LNP422 Bundesverdienstcoin

Kryptogeld- und Blockchain-Feedback — 6.4 Mio Datensätze in 50 Leaks — Clearview AI — Radio brickt Mazdas — Komplexität

Auch in der heutigen Sendung begrüßen wir einen Gast das erste Mal. kantorkel ist die treibende Kraft der jüngst vom CCC veröffentlichten Geschichte, bei der mindestens 6,4 Mio Kunden-Datensätze von mehr als 50 Unternehmen im Netz aufgefunden worden. Wir sprechen mit ihm über den Hack.

avatar
Linus Neumann
avatar
Tim Pritlove
avatar
kantorkel

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Linus.
Linus Neumann
Guten.
Tim Pritlove
Es gehört da fliegt gerade ein schwarzes Loch, einfach so mitten durchs All.
Linus Neumann
Ich habe dir gesagt, du sollst nicht hochgucken.
Tim Pritlove
Logbuchnetzpolitik Nummer vierhundertundzweiundzwanzig vom siebzehnten Februar zwanzigzweiundzwanzig. Da kommt das eine zum anderen, ja. Ja und äh wir schauen auf, Schauen auf wir schauen auf das Geschehen.
Linus Neumann
Zwanziger.
Tim Pritlove
Auf das Geschehen in der Welt. Du hast viel zu wenig Witze produziert hat diese Woche irgendwie.
Linus Neumann
Ja, diese Woche war das Geschehen nicht witzig.
Tim Pritlove
Na ja, auf nix äh ist mehr Verlass irgendwie hier. Die Krieg gibt's auch nicht, irgendwie alles anders als angekündigt. Also was soll denn das.
Linus Neumann
Unwetterwarnung schon wieder, den ganzen Tag Unwetterwarnung hier. Ich.
Tim Pritlove
Ja und was ist draußen? Nix ist da.
Linus Neumann
Oh, nee, ich war heute draußen, da war windig. Ich war, es war windig draußen, Tim. Es war.
Tim Pritlove
Bisschen windig war's ja.
Linus Neumann
Nee, nee, nee, da haben äh Mülltonnen gelegen und Mopeds. Gut, die treten ja normalerweise die diese halbstarken E um, aber so wie die Lagen die lagen alle in die gleiche Richtung. Nee, nee, da äh Und ähm also da lag schon einiges rum, ja. War windig, muss man sagen.
Tim Pritlove
War windig. Ja ähm jetzt haben wir die letzten Folgen ganz viele Gäste gehabt und irgendwie kam das ganz gut an. Hatte ich so den Eindruck, wir uns. Machen wir gleich mal so weiter und haben auch in dieser Sendung einen Gast und begrüßen kann Torkel. Hallo, herzlich willkommen bei Politik. Ja, dich äh kennen äh unsere Hörerinnen noch nicht. Oh ja, das erste Mal äh äh hier bis äh trotzdem könnte man schon mal was von dir äh gelesen haben, weil wenn du nicht unter deinem ähm schönen Nickname äh unterwegs bist und bist ja unter anderem auch im Sprecherteam vom CCC unterwegs und, heißt es immer Matthias Marx berichtete, kommentierte, gab seinen Senf dazu was bist du so ähm für ein. Was was hat dich denn so was hat dich denn äh in den Club getrieben? Was was treibst du denn? Erzähl doch mal.
kantorkel
Was mich in den Club getrieben hat, gute Frage irgendwie, Spaß am Gerät. Ähm. Weiß gar nicht wie lange schon, aber schon eine ganze Weile.
Tim Pritlove
Was könnte das für Zeitraum sein?
kantorkel
Über zehn Jahre bin ich im Klubdunst-Kreis unterwegs.
Tim Pritlove
Also so fünf Pandemien ungefähr. Mhm.
Linus Neumann
Äh na ja er kann so ein bisschen mehr erzählen. Was sind deine Hobbys?
kantorkel
Was sind meine Hobbys? Meine Hobbys sind frei vom Tor und Club.
Linus Neumann
Genau, Freifunk machst du viel, Tor, Infrastruktur. Betreiben und dann äh die äh Etri Geschichten ja sprechen wir glaube ich später vielleicht auch noch mal ein bisschen zu, ne. Da musste diese reclame your Face äh betreust du da so ein bisschen mit. Muss es schon erzählen. Ja, darf sie jetzt auch. Wollen die Leute ja.
kantorkel
Darf ich? Alles klar. Dann erzähle ich noch mal zwei Sitze mehr. Ähm genau äh weil, Freifunk in Hamburg äh bauen wir unter anderem immer noch WLAN für Geflüchtete, unter anderem weil die Stadt das nicht so richtig gut hinkriegt. Dann haben wir vor zwei Jahren einen kleinen Torverein gegründet, der gar nicht mehr so klein ist und jeden Monat so 1,5 Peter Byte an Traffic durch die Gegend schiebt. Und ja beim CCC bin ich einer von mehreren CCC-Vertretern, die bei Edry unterwegs sind, ähm, und ja da schauen, was auf EU-Ebene so passiert. Und den Rest hast du schon erwähnt.
Tim Pritlove
Was wir noch nie erwähnt haben ist, dass sie äh äh zwischendurch dann aber auch noch mal so eine kleine kleinere äh Heckereien einlegst und äh so ein bisschen mit der Tastatur durch die Welt ziehst und das äh ist jetzt auch ein bisschen der Grund, warum er dich heute eingeladen haben, weil du halt im Wesentlichen hinter der Pressemitteilung des äh CCC diese Woche standst wo äh mal so eine größere Menge von Accounts äh öffentlich äh veröffentlicht wurden beziehungsweise nicht veröffentlicht wurden, sondern äh Leaks gehackt wurden und bekannt gegeben wurden, dass es diese gibt. 6,4 Millionen Datensitze, da wollen wir dann nachher mal ausführlich drüber äh sprechen, was äh damit dann äh auf sich hat.
kantorkel
Ja, freue ich mich drauf.
Linus Neumann
Ja und ich mich erst. Ich kenne ja schon ein paar Anekdoten äh und freue mich, dass wir die heute hier auch zum Besten geben können, aber es äh die Tradition will es, dass der Tim uns jetzt den HTTP-Status vier zweiundzwanzig In einem kurzen Impulsreferat näherbringen.
Tim Pritlove
Ja da habe ich mir aber was eingetreten. Also HTTP Statuscode vierhundertzweiundzwanzig hat den äh schönen Namen Anprocessible Entity. So ein Gefühl, was ich manchmal auch einstellt, wenn man so auf so Veranstaltungen manchmal so merkwürdige Leute äh trifft. Das ist so ein ähm. So einen Fehlercode, wo der eigentlich so ausdrückt so ja äh du hast mir jetzt hier so eine Anfrage geschickt und die ist irgendwie so formal auch richtig so, Aber die Anweisung, die du da äh aufgeführt hast, war ich irgendwie nicht in der Lage, die die auszuführen, weil die haben irgendwie symatisch alle keinen Sinn ergeben Das ist mal so ähm flach interpretiert, das was dieser Status Quo ausdrücken soll. Das Besondere daran ist eigentlich, dass das so der erste Statusquot ist, den wir hier besprechen, der Teil von Web-DAV ist. Und das ist so eine dieser ähm Erweiterung, Aus dem guten alten HTTP äh wo versucht wird aus dem guten alten HTTP, was ähm noch Nützlicheres zu machen. Das heißt Während das normale HTP, kennt ihr ja, halt einfach so das Protokoll ist für ja gib mal Webseite, ich zeige mal an. Ne äh ist ist Web DAV so eine so eine Erweiterung, wo ja sozusagen gleich mehrere Methoden und natürlich auch verschiedene Fehlermeldungen noch mit äh dazukommen zum HTTP-Standard, wo man dann über HTTP so Sachen machen kann wie Dateisysteme, Mountain und so was. Also wird man halt so klassisch mit, äh macht oder, irgendwie aufm aufm Mäg dann irgendwie auch mit AFP all diese ganzen Netzwerkprotokolle mit dir gib mal die Festplatte von einem anderen Computer, die möchte ich jetzt gerne hier sehen. Das kann man halt auch, überall so Huckepack auf HCTP machen, dann ist das irgendwie Web DAV. Na ja, da gehört das irgendwie dazu. Ist äh auch genauso spannend, wie sich das jetzt, angehört hat, aber jetzt wisst ihr's.
Linus Neumann
Und dann werden wir mal wieder beim Feedback. Das wird heute ein bisschen länger, weil natürlich wie erwartet. Unser Feedback-Bad zur Blockchain äh funktioniert hat. Hm aber zunächst einmal sprechen wir noch über, Googlefonds. Also wir hatten in der letzten Woche darüber gesprochen, dass es ein Urteil gibt, weil eine Webseite Google eingebettet hatte und das eben nach DSGVO hier nicht äh so, tragbar war, was jetzt das Verwenden von Google zum richtigen Risiko macht. Da gibt's zwei Kommentare. Der eine von Philipp ist ziemlich lang. Philipp, ich kürze den ein bisschen. Ich hoffe, dass ich die wesentlichen Teile. Ansonsten ist der natürlich auch in den und es sei darauf verwiesen, falls Philip sich hier nicht richtig wiedergegeben findet äh lest es bitte noch einmal in den Kommentaren. Also hallo Tim, hallo Linus, die Entscheidung des Landkreis München zum Schadensersatz wegen Einsatz von Google Webfons gibt auf jeden Fall Anlass grundsätzlicher über Datenschutz im Netz nachzudenken. Nach meinem Empfinden ist auch eure Position hier nicht, ganz klar. Der Schadenersatz wurde zugesprochen, weil keine Rechtsgrundlage für die mit dem Aufruf der Webfonds in der Online-Implementierung stattfindende Übermittlung von IP-Adressen an Google, Als Service-Provider bestand. Wohlbemerkt, es geht um die IP-Adresse, nicht um ein Tagebuch ähm und keine Rechtsgrundlage. Bedeutet in diesem Zusammenhang, dass kein Konzentrer existierte beziehungsweise die entsprechende Checkbox nicht geklickt wurde Die Rechtsgrundlage des berechtigten Interesse hätte nahe gelegen, wird aber von der Datenschutzaufsichtsbehörden für nahezu nichts mehr als zulässig angesehen. Stattdessen wird an der Realität vorbei, überall, auf die informierte Einwilligung beziehungsweise auf Concent-Banner gesetzt. Ähm Anmerkung von mir. Na ja, das mit dem an der Realität vorbei äh ist so eine Sache, das ist halt genau die DSGVO, ja. Ähm weiter geht's, die sich Anschließende Frage, ob es für einen immateriellen Schadensersatz einer gewissen Erheblichkeit der Persönlichkeitsrechtsverletzung bedarf, liegt gerade beim EuGH. Bis zu einer anderslautenden Entscheidung des EuGH kann jedes Gericht vertreten, dass alleine der Verstoß gegen die DSGVO ausreicht, immateriellen Schaden zu begründen, was im Begriff des Kontrollverlustes über Daten zum Ausdruck kommt. Wenn also bei meinem Besuch einer Webseite ein Concentbanner fehlt, führt das zu einem Kontrollverlust über meine personenbezogene Daten, der schon zum Schadensersatz berechtigt Aha. Kann man so machen. Hat aber natürlich mit der Realität im Netz nichts zu tun und bringt auch keine Kontrolle über meine Daten zurück. Webseitenbetreiberinnen bekommen aufgrund von Urteilen wie diesem existenzielle Probleme, die 100 Euro ihr potentiell pro Userin gezahlt werden müssen, Das Risiko ist auch nicht nur theoretisch. Legal Tech-Unternehmen sammeln bereits fleißig Schadensersatzansprüche ein und machen diese gebündelt geltend. Das Risiko für sehr simple Dinge, wie den Betrieb einer Webseite, steigt so ins Unermessliche. Ich lese den Kommentar jetzt doch mal vor. Eine weitere merkwürdige Entwicklung ist, dass Gerichte und Aufsichtsbehörden die Übermittlung von IP-Adressen in die USA untersagen, Auch wenn ein Konzertbanner geklickt wurde. Nach dem Verwaltungsgericht Wiesbaden-Beschluss 2021 und der österreichischen Aufrichtsbehörde ist der Einsatz von US-Dienstleistern unzulässig. Bekanntlich dürft, dürfen. Nach dem Shrimps zwei Urteil des EuGH Duaten nur noch dann in unsichere Drittländer wie die USA übermittelt werden. Wenn die vom EuGH zusätzlich zum Abschluss von Standardvertragspause geforderten Additional Safeguards umgesetzt wurden, was in aller Regel nicht möglich ist. Dabei ist es völlig egal, ob die Übermittlung an Google, Facebook erfolgt oder an andere US-Unternehmen wie Cookie, Außerdem ist egal, ob es um IP-Adressen oder um sensible Daten geht, weil ein risikobasierter Ansatz von den Aufsichtsbehörden nicht akzeptiert wird, Nach der Rechtslage ist also nicht Google, geschweige denn ein bestimmtes Produkt wie etwa Webfonds. Das Problem, sondern die USA als solche sind es. Dies mit der Begründung. Weil sich US-Sicherheitsrechte und DSGVO in der Tat schlecht vertragen. Dass sich EU-Sicherheitsgesetze und DSGVO, in gleicher Weise schlecht vertragen, bleibt dabei unerwähnt. Was für eine Scheinheiligkeit, Mal ganz ehrlich, sollen diese Probleme wirklich von einzelnen Webseitenbetreiberinnen gefixt werden, indem man ihnen aufge keine IP-Adressen in die USA zu schicken oder um Himmelswillen keine Google-Produkte einzusetzen. Das zu glauben ist der Fixierung auf das vermeintlich aufgeklärte Individuum meines Erachtens hoffnungslos naiv und führt außerdem zu einem riesigen Vollzugsdefizit. Wie du Lines schon richtig sagtest, haben Google von uns Google und Facebook durch die Login-Daten grade vom Einwilligungsparadigma nochmal prächtig, profitiert. Ich denke, es braucht politische Lösungen für politische Probleme. Politische Lösungen werden gebraucht, um die staatliche Überwachung der Bürgerinnen weltweit auf einen erträgliches Maß zurückzuführen, um zu entscheiden, welches Private private Tracking, möglich sein soll und welches nicht und um die viel zu große Macht von Google, Facebook et cetera einzudämmen. Die informierte Einwilligung und Kontrolle über Daten sind große und schädliche Irrtümer des gegenwärtigen, Schutzes, die beim Erkennen und Lösen dieser Probleme im Wege sind. So jedenfalls meine Meinung, und mich würde interessieren, was ihr darüber denkt. Grüße und Dank Philipp. Tja, äh das ist äh äh. Die also ich würde zunächst einmal sagen die Argumentation ist schon zutreffend. Zeigt aber natürlich auch, dass gewissermaßen, der Zug so dummerweise halt einfach abgefahren war, als die DSGVO dann endlich mal verabschiedet wurde. Ja ähm. Gewissermaßen ist es tatsächlich korrekt. Ich meine, ich weiß nicht, wann Google angefangen hat, und also ich meine die die guten Ideen ne waren der Like, but in Google Analytics irgendwelche Sachen die halt eingebunden werden Google Funs auf jeden Fall auch eine super Idee at um möglichst viel in in anderen Seiten eingebunden zu sein. Gleichzeitig haben wir heute nicht mehr unbedingt das Problem, dass die ihre, Schüler in alle möglichen Webseiten reinheben, sondern ähm inzwischen ihrem Ziel relativ nah sind, zumindest Facebook, Quasi das das wird vollständig durch ihren ähm Park da zu ersetzen und da ist natürlich also kann es nicht unser Ziel sein. Philipp Recht, wenn wir jetzt ein Abmahnrisiko für Einzelwebseitenbetreiberinnen herbeiführen, weil das letztendlich die Leute nur dazu drängt zu sagen, eine Facebook-Seite, sonst kommen wieder die Abmahnasis. Ne? Insofern äh vielen Dank äh, Lieber Philipp, ähm etwas äh kürzer, ergänzte dazu noch MSP, da kürzt sich aber jetzt ein bisschen die gewerbsmäßigen Abmannskanzleien brauchen jetzt nur ihr Suchskript auf Googles lassen und die Serienbriefdruckmaschine anwerfen. Zentrale Funktionalität des World Wide Webs ist es auf externe Quellen äh zu verlinken oder diese einzubinden. Du hast geschrieben Extreme. Ich glaube, du meinst Externe. Oder oder bei uns stimmt das Ceming nicht in in. In den Kommentaren. Drittens, wo soll das enden allein die IP-Adresse an Googlefonds ein Problem ist, was ist dann mit Seiten, die Google Ads drin haben. Wenn man das weiterspinnt, könnt ihr jede Seite, die noch so was wie Bootstrap oder Jackfil über einen CDN nachlädt, dafür belangt werden. Äh weil sie die IP des Nutzers weitergegeben hat. Technisch gesehen gibt der Seitenbetreiber die LP nicht an Google weiter. Es wird lediglich ein HTML ausgeliefert, das beschreibt, welche Inhalte an welchen Orten zu finden sind und wie diese angeordnet werden sollen. Ja, das äh ähm, dann äh der Pro-Tipp, genau das ist ja das. Wer ganz auf Nummer sicher gehen will, lernt HTML, CSS und Java-Script, lädt sich die Seiten mit Curl und stellt sich vor seinem inneren Auge vor, wie das dann ausgesehen hätte. Wer das kann, hätte dann aber vermutlich auch verstanden, wie das Internet funktioniert und käme nicht auf die Idee, solche weltfremden Urteile zu erlassen. Okay, also zwei äh denke ich sehr gut begründete äh Kommentare zu diesem Urteil. Kann Torke, wie siehst du das?
kantorkel
Bisschen anders. Also ich finde schon, dass das ein Problem ist, wenn, Webseiten einfach irgendwelche Schnipsel einbinden, weil sie zu faul sind, diesen Schnipsel einmal auf den eigenen Server zu kopieren, so das ist ja keine Arbeit und häufig sind sorry Sachen oder Bootstrap-Geschichten. Teil eines Templates, die ohne weiteres Lokal liegen könnten, das heißt, man könnte ganz leicht für ein bisschen mehr Privatsphäre im Netz sorgen.
Tim Pritlove
Ja, es gibt aber auch andere Aspekte, also zum Beispiel der Pot Love Webplayer, ja, den wir hier irgendwie auch äh auf dieser Seite benutzen so. Da gibt's in der Tat einen CDN, das ist irgendwie so eine, Geschichte, hat sich halt so ein CDN bereit erklärt, so ja okay hier für Open-Source-Projekte stellen wir das bereit, damit dieser Webplayer immer in der aktuellen und vor allem immer in der aktuellen und gepatchten, von da geladen werden kann. Ja, du stellst damit auch sicher, die Scheiße nicht outdated, weil wenn die Leute immer irgendwie manuell gucken müssen, oh neues Release und so oh jetzt habe ich aber Angst irgendwie das hier reinzubauen, mache ich irgendwie nächste Woche, nächsten Monat, nächstes Jahr, drei Jahre später immer noch nicht, dann hast du halt auch, dieses Problem, weil es gibt also wirklich auch Anforderungen und es macht dann auch Open Source schwieriger. Ne, an der.
Linus Neumann
Dann auch zur Konsequenz wenn die jetzt alle den Pottler für Player von dort laden, dass die Wahrscheinlichkeit bei dem Besuch einer weiteren Webseite, dass der schon gecasht vorliegt. Hoch ist oder verhindert, dass irgendwelche ich dachte, das wäre der Grund, warum man da diese Jakes extern. LinkedIn, weil man dann davon ausgeht, dass die einfach schon im Cash liegen. Kein Torkel kennt sich da besser aus.
kantorkel
Ja, da kenne ich mich auch nicht besser aus, aber wir leben in einer Gigabit-Gesellschaft, da sollte das doch dann egal sein, ob's gecasht ist.
Linus Neumann
Also sagen wir mal so, ich bin jetzt nicht unbedingt Teil der Gigabit-Gesellschaft, aber ich bin mir sicher, dass es inzwischen einer auf diesem Planeten gibt und irgendwann wollen wir da auch mal hin, ja.
Tim Pritlove
Ja. Ich will ich will halt nur sagen, die Vorstellung, dass das immer alles sofort besser ist, wenn das jeder lokal hält. Die ist halt auch begrenzt. Also es gibt natürlich auch sehr viele gute Gründe, das genauso zu machen. Ähm über solche zentralisierten oder teilzentralisierten Systeme. Weil das auch Vorteile bietet so und womit dann womit man dann zum Beispiel auch mit sowas wie Open Source äh dann auch mit anderen Sachen mithalten kann, ne. Na ja.
Linus Neumann
Dann haben wir äh zum Thema Krypto-Coins und Blockchains, um da jetzt mal, hinzukommen. Natürlich eine Reihe ähm äh sagen wir mal wirklich ähm, ja ökonomischer äh Einlassung. Die natürlich den Vergleich zu Gold machen und Gold habe keinen Wert. Ähm ich würde dem nur äh entgegensetzen. Es stimmt, ja, wenn keiner Gold bräuchte, äh dann hätte Gold auch keinen Wert. Ja, das also ist richtig. Ärgerlicherweise hat sich jetzt der Wert von Gold tatsächlich über über Jahrhunderte ganz ganz gut, also es ist relativ unwahrscheinlich davon auszugehen, dass Gold überhaupt keinen Wert mehr hat und es gibt glaube ich einen entscheidenden Unterschied, warum ich den Leuten potenziell zum Kauf von Gold raten würde. Gold hat so einen Security-Modell, was die Menschen verstehen. Ja? Du kannst ihr wohl so ein Goldbarren nehmen, weißt du, wenn ich den jetzt auf dem Nachhauseweg verliere, dann ist der weg, wenn ich irgendwo Gold kaufe und das nie sehe, dann ist dieses Risiko irgendwo bei einem, wie heißen die denn dann sowieso ETC oder was auch immer dann ist das Risiko irgendwie dort und wenn ich Pech erwarte Gold gar nicht so ne da verstehen die Leute das irgendwie während du in dem Kryptobereich natürlich die ganze Zeit, Experten hast, die das Sicherheitsmodell nicht, verstanden haben und ich weiß gar nicht wer uns diesen Artikel zugelingt hatte oder ob du den gesammelt hattest Tim das Karlsruher ZKM hat durch einen Copy-Paste-Fehler den Zugang zu zwei Krypto-Punk NFTs im Wert von 4hunderttausend Euro verloren. Die haben also wollten das diesen NFT offenbar irgendwie transferieren und haben dann bei der Empfängeradresse einen Fehler gemacht und jetzt ist, jetzt gehört das Ding halt quasi einer anderen, irgendeinem Smart contract oder so äh zu denen auf denen sie aber keinen Zugriff haben und auch niemand anders, ja. Also man müsste jetzt wahrscheinlich, wenn ich das jetzt hier aus diesem Artikel richtig verstehe, müsste man im Zweifelsfall ein Private-Key zu diesem Public Key versuchen zu faktorisieren und dann ähm, dann dann könnte man vielleicht wieder diese NFTs hinkriegen, aber das finde ich auch sehr schön, weil dieses Monopolmagazin gratuliert nämlich und sagt äh herzlichen Glückwunsch. Es ist ja die Aufgabe eines Museums Kunst vom Markt zu nehmen, haben sie geschafft. Das wäre dann halt mit einem Picasso oder mit Gold nicht passiert, weil sie da das Risikomodell verstehen, ne.
