LNP483 Hackerzugriffsverbesserungsgesetz

Guten Morgen Linus.

Guten Morgen Tim.

Sag mal, was meinst du, wie ist die Teilnehmerzahl an diesem Podcast?

Also die Polizei sagt einer und ich sage 350.000.

Logbuch Netzpolitik Nummer 483 vom 27. Januar 2024. Und ja, wie viele sind wir denn jetzt heute eigentlich hier?

Also hier ist ja kaum jemand.

Wenn du Polizei fragst.

Das muss man jetzt schätzen. Also wie viele ist hier pro Quadratmeter?

Ja, wir rechnen das einfach pro Quadratmeter hoch.

Ja, auf mehreren Quadratmetern in der Meta-Ebene ist einfach niemand, also rechne ich das jetzt mal hoch.

Wow, okay. Ja, ist ein bisschen schwierig mit der Schätzung von Teilnehmerzahlen, aber ich glaube, uns hören trotzdem Millionen zu.

Natürlich.

Das liegt auch daran.

Dass wir werbe- und bullshittfrei sind. Ich weiß nicht, seit wann das auf der Webseite steht, aber das fand ich sehr schön.

Schon eine Weile.

Ich gucke den nicht so oft an.

Warum auch? Ja, das ist sozusagen der inoffizielle Slogan der Meta-Ebene. Werbe- und bullshittfrei.

Ja.

Da bemühen wir uns nach Kräften.

Genau.

So, genauso bemühen wir uns nach Kräften auf euer Feedback einzugehen. Es ist viel, aber lustige Sachen dabei. Wir fangen an mit Sand.

Oh ja, Sand.

Fabs Kimo schreibt, hi Leute, ich als langjähriger Hörer eurer Show freue mich, dass Tim das Slumberland kennt und wollte dazu anmerken, dass ich da seit 15 Jahren die Reinigung mache. Slumberland ist praktisch mein zweites Haus. Also zu Hintergrund, das ist die Bar, die ich erwähnt habe in Berlin, die Sand auf dem Boden hat. Genau. Slumberland ist praktisch mein zweites Zuhause und ja, früher habe ich auch den Sand mal gesiebt, aber das mache ich schon lange nicht mehr. Es wird ja nicht mehr geraucht in Kneipen und so sammle ich nur die paar Sachen auf, die da rumliegen und verteile den von den Gästen durchwanderten Sand, nur damit er überall gleichmäßig aussieht und kippe gelegentlich neuen Sand drüber. Damit ist das auch abschließend besprochen und es herrscht nun Klarheit. Kommt gerne vormittags vorbei, da gibt es Kaffee für Lawin, ich gerade da bin. Alles klar. Das sind so diese Zufälle, wo ich sagen muss, das müssen Millionen sein, die uns zuhören.

Das ist tatsächlich schon manchmal lustig, wie viele den Podcast gerade einen darauf ansprechen. Wir haben halt, Someone you trust is one of us.

So, wir bleiben aber auch bei dem Thema, was haben wir unter den Füßen, zum Thema Teppich. Cleo schreibt, habe Linus heute zum ersten Mal völlig lost erlebt, Stichwort Messe-Teppich. Es gibt nur eine akzeptable bodendämpfende Flurware und das ist Teppich. Ohne den wäre ich auf dem Kongress so oft aufgeschmissen gewesen. Wesen.

Ja, ich hab halt, also vielleicht, ich weiß nicht, ob ich das schon gesagt habe, es liegt auch ein bisschen damit zusammen, dass ich Allergiker bin und deswegen Räume bevorzuge, in denen nicht irgendein Teppich alles für immer festhält. Also Textile mag ich ganz gerne auch gereinigt.

Das ist ein nachvollziehbares Argument. Aber es ist jetzt auch nicht so, dass du mit Hautausschlag vom Kongress abziehst oder so.

Nein, nein, nein. Nein, für mich ist das auch völlig in Ordnung. Ja, wahrscheinlich ist das in Ordnung, aber Fittteppich insgesamt schwierig.

Okay, na gut. Das kriegen wir nicht gelöst. Kommen wir auf die etwas politischeren Themen. Wir hatten von diesem UK Post Office Skandal berichtet. Dazu gab es einige Kommentare, unter anderem von David. Er schreibt, noch eine kurze Ergänzung zum Post-Office-Skandal, wenn ich Novara Media richtig verstanden habe, dann wurden den Mitarbeitern in den Call-Centern, in denen natürlich all die Betroffenen angerufen haben und erklärt haben, dass sie ihre Kassen richtig bedient haben von der Leitung, dazu verpflichtet, diesen Leuten zu erzählen, dass sie die einzigen seien, die damals von solchen Problemen berichtet haben. Die Aufklärung hat demnach eben auch deshalb so lange gedauert, weil alle Betroffenen dachten, sie wären alleine und dann waren es aber dann doch eher so 900. Riesentoaster merkt an zu dem Thema haben die BBC seit Mai 2020 einen Podcast am Laufen, der das auch mal ganz gut aufrollt und einzelnen Betroffenen eine Stimme gibt, das macht dann noch mal deutlich, was das alles mit den Menschen machen kann und das nur wegen einem kleinen Bug in der Software und Menschen, die alles getan haben, diesen zuzudecken Der Podcast heißt The Great Post Office Trial und ja Link haben wir in den Shownotes Dann gab es noch einen längeren Kommentar, der ja wirklich zu lange ist, um den hier komplett durchzulesen von T.T. Kreischwurst, der das sozusagen nochmal en detail, die wichtigen Sachen hat. Ich fasse das mal so in Stichworten zusammen.

Nicht du. Chat-GPT, gib's zu. Wenn du schon sagst, ich fasse das mal zusammen. Das war der Witz.

Dass ich das am Ende sage, weißt du?

Achso, ja meinst du die Leute sind doof oder was? Die merken das nicht. Du fasst was zusammen, wir fassen heute noch was zusammen.

Ich lasse zusammenfassen.

Gut.

Guck mal, jetzt ist sozusagen die Erwartungshaltung der Leute an das, was ich sage, einfach reduziert. Weil da einfach so viel Dissing stattfindet. So die armen AIs, die werden auch einfach...

Ich finde aber nicht in Ordnung, dass du so tust, als hättest du das gemacht.

Hab ich auch nicht gemacht.

Die arme AI.

Ich hab das gemacht. Ich hab das da reingepastet und return gedreht.

Das wird sich irgendwann an dir rächen.

Gott, die AI wird sich an mir rächen. Oder du.

Nein.

Wer rächt sich dann?

Ich finde, die AI hat auch Gefühle und wir sollten sie machen lassen, was sie möchte.

Deswegen wollte ich sie jetzt gar nicht in die Bredouille bringen. Jetzt habe ich beide am Hals. Die Hörerin und die AI. Das war's dann. Super.

So schnell ruiniert man sich.

Genau. Die Alternative wäre, dass ich jetzt die ganze Zeit, die ich jetzt mit diesem Geplänkel mit dir verbracht hätte, mit dem Originalkommentar zugebracht hätte. Jetzt haben wir eigentlich gar nichts gewonnen. Also kurz gesagt, die Postämter spielen halt in UK nochmal eine größere Bedeutung als hier. Das haben wir so nicht erwähnt, weil die eben auch so Rentenauszahlungen und sowas machen. Also das ganze Post Office ist sehr viel höher aufgehängt im britischen System und von daher sind das eben jetzt nicht nur Pakete oder so, die da eine Rolle spielen, sondern ging es auch teilweise um größere Summen. Und ja, das Ganze hatte natürlich dann extreme soziale Auswirkungen und wie schon erwähnt wurde, diese Versuche von dem Post Office selber, den Leuten mal klar zu machen, sie wären die einzigen mit diesem Problem, haben die Leute dann dazu gebracht, diese Fehlbeträge einfach aus eigener Tasche zu zahlen, weil sie nämlich dann auch teilweise vermutet haben, dass es ihre Mitarbeiter waren, die sie dann beschissen haben und sowas, um das irgendwie aufzudecken. Und dann hat natürlich auch Fujitsu schön stillgehalten, obwohl sie frühzeitig von Bugs im System wussten und eine Besonderheit ist halt auch noch, dass das Post Office selber die Untersuchungen durchgeführt hat, weil es nämlich tatsächlich so eine juristische Entität im Rechtssystem ist. Also das ist sozusagen so amtlich organisiert gewesen, das ist glaube ich mittlerweile jetzt beendet worden, dass sie quasi selber auch diese Ermittlungen durchführen konnten. Und sich gegen sich selber ermitteln ist natürlich schwierig. Also es ist so eine Art private Anklagebehörde und das hat nicht unbedingt dazu beigetragen, dass das Verfahren jetzt sehr viel fairer durchgeführt wurde. Genau. Also längerer Kommentar dazu oder wie gesagt auch dieser Podcast. Marc hat dann noch angemerkt dazu, dass es auch bei der Post AG mal so einen Fall gab mit einem E-Post System, wo auch da entsprechende Fehlzahlungen bemerkt wurden, die es so nicht gegeben hat. Dann gibt es einen Artikel vom Stern, der hier verlinkt wird von 2008 oder so. Ja, dann gab es zu meinem Bericht aus Ungarn, aus Budapest, von dieser Litfaßsorge, du erinnerst dich wohl, wo dann sozusagen von der Leyen und Alex Soros da auf dem Foto abgedruckt wurden und so. Und ich habe mich ja versucht, da eine Übersetzung, da gab es vielleicht eine etwas treffendere Übersetzung als die, auf die ich gekommen bin. Gregor merkt an, auf Deutsch gibt es die Rebewendung nach jemandes Pfeife tanzen. Ja, also die Aussage war halt so ein bisschen so, tanzt nicht nach ihrer Pfeife.

So hätte ich das auch mit vorgelegt.

Genau, sehr naheliegend bin ich irgendwie nicht drauf gekommen. Und Charlotte merkt dann noch an, dass am unteren Rand auf diesem Plakat auch noch ein ungarischer Text steht, den ich jetzt nicht versuche vorzulesen, weil dann kann ich nur scheitern. Mit Deep L übersetzt heißt es dann tatsächlich im Auftrag der Regierung von Ungarn. Also damit ist dann die Frage, wo das jetzt herkommt. Und auch beantwortet. Also da gab es viele Rückmeldungen in der Richtung, dass das halt alles überhaupt nichts Neues ist. Das läuft schon seit Jahren so und das ist da irgendwie einfach vollkommen normal, dass da also die ganze Zeit die böse EU an den Pranger gestellt wird und das arme Ungarn und so weiter. Wie das so ist mit solchen Systemen. Man sucht sich immer den Buhmann, die für alles ganz verantwortlich sind, aber bloß nicht selber irgendwelche Verantwortung übernehmen. So, dann hatten wir die Funkzellenabfrage in Berlin, die eingestellt wurde, erwähnt. Dazu gab es dann natürlich Korrekturen, vor allem von André Meister. Zwei kurze Korrekturen zu den Funkzellenabfragen. Erstens der Berliner, der über 100 Autos anzündete, nicht aus politischen Motiven, wurde nicht mittels Funkzellenabfrage überführt, sondern mittels Überwachungskamera und Beschattung. Und zweitens Funkzellenabfragen wurden zuerst 2011 in Dresden öffentlich bekannt, erst danach in Berlin, auch wenn die eigentlichen Maßnahmen vorher waren. Haben wir schon mal diskutiert in Logbuch Netzpolitik Nummer 11. Was interessiert mich mein Geschwätz von gestern?

Mit André zu Gast. LNP 011 Popcornpotenzial. 24. Januar 2012.

Olli merkt dann noch an. Hallo ihr beiden. Danke für die schöne Folge. Eine kurze Eingabe zum Thema Funkzellenabfragen, Transparenzsystem. Wie dem von euch verlinkten Netzpolitik Artikel zu entnehmen war, wurde das System von Ulf Burmeier entwickelt. Das hatten wir ja hier auch schon mal berichtet. Der macht unter anderem ja den Podcast Lage der Nation. Da hat er mehr Hintergrund dazu noch geliefert zu der Einstellung des Systems. Er meint, er habe die funktionierende Software 2021 an die Senatsverwaltung Berlin übergeben und ihm seien dann aber die Zugänge inklusive Fernwartung entzogen worden. Wie man das dann eigentlich auch erwarten würde. oder so, aber er konnte dann sozusagen nichts machen und im Regelbetrieb liefert er das dann aber irgendwann halt nur noch Fehlermeldungen. Burmaier dazu, das System ist nicht kaputt, es wäre hier und da ein kleiner Wartungseingriff vonnöten gewesen. Ja, meint aber das LKA Berlin, habe seine Entwicklungsarbeit durchaus unterstützt. Es scheint also wieder so zu sein, dass eine schlüsselfertige IT-Lösung übergeben wurde, ohne dass sich die Bestellerin Gedanken um Wartung und langfristigen Betrieb gemacht hat. Hat meine Einschätzung, entweder hätte spätestens zum Zeitpunkt der Abnahme des Prototypen durch die Senatsverwaltung eine Stelle geschaffen werden müssen, die sich um Betrieb und Wartung des Systems kümmert, sofern das nicht ohnehin dem zuständigen IT-Dienstleister des Landes übertragen werden kann oder besser noch der Code landet in einem öffentlichen Repository. Genau.

Und dann fixt die Community das.

Genau, wo Patches jederzeit... Genau, naja. Habe ja mit der Corona-Warn-App nicht so schlecht funktioniert, das ist natürlich richtig.

Ne, aber die wurde trotzdem betrieben. Also die hat ja trotzdem jemand betrieben.

Aber es war halt aber auch so, dass tatsächlich öffentlich da immer wieder Fixes reinkam. Das stimmt. Wie groß der Anteil davon war, weiß ich nicht, aber das fand auf jeden Fall statt.

Kurzer Hinweis, also der wurde nicht dadurch überführt, aber die Funkzellenabfragen haben, also dieser Autoanzünder wurde nicht dadurch überführt, Aber die Funkzellenabfragen wurden in dem Kontext durchgeführt und auch öffentlich bekannt im Rahmen dieses Verfahrens. Aber der quasi verurteilt wurde ja am Ende dadurch, dass er unter einer Überwachungskamera durchgelatscht ist.

Ja, dann gab es noch viele Rückmeldungen zum Thema Rohrpost. Das will ich jetzt auch nicht alles zusammenfassen, nur sehr viele schöne Berichte über Bierflaschen in Rohrpost-Systemen und zur Übertragung von allem anderen als Zetteln und auch noch ein längerer Bericht von Alster, wie denn das mit der Seidenstraße, also dem Rohrpost-Projekt, was es mal auf dem Kongress gab, wie das so gelaufen ist, was da für Probleme gab und warum das jetzt nicht mehr in Betrieb ist. Das ist eine kurze Zusammenfassung, war dann doch eine Menge Arbeit, aber hat sich dann auch leer gelaufen. Ja, soviel zum Feedback. Vielen Dank für eure Kommentare. habe.

Dann wären wir beim ersten Thema, das uns übrigens auch von vielen nahegelegt wurde, dass wir das doch bitte behandeln sollen. Und zwar ein Urteil im Modern Solution Fall. Den haben wir hier auch behandelt. Ist auch jetzt schon wieder, ich denke mal, zwei Jahre her ungefähr. Modern Solution ist ein Ein Unternehmen aus Gladbeck, das so eine Software macht, die es Händlern ermöglicht, ihre Warenwirtschaftssysteme an die Online-Marktplätze größerer Unternehmen wie zum Beispiel Otto Kaufland und Check24 anzubinden. Wenn du jetzt so Online-Händler bist, dann möchtest du ja potenziell deinen Warenbestand auf mehreren Plattformen anbieten und dieses System hilft dir irgendwie dabei, das zu verwalten. Dafür hast du eine lokale Software und offenbar eine Datenbank, die aber dann eben im Internet war. So, da hatte dann jemand... Ein Problem mit dieser Software und hat dann einen anderen IT-Dienstleister beauftragt, sich das anzuschauen. Der hat das also irgendwie analysiert und irgendein Problem damit gelöst oder versucht zu lösen. Und dabei hat er festgestellt, dass dieser Client, ich glaube msconnect.exe oder sowas, also der lokale Client, die sich direkt wie bei SQL mit einer Datenbank verbindet. Und wenn ich das richtig lese, dann war diese Verbindung sogar unverschlüsselt. Also du hättest jetzt einfach einen Wired Shark anmachen können und dann hättest du alle Daten und das Passwort sehen können, wie es unverschlüsselt über die Leitung geht. Der hat das dann diesem Unternehmen gemeldet, hat gesagt, hier übrigens habt ihr ein Passwort und mit diesem Passwort, jetzt kommt das Problem, dieses Passwort war nicht gebunden an den einzelnen User, sondern das Passwort war hardgecodet in dieser Software. Also du führst diese MS-Connect-Exe aus und die verbindet sich immer mit dem gleichen Passwort an diesen SQL-Server und dann hast du einen Data-Breach und dann hast du insgesamt 700.000 Kundendaten verschiedener Online-Marktplätze waren darüber zugänglich. Also alle Leute, die diese Software benutzt haben, haben mit dem gleichen Datenbank-Passwort sich auf dieser Datenbank verbunden. Eine absolut inakzeptable, komplett peinliche, durch nichts zu entschuldigende Lösung, die von Modern Solutions da gebaut wurde. Wie hätte man es richtig gemacht? Man hätte einfach jedem Kunden so eine Config-Datei daneben gelegt. Dann sagt man, okay, du bist hier der Kunde XY und dann kriegst du von uns eine Config-Datei. hey, darüber hätte man dann zum Beispiel auch sowas machen können wie Lizenzen. Dann sperrst du nämlich auf dem SQL-Server einfach den User nach einem Jahr wieder und sagst, die Leute sollen einen neuen Dollar rein, ein neues Geld nachwerfen oder so. Und dann kannst du sicherstellen, dass die Zugriff auf diese Datenbank haben, aber eben nur auf ihre Daten und nicht auf die Daten aller Modern Solution Kunden, die alle mit dem gleichen Passwort in der einen Datenbank rumballern. Eine äußerst schlechte Idee.

Also nicht nur denselben Account für alle zu nehmen, sondern auch nicht die Daten in separate Datenbanken aufzuteilen.

Natürlich, du hättest jetzt auch sagen können, unterschiedliche Tabellen in einer Datenbank, aber das ist so nicht zu entschuldigen, auch nicht, wenn man das Gladbäcker IT Unternehmen Modern Solution ist. Das ist absolut nicht zu entschuldigen und das zu melden war richtig und korrekt.

Modern Solution, das klingt mir nach Antique Solution.

Und jetzt kommt... Der hat das gemeldet, haben eine relativ unfreundliche Antwort bekommen, dann hat Modern Solution aber diese Systeme offline genommen. Und dann haben sich der Meldende und ein Blogger nicht besonders klug verhalten, die haben nämlich noch am selben Tag diese Schwachstelle veröffentlicht. Ja, streng genommen kann man natürlich sagen, naja, die Schwachstelle war ja geschlossen, weil die Systeme offline waren. Guter Stil ist es aber nicht, weil offensichtlich konnten die diese Schwachstelle ja nicht lösen. Ja, zumindest nicht so schnell. Das war auf jeden Fall, wenn gleich in Ordnung, weil ja keine Daten mehr in Gefahr waren, jetzt vom Stil vielleicht ein bisschen übereilt. Und gleichzeitig hatte derjenige, der diese Schwachstelle gemeldet hat, hat als selbstständiger Programmierer Dienstleistungen angeboten, die man als in Konkurrenz zu Modern Solution sehen könnte. Ja, jetzt hattest du also eine Meldung, eine unfreundliche Antwort darauf, eine Veröffentlichung, eine schnelle Veröffentlichung und eine Konkurrenzsituation, die man theoretisch annehmen konnte zwischen demjenigen. Ist natürlich Unsinn, der hat ja trotzdem gemeldet. Darf ja nicht vergessen, was mit so einer Schwachstelle möglich wäre. Also 700.000 Kundendaten, echte gepflegte aus dem Onlineshop, das ist natürlich ein größeres Problem, ein größerer Datenreichtum, der da entstanden wäre. Wäre, jemand, der das missbrauchen möchte, hätte auch das einfach löschen können und damit dem Unternehmen und all seinen Kunden schaden können. Das einfach zu melden, ist das Richtige und absolut in Ordnung. So, was machen diese Modern Solution Leute? Zeigen den natürlich an. Und Folge ist, es gibt eine Hausdurchsuchung, bei der alles beschlagnahmt wird, was er so an IT-Geräten hat. Damit wird der gute Mann natürlich auch quasi arbeitsunfähig, wir kennen das, oder? Dann wird der Strafantrag vor das Amtsgericht Jülich getragen und das Amtsgericht Jülich sagt im Mai letzten Jahres, naja die Daten waren doch ohnehin nicht ausreichend geschützt, also hat derjenige hier auch keine Straftat im Sinne des Hackerparagrafen begangen. Denn das ist das, was sie offenbar als Anzeige oder als Strafantrag durchgebracht haben. Dass sie gesagt haben, hier, der hat sich ungerechtfertigt Zugriff dazu verschafft und die sagen halt, naja, das ist ja kein wirksamer Schutz. Jetzt lesen wir mal ganz kurz den StGB 202a, Ausspähen von Daten. Es sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Das ist der 202a der Hackerparagraph oder einer der Hackerparagraphen. Es gibt ja noch die Hacker-Tool-Paragraphen, B und C und sowas. Gegen unberechtigten Zugang besonders gesichert unter Überwindung der Zugangssicherung. Das wäre dann so die Definition von Hacking. Jetzt hat das Amtsgericht Jülich gesagt, naja, die sind ja nicht besonders gesichert. Viel Spaß. Ja, und dann geht aber die Kölner Staatsanwaltschaft in Berufung und das Landgericht Aachen entscheidet Ende Juli, dass das Amtsgericht Jülich den Fall verhandeln muss und sagt, nee, wir sehen da eine Sicherung, ja. Ja, und jetzt suchen sie irgendwie, haben sie dann versucht, den dran zu kriegen für das Dekompilieren von Software. Die haben dann gesagt, ja, woher hast du denn das Passwort? Das Passwort war doch in der Exe-Datei versteckt, das fällt da ja nicht so einfach raus. Dann haben sie gesagt, du hast die dekompiliert, wenn direkt die nächste straft, dann darfst du nicht. Und dann hat der Beschuldigte zum Protokoll gegeben, ey, wenn du diese Exe im Texteditor öffnest, dann steht da das Passwort drin in der Nähe von MySQL. Also da muss jetzt kein Laser-Gehirn haben, um das zu verstehen. Also haben sie ihm... Und die Polizei hat sich zwar keine Mühe gegeben, das nachzuvollziehen, ich glaube der Fabian Scherschel von Heise hat das aber auch gemacht, hat gesagt, ja hier, das ist so, steht da Klartext drin. Auch das äußerst peinlich, man kann natürlich Schritte unternehmen, sowas maskiert in dieser Datei zu haben. Auch das immer noch schlecht, aber dass es wirklich auch noch im Quelltext offen drin steht, also mit Strings einfach ausgebbar, wirklich absolut bescheuert und wahnsinnig mit so einer Programmier- und Sicherheitsverständnis die Chuzpe zu haben, zu sagen, ich mach mal eine Software, die verkaufe ich, die können andere haben, die können mich bezahlen, das ist eine super Leistung, die ich hier erbracht habe.

Also das ist so eine Technik, das kann man machen für sein eigenes Tool, für etwas, was nicht im Netz ist, wenn man das mal kurz für 10 Minuten mal ausprobiert, das war es dann aber auch. Ja.

Man baut sich auch, also üblicherweise würdest du sowieso nicht direkt über das MySQL-Protokoll auf eine MySQL-Datenbank zugreifen, sondern dir eigentlich noch die Mühe machen, zum Beispiel eine API davor zu schalten, was dir dann auch die Möglichkeiten gibt, vielleicht besser zu skalieren oder sonst was. Also das ist fundamentale Unkenntnis von wie diese Systeme funktionieren. So, jetzt sagen sie aber, jetzt sagt das Amtsgericht Jülich, mit dem Passwortschütz gibt es also eine Sicherheitsbarriere, die hätte der Beschuldigte ja offensichtlich bewusst passiert. Und den Datenbankzugriff, den er dann gemacht hat, den hat er, ich glaube, mit phpMyAdmin oder sowas gemacht. Also er hat ein anderes Tool benutzt, nämlich irgendeinen SQL-Client, dem du dann sagst, hier, da ist dein Server, mach mal bitte. Und dafür musste er ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung aufbringen. Und weil er dieses tiefe Verständnis hat, hat er eben diese Zugangssicherung überwunden, indem er jetzt eine andere Software benutzt hat. Ja, denn, also ich interpretiere das so, der wirkliche Client MS Connect, der hätte ja gar nicht ermöglicht, auf die Daten anderer zuzugreifen. Nur, wenn man jetzt mit dem Hacker-Tool PHP, MyAdmin oder sonst was da drangeht. Und außerdem, die exe-Datei im Text-Editor zu öffnen, ist ja auch nicht vorgesehen. Ja. Und dann sagt der jüdische Richter, naja, wenn er jetzt mal die Rechtslage sich anschaut, hat der Gesetzgeber offensichtlich mit der Verschärfung des 202 StGB im Jahre 207 offensichtlich bezweckt, das Hacken als solches unter Strafe zu stellen. Und deswegen wäre dieser Schutz, der nicht für jedermann einfach zu umgehen ist, eben auch ausreichend, um den Straftatbestand zu erfüllen. Kommt zum Urteil, Geldstrafe, 50 Tagessätze, respektive 3000 Euro. Das ist Irrsinn, aber ich muss zumindest dem Richter insofern Recht geben, dass er natürlich den Paragrafen hier so gelesen hat, wie er damals, also wie er da steht und wie er auch völlig bescheuert ist. Ja, ich hoffe, dass dieser Richter das nur gemacht hat, damit das jetzt mal durch alle Instanzen geklagt werden kann, weil das so bescheuert ist. Aber es ist natürlich, also klar, diese Hackerparagraphen sind seitdem sie da sind unter Kritik, weil sie in ihrer Lesart und man muss Gesetz ja nun mal so lesen, wie sie da stehen, hilft ja keinem, wirklich übel sind. Ja, Vorbereitung des Ausspähens und Abfangen von Daten ist ja der 202c. Da wirst du zum Vorbereitenden einer Straftat, indem du Computerprogramme schaffst, deren Zweck die Begehung einer Tat ist, die so etwas ermöglicht. Da wollten sie also Hacker-Tools verbieten. Die sind quasi verboten. Das ist wirklich ein absoluter Irrsinn. Wir konnten immer froh sein, dass es im Prinzip keine oder sehr wenige derartige Urteile gab. Ich glaube, da gab es immer mal wieder eins. Aber dann auch noch hier eins, wo du dir überlegst, der hätte diese Daten ja auch einfach dumpen können, der hätte so viel machen können und der hat sie ja sogar noch gemeldet und dann öffentlich darüber bekannt gegeben. geben. Also es ist, und dann wird er dafür, wirst du dafür, dass du mit phpMyAdmin, dem Programm, was man für MySQL, ich hätte jetzt nicht phpMyAdmin genutzt, aber das hat er offenbar hier verwendet, ein Programm, was für Datenbankkommunikation, tiefe Kenntnis, also kannst du dir vorstellen, wie bescheuert dieser Paragraf ist. Wahnsinn.

Ja, also muss man vielleicht auch mal dazu sagen, das ist ein ganz normales, stinknormales Datenbank-Tool, das gehört zum Standard-Ausstattung, das Das verwendet man halt, um einfach auf eine Datenbank zuzugreifen. Das ist kein Hackertool, in dem es in irgendeiner Form etwas ermöglicht, was nicht zum normalen Betrieb gehört. Das ist der normale Betrieb. Und wenn es möglich ist, mit so einfach zu findenden Zugangsdaten sich Zugang zu nicht nur den Daten des einen Kunden, um den es hier ging, sondern allen anderen Kunden zu verschaffen, dann ist halt einfach schon mal ein ganz grundlegendes Problem da.

Also, ne, und wie gesagt, also ich hab's jetzt nochmal kurz nachgeschaut, tatsächlich sind die, also war die MySKF-Verbindung auch noch unverschlüsselt, ne, also er hat das einfach in… Auch das noch? Ja, ja klar.

Oh Mann.

So, jetzt, der Angeklagte legt jetzt Berufung gegen das Urteil ein, selbstverständlich, ja, und dann wird das hoffentlich mal hier durchgeurteilt. Aber nochmal, es ist gar nicht wegen eines Hackertools, sondern einfach nur wird gesagt, das ist eine wirksame Schutzmaßnahme und die hat er jetzt umgangen und deswegen ist er jetzt strafbar. Was ist die Konsequenz davon? Das heißt, du kannst demnächst, also wenn sich das als Rechtsprechung durchsetzen würde, dann kannst du keine Sicherheitslücken mehr melden, weil du dich automatisch des 202a selbst beschuldigst und damit strafbar machst. So, was haben wir dann für eine Konsequenz? Dann macht's keiner mehr. Dann hacken nur noch die, die nicht nett sind. Dann hacken nur noch die Illegalen, weil die sich denken, naja geil, ich bin ja eh illegal. Mir ist ja egal, ob ich mich jetzt hier strafbar mache oder nicht. Ich bin ja ein Black Hat, Alter. Ich bin hier ein krasser Hacker. Und diejenigen, die sagen, okay, guck mal hier, ich hab eine Sicherheitslücke gefunden, ich würde denen gerne helfen, aber wer weiß, ob ich dafür nachher in den Knast muss oder Geldstrafe zahle oder überhaupt eine Ausdurchsuchung kriege.

Vor allem ist das ja aktiver Täterschutz, wenn man mal diesen Fall von diesen polnischen Hackern nimmt, die ja wunderbar die bösen Geschäftspraktiken dieses Zugherstellers aufgedeckt haben und denen dann sozusagen unterstellen würde, Ja hier, ihr habt ja da dieses und jenes getan und gehackt. Was fällt euch denn überhaupt ein? Dann hätte es überhaupt gar keine Möglichkeit gegeben, denen in irgendeiner Form auf die Spur zu kommen. Zumal denen ja überhaupt zu keinem Zeitpunkt, und das ist ja auch bei diesem Fall des Betroffenen hier bei Modern Solution, wenn man sich mal anschaut, aus welcher Motivation heraus, nämlich ich bin beauftragt worden vom Kunden selber.

Selber.

Ja, ist ja nicht so, dass man irgendeine kriminelle Motivation hier finden würde. Wenn du Sicherheitsforscher bist und du wirst von Kunden angesprochen mit, finde ein Problem in unseren Daten.

Der war ja noch nicht mal Sicherheitsforscher, sondern der sollte irgendwie dem Kunden, der sollte irgendwas reparieren, weiß der Geier, der hat wahrscheinlich einfach nicht funktioniert. Würde mich auch nicht wundern, wenn die Software so gebaut ist, dass die wahrscheinlich auch noch ein paar andere Probleme hat.

Ja, klar. Also unabhängig davon, was man jetzt genau ist, aber wenn man sozusagen beauftragt wird, um ein lokales Problem des Kunden selber zu lösen und dann löst man das auch, indem man einfach mal rausfindet, was ja eigentlich das Problem ist. Das Problem lag dann halt woanders und das dann einfach dokumentiert. So ist das hier, hier irgendwie lag der Autoschlüssel, lag hier irgendwie auf der Straße und dann bist du auf einmal dafür verantwortlich. Ja, so einen Autoschlüssel, den nimmt man doch nicht auf. Du wolltest ja das Auto klauen, du wolltest das Auto nicht klauen, der Schlüssel lag rum. Ja.

Das ist wirklich bescheuert. Eine Reform des Hackerparagrafen steht ja auf der Agenda der Ampelkoalition. Will man mal was hoffen? Ja, das, also es ist ja nicht so schwer, es wird denen ja nicht so schwer fallen, eine Formulierung zu finden, die illegales Hacking von Sicherheitsforschung ergänzt, ne. Also ich, es ist nicht ganz so einfach, ne, weil das natürlich, also man müsste ja im Prinzip sagen so, Meldung, also man muss ja irgendwie sagen, wenn du das gemacht hast, um es zu melden, dann wird es natürlich so ein bisschen schwierig, weil dann könnten illegale Hacker, Was macht dann zum Beispiel so eine Ransomware-Gang? Die hat es ja gemeldet. Hat ja sofort Bescheid gesagt. Nicht, dass die jetzt aus Versehen legal wird oder so. Aber das ist wirklich ein Skandalurteil. Ich kann nur hoffen, dass das, ja, du erinnerst dich an diese Frauenärztin, die von diesem Durchgeknallten da immer angezeigt wurde, weil sie darauf hingewiesen hat, dass man bei ihr Schwangerschaftsabbrüche machen könnte. Da war doch auch so ein Fall, dass die Richterin dann gesagt hat, ich muss sie jetzt hier schuldig sprechen, weil das hier so steht und ich hoffe, dass sie jetzt nicht durch alle Instanzen kämpfen, damit das Recht sich ändert. Weil das ja Irrsinn ist, was hier stattfindet. Ich kann mir nur verhoffen, dass das der jüdische Richter hier auch so gesehen hat, weil das ist eine unhaltbare Rechtslage, die wir seit 2007 in diesem Lande haben, die Sicherheitsforschung, es ist ja ehrenamtlich, der hat ja auch nicht gesagt, ich will Geld dafür haben oder so. Also, ich weiß nicht, wie viele Sicherheitslücken ich schon gemeldet habe. Eine Sicherheitslücke ist per Definition irgendeine Form von Zugriffsschutz, die man umgangen hat, durch unübliche Verwendung einer Schnittstelle.

Also es ist auch wirklich noch so ein Gesetz, muss man sagen, was tief davon geprägt ist, wie wenig eigentlich die Politik zu dem Zeitpunkt verstanden hat von dem Problem an sich. Und es ist geringfügig besser geworden vielleicht mit der Zeit. Das könnte sich dadurch äußern, dass man hier vielleicht mal die Lehren aus der Anwendung zieht und das jetzt auch mal schleunigst verbessert.

Ja.

Hackerzugriffsverbesserungsgesetz.

Das ist das auf jeden Fall.

Das brauchen wir.

Okay, dann haben wir, bleiben wir einfach bei den schlechten Nachrichten. Dann haben wir eine sehr interessante Situation. Seit 20 Tagen ist unser Bundesdatenschutzbeauftragter Ulrich Kelber kommissarisch im Amt, wenn ich mich nicht täusche. So heißt das, glaube ich. Die haben einfach noch nicht seine Wiederwahl erfolgen lassen. Die Amtszeit des Bundesdatenschutzbeauftragten, des Beauftragten für Datenschutz und Informationsfreiheit ist fünf Jahre und einmal kann er wiedergewählt werden. Und das passiert jetzt aber nicht. Dafür kann man natürlich zwei Gründe, werden dafür angeführt. Der eine ist, also Ulrich Kälber war ja viele Jahre für die SPD im Bundestag. Der hat einen Informatik Hintergrund der versteht also wenigstens das Fach in dem er sich da befindet wie hieß der nochmal, wir hatten nochmal so eine die Vorgängerin die habe ich schon komplett verdrängt die.

Vorgängerin.

Wie hieß die denn noch?

Maria Voshoff hieß die Dame.

Ach ja, das, die... Ja, ähm... Also, der, der, der, der, der, der Kelber, wird die wieder, weil nicht ermöglicht, er kommt aus der SPD. Ähm, und er wurde auch damals von der SPD nominiert. Jetzt werden zwei Gründe kolportiert, warum das nicht der Fall ist. Der eine Grund ist, Nancy Faeser hat Hat keinen Bock mehr auf den. Könnte ich mir vorstellen. Ist die Innenministerin in vielen Angelegenheiten natürlich der natürliche Feind des Bundesdatenschützers. Der andere SPDler, der wohl keinen Bock mehr auf ihn hat, ist der Gesundheitsminister Karl Lauterbach. Der ist ja Epidemiologe. Den ganzen Kram, die Daten, die Daten Daten müssen verfügbar sein, nicht wahr, für die Forschung. Das ist der eine Grund, der herangeführt wird. Ein anderer Grund, der herangeführt wird, ist, dass... Und die SPD-Fraktion, die Beauftragtenposten werden unter allen drei Koalitionspartnern verteilt, also SPD, Grüne, FDP. Und die SPD stellt die Wehrbeauftragte mit Eva Högl und dann gibt es irgendwie einen neuen Polizeibeauftragten, den will die Polizei auch unbedingt mit Uli Grötsch besetzen und deswegen kann die SPD jetzt nicht auch noch den Bundesdatenschutzbeauftragten besetzen und gibt die Aufgabe an FDP und Grüne und sagt, macht ihr mal was. Und die sollen jetzt bis Jahresmitte einen Nachfolger suchen. Und weil der Bundesdatenschutzbeauftragte natürlich nicht wegen seiner Kompetenz, sondern wegen seines Parteibuches ausgewählt wird, wird jetzt potenziell eben von Grünen und FDP jemand anderes dahingesetzt werden, der dem Vernehmen nach kein Parteibuch und kein aktives politisches Amt innehabe. Es gibt natürlich eine große Auswahl an anderen Leuten, die diesen Job auch machen können. Aber es ist natürlich schon relativ frustrierend für Ulrich Kälber, wenn er da seine Aufgabe ordentlich macht. Und das kann man, glaube ich, einfach mal sagen. Er hat auch, glaube ich, an einigen Stellen, die diplomatisch, man nicht sich so auf die Brust gehauen, an anderen Stellen sich stark engagiert. Da kann man jetzt sagen, er hat den Job ernst genommen und gut gemacht.

Ja, also er hat vor allem von Anfang an den Eindruck erweckt, dass er sich mit der Materie auch wirklich ernsthaft auseinandersetzt und eine Vorstellung davon hat, was denn nun eigentlich seine Aufgabe ist. Das ist so das, was bei Andrea Voshoff von Anfang an so ein bisschen gefehlt hat. Kleines bisschen.

Ja. Hat sich ihre Kompetenz echt nicht anmerken lassen.

Ja.

Ist nicht mit ihrer Kompetenz hausieren gegangen.

Man hat so den Eindruck, dass sie wie Datenschutz. Ich dachte, ich bin hier im Bundesgartenschau- Ministerium oder so. Egal. Hätte besser laufen können.

Ja. Alright. Schade. Aber mal gucken. Der, äh...

Vielleicht finden sie ja noch jemanden, der...

Ich find's halt, also es ist natürlich bedauerlich, dass Das ist bedauerlich für ihn.

So, kommen wir mal auf die europäisch-internationale Ebene. Wir hatten ja hier schon mehrfach über den Digital Markets Act berichtet, kurz DMA. Der Versuch der Europäischen Kommission oder in dem Fall jetzt der Europäischen Union im finalen Beschluss für mehr Gerechtigkeit zu sorgen im Bereich der digitalen Märkte und das bezog sich natürlich vor allem auf die neuen Plattformen auf Smartphones. Das war ganz klar das Ziel dieser ganzen Maßnahme. Nicht nur, aber es ging halt generell um Plattformen. Und die sind ja nun beschlossen worden und damit war auch Apple jetzt am Zug, weil natürlich viele dieser erlassenen Maßnahmen vor allem auch auf Apples System zielten. Und jetzt haben sie halt bekannt gegeben, wie sie gedenken, durch eine Softwareänderung in dem iOS-Betriebssystem mit diesen neuen Regelungen umzugehen. Und da gibt es natürlich jetzt einige Aufregungen und Diskussionen drumherum und ich habe mir das jetzt mal angeschaut und das ist ein bisschen komplex. Ja. Also verschiedene Dinge werden jetzt künftig möglich sein. Das gleich mal vorweg abzuräumen. Also unter anderem werden jetzt auch alternative Browser-Engines ermöglicht werden. Das ist etwas, was derzeit von Apple ja noch untersagt wird.

Also dass ich in einer App, wenn ich eine Webseite anzeige, dann ist es immer das, was die als Safari bereitstellen? Genau.

Also konkret WebKit als Engine und das ist halt das, was Safari quasi im Innersten ausmacht. Wollte aber jetzt sozusagen Google einen Chrome-Browser machen, der auf ihrer eigenen Web-Engine basiert, dann war das bisher nicht möglich. Argumentation von Apple im wesentlichen Security. Anbetracht der Tatsache, wie viel Sicherheitslücken natürlich ein Webbrowser theoretisch in das System tragen kann, in gewisser Hinsicht auch nachvollziehbar. Aber das wird eben jetzt im Rahmen dieser EU-Regelung dann erlaubt werden. Außerdem wird es möglich sein, für Banking-Apps Zugriff auf den NFC-Chip im iPhone zu bekommen.

Das ist schon mal gut.

Um da sozusagen eigene Paymentsysteme zu ermöglichen. Das heißt, man kann dann eine andere Wallet-App auswählen, außer der Wallet-App, die es derzeit ist. Auswirkungen sind auch so ein bisschen unklar, weil das bedeutet dann sozusagen, dass du dir dann dein Apple Pay komplett abschaltest. Und ich habe so ein bisschen meine Zweifel, dass das das ist, was die meisten Leute haben wollen. Aber diese Möglichkeit wird es dann geben. So, das sind jetzt so ein bisschen die einfachen Dinge, die man gleich vorweg abgeräumt. Jetzt muss man ein bisschen verstehen, was eigentlich diese DMA wirklich adressiert. Und da ist es zunächst einmal so, dass eben von so Gatekeeper-Plattformen gesprochen wird und als solche ist halt das iPhone ausgemacht worden. Sprich, es muss halt auf dem iPhone ein anderes Verhalten gezeigt werden von Apple. Das bedeutet aber auch, das betrifft sozusagen nur iOS, aber zum Beispiel nicht das iPad. Technisch würde man natürlich jetzt sagen, ja wieso, ist das nicht das gleiche? So, nee, ist es nicht, weil es ja iPadOS.

Ist.

Also es ist explizit eben vom iPhone die Rede und solche Sachen wie mit diesem NFC-Chip und so weiter betrifft ja auch nur das iPhone. Also so ist es halt. Also das ist zumindest jetzt die Interpretation, die Apple darin, inwiefern all diese ganzen Regelungen einer Überprüfung der Kommission jetzt standhalten, steht nochmal auf einem ganz anderen Blatt. Ich bin mir relativ sicher, dass Apple sich eingehend mit den gesetzlichen Anforderungen beschäftigt haben dürfte und sie haben jetzt lange daran daran gearbeitet und Ziel ist das Ganze am 7. März im Rahmen eines iOS-Updates, das ist dann iOS 17.4, das dann sozusagen auszurollen. Das ist jetzt alles ein bisschen verwirrend weil es ja vor allem hier um den App Store geht und der App Store selber, wird sozusagen ja immer wahrgenommen als es gibt nur diesen einen Store mit dem Apple irgendwie alle seine Software verkauft, aber Apple hat halt die Position, dass der App Store nicht ein App Store ist, sondern fünf App Stores es gibt einen App Store für den Mac, es gibt einen Es gibt einen fürs iPad, es gibt einen fürs iPhone, es gibt einen für Apple TV und es gibt einen für die Apple Watch. Und es gibt aber auch ein paar Sachen, die sich jetzt für alle App-Stores ändern. Inwiefern die jetzt was mit dem zu tun haben, habe ich ehrlich gesagt nicht so ganz verstanden. Also es gibt ja so Game-Streaming-Apps und so weiter. Also wir haben sozusagen in diesem Rahmen auch noch ein paar andere Sachen ermöglicht, die auch global gelten. Aber ich beziehe mich jetzt ausschließlich auf die Änderungen, die in der EU stattfinden. Und das ist halt auch schon mal wichtig zu verstehen. Alle diese Änderungen sind keine globalen Änderungen, die für alle Kunden weltweit gelten, sondern eben nur für Kunden-Geräte in der EU. Also wenn du irgendwie in UK bist, dann betrifft dich das nicht. Das ist einfach nur EU und nur in der EU. Und naja was wird also jetzt geschehen entwickler haben jetzt die möglichkeit einen anderen deal zu haben mit apple dazu muss man erst mal schauen was ist der deal derzeit relativ einfach der heißt, Apple finanziert die gesamte Plattform.

Boah, jetzt fängst du wieder damit an. Was? Was Apple alles leistet.

Nein, nein. Okay. Also das ist sozusagen, wie es ist, ist die Finanzierung der Plattform entsteht durch den Verkauf von Software, die kostenpflichtig ist. Alle Einnahmen daraus sind sozusagen das, was diese Plattform finanziert. Jetzt kommt aber die EU und sagt, sagt, ja, aber du musst aber diesen App-Store jetzt öffnen, es muss auch andere App-Stores geben können, Firmen müssen in der Lage sein, selber auch einen App-Store zu machen. Woraufhin Apple halt sagt, okay, gut, wenn das so ist, alles super, dann müssen wir aber auch die Art und Weise, wie wir unsere Plattformen bezahlen lassen, ändern, von, es geht weg zu der App-Store finanziert alles, weil es gab ja nur einen, hin zu zu, wer ein anderes Modell wünscht, muss auch auf eine andere Art und Weise bezahlen. Das trennt sich also. Und bietet jetzt sozusagen den Entwicklern in Europa, also in der EU, die Möglichkeit an, auch auf eine andere Preisstruktur umzustellen. Also man kann alles so belassen, wie es jetzt ist. So nach dem Motto, wenn ihr happy damit seid, wie es jetzt ist, dann macht es bitte einfach so wie bisher und nichts ändert sich und alles bleibt gleich. Oder ihr geht jetzt eben auf einen speziellen EU-Deal ein, der ein paar Änderungen mit sich bringt. Unter anderem wird es billiger für Entwickler, weil du nicht mehr diese 15-30%-Regelung hast, sondern dass eine 10-17%-Regelung wird. Klingt jetzt erstmal super, heißt aber nur, das ist das, was sozusagen über den App Store dann eingezogen wird. Dafür gibt es aber dann einen neuen Kostenpunkt, eine sogenannte Core Technology Fee, CTF, die allerdings nur für Entwickler greift, deren Apps mehr als eine Million Installationen haben. Also sagen wir mal, du machst jetzt irgendwie eine App und die ist total super erfolgreich und die wird jetzt irgendwie 2 Millionen Mal installiert. Wobei 2 Millionen Mal nicht 2 Millionen Geräteinstallation heißt, sondern bei 2 Millionen Usern auf beliebig vielen Geräten dieser User installiert wird, dann musst du ab einer Million, für die obere Million sozusagen, pro Install 50 Cent bezahlen pro Jahr. Also sozusagen nur, dass die App dann installiert ist, weil mehr als einer Million ist, muss für jede dieser Installationen 50 Cent, also du musst sozusagen 500.000 Euro pro Jahr dafür bezahlen, dass diese App dort ist. Weil du benutzt ja in irgendeiner Form die Infrastruktur und die Annahme ist, dass wenn du irgendwie so populär bist, dass du schon irgendwelche Wege hast, das auch zu finanzieren. Ja, das ist sozusagen so ein Angebot und was es auch nochmal etwas schwierig macht, sich für so ein Angebot zu entscheiden, ist, dass sie halt dir nicht anbieten, zurückzuwechseln in das alte Modell. Also wenn du sozusagen dieses Modell wechselst, dann bist du dann irgendwie raus und musst dich dann quasi mit der Gefahr deiner Popularität in irgendeiner Form arrangieren. So, was jetzt aber noch dazukommt, ist natürlich dann diese neuen App-Stores, die nicht App-Stores heißen, sondern die Apple halt Marketplaces nennt. Also ein App-Marketplace. Wenn ich jetzt Marketplace sage, dann meine ich App-Stores, die nicht der App-Store von Apple sind. Und wenn du jetzt sagst, ja, ich möchte jetzt hier auch selber mal Apps für iOS, beziehungsweise eben dann fürs iPhone in der EU only anbieten, dann musst du eine entsprechende, Software auch bereitstellen, so eine Store-App sozusagen, die allerdings nicht in Apples App Store zum Runterladen ist, sondern die du über eine Webseite installieren musst. Das ist dann sozusagen Der einzige Ort, wo du etwas aus dem Web direkt auf deinem Telefon installieren kannst. Und wenn du eben diesen Marketplace, der sich auf dem Telefon eines Users befindet, wenn du den dort hast, dann musst du auch pro Jahr 50 Cent dafür, dass dieser Marketplace dort installiert ist, selbst wenn da nichts mit gekauft wird, bezahlen. Und das gilt auch schon vom ersten Install an. Also wenn du eine Million Installationen hast, dann kostet das sozusagen 500.000 Euro im Jahr, allein nur diesen Marketplace dort zu haben.

Also kann ich zusammenfassen, die machen jetzt irgendwas, was minimalst die Forderungen des DMA erfüllt und gleichzeitig finanzielle hohe Risiken für die Entwickler hat und es für die absolut unattraktiv und gefährlich macht, sich darauf einzulassen.

Naja, also sie tun das, was das Gesetz von ihnen verlangt.

Da bin ich mir noch nicht mal sicher, ob sie das tun. Naja.

Das habe ich ja am Anfang gesagt. Also das muss sich noch zeigen. Vielleicht gibt es da eine andere juristische Bewertung. Das zieht sich komplett meiner Wahrnehmung. Es ist halt nur so, sie tun jetzt das, wozu sie gezwungen werden. Und sie werden dazu gezwungen, andere Marketplaces zu erlauben. Und wenn dort Apps verkauft werden, dann ist die Kommission an Apple halt 0%. Außer und da gilt halt wieder genauso wie bei diesem anderen Deal, außer du hast halt mehr als eine Million Installationen und dann musst du eben auch hier wieder für jede aktualisierte. Installation pro Jahr, pro User nochmal 50 Cent abdrücken und der Marketplace selber muss das halt von Anfang an schon tun. Und du kannst auch nicht einfach mal eben als Einzelentwickler sowas machen, sondern wenn du so ein Marketplace hast, dann musst du eine Firma sein, dann musst du irgendwie nachweisen, dass du mindestens eine Million Kredit hast bei irgendeiner Bank, damit eben solche Kosten auch gedeckt werden. Ich bin mir jetzt nicht ganz sicher, ob das auch schon für die Entwickler gilt, weil hier ja das erste Mal nicht Geld aus einem Verkauf abgezogen wird, wo dann quasi die Kunden die Kohle reingeben, sondern hier entstehen ja direkte Kosten, quasi Gebühren, Plattformgebühren von Apple, die dann jährlich eingetrieben werden. Und dann müssen ja die Unternehmen quasi eine Rechnung bezahlen, also müssen sie vielleicht hier auch so eine gewisse Bonität nachweisen. Das habe ich jetzt nicht so ganz rausbekommen. Das ist eh eine relativ komplizierte Geschichte.

In diesen Angelegenheiten ist Apple nicht sympathisch.

Was heißt sympathisch? Ich meine, die haben ja nicht sympathisch zu sein, sondern die haben ja dem Gesetz zu entsprechen. Und das ist nun mal das, was das Gesetz von ihnen verlangt. Und ihre Antwort ist, nirgendwo steht, dass wir nicht andere Gebühren für unsere Plattform nehmen können, weil wir haben ja Kosten damit. Und das ist ja auch so. Man kann ja nicht weg argumentieren, dass sie jetzt irgendwie Kosten damit haben, dass sie ihre Plattform betreiben. Wie hoch diese Kosten sind und wie hoch ihr Gewinn ist, das steht ja auf einem komplett anderen Blatt, aber es wird ja nicht im Gesetz verboten, sozusagen für die Nutzung ihrer Plattform Geld zu nehmen, also tun sie das jetzt.

Das Gesetz hatte ja zum Ziel, die Entwickler durch Konkurrenz aus dem Zwangsverhältnis zu Apple zu lösen. Und das, was da jetzt entschieden wird, klingt für mich nicht wirklich so. Ja, und wenn ich das jetzt richtig verstehe, ich habe eine populäre, vollkommen kostenlose App, mit der ich keinen Gewinn mache. Das ist vielleicht auch einfach eine Open Source App. Da geht eine Community hin und sagt, hier gibt, was weiß ich, nehmen wir OpenVPN oder so, die ist glaube ich kostenlos. Entwickeln einen VPN-Client, OpenVPN, pflegen den, irgendeiner stellt den in den App-Store und sagt, komm, ich schmeiß da einen Huni rein im Jahr, um da was reinstellen zu können und stelle eine kostenlose Open-Source-App zur Verfügung, die potenziell vielleicht über eine Million Downloads hat. Das kann die Person heute vollständig kostenlos über den App-Store machen.

Zukünftig auch. Genau.

Und wenn sie es nicht über den App Store macht, hat sie das Risiko, dass sie plötzlich Millionen User hat und Schweinegeld dafür bezahlen muss. Das ist eine schlechte Stellung für die Entwickler. Ich meine auch, dass es irgendwie das Thema, was wir immer ein bisschen unterbeleuchten, ist ja die Situation, aus einer App etwas zu kaufen. Denn sehr viel, was wir hier so ein bisschen vergessen, es werden gar nicht mehr Apps gekauft, sondern es werden kostenlose Apps zur Verfügung gestellt, in denen du dann ein Pro-Abonnement zum Beispiel abschließt oder über die du einen Service nutzt. Die Diskussionen sind ja zum Beispiel mit Netflix, zum Beispiel mit Spotify, aber viele Apps, also gerade in dem, sagen wir mal, professionellen Bereich, irgendwelche Apps, die sich auch professionell verwenden lassen, funktionieren ja beispielsweise so, dass du eben eine andere Subskription hast. Beispielsweise gibt es diese Office-Programme ja für iPad und iPhone und was nicht alles. Und dann musst du halt eine Microsoft-Subscription haben, um die benutzen zu können, die dann potenziell von Microsoft an Apple vorbei verkauft wurde an dich. Oder irgendein Texteditor oder so, den ich verwende, da muss ich 35 Euro im Jahr für bezahlen oder sowas. Was dann über Apple abgerechnet wird, wo Apple sich ein Drittel davon nimmt. Da haben sie jetzt auch irgendwelche anderen Regeln, haben sie aber auch sehr stark dann reglementiert, wie du auf anderem Wege verkaufen darfst. Aber da haben sie trotzdem wieder gesagt, dass sie dann davon etwas kriegen. Ja.

Haben sie gesagt, weil es ihnen ja nicht verboten wird, das zu tun, sondern sie wurden ja nur gezwungen, externe Links zu erlauben. Das muss man nochmal trennen. Also diese Sache, da komme ich gleich drauf, ist in den USA, ist aber auch Teil dieser EU-Sache. Also wenn du quasi in den EU-Tarif dich rein wechseln lässt mit deiner App, gehen wir jetzt mal davon aus, dass es eine App ist, die kostet irgendwas und du möchtest auch in App-Purchase machen und deine eigenen Subscriptions da vielleicht machen, dann kannst du das auch tun. Und wenn du aber trotzdem das System von Apple benutzt, dann zahlst du halt nochmal 3% mehr und du sparst dir quasi 3%, wenn du das Payment dann selber machst. Und der Tarif aber wird ja insgesamt auf große Apps mit größer 1 Million Installationen gehen halt dann sozusagen in der Summe also 17 plus 3 auf 20%, vorher 30. Und für die kleinen, kleiner 1 Million auf 10% plus 3% für In-App-Purchase. Also im Vergleich zu vorher sind das schon Ersparnisse. Die Regelung, die jetzt auch in den USA gilt, das ist die Folge dieser ganzen rechtlichen Auseinandersetzungen dort. Dort werden halt externe Links für In-App-Purchases jetzt auch möglich, aber Apple sagt dann, okay, dann reduzieren wir halt unseren Cut von 30% auf 27%.

Ja, also komm Tim, ganz ehrlich, diese Gesetze wurden gemacht mit einem Hintergedanken, ich hab jetzt, was den App Store angeht, hab ich keinen Bedarf, ich bin aber auch niemand, der da irgendwie seine Umsätze mitmacht. Ich weiß nicht, wie das Programmierer sehen. Du wirst das vielleicht in der Freakshow ein bisschen besprechen können mit Leuten, die eher an dem Ende sitzen, also die potenziell aus dem App-Store ein Einkommen generieren. Aber... Es ist schon einfach ein sehr schönes Beispiel davon, da hat die ganze EU jetzt irgendwie jahrelang an irgendwelchen Acts gestrickt und Apple hat einfach mal gesagt, okay, fuck you, hier ist, we don't give an inch, wir scheißen auf die Intention eurer Gesetze, wir schreiben da jetzt irgendwelche horrenden Preisschilder dran und leckt uns am Arsch. Ja, das ist jetzt auch nicht unbedingt, also weiß ich jetzt nicht, warum ich da applaudieren würde.

Nö, da muss man auch nicht applaudieren, aber das ist halt einfach die Konsequenz aus diesem Gesetz und letzten Endes muss man ja das Gesetz daran messen, was es für Folgen hat. So und inwiefern ist jetzt sozusagen, also für wen ist das gut? Also ist das sozusagen, verbessert sich jetzt was für Konsumenten? Eigentlich erstmal gar nicht, weil es hat sagen wir mal für Konsumenten keine Auswirkung. Ändert sich irgendwas für Firmen? Naja, hält sich so in Grenzen. Also was jetzt zum Beispiel möglich wäre, ist, dass all die Firmen, die bisher von Apple mit ihrer Software abgelehnt wurden, aus Content gründen. Das ist das Einzige, wo ihnen vorgeschrieben wird, was sie nicht machen können. Und übrigens auch nicht wegen Copyright-Violations. Derzeit können sie ja Apps ablehnen, weil die in irgendeiner Form gegen Copyright verstoßen, weil die irgendwelches Artwork benutzen von irgendwie Disney oder so. Da gab es ja verschiedenste Fälle. Oder wenn du irgendeine Piracy-Software anbietest, mit der Copyright-Variations gemacht werden können, dann sagen die App-Store-Rules so, geh mir aus der Sonne. Das wäre jetzt möglich. Oder Porno-Apps. Also Porno-Stores wird es jetzt geben können, weil Apple darf darf Apps nicht mehr ablehnen aus inhaltlichen Gründen. Sie dürfen sie allerdings weiterhin aus Sicherheitsgründen ablehnen. Alle diese Marketplaces müssen nämlich nach wie vor diese Apps durch diesen Notarisierungsdienst von Apple durchlaufen lassen, wo halt die Software auf Malware, auf Nutzung privater APIs und anderer Violations überprüft wird. Und erst dann darf der Marketplace, die dann eben auch wirklich zum Download und zur Installation anbieten. Aber inhaltlich dürfen sie halt jetzt nichts mehr ablehnen. Das untersagt dann halt das DMA. Das heißt, wir haben jetzt sozusagen den Gewinn. Wir können also jetzt irgendwie Parasy-Software, Copyright-Violations sind jetzt einfacher möglich und Porno-Apps sind jetzt einfacher möglich.

Und Apple verdient jetzt auch an Porns. Wenn mehr als eine Million Leute die Porno-App runterladen, was man sich ja nicht vorstellen kann.

Kann man sich nicht vorstellen, nee. Unmöglich. Also, ja gut, aber ich meine, das ist das, was das Gesetz ermöglicht. Das ist das, was da in dem Gesetzestext steht und genau das setzen sie halt jetzt um. Das kann man ihnen auch nicht so richtig vorwerfen, dass sie jetzt deswegen die komplette Monetarisierung ihrer Plattform sein lassen. Ach so war das gemeint, naja dann lassen wir das einfach mal sein.

Entschuldigung, aber die Idee ist, dass sie keine Plattformen haben, das ist doch die Idee dahinter. Also dieses iPhone hat ein paar hundert Euro gekostet, könnten auch ein paar tausend sein.

Ja, je nach iPhone. So.

Und ganz grundsätzlich würde ich schätzen, dass ich als Kunde, der dieses iPhone gekauft hat, die Hardware, die da drin ist, wahrscheinlich bezahlt habe.

Ja, die Hardware, die da drin ist, aber das iPhone ist, die Plattform ist ja mehr als nur das Gerät, was du in der Hand hältst.

Und die Idee ist ja, dass es nicht mehr diese Plattform ist. Das ist ja die ganze Idee dahinter, dass Apple nicht mehr sagen kann, das iPhone ist eine Plattform. Das ist die Idee dahinter.

Es geht nur um das Gatekeepertum. Es geht nur darum, dass wenn sie so eine Plattform haben, dass diese Plattform auch für andere genutzt werden dürfen und dass andere. Einen Appstore anbieten dürfen. Das ist das, was dieses Gesetz sagt.

Ja, also.

Naja, das ist das, was das DMA sagt.

Das hast du gar nicht gelesen.

Natürlich habe ich es nicht gelesen, aber ich habe die Interpretation gelesen, was dieses Gesetz sagt und das reflektiert sich ja sozusagen jetzt auch in diesen Entscheidungen. Sie hätten ja jetzt nichts in Software umgesetzt. Ich meine, das ist eine Änderung, die irgendwie 600 neue API-Calls einführt im Betriebssystem, nur um diese Marketplaces zu ermöglichen und diese neue Paymentsysteme. Also es ist schon relativ umfangreich.

Das heißt also, das wertvollste Unternehmen der Welt musste sich jetzt anstrengen, also hat richtig neue Sachen jetzt schreiben müssen an Code, meinst du? Weil es eine gesetzliche Änderung gab?

Ja, natürlich.

Boah.

Ja gut, machen sie ja auch.

Sind die Aktien aber jetzt wahrscheinlich auch, ich gucke mal kurz auf meine Apple-Aktien.

Ich kann mir nicht vorstellen, dass es irgendeinen Impact hat, ganz ehrlich.

Also dann quengel doch nicht rum.

Ich quengel nicht rum, ich sage nur, das ist das, was sie tun. Und letzten Endes muss sich die EU jetzt fragen lassen, ob das sozusagen die Auswirkung ist, die sie haben wollen. Und ich glaube, dass es, wenn man jetzt mal schaut. Ich meine, wir haben ja jetzt nicht so viele große Softwareanbieter für diese Plattformen in der EU von Bedeutung. Wenn du jetzt mal so guckst, was gibt es eigentlich in der EU für Unternehmen, die überhaupt millionenhafte Installationszahlen haben und die Digital Services anbieten? Fällt dir da was ein?

Wahrscheinlich sehr viel, aber du willst wahrscheinlich jetzt was Besonderes hören.

Viele fallen dir da ein, also ich müsste da ganz schön lange drüber nachdenken. Also Spotify ist eigentlich das Einzige, was mir jetzt so einfällt.

Netflix wäre ja dann auch.

Netflix? Netflix USA.

Ne, aber die werden doch, aber wieso, die können, also Netflix kann doch einen anderen Deal dann für den europäischen Markt haben, die sind doch im europäischen Markt vertreten.

Ja klar, aber…, Ein europäisches Gesetz geht natürlich auch nach den Interessen europäischer Unternehmen. Das ist irgendwie die, die da sozusagen darunter zu leiden haben, in Anführungsstrichen, weil es handelt sich ja bei diesen ganzen Plattformen um amerikanische Plattformen. Es gibt ja keine europäische Plattform, die in irgendeiner Form unter dieses Gesetz fällt, weil es einfach keine europäischen Plattformen gibt. Also ist das sozusagen eigentlich das Ziel, dass man hier in irgendeiner Form den Wettbewerb so öffnet, dass auch Europa was davon hat?

Nein, die Argumentation dieser Idee war ja, dass es klar dem Markt und damit am Ende auch den NutzerInnen in Form von Wettbewerb dienen soll. So werden solche Gesetze ja verargumentiert.

Ja klar, aber ist es auch wirklich das, was sie tun? Ich habe da so ein bisschen meine Zweifel, dass sie das tun.

Nee, natürlich wird das sein Ziel nicht erreichen.

Ja genau und das Ziel war jetzt sozusagen Unternehmen einen Zugang zu diesen Plattformen zu geben, die sonst zu sehr unter den Einnahmen und Einschränkungen von Apples App Store Regelungen zu leiden hätten. Und da ist natürlich vor allem, sind die Unternehmen, die halt solche digitalen Abos quasi verkaufen, zu nennen, wie zum Beispiel, nicht nur, aber zum Beispiel eben Spotify ist als Beispiel genommen, weil das einfach ein großes Unternehmen ist, was in der EU auch angesiedelt ist.

Ah, okay. Porno-Apps. Also immerhin, danke EU. Ja. Ich könnte mir vorstellen, dass da ein paar User ganz schön happy sind. So. Dann kommen wir zum Digital Services Act. Der kommt ja jetzt auch bald. Der Digital Services Act, der gilt dann jetzt ab Februar in Deutschland. Allerdings hat Deutschland bisher noch nicht das digitale Dienstegesetz verabschiedet, dass die Prozesse dafür auch sicherstellen soll. Also da müsste die Politik jetzt mal irgendwie was kommen. Da muss nämlich unter anderem eine Aufsichtsbehörde geschaffen werden, die diesen DSA dann umsetzt. Der DSA, wir erinnern uns, also Digital Markets App, das soll die Monopole aufbrechen, die Monopole der Plattformen. Digital Services Act betrifft eben die Dienste, die wir User nutzen. Er ist also für uns erstmal potenziell unmittelbarer. Die Plattformen sollen oder diese großen digitalen Dienste sollen dann Berichte darüber veröffentlichen, welche Inhalte gemeldet werden und welche sie löschen. Sie sollen erklären, wie sich ihre Moderationsteams zusammensetzen. Sie sollen offenlegen, wie bei ihnen die Empfehlungen zustande kommen, also die Twitter-Trends oder so was. Oder Folge hier, möchtest du nicht hier, diese Person. Und sie müssen rechtswidrige Inhalte zuverlässig löschen, sonst bekommen sie hohe Bußgelder. Das ist diese Transparenz der Inhalte-Moderation. Dann bessere Möglichkeiten, sich gegen Hassrede oder illegale Inhalte durch Meldung zur Wehr zu setzen und die Online-Werbung wird stärker reguliert. Man darf also jetzt nicht mehr als Kriterien für Werbung sensible Daten verwenden wie Sexualität oder politische Überzeugung. Noch zielgerechtete Werbung machen, natürlich dürfen sie diese Daten weiterhin erfassen, sie dürfen sie nur nicht nutzen. Das wird jetzt in den nächsten Jahren sicherlich interessant werden, ob das auch ungefähr so untergeht wie der DMA, wo Tim das gerade geschildert hat, wie man sagt, alles klar, wir haben das mal sehr genau gelesen und haben mal einfach nirgendwo einen Schritt zurückgegangen, haben überall hohe Preisschilder drangehängt. Und das ist ja nicht das erste Mal, dass Unternehmen das machen. Das haben wir bei der DSGVO auch gemacht. Diese Pay-or-Okay-Geschichte, wo man sagt, ach okay, wir müssen auch eine trackingfreie Möglichkeit bieten und wir müssen ein Consent haben. Na gut, dann bieten wir denen die trackingfreie Möglichkeit für Geld an oder sie geben Konsens zu dem Tracking und dann haben wir die Sache in einer Woche abgefrühstückt. Und das ist schon erstmal in jedem dieser Fälle eine relativ offene Umgehung der Intentionen von Verbraucherschutzgesetzen, die wir da sehen. Und jetzt müssen wir mal gucken, ob das beim Digital Services Act auch so wird. Die GFF, Gesellschaft für Freiheitsrechte, hat jetzt das Center for User Rights gegründet, das also die Umsetzung des Digital Services Act überprüft und sich da dann für Nutzerinnen und Nutzer einsetzt und bei Bedarf dann eben auch nachklagt, wenn denen ihre Rechte nicht gegeben werden. Aber als allererstes muss natürlich die Politik das jetzt erstmal vernünftig umsetzen, die entsprechende Aufsichtsbehörde und so weiter schaffen. Da passiert also auch was. Halbwegs related ist diese Auseinandersetzung, die Renate Künast irgendwie jetzt auch schon, glaube ich, seit zehn Jahren oder was mit Facebook hat. Und zwar hatte sie in einer Talkshow auf Thilo Sarra ziehen. Kennst du den noch?

Da hatten wir noch Probleme, wa? Der Typ.

Echt peinlich wie eine offene Hose. Und der hat sich in einer Talkrunde geweigert, den Namen einer anderen Gesprächspartnerin korrekt auszusprechen. Und dann sagte Künast, die offenbar da auch war, wenn ich das jetzt richtig verstehe, Integration fängt damit an, dass sie als Deutscher auch mal ihren Namen sich merken. Weil der hat halt natürlich, so wie ich das jetzt interpretiere, in irgendeiner herablassenden Form sich geweigert, den Namen richtig auszusprechen. Einer wahrscheinlich Ausländerin. Ich habe diesen Ausschnitt nicht vor Augen. Wenn sie gucken, kein Kilo Sarrazin. So und dann kursieren aber offenbar auf Facebook Falschbehauptungen, wo Renate Künast die Aussage, Integration fängt damit an, dass sie als Deutscher matürkisch lernen. Und dagegen geht die jetzt unter anderem vor, gegen diese Postings mit den Falschzitaten. Und aktuell muss Künast die selber suchen und dann jeden Einzelnen melden und löschen. Und jetzt hat sie auch in sinngleichen Variationen und so weiter, und jetzt hat sie vom Oberlandesgericht Frankfurt erstritten, dass die Verantwortung jetzt bei Facebook liegt. Also Künast sagt, ich will nicht, dass das hier weiter verbreitet wird. Und ihr sagt doch immer, was ihr alles mit eurer KI da machen könnt, dann lasst mal die Pferde tanzen.

Dann zeigt doch mal, was ihr könnt.

Dann zeigt doch mal. So und jetzt muss also Facebook oder Meta in diesem Fall, das automatisiert selber versuchen. Ich denke, die Aufgabe ist erstmal möglich und zumutbar, insbesondere jetzt einfache Filter. Wenn das dann in Bildern geht, in Bildern passiert, wird es vielleicht nicht mehr ganz so einfach aber jetzt so, wenn es Künast betrifft und so dann wird gesagt, ja, könnt ihr doch mal, eine automatische Vorfilterung machen, dann muss nicht mehr die Renate Künast für euch alles melden, sondern, macht dann mal so eine KI, die macht so einen Verdachtsfall und meldet mal schon mal alles automatisch und dann können eure Moderatoren da drauf schauen und nehmen der Renate Künast jetzt hier mal die Arbeit ab. Das denke ich ist auf diesen Fall betrachtet erstmal tragbar. Jetzt wird man mal sehen, was da jetzt noch so alles an Leuten, Leute noch erstreiten wollen gegen Facebook, was da nicht verbreitet werden darf. Weil ich könnte mir auch so ein paar Sachen vorstellen, vielleicht sagen jetzt irgendwelche Betroffene der Korrektivrecherche, die dann sagen, stimmt alles nicht, das ist ja Verleumdung, hier Facebook, ihr müsst das jetzt alles wegmachen, immer mit KI. Also ich bin mal gespannt, was sich da noch für potenzielle Missbrauchspotenziale ergeben können. Hate-Aid spricht natürlich von einem historischen Urteil und ich denke für so etwas, wo es um virale Verleumdungen geht und Fake-News, in dem Bereich klingt das erstmal nach einer ganz guten Sache. Ich bin mal gespannt, was das potenziell bedeutet gegenüber kleineren Anbietern und, und, und, und, und, wenn ein solches Recht sich nun darbietet. Ich glaube, wir müssen einfach zwischendurch was Lustiges machen, Tim, sonst kommen nur wieder nicht mehr so coole Nachrichten.

Ein Witz erzählen meinst du jetzt?

LNP 202 Also 202 hat sich bewahrheitet Ja.

Das ist wirklich lustig Das war Wann war das? Das war Ewigkeiten her Logbuch Netzpolitik 202 November 2016. Also sieben Jahre, etwas mehr als sieben Jahre. Da ist uns nämlich aufgefallen, dass es eine neue Top-Level-Domain gibt, die neu verteilt wurde. Es gibt ja seit einiger Zeit so einen liberalisierten Domain-Markt, wo dann eben Anbieter sich bewerben können für bestimmte Top-Level-Domains. Ich weiß nicht genau, wie das funktioniert. Bieterverfahren, irgendwie gibt es da einen Zuschlag, politische Mauscheleien, keine Ahnung. Auf jeden Fall wurde dann die Top-Level-Domain.box sozusagen ausgeschrieben und wir hatten dann in der Sendung auch so ein Hin und Her und haben dann überlegt, was ist denn jetzt hier eigentlich mit Fritzbox? Weil die Fritzbox, ihr habt sie ja vielleicht zu Hause auch stehen, habt ihr ja auch hier in der Meta-Ebene. Die hat so die Eigenschaft, dass sie intern in das eigene Heimnetz diese Domänen rausstrahlt, sozusagen als Default-Domänen. Wenn man also irgendeinen Rechner hat, der Foo heißt, dann kann man den dann auch sofort unter Foo.Fritz.Box erreichen, beziehungsweise die Fritzbox selber erreicht man auch, indem man einfach Fritz.Box eingibt. Ich habe das schon immer für eine ganz, ganz, ganz schlechte Idee gehalten, weil es gibt definitiv bessere Methoden, das zu machen. Und dann haben wir darüber gescherzt, dass AVM ja hier unter Umständen ein Problem haben könnte und kurz geguckt, ob denn Fritz.box irgendwie zu kaufen wäre, war es dann in dem Moment nicht und wir haben noch geschlossen mit, jetzt sollte sich aber AVM mal kümmern.

Und ich muss das noch kurz erklären, also man darf bestimmte Top-Level-Domains nicht registrieren, ja, eine ganze Reihe gibt es nicht, es gibt Special-Use-Domain-Names, die von der IETF anerkannt sind, ja, zum Beispiel irgendwie example.com und .local, ja, der nämlich in RFC 6762 werden viele davon dokumentiert und 67, 61. Und wenn du jetzt ein lokales Netz hast, dann kannst du, mit .local sicher gehen, dass dieser Domainname oder dieser Top-Level-Domain nicht registriert wird, weil sie von der IETF anerkannte Special Use Case ist. Genauso wie Localhost oder sowas. Oder .onion wurde von Thor dann genommen, das heißt, das ist jetzt auch ein anerkannter, also kannst du jetzt nicht einfach .onion als TLD anmelden. So, und in dieser Liste der Special Use Domain Names findest du nicht .box. Und deswegen hat jemand die TLD halt gekauft oder einrichten lassen und so ist das, wenn man sich nicht an Standards hält. Das ist dann mitunter ein steiniger Pfad.

Das kann zu Problemen führen. Insbesondere, wenn dann auch tatsächlich jemand die Domain fritz.box sich holt, was nun auch geschehen ist. Warum das jetzt sieben Jahre gedauert hat, ist mir ehrlich gesagt schleierhaft. Und ja, dann gibt es dann halt da NFTs zu kaufen. Wie sollte es auch anders sein? Falls irgendjemand von AVM dieser Sendung lauscht und glaube die Wahrscheinlichkeit ist jetzt mal gar nicht so gering, mach das weg. Also das war schon immer eine verdammt doofe Idee. Bitte macht es, dass eure Maschine einfach auf .local irgendwas, Adresse .local lauscht und bitte auch nicht alle Geräte auf der Seite, hast du mal versucht mal mit zwei Fritzboxen im selben Netzwerk irgendwie zu arbeiten, die eine macht dir das Internet, das andere versuchst du gerade einzurichten, du wirst bekloppt dabei, weil du einfach, alle reagieren auf denselben Namen, den sie einfach nicht haben dürfte, das ist furchtbar.

Weißt du eigentlich wofür AVM steht? Audiovisuelles Marketing. Ich hab mal, ich glaub, den CISO von AVM kennengelernt, da stand dann audiovisuelles Marketing auf dem Namensschrift, ich dachte so.

Aber.

Die sind ja Original Gangster, die wollten BTX-Dienste anbieten. Dann haben sie gesagt, ja, audiovisuelles Marketing auf BTX. Also sie sind schon lange im Geschäft.

Allerdings. Genau, und ich habe auch gar keine Lust groß auf AVM einzufangen, weil das an sich ein sehr solider Laden ist, der wirklich gute Technik macht und die sich irgendwie kümmern und so weiter. Nur genau das mit dieser fritz.box Domain, das habe ich nie verstanden. Also das war einfach ein Fehler und das müsst ihr ändern, das geht einfach gar nicht. Macht da einfach .local und bitte, bitte, bitte, schafft endlich mal so ein Scheißfeld, wo ich mal sagen kann, diese Fritzbox heißt so und die Die andere heißt so, dass ich zwei ansprechen kann. Das kann doch nicht so schwer sein. Wirklich.

Noch ein bisschen Neuigkeiten zur Chatkontrolle. Wir hatten glaube ich schon gesagt, dass die freiwillige Chatkontrolle, das ist ja die, Ausnahme, also sogenannte freiwillige Chatkontrolle, das ist die Ausnahme von der E-Privacy-Richtlinie. Also. Das, was mit Chatkontrolle gemacht werden sollte, war ja, ist quasi verboten. Die E-Privacy-Verordnung verhindert das, erlaubt das nicht. Und dann haben sie quasi eine, haben sie damals eine Ausnahme gemacht und haben gesagt, wir machen, wir erlauben das jetzt erstmal. Und dann haben sie gesagt, das machen wir jetzt, erzwingen wir jetzt. Und das werden sie jetzt verlängern. Wir glauben, sie wollen sie in zwei Tagen dann billigen und dann wird das wahrscheinlich passieren. Das ist so der eine Teil. Dann haben wir, glaube ich, hier schon berichtet, dass Thorne, diese Bude von Ashton Kutcher, selber auch dafür geworben hat, diese Technologie, die sie da anbieten, auch für andere Zwecke zu verwenden. Das haben wir, glaube ich, in Logbuch Netzpolitik schon erwähnt. Es gibt jetzt eine ZDF-Doku, Ende der privaten Chats, ein Hollywood-Star-Wirb für Überwachung, Link findet ihr in den Shownotes, wo sie sich mal mit Thorn auseinandersetzen, die ja angeblich eine NGO sind, aber die technische Lösung für das, wofür sie lobbyieren, auch selbst direkt mit anbieten. Und kaum Mitarbeiter haben, die unter 100.000 Euro verdienen, was ja bei NGOs auch unüblich ist.

Ich kenne einige NGOs, die würden sich darüber freuen.

Gibt es natürlich jetzt auch wieder einen offenen Brief, der sich gegen das verpflichtende, kleinseitige Scannen ausspricht. Also die Diskussion geht da weiter. Ähm, aber mal, mal schauen. Es ist, es ist einfach nur absurd. Und dann gab es, ich glaube, es war eine niederländische Gruppe, die, eine niederländische Gruppe von Journalistinnen, die auf einem Marktplatz namens Data Raid, der in Berlin sitzt, ähm. Daten gekauft haben, Geolocation-Daten. Also auf Data-Rate bieten hunderte von Unternehmen personenbezogene Daten an. Das ist offenbar irgendwie so ein Tracker, Überwacher, erhöhe die Qualität deiner Datenbude, Marktplatz. Und die meisten Akteure bieten da auch so eine Datenprobe an. Unter anderem auch die Unternehmen Faktori und Datastream. Jetzt haben diese niederländischen Journalistinnen keine genaue Ahnung, wo diese Daten kommen, aber sie haben irgendwie einen ordentlichen Satz Gigabyte mit Bewegungsdaten, wo sie ja im Prinzip die Bewegungen einer Person, da wird dann gesagt, ja, die sind aber anonymisiert, weil Apple gibt den Leuten ja nicht mehr die wirkliche Telefonnummer, mal so eine Advertising-ID, ja, aber natürlich können diese Tracker trotzdem, haben dadurch trotzdem eine, Entität, ja, und wenn du jetzt von denen, Location-Daten sammelst, dann kriegst du eben anonyme Bewegungsdaten von Leuten und natürlich konnten die Journalisten dann einzelne Personen daraus. Wiedererkennen, ja, indem sie beispielsweise mal so eine Militärbasis genommen haben und jemanden haben, der irgendwie zwischen der Militärbasis hin und her fährt, dann sitzt halt so der der Militärbasis gegangen, haben gesagt, guck mal hier, was wir vom Internet runtergeladen haben, interessiert euch wahrscheinlich, schaut doch mal, wer das ist und dann war es nicht, mussten die natürlich nur über die Wohnadresse wussten sie dann, um wen es da ging. Also da auch diese, also nur weil es aus dem App Store ist, heißt es nicht, dass es euch nicht trackt. Der Verdacht ist, dass es halt irgendwelche Apps sind, die wie so Fitness- und Navigations-App, die dann potenziell diese Daten verkaufen. Wäre so eine der Möglichkeiten, die da im Raum steht. Ganz schön in Deutschland gehandelt. So sieht es aus mit unseren Spionen in der Hosentasche. Aber immerhin kriegen wir da jetzt Sideloading für horrende Preise. Also es ist schon wirklich diese Machtlosigkeit der Regierungen, der Gesetze gegenüber dem, was wir verhindern wollen, wo auch relativ klar ist, dass das nicht akzeptables Geschäftsgebären ist, ist schon etwas traurig.

Aber dafür gibt es demnächst Porno-Stores.

Porno-Store. Ganz was Neues. Ganz was Neues. Das eröffnet ja ein komplett neues Markt. Dass dann auch keiner drauf gekommen ist.

Porn-Store und Piracy.

Piracy-Store ist auch irgendwie ein bisschen, ein Oxymoron.

Ja, mal gucken. Demnächst musst du für deine Raubkopien auch noch was bezahlen. Wie früher. So habe ich mir ganz am Anfang tatsächlich ein bisschen Geld verdient. Mit Raubkopien? Mit Raubkopienverkauf, ja.

CDs gebrannt oder was? CDs.

Floppy Discs kopiert. Da stand man noch in so einem Computerladen und hat dafür gesorgt, dass die Leute an Software rankamen, weil es gab ja kaum welche zu kaufen. Es war ja im Prinzip auch eine Dienstleistung an der Allgemeinheit und dann kamen halt irgendwelche Familienväter, die gerade ihren Kindern Computer gekauft haben und jetzt sozusagen die Attraktivität dieses Kaufs natürlich auch unterfüttern möchten und nach Spielen gesucht haben, aber es gab ja irgendwie kaum welche. Und dann gab's halt so die Local Kids, zu denen ich dann gehörte und wir hingen dann halt so in diesen Läden rum und dann kamen so die Väter da rein und haben dann gerne mal einen Zehner dagelassen.

Und dann habt ihr, psst, ey, willst du ein Game kaufen? Der wears Tim.

Also ich war da nicht besonders, wie soll ich sagen.

Ungefähr, sagen wir mal so, du warst wahrscheinlich so, deine Obstsäcke waren so, wie die von den Drogenhändlern im Görlitzer Pfarrhaus.

Hey.

Da kommt einer. Hey, willst du was kaufen?

Der Verfolgungsdruck war damals noch relativ gering und wie soll ich sagen, es gab ja sozusagen auch kaum Angebot. Das war so ein bisschen wie mit den Early Days, mit MP3s tauschen, wo es einfach gar keine Online-Stores gab. Also es war ja einfach gar nicht möglich, an diese Software heranzukommen. Ich habe das jetzt auch nicht so forciert, ich gehöre nämlich zu den Leuten, die das jetzt maximal ausgenutzt haben, aber es hat stattgefunden in gewisser Hinsicht.

Also mit anderen Worten, wir wissen dann schon, wer da demnächst in den Stores ist.

Gut, dann würde ich sagen, beenden wir mal die Runde für heute. Leute, vielen Dank fürs Zuhören und wir sagen Tschüss jetzt oder nicht.

Ja, du musst ja deine Musik da anmachen, dass ich da noch reinquatschen kann.

Mach ich ja, mach ich extra für dich. Jetzt kannst du was Schönes sagen. Hast du noch einen letzten Wunsch?

Nee.

Okay, dann wünschen wir euch ein schönes Wochenende oder was auch immer für. Ein Tag vor euch liegt. Bis dann.