hätte und dann Menschen durch die die verwenden dadurch zu Schaden kommen. Ja? Ähm, Aber für die Öffentlichkeit. Sind ja quasi diese ganzen Angriffe oft nicht nachvollziehbar. Ja? Also da da ist es dann am Ende geht es darum ja hier, Dieser Hacker sagt äh Schwachstelle, die sagen nein Hacker Idiot, ja? Und jetzt geht's so bisher hat die Hackerszene einen tadellosen Ruf und den hat sie sicher vor allem dadurch erarbeitet, dass sie halt auch in der Regel nur Schwachstellen meldet, die wirklich welche sind, weil sie halt Ahnung haben, ja? Und natürlich auch untereinander checken. Wenn du aber jetzt, Wenn sich jetzt quasi die Unternehmen, die in meinen Augen eben völlig verantwortungslos irgendwelchen Mist in die Welt setzen ohne Sicherheitskonzept wer die sich jetzt quasi auf diese. Auf diesen Weg begeben sozusagen, ja hier, äh dass der politischer Gegner zusammenraut, Otto und so, ne, dann ähm ist das quasi ein eine Bewegung wieder weg von einem vernünftigen aufgeklärten Umgang mit, Technik und IT-Sicherheitsrisiken. Und das finde ich sehr beunruhigend, was wir da in den letzten äh Wochen und Monaten gesehen haben.
Stimmt dir voll zu, dass es beunruhigend ist. Ich wollte nur den positiven Aspekt unterstreichen als Berufsoptimist, dass das eben letztlich auch davon zeugt, dass es eben auch alles mehr Bedeutung erlangt und der Kampf, auch mit etwas härteren Bandagen geführt wird und vielleicht eben auch auf eine Art und Weise, wie es überhaupt nicht angemessen ist. Sicherlichkeit kein Spaß.
Ja äh ja ist denn schon Weihnachten? Also äh ich würde mal meinen, da ich ähm Also ich also wenn du noch eine Sendung machen willst, dann vielleicht ohne mich. Ähm, Aber äh ich glaube können das Jahresende jetzt schon mal einleiten, es sei denn es kommt noch irgendwas total Wichtiges um die Ecke, was äh unbedingt jetzt über Weihnachten noch geschildert werden muss, aber ich vermute mal, wir machen im nächsten Jahr weiter.
Genau, insofern können wir uns dann auch fürs äh Zuhören in diesem Jahr bedanken und ähm für all die ganze Unterstützung und Teilhabe äh vor allem, die ihr so äh uns gewährt habt, also durch ähm die Kommentare. Durch äh wohlwollende äh Kommentierung im, auf den äh öffentlicheren Kanälen ähm Tipps per E-Mail, ähm. Generelle Unterstützung und äh das Weitersagen und so und das man merkt das und das ist schön.
Ja, dem kann ich mich nur anschließen. Ja, jetzt auch insbesondere hier bei dieser ähm. Messenger Interoperabilitätsdiskussion auch wieder gesehen äh kluge Leute mit äh klugen Antworten und Ergänzungen. Ähm. Und auch so, das ist schon immer sehr erfreulich. Dass die Qualität an Auseinandersetzungen, die wir uns bewahren konnten in dieser in diesem schönen zweiten Jahr, der war nämlich.
Und noch besser, ihr erspart uns äh Werbung äh für andere zu machen, indem ihr Werbung für uns macht. Das ist überhaupt einfach das Beste überhaupt so. Habt Spaß mit euren äh neuen Textilien und beim ähm, gefragt werden, wann was denn das jetzt äh wieder bedeutet. Was ihr da so auf der äh Brust tragt und ja. Wir freuen uns äh aufs nächste Jahr mit euch und äh machen weiter, wie ihr es gewohnt seid. Dann hoffentlich auch bald mal wieder irgendwie live irgendwo, aber, erstmal noch die Variante aussitzen. Omi Krohn hat gesagt, wir dürfen noch nicht. Leute, bis bald. Tschüss.