LNP492 Ölverschmierte Hände

Guten Morgen, Linus.

Guten Morgen, Tim.

Du, ich würde mir gerne mal so eine schöne Herrenhandtasche von Gucci kaufen, aber es ist so teuer.

Da habe ich was für dich.

Logbuch, Netzpolitik, Nummer 492 vom Vatertag. Vom Tag der Heirenhandtasche. Da möchte man doch gleich shoppen gehen, aber hat alles zu. So, ja, kann ich nur noch online kaufen, weil die Läden dicht haben. Das ist das Problem. Deutschland ist einfach umsatzfeindlich, da läuft nichts. Kann ich nicht jetzt hier einfach so im freien Tag nutzen und einfach mal in die Shopping-Mall latschen. Nix da.

Ich habe in letzter Zeit, nicht nur ich, sondern auch unser Sendungsgast, den wir noch nicht vorgestellt haben, haben verwechselt in der Vorbereitung auf diesen Tag, dass heute Vatertag ist und nicht Frauentag. Und das ist ja ein total dummer Versprecher, wenn du sagst, ja, dann ist ja Frauentag, ach nee, Vatertag, was so die beiden, ich glaube, so die komplette kulturelle Gegensätze sind. Kampftag der Frau und Bollerwagen-Sauftag zu verwechseln ist halt einfach.

Ist das nicht eigentlich Christi Himmelfahrt?

Christi Himmelfahrt, ja, das ist Christi Himmelfahrt.

Warum ist denn das Vatertag?

Ach, ich weiß auch nicht. Also die meisten Väter sagen, seitdem ich Vater bin, war ich nicht mehr mit dem Bollerwagen saufen. Im Osten übrigens, also meine Potsdamer Freunde sagen eher Herrentag. Also die versuchen dem Ganzen noch irgendwie so eine gewisse Niveau drin zu halten.

Niveau? Herrentag?

Das ist doch alles schon kolonial verbrämt. Oh, oh.

Ganz gefährliches Terrain. Auf jeden Fall.

Es ist der Tag am Boller. Es ist Feiertag.

Also kann man glaube ich, die Läden haben zu. Und wenn ich jetzt meine Gucci-Herren-Tasche kaufen würde, dann muss ich das online machen. Da habe ich ganz viele tolle Sachen gesehen.

Aber online ist auch billiger.

Ja, richtig mit Prozenten und so. Ach ja. Ja, jetzt sagen wir erstmal Hallo. Hallo, Herr Torkel. Herzlich Willkommen. Du warst ja schon mal da bei uns. Das war, welches LNP war das noch gleich? Das war 422 Bundesverdienstcoin, hieß es da. Und da hast du schon über Hackereien berichtet. Kleiner Spoiler, das machen wir heute auch wieder. Deswegen bist du hier.

Wir berichten heute über Obtainereien. Erklären wir später.

Okay, Obtainereien, wie auch immer, auf jeden Fall. Ich würde es mal als... Data Harvesting bezeichnen. Gibt es den Begriff schon? Oder können wir vielleicht auch mal selber einen Fachbegriff hier so freuen? Insofern liege ich schon richtig. Alles klar, sehr gut.

Die Bundesverdienst-Coin-Folge, wir haben über mehrere Hacks gesprochen, unter anderem, dass du diese Münze hast von der Bundeswehr, die mich immer wieder, das bringe ich in Gesprächen öfter an, aber dieser Bundesverdienst-Coin war ja die Münze von der Bundeswehr, weil du bei der Bundeswehr mehrere Schwachstellen gemeldet hast und dann hast du eine Münze gekriegt. Mit der man nicht bezahlen kann. Eine Ehrenmünze, ne? Am Band.

Bei der Bundeswehr brauchst du auch keine Münze, um irgendwo reinzukommen. Da musst du die URL richtig raten. Dann bist du schon voll dabei im Inner Circle. Genau.

Nachdem du bei uns in der Sendung warst, war glaube ich eure Forschung zur Biometrie in Afghanistan, die war danach, oder? Die haben wir nur behandelt, aber warst du dazu nochmal in der Sendung? Da ging es um die Biometriegeräte, also wir haben es hier behandelt, die Biometriegeräte, die das US-Militär in Afghanistan zurückgelassen hat, die die Datenbank mit den, biometrischen Daten auf den Geräten hatten und die fand man dann auf Ebay. Aber das war ja auch geil. Der war sechs Monate später. Das war irgendwie sechs Monate nach eurem Vortrag, dass er euch gebeten hat, die doch mal zu schicken, weil sie es jetzt doch untersuchen. Da war es schon ungefähr ein Jahr her, dass ihr Bescheid gesagt habt oder dreiviertel Jahr. Und dann sind die Dinger ja zurückgekommen, weil die die nicht aus der Packstation abgeholt haben. Geil. Also US-Militär kann auch noch nicht mal irgendwie ein Paket sich zuschicken lassen und abholen. Also da sind die, zumindest in Deutschland, sehr deutsch. Nee, nee, ich krieg euch das mit der Post. Er hat uns gebeten, ob ich ihm das geben kann. Er würde mich auch zu Hause besuchen. Voll freundliche Bitte.

So, dann habt ihr zusammen aber auch noch auf dem Camp einen Vortrag gemacht, auf dem letzten.

Genau das waren Dominik Kantorkel und ich über die Obtainerei bei unterschiedlichen Gruppierungen aus dem Ransomware-Umfeld. Da hatten wir ja auch einen Threat-Actor infiltriert, der offenbar Ransomware ausgerollt hat. Wir haben auch ein bisschen über die Disclosure-Sachen gesprochen, die du gemacht hattest. Disclosure, Hack und Back hieß der Vortrag.

Was ist denn Threat-Actor wieder für ein merkwürdiger Begriff? Ein Bedrohungsschauspieler.

Nee, also Actor ist nicht nur Schauspieler, sondern auch Ich weiß.

Ein Akteur, genau. Bedrohlicher Akteur.

Also ein Threat Actor ist eine benennbare Gruppierung oder Person, die Häckereien, Obtainereien macht. Also beispielsweise was weiß ich, APT 28, den, dass er der City wieder unterstellt wird, sie hätten die SPD mit einem Outlook-O-Day aufgemacht und nichts Besseres zu tun gehabt, als die E-Mails von Kevin Kühner zu lesen. Aber in dem Fall, der war glaube ich für Bian Lian, die Ransomware-Gang, aktiv. Sorry, habe ich Threat-Actor gesagt. Über den haben wir ja Threat-Intelligence gesammelt. Threat-Intell.

Ich meine, jede Branche hat so ihre eigene Sprache. Das ist ja vollkommen klar. Aber ich finde das dann teilweise ganz unterhaltsam, wie hier die einzelnen Rollen so modelliert werden.

Aber wenn wir in dem Kontext sind, dann würde ich vielleicht noch gerade ganz kurz was empfehlen, weil dieser Vortrag, ich habe das ja danach jetzt für eine Trilogie, postwendend, nee, danach, was sagt man dann? Nicht posthum?

Ich weiß nicht ganz genau, worum. Faktische Vortrag.

Also ich habe ja den Hirnehacken 2.0 mit Kai Biermann gehalten, den Vortrag beim Kongress, beim aktuellen Kongress, wo wir über Ransomware-Verhandlungen und die Threat-Actor gesprochen haben, die unterschiedlichen. Außerdem hat der Tobias Müller den Vortrag gehalten über den Decryptor für Blackbuster. Blackbuster ist auch eine Ransomware-Gang. Und dann hatten wir diesen Disclosure Hack und Back und das war so eine Serie über man setzt sich mit den Threat-Actors auseinander, bereist, besucht mal deren Systeme, obtaint und geht wieder.

Man obtaint. Also ich stelle einfach fest, wenn irgendwo Daten raustropfen im Netz, dann kommst du, also bist du so eine Art Datenkleppner.

Die tropfen irgendwie immer dem Cantorkel in die Hand.

Ja, so ein Datenkleppner. Guck mal hier, da tropfen die Bits irgendwie raus. Ruf mal den Cantorkel, der macht das wieder zu.

Daten sind ja das neue Öl und Cantorkel hat ölverschwierte Hände.

Okay, bevor wir jetzt hier lost in Association sind, Machen wir vielleicht erstmal eine kleine Feedback-Runde, bevor es hier ins Eingemachte geht. Was hältst du denn davon?

Ja, genau. Wir haben Feedback bekommen. Sehr viel Feedback. Unsere Einlassungen zu Humor haben zu einigen humorvollen Kommentaren geführt und einigen weniger humorvollen. Die könnt ihr gerne nachlesen. Ich denke, die demonstrieren in der Breite die Kommentare sehr gut, worüber wir gesprochen haben. Wir haben in der letzten Folge auch darüber gesprochen, dass unsere Freunde aus Österreich, die Organisation Neub, ja mit Datenschutzrecht Beschwerden über OpenAI macht, spezifisch, weil dort Geburtsdaten falsch wiedergegeben werden. Und dazu kommentiert Wiebke. Angriff nimmt. LLM speichern allerdings keine vollständigen Datensätze mit personenbezogenen Daten. Da steht also nicht, Tim Pridloff ist am so und sovielten geboren. Was ja sehr schön bei der letzten Folge, was tatsächlich falsch war. Hast du jetzt auch verklagt, oder?

Ich hab nochmal kurz nachgeschaut. Mittlerweile habe ich am 6. Dezember Geburtstag.

Das ist eigentlich geil, so mehrmals im Jahr.

Ja, das ist eigentlich sehr gut. Dann kann man mir auch häufiger was schenken.

Kann man online was für dich bestellen. Tim Prillaf ist am Sohn zu schicken geboren. Stattdessen werden einzelne Tokens gespeichert, die nicht zwangsläufig ganze Wörter sein müssen. Wie LLMs Sätze in Tokens runterbrechen, wissen meines Wissens selbst die Programmierer nicht. Zudem wird gewichtet, wie wahrscheinlich bestimmte Tokens in der Nähe voneinander auftreten. Diese Kombinationen aus Tokens und Wahrscheinlichkeiten sind an sich keine personenbezogene Daten. Aus ihnen lassen sich über personenbezogene Daten mit einer gewissen Genauigkeit oder Fehlerhaftigkeit rekonstruieren. Das wird eine Herausforderung für die Richterinnen, denn nun ist doch die Frage, ob die DSGVO überhaupt anwendbar ist. Eine weitere Herausforderung wird, dass bei der Verarbeitung von personenbezogenen Daten ihre Korrektheit sichergestellt werden muss. Auch das steht in der DSGVO. Ein halluzinierendes LLM ist da nicht vorgesehen. Das könnte man eigentlich grundsätzlich sagen, sondern einfach nicht vorgesehen. Hinsichtlich der DSGVO spielt übrigens keine Rolle, ob die genutzten Daten auf Webseiten öffentlich verfügbar sind oder nicht sobald sie gesammelt oder verarbeitet werden handelt es sich um eine Verarbeitung, für die ein Rechtsfertigungsgrund benötigt wird. Bei LLMs ist das das berechtigte Interesse der Anbieter, also OpenAI und Co. Wie bereits von anderen angemerkt, muss dafür eine Abwägung zwischen den Interessen der Betroffenen und den Verarbeitenden stattfinden. Ob die Daten in LLM in Binärcode oder menschenlesbarem Format gespeichert sind, ist ebenfalls unerheblich. Es ist möglich, menschenlesbare Daten hineinzugeben und auch wieder herauszuholen. Das Speicherformat wird bei den TUM, technischen und organisatorischen Maßnahmen, relevant. Es hat aber keinen Einfluss darauf, ob die Verarbeitung erlaubt ist. Wiebke, ich glaube, du bist juristisch gebildet Nein, aber es ist ja sehr gut wiedergegeben und bevor jetzt bevor wir jetzt wieder Kommentare bekommen weil in den drei Sätzen von Wiebke die, Funktionalität eines LLM nicht 100% in allen Details wiedergegeben wurde können wir nochmal es gab da so einen sehr guten Vortrag beim Kongress von einer, Forscherin in dem Bereich. Mir fällt gerade ihr Name nicht ein, aber den nehmen wir mit in die Shownotes auf.

Zu LLMs?

Ja, wie neuronale Netzwerke funktionieren. Der hat das sehr schön gemacht. Da werden sich auch sicherlich Leute drüber aufregen, aber den verlinken wir nochmal.

Lass mal das Innere eines neuronalen Netzes ansehen von Annika Röll, meinst du, ne?

Ja, der war super. Den verlinken wir nochmal für Leute, die sich darüber aufregen. Zum gleichen Thema. Stefan Tesing sagte zu eurer Diskussion über Datenschutz und LLMs. Ich meine, wie fast immer, wenn ihr euch nicht einig seid, mal wieder beobachtet zu haben, dass ihr auf zwei verschiedenen Ebenen argumentiert habt. Linus-Argumente bewegen sich im Wesentlichen auf der ersten Ebene. Ich würde sagen, auf der oberen Ebene. Auf der Meta-Ebene oder was? Nee, die Meta-Ebene gehört dir. Okay, ist in Ordnung. Ich bin auf der ersten Ebene, du bist auf der Meta-Ebene. Wenn Technologiebedingungen verändert, hören Gesetze selbstverständlich nicht auf zu gelten. Tim argumentiert eher auf der Meta-Ebene, auf welche Weise Gesetz und Verortungsgeber, rechtliche Regeln den neuen Gegebenheiten anpassen sollten. Auf dieser zweiten Ebene ist natürlich mehr los. Sinnvoll ist es hierbei, sich Gedanken darüber zu machen, welche Interessen der Allgemeinheit das ursprüngliche Gesetz schützen sollte, um es dann entsprechend zu reformieren. Das geht gerne mal schief, hatte Wiebke ja auch gesagt. Das Urheberinnenrecht wurde ursprünglich eingeführt, um Autorinnen vor der Ausbeutung durch jene zu schützen, die eine Druckerpresse besitzen. Das Interesse der Allgemeinheit war, wenn Autorinnen vor Ausbeutung geschützt sind, bekommen wir mehr Werke. Als das Internet um die Ecke kam, wurden die rechtlichen Regeln leider nicht so reformiert, dass Autorinnen und Allgemeinheit weiter vor der Ausbildung durch Verlagshäuser und andere Rechteverwerter geschützt wurden, sondern die Geschäftsmittel der Rechtsverwerter wurden vor den neuen Möglichkeiten geschützt, die Autorinnen und der Allgemeinheit nun zur Verfügung standen. Das ist, finde ich, eine sehr gute Zusammenfassung. Hat natürlich gerade mit dem Thema, zu dem Stefan sich hier äußern wollte, überhaupt nichts zu tun, weil wir ja eigentlich über Datenschutz sprechen. Aber gut, gut Stefan. Regelungen zum Datenschutz sowie einzelne Regelungen wie das Recht am eigenen Bild sind dazu ersonnen worden, die allgemeinen Persönlichkeitsrechte der Bürgerinnen vor unangemessenen staatlichen Maßnahmen sowie ökonomischer Ausbeutung zu schützen. Anpassungen der rechtlichen Regelungen sollten daran gemessen werden, inwiefern sie diesen Zielen dienen. Ihr kamt ja aber auf das Thema über die Frage, wie die Klage von Neub zu bewerten ist. Hier kann man meines Erachtens festhalten, dass sie auf der ersten Ebene klagen, um auf der zweiten Ebene sinnvolle Änderungen zu erzwingen, bevor Gesetz und Verordnungsgeber das geltende Recht so verschlimmbessern, wie es Anfang der 2000er mit dem Urheberrecht geschehen ist. Ja, finde ich eine super Perspektive.

Ich kann dem folgen, Ich glaube es war immer noch, dass man den LLMs nicht so vorwerfen kann, dass sie konkret persönliche Daten speichern, weil sie das ja so konkret nicht tun. Aber das sagt ja Wiebke.

Verarbeiten, dann geben die ja wieder auf, die die jetzt speichern, dann ist das eigentlich unerheblich.

Ja gut, verarbeiten ist ja in dem Moment dann auch eine sehr allgemeine Bezeichnung für, wir nehmen die Daten einmal und schmeißen sie irgendwo gegen die Wand. So, das ist dann sozusagen schon Verarbeitung. Da kann man sich natürlich dann jetzt auch über diesen Begriff etwas streiten, ob das schon ausreichend verarbeitend ist, weil man könnte fast argumentieren, dass sie sich die Daten ja noch nicht mal richtig anschauen. Also sie reißen das ja irgendwie nur so aus Zeichenketten irgendwie, also die Daten werden nicht als solche genommen, also sie werden nicht als Datum genommen und dann irgendwie in das System gebracht, sondern einfach nur so als Zeichenketten und dann wie gesagt einfach an die Wand geschmissen und am Ende ist das Muster, was die ganzen Farbkleckse ergeben, das ist dann sozusagen die Nahrung, von der sich dieses System ändert.

Du freust dich ja nur, dass du jetzt mehrmals im Jahr random Geburtslust-Geschränke bekommst.

Deswegen verteidige ich das jetzt hier auch so massiv. Mal gucken, wie es funktioniert.

Kein Talk, wie siehst du das? Diese Klage von, oder überhaupt den KI-Fluch oder Segen?

Also da würde ich dir auch voll zustimmen und das ist auch ein gutes Beispiel für, wo die Daten ja explizit als solche in das System eingeführt werden. Also es wird ja explizit ein Bild von einem Gesicht gesucht und als solches abgespeichert. Es wird dann KI-Methoden für den Vergleich, für die Suche verwendet.

Aber speichern die wirklich die Bilder alle?

Naja, sie werfen das dann halt in ihr Model, um darin zu suchen. Aber in dem Moment, wo sie die Daten aus dem Netz extrahieren, extrahieren sie ja explizit ein Gesicht. Und auch in dem Moment, wo sie die Anfrage des Nutzers bedienen, liefern sie auch explizit genau das. Das ist mit diesem Geburtsdatum auf beiden Seiten nicht der Fall, sondern es ist eher ein Zufall.

Es ist eher so, ob du im Gesicht noch so einen herbeihalluzinierten Pickel hast oder nicht.

Ja, ich meine, es ist so, als ob du nach einem Gesicht suchst und dann kriegst du irgendwie einen 3D-Modellplan vom Spielzeugauto oder sowas. Also klar, es bleibt schwierig hier mit der Definition, aber das sind für mich zwei Beispiele, wo ich eher sagen würde, daran kann man schon auch klar machen, was das eine ist und wo die DSGVO auf jeden Fall greifen sollte. Also bei Pim A ist ich voll dabei, aber halt bei diesen allgemeinen LLMs eher nicht. Naja.

Okay, aber die Folge scheint mir die gleiche zu sein. Aber okay, man könnte argumentieren, dass ein falsches Geburtsdatum im Zweifelsfall zu Vorteilen führt. Rentnerrabatte, Geschenke.

Dann komme ich aber nicht in meinen Film mehr rein, weil sie sagen, sorry, aber du bist ja noch Kinder 18.

Also Löschung und Korrektur, die nehmen auf jeden Fall alle recht in Anspruch.

Ich meine, bei den LLMs ist es ja so, wenn du halbwegs zuverlässige Daten bekommst, also die eine hohe Wahrscheinlichkeit haben, dass sie auch stimmen, dann, weil mehr oder weniger das ganze Internet diese Informationen an sehr vielen Orten ohnehin bereithält. Und dann ist es halt immer schwierig. Darf ich das Geburtsdatum von Thomas Gottschalk der Welt verkünden? Die Welt weiß das schon. Das ist halt einfach kein Geheimnis mehr in dem Sinne.

Wann hattest du jetzt laut ChatGPT Geburtstag?

Heute oder letztes Mal?

Letztes Mal. Weil jetzt hast du am 18. November Geburtstag.

Das war jetzt 6. Dezember.

6. Dezember.

Und letztes Mal war es glaube ich irgendwo im Oktober, ich schaue mal kurz, 2. Oktober, aber immerhin, jetzt als ich das eben nochmal gefragt habe, wurde ich auch explizit, Nicht nur mit Tim Pridloff hat am 6. Dezember Geburtstag, sondern die Antwort lautet Tim Pridloff, der deutsche Podcaster und Medienkünstler.

Hat am 18. November Geburtstag gesagt.

Ja, am 6. Aber ist schon mal klar, also ich bin der, der deutsche Podcaster.

Hat Chat-GBT auch extra unterstrichen.

Bold. Das habe ich nie mehr Geburtstag, das ist toll Das heißt, ich werde nicht mehr älter, Wenn ich Geburtstag habe, kann man nie älter.

Werden Du wirst jetzt einfach weiter vertröstet Ich gratuliere dir nie wieder Ich bleibe.

Einfach immer forever 23.

Mein Lieblingskommentar war zur Bezahlkarte von Lipfi Ich versuche das mal auch so mit der richtigen Intonation zu behandeln. Wir hatten ja darüber gesprochen, dass die Bezahlkarte an Geflüchtete ausgegeben werden soll, mit dem erklärten Ziel zu verhindern, dass diese Bargeld haben. Wir haben den Sinn dieses Ziels ohnehin schon in Frage gestellt. Lipfi schreibt nun, Bezahlkarte ist super dumm, kaufst halt einfach Klamotten, gibst sie instants zurück, weil sie nicht passen, bam, Bargeld. Und jetzt, die glauben Wir glauben echt, dass Menschen, die durch die Hölle gegangen sind, sowas juckt. Ich glaube, damit ist das Thema auch abschließend erörtert. Bäm, Bargeld. Oder verkaufst du die Leute. Es ist wirklich relativ unwahrscheinlich, dass es Leuten gelingt, Leute von Bargeld fernzuhalten.

Also wenn sie das unbedingt haben wollen, dann wird das auch mit einer Bezahlkarte funktionieren. Das kann man glaube ich so festhalten.

Ja, vielleicht wird das noch Bezahlkartefluch oder Segen, ja Vielleicht können die sich damit dann doch mal eine Existenz aufbauen, Okay Dann, damit wären wir, glaube ich, bei unserem Hauptthema oder wollen wir noch über die Gamescom vorher sprechen Warst du schon mal bei der Gamescom? Bisher nicht Ich auch nicht. Tim, warst du mal bei der Gamescom?

Nee.

Ist in Köln, ne? Ja Computerspielmesse.

Mittlerweile ist es in Köln. War das vorher? Leipzig war es glaube ich mal und dann ist es in den Westen abgewandert.

Da gibt es Diskussionen über ein Datenleck oder wie muss ich mir das vorstellen? Mit dem Vorwurf, sie hätte ein Datenleck obtained oder mit der Behauptung, sie hätte etwas Falsches gesagt? Und meinst du, die Daten sind noch im Internet?

Geburtsdaten?

Gib die mal chat, GPT. Das ist natürlich schade für die Gamescom und ihre betroffenen Personen. Und somit wären wir beim nächsten Datenleak und zwar hast du seit längerer Zeit mit mehreren Leuten, die nicht alle genannt werden wollen, dich mit einer Online-Shop-Infrastruktur auseinandergesetzt. Und ich erinnere mich, dass wir nach unserem Camp-Vortrag, also irgendwie im August, haben wir mit Kai Biermann von Zeit Online gesprochen, also glaub du kurz, ich danach noch ein bisschen länger und danach irgendwie ein bisschen gesprochen und diese Daten, auf die du da Zugriff hattest, oder diese Systeme, die du da gesehen hattest, sorry, das hatten wir eigentlich schon wieder weggelegt. Und dann sagte Kai, weil irgendwie war unklar, was diese Online-Shop-Infrastruktur macht und wofür es die gibt. Und Kai sagte dann so, oh, das interessiert mich aber sehr, weil meine Tochter wollte Doc Martens bestellen im Internet, nur 40 Euro, Papa. Und hat dann für 40 Euro Doc Martens bestellt und hat auch genau so viel Doc Martens bekommen, wie man für 40 Euro kriegen kann, nämlich keine. Und es war so ein bisschen wie, dass irgendwie so langsam klar wurde, okay, krass, vielleicht, deswegen will jemand viele Online-Shops haben.

Aber dann würde sozusagen die Bezahlung abgelehnt werden, aber man weiß zumindest, dass sie jetzt auch konkret benutzt wurde. Wo kriegt man sowas her? Also ich meine, das ist ein Produkt oder das bieten Banken an oder ist das jetzt für Security-Forscher oder was?

Und die ist dafür da, dass du, keine Ahnung, die in deine beispielsweise in deinen Daten hast und weißt, okay, wenn da jemand darauf zugreift, habe ich einen Daten- Data-Case oder in dem Fall mal gucken, was noch mit der Kreditkarte passiert, mal gucken, ob die wirklich von wem da zugegriffen wird oder sonst was. Ganz praktisches Ding. Aber die zahlt ja auch nicht, diese Kreditkarte dann, oder? Vergessen zu gucken, oder?

Das heißt die Preise liegen so bei 75 Prozent von dem, was man an anderen richtigen Shops erwarten könnte. Okay, gut. Nur um so ein Gefühl dafür zu bekommen, was du meinst mit nicht zu billig.

Also gerade noch glaubwürdig, aber auch irgendwie so ein Betrag, wo...

Wo man sagt, das lohnt sich. Genau.

Und wo du im Zweifelsfall als geprellte Person sagst, wie viel Aufwand mache ich jetzt für 40 Euro? Wie viel Aufwand mache ich für 70? Für so ein bisschen... Also vermutlich wirst du nicht so viel Zeit investieren, weil du erkennst, dass du jetzt nur noch den Schaden erhöhst. Also vollständig anwendbar, vollständig nutzbar. Wie haben die die gesammelt?

Gab's da auch so Apple Pay oder sowas, so Online, so solche Bezahlungen, das lief teilweise über Stripe.

Ne?

Ich bin nicht ganz sicher.

Ob es Apple, ist da auch Apple Pay betroffen?

Ich frage mich, ob du jetzt Kreditkartennummer erfassen und gib mir noch deinen 3-Nummern-Code und ich speichere das ab. Das ist ja das eine. Das andere ist, ob du wirklich auch eine reale, von Third-Party geleitete Transaktion hast. Aber ich glaube, da war auch Stripe teilweise mit im Spiel und Paypal. Also da ist schon auch echtes Processing gelaufen. Genau. Und warum, also was ist der Hintergrund, dass irgendwas abgelehnt wird? Also wer lehnt das dann ab? Dieser Webshop selber oder irgendwelche Zahlungsdienstleister?

Meine Vermutung ist, also du korrigierst mich, also normalerweise, wenn du jetzt in einem legitimen Online-Shop eine Order machst, der darf deine Kreditkartendaten gar nicht annehmen und erst recht nicht speichern. Deswegen werden die meisten dich, um die PCI-DSS-Pflichten zu umgehen, Payment Card Industry Data Security Standard, darfst du zum Beispiel den CVC speichern, ist schlecht. Aber, Damit sie diese ganzen Vorgaben umgehen, gibt es diese ganzen Payment-Anbieter. Also theoretisch könnte ja auch jeder einfach sagen, alles klar, ich werde Kreditkarten-Anbieter. Aber die nutzen halt dann Stripe, schicken dich da hin und Stripe regelt diesen Kram für dich. Die sehen also diese Kreditkarten gar nicht und können damit gar nicht in Kontakt kommen, weil du die direkt an Stripe sendest. So wie ich das hier verstanden habe, machen die ganz einfach etwas, was wie ein Payment-Interface aussieht, damit du deine Kreditkartendaten eingibst, speichern die und sagen, hat nicht geklappt, probier nochmal. Und fürs zweite Mal schicken sie dich zum richtigen Payment-Interface.

Korrekt? Püffig.

Ja. Ja.

PCI-DSS ist ja auch geil. So wie PCMCIA. Weißt du, was PCMCIA heißt?

PC Micro Card Interface oder wie war das noch?

Nee, es heißt People Can't Memorize Computer Industry Acronyms.

Okay. Aber ich glaube, es ist Card Adapter oder sowas. Ich gucke jetzt, was das heißt. Personal Computer Memory Card International Association.

Naja.

Wenn die vor der Tür stehen, weißt du, keine Ahnung, wofür das Akronym steht. Paymentprozess. Okay, die sammeln die Kreditkarten. Ich glaube, der hat das Brudi, die ist des Ausmaßes des Problems noch nicht ganz klar.

Als du das selber, als ihr diesen Testkauf gemacht habt mit dieser Canary-Card, wie ist da konkret, also seid ihr da auch zu Stripe noch weitergeleitet worden? Also hast du dann sozusagen deine Karte bei Stripe angegeben oder nur so hinterlassen? Ah, okay, also ihr habt letztlich gar nichts bezahlt.

Ihr habt mich verarscht.

Also keinen echten Bezahlvorgang eingeleitet. Und ist die dann getriggert worden irgendwann?

Threat Actor.

Also angebliche Fresslieferdienste? Also wo dann da was wiederum bestellt wurde und so, okay, verstehe. Damit es nicht weiter auffällt. Ach ja, Rattchen.

Wie sind denn die Leute auf den Online-Shop gekommen?

Klar, Suchmaschinen. Ich meine, du haust das einfach rein, sagst, wo gibt es Herrenhandtasche günstig? Und dann kommt halt herrenhandtasche24.de.

Haben die da Werbung geschaltet?

Ja, oder irgendwelche TikTok-Shops oder so, da hast du ja dann mittlerweile irgendwelche hampeligen Influencer, die dir das dann halt auch direkt in die Fresse werfen. Wenn ich das richtig sehe, sind aber das jetzt keine oder mehrheitlich zumindest nicht jetzt neue, wirre Domains, die irgendwie sind, genommen worden, sondern die haben dann explizit auslaufende Domains abgewartet und aufgekauft und dann quasi die Reputation, die diese Domains gerade noch hatten bei Google quasi gleich mitgenutzt.

Und dann deployen sie da auch relativ gut durch, automatisiert einfach einen Online-Shop.

Was meinst du mit, es wurde ein Quest angelegt?

SSEO.

Aber allen Teilnehmern dieses Systems ist klar, es geht ausschließlich um Fake-Webshops. Also wenn du jetzt sagst, jemand nimmt diese Dienstleistung in Anspruch, dann nimmt er das wohl wissend in Anspruch, dass hier sozusagen nie irgendein Produkt verkauft werden soll, sondern dass diese ganzen Shops nur Fake sind. Okay, die dort arbeiten. Ich meine jetzt nicht, die dort arbeiten, aber wenn du jetzt sagst, es gibt jetzt jemanden, der nimmt diese Infrastruktur in Anspruch, könnte man denken, das sind jetzt Leute, die wollen einfach einen normalen Webshop aufsetzen und wissen gar nicht, dass da so eine Hintertür ist, verkaufen aber vielleicht tatsächlich wirkliche Produkte, aber das ist nicht der Fall. Also niemand verkauft da wirkliche Produkte.

Sie bieten das nicht irgendwo offiziell an, wenn du sagst, ich hätte gerne einen Webshop, sagen die nicht, geil das Offering hier, wir haben eine gute Domain, die ist...

Also es ist nur eine Rollenverteilung innerhalb Innerhalb dieses kriminellen Systems.

Aber Zwischenfrage, ist das so, dass Sie wirklich nie was versendet haben? Auch eine ganz schöne E-Mail-Zone. Der hat ja noch ein zweites Mal bestellt, oder?

Ich frage mich, warum die überhaupt noch irgendwas liefern. So Legitimität herzustellen.

Eine andere Möglichkeit, also das ist jetzt wirklich reine Spekulation, aber es gibt teilweise auch das Interesse Fake-Bestellungen halt durchzuführen. Aber dann bestellst du quasi bei einem legitimen Händler, bestellst den Kram irgendwo hin, um dann nachher im Namen dieser Person ein Review zu schreiben und zu sagen, ja geiles Produkt oder so und hier ist auch wirklich angekommen, vertrauenswürdiger Händler, 5 Sterne. Aber dann würden sie das Produkt auf jeden Fall im Zweifelsfall von Amazon oder Temu oder AliExpress oder so bekommen. Das wäre jetzt eine andere Spekulation, warum auf einmal Leute Krempel kriegen. Das ist in den USA glaube ich ein relativ verbreitetes Phänomen, dass Leute irgendwie so Billigstartikel aus China bekommen, weil Leute ihre Reputation als Merchant auf einer Plattform hochtreiben wollen. Das könnte ein anderer Grund sein, was man mit einer tatsächlichen Lieferung in Anführungszeichen Gewinn machen kann.

Ich frage mich, ob gegen diese, das ist ja auch wieder so eine Lücke, finde ich, in der Art und Weise, wie so Domain-Sales und Resales funktionieren. Dass wenn jetzt eine Domain gekündigt wird und nicht weiter fortgeführt wird, dass es dann quasi kein Meldesystem gibt, dass man sagt, diese Domain ist jetzt nicht mehr in Benutzung, die Besuchmaschinen liefert jetzt auch bitte keine Ergebnisse mehr. Vielleicht gibt es so einen Mechanismus, keine Ahnung, aber in dem Fall, da gibt es noch ein gutes Rating, kann man weiter benutzen und klar, du hast natürlich so Archive.org und so weiter, wenn Leute da nachschauen, sehen sie halt irgendwie, okay, da gab es mal was, aber für so Suchmaschinen, die wollen ja eigentlich relativ aktuell sein. Nein, das müsste meiner Meinung nach einen Mechanismus geben, dass in dem Moment, wo die Domain gekündigt wird, der Domain-Reseller mehr oder weniger die Suchmaschinen triggert und sagt.

Ist doch nicht doof, damit versaut er sich doch potenziell den Preis.

Ja, es sei denn, die Regeln schreiben das halt vor, dass man das zu tun hat.

Genau, das ist nämlich, häufig werden Domains ja auch aus dem Grund aufgelöst, weil eine Domain kostet ja nicht viel. Und wenn du noch irgendein Interesse daran hättest, dann hältst du dir ja aufrecht. Ich meine, ich würde vermuten, mehrere Personen hier im Raum haben einen Batzen an Domains, die sie noch nicht mal nutzen und bis ans Ende ihres Lebens bezahlen werden. Einmal im Jahr versuche ich so ein paar zu reduzieren und das ist dann auch immer so, oh, ja gut, aber okay, vielleicht habe ich noch 40 Jahre Lebenserwartung, sechs Domains weniger vielleicht. Vielleicht. Und, aber wenn du wirklich sagst, du cancelst das Ding, du verkaufst sie auch nicht an jemand anders, dann hast du wahrscheinlich auch einfach so ein richtiges Scheißegal, die Domain ist jetzt weg. Fuck it. Und mir ist auch völlig egal, was da irgendjemand anderes als nächstes drauf macht. Das halt. Und wollten ihre Sonnenbrille. Genau. Und, war gut?

Aber auch da sollte es wahrscheinlich auf Registrar-DNS-Verwaltungsebene so eine Art Lifetime-Record geben, dass man also wirklich so eine offizielle Meldung macht, diese Domain war im Besitz von dieser Firma von dann bis dann, auch um sich rechtlich da abzusichern. Aber auch um sozusagen eine Auskunft Teil zu sein für andere Entitäten im Internet, die das dann halt explizit befragen können und sofort wissen, okay, alles klar, diese Domain wurde da jetzt nicht mehr geführt, dann gibt es auch automatisch eine Karenzzeit, was weiß ich, also wenn die jetzt nicht explizit als im Betrieb befindlich an jemand anders weiterverkauft werden, der es weiter betreiben soll. Weil wenn man explizit sagt, wurde aufgegeben, es gibt keine Verwendung im Sinne der ursprünglichen Nutzung mehr, zack bumm, hier ist jetzt Ende. Und so ein Mechanismus existiert einfach nicht.

Ja, aber auch das würde jetzt, also das ist ein grundsätzliches Problem, wahrscheinlich nicht nur für Fake-Shops, sondern eben auch für, oh ich habe eine Domain, die ist frei geworden, also das ist so ein grundsätzliches Problem. Die Fake Shops würde man damit jetzt nicht komplett eindämmen. Denn so wie es aussieht, du hast gesagt, insgesamt haben die über 75.000 Betrieben in einem Zeitraum von? Die haben ja dann schon auch nennenswert Infrastrukturkosten. Aber eben offenbar auch schon 50.000 Domains verloren. Oder aufgegeben. Genau, über die Zeit. Und diese Shops haben sie vermutlich offline genommen, weil sie irgendwann delistet wurden? Oder gibt es, das wäre die Vermutung? Die können sich an die wenden? Haben die eine Adresse? Oder wie passiert das? Und darauf antworten die dann? Und ihr habt aber auch festgestellt, dass sie bestimmte Produkte kann man da nicht listen. Ihr hattet quasi eine Blacklist an Marken.

Also wer muss sich an diese Blacklist halten?

Kann man nicht bestellen oder nicht einstellen?

Warum sind die auf der Blacklist?

Okay Ich will, also das ganz China auf der Blacklist ist, liegt wahrscheinlich daran, dass diese Gruppe in China sitzt. Das war glaube ich auch zu großen Teilen in Kais Artikel. Dass sie schon durchaus als Unternehmen funktioniert. Mit Sitz in?

Das ist so eine größere Stadt, so an der Küste.

40 Millionen oder so.

Wie groß sie ist. Kann ich aber kurz nachschlagen. Ja, man hat ja von den meisten großen Chinesenstädten nichts gehört.

Aber die haben quasi dort eine, legale Entity. Die haben dort Angestellte. Die haben also ein richtiges Unternehmen. Nicht irgendwie eine Bande, die irgendwo sitzt, sondern einfach eine komplette legale Entity in China mit Angestellten und hast nicht gesehen, die zehntausende Fake Shops betreut und fertig. Ist ja auch super easy. Ich stelle mir das so vor, wenn du jetzt so eine Web-Developerin bei einem Online-Shop bist, hast du mit allem zu tun, aber sicherlich nicht mit dem Lager und sicherlich nicht mit dem First-Level-Support der Kundinnen, die sich dort beschweren. Das heißt, ich kann mir sehr gut vorstellen, dass du da die ganze Zeit so einen Online-Shop pflegst, Produkte rein und guck mal hier oben links noch ein Logo oder so und dann siehst du vielleicht auch, dass da Bestellungen eingehen und das ist alles super. Das würde ich ja zum Beispiel auch potenziell erwarten als Mitarbeiterin oder Zuarbeiterin in irgendeinem Online-Shop, dass ich da halt den Teil, der mich angeht, da kann ich dran und der, der mich nicht angeht, eben nicht. Aber, also okay, krass. Und gut, China zu dealisten ist einfach keine Beschwerde in unserer Jurisdiktion.

Ja, ich wollte nur kurz mal rausfinden, wie die Stadt ausgesprochen wird.

Wie viele Leute wohnen da?

8,2 Millionen.

Also ihr Kleinstauern-Dorf.

Genau.

Also aus 80 Ländern dieses Planeten, also ungefähr die Hälfte der Länder haben das schon mal bestellt. Mehr als 100 Bestellungen. Ihr hattet auch eine Grafik angefertigt, die konzentrieren sich aber auf Europa, USA. So, jetzt sammeln, jetzt laufen da so diese Shops, irgendwo wird es dann wahrscheinlich ein Modell geben. Ich stelle mir jetzt vor, ich bin da Merchant. Also meine Aufgabe als Merchant ist dann im Prinzip dafür zu sorgen, dass ich da coole Produkte drin habe. Es gibt irgendwie so eine Standardbestückung des Stores, aber ich könnte mir vorstellen, weil es ja viel Kleidung und Schuhe, das ist ja mindestens so ein saisonales Geschäft. Das heißt, da müssen diese 25.000 zum gegebenen Zeitpunkt aktiven Stores ja schon irgendwie auch immer, nicht alles so gnädig wie Doc Martens, die seit vielen Jahrzehnten mit dem gleichen Schuh einfach antreten. Okay. Dann gab es, glaube ich, auch irgendwie so eine Art Business Analytics, die man darüber gemacht hat, um zu gucken, welcher Shop jetzt oder welches Land. Also wenn ich 25.000 Online-Shops habe, das ist ja wirklich… Ja. Und das Payment Gateway wird dann auch einfach ausgerollt. Wenn ich ein Payment Gateway habe auf das, was weiß ich, 20 Online-Shops laufen, dann ändere ich das und die 20 Online-Shops werden automatisch umkonfiguriert, jetzt auf das neue zu werfen? Also schon auch wirklich von Leuten, die ungefähr wissen, wie man sowas macht. So, jetzt... Kai schaut sich das an, teilt das mit Le Monde, teilt das mit Guardian. Guardian spricht mit Betroffenen. Kai schaut sich das Firmennetzwerk dahinter an. Was passiert denn jetzt? Ist der Server denn offline? Hat denn jemand Cloudflare Bescheid gesagt? Andere Wege auf Cloudflare? Behörden. Möchtest du sagen, in welchem Land diese Behörde? Das ist keine deutsche. Also erstmal muss man glaube ich dieses Geschäftsmodell dann doch echt mal mit Anerkennung auch irgendwie sehen, weil du machst halt so ein Kleinstverbrechen, für das am Ende niemand irgendwie, ja, also Kai Biermann ist natürlich irgendwie auch verärgert gewesen, Aber das hat jetzt die Familie nicht in Notstand versetzt, dass er 40 Euro für Doc Martens bezahlt hat. Ich meine sogar, das könnte noch ein zweites Mal passiert sein. Und aber, ne, das heißt, da gibt's dann irgendwie, ja, eine Medienkompetenzschulung für die gesamte Familie beim Kauf von Schuhen oder so, ja, aber der wird jetzt, der wird und in dem Fall, klar, ne, Kalbiermann, Investigativjournalist, der beißt sich fest und, legt diesen ganzen hängt diesen ganzen Laden draußen zum Trocknen auf, ja, aber ähm. Die meisten Leute werden sich vielleicht ärgern, sind aber in ihrer, werden nicht so viel Energie aufbringen. Und wenn du jetzt bei irgendwie bei der Dorfpolizei auftrittst und sagst, ich habe hier eine Regenjacke für 70 Euro bestellt, die ist nicht gekommen, dann sagen die im Zweifelsfall, ja, hatte ich auch schon mal, warte mal noch. Es gibt einfach überhaupt keinen Strafverfolgungsdruck irgendwo, der groß ist. Und dann kannst du das Ding auf Millionen skalieren. Du brauchst halt nur 25.000 Online-Shops. Ich muss schon sagen, dass ich da Anerkennung für habe, dass man das so hochzieht. Stripe wahrscheinlich nicht so bekannt oder vielleicht nicht allen Hörerinnen bekannt ist ein Payment Abwechslungsanbieter ich glaube einer der größten vielleicht sogar der größte vor allem.

Der beste also der wirklich funktioniert Funktioniert, so. Ja, die dementsprechend auch eine große Bedeutung haben. Also wird die von sehr vielen Webseiten benutzt. So Wirecard quasi.

Wirecard in echt.

Schwieriger Vergleich. Dann auch die Meta-Ebene benutzen.

Thrive ist in Ordnung, lass Thrive in Ruhe.

Ich wundere mich aber, dass die da nicht so empfänglich sind, weil das sollte ja nun eigentlich sehr in ihrem Interesse sein, aber keine Ahnung, was da so läuft.

I am a proud holder of the German Bundesverdienstcoin. Vielleicht. Aber 5000 ist ja verhältnismäßig wenig, wenn man jetzt so übliche Datenlecks anschaut. Also ein Online-Shop wird oder ein Leak ist gerne mal größer. Aber okay, die glauben dir nicht. Es gibt dann noch also ich meine am Ende sollte doch eigentlich derjenige Interesse daran haben, der den wirklichen Schaden hat. Also neben der Person, deren Geld weg ist. Jetzt hast du aber gesagt, die kriegen das potenziell von ihrer Bank zurück. Wo ich auch überrascht wäre, dass die Banken das tun. Aber wo in der Kette, wo sind denn jetzt, wo entsteht der, also ich würde sagen, größtenteils bei den Opfern entsteht der finanzielle Schaden. Dann vielleicht bei den Leuten, die denen Kreditkarten geben, also die Banken, kartenausgebenden Institute. Aber da ist es wahrscheinlich einfach schon viel zu divers, weil die über so und so viele Länder so und so viele Opfer haben, sodass bei denen kein ausreichend großer Leidensdruck entsteht. Genial. Lass uns das auch machen. Bei dieser Gelegenheit wollte ich nochmal empfehlen, LMP-Shirts könnt ihr bestellen.

Es gibt da so einen schönen Begriff in der Bankenwelt, den fand ich schon immer cool. Rentable Sicherheit. Also man macht das halt so sicher. Wie es sich rentiert. Also wenn halt irgendwie das Aussitzen von Credit Card Fraud weniger Geld kostet, als irgendwas zu unternehmen, so, dann wird halt ausgesessen. Das ist eine reine Kosten-Nutzen-Analyse.

Und es ist ja auch tatsächlich, du sagst das immer so, als wäre das zynisch oder falsch. Du kaufst doch auch nur ein Fahrradschloss, was auf jeden Fall weniger als das Fahrrad kostet.

Wann klang das jetzt so zynisch?

Ich weiß es nicht.

Ich wollte nur diesen Begriff mal einfach in den Raum werfen, dass der halt so existiert. In gewisser Hinsicht ist er ja auch nachvollziehbar. Nur der potenzielle Schaden hier ist ja, dass sozusagen solche kriminellen Aktivitäten nicht runtergefahren werden. Obwohl man ja im Prinzip das sehr gut belegen kann. Ich meine, warum lehnen die dich mit 5000 Kreditkarten ab, weil sie dir nicht glauben? Du kannst sie ja hochladen, dann können sie es ja selber überprüfen.

Du kannst aber in das Beschwerdefeld nur 4000 Zeichen eingeben.

Ja gut, aber ich meine, da könnte man ja auch einen anderen Vorgang für vorsehen.

Da haben die dann einen Captcha, wenn du jetzt da anfängst.

Aber du bist ja ein Roboter. Tja, naja, also auf jeden Fall ist hier noch einiges zu optimieren in diesen ganzen Meldungsprozessen.

Ich kann mir vielleicht ein bisschen außen vor gehalten. Ich glaube schon, dass ein größerer Teil der Leute, die halt irgendwie aktuelle Mode bestellen, potenziell auch jünger sind und nicht so hohe Einkommen haben und es für die dann vielleicht doch schon ein Treffer ist, wenn sie da mal um 40 Euro oder 70 Euro verarscht werden, oder? Oder genau umso nicht. So, jetzt also Google hat kein wirkliches Interesse, Cloudflare hat kein wirkliches Interesse, bei Stripe sind sie auch nicht aufgesprungen, PayPal nicht, die Banken nicht.

Jupp, keinen.

Die Verbraucherzentrale hat einen Fake-Shop-Finder. Ich hätte halt jetzt gedacht, okay, haben die beispielsweise eine Blacklist, die ich dann in meinen DNS-Server einbauen kann, also in meinen, wie heißt das denn hier, der DNS-Server, den eigentlich alle haben, ich will jetzt RetroPie heißen, aber der heißt ja Piehole, genau. Genau. Pi holt den klassischen hier DNS-Server, den man sich zu Hause hinstellt, mit Werbeblocken. Dann könnte ich ja auch mal die ganzen Fake-Shops dazu packen. Vermutlich verkaufen die einfach auch keine Produkte, wo ich Gefahr laufe, dass ich sie kaufe. Okay, aber wir könnten auch einfach das Ding auf GitHub hauen, in dem Format, für eine Host-File und dann... Oder wo jetzt schon wieder jemand anders einen Fake-Shop hat, das sind dann gar nicht mehr die, sondern die Konkurrenz. Ja, was war der Moment, den du am beeindruckendsten fandest? Du hast jetzt sich viele Monate on and off damit auseinandergesetzt. Und dann dahinter die Orchestrierung, die dafür sorgt, dass diese Webshops sich alle gleich sind und zentral gesteuert werden. Auf einem Server hattest du glaube ich gesagt so 200 Webshops teilweise auf einem? Ui. Warum mache ich denn unterschiedliche IP-Adressen auf den Server? Brauche ich doch heutzutage gar nicht mehr. Also ich könnte ja entsprechend... Auch mit TLS problemlos alle auf der gleichen IP laufen lassen. Okay. Gut, die werden sicherlich kein Geld verschwendet haben. Und dann, als du gesehen hast, wie viel Kohle die damit machen? Dass du online so viel bestellst.

Nicht jeden Tag. Siehst du das auf deinem Konto? Wie viele Tage siehst du denn das auf deinem Konto? Du überweist es immer schnell, woanders hin.

Und hast du dir da mal irgendwie Gedanken drüber gemacht, dass du da jetzt die ganzen armen chinesischen Webdeveloper, die davon bezahlt werden, dass du denen jetzt Probleme machst? Hast du da gar kein Gewissen? Das legt sich. Also es gibt einfach viele schöne andere Länder. Seitdem ich nicht mehr in die USA reise, habe ich so viele tolle andere Länder kennengelernt. Das ist schon in Ordnung. Türkei bereise ich auch nicht mehr. Da gibt es tolle, Griechenland zum Beispiel. Okay. Ja, eine spannende Sache. Ich glaube, wir müssen noch eine Offenlegung machen. Man muss das an so einer Stelle, eine Offenlegung machen. Ja, das wäre ganz gut.

Ich habe nichts damit zu tun.

Tim hat nichts damit zu tun, ich schon. Wir haben eigentlich seitdem Kantorkel da dran ist, ist natürlich sowieso drüber geredet. Ich habe aber jetzt keine nennenswerten Beiträge geleistet, außer klugen Rat. Besonders klugen Rat eigentlich. Immer. Und wir arbeiten zusammen. Das wurde auch von unserem Arbeitgeber oder von unserer Firma entsprechend veröffentlicht.

Genau.

Das ist dein Problem, wenn du dir die Arbeitszeit nicht wiederholst. Ne, klar, sowas macht man natürlich nicht wirklich im 9-to-5-Ding und allein schon auf dem Camp hatten wir ja auch Urlaub. Aber solche Dinge macht man natürlich auch aus dem Antrieb, der über, was weiß ich, dass es mein Job hinausgeht.

Was ist denn so dein Antrieb? Was reizt dich denn da dran? Was ist denn so dein inneres Belohnungssystem? Weil bezahlt worden bist du dafür ja jetzt in dem Sinne nicht.

Und das finde ich ja auch ganz spannend, dass du diese Informationen, die du jetzt mehr oder weniger chronologisch, so wie sie im Kontext sind, wiedergibst, die hast du ja zusammen mit deinem Team über die Zeit nach und nach entdeckt. Das war ja nicht am ersten Tag auf einmal klar, sondern ganz im Gegenteil. Am Anfang war nur, es gibt Online-Shops, ja okay.

Alright Dann sind wir eigentlich durch soweit, können wir jetzt den Bollerwagen vollladen und endlich losziehen Jetzt.

Geht's an den See.

Ein bisschen rumpaulen, wie man das so macht heute. Naja, ich gehe jetzt erstmal ans Schneidegerät. Man muss jetzt nachsitzen, weil du so viel Privatsport betrieben hast.

Nee, es war, also tatsächlich, ich habe ja am Anfang schon gesagt, dass wir mit diesen Feiertagen durcheinander gekommen sind. Und es war bei dieser Veröffentlichung auch eines der Themen, dass Kai Biermann der festen Überzeugung war dass der 9. Mai in Berlin ja kein Feiertag ist oder nee, nur in Berlin ein Feiertag ist, weil das der Kampftag der Frauen ist und den anderen nicht machen und deswegen die Zeit am 9. Mai natürlich erscheint und dann kurzfristig so sagt er so was ich noch sagen wollte die erscheint doch am 8. Die Print, das ist ja ein Printzeit ganzseitig Artikel und dann durften Le Monde und Guardian sagen, ja okay, dann schreiben wir es schneller, um das früher zu machen und Matthias hat sich einen schönen Call auf heute 15 Uhr gelegt, weil es ja kein Feiertag ist.

Oh Mann, ey.

Zu spät gesehen. Ja.

So, vielen Dank, Kantorkel, für die Ausführung, für deinen dokumentierten Hacksport.

Nein, Obtain. Achso, wir haben das gar nicht aufgeklärt.

Obtainerism.

Warum wir die ganze Zeit Obtained sagen? Weil wir haben die ja nicht gehackt. Und in dem Zeitartikel steht dann zum Beispiel drin so ein größeres Datenleck, das Zeit einsehen konnte. Wir haben die Daten. Und im Guardian-Artikel steht, Security Research Labs and IT Security Consultancy, who obtained gigabytes of data. Und dieses obtained finde ich halt sehr schön, weil, ja, obtained.

Das würdest du wie übersetzen in dem Zusammenhang?

In dem Besitz gekommen sind. Ja, zugefallen ist es. Obtained. Wo hast du das her? Obtained. Ja. Und das finde ich... Ja, ich hab den Obtained.

Jetzt muss ich mir doch noch mal anschauen, was so für Übersetzungsoptionen...

Erhalten, Erlangen, Erlangen.

Besorgen, abrufen, erwirtschaften, bekommen, akquirieren.

Bekommen. Obtänt.

Ich hab das nicht geklaut, ich hab das akquiriert.

Wie kommt dieses Gras?

Ich bin kein Dieb, ich bin in der Akquise tätig.

Woher haben Sie den Gras in Ihrer Tasche? Den hab ich obtained. Den hab ich obtained.

Oh Mann.

Ja genau, aber deswegen ist für mich auf jeden Fall seit dem Release gestern von des Guardians Articles, ich freue mich, dass ich das Ding einfach nur obtain.

Okay.

Can we obtain access to this box? I obtained data.

Gut, Schluss jetzt mit dem Wortwitz hier. Das wird das alles wieder zu albern. Das ist ein ernstes Magazin hier, was wir hier produzieren. Sagen wir tschüss?

Vielen Dank, schönen Vatertag.

Genau. Oder was er sonst noch so feiert. Bis bald.

Ciao, ciao.