Tim Pritlove
Das Goldmodell ist äh hat noch noch zahlreiche andere äh Vorteile, ne. Also vor allem äh das Geile ist, wenn du Goldbarren bei dir zu Hause lagerst. Habt ihr das schon mal gemessen hast bei deinem riesigen Goldvermögen, was du ja sicherlich schon angehäuft hast.
Linus Neumann
Das passt so eine Waage habe ich nicht. Die gehen immer kaputt.
Tim Pritlove
Es geht nicht um eine Waage. Du musst einfach mal den Stromverbrauch äh messen von von den Goldbarren. Hast du das mal gemacht.
Linus Neumann
Na ja, relativ gering.
Tim Pritlove
Ist überschaubar, ne.
Linus Neumann
Also ich habe meinen meistens gar nicht an der Steckdose.
Tim Pritlove
Hält ewig, ne. Ich habe ich bin immer noch bei der ersten Ladung, also es ist einfach unglaublich.
Linus Neumann
Nicht meinen, ja, also das ist wirklich echt Öko. Äh allerdings äh ähm wäre ich jetzt vorsichtig Tim, weil gleich hast du die ähm Gold Mining, ja. Ich weiß jetzt nicht. Goldmeiing oder Krypto-Mining der größere Scheiß ist. Ja also.
Tim Pritlove
Ich sage nur, wenn es einmal gemeint ist, ja, dann brauchst du keinen Strom mehr für. Das also äh da kann auch die Infrastruktur um dich äh zusammen herum komplett einbrechen ja also wenn ihr alles weg platt gemacht wurde und so weiter. Gold ist auch danach, egal was passiert ist, ne? Thermo null Clear Krieg und so weiter. Am Schluss wirst du also wenn's wenn überhaupt noch jemand überlebt hat, so Gold ist bestimmt das Erste, was wieder was wert ist so.
Linus Neumann
Oh okay, der okay, da bist du jetzt äh wie wo wo ist unser Goldangebot hier, was wir den Hörerinnen und Hörern machen? Äh. Also.
Tim Pritlove
Äh nicht NFT äh Custom LNP ähm Goldbarren, so reingestanzt.
Linus Neumann
Hör mir auf. Es ist ich habe schon wir können ja mal einen challenge coin machen.
Tim Pritlove
Na ja. Ein weiterer schöner äh Kommentar äh kam von Erich Klotz und ähm auch da ging's um unsere geliebte Datenstruktur, die Blockchain und insbesondere die Frage äh nach der Zentralisierung. Erich äh sagte alles richtig, was ihr zum Blockchain gesagt habt. Allerdings hat mir in der Deutlichkeit noch etwas gefehlt, was in diesen Blockchain-Diskussionen vielleicht hilft. Erstens, die Blockchain ist als Datenbanktechnisch jeder anderen Datenbank unterlegen und schafft dazu noch zusätzliche Probleme. Sie ist unglaublich ineffizient. Sie hat Datenschutzprobleme, weil alle alles sehen. Sie frisst unheimlich viel äh Energie, darauf sind wir teilweise eingegangen und man kann alte Daten nicht löschen und oder korrigieren, was ja völlig absurd ist, wenn man eine Datenbank haben will. Die Blockchain ist technisch immer die schlechtere Lösung, aber man kann sich damit das Feature keine zentrale Instanz einkaufen. Ja also das ist ja auch äh sagen wir mal so und da müssen wir wahrscheinlich eh noch mal ein bisschen mehr drüber reden, ne? Diese ganzen, Argumentationsmemes, die da in dieser äh Szene vorgehalten werden, die da so mantramäßig immer wieder gekreutert werden. Und das mit dieser Zentralisierung, das ist halt äh so ein Ding, aber vor allem die Behauptung äh ja völlig unabhängig davon welche Probleme es jetzt gerade gibt. Ist ja Blockchain eine totale Zukunftstechnologie. Wo man halt immer fragen kann warum eigentlich? Also so ein Glaube, der so immer wieder wiederholt wird, aber der dadurch halt nicht nicht nicht richtiger wird, weil's weil's halt einfach überhaupt gar keiner also es gab ja noch nicht mal in den letzten 13 Jahren irgendeine eine Anwendung, Abgesehen von, dem, was sozusagen von Anfang an da war und äh wir haben ja auch schon gerade in der letzten Sendung über zahlreiche Beispiele, wie Zeugnisse und so weiter gesprochen. Die Wutz war eine Blockchain zur Anwendung kommt. Aber sie halten nicht die beste Lösung ist.
Linus Neumann
Aber nur kurz.
Tim Pritlove
Wenn du nur nur sehr kurz, na ja.
Linus Neumann
Karton wie viel Krypto hast du?
kantorkel
Ich dachte lange keine. Dann habe ich kürzlich in zehn Jahre altes Wallet gefunden. Aber jetzt habe ich wieder keine.
Linus Neumann
Nein. Sagt er äh war da äh was hast du jetzt? Ein Haus, ein Gartentessler.
kantorkel
Ja, ich muss nie wieder arbeiten.
Linus Neumann
Ja herzlichen Glückwunsch.
Tim Pritlove
Toll, super.
Linus Neumann
Lange genug gehoodelt.
Tim Pritlove
Wir laden jetzt hier auch nur noch Multimilliardera äh in die Sendung ein.
Linus Neumann
Also wirklich einen größeren Betrachter gefunden.
kantorkel
Nennenswert, also doch ein ein ordentlicher, ein sehr ordentlicher Urlaub ist drin.
Linus Neumann
Super. Herzlichen Glückwunsch.
Tim Pritlove
Ja, super. Gibt noch Leute, die ziehen noch über die Müllhalden und so in ihre Alte fest.
Linus Neumann
Das heißt du du verkaufst jetzt die die Bitcoins und fliegst damit immer noch die Atmosphäre kaputt.
kantorkel
Irgendwie muss man das Klima ja nein.
Tim Pritlove
Kommen wir später zu deinen weiteren moralischen Verfehlungen.
Linus Neumann
Genau, der Erich kommt nämlich jetzt zum richtigen Argument.
Tim Pritlove
Genau. Keine zentrale Instanz ist absolut zu verstehen, sagt er. Der Grad an Zentralität ist kein Kontinuum um, sondern diskret, also null oder eins, entweder du hast null zentrale Instanz, dann macht eine Blockchain unter Umständen Sinn oder du hast eine zentrale Instanz, dann kannst du das zwar trotzdem mit Blockchain machen, handelst die aber umgenannte Probleme und Nachteile ein. Eine zentrale Instanz, auch gerne ein Kontinum an Zentralität aufweisen, also ob die zentrale Instanz einfach nur, ein Konzern ist oder ein wie auch immer geartetes Konsortium, zum Beispiel Universität, Kliniken, ein Staatenverbund wie die EU oder ein einziger Staat wie Deutschland, dessen Gesundheitswesen Automobilzulieferer mit einer richtigen mit null zentraler Instanz würde sich ja ein Staat oder ähnliches wie oben beschrieben, selbst delegitimieren. Wenn ein Land zum Beispiel Bitcoin als Währung verwendet, gebe es einen essenziellen Teil seiner Daseinsberechtigung auf, Zentralbanken können wir alle zumachen, einfach nur völlig absurd, dass ein Start Blockchain-Projekte fördert und sich damit selbst abschafft und Anarchie einführt. Manche haben's verstanden, steht zum Beispiel im Whitepipper von Libra, dieser Facebook Kryptowährung, die jetzt die heißt und kürzlich für beendet erklärt wurde. I'm like regular Blockchains, the Librar Blockchain is the single data strugger. Ähm und auch China, die ihren E-Juan einführen wollen, haben die Blockchain als potenzielle Technologiebasis auch beerdigt. Ist auch klar, eine Diktatur checkt das schneller, mit dem keine zentrale Instanz. Viele Grüße Erich. Äh PS OK vielleicht sollten Geheimdienste Blockchain verwenden. Das mit dieser Zentralität, das ist wirklich so eine Sache, ne. Also äh es häufen sich ja jetzt auch die Berichte, dass diese hm zunehmende Zentralisierung oder Aggregierung von von Mining-Pools, also wo sozusagen sich Mining Puls zusammenschließen, weil sie ja, gemeinsam auch ihre Ressourcen effizienter zum Einsatz bringen können, dass die halt in manchen Kryptowährungen schon die 50 Prozent erreichen und äh da ist man auch bei den, populäreren Kryptocoins äh gar nicht so weit von entfernt. Das wird dann auch noch mal ganz äh spaßig sein, wie das so ausgeht.
Linus Neumann
Das wird der äh der Staat schafft sich ab. Äh erinnert mich an ein Statement, was ich letztes Jahr, zweiundzwanzigsten April, einundzwanzig in einer äh in einem Fachgespräch mit dem Bundeskanzleramt abgegeben habe, da hatte ich ein paar Minuten Redezeit und dann habe ich auch gesagt, darf ich Sie bitte daran erinnern, dass Sie ein Staat sind? Und dass die Blockchain erfunden wurde, um sie äh, und um sie abzuschaffen, kann jeder sie dazu raten, potentiell nicht zu machen, ja. Äh habe ich auch nochmal ähm habe ich auch nochmal verlinkt. Vergabeprojekten Tim.
Tim Pritlove
Genau. Äh hier haben wir einen äh zwei Kommentare bekommen. Einmal von nee, drei sind's sogar, sind sogar genau, wir haben ja darüber gesprochen, wie das so allgemein gehandhabt wird, so mit Blockchains und ähm den Bundesregierungen und den ganzen Projekten und ein bisschen darüber gerätselt, warum denn das so ist und wie das so läuft, Dazu kommentiert J H. Noch ein Nachtrag zum Thema Blockchain als Digitalisierungsberater bekomme ich öfters auch den Einblick in das eine oder andere Projekt des Bundes und es ist leider genauso schlimm und schlimmer als ihr das im Podcast beschreibt. Es gibt eine offizielle Blockchain-Strategie der Bundesregierung um Deutschland zum Blockchain-Standort zu machen, welche beim BMZ, BMZ, BMZ was BMZ Bundesministerium für Zusammenarbeit oder was?
Linus Neumann
Ich Google Berufsmatoritätsschule Zürich sorry.
Tim Pritlove
Nein, Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung, genau. Also was beim BMZ dazu führt, dass es Vorgaben für untergeordnete Stellen gibt, dass Digitalisierungsprojekte mit Blockchain umgesetzt werden sollen, Deshalb haut die KfW da im Moment auch ein Blockchain-Projekt nach dem anderen raus, Neuestes Projekt ist wohl der Fälschungssichere Austausch von Dokumenten zwischen KfW und Entwicklungsländern. Was? Da werden dann eben Millionen versenkt, um eine Lösung für Probleme äh zu entwickeln, die man äh auch ohne weiteres mit einem sechsstelligen Budget und Standardlösungen lösen kann. Freue mich schon auf den ganzen Migrationsprojekte in fünf Jahren, wo man Berater dann viel Geld in die Hand drückt, um diese Systeme, die man gerade baut, wieder auszutauschen. Also das ist auf jeden Fall schon mal ein ganz interessanter Einblick. Ähm. So kann man das ähm, Ja, so muss man sich das wahrscheinlich vorstellen. Zweiter Kommentar Martino schreibt Blockchain Bullshit. Die ganze Lage um Blockchains stellt sich für einen Lieferanten wie folgt da. Früher war das Buzzword übrigens künstliche Intelligenz. Die es gerade etwas stiller geworden. Es gibt eine Ausschreibung für einen Blockchain-Projekt. Da Blockchain in der Ausschreibung explizit gefordert wird, wie ihr schon sagte, das ist gerne die Voraussetzung für das Budget. Bietet man natürlich irgendwas mit Blockchain an? Dann gewinnt man die Ausschreibung, will das Projekt liefern und wirft einen Blick auf die Situation beim Kunden. Dabei stellt man fest, dass der Kunde IT-technisch völlig katastrophal arbeitet und das Blockchain-Projekt daher niemals funktionieren kann. Unabhängig von der Blockchain. Es wird also ziemlich schnell klar Dass das Projekt wir angeboten nicht umsetzbar ist und wenn man den Vertrag nur halbwegs sinnvoll geschlossen hat, gibt es darin Mitwirkungspflichten, die der Kunde vorne und hinten nicht erfüllen kann. Also setzt man sich gemeinsam hin und verständigt sich darauf, dass man nun mal die IT modernisiert und das Budget dafür verwendet. Vielleicht muss man am Ende eine schnell zusammengeschraubte Blockchain liefern, damit der Kunde das guten Gewissens abnehmen und die Zahlung freigeben kann. Am Ende ist es ein Win-win, weil der Kunde eine moderne Infrastruktur hat und der Lieferant dafür bezahlt wurde. Hätte man das allerdings von Anfang an so ausgeschrieben es dafür kein Budget gegeben. Die Reibungsverluste im Aufwand und der Qualität des Ergebnisses machen das ganze System natürlich Steuerzahler extrem frustrierend und wie ich hinzufügen darf teuer. Und äh Mark hat dann auch noch was zu dem äh Themenbereich äh zu sagen. Ganz kurz, habe drei Monate Vertretungsweise als, an einem Softwareprojekt einer ziemlich großen Bundesbehörde mitgearbeitet nur noch raus. Wie kann man nur in dem Umfeld arbeiten ohne zum Zyniker oder zum Alkoholiker oder beides zu werden?
Linus Neumann
Weiß ich nicht. Ich äh gibt auch glaube ich wenig Leute, die überhaupt den Beweis antreten, dass das äh überhaupt möglich wäre, ne?
Tim Pritlove
Ja
Linus Neumann
Hast du Erfahrungen mit äh Softwareprojekten in Behörden?
kantorkel
Mit Blockchain ja mit Behörden? Nein. Ähm ich möchte davon abstand.
Linus Neumann
Wie mit dem Blockchain-Projekte, was hast du da.
kantorkel
Ähm also Sie sagen immer, Sie sind keine Blockchain, sondern Distributed Letter, Jota, ähm, Und immer wenn da irgendwas kaputt war, ich weiß nicht, wie's heute aussieht, aber früher haben sie das Ding dann ausgemacht bis die Probleme behoben waren und Dezentralisierung kommt später.
Linus Neumann
Da hast du mitgearbeitet oder hast du das immer kaputt gemacht.
kantorkel
Nee, nee, nee, ich habe mir das nur angeschaut, kaputt gemacht habe ich dann natürlich nichts.
Linus Neumann
Alles klar.
Tim Pritlove
Gut ähm noch mehr Feedback. Kryptogeld und wie das so eigentlich mit ähm, mit den sonstigen Zahlaktivitäten dort stattfindet Anna hat zwei schöne Kommentare. Danke für die Ausführung zur Bitcoin-Blase, aber ich glaube, ihr habt einen Mechanismus, der die Bitcoin stürzt. Bisher noch übersehen oder zumindest nicht erwähnt. Neues Geld kommt ja nicht nur in den Markt, wenn sich jemand freiwillig entscheidet, jetzt noch einzusteigen, sondern auch jedes Mal, wenn jemand gezwungen wird, zu kaufen, um seine IT wieder in Schlüssel zu lassen. Solange es diese Art von Erpressung in relevanter Anzahl gibt und die Lösegelder in Bitcoin gefordert und gezahlt werden, wird die Blase wahrscheinlich nicht platzen. Also ich habe keinerlei Kenntnisse darüber, wie viel Erpressungsgelder bezahlt wird? Kann mir allerdings auch nicht vorstellen, dass das jetzt.
Linus Neumann
Nee.
Tim Pritlove
Gleich zu dem, was so jetzt äh NFT-mäßig eingeworben wird, dass das irgendwie einen großen Anteil ausmacht.
Linus Neumann
Also da gehen schon natürlich immer mal wieder äh nennenswerte Beträge über den Tisch. Hm aber das glaube ich nicht, dass das ein also dass das jetzt der der ein ein sehr großer Anteil des äh Crypto Currency-Marktes ist. Da ist die Spekulation, denke ich, doch sehr viel größer. Aber ähm. Hat natürlich recht. Es gibt eben und das habe ich glaube ich auch schon öfter hier versucht in der Sendung zu erklären. Das habe ich auch in meinem Vortrag zu sagen. Äh es gibt eine Basisnachfrage und diese Basisnachfrage, was weiß ich, kaufe Drogen, äh zahlt ähm Lösegelder und so weiter. Und rechnet in Dollar. Oder in Euro und das heißt, diese Basisnachfrage als Transaktionswährung die interessiert sich eigentlich nicht für den Bitcoin-Kurs. Ja, weil die Angreifer sagen, alles klar, wir wollen was weiß ich, eine Million US-Dollar haben in Bitcoin oder IFA oder was auch immer und da ist der der der, aktuelle Kursrelevant. Ähm, nur für diese Transaktion. Das ist denen nicht egal, dass die sagen, ah heute zahlen wir mal nicht eine Millionen US-Dollar in Bitcoin, weil der Bitcoin zu hoch steht. Ne, das machen die ja nicht. Insofern klar, es gibt eine Basisnachfrage, die das als Transaktionswährung nutzen, genau den willst du natürlich auch, also an die kannst du es immer loswerden und die gehen auch jeden Preis mit. Sodass die Nachfrage eben auch bei absurden Preisen nicht abbricht.
Tim Pritlove
Hat auf jeden Fall noch einen zweiten schönen Kommentar hinterhergeworfen und meinte ich sprach gerade vor einigen Tagen mit meinem Versicherer über das Thema und er erzählte mir, dass seine Versicherung Bitcoin kauft, um das Lösegeld zahlen, wenn es jemanden erwischt, der sich dagegen versichert hat.
Linus Neumann
Glaube ich nicht Ähm das machen tatsächlich seit längerer Zeit äh sogenannte Daten-Wiederherstellung. Und äh der Hintergrund also der Hintergrund warum die Versicherung sich nicht trauen wirklich selber diese Bitcoins zu bezahlen ist das ähm, Die USA jetzt schon länger ähm am Horizont drohen und es wird auch in Deutschland droht das ja auch, dass sie im Prinzip gegen die Zahlung von Erpressung. Dass sie die illegalisieren wollen im Sinne von das ist Unterstützung von Terror. Ja und die äh was ist jetzt heute schon gibt sind äh sagen wir mal sogenannte Datenrettungsunternehmen. Die dir dann eine ordnungsgemäße Rechnung mit Mehrwertsteuer und so weiter stellen über eine erfolgte Datenrettung. Ähm die hast du die ist natürlich sehr viel günstiger oder sehr viel praktischer bei der Versicherung einzureichen und auch steuerlich insgesamt einfach sehr viel praktischer als irgendwie so ein sehr volatiles Bitcoin-Investment, und und damit ist quasi das Risiko Ja, der der Kursschwankungen und so weiter und auch kannst du jetzt schnell zahlen äh an diesen Dienstleister gegeben und der ich habe da tatsächlich auch mit Versicherungen drüber gesprochen, habe denen damals gesagt, also ich würde an eurer Stelle äh in diese investieren. Da haben die quasi gesagt, da da können Sie quasi von der BaFin-Seite können Sie damit nicht umgehen. Ähm Sie wissen nicht, also Sie Ihre weißt du, ihre Zahlungsabwicklungsprozesse sehen das irgendwie nicht vor und die waren also sind auch tatsächlich interessiert. Genau diese Sache an äh Dienstleister auszugliedern. Mit anderen Worten, ich widerspreche äh anderen nur an dem Punkt, dass es die Versicherung selber macht. Dass es da schon einen Markt gibt, der im Prinzip sagt, hier wir wickeln ein Lösegeldzahlung ab und zwar schnell und zügig und wir sind vorbereitet und wir haben hier Hot Wallets und so weiter, das äh ist schon der Fall, ja.
Tim Pritlove
Ja und äh ansonsten gibt's generell viel Diskussion noch äh keinen weiteren äh Kommentar machen. Ich habe bloß noch ein paar nach noch ein schönes Video gefunden, was insbesondere diese Geschichte mit den NFTs nochmal. Aufgreift und vor allem so das erste Video äh was isoliert nur diesen Aspekt der NFTs aufgreift, was es damit auf sich hat, beziehungsweise vor allem, was es damit nicht auf sich hat und das interessanterweise ohne wirklich technisch zu werden. Das habe ich äh so bisher auch noch nicht gesehen. What the hell a NFT äh verlinkt findet ihr den äh Schonus. Da kann man sich auf jeden Fall mal anschauen. Da wird das also sehr schön, aufgedröselt wie nichts verkauft wird so, also die sozusagen so dieser dieser Handel mit nichts, der der kommt hier schön raus. Gibt auch ein paar schöne, lustige Webseiten, die irgendwie sich ähm nicht anpreisen, so äh zum Beispiel die Webseite, das kann dann in den Kommentaren Usles äh Token The Worlds first one hundred percent oneist, eat the real ICO. So nach dem Motto kauf uns nicht. Äh wir wir sind zu nichts gut und dann aber auch schön die ganzen Features aufführt, warum es zunächst äh gut ist und im Kontext von LFTs gibt's auch äh noch äh, NFT Punkt org das Pirat mit NFT in One ist. Äh One ist äh Crypto Scam. So wo man dann halt so passende Links hat so hier Learn More get scampt, So und äh ja das ist alles schön äh aufdröselt, also gibt da auch einen zunehmenden Maße, eine Menge Versteher Potential das ist auch ganz gut so und konkret was diesen ganzen Beschiss der da gerade abläuft mit NFTs auch nochmal äh aufdröselt ist ähm interessanterweise bei den Online-Marketing äh Rockstars, hätte ich jetzt äh ehrlich gesagt nicht erwartet, ein schöner.
Linus Neumann
Das sind Rock-Marketing-Rockstars. Natürlich verkaufen die Diäten einen Scheiß.
Tim Pritlove
Nee, das ist tatsächlich ein äh Artikel, der halt mal diese ganz dieses ganze Geflecht von ähm Besitzern und diese Pampenda die dahinter äh stecken, wie so die Preise hochgedrückt werden und wer da alles an diesen ganzen Unternehmen beteiligt ist und welche Stars, da Paris Hilton und so Jimmy Vellan da im Fernsehen dann irgendwie ihre ihre komischen NFT-Affen äh bewerben, aber da selber auch mit dran beteiligt sind und so weiter. Also dieser ganze, Beutezug, der da gerade medial gestartet wird, um sozusagen die Greater Fools zu finden, ne. Also Leute, die noch blöder sind als die bisher, äh Geld da reingesteckt haben, damit die die noch bisschen weniger blöd sind, was abkriegen ja, brauchst du ja sozusagen immer noch die noch blöderen. Die und auf der Suche nach Greater Fools ist das Ganze halt mittlerweile so panisch geworden, dass sie halt jetzt die totale Medienattacke machen. Das geht halt irgendwie bei Hollywood-Stars im Fernsehen, äh, die Fußball liegen Europas werden mittlerweile damit äh unter Druck gesetzt, also auch in der Bundesliga jetzt was jetzt aus dem Stand 3 Bundesligavereine, schon irgend so ein NFT-Unsinn haben aufschwatzen lassen, da selber mit anbieten oder zumindest äh Ärmel-Trikotwerbung äh haben für irgendwelche.
Linus Neumann
So ein Fußballer letztens gesehen, wo Krypto dot com oder so was vorne drauf stand.
Tim Pritlove
Es ist es es geht einfach gerade um sich und es ist es ist also wirklich ein ein ein totaler so. Also es ist.
Linus Neumann
Wenn du äh weißt du, wenn du wenn du Millionen hast und noch Leute und und Milliarden machen kannst, weil du noch ein paar Idioten, aber du brauchst ein paar Idioten, die dir noch ein Affenbild abkaufen, ne. Dann äh musst du Fernsehwerbungen machen.
Tim Pritlove
Das Geilste war ja hier Coinbase beim beim Super Bowl, hast du das mitbekommen? Die haben so, wenn sie sich so in 30 Sekunden der teuerste Werbeclip, den du so schalten kannst beim beim beim im Fernsehen, ne? Ich weiß nicht genau, was sie da abdrücken müssen, aber dreißig Sekunden Superbowl, Halftime, irgendwie Werbung äh kostet richtig Asche und dann hat Coinbase irgendwie auch so eine komische äh Exchange-Plattform. Einfach nur so ein QR-Code. Über den Bildschirm laufen lassen.
Linus Neumann
Ach so, damit haben Sie irgendwie das Internet kaputt gemacht, ne?
Tim Pritlove
Der auf ihrer Webseite zeigt. Das Internet nicht, aber ihre eigene Webseite war dann down. Kann man auch als Erfolg werten, aber ähm na ja, aber.
Linus Neumann
Da mal auf die Zentralisierung gesetzt, ne?
Tim Pritlove
Ja, aber auf dem Level sind wir dann halt jetzt schon, ne? So richtig hier trallala und ich glaube, das war auch nicht das Einzige.
Linus Neumann
Es wurde uns auch noch ein Artikel empfohlen in dem, Magazin recht innovativ äh wo eine Juristin nämlich Claudia Otto äh in die Pyramiden von, das mal auch so ganz in Ruhe erklärt hat, wie Schneeballsystem und so natürlich dann auch nochmal die ganzen juristischen. Einordnungen dazu hat. Ähm. Auch äh spannend zu sehen, ob da nicht dann doch bald irgendwann mal äh was was passiert, ja in in diesem Bereich.
Tim Pritlove
Ja äh sehr komplexer Text. Ich hatte den auch äh angefangen zu lesen ist lang und äh komplex, aber ist mal ganz interessant, weil sie das eben auch wirklich aus so einer juristischen Perspektive äh heraus betrachten. So, ne und dann auch so interessanten Schlüssen kommen. Äh können wir vielleicht später noch mal drauf eingehen.
Linus Neumann
Das Spannende ist, die Juristen kennen ja diese ganzen Scams schon. Ja, das Recht hat ja schon vieles gesehen, ja. Nur weil der jetzt Blockchain dran steht, hat sich ja nicht die Betrugsmasche wirklich geändert. Insofern ist das immer ganz schön zu sehen, ja, ja. Dat hatten wir alles schon hieß noch nicht Blockchain.
Tim Pritlove
So und damit wären wir dann äh äh mit dem Feedback durch und bei unserem Hauptthema angekommen. Ganz viele ganz viele Datensätze gefunden. Ähm Linus, was ist da los?
Linus Neumann
Wieso ich? Der kann Torken soll es erzählen.
Tim Pritlove
Nee, du musst jetzt das mal einleiten. Ja klar.
Linus Neumann
Ach so, ich muss das einleiten. Kann Torke, was haste gemacht?
kantorkel
Schöne Einleitung. Ja äh ich habe Datensätze gefunden. Ähm. Letzten Sommer ging das los. War irgendwie langweilig. Mir fehlte die Pendelei. Ich hatte mehr Zeit, um interessante, andere interessante Dinge zu tun und habe mal geguckt, was andere Leute so im Netz rumliegen lassen und habe gelegentlich geschaut. Gelegentlich was gefunden, habe das aber erst mal nicht groß weiterverfolgt, und über die Zeit wurde es dann irgendwie mehr und irgendwann war das so eine alternative Abendbeschäftigung irgendwie statt Tatort äh nach der Tagesschau habe ich dann eben äh geguckt, was andere so im Internet rumliegen lassen.
Linus Neumann
Also sicher viel im Internet. Was hast du denn also wonach hast du denn jetzt gesucht?
kantorkel
Ganz konkret äh vor allem nach äh, also so Versionsverwaltungssystem, die andere auf ihren Webservern vergessen haben. Also ich habe nicht irgendwie Git Up oder so durchsucht, sondern ich habe nach Punkte, gesucht und das habe ich auch nicht alles selbst gesucht, sondern habe mich da auch bei verschiedenen Suchmaschinen bedient.
Linus Neumann
In den in den also das heißt die haben wahrscheinlich einfach irgendwie dieses Gitter mal in ihr Web, rot geklont oder zumindest so, dass es irgendwo äh über ihren Webserver aufrufbar war und dann konntest du das Guido von dort wieder klonen und hast mal geguckt, was da so für Passwörter zum Beispiel drinstehen.
kantorkel
Ja, ganz einfach Klon äh geht leider nicht, aber.
Linus Neumann
Ach stimmt, jetzt muss der muss der muss der Client ja äh Guitta TTP irgendwas sprechen, das stimmt. Kannst du nicht einfach so machen, genau. Aber man kann ja äh trotzdem äh das relativ einfach dann. Runterladen ne.
kantorkel
Ja oder freundlicherweise waren relativ oft auch äh Verzeichnislistings ähm aktiviert. Dann war das halt ein rekrusives Weget und man konnte den Ordner dann doch einfach so herunter.
Linus Neumann
Und da standen dann beispielsweise was findet man denn dann so in so einem Getriebroom? Du musst schon so wahrscheinlich nicht alle äh Hörerinnen werden jetzt täglich mit Git arbeiten. Da müssen wir vielleicht schon so vielleicht mal die Best Practices so musst du schon mal kurz äh zusammenfassen.
kantorkel
Also in diesen findet man vor allem, Quelltext, so das ist halt eine Möglichkeit, mit der man Versionsverwaltung betreiben kann und das macht man vor allem eben für Quellcode, den man irgendwie schreibt. Das heißt, ich hatte dann Quellcode für irgendwelche Webseiten. Im Internet. Aber in diesem Quellcode äh sind dann manchmal auch Konfigurationsdaten, wenn diese Webseite zum Beispiel auf eine Datenbank zugreift, ähm, Konfigurationsdaten gehören nicht unbedingt in diese Versionsverwaltung direkt mit rein, jedenfalls nicht unverschlüsselt. Das passiert aber trotzdem oft genug und dann hatte ich eben nicht nur Quellcodes, sondern auch direkt Zugangsdaten für zum Beispiel eine Datenbank.
Linus Neumann
Die du normalerweise aber nicht zugreifen können solltest, weil der Datenbankserver ja hoffentlich lokal läuft oder in einem äh Internetz oder irgendeiner ACL hat und du jetzt nicht einfach nur eine direkte Verbindung zu diesem Datenbankserver herstellen sollen könntest, oder?
kantorkel
Genau, also wenn wir annehmen, dass dass es irgendein Webshop gewesen, zum Beispiel ähm dann sollte ich ja nicht auf die interne Datenbank dieses Webshops zugreifen können, um zum Beispiel die äh Preise manipulieren zu können. Aber genau das äh wäre möglich gewesen.
Linus Neumann
Weil dann irgendwo noch von ein PHP-Mydmen lag oder.
kantorkel
Ja, teilweise waren dann noch die Datenbankserver von außen erreichbar, ähm oft genug nicht, aber dann habe ich halt äh mit Glück noch ein, Webauberfläche für die Datenbank gefunden. PHP Meadmint zum Beispiel und konnte dann, obwohl der Server eigentlich nicht von außen erreichbar war, doch auf die interne Datenbank zugreifen.
Tim Pritlove
Kannst mal sagen, wo du eigentlich unterwegs warst? Bei wem?
Linus Neumann
Wir haben unter dem Blogpost so schön stehen. Diese Meldung wurde ermöglicht mit freundlicher Unterstützung von sollen wir jetzt mal lies doch einfach mal alle vor Karton. Mach kannst du echt einfach mal machen. Alphabetisch.
kantorkel
Wir oben and Flight Systems genau bei A fangen wir an, Advanced Flight Systems, AIDA, Alif Manager, Agusta Insights, Arktis Punkt DE. Aschehu, BMW, Bundeswehr, Crowd Stuffing, Dentaldirekt, Deutsche Bahn, Deutsche Post, Deutsche Telekom, DPA, eine kriminelle Person, Geodynamics, Guello Hamburg Innovation, hält's hier Identify vierundzwanzig. Kursplaner online, Landtag Niedersachsen, Liefernetzwerk Livetracking, Co UK, Lost and Sound Software Lukas Nülle, Media Company, MediaMarkt Saturn Österreich, Merk und Co, Media. Das Ministerium wann Volksgesundheit das niederländische Gesundheitsministerium ähm ich hab's vermutlich nicht ansatz.
Linus Neumann
Ministerium von Force-Resontheit. Wahrscheinlich Reverse sein.
kantorkel
Nestlé Nilsen Media, Nordrhein-Westfalen, Passwortscan Punkt net Priester, Scalflex, Sinatis Sparkasse Pfaffenhofen, Stolz und Pickel, StreetScooter Sunday Punkt GG, Team oder so Team Focus Ensurance Group. Das Testzentrum der Robert-Koch-Apotheke Bremen. Zentrale TÜV Nord Thailand, fährst direkt wie Martu und Y Punkt net. Also ja, viele kleine, ein paar große und ja interessante Dinge dabei auf jeden Fall.
Linus Neumann
Also wir haben jetzt gesagt, dass das erklärt. Dann äh Elastic Search Instanzen und was ist das?
kantorkel
Das sind Daten halten, Datenspeicher, wo man uns strukturierte, Dokumente prinzipiell ablegen kann. Häufig sind das aber gar nicht so unstrukturierte Dokumente, sondern ähm ja im weitesten Sinne Textdateien, wo ähm. Lockdateien zum Beispiel häufig abgelegt werden. Das heißt äh Lockdateien von irgendwelchen Webservern habe ich da gefunden oder auch Lockdateien äh von irgendwelchen Bestellvorgängen, ganz unterschiedliche Sachen. Und ähm dieses Elastic Search ist erstmal nur das Backend, wo die Dokumente abgelegt werden und dann gab's häufig noch praktischerweise, ein Frontend dazu, ein Kibaner, wo ich dann alle möglichen Filterfunktionen nutzen konnte. Das heißt, äh ich hatte dann nicht nur erst einmal diese Datenhalte eines Unternehmens gefunden. So teilweise hatte ich dann einfach einen, halbes Terabyte oder auch mal zwei Terabyte an Lockdaten, sondern ich habe dann auch einfach nach Passwort besuchen können und habe dann alle Lockzeilen gefunden, wo Passwort drin vorkommt.
Linus Neumann
Das ist praktisch, weil du nicht das oh und ich meine die Namen der Unternehmen, die du jetzt genannt hast, okay, wir wir machen ja keine Zuordnungen, äh was wo war, dann hast du noch Symphony Profiler, das ist muss man wahrscheinlich auch nochmal erklären.
kantorkel
Genau. Äh die Symphonie Profiler sind eine Entwicklungsumgebung für PRP. Ähm da werden relativ viele Tibak-Informationen angezeigt, also zusätzliche Informationen, die einem bei der Fehlersuche zum Beispiel beim Entwickeln helfen können und es gibt eine relativ deutliche Warnung zu diesem Entwicklungswerkzeug. Das soll man niemals nie, nie, nie ähm produktiv System äh betreiben. Das machen manche halt trotzdem und diese Entwicklungswerk dieses Entwicklungswerkzeug ist ganz praktisch, weil es zum Beispiel Formulareingaben speichert. Das heißt, Wenn das System da aktiv ist und äh ein eine Mitarbeiterin oder ein Mitarbeiter des Unternehmens sich auf dieser Webseite, die dahinter steht äh einloggt, dann wird das Passwort da einfach mal im Klartext mitgeschnitten und für mich abgelegt.
Linus Neumann
Bei PRP Symphonie steht wirklich ziemlich groß dran, das gibt's glaube ich eine relativ rote Warnung, oder, dass man das unter keinen Umständen in der Produktivumgebung benutzen darf oder ist es ist es nur eine oder sind's mehrere.
kantorkel
Ja. Es ist zumindest relativ deutlich eigentlich, ja. Und das ist auch noch nicht alles. Ähm, man kann mit diesem Werkzeug auch alle äh alle Umgebungsvariablen, die gesetzt sind, anzeigen. Das heißt, äh wenn über Umgebungsware variablen auf diesem Server definiert wurde, wie auf die Datenbank zugegriffen wird. Dann habe ich da auch wieder direkt Datenbankzugangsdaten. Oder auch äh Zugangsdaten für einen Mai-Account, der zum Beispiel dann im Hintergrund eines Kontaktformulars genutzt wird. Oder? Ein ein Punkt noch ist wichtig. Ähm manche Firmen legen da auch äh FDP-Zugangsdaten.
Linus Neumann
Ich weiß wer. Ich weiß wer. Das ist der, der nicht in der Liste war grade, ne? Ähm. Jetzt hast du diesen Haufen Daten. So jetzt also, diese Zahl6,4 Millionen Datensätze, die betrifft er jetzt nur die personenbezogenen, ne, also, da sind jetzt nicht diese ganzen Terabyte von irgendwelchen Looks, sondern, nur mal gesucht hat, was sind personenbezogene Datensätze, dann sind das 6,4 Millionen.
kantorkel
Ja, wobei das eine untere Abschätzung ist, also dieses Projekt wurde über die Zeit immer größer und irgendwann musste ich halt eine Tabelle anlegen, um den Überblick nicht zu verlieren, sodass wurde einfach ein bisschen viel und ähm ja ich habe, eine Spalte für die betroffene Firma, eine Spalte für den in Anführungsstrichen Angriffsvektor. Also man kann hier eigentlich nicht wirklich von Angriff sprechen. Wir haben ja, keine technische Hürde überwunden, sondern wir sind einfach reingegangen und. Dann gab es zwei Spalten, einmal für die Anzahl an betroffenen Nutzerinnen und Nutzern und eine Spalte für Gigabyte und Lockdaten. So habe ich dann eine Gesamtzahl abschätzen können und Ich habe nicht überall, einfach abschätzen können, wie viele Personen eigentlich betroffen sind. Das heißt, nur dort, wo ich wirklich weiß, da waren zum Beispiel anderthalb Millionen Kundinnen und Kunden betroffen. Da habe ich dann anderen halt, Millionen in die Tabelle geschrieben. Aber ich weiß, bei anderen, dass da personenbezogene Daten liegen, vielleicht auch gar nicht so wenige, aber ich hätte halt, sehr sehr viele Daten herunterladen müssen, um festzustellen, wie viele Personen betroffen sind und das habe ich dann eben aus verschiedenen Gründen nicht gemacht, Das wäre einfach nicht notwendig gewesen, um diese Lücke zu melden und ähm ich möchte ja nicht unnötig viele Daten da raustragen, sondern eigentlich nur feststellen, wie schlimm ist es und dann möchte ich die Lücke auch melden.
Linus Neumann
So, dann hätten wir jetzt also die untere Schätzung und ich habe ja, war ja ein bisschen mit dir im Gespräch, dass er eben teilweise wirklich auch einfach mal null eingetragen wurde, obwohl da was war. Die untere Schätzung sechs Komma vier Millionen. Also das sind die, die auf jeden Fall dabei waren, wo wir's wissen. Das sind halt jetzt einfach mal 8 Prozent der Einwohnerinnen der Bundesrepublik Deutschland. Jetzt waren natürlich auch internationale Daten dabei, aber das ist jetzt das Ausmaß, was letztendlich ein, als so Pandemieprojekt ein bisschen ich ich sag's jetzt mal despektierlich googelnd machen kann, ja und. Also diese Datenmenge ist halt wirklich also die ist ja wirklich enorm, Die Anzahl der betroffenen Unternehmen ist enorm. Es war ja jetzt auch so ein bisschen so überhaupt, so viele Disclosia-Verfahren gleichzeitig laufen zu haben Ja, dass du eine Excel-Tabelle dafür brauchst oder das ist jetzt kein Extra benutzt, aber halt eine Tabelle dafür brauchst, um überhaupt den Status zu tracken, dann zu gucken, okay, haben die die E-Mail bekommen, Haben die das Ding behoben, haben die überhaupt geantwortet? Sind das ist ja ein riesiger logistischer Aufwand, der da ähm angefallen ist und sicherlich doch, äh die ein oder andere schöne Anekdote. Erzähl doch mal, was du da so erlebst, wenn man fünfzig, sechzig Unternehmen über da längst informieren will.
kantorkel
Ja, wir fangen gerne mit dem FDP-Server an. Ähm es geht um einen Klamottenhändler. Äh wir sagen jetzt nur Klamottenhändler, weil die Lücke bis heute nicht geschlossen wurde. Ich kann sagen, dass heute da viertausendneunhundertunddreizehn Leute eingekauft haben und zwar weltweit online und in Stores. Ähm.
Linus Neumann
Nur heute oder bis heute.
kantorkel
Heute. Das sind Zahlen von heute. Ich habe äh in der Vorbereitung extra noch mal geguckt.
Linus Neumann
Also um die wächst der Datensatz jetzt, ist der an diesem Tag gewachsen. Die haben doch einen 5000 Leute rennen mit diesen scheiß Karotten rum.
kantorkel
Scheint kein ganz kleiner Laden zu sein, ja.
Linus Neumann
Also das finde ich ja fast fast schon fast schockierender als dass die als wie viele Monate die jetzt einfach nicht darauf reagieren, dass man ihnen das mitteilt. Okay, aber erzähl mal. Gut, den hast du dir geschrieben, hast gesagt, hier passt auf, folgendes Problem. Und was haben die wie kam die Antwort?
kantorkel
Es gab keine Antwort, keine Reaktion, nichts ist passiert. So deswegen habe ich äh die üblichen anderen Wege parallel bedient. So ich habe, Hotline angerufen, habe sogar mit jemanden gesprochen, Person hat gesagt, ja sie gibt das weiter, nichts ist passiert. Ich habe äh, mich auf LinkedIn mit äh, einer Person, die aufm Ziellevel dort irgendwie beschäftigt ist, angefreundet und der Person geschrieben, ich hätte gerne irgendwie eine Reaktion und auch da ist nichts passiert. Äh dazu habe ich dann noch äh eine Datenschutzbehörde in Deutschland und ein also so ein Computeremergency Response Team informiert, die, bei so responsole this glosias oder coordinated disclosers vermitteln können und auch dabei helfen, Kontakt herzustellen, falls man selbst dann nicht so Erfolg hat.
Linus Neumann
Dann.
kantorkel
Und dann ist nichts passiert. Ähm zumindest über mehrere Wochen ist dann nichts passiert und dann stellte ich irgendwann fest, so, ich komme nicht mehr rein. Und das FDP-Passwort, was ich da hatte, um auf die Daten zuzugreifen, ähm auch das wurde geändert und dann dachte ich ja ist gut, also die Firma hat sich zwar nicht und auch überhaupt nichts gesagt, aber immerhin kann ich nicht mehr auf die Daten zugreifen. Soweit so gut. Dann ging es äh an die Vorbereitung des Blogposts für CCC DE und wir haben, viele Unternehmen vorgewarnt, dass da jetzt äh bald etwas veröffentlicht werden wird ohne konkret zu werden. Und dabei habe ich dann auch noch mal geschaut, ist die Lücke wirklich zu und da habe ich festgestellt, nein, die Lücke ist nicht mehr zu. Ähm es gab ein neues FDP-Passwort und äh über den alten Zugangsvektor konnte ich dann also aktuelle Zugangsdaten abrufen, um wieder aktuelle Kunden und Kundinnendaten anzuschauen.
Tim Pritlove
Nicht jeden Tag Strafe zahlen, wenn sie irgendwie solche Daten im Netz haben und davon Kenntnis haben.
kantorkel
Ja, so ein Vorfall, wenn Sie davon Kenntnis haben, müssen Sie Binnen 72 Stunden melden an die Datenschutzbehörde. Ähm, zur Kenntnisnahme ist ein schönes Stichwort an dieser Stelle. Ähm, Ich habe im Zusammenhang mit diesem mit diesem Leak und einem anderen mit zwei Datenschutzbehörden in Deutschland gesprochen aus zwei verschiedenen Bundesländern und zum Teil habe ich die nur per Mail und im CC in Kenntnis gesetzt und diese Behörde wird nicht tätig, wenn sie nur in CC kontaktiert wird. Denn das ist ja nur zur Kenntnis.
Linus Neumann
Also ich gebe zu, dass ich das auch so mache. Aber ich will auch keine Datenschutzbehörde. Äh also haben die denn werden die diesen diesem Unternehmen denn jetzt mal irgendwie auf die Pelle rücken?
kantorkel
Ich hoffe also ich kenne den aktuellen Stand nicht. Ich weiß nur, dass äh ich heute Abend noch äh auf alle Daten zugreifen kann.
Tim Pritlove
Aber das wird doch teuer für die. Also ich meine, wenn ich die DSGVO richtig äh verstanden habe, dann gibt's da jetzt einfach äh starke Strafen, generell schon mal dafür, dass ihr irgendwie das im Netz haben und wenn sie dann aber auch nicht tätig werden, dann dann wird das dann nicht immer schlimmer.
kantorkel
Wäre ein Stück weit vielleicht die Hoffnung, damit nachhaltig irgendwann mittelfristig, langfristig Besserung eintritt. Ähm allerdings äh können die Firmen sich, manchmal zurecht, manchmal vielleicht auch nicht zurecht rausreden, wenn sie sagen, sie haben alle Lockdateien angeschaut und die Lockdateien zeigen, dass nur ich auf diese Daten zugegriffen hätte Ähm insofern ja, es bestand ein Problem, aber Es ist jetzt keine besondere Gefahr, weil äh dieser Konto ja vertrauenswürdig ist, der wird da keinen Missbrauch betreiben und niemand anderes hat die Daten heruntergeladen und ähm, dann kann so eine Firma da äh relativ leicht, würde ich sagen, rauskommen.
Tim Pritlove
Es sei denn, du hast noch mal äh von einer anderen Identität aus zugegriffen, die dir nicht eindeutig zugeordnet werden kann.
Linus Neumann
Das machen wir ja. Also das Klassische ist ja, dass die also, wir kennen diese Sachen ja schon etwas länger, ja? Und ähm häufig ist so etwas wie, ja, wir können sehen, dass sie, auf diese Daten zugegriffen haben. Ja oder dann stimmt es vielleicht auch, dass man am Anfang nur mal 100 zugegriffen hat und denen natürlich auch nicht unbedingt sofort erzählt, dass man sich alle geholt hat, und dann kommen halt so Sachen wie ja ja wir können sehen, dass sie an dem Tag und dann merken sie natürlich auch, dass man irgendwie einen Demozugriff hat oder finden dann schon auch man ihn ja relativ klar sagt wie es funktioniert und so dass sie dann irgendwann merken OK von einem Tag sehen wir, da gab's irgendwie hundert Zugriffe und dann sagen sie, gab's diese hundert, ja und dann gehst du halt, damit dir sowas nicht passt, nicht passiert jetzt zwei drei Mal und dann gehst du halt hin und sagst also, ich an solchen Sachen beteiligt war, dass man dann auch zum Beispiel mal, ich sage jetzt aber nicht in welchem Fall, vielleicht doch mal über eine andere IP drangeht und mal alles holt. Nur um mal zu gucken. Ob die denn die Wahrheit sagen, wenn sie behaupten, sie hätten alle Zugriffe entdeckt, ne und allzu oft stellst du dann natürlich fest, dass das nicht der Fall ist oder dass du halt über mehrere Tage zugreifst, über unterschiedliche Anonymisierungsdienste, unterschiedliche Mengen und die sagen dann einfach, ja ja, nee, wir haben das genauestens untersucht und wir wissen, dass es nur äh genau diesen Zugriff gab. Ja und das ist dann dann weißt du halt die sagen nicht die Wahrheit, aber in dem Moment, wo du sagst, äh hier, was ist denn mit den Zugriffen? Dann sagen sie halt, ja genau, da wissen wir ja, das fahren ja sie. Ne, also das heißt du, du du weißt, dass sie. Wahrscheinlich nicht die Wahrheit sagen, aber du kannst, halt in dem Moment, wo du's äh wo du's jetzt äh sagen, wo du's äh beweisen würdest, beweist du halt, dass sie unfreiwillig doch die Wahrheit sagen. Also es ist quasi eine wahre Lüge. Die sie dann da aufstellen, nur gleichzeitig weißt du nicht können wir nie den Beweis erbringen und niemand anders die Prüfung vornehmen dass nicht das Ding längst schon seit Monaten von dass nicht längst irgendjemand einen Kornjob hat um sich da jeden Tag die Daten zu holen, und deswegen kommen die eben bei der beim ersten Mal mit einer solchen ähm Behauptung auch durch. So und da kann man natürlich sagen, äh also ich persönlich denke auch, wenn man hier in diesem Projekt jetzt sehr viel gesehen, ne von Leuten, die innerhalb von Stunden antworten und alles sofort fixen und, weitere Schritte einleiten, um zu gucken, was organisatorisch bei ihnen schiefgegangen ist, dass das passiert ist und so weiter und so fort. Bis zu Leuten, die dir halt die halt einfach überhaupt nicht reagieren. Ähm, hast du halt hast du halt alles da drin und leider, wenn das wenn das Erstvergehen ist, hat da eben offenbar auch die Datenschutzbehörde wenig. Ja wenig Hebel, ne? Und diese Menge an Daten zeigt ja eben leider auch, dass es eben nicht ein Einzelfall ist, sondern dass du Ja, ja eigentlich fast, könnte man sagen, dass sie so ein bisschen vergleichbar ist zu diesen äh Google Kugelfonds einbinden, ne? Es gibt einfach zu viele, als dass du den jetzt realistisch mit mit Strafen ähm kommen könntest, aber gibt auch sicherlich noch mehr schöne Geschichten.
kantorkel
Ja doch äh ein zwei fallen mir da noch ein. Äh interessant fand ich ein, Ganz und gar untypischen Fall, denn da war keine Firma betroffen und auch keine Behörde oder so, sondern eine offensichtlich kriminelle Person. Ähm, diese kriminelle Person hatte einen Server in Frankfurt am Main gemietet und dieser Server wurde als äh Datendrehscheibe sozusagen benutzt. Also da wurden laufend Kreditkarten, Datensätze abgelegt zusammen mit ähm Tanz und weiteren Login-Daten und Die Software, die auf diesem Server lief, hatte die Möglichkeit ähm. Die Person, die dort Kreditkarten, Daten ablegen in Bitcoin irgendwie zu vergüten. As heißt vom Prinzip her war das halt wirklich so eine, schöne wirklich Datendrehscheibe ähm für ja für so einen Kreditkartendatenmittelhändler. Könnte man sagen.
Linus Neumann
In Frankfurt, ne? Das ist einfach Finanzmetropole Deutschlands so. Da kannst du natürlich auch als Kader, hast du natürlich deine Plattform in Frankfurt, ist doch klar.
Tim Pritlove
Ich dachte ich dachte mit Bitcoin wären nur so VPN-Dienstleistungen bezahlt und das ist alles total egal, was da läuft.
Linus Neumann
Wie viele wie viele Kreditkarten war äh Datensätze waren da drauf?
kantorkel
Aber ich habe nicht geschaut, welche dann auch gültig waren, aber das waren um die 200 Datensätze. Und dazu dann nochmal einige tausend Accounts zu irgendwelchen E-Mail-Konten zum Beispiel.
Linus Neumann
Und äh weil das Ding auch in Bitcoin auszahlen konnte, weil sie jetzt auch von Just Wallet her hast, was du gerade gelehrt hast. So jetzt okay, jetzt findest du einen Server, auf dem irgendwie ein paar tausend Kreditkarten sind, ja? Äh also offensichtlich eine eine groß angelegte kriminelle Operation, die sich eine Software Unterstützung dafür geschrieben hat. Was machste?
kantorkel
Ja, ich äh als braver Bürger habe die örtliche Polizei informiert. Ich wusste ja, der Server steht in Frankfurt und habe denen geschrieben so.
Linus Neumann
Hallo, ich habe einen Kriminellen gehackt.
kantorkel
So ungefähr, ja. Und ähm. Weil das wahrscheinlich nichts Alltägliches ist, habe ich parallel noch ähm die ähm. Das Zack, glaube ich, heißt das von dem Bundesland angeschrieben, die zentrale Ansprechstelle Cyber Crime der Polizei. Ähm, kann sich dann zumindest mit Cyber Crime aus äh sind aber eher äh Ansprechpartner für die Wirtschaft. Ähm. Aber da hatte ich dann trotzdem eine Ansprechpartnerin, die mir erst einmal weiterhelfen konnte. Ähm denn meine Hoffnung war, dass die Polizei sich das mal anschaut und sich dafür interessiert, was auf diesem Server da passiert, denn möglicherweise kann man dann ja mehr über die Person erfahren, die da den Server nutzen. Dummerweise. Wurde dann eine Akte angelegt und diese Akte ging, soweit ich weiß, erst einmal per Post, also Briefpost äh von Frankfurt nach Hamburg, Das hat ein paar Tage gedauert. Ähm ich konnte also über mehrere Tage hinweg wieder zuschauen, wieder mehr und mehr Kreditkartendaten landen. Ähm Ja, das das war ein bisschen unschön, deswegen habe ich den Vorfall dann auch dem Provider gemeldet und äh dem FBI und den zwei großen Kreditkarten äh Unternehmen, weil die dann glaube ich auch nochmal ein größeres Interesse daran haben, dass diese Daten da nicht missbraucht werden. Und wenige Stunden später war der Server dann auch nicht mehr erreichbar.
Tim Pritlove
Wie meldet man sich denn beim FBI?
kantorkel
Ähm die haben eine E-Mail-Adresse und ich habe sie angerufen. Die waren dann auch leicht äh überrascht, aber haben das dann kommentarlos aufge.
Linus Neumann
Hello, this is kanta from Germany. Echt? Du hast bei den angerufen.
kantorkel
Ja, so ein Mail geht ja leicht unter, deswegen äh rufe ich dann häufiger nochmal an.
Tim Pritlove
Also in den USA hast du angerufen. Und die haben da, also welche Nummer nimmst du dann da, also sicherlich nicht die Notrufnummer oder so?
kantorkel
Nee, es gibt äh irgendwo, ich habe sie jetzt nicht mehr im Kopf, aber eine Nummer, die man bei Traditford halt anrufen kann.
Tim Pritlove
Aha, mhm. Und wieso waren die überrascht.
kantorkel
Also normalerweise ruft man diese Nummer an, wenn man selbst betroffen ist und ich war jetzt nicht betroffen und habe gesagt, hier sind 3000 Leute betroffen.
Tim Pritlove
So eine allgemeine nicht so eine hier irgendwie FBI Investigationsnummer.
kantorkel
Jein, also das war schon eine Nummer, die, ähm ich meine dem FBI, vielleicht auch eine amerikanten einer anderen amerikanischen Behörde äh zugeordnet war. Aber eben einer, wo man sich selbst dann melden kann, dann mit einem vielleicht geholfen wird.
Linus Neumann
Okay, ist aber wahrscheinlich echt gut, die haben normalerweise irgendwelche schreienden Leute dran, die sagen, meine Kreditkarte wurde gestohlen, mein Konto ist geplündert und dann ruft der eine an und sagt, ich habe hier ein paar tausend Kreditkarten und diese so viele können ihnen doch gar nicht gestohlen worden sein. Sagen sie doch mal ehrlich oder sowas funktioniert nicht. Äh kann ich mir schon vorstellen, dass sie leicht verwundert reagieren, aber die die haben sich drum gekümmert, ja. Also.
kantorkel
Ich bekam leider keine Antwort, ich konnte nur sehen, dass der Server relativ bald nicht mehr erreichbar war. Aber damit war die Geschichte in Deutschland noch nicht zu Ende, denn ich habe dann in Hamburg nachgefragt, wie sieht's denn aus? Und Hamburg hat dann gesagt, ja sie waren nicht zuständig. Die Akte ist zurück nach Frankfurt.
Tim Pritlove
Mein Gott, hätten die nicht einen Fax schicken können, irgendwann eine moderne Technologie, damit das ein bisschen schneller geht.
kantorkel
Ja ja ein Fax wäre schneller gewesen. Ähm ich habe dann also in Frankfurt nachgefragt wie's aussieht und die Frankfurter Polizei hat mir dann gesagt, ja äh fragen sie bei der Staatsanwaltschaft. Sie haben das jetzt schon weitergegeben und da muss ich jetzt noch weiter nachhaken, denn unter meinem Aktenzeichen hat die Staatsanwaltschaft nichts gefunden. Ähm ja, das geht also noch weiter. Schauen wir mal.
Linus Neumann
Werden jetzt auf den Server gucken und sagen, da ist doch gar nichts. Also, wirklich das das da hätte ich jetzt auch ehrlich gesagt du denkst dir normalerweise okay wenn du jetzt eine kriminelle Operation machst, dass du dir eventuell nicht einen Server in Deutschland holst ja, aber ich meine, wenn man halt weiß, okay krass die schicken, berittene Boten und und und werfen die die, Ermittlungsakte irgendwie wie eine heiße Kartoffel durch die Bundesrepublik äh dann ist das natürlich gar nicht so ein schlechter äh Standort für Kriminelle, ne. Also finde ich das schon in Ordnung. Oh Mann. Bundeswehr. Da war uns ja klar, ich musste, das kann man ja, glaube ich, erzählen. Also als als diese als der Blogpost geschrieben wurde und die Unternehmen, die Betroffenen halt da alphabetisch drauf gelistet wurden, da war einer natürlich so gesagt, zur Bundeswehr da wirst du dir noch den Spot geben müssen. Aber dass der Sport ausrechnet von der Bundeswehr selber kommt, hätte ich nicht gedacht wir haben die reagiert.
kantorkel
Die haben äh soweit so professionell reagiert, also haben äh die Lücke irgendwie relativ zeitnah auch geschlossen und äh, also aus dieser Sicht war's äh voll okay. Ähm. Und dann haben sie auch äh eine Webseite äh für Sicherheitsforscherinnen. Ähm da haben sie dann auch verewigt, dass ich dort etwas gemeldet habe und haben dort auch gesagt, dass ich einen Information Leakidage gemeldet habe. Ähm, Wenn man die Seite runterscrollt, sieht man, dass sie auch Münzen vergeben für Sicherheitsforscherinnen, die dreimal Dinge melden. Deswegen habe ich noch zwei Dinge gefunden und gemeldet. Äh ja. Seitdem habe ich eine eine VDP-Münze.
Linus Neumann
Ich weiß, wofür steht das VDP?
kantorkel
Das das ist äh die Policy Bundeswehrmünze und das Motto ist äh im Moment, ich muss einmal die Münze hier. Anschauen. Äh dein Hack für Infosweck.
Linus Neumann
Ja, die haben eine Münze. Ja!
Tim Pritlove
Bundeswehr aus? Wir reden von so einer richtigen Münze.
Linus Neumann
Ja, nee ohne Krypto. Richtige, ja, geil.
kantorkel
Genau, so ein.
Tim Pritlove
Oh Mann.
Linus Neumann
Warte Tim, ich schicke dir den, ich schicke dir ein Foto davon äh oder oder Kartoffel. Du kannst ja mal das das Foto muss ja noch irgendwie twittern oder so was. Und hm was ich auch sehr krass finde ist, Sie haben oft dieser Danksagung-Seite, ja, steht, der oder die IT-Sicherheitsforschende wird nach seinen Fähigkeiten beurteilt und nicht, nach alter Ausbildung, Geschlecht und Herkunft oder gesellschaftlichem Rang. Deshalb, zeigen wir diesen Re, und erkennen diese Leistung an ja? Ach so, aber es klingt halt also erstens ist es natürlich äh gestohlen aus der Hacker-Ethik, aber in Ordnung, ja. Aber quasi so du wirst nicht nach alter Ausbildung geschwächt und Herkunft oder gesellschaftlichen Rang beurteilt und genau deshalb zeigen wir den öffentlichen Respe, als wäre das eine Ausnahme, ja? Also ich finde das ist ein bisschen unglücklich ähm. Unglücklich gewählt, äh diese Dingens, aber äh hier André Meister hatte das auch verlinkt im. Genau hier Tim, ich schick dir den und kommst auch in die in die Show Notes. Der Danksagungsseite, ich find's gut, Karton. Da werden wir dich jahrelang mit verarschen und insofern genau, Tim, da ist auch der Coin. VDP Coin. Tja. Das ist schon.
Tim Pritlove
Auf der Seite.
Linus Neumann
In der Hand. Ja.
Tim Pritlove
Ach, da oben. Ah ja, ah okay, alles klar. Wow. Und was machst du jetzt mit dem Coin? Machst du Hengste, ich würde dir ja vorschlagen, äh nimmst du so ein so eine so ein Goldkettchen. Ja oder ist das mehr so ich weiß nicht, ist das golden oder ist das mehr so silbern?
kantorkel
Das ist Hochglanzsilber.
Tim Pritlove
Hochlandsilber. Ja okay, gut, dann vielleicht nicht Gold, wobei wäre schon geiler eigentlich, ne.
Linus Neumann
Moment, ist das wirklich ist der aus Silber oder aus irgendwie Nickel?
kantorkel
Glaube Nickel äh habe ich jetzt nicht gefragt. Ich möchte da auch nichts Falsches unterstellen.
Linus Neumann
Aber der ist jetzt nicht, der ist jetzt nicht ein ein legal in der Bundesrepublik Deutschland, ne? Das ist ja irgendwie zehn Mark draufsteht oder sowas.
kantorkel
Nein, nein, es ist äh kein Geld.
Tim Pritlove
Hack für Info-Seck, oh Mann, ich weiß gar nicht, wie ich das finden soll. Also ist es.
Linus Neumann
Also der der ich finde.
Tim Pritlove
Na ja ich will das gar nicht so schlecht. Ich würde würde das jetzt gar nicht so scheiße finden.
Linus Neumann
Genau. Ich finde, also erstmal äh, Immerhin machen sie was und äh ähm dass sie dir da jetzt irgendwie nach drei Dingern halt diesen Coin geben und dass sie den Leuten, die ihnen was melden, hier äh etwas äh äh, äh Fame geben, ist ist ja auch also ist gut, ist äh äh ist ordentlich. Ja, das ist gute, guter Stil, ja. Was ein bisschen blöd ist, ist wie lang diese Liste ist. Ja, weil die ja wirklich äh hier, ich weiß nicht genau, wie viele Treffer da drauf sind, aber wenn du dir nur diese Danksagungsliste anschaust, dann haben sie, wird ihnen schon einiges da gemeldet. SQLI Injection mit Code Execution, ähm escripting ja. Also da da haben sie schon ordentlich was. Immerhin ja äh das das Problem ist, dass halt die ganzen, sage ich mal, die Sachen, die der Russe, ausgenutzt hat. Die stehen da jetzt nicht auf der Liste oder vielleicht äh kommen sie erst später da drauf. Also da haben sie schon. Doch so die eine oder andere Finding, was ihnen da gemeldet wurde. Ich finde auch diese Coin-Nummer eigentlich ganz cool. So also, Immerhin hast du dich jetzt als als ähm als wahrer Cyberpazifist gezeigt, dass sie den drei Schwachstellen gemeldet hast, kriegst halt einen Taler dafür. Ist doch äh.
kantorkel
Und eine Urkunde.
Linus Neumann
Urkule hast du auch noch.
kantorkel
Ja, auch noch dazu, genau. Die ist jetzt eingerahmt neben meinem Bildschirm.
Linus Neumann
Und für wie viele Jahre musstest du's unterschreiben? Wie sieht die Urkunde aus? Kartoffeln müssen wat twittern, das kommt in die ist ja unglaublich was man hier kriegt ey.
kantorkel
Alles klar, holen wir nach.
Tim Pritlove
Ist doch super. Ich meine, wenn ich wenn dich jetzt nochmal einer fragt irgendwie, ob du gedient hast zügst du einfach die Coin und sagst, klar.
Linus Neumann
Wir dienen Neuland.
Tim Pritlove
Mein Hack für Infoseck.
kantorkel
Das hatte ich auch schon früher dazu gesagt. Ich hätte nicht gedacht, dass ich noch mal was für die Bundeswehr tue.
Tim Pritlove
Ja, nee, ist nicht geil. Ich finde das wirklich mit so einem so einem so einem Goldkettchen irgendwie so um den Hals tragen. Hätten sie vielleicht ein bisschen größer machen äh.
kantorkel
Eine gute Idee. Ich lasse die Münze einfassen und dann kann ich die Underkette auf den nächsten Kongress stolz an meiner Brust tragen.
Linus Neumann
Ja, ich finde das ist schon in Ordnung. Ja, jetzt jetzt kriegen wir die Kommentare, dass wir die Bundeswehr, die die macht man auf und holt alles raus äh und meldet ihnen das nicht. Haben wir ja auch drüber diskutiert. Selbstverständlich meldet man das, ja? Wenn man sagt, man meldet alles und sorgt für die sorgt für die Betroffenen von Datenlext, dann macht man das eben, auch bei der Bundeswehr. Ich find's gut. Oh je, okay, also Bundeswehr, einen Kriminellen, äh Klamotten hätten, da gab's noch ein was das waren zwei, die immer noch nicht reagiert haben, ne. War das nur dieser Klamottenfuzzi?
kantorkel
Genau äh nee der andere Fall ähm. Ist ähnlich groß, also da gibt es auch relativ viele Betroffene, also niedrig, sechsstellig würde ich schätzen, und die reagieren einfach nicht. Ich weiß nicht wieso und die haben eine Hotline und dann ruft man da an und hängt in der Warteschleife und, oder man ruft außerhalb der Geschäftszeiten an, sodass die sind absolut nicht zu erreichen. Ähm. Das ist vielleicht so ein generelles Feedback in Richtung Firmen, ähm seid erreichbar.
Linus Neumann
Ich habe ja auch schon mal, weiß ich nicht, vor vor Jahren hatte ich äh so eine Situation. Wollte ich was melden und zwar an Vattenfall. Energie an Energieversorger hier in, unter anderem in Berlin und dann hab ich bei denen angerufen und ich hab halt einfach weißt du war ein Fall DE Telefonnummer so ne, und äh sage ja schönen guten Tag meine Sicherheitslücke wollte mal melden. Schalten sie sich doch mal durch, Da hatte ich da diesen Telefonzentralisten oder so einen Pförtner dran und der sagt ja ja kenn ic. Det ist immer dat Gleiche. Am Ende wollen sie mir irgendwas verkofen. Ick stelle sie da jetzt nicht durch. Lass sie mich in Ruhe und dann einfach so aufgelegt, ja? Dann habe ich das wieder angerufen und sagte so, Nein, es tut mir leid. Wir haben sicher wirklich, es gibt ein Sicherheitsproblem. Hier gibt es kein Sicherheitsproblem, das wüsste ich ja wohl und legt wieder auf und es war wirklich einfach. Bei nix zu machen, und dann äh habe ich auch hier die LinkedIn-Spielerei dann gemacht, bis ich dann irgendwann, aber es hat es hat Wochen gedauert, bis ich dann mal irgendjemand bei dem Unternehmen hatte. Und das läuft dann häufig so ähm oder also Erfolg hast du dann, sage ich mal, in so einem in gerne mal in so. Sagen wir mal in in vertrauten Kreisen, wo vielleicht ein paar paar äh alte äh Hacker, die schon viel gesehen haben in in irgendeinem Signal-Chat hängen oder so und dann sagst du, kennt jemand jemanden da und da? Und meistens haben diese großen Unternehmen ja dann doch mal irgendwann jemanden aus der Security-Branche da gehabt und dann kriegst du so einen freundlichen, Fingerzeig. Ich glaube, ich kenne da jemanden. Ich connecte euch mal und dann kannst du auf dem Weg deine deine Informationen loswerden, aber natürlich und ich muss auch sagen. Ähm auch vorsichtig der Vortrag von der äh Zerforschung ähm beim RC drei hat er auch einige, Zuschauerinnen gefunden und ähm es gehen ja auch bei mir äh regelmäßig dann eben Leute ein mit irgendwelchen Meldungen und. Sage ich mal so diplomatisch ausgedrückt, da sind dann auch manchmal Dinge bei, die jetzt, weitesten Sinne nicht unbedingt nachvollziehbar sind als besonderes Risiko. Und ähm gleichzeitig gibt es ja, ich glaube zwar nicht, dass die bei Vattenfall anrufen, aber so die Backbountys, ja, kennen wir auch alle. Irgendjemand, der dann sagt, hier dein SPF Rekord ist nicht 100 Prozent richtig, du hast nur, achtundneunzig Prozent, äh E-Mail-Sicherheit äh äh bitte gebt mir einen der äh backboundtyp genannt werden. Äh was ich eine sehr schöne Formulierung finde. Und äh es ist schon klar, dass man da mitunter halt ein bisschen. Auch mal die Spreu vom Weizen trennen muss, wenn man so eine E-Mail-Adresse anbietet und da vielleicht auch mal äh Stuss ankommt. Aber das eine Mal, wo du halt wirklich übern Darleck, was ein, tausende oder Millionen betrifft, informiert wirst, möchtest du halt auch die E-Mail bekommen und darauf reagieren. Schon äh schwierig. Ähm sonst noch schöne Anekdoten Kartoffel.
kantorkel
Keine größere Geschichte mehr, also zu dem von vorhin, wo du wo wir über die Beweise sozusagen sprachen kann ich noch ergänzen. Es gab tatsächlich einen Fall, da habe ich 400.000 Kundendatensätze äh gefunden. Äh mit der betroffenen Firma auch telefoniert und die Person am anderen Ende meinte, was? So viele, das kann gar nicht sein und äh ja haben es ist halt schon manchmal dann doch gut äh zeigen zu können, dass die Person möglicherweise Unsinn erzählt.
Linus Neumann
Dann gab's äh glaube ich noch kann man auch erzählen von ähm mindestens einen Betroffenen, als wir darauf aufmerksam gemacht haben, dass wir einen allgemeine Veröffentlichung dazu machen werden. Die große Sorge, dass das Unternehmen dann jetzt ruiniert ist, wo wir auch im Prinzip so ein bisschen lachen konnten, weil so gewissermaßen es so schön wär's, aber welches Unternehmen hat denn jetzt mal irgendwie unter so einem Datenleck ernsthaft einen einen Schaden gehabt, ne? Also, Das ist ja wirklich da würde ich also diese Menge an offenen Daten, ja, die einfach, im Prinzip jemand wie kann Torkel mal eben so zusammen sucht in seiner Freizeit. Wie sieht das aus, wenn wir und davon diese Bedrohung wird uns ja den ganzen Tag erzählt, wenn da draußen Unmengen an kriminellen Banden sind, die nur darauf warten, Deutschland kurz und klein zu hacken. Das ist ja schon ähm dann ein ein relativ schockierendes Ergebnis und äh irgendwie das ist nicht ernst genommen wird, und dass es so Anfängerfehler sind. Wir sind ja noch nicht mal in einem Bereich, wo jetzt IT-Sicherheit anfängt eine Rolle zu spielen, sondern einfach ähm, Ja, wie würde man das nennen? Also umsichtiger, umsichtiger Anwendungen, das manual lesen, oder so, ne.
kantorkel
Ja oder ein Backup, nicht aufm Webserver liegen für alle. Also das sind so grundsätzliche Probleme einfach teilweise.
Linus Neumann
Machst du weiter damit?
kantorkel
Versuche es zu lassen. Aber äh ich habe jetzt äh auch schon seitdem wieder zwei, drei Firmen kontaktiert.
Linus Neumann
Wie würdest du denn insgesamt um jetzt mal also wie würdest du den Aufwand die Aufwandsverteilung schätzen, weil also ich geb's ganz ehrlich zu, ich mache sowas ja relativ regelmäßig, er wird jetzt keinem Zeitpunkt hätte ich jemals 50 unterschiedliche Unternehmen, wo ich gleichzeitig die Disclosers koordinieren musste, ja? Das ist ja also ist ja wirklich ein, ein ein ein riesiger äh riesiger Aufwand, da auch immer in jedem Fall drin zu sein und zu wissen, mit wem habe ich da gesprochen? Ähm äh das ist ja schon also war das war das Finden mehr Arbeit oder war das Melden mehr Arbeit?
kantorkel
Also hier war das Finden äh überhaupt, keine Arbeit, sodass ist dann zum Teil eben auch über externe Suchmaschinen passiert und ich habe dann teilweise Ergebnisse durchgeschaut und dann tiefer gebohrt und geguckt, Ist das schlimm? Ist das sehr schlimm? Ist das überhaupt nicht schlimm? Muss man das melden? Und ja, die Arbeit war dann eben diese, Suchergebnisse nach sinnvollem zu filtern und danach vor allem die Lücke äh zu melden. Ähm. Nach den ersten drei Meldungen wurde es leichter, weil es immer das Gleiche war. So es war immer ein immer ein elastic Search, immer ein Symphonieprofiler, das heißt, ich konnte Textbausteine benutzen. Ähm und die Tabelle hat dann eben auch geholfen, ähm da den Überblick zu bewahren. Also wenn wenn ich heute äh so eine, gleichartige Lücke finde, dann ist die Meldung dazu in wahrscheinlich unter fünf Minuten zusammengebaut und ich habe auch die passenden Secrets äh die passenden Geheimnisse aus äh, aus dem GIT oder aus dem elastic gepopelt, damit das Ganze interessant und meldewürdig ist.
Linus Neumann
Und äh dann hast du ja auch von einigen, also diese es wurden, was war das? Ungefähr zwei Drittel haben sich bedankt. Oder wie war da so die die Antwort äh Quote, weil viele also einige haben sich ja sehr freundlich bedankt, einige haben auch mal irgendwie Dank schön in Form von Spende oder so was angeboten. Einige haben gar nicht reagiert. Wie ist denn da so deine Statistik?
kantorkel
Drei Viertel haben sich freundlich bedankt äh mit relativ vielen ähm habe ich auch telefoniert und die Stimmung war glaube ich nirgendwo so, So ganz schlecht. Natürlich ist das doof, wenn ich am Freitag um 16 Uhr was melde. Ja ähm aber so ist das dann halt. Ähm, Genau, also drei Viertel haben freundlich irgendwie reagiert, sich bedankt, die Schwachstelle relativ zügig behoben. Und knapp zehn Prozent haben nicht äh nicht geantwortet, ähm haben aber immerhin die gemeldete Schwachstelle behoben. Teilweise ist da jetzt äh Kontakt im Nachhinein hergestellt worden und teilweise werden oder wurden Prozesse ähm optimiert, damit das in Zukunft äh früher eine Rückmeldung gibt. Und in einem Fall bekam ich keine Rückmeldung, weil ich sozusagen den Haken DSGVO, Sie dürfen meine Daten verwenden, vergessen hatte.
Linus Neumann
Da haben sie die Falle gerochen, also nee, nee, nee, nee, nee. Wenn man dem jetzt antworten, dann macht er uns erst recht platt. Und ähm dann hast du äh äh auch äh einige Dankeschöne angeboten bekommen. Die hast du verteilt.
kantorkel
Genau, ich habe die nicht nur angeboten bekommen, sondern auch äh angenommen und dann weiter verteilt beziehungsweise in einzelnen Fällen haben die Unternehmen dann auch direkt Dritte, beschenkt äh Freifunk Rheinland hat sich zum Beispiel über schöne 1000 Euro gefreut und ich habe äh dann noch an den BUND Hamburg ähm paar hundert Euro überwiesen, damit sie sich um Kiebitze kümmern und äh fragt den Staat, hat sich über 300 Euro gefreut, äh C3 Teleshopping hat äh 330 Euro glaube ich bekommen und ich bekam dafür einen sehr sehr schönen Schrein, der seitdem mein Arbeitszimmer ziert äh.
Tim Pritlove
Teleshop noch verfügbar war oder wie?
kantorkel
Genau.
Linus Neumann
Sehr schön.
kantorkel
Und ja und das weitere Geld.
Linus Neumann
Der Rest geht irgendwie ein Freifondkonto, ja. Ja, schöne schöne Aktion. Ähm. Wir haben ja, so ein bisschen darüber gesprochen, also dieser Post ist relativ lang. Ja, viele Unternehmen betroffen. Dann natürlich steht, unten drunter verlinkt. So hier pass auf da sind die Probleme nach denen ihr suchen müsst, ja? Wenn man so viele Datenlecks findet, werden ja, äh ja sind halt einfach äh viele Unternehmen betroffen und es sind Fehler, die offenbar viele machen, also muss man ja auch irgendwie die Öffentlichkeit darüber informieren, diese Fehler nicht zu machen. Insofern gibt's halt den Abschnitt äh ne, was was sind die die best practices gegen die hier ähm verstoßen wurde, auch irgendwie so was wie in irgendwelche Jahre alten Server, wo die wo die Antwort ist, hä, der den gibt's noch. Äh ich erinnere mich, ja da wir hatten mal ein Gewinnspiel zwanzig sechzehn oder wann das war, ne? Ist ja auch wirklich ähm, schwierig. Ähm gleichzeitig, ne, also wie gesagt, acht Prozent der Bundesrepublik der Einwohnerinnen der Bundesrepublik Deutschland, 50 Leaks, wenn man jetzt aus jedem einzelnen Blogpost gemacht hätte und jede Woche einen veröffentlicht hätte, wäre das ein Jahr gewesen. Was äh irgendwie also, sehr viel Zeit gewesen wäre, ja und diese also allein diese Arbeit das zu disclosen, dann die Arbeit wie wie man es hätte jetzt veröffentlichen können, also alles andere außer ein Sammelblogpost zu machen, kam ja eigentlich gar nicht in äh gar nicht mehr in Frage bei dieser Menge, ne. Und das finde ich halt schon irgendwie. Ein ein ein Ausmaß, was äh ja wirklich ja beängstigend ist. Ähm. Fällt mir auch nicht viel mehr zu ein.
kantorkel
Die nächste Stufe wäre, dass wir die verschiedenen Prozesse, die laufen äh live tweeten und tuten und.
Linus Neumann
Ein Twitter-Account, ja? Der einfach ach, das ist so ein Timer, ja, äh Leak gemeldet an und wenn wir dann geschlossen ist und du eine Antwort bekommen hast, veröffentlicht der dann quasi die Reaktionszeiten. Eigentlich echt mitautomatisiert.
kantorkel
Genau, so ungefähr, ja. Das das wäre auch ein kleines, interessantes Paper, was darstellt, wie wie so die Lage ist.
Tim Pritlove
Ihr seid kulturell, überhaupt nicht up to date, das macht man heutzutage in so einem Würde. Ja, so musst du jeden nähere Würde kennt ihr doch sicherlich schon, den Trace oder ist das komplett an euch vorbei gegangen.
Linus Neumann
Bei mir nicht habe noch nie ein gespielt.
Tim Pritlove
Wirklich, da ist dir was entgangen. Bei dir.
Linus Neumann
Nicht. Ich ich äh bei mir geht es nicht.
Tim Pritlove
Ja, bei dir, bei dir, bei deiner Lokalinstallation funktioniert immer die Hälfte des Internets nicht, weil du das alles so fett konfiguriert hast. Es hat gar nichts mehr funktioniert. Auf jeden Fall.
Linus Neumann
Kein Android.
Tim Pritlove
Machst du ein Ratespiel draus, welche welches Unternehmen ist denn heute äh wieder gehackt worden so. Alle müssen dasselbe raten, immer so ab null Uhr.
Linus Neumann
Ach Mann, dann hat er eine Bildschirmtastatur.
Tim Pritlove
Wir meinst du das?
Linus Neumann
Mit dem Enter auf der falschen Seite. Ich jetzt.
Tim Pritlove
Bei oder was?
Linus Neumann
Ja klar. Wie okay, sorry, also wir machen einfach du hast gesagt, wir sollen machen.
Tim Pritlove
Ich habe heute eine kulturelle Entlehnung nehmen, weil das Besondere an Wörde ist ja mal abgesehen jetzt, ob man Spaß dran hat Wörter zu raten oder nicht, dass ja quasi alle raten dasselbe Wort und es gibt immer nur ein Wort pro Tag. Ja kann man dann auch noch schön kryptisch irgendwie diese äh Farbplätzchen posten, um so den eigenen zur Lösung zu dokumentieren. Na ja und jetzt sozusagen sagt so, ja okay, wir jeden Tag gibt's ein ein neues Unternehmen zu raten, Ja, welches ist denn jetzt gewesen sein könnte? Da müsste man sich natürlich jetzt noch was pfiffiges einfallen lassen, wenn man das so macht, weil das ja nicht alles fünf Wörter sind. Es war ja auch, sagen wir mal, nur so als Inspiration zu verstehen. Aber jetzt, wo ihr gerade so Schwierigkeiten hattet, das richtige Marketing für diese Veröffentlichung zu bekommen, das wäre doch dann äh was und dann kann man dann vielleicht auch was gewinnen. Irgendein oder so.
kantorkel
Den Datensatz.
Tim Pritlove
Ja, NFTs.
Linus Neumann
Ach man muss Wörter raten. Also man kann jetzt nicht einfach Buchstaben reintun ja also es muss.
Tim Pritlove
Ein ein genau, das war Original funktioniert so Gott jetzt muss ich erklären, Gesuchte sein fünf buchstabiges Wort aus dem englischen Wortschatz und äh du musst es raten, indem du halt mit maximal sechs Versuchen komplette fünf buchstabige Worte eingibst und sagst ist es das, so und äh ist so ein bisschen so ähnlich wie dieses Spiel aus den Achtziger oder wie Mastermind, das ist so ein bisschen so ähnlich, ne, wo da auch so, hast und dann wird Chris immer nur gesagt, so ja der steht an der richtigen Stelle und den gibt's aber, der steht nicht an der richtigen Stelle, ne, also ist dann ist der Buchstabe dann grün äh ist ja schon mal richtig und ist er gelb. Dann gibt's den Buchstaben aber eben nicht da wohin hingeschrieben hast in dem Wort und es ist halt dunkelgrau, dann gibt's diesen Buchstaben gar nicht und dann musst du dich langsam ranpirschen und innerhalb von sechs Versuchen das richtige Wort erraten zu erraten. Haben uns manchmal ein bisschen einfacher. Manchmal ist es ein bisschen kniffliger, man lernt viele interessante neue Worte aus dem englischen Wortschatz kennen die Person bisher noch nicht auf dem Zeiger hatte. Scheint's einige äh zu geben und irgendwie hat diese Idee so die Welt ein bisschen ähm ergriffen, so sehr, dass äh obwohl das ja quasi von so einem Typen nur für sich selber entwickelt wurde und er meinte so, ja nee, for free hier im Internet und so. Ich habe das ja nur gemacht für mich selber. Das ist dann irgendwie in so einem Supercrace total populär geworden.
Linus Neumann
Glaube der hat jetzt für seine Freundin.
Tim Pritlove
Für seine Freundin, ich weiß nicht mehr ganz genau, äh die Story auf jeden Fall war das jetzt nicht von vornherein irgend so ein kommerzielles Projekt. Auf jeden Fall ist das dann so durch die Decke gegangen, dass die New York Times das jetzt irgendwie aufgekauft hat, Weil sie gesehen haben.
Linus Neumann
Als als LFT.
Tim Pritlove
Nicht als NFT, einfach als eine super Idee, um Leute täglich einmal auf ihre Webseite zu kriegen und das finde ich eigentlich schon eine ganz geile Idee. Also äh insofern haben sie alles richtig gemacht und so genauso könnte man das jetzt irgendwie mit den Leaks machen. Sozusagen League of the day und äh wer als erstes geraten hat, was es ist, der darfst twittern und kriegt dann kriegt dann ein äh einen Coin. So eine so eine so eine Anerkennung.
Linus Neumann
Dann dann dürfen wir aber jetzt nur noch Unternehmen als mit fünf fünf Buchstaben.
Tim Pritlove
Ja da das Problem müsste man jetzt noch mal äh äh konkret vielleicht erörtern, wie man das jetzt macht. Das ist jetzt nicht so einfach zu kopieren. Kopieren wollte ich jetzt diese Idee, dass alle kollektiv jeden Tag immer wieder was Neues zu raten haben. So, man kann das mit Multiple Choice machen oder mit mit mit was weiß ich, gibt einen Buchstaben ein und dann kriegst du Hinweise oder so, aber es.
Linus Neumann
Wer wird Datenmillionär?
Tim Pritlove
Genau. So in etwa.
Linus Neumann
Ich verstehe schon. Kartoffel, hast du noch mehr äh noch mehr zu erzählen? Also ich finde, ich finde ja wirklich, Also es fing ja an, dass du so das ein oder andere Mal sagtest, guck mal hier, ich habe da was gefunden, dann irgendwann war so nur noch der Link auf deine Tabelle und äh ja, Finde ich wirklich eine eine eine sehr coole Sache, die du da gemacht hast. Vor allem das sind halt jetzt einfach mal Daten, wo äh wenn man denjenigen glaubt, äh zumindest einfach jetzt die nicht mehr gestohlen wurden, ja? Also Datenlacks, die in anderen Händen wahrscheinlich größeres Problem gewesen wären äh oder für die Betroffenen zum größeren Problem. Ähm hätten werden kommen. Insofern äh wirklich schöner Dienst an der an der Allgemeinheit und ähm. Hast du dir dein Bundeswehrcoin? Äh ehrlich verdient. Herzlichen Glückwunsch.
Tim Pritlove
Bundesverdienst koin.
Linus Neumann
Bundesverdienst okay, sehr schön.
Tim Pritlove
Kette.
Linus Neumann
Ähm dann bleiben wir aber doch noch mal bei deinem bei einem anderen Thema, mit dem du dich auseinandersetzt. Kartoffeln, nämlich hier die biometrische Gesichtserkennung. Vielleicht erzählst du ja noch mal ein bisschen was von was du da in dem Bereich so, auch in Hamburg glaube ich aktiv mit in dem Themenbereich und äh bevor wir dann zur nächsten Meldung kommen.
kantorkel
Ja ähm bei, Biometrie, Gesichtserkennung habe ich im Prinzip zwei Standbeine. Das eine ist äh eine europäische Bürgerinneninitiative, die sich für ein Verbot biometrischer Massenüberwachung einsetzt. Da bin ich, ganz privat äh zum einen dabei in dem höchst offiziellen Bürgerinnenkomitee die diese Initiative mit angemeldet hat aber ich bin auch als Vertreter des Chaos-Computerclubs in dem Organisationsteam dabei, und äh wir versuchen. Relativ viele äh Unterschriften zu sammeln. Wir sind momentan irgendwo zwischen 60 und 70tausend. Ähm würden wir eine Million erreichen, äh müsste das europäische Parlament und vor allem die Europäische Kommission sich mit unserem Anliegen beschaffen äh befassen, aber völlig unabhängig davon, wie viele Unterschriften wir tatsächlich erreichen, ist, diese Initiative jetzt schon ein hervorragendes Vehikel um ähm zum einen Gleichgesinnte zusammenzutrommeln und gemeinsam an diesem Thema zu arbeiten, aber auch um eine gewisse Öffentlichkeit einfach herzustellen beziehungsweise um dann auch äh im Parlament mit äh stärkerer Stimme sozusagen ähm auf die verschiedenen Parteien und Personen zugehen zu können. Ähm, Das ist das eine, das, Das Zweite ist eine wunderbare Gesichtersuchmaschine aus den USA mit dem Namen Clear View AI. Das ist diese Suchmaschinen Suchmaschine gibt, wurde vor gut zwei Jahren bekannt äh durch einen New York Times Artikel ähm. Und tja da wurde erzählt, es gibt diese neue biometrische Suchmaschine Clevi AI und dort kann man Fotos hochladen und diese Suchmaschine zeigt einem dann, wo das gleiche Gesicht, also nicht die gleichen Bilder, sondern wirklich das gleiche Gesicht äh im Internet, auftaucht. Damals hatte diese Suchmaschine etwa 3 Milliarden Bilder in seiner Datenbank. Heute sind sie bei 10 Milliarden und, Kurz nachdem bekannt wurde, dass es diese Suchmaschine gibt, habe ich mich beim Hamburgischen Datenschutzbeauftragten beschwert, äh weil ich äh über eine, ähm Daten, Selbstauskunft äh herausgefunden habe, dass ich im Index dieser Suchmaschine stecke. Und das führte dann über den Verlauf der letzten zwei Jahre und äh starker Unterstützung von Neub dazu ähm dass, mehr oder weniger angeordnet wurde, das Clever AI, mein biometrisches Datum löschen muss und äh auf der einen Seite ist das gut, weil der hamburgische Datenschutzbeauftragte damit festgestellt hat, dass äh das, was Clearview AI da tut, nicht in Ordnung ist, Auf der anderen Seite ist das ziemlich schlecht, weil alle anderen Millionen Betroffenen sich jetzt selbst beschweren müssen. Also das was wir haben wollen ist dass, was Clevio AI tut, einfach verboten wird äh beziehungsweise wir sind der Auffassung, dass es verboten ist und äh die Aufsichtsbehörden sollten dann auch feststellen, dass das so ist und hm, im Rahmen ihrer Möglichkeiten Maßnahmen ergreifen. Ähm da sind wir jetzt in Hamburg leider noch nicht so weit in äh, im Vereinigten Königreich in Kanada und Australien wurde Clearvy AI jetzt schon aufgefordert die Daten von eben äh Kanadiern, Australiern und so weiter zu löschen. Genau, das ist in in sehr kurz äh das, was ich bei Clearvy AI tue.
Linus Neumann
Gegen Clear-View AI.
kantorkel
Ja.
Linus Neumann
Und ähm jetzt gibt's aber von Clevel AI auch tatsächlich nochmal Neuigkeiten. Die haben äh ja irgendwie ihren stolzen, ihren stolzen, neuen Ziele quasi bekannt gegeben, ne.
kantorkel
Genau. Das eine äh finde ich ziemlich bedrückend, äh weil Clearway AI verkündet, dass sie, 100 Milliarden Bilder sammeln wollen, sodass werden dann pro Erdenbürgerin 14 Fotos, ähm also 14 Fotos von jeder einzelnen Person und damit wollen sie erreichen, dass jede und jede, immer, überall identifiziert werden können. Und äh ja, damit ist dann das mit der, Anonymität da draußen eigentlich vorbei. Man kann nicht mehr irgendwo anonym Bahn fahren ähm oder demonstrieren. Ähm und dazu passt dann sehr gut, dass äh sie ähm, ähm Augmented Reality Brillen äh verkaufen wollen. Ähm ja, sodass äh dann äh.
Linus Neumann
Oh.
kantorkel
Eingeblendet werden kann, äh wie die Person heißt, wo sie arbeitet, äh was sie vor Sex äh was sie für sexuelle Vorlieben hat oder oder oder, also was man halt so im Internet findet. Ähm, ja
Linus Neumann
Die bauen sie gerade zusammen mit der mit dem mit der US Luftwaffe. Oder entwickeln Sie das jetzt, ne? Wenn ich das richtig sehe. Eine Datenbrille, oh Mann, okay. Und das Krasse ist, es ist wieder so ein Thema, ne? Also das ist jetzt äh glaube ich, hab's hier auch schon. Schon mal gesagt, das ist so dieses Ding, deshalb, Da warnt man jetzt vor und da denken immer noch alle, ja ja komm dann irgendwann haben die diesen Datensatz, dann haben sie irgendwie die DSGVO ausgetrickst, dass jeder mit der äh mit mit irgendwann mal dazugestimmt hat, dass die Bilder da reinkommen und dann ist es, Irgendwann stehen sie auf einmal mit dem wirklich mit dem fertigen Produkt da und alle äh staunen. Äh dann stellt man wieder fest, ja ist zu spät, hätten wir vor vor zehn, fuffzehn Jahren ähm unter unterbinden müssen, was die was die machen und da gab es noch die Möglichkeit vielleicht äh, die Souveränität der Gesetzgeberinnen zu nutzen. Um denen ein dem ein Riegel vorzuschieben und so sieht's halt jetzt ne, wenn man das jetzt nicht macht, dann werden wir uns eben in fünf bis zehn Jahren wahrscheinlich einfach sehr sehr wundern, wie, wie übel die sind, weil die Fähigkeiten, die sie hatten, waren ja schon hier vor zwei, drei Jahren überraschend, oder? Als äh du dich da auch beschwert hattest.
kantorkel
Genau, also die haben mehrere alte Fotos von mir gefunden. Also die Suchergebnisse waren auch lange nicht perfekt. Äh ich habe auch äh acht Suchergebnisse bekommen, die nicht mein Gesicht zeigen, was dann auch wieder zeigt, dass diese Technik alles andere als gut funktioniert. Aber sie haben eben auch äh, tatsächliche Fotos von mir gefunden.
Linus Neumann
Okay, Jetzt haben wir glaube ich genug traurige Themen gehabt, Tim. Äh hast du noch was Lustiges für uns? Vielleicht irgendwie so einen kleinen, irgendeinen kleinen Fail, um noch mal ein bisschen lachen zu können, weil der kann Torkel, sorry, kein Torkel, muss ich jetzt echt mal sagen, weißt du? Hier fünfzig Datenlacks und äh äh Clear-View AI und so, das ist äh das ist ein bisschen dystopisch. Ja, da hätte ich jetzt gerne noch was Lustiges, Tim.
Tim Pritlove
Es passt überhaupt nicht mehr in unseren Marketing-Konzept, weil wir uns ja, Jahr eigentlich so voll im Kontext von Optimismus aufstellen wollen und jetzt auch irgendwie die ganzen NFTs äh so äh mit Happy Face äh gemacht haben, die wir dann demnächst auf den Markt werfen und dann irgendwie so eine Story, das geht einfach mal gar nicht. Na ja.
Linus Neumann
Die gute Nachricht ist, die ganzen Daten lexitär äh gestopft, ja? In so und und du hast einen schönen Coin, auf dem wir alle neidisch sind. Insofern war das doch, hat ja auch hat ja auch was Gutes. Man weiß nie, wofür es noch immer gut ist. Okay, aber was was was gibt's Schönes, Tim?
Tim Pritlove
Ja ähm ist eigentlich auch so eine Kaputtmach äh äh Geschichte. Ähm und wahrscheinlich ist es insofern, ich weiß nicht, wie es denn ist, wenn man jetzt so. Komische Zukunftsvision der Techindustrie ad absorbum führt und sagt so, nein, ihr ihr werdet diese diese diesen magischen Teppich nicht bekommen. Die wollen auch jetzt immer irgendwie, dass die Autos total intelligent werden und äh wie war das hier? 5G brauchen wir allein schon deshalb, damit irgendwie die Autos alleine Auto fahren können? Ich mache nicht mehr selber mitfahren muss. Dann fahren die Autos einfach alleine. Ist auch geil oder? Roman, gar nicht mehr Schuld äh am CO2-Verbrauch hier Auto ist alleine gefahren. Das wollen Sie von mir. Ähm, Radio schon mal gehört.
Linus Neumann
Ist das hier äh DHB Plus mit mit.
Tim Pritlove
So quasi die amerikanische Variante von digitalisiertes Radio. Ist allerdings ein bisschen äh klüger initiiert worden, wie es dänische Anscheinen hat, Als äh DHB, während DHB ja nur Digital ist und dann so quasi Geräte äh, erzeugt hat, die dann irgendwie auch erst mal nur digital funktioniert haben. Mittlerweile gibt's, glaube ich, außer Hybride, die halt gleichzeitig noch ein analoges Ding äh drin haben, weil die Leute ja trotzdem noch normal UKW hören und irgendwie das DHB Only sich nicht durchsetzt in den USA oder beziehungsweise in Amerika hat sich da mittlerweile einen Standard durchgesetzt, der heißt HD-Radio und das ist quasi so eine Art separater Digitalkanal für so ohnehin analog ausgestrahlte Sendung. Das heißt, du hast dann die Sendung Und da wird dann irgendwie gleich so mitgefiebt, so ja übrigens, du könntest aber auch voll digital jetzt hier auf der Frequenz reinchanneln und dann kriegst du das sozusagen auch alles digital und dann eben auch mit fleißig Meter Daten und bunten Bildchen und Pipapo und keine Ahnung was da alles noch mit drin ist, Na ja, soweit so gut. Das hat sich auch irgendwie durchgesetzt, nahezu alle Radiostationen benutzen das wohl und deswegen ist das halt auch in allen Autos drin. Äh auch bei Mazda natürlich. Probleme ist halt nur, wie das eben so ist, wenn du dann einfach mal so ein Datenrohr aufmachst, wo dann so, Bits auf so ein System einprasseln, muss ich dir ja nicht sagen. Äh, funktioniert dann immer solange solange alles so kommt, wie man das mal erwartet und getestet hat, aber sobald mal was anders ist, könnt's schwierig werden. Na ja, so geschah es, dass dann irgendwie auf einem einzelnen lokalen Radiosender, die irgendwie so ihre Mutterdaten nicht mehr so richtig im Griff hatten und, Kannst du sicher, warum das so überhaupt so ist, aber man kann da Bilder mitschicken. Also das mir schon vorstellen, wofür man das äh braucht. Bloß warum man dann mit dem Bild auch noch einen Dateinamen mitsenden muss. Das mir nicht so ganz so klar, aber das scheint irgendwie Teil dieser Spezifikation zu sein. Weiß nicht, ob die da so Sipp Files.
Linus Neumann
Sollte sich auch jemand beim Radio, wieso muss ich denn da an Dateinamen mitsenden?
Tim Pritlove
Ja so Quatsch eigentlich, schicken die einfach so Zipdateien rum oder so. Ich habe keine Ahnung. Habe mir das jetzt nicht so genau angeschaut. Auf jeden Fall ähm, Irgendwie diese Bilder, diese dazu äh mitgesendeten Dateinamen, die wir vielleicht so speicherempfehlungen sind oder so, keine Ahnung. Auf jeden Fall haben sie da irgendwie die Extension vergessen, Irgendwie am Bild dran, kein Punkt, JPEG oder was weiß ich. Woraufhin die Empfängersysteme, die Mazda in ihre tollen Autos eingebaut hat, irgendwie komplett daran verschluckt haben und nicht nur das, also sind da nicht nur irgendwie abgestürzt, nein, sie sind dann auch sofort in so ein so ein so ein so ein Crash-Reset äh reingegangen Man aber irgendwie die ganzen Dateien noch äh vorliegen, also haben sich wahrscheinlich nach einem Booten sofort wieder auf den selben Kanal gestürzt und dann immer noch wieder die selben Meterdaten aus ihrem Cash rausgelesen, sodass die Dinger dann sozusagen komplett geprickt waren. Leute dann so, ja hier ist kaputt und so, ja musst du komplett austauschen, kostet 1500 Dollar. Ist natürlich total, eskaliert. Die Nummer und ähm also es gab auch gar keine Replacements, weil ist irgendwie sowieso gerade im Eimer, keiner hat Chips und so. Nur mal so einen Radiosender, falschen Dateinamen geschickt hat so. Mittlerweile ist das wohl äh so weit abgesegnet, dass Mazda das auch alles kostenlos austauscht, aber sie müssen halt jetzt irgendwie physikalisch irgendwie diese Devices da äh ersetzen, weil da jemand einen falschen Datellnamen geschickt hat. Aber aber autonome Autos, ne, wird kommen, klar. Kein Problem, 5G und so. Das wird lustig.
Linus Neumann
Oh Mann, wie viele Betroffene gibt es da, weil das ein sehr beliebter Radiosender oder.
Tim Pritlove
Kann ich dir nicht genau sagen. Ich weiß gar nicht, ob das aus dem Bericht, äh den ich hier gesehen habe, hervorgeht, äh wie viele das betrifft, aber es betraf sozusagen alle Mazdas, die diese Radiostation äh angehört haben.
Linus Neumann
Das ist schön. Ein schöner Back. Wunderbar. Also das ist wirklich also es wird diesem Radio Mazdas ist natürlich echt so ein ja so ein. Klassischer Fall von Komplexität, ne. Mich würde jetzt echt mal die Frage interessieren. Wie das gespeckt ist, ne, also dieses Protokoll muss man da eine äh also war der Mazda doof oder hat der sich vielleicht Protokoll gerecht verhalten, wobei nee Protokoll gerecht kann nicht sein, der darf ja nicht, darf ja nicht kaputt gehen, ne? Aber hat sich, muss man den Fall nehmen, eine Extension geben oder wird da nicht vielleicht einfach ein ein Typ mitgegeben man weiß es nicht, aber es klingt auf jeden Fall nach ähm. Es klingt realistisch.
Tim Pritlove
Ich meine, so Protokolle man ist so ein bisschen so, wenn's bei dir an der Tür klingelt. So. Wenn da jemand steht und irgendwie freundlich fragt und so, ach nee, ich war hier falsch, tschüss und so. Dafür hast du das Protokollhandling hat irgendwie jeder von uns drauf. Aber wenn da halt irgendwelche verstörten irgendwie 30 Leute auf einmal vor deiner Tür stehen und sagen äh ja guten Tag, wir sind irgendwie die Inkarnation der Beatles und wir müssen hier rein. Was hast du denn da überhaupt für Möglichkeiten irgendwie dieser Situation.
Linus Neumann
Auch schon ein Standardprozess. In Berlin.
Tim Pritlove
Ja in Berlin ist bei so was vielleicht doch gewohnt. Da kommt man so mit verpeilten relativ gut klar, aber das ist ja alles beliebig steigerungsfähig, ne? Da ist ja irgendwie die ganze Zeit auf einmal Halloween aufm Digitalkanal.
Linus Neumann
Am schlimmsten sind die, die meinen, sie hätten John dabei.
Tim Pritlove
Ja, aber das ist so Trikottreat, ne? Irgendwie eigentlich wollen sie nur Bonbons, aber man erschreckt sich dann halt doch äh vielleicht so ein bisschen Und ähm das das ist ein Komplexitätsproblem ähm das das wird uns immer wieder äh begleiten und solche Storys sind ja auch immer wieder, Ähm. Ja, da hier im in dem Film alles ist eins, außer der Null. Da war doch auch dieses schöne Beispiel, diese schöne Erzählung von von wow Holland drin. Der Autoreisezug. Ja, wo halt dann Autos irgendwie mit dem Zug äh verschifft werden, gibt's ja leider äh heute nicht mehr. So und dann hatten sie halt irgendwie die ganzen Autos auf diesem Autoreisezug drauf. Der guckte so durch die Landschaft soweit nichts Besonderes, Aber wenn man halt so diesen Zug an sich äh hat vorbeifahren, sehen und äh vor allem hören, dann stellte man auf einmal fest, dass auf einmal alle Autos, die aufs Zug stehen, laut hup. War geschehen. Ja äh Alarmanlagen. Die halt sozusagen auf Bewegung reagieren und dann irgendwie gleich protestieren, so oh Gott ich werde bewegt, Hilfe, Hilfe. So alle gleichzeitig, die halt auf das das Modell ich stehe auf einem Zug und werde äh ganz legal irgendwo hin transportiert, überhaupt nicht das war überhaupt nicht vorgesehen so. Es hat hat ihnen einfach vorher keiner gesagt.
Linus Neumann
Da war halt die Abschalteinrichtung noch nicht erfunden, Tim. Das hat VW ja dann nachgeholt.
Tim Pritlove
Da haben sie dann gleich auch alles andere abgeschaltet, Ja, aber das äh das ist ein schönes Beispiel, dass dass dass diese Komplexität auch so nie einzufangen ist und deswegen müssen wir uns auch, in diesen Zeiten und vielleicht sogar mehr denn je. Immer wieder auch darüber Gedanken machen ob bestimmte Entwicklungen es wert sind, weil wir uns eben durch die Steigerung der Komplexität Probleme auf allen möglichen, Ebenen einfangen, meine äh will jetzt nicht wieder dieses ganze Kryptogeldding aufmachen, aber das ist natürlich auch so ein Begleiteffekt einer komplett durch Digitalisierten Finanztransaktionswelt, Man schaut sich das an und einfach geht vergeht einfach keine Stunde am Tag, wo nicht irgend so eine, Bitcoin, Börse gehackt wurde sonst irgendein Betrug ist, den Leuten irgendwelchen NFTs äh entführt werden, diese komischen Smart Contracts äh nicht richtig funktionieren und irgendwie diese ganzen virtuellen äh Firmen auf einer Blockchain explodieren und so wird es auch immer weitergehen.
Linus Neumann
Das das Problem ist, dass diese Smart Context genau richtig funktionieren, Tim. Nicht, dass sie nicht richtig funktioniert, sondern die funktionieren genauso, wie's da steht und ähm das äh ist halt äh das habe ich auch also da bin ich auch.
Tim Pritlove
Blockchain merkt einfach nicht, dass sie mittlerweile auf dem Autoreisezug steht und durch die Gegend gefahren wird.
Linus Neumann
Ist der vor allem auch völlig egal. Ähm nee, aber das das ist glaube ich auch tatsächlich bei okay, jetzt kommen wir ja von hundertstens ins tausendste dieses gesamte Security-Ding. Äh ich habe hier meine Taler in der Blockchain oder sonst was. Ähm. Das verzeiht halt nicht, ne? Und ich glaube, die Leute werden, oder viele Leute haben in der letzten Zeit äh sehr ausführlich gelernt, was es äh bedeutet, vielleicht doch eine Hotline zu haben, ja. Also so hm. So eine Hotline, wo man anrufen kann, wenn einem das Konto leer gemacht wurde, wo man eventuell noch mal mit jemandem reden kann oder, Kantorkel, der beim FBI anruft, wenn er eine Kreditkarte auf irgendeinem Server ist, ne? Das ist gar nicht so schlecht eigentlich.
Tim Pritlove
Nee, das ist nicht schlecht, aber vor allem man wenn wir uns halt anschauen all die ganzen Unternehmen, die wir jetzt hier mal eben so äh gemolken haben, so über so einen standardisierten Standardfehler, der irgendwie, ne, einem einfach Passwörter liefert und dann schaut man in alle Kundendaten rein. Wir reden jetzt hier quasi über die Absicherung mit der grundlegendsten Daten von so einem Onlineshopping-Ding überhaupt. Also etwas, wo wir im Prinzip seit Mitte der 90er Jahre drüber nachdenken, wie man das so im Internet ordentlich organisiert bekommt, damit irgendwie nicht gleich alles auseinanderfällt. Und.
Linus Neumann
Ja bei Tim, jetzt hörst du dich an wie so ein wie so ein wie so ein Alu-Hut.
Tim Pritlove
Nein, das ich sage ja nur, die Komplexität, ist nicht ohne Weiteres beherrschbar, also auch 27 Jahre später bleibt das ein echtes Problem bis hin zu es ist schon ein Problem den Unternehmen überhaupt Bescheid zu sagen, dass sie ein Problem haben. Und Und dann träumen aber auch Leute von so einer vollautomatisierten Total alles nur noch selber die Autos fahren nur noch selber und die, Banken und die Unternehmen sind alle durch automatisiert, Ihr habt doch Fieberträume. Das ist doch einfach ihr kriegt doch noch nicht mal die Basics auf die Kappe. Und äh das, deswegen müssen wir uns da einfach auch mal wieder zurücknehmen und irgendwie so eine so eine Kultur. Erarbeiten in in der man diese Schritte nach vorne irgendwie so weit kontrolliert vornimmt, dass man auch mal wieder weiß, was man tut, uns geht einfach diese ganze Komplexität alles wie feiner Sand durch die Finger und keiner kriegt mehr Zugriff und und und das ist das ist äh natürlich etwas, was wir kollektiv lösen müssen. Ich verstehe ja, wenn so die Die Bundesregierung und wir hatten das jetzt mit der CDU nochmal besonders, aber da sind ja auch äh alle anderen Parteien nicht vor äh Gefahr. Ja alle wollen immer irgendwie modern sein oder zumindest den Anschein erwarnen äh modern zu sein, kommen aber natürlich auch bildungstechnisch äh zeittechnisch nicht hinterher diesen ganzen äh Prozessen noch irgendwie zu folgen und deswegen schreien sie immer irgend nach einer Modernität, die sie eigentlich gar nicht verstehen und dann kommen halt links und rechts so äh die Teufelchen und sagen, ja hier irgendwie elektronische Wahlen, irgendwie voll modern und so musst du machen und so und dann wird das halt wiedergegeben und dann ist es, und es ist künstliche Intelligenz und was weiß ich, was uns irgendwie alles noch bevorsteht. Es wird, irgend so ein furchtbaren Begriff geben, den den den alle machen wollen, obwohl äh jeder, der so halbwegs Plan hat, wirklich schon die die Stirn wieder in Sorgenfalten geschlagen hat und gesagt hat, Leute bitte, bitte. Können wir nicht erst mal die Basics von neunzehnhundertfünfundneunzig äh auffe Kette kriegen, bevor wir wieder irgend so einen Scheiß hinterherlaufen.
Linus Neumann
Wir haben ja äh wir haben ja ähm kann man vielleicht an dieser Stelle noch mal ein bisschen anmerken. Also weil du mir jetzt ein bisschen wirklich äh klingst wie so ein Anti-Digitalisierungskreis Tim.
Tim Pritlove
Nee, nicht anti, nur mit einem anderen Bewusstsein, das ist das, was ich meine. Also es ist ne Chancen und Risiken abwägen.
Linus Neumann
Es gab in den Kommentaren zur letzten Sendung äh auch irgendwie so äh Beschwerden des des dass es in dieser Hacker-Szene so ein bisschen zu viel Überheblichkeit gäbe, ja. Ähm das das, Problem ist natürlich, weißt du, wenn du wenn du halt der Einzige im Raum bist, der das Problem überhaupt lösen könnte, Du weißt, dass alle anderen um dich herum es garantiert nicht lösen können. Dann äh kommt natürlich manchmal auch so eine leichte äh ja Überheblichkeit mit dazu oder auch einfach so ein Unwohlsein was einen dann relativ einfach zum ähm. Ja, wenn man wenn man zuviel dieser Dinge hat, schief gehen sehen und man hört ja jetzt hier raus, dass der Tim halt so einen Mazda hatte, ne. Ich meine, ne das geht ihm ja sehr nah. Ähm. Die Komplexität in der IT hat natürlich das das Problem einerseits sie ist halt da und wenn wenn sie zu groß wird dann macht man halt ein Abstraktionslayer dazwischen damit damit man sie nicht mehr sieht, Das ist ja das, was wir ins also das ist das, was wie IT funktioniert. Und dann irgendwann haste Log for Jay oder halt äh kein Radio mehr im Mazda, wobei das jetzt auch nicht so so dramatisch ist, ne. Gibt ja viel viel größere Problemchen äh äh die dir, die dir passieren können, als dass, dass dein Mazdaradio ähm also oder?
Tim Pritlove
Klar, es zeigt ja nur Komplexität ist eben nicht so ohne Weiteres beherrschbar. So und es sind ja auch äh Kosten, die Unternehmen dadurch äh entstehen so und das äh dieser wilde Rausch äh wir müssen jetzt hier maximal Digitalisierung machen ohne äh die Grundlagen dafür erstmal geschafft zu haben. Ich habe ja nix gegen digitales Radio. Ich habe auch nichts gegen Metadaten, das hilft ja alles sehr. Nur die Prozesse, diese ganzen Technologien einzubauen. Die sind einfach alle noch zu hektisch zu unüberlegt, weil mit zu wenig Erfahrung äh ausgestattet ist. Ein Bildungsproblem am Ende in der Technik, in der also in der Grundlagentechnik.
Linus Neumann
Ich ich kann ja zumindest vorstellen, wie man in den USA in einem Schachbrett-Straßenland, auf die Idee kommt, dass das vielleicht doch automatisch beherrschbar wäre, so ein Fahrzeug zu bewegen, ja, wo ähm, bin mal äh gespannt, wie die sich dann in Deutschland äh verhalten. Aber ich habe heute auch wieder hier unser, wie heißt der neue ähm Volker Wissing?
Tim Pritlove
Ja.
Linus Neumann
Wir werden jetzt äh Standort Nummer eins für autonomes Fahren werden wir jetzt Standort Nummer eins.
Tim Pritlove
Klar, natürlich.
Linus Neumann
Das ist aber gut, weil autonomes Fahren, jetzt so als Buzzword zunächst einmal nur für den Verkehrsbereich anwendbar ist. Das heißt, wenn wir Glück haben, haben wir in den anderen erfahren wir in den anderen wichtigeren Bereichen oder oder auch wichtigen Bereichen ähm. So ein bisschen Entlastung, weißt du? Weil wenn jetzt irgendwie. Was weiß ich, weißt du, wenn's jetzt um irgendeinen nächste Führerschein-Startup geht. Obwohl nee, da kannst du auch halt mit autonom Fahren machen. Ich höre lieber auf. Tim, wir sind am Ende, wir müssen aufhören.
Tim Pritlove
Genau. Ja. Vielen Dank. Ähm.
Linus Neumann
Reißt sich zusammen. Mach nicht.
Tim Pritlove
Machen nicht alle kaputt.
Linus Neumann
Mach nicht immer alles kaputt. War doch auch mal was Schönes. Herzlichen Dank äh dass du bei uns warst Kartoffel, vielen Dank für deinen Einsatz und deine äh Engelsgeduld.
kantorkel
Danke fürs Einladen.
Linus Neumann
Sehr gerne. Ich hätte bei dieser Sache glaube ich sehr viel sehr viel früher die Nerven verloren. Ähm insofern äh ja vielen vielen Dank und äh, Respekt, dass sie das so entspannt äh durchgezogen hast.
Tim Pritlove
Ja und damit sind wir am Ende unserer Sendung äh angekommen. Ähm vielen Dank fürs Hören und ähm wir hören uns bald wieder. Bestimmt. Alles klar. Tschüss.
Linus Neumann
Bis dahin. Tschau, tschau.

Shownotes

Prolog

HTTP Status Code 422

Feedback

Google Fonts

Der Wert von Gold

Blockchain-Zentralisierung

Blockchain in Projektvergabe

Kryptogeld und Ransomware

NFTs und das Kryptogeldproblem

6.4 Mio Datensätze in 50 Leaks

Clearview AI

Radio brickt Mazdas

45 Gedanken zu „LNP422 Bundesverdienstcoin

  1. Dass ein Reboot bei dem HD Radio-Problem nicht reicht ist das eine, dass es aber offenbar keinen Factory Reset gibt und die Hardware ausgetauscht werden muss, ist für sich auch bemerkenswert.

    Mazda scheint mit so was einfach kein Glück zu haben, ich erinnere an das Roman Mars Mazda Virus: https://gimletmedia.com/shows/reply-all/brh8jm

    Zur „Störfestigkeit von Kraftfahrzeugen“ gibt es auch eine kuriose Anekdote aus dem Amateurfunk: Als in halb Charlottenburg Funkschlüssel von Autos nicht mehr funktionierten, weil der von der BNetzA lizenzierte und ordnungsgemäß betriebene Amateurfunksender DB0BC im 70cm-Amateurfunkband den Sendebetrieb aufnahm. https://web.archive.org/web/20161222015217/http://db0bc.de/11-termine/11-aufregung-um-db%C3%B8bc

    • Den von Wau beschrieben Fehlalarm von Autoalarmanlagen hat man auch noch nicht ganz gefixed bekommen. Ich erfreue mich auf der Überfahrt nach Föhr immer an dem Oberklassewagen, der pünktlich mit dem Ablegen der Autofähre beginnt, laut auf sich aufmerksam zu machen und den, peinlich berührt, herbei eilenden Besitzern.

    • Und zu der in der Sendung aufgekommenen Frage „Wieviele Leute hören denn diesen Radiosender?“

      Im Zweifel irrelevant … Sollte ja nicht allzu schwierig sein, einen Störsender zu bauen, der das gleiche Spielchen mit einem öfter gehörten Sender macht.

    • nope. Ich mag nicht fremder Leute Daten hashen und weitergeben, daher nein. Zu leicht könnte man die Hashes brechen. Hinzu kommt, dass ich oft aus Gründen gar keine vollständigen Dumps gezogen habe, sondern nur z.B. mit „SELECT COUNT (DISTINCT(email)) from users;“ Betroffene gezählt habe.

  2. zu den Datenleaks und den fehlenden Kontakten:

    Vielleicht einfach mal die betroffenen Kunden dieser Dienste kontaktieren, und ihnen sagen, woher man ihre Daten hat, und dass der Betreiber leider leider nicht zu erreichen ist.
    Ist aber vermutlich auch juristisch eher eine Grauzone.

  3. Guten Morgen Linus, guten Morgen Tim!

    Goldbarren und -münzen kann man tatsächlich relativ kostengünstig prägen lassen – schaut mal hier: https://www.geiger-edelmetalle.de/services/individuelle-praegung/

    Auch, wenn ich das nicht beziffern kann, ist die Förderung von Gold durchaus problematisch. Konkret findet der Großteil davon als Sklavenarbeit statt. Zum binden des Goldes wird üblicherweise Quecksilber verwendet und später Zyanidverbindungen, um Goldreste aus dem Abwasser zu holen. Dieser Dreck geht dann in Grundwasser, Flüsse usw.. Zyanid ist flüchtig und vergiftet nur die, die damit zu tun haben, aber Quecksilber geht direkt in die Nahrungskette… Achso, und dass die größte Menge Gold da rausgepult wird, wo vorher Wald stand, setze ich als bekannt voraus. Kurzversion, wenn man die Kollateralschäden des Minings vergleichen möchte: BTC verbraucht „nur“ Energie welche man zumindest theoretisch halbwegs sauber bereitstellen kann. Goldmining ist intrinsisch eine Riesensauerei für Natur & Mensch und findet überwiegend da statt, wo Menschenrechte und Umweltschutz keine Kosten verursachen, weil nicht existent.

    Letzter Punkt: Gold als weltweit akzeptierter Wertspeicher hat tatsächlich eine sehr lange Geschichte und hat bisher alle Währungssysteme, politische Systeme, Dynastien und Großreiche überstanden. Auch, wenn die „Wertdichte“ relativ hoch ist (mir fällt gerade nur Platin und Diamanten ein, die da noch besser abschneiden) ist es immer noch ein physikalisches Objekt, welches durch Feuer und Wasser zerstört bzw. unzugänglich gemacht werden kann – sprich die sichere langfristige Lagerung ist nicht ganz trivial. Da ist das Memorieren einer seed phrase einfacher, setzt allerdings voraus, dass man am Leben bleibt… ;-)

  4. Wo es gerade nochmal um die Blockchain und dsgvo ging, habe ich mich folgendes gefragt:

    Ich könnte ja meine personenbezogenen Daten in eine Blockchain schreiben. Was passiert, wenn ich dann Unternehmen aus dem Blockchain-Bereich, die eine eigene Instanz unterhalten, gemäß dsgvo auffordere, diese zu ändern bzw. zu löschen?

    Könnte man damit nicht die Blockchain aus dem kommerziellen Bereich der EU rausbekommen?

    Könnte auch in Hinblick auf solche Fälle interessant sein: https://twitter.com/damedoteth/status/1490717622010269696

    PS: Vielen Dank für Euren Podcast und bleibt gesund!

  5. Nochmal zum Bitcoin – Ich verfolge das Thema auf der Metaebene, wo es ja in verschiedenen Podcasts immer wieder Thema ist. Ich vermisse aber ein Statement zu El Salvador – die haben doch den BC als offizielles Zahlungsmittel eingeführt, u.a. um die Inflation einzudämmen. Habe ich das überhört oder ist euch das durchgerutscht? Oder stimmt es gar nicht? Wenn doch, wäre das ja ein interessantes Freilanexperiment.

    • Nein, ist uns nicht entgangen. Das ohnehin an Korruption nicht arme Land wird halt seit einiger Zeit von so einem Laseraugen-Krypto-Bro regiert und hat das durchgesetzt. Die Sache entwickelt sich gerade, allerdings nicht besonders gut: https://www.bloomberg.com/news/articles/2022-01-12/bitcoin-trading-president-likely-loses-money-for-el-salvadorans

      El Salvador will quasi zum Scan Central werden und fabuliert die typischen „Clean Energy“-Projekte herbei, die ja durch Bitcoin magisch entstehen (weil es ja sonst keine Nachfrage nach Energie gibt, wer braucht sowas schon?). Für LNP bisher jetzt noch kein zentraler Fokus, aber ich kann mir vorstellen, dass das auch noch so eine Baustelle wird. In den USA sind sie schon dabei, El Salvador dafür auf die Terrorliste zu packen. Macht sich halt nicht so gut im internationalen Finanzsystem in unregulierten Systemen anonyme Zahlungen voranzutreiben. Der Spuk wird sicherlich bald ein Ende haben.

      Oder wie Linus das so schön gesagt hat man kann sich da verschiedene Ausgänge vorstellen, aber keine guten.

  6. Den letzten Teil fand ich etwas irritierend, als ihr KI und Crypto in den selben Topf geworfen habt. Maschinelles lernen ist im Grunde eine neue Art zu programmieren, damit kann man Programme schreiben die früher nicht möglich waren. Mittlerweile geht sehr viel mehr als ne Katze von nem Hund zu unterscheiden z.B. können solche Programme aus 2d Bildern 3d Umgebungen ableiten, Maschinen beginnen also zu sehen. In dem Zusammenhang fand ich auch diesen rant gegen das selbst fahrende Auto unpassend, nur weil die Königsdisziplin (noch) nicht funktioniert heißt es ja noch lange nicht dass in weniger komplexen Umgebungen diese Technik keinen Mehrwert bieten (Traktor auf dem Feld)-

    • Das war als Beispiel dafür genannt worden, wie Buzzwords funktionieren, auch wenn ich Dir zustimme, dass ML definitiv nützliche Anwendungen hat. Allerdings ist der Oberbegriff „Künstliche Intelligenz“ hier auch entsprechend hohl. In wie fern man das allerdings „fördern“ muss ist mir nicht klar. Das ist halt so eine Technologie, die kann man benutzen, die verschwindet nicht vom Planeten, wenn man sie nicht fördert. Wenn jemand gute Software-Ideen hat, die man mit ML umsetzen kann, ist ja alles verfügbar. Man kann natürlich auf universitärer Seite die Informatikforschung fördern, aber darum geht es ja eher selten.

  7. Nochmal direkt zum DSGVO-Feedback:
    Soweit ich das verstanden habe, ist das Nachladen von CDNs an sich erstmal kein Problem (sonst dürfte ich mir in letzter Konsequenz ja auch keine Server mehr mieten – Netcup sieht ja auch die IP-Addressen aller Besucher). Ein Problem entsteht doch erst dann, wenn das CDN selber nicht DSGVO-Konform ist?

    • Verstehe ich auch so. Die Rechtsunsicherheit die sich daraus für alle kleinen Unternehmen ergibt ist jedoch enorm. Das nutzt wieder nur den großen, die das mal schnell von ihren teuren Anwälten klären lassen können.

      • Aber dass der ganze Privacy-Shield auf wackeligen Füßen steht ist doch nichts Neues? Es ist ja schon seit Jahren bekannt, dass das Einbinden von US-Diensten DSGVO-mäßig schwierig ist – wo da jetzt auf einmal spontan eine neue Rechtsunsicherheit herkommen soll, erschließt sich mir nicht.

        Ganz im Gegenteil haben wir mit dem Urteil eigentlich mehr Rechtssicherheit bekommen, weil jetzt endlich mal klar ist, dass das Ganze auch wirklich in der Praxis ein konkretes Problem werden kann… Das dürfte vielen Leuten die notwendige Argumentationsgrundlage geben, dass man dringend ein Budget braucht um die ganzen Google-Analytics-Gammelwebsites zu reparieren.

        • Ja, aber das ist ja da Problem. CDNs zum nachladen von Resourcen wie bei Google Fonts zu nutzen entspricht eigentlich nicht mehr den »best practices« in der web Entwicklung. Poschi hat das oben schon angesprochen: weil es heutzutage, anders also noch etwa 2016 und zuvor, keine Performance Vorteile mit sich bringt, siehe:

          https://httptoolkit.tech/blog/public-cdn-risks/#where-did-it-all-go-wrong

          Aber, wie auch in dem oben verlinkten Artikel erwähnt lohnt es sich dennoch eine caching reverse-proxy zu nutzen, wie z. B. die von Cloudflare, Fastly, Cloudfront, Akamai o. Ä. angeboten werden (habe interessanterweise keinen vergleichbaren Dienst von einem EU-basiertem Unternehmen gefunden). Nur ist jetzt die Frage ob diese Dienste auch nach dem Urteil noch DSGVO-konform sind?

  8. „Angehörige des Geschäftsbereiches des Bundesministeriums der Verteidigung können nicht mit dem VDPBwVulnerability Disclosure Policy der Bundeswehr-Coin ausgezeichnet werden.“
    … hä?

    Ok, man kennt das ja von „für sachdienliche Hinweise zur Aufklärung von Verbrechen X ist eine Belohnung bis zu Y Euro ausgesetzt“, die man als Polizist auch nicht bekommen würde. Aber hier gibt es ja gerade kein Geld, andererseits gibt es auch sowas wie Einsatzmedaillen, und da sagt man den eigenen Leuten, deren Aufgabe das Finden solcher Lücken „sowieso“ ist, eiskalt ins Gesicht: Diese Medaille kriegt ihr auch nicht als Anerkennung? Ihr kriegt nix außer dem üblichen?
    Wow. Ich dachte, als nächstes wird sowas wie das „cyberne Kreuz“ eingeführt, bei ausreichender Glorie dann „mit Siliziumkristallen“, aber so hat das natürlich keinen Sinn. Mein Stolz aufs Vaterneuland hat jetzt einen weiteren Knacks.

    • Kantorkel sagte so etwas wie „Weil man eine Münze bekommt, wenn man drei Sicherheitslücken findet, habe ich noch zwei weitere gefunden.“
      Ohne die Münze hätte er sich die Arbeit wohl nicht gemacht. Damit hat die Bundeswehr hier einen sehr günstigen Weg gefunden, um Hacker zu motivieren. Wer weiß, wie sicher die Seite wird, wenn die Bundeswehr erst die Gold- und die Platin Münze einführt.

  9. Dazu, dass Website-Betreiber jetzt möglicherweise sagen „dann geh ich halt zu Facebook, dann werde ich nicht abgemahnt“: So einfach ist es halt nicht.

    Wer eine Facebook-Seite betreibt, bestimmt Mittel der Datenverarbeitung und ist mindestens gemeinsam mit Facebook verantwortlich. Und müsste darüber dann mit Facebook eine Vereinbarung abschließen…

  10. Keine goldenen 20er ohne Blockchain. Das Thema wird diese Jahrzehnt bestimmen. Ihr könnt so tun als sei dies nicht wahr, aber wisst es selber schon lange.

  11. Thema Komplexität bei Autos. Bei einem gewissen Podcast stürzt das Bluetooth-Modul meines Autos zielsicher ab. Wieso ist mir absolut rätselhaft.

  12. Zur Problematik, dass sich Unternehmen nicht zurückmelden, wenn ihnen eine Sicherheitslücke gemeldet werden will – habe ich folgende Idee:

    Wenn der Hacker zugriff auf Daten hat (vorausgesetzt Schreibrechte), wäre es ethisch vertretbar ein Crypto Troyaner zu deployen mit dem Hinweis, über welche Sicherheitslücke man reinkam. Und dass der Key zur Entschlüsselung bei der lokalen Datenschutzbehörde abgeholt werden kann?
    Damit das Unternehmen zur Lösung gezwungen wird?

    Frage für ein Freund

  13. wollte kurz auf den Comentcheck bezüglich externes Nachladen eingehen. ich war entsetzt, als Programmierer, wie naiv und unwissend das Thema cdn, static usw behandelt worden ist. Wenn man die Vorteile von Composer, Bower npm usw nicht verstanden hat, dann sollte man da auch vorsichtig mit Aussagen sein. Und auch die Aussage, Wir leben in einer Gigabyte Gesellschaft, ist schon fast peinlich…
    man beachte die technischen Limits, Anfragen, Verarbeitung, was ja nur ein Aspekt bei der Sache ist.

    und natürlich ist es Absurd, was hier im Auftrag der Datensicherheit vorgeschoben wird von offiziller Stelle.
    Die Cookie Geschichte ist ebenso etwas so absurdes, wenn die Gesetzgebung an den anderen entscheidenen Stellen, genau das wieder unsichbar legalisiert… kleiner Tipp: bei einem Brillenkauf muss man seine Ausweisdaten hinterlegen, + Email + Phone usw…
    man kann sich gar nicht mehr so oft an den Kopf hauen, wie täglich die real Satiere einfach nur real ist…

  14. Sorry – der Witz schreibt sich von selbst: Die Webseite mit den Danksagungen der Bundeswehr gibt es nur auf Deutsch! Wo soll denn der Benefit für Russische Staatsbürger sein Schwachstellen zu melden, wenn wir das nicht mal ins Englische übersetzen? Da können uns ja nicht mal unsere Freunde helfen!
    Sorry – auf der einen Seite „Berater“ über zu bezahlen und kaum Geld für Security ausgeben ist halt nicht nachhaltig. Warum nicht wenigstens eine ehrliche Bug Bounty mit realen finanziellen Gewinne, mit denen man nicht ausgelacht wird? Es ist wirklich beschämend welche Klasse von Lücken in der Bundeswehr existieren.
    Und dieses wäre besser zu ertragen, wenn diese Organisation nicht versuchen würde junge Menschen zu beeinflussen, diese an zu werben und ihr Grundrecht auf Leben und körperliche Unversehrtheit ein zu schränken (Siehe Grundgesetz §17a, Soldatengesetz §7).

  15. Ich finde ein Punkt ist bei Clearview AI zu kurz gekommen. Wenn die jede Erdenbürgerin erkennen können und es passend dazu AR Brillen gibt, die von genügend Leuten getragen werden, dann bedeutet das, dass die im Prinzip alle Menschen der Erde in Echtzeit überwachen können. Die Gesichtserkennung wird ja nicht datenarm lokal, sondern auf deren Servern stattfinden. D.h. die wissen wer wo ist und was die Person gerade macht, können deren Laufwege und Adresse herausfinden usw.

    Und wir regen uns über google fonts auf…

    • Na ja. G.-Fonts war ja nur der Aufhänger in dem Fall. Das ganz konkret ist tatsächlich relativ belanglos. Man kann das ja auch einfach wegblocken ohne Funktionalität zu verlieren. Aber block mal G.s Captcharotz. Dann kommste halt nirgendwo mehr rein. Dein Punkt war hier ein anderer, klar. Ich wollte nur kurz erwähnen, dass ich es nicht gut finde, das G.-Fonts-Urteil so runterzuspielen.

      • Es ging mir keinesfalls darum, dass Urteil herunterzuspielen. Ich verstehe allerdings, dass der Eindruck entstehen konnte, das habe ich unglücklich formuliert.

        Ich denke im Übrigen, dass g Fonts um einiges perfider sind als captchas, weil die Fonts im Hintergrund agieren und die wenigsten wissen, dass sie dabei ihre IP-Adresse an Google geben, geschweige denn, dass überhaupt Fonts von Google geladen werden. Und ich denke darauf zielt das Urteil auch ab.

  16. Vielen Dank für die Diskussion meines Blockchain-Kommentars! Freut mich, dass ich einen Beitrag leisten konnte.

    Aber eigentlich ist es ja noch viel krasser.

    Eigentlich gibt es Blockchain gar nicht.

    Eigentlich gibt es nur Bitcoin.

    Blockchain = Bitcoin.

    M.E. ist das Ur-Missverständnis, dass man glaubt, eine „Technologiebasis“ zu haben, auf der eine „Währung“ aufsetzt. Und jetzt könne man diese Technologiebasis flexibel nehmen und andere Anwendungen darauf aufsetzen. Tatsächlich benutzt man aber nur einen Geldschein, um etwas drauf zu kritzeln, obwohl es DIN-A4-Blöcke zu kaufen gibt. Es keine keine Technologiebasis. Schon gar keine neue oder tolle. Die Technologiebasis ist schlicht eine Datenbank (mit vielen unattraktiven Eigenschaften). Blockchain ist Bitcoin.

    Bitcoin ist aber trotzdem spannend und hat was revolutionäres, weil es eigentlich die erste digitale Abbildung von Gold ist. Bin jetzt kein Währungsexperte, aber nach meinem Verständnis hat Bitcoin dieselben Eigenschaften wie Gold: 1.) Die Menge ist begrenzt und es ist selten; 2.) es ist nicht bzw. nur schwer fälschbar; 3.) das Mining kostet enormen Aufwand; Und wie auch bei Gold, glauben die Menschen einfach dran und deswegen ist es am Ende auch was „wert“. Technisch gesehen ist Gold nur ein Metall, und Bitcoin eben nur Energie.

    Btw.: dieser enorme Aufwand fürs Mining ist zwar für alle anderen schlecht, aber gut für Bitcoin. Diese Schwerfälligkeit ist ein Feature von Bitcoin, um überhaupt wie Gold funktionieren zu können. Das ist für das Anreizsystem in Bitcoin essentiell.

    Am Ende kann die Weltgesellschaft ja mal darüber diskutieren, ob man Gold durch Bitcoin ersetzen will. Vielleicht stabilisiert sich dann der Kurs, wenn alle mitmachen – aber eben auch Staaten und Zentralbanken. Die könnten vielleicht sogar auf Bitcoin ihr Fiat-Geld-System weiterbetreiben. Die gemineten Bitcoins liegen dann auf einem USB-Stick in Fort Knox :-) …und wenn dann das Internet weg ist, gehen sowieso alle wieder zurück ins Gold.

    Wie auch immer…

    Den Begriff Blockchain können wir jedenfalls streichen.

    So long
    Erich

  17. Guten morgen,
    nachdem fast nur negatives über Blockchainanwendungen anfällt, wollte ich mal meine Idee hier herkommentieren, auch um zu sehen ob ich das richtig verstanden habe.
    Die Blockchain erinnert mich an das gute alte Durchschreibpapier von früher, die bei Quittungsblocks sehr sinnvol waren.
    Auf unserer Arbeit wurden Werkstattbücher für die Fahrzeuge mit Durchschreibbüchern geführt. Wenn ein Fehler gefunden wurde, konnte man dann sehen, ob dieser Fehler schon für den nächsten Werkstattbesuch vorgemerkt war, weil ja der Durchschlag im Buch verbleibt.
    Wenn der Vergleich nicht zu sehr hinkt, wäre es für mich nachvollziehbar wenn jedes KfZ, ab der Zulassung, mit einem digitalen Werkstattbuch ausgestattet ist, dass man nicht einfach unter den Tisch fallen lassen kann. Erfahrungsgemäß können Gebrauchtwagenhändler jegliche Verantwortung durch „weiss ich nich“ aus der Verantwortung mogeln, wenn sie ökonomisch schlecht gestelten Menschen einen Wagen in „TOP Zustand “ verscherbeln.
    Die Infrastruktur für Eintragende durch TÜV/Dekra, Zulassungsamt, Werkstätten ist ja vorhanden und der Datenschutzanspruch an ein Auto ist auch überschaubar.
    Wenn ich mit der Fahrgestellnummer auf ein digitales Werkstattbuch zugreifen kann, könnte damit Schindluder eingedämmt werden und den Papierkram in Ordnern (digital oder analog) wird dadurch gespart.
    Wenn dann nichts aus der Historie gelöscht werden kann, weil Blockchain, scheint mir das, nach meinem Verständnis ein sinnvoller Anwendungszweck.

    Danke für den Podcast und ihr habt mich nochmal eingefangen, mein Umfeld hat mir schon Bitcoins geschenkt um mich „anzufixen“, dann war die Wallet da und ich bereit mein Erspartes umzuschichten. Hab mich nochmal umentschieden. Danke euch

    • Hallo,

      das Beispiel mit dem Durchschreibbuch habe ich nicht ganz verstanden, aber das KfZ-Beispiel passt eigentlich.

      Wichtig für das Verständnis ist: Eintragende wie TÜV/Dekra, Zulassungsamt, Werkstätten sind eine zentrale Instanz. Die sind ein Konsortium und haben ein Interesse, zusammen zu arbeiten. Die müssen einfach nur einen Kooperationsvertrag machen und fertig. Dann können die einfach Standardtechnologie nehmen, also eine state-of-the-art-Datenbank mit digitalen Signaturen.

      Das mit Blockchain zu realisieren, weil man glaubt, die Maschine regelt das von selbst und man braucht keine Juristen mehr, macht keinen Sinn und man handelt sich nur Probleme ein – Blockchain ist eine langsame Datenbank, die nicht skaliert, und bei der man Einträge nicht mehr ändern oder korrigieren kann.

      Ich hoffe, das hilft beim Verständnis?

      • Ja, du hast das mit dem Durschreibbuch im letzten Absatz genau beschrieben.
        Es skaliert nicht, also in dem Fall wird es einfach nur „unübersichtlicher“ und länger, umso länger das Fahrzeug existiert. Aber der nächste Besitzer kann alle Informationen aus diesem digitalen Dokument ziehen die gebraucht werden, sobald er die Fahrzeugnummer hat. Von Schäden über tatsächliche Reparaturen usw. .
        Aber weil jede zentrale Stelle, am besten mit so einem Kooperationsvertrag, Sachen eintragen können (auch die Polizei dokumentiert Unfälle, die können da gleich Platz finden), stehen in der „Historie“ Informationen die wahrscheinlich auch den Tatsachen entsprechen.
        Nur um meinen Denkvorgang nochmal aufn Punkt zu bringen. Jemand der/die den Aufwand unternimmt etwas professionell zu reparieren, tut dies meistens um die eigene Leistung festzuhalten. Damit ist dem Auto auch der Zeitaufwand der Erhaltung zugeordnet. Das halte ich für eine reale, sinnvolle Wertsteigerung/ Erhaltung
        Auto = teuer, Maschine, notwendig, langer Lebenszyklus, theoretisch Upradepotenzial bei einzelnen Komponenten
        Blockchain = Konzept des Durchschlagpapiers digitalisiert, dokumentiert vom ersten Tag an
        Ergebnis: Der zwanzigste Besitzer kann immernoch nachvollziehen was und ob was gemacht wurde. Auch wenn das KfZ einmal um die Welt gegangen ist. Der mechanische Zustand könnte dann dokumentiert sein.
        Unabhängig von Behörden, deren Ziel ausschließlich die Dokumentation, der momentan geltenden Vorschriften zur Betriebserlaubnis ist.
        Es muss nicht das Auto sein, sondern komplexe Systeme, die teilweise Jahrzehnte überdauern können.
        Eine Datenbank geht ja oft mit der Instanz oder der Abteilung unter, in der dieselbe gepflegt wurde. Maschinen wechseln teilweise über Jahrzehnte die Besitzer und werden aus immer wieder neuen Motivationen neu entdeckt.

  18. Was mir bei der Argumentation zum Einbinden von Drittanbieter-Ressourcen gefehlt hat, ist das insbesondere bei Javascript einfach Code nachgeladen und ungeprüft ausgeführt wird.
    Sollte irgendein CDN einem Hackerangriff zum Opfer fallen, oder fehlerhafte Updates ausliefern, ist man dem sofort ausgeliefert.
    Bei faker.js hat man das gut gesehen, als mit einem Update alle Dateien gelöscht wurden.
    Bei lokal gehosteten Ressourcen hat man dieses Problem nicht.

  19. Hallo ihr Lieben!
    Ich habe nur einen winzigsten Kommentar zu den Google Fonts: Ich befinde mich aktuell in der Mediengestalter-Ausbildung und uns wurde direkt mit beigebracht, dass die Google Fonts und Facebookbuttons etc. ein Datenschutzproblem mitbringen. Auch wie man das beheben kann, wurde uns natürlich beigebracht.

    Vielleicht kann ich euch damit ein bisschen Hoffnung für die Zukunft machen :)

    Viele Grüße
    Ypsileny

  20. Zum Verdienstcoin (sehr schönes Wortspiel, btw ;)

    Die Bundeswehr macht da, was Armeen eben machen: Orden verteilen. Kostet wenig, ist aber immerhin eine Form der Anerkennung.

    Lässt sich auch aus der Numismatik ableiten: Da ist alles, was kein Zahlungsmittel ist oder war eine „Medaille“ (und von recht geringem Wert). Medaille ist im Englischen „medal“, was ein Synonym für „Orden“ ist. qed ;)

  21. Hallo Linus,

    grad eben finde ich auf der Website meines nicht funktionierenden Webradios Php Code. Ich lese eine conf.inc.php in Plaintext mit Zugangsdaten und Uris zu Datenbanken, die kaum alle localhost sind.

    Menschendaten werden da nicht liegen, aber mal *meine* Nachrichten senden hätte auch was:)

    Nach den letzten Folgen Lnp zum Thema weiß ich weniger als vorher, was ich denken und machen soll. Eigentlich würde ich ja gern Bescheid sagen, hey guggt mal hier gehts noch. Aber ich bin kein Aktivist und will auch keiner werden.

    Ich wünsche mir eine stressfrei anonym erreichbare Adresse, wo man so Kram abliefern kann und dann kümmert sich wer drum, gerne auch mit Skandal.
    Ich mach nämlich jetzt gar nichts. Das ist Fail, stört mich aber nicht beim Leben.

    Sollte es irgend sowas ähnliches geben, ist es bei mir nicht angekommen.

  22. Zu Clearview:
    Bei den Öffentlich-rechtlichen gab es doch vor einigen Jahren mal so einen schönen Film, der einige Aspekte von Datenbrillen recht gut veranschaulicht und der meiner Ansicht nach auch die Notwendigkeit von Datenschutz generell ganz gut veranschaulicht.
    Der Film heißt „Operation Naked“. Leider finde ich ihn nicht mehr auf den Seiten der Öffentlich-rechtlichen, daher ein Link zu Vimeo:
    https://vimeo.com/152703641

    Tipp:
    Wenn ihr mal ein paar Leute veräppeln wollt, schickt ihnen den Film am besten unter dem Vorwand, dass das ein Dokumentarfilm über eine super tolle neue Technologie sei. Die Reaktionen sind teilweise echt super.

  23. Wie sagte schon einst ein Weiser Mann: „Wenn in deinem Commit drinsteht, „begin Private Key“, dann musst du dir den Commit nochmal angucken. Und das ist auch nicht alles, weil wenn da außerdem noch drinsteht Postgres DB, […]-Backend, Postgres-user XYZ, Postgres-Passwort […] , da musst du auch nochmal deinen Commit angucken. Und wenn da außerdem noch so was drin steht wie. New-E2E-Passwort = „123!“ .Dann musst du auch nochmal deinen Commit angucken und irgendwie deine Passwortrichtlinie“

    Wenn man halt einfach mal drauf achtet, Environment-Variablen und Secrets getrennt vom Code in dafür vorgesehenen Lösungen zu verwalten, kann das auch nicht passieren.

    Jeder, der schonmal mit GitHub Copilot experimentiert hat und ein JSON scaffolding mit einem Haufen XXXXXXXXX gefüllt an stellen wo ein Passwort oder ein private key hingehört, gesehen hat, wird sich denken können, dass die KI hier irgendwem gerade den A*** rettet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.