Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP497 Real men use it after free()

El Hotzo — LNP500 — SUBSCRIBE 11 — US-Wahlen — Crowdstrike — Identify Mobile — AI Act Timeline — Bargeld-Limits bei Geldkarten — Huawei-Verbot — Datarade

In dieser Sendung ist uns nichts heilig und wir klappern die derzeitigen Datenskandale ab und erklären auch noch mal genauer, was dazu geführt hat, dass ein Fehler in der Software von Crowdstrike mal eben 8,5 Millionen Windows-PCs außer Gefecht gesetzt hat. Dann diskutieren wir die Ereignisse des US-Wahlkampfs die durch die Berufung eines shady Kandidaten für das Vizepräsidenten-Amt durch Trump und den Verzicht auf die Kandidatur durch Joe Biden gleich mehrere Wendungen in einer Woche erhalten hat. Besonders schauen wir auf das Wirken von Big-Tech-Milliardären hinter den Kulissen, die mit ihren zweifelhaften Vorstellungen über unsere Gesellschaft eine ganz neue Bedrohung darstellen.

https://logbuch-netzpolitik.de/lnp497-real-men-use-it-after-free
Veröffentlicht am: 29. Juli 2024
Dauer: 2:11:04


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:32.074
  3. El Hotzo fliegt raus 00:01:39.708
  4. LNP500 00:11:58.711
  5. SUBSCRIBE 11 00:13:47.339
  6. US-Wahlen 00:17:03.433
  7. Crowdstrike 00:40:16.571
  8. Identify Mobile 01:22:48.065
  9. AI Act Timeline 01:39:54.397
  10. Bargeld-Limits bei Geldkarten 01:50:56.026
  11. Huawei-Verbot 01:52:25.221
  12. Datarade 01:59:02.803
  13. Epilog 02:07:45.498

Transkript

Tim Pritlove
0:00:00
Linus Neumann
0:00:01
Tim Pritlove
0:00:02
Linus Neumann
0:00:08
Tim Pritlove
0:00:32
Linus Neumann
0:00:44

Ja.

Tim Pritlove
0:00:44
Linus Neumann
0:00:45
Tim Pritlove
0:00:47
Linus Neumann
0:00:48
Tim Pritlove
0:00:56
Linus Neumann
0:01:01
Tim Pritlove
0:01:06
Linus Neumann
0:01:07
Tim Pritlove
0:01:14
Linus Neumann
0:01:17
Tim Pritlove
0:01:27
Linus Neumann
0:01:28
Tim Pritlove
0:01:34
Linus Neumann
0:01:35
Tim Pritlove
0:01:48
Linus Neumann
0:02:03
Tim Pritlove
0:02:04
Linus Neumann
0:02:05
Tim Pritlove
0:02:08
Linus Neumann
0:02:19
Tim Pritlove
0:02:43
Linus Neumann
0:03:34
Tim Pritlove
0:03:35
Linus Neumann
0:03:40
Tim Pritlove
0:03:45
Linus Neumann
0:03:46
Tim Pritlove
0:03:49
Linus Neumann
0:04:02
Tim Pritlove
0:04:30
Linus Neumann
0:04:34
Tim Pritlove
0:04:37
Linus Neumann
0:04:38
Tim Pritlove
0:04:55
Linus Neumann
0:05:03
Tim Pritlove
0:05:35
Linus Neumann
0:05:42
Tim Pritlove
0:05:44
Linus Neumann
0:05:49
Tim Pritlove
0:07:14
Linus Neumann
0:07:15
Tim Pritlove
0:07:18
Linus Neumann
0:07:20
Tim Pritlove
0:07:22
Linus Neumann
0:07:25
Tim Pritlove
0:08:19
Linus Neumann
0:08:36
Tim Pritlove
0:09:53
Linus Neumann
0:10:01
Tim Pritlove
0:10:07
Linus Neumann
0:10:29
Tim Pritlove
0:10:31
Linus Neumann
0:11:01
Tim Pritlove
0:11:42
Linus Neumann
0:11:57

Ja.

Tim Pritlove
0:11:59
Linus Neumann
0:12:10
Tim Pritlove
0:12:24
Linus Neumann
0:12:25
Tim Pritlove
0:13:06
Linus Neumann
0:13:08
Tim Pritlove
0:13:42
Linus Neumann
0:13:47
Tim Pritlove
0:13:56
Linus Neumann
0:13:57
Tim Pritlove
0:13:58
Linus Neumann
0:13:59
Tim Pritlove
0:14:00
Linus Neumann
0:14:12
Tim Pritlove
0:14:17
Linus Neumann
0:14:18
Tim Pritlove
0:14:19

Ja, das ist sagen wir mal das günstige Ticket, so der normale Preis sind 125. Das ist halt ein, also bei der Subscribe ist es ja so, das ist ja das Wochenende und das finanziert das ganze Wochenende und das finanziert aber auch das Essen. So, das heißt da ist die Vollverpflegung mit dabei. Das haben wir irgendwann mal eingeführt, nachdem wir auf der Veranstaltung immer so, was weiß ich, versucht haben kollektiv in irgendein Restaurant zu marschieren. Es war aber immer völlig anstrengend, hat ewig gedauert, die Koordination war schwierig und so und dann haben wir halt irgendwann angefangen einfach das Catering auf die Veranstaltung zu holen, was am Ende auch nicht sehr viel mehr gekostet hat und gerade wenn du halt jetzt in der Umgebung dieser Locations sehr variierende Qualitäten hast, du kennst das, ist man eigentlich ganz froh und das gemeinsame Essen ist ja auch nochmal so ein Faktor. Also von daher ist das so ein rundum glücklich Tarif, allerdings haben wir ein großes Verständnis dafür, dass auch Leute teilnehmen, die es vielleicht nicht ganz so dicker haben, wo vielleicht schon die Anreise eine Herausforderung ist. Generell, wenn ihr ein Problem habt mit der Finanzierung eurer Teilnahme, meldet euch. Und wir haben so eine Varietät an Ticketoptionen, je nachdem, wie gut es euch geht. Und dann, wer halt mehr zahlt, finanziert die günstigeren Tickets mit. Aber wie das halt immer so ist, man muss so eine Balance schaffen zwischen... Was will man haben, weil am Ende wir haben halt das ganze Veranstaltungszentrum, gemietet, die Technik, die dazukommt und der sonstige Aufwand und das muss halt auch irgendwie bezahlt werden, sonst zahle ich das alles am Ende.

Linus Neumann
0:15:56
Tim Pritlove
0:16:07
Linus Neumann
0:16:12
Tim Pritlove
0:16:24
Linus Neumann
0:16:46
Tim Pritlove
0:17:00
Linus Neumann
0:17:01
Tim Pritlove
0:17:40
Linus Neumann
0:17:43
Tim Pritlove
0:18:15
Linus Neumann
0:18:25
Tim Pritlove
0:18:34
Linus Neumann
0:19:44
Tim Pritlove
0:19:48

Ja und es war natürlich auch sehr schmerzhaft so das Gefühl zu haben, dass jetzt so der Einzige, der so bisher den Eindruck macht, der könne Trump noch etwas entgegensetzen, jetzt auf den letzten Metern so dermaßen schwächelt, dass viele Leute abgetörnt sind von dieser Wahl. Weil man muss auch immer wieder sehen, während wir halt das ganz anders bewerten, dadurch, dass wir so involviert das alles verfolgen und zu allem eine klare Meinung haben, gilt das nicht unbedingt für die meisten Wähler. Sondern die meisten Wähler, vor allem auch in den USA, wollen im Wesentlichen immer in Ruhe gelassen werden und da muss man sich schon irgendwie besonders motivieren. Und letztes Mal hat die Motivation noch ausgereicht, weil man nach dieser Trump-Era halt irgendwie... Einfach die Schnauze voll hatte von dem Typen und da war insbesondere im liberalen Amerika die Motivation hoch, aber ob diese Motivation so hoch gehalten werden konnte mit Biden, das stand stark im Zweifel. Naja, und dann wurden die Stimmen immer lauter, die gesagt haben, hör mal, wir müssen da mal was ändern, denk mal drüber nach, was du ändern könntest. Unter anderem sogar Nancy Pelosi, die jetzt auch nicht gerade für ihre Jugendhaftigkeit bekannt ist, aber zumindest nicht mehr im Amt. Und ja, dann war schon klar, dass der Druck von innen doch anstieg. Und am Ende wird es sicherlich eine Mischung gewesen sein aus, ja, keine Ahnung, Selbsterkenntnis und die Kraft der Umfragen, die Joe Biden dazu gebracht haben, dann doch das Handtuch zu werfen und im selben Zuge seiner Vizepräsidentin das Zepter in die Hand zu reichen. Und das scheint ganz gut funktioniert zu haben, denn binnen kürzester Zeit haben alle entdeckt, dass Kamala Harris doch deutlich mehr Schwung in der Hüfte hat als Joe Biden. Das kann man glaube ich so festhalten.

Linus Neumann
0:21:50
Tim Pritlove
0:22:44
Linus Neumann
0:22:45
Tim Pritlove
0:23:12
Linus Neumann
0:23:42
Tim Pritlove
0:24:32

Gut, also man darf natürlich jetzt das rechte Lager nicht unterschätzen. Die werden sich schon noch ein bisschen was einfallen lassen, aber man merkt schon stark, dass sie jetzt auf dem linken Fuß erwischt wurden mit dem Ganzen. Andererseits, so populär jetzt Kamala Harris im demokratischen Lager ist, umso mehr stellt sie natürlich durch ihre politische Ausrichtung auch eine Gefahr dar. Ja, weil sie kommt halt aus Kalifornien, sie ist halt ganz klar eine Vertreterin des liberalen Spektrums. Dazu kommt natürlich dann noch Frau, also was auch ein Vorteil ist jetzt bei den Demokraten, ist natürlich dann auch wiederum bei den Republikanern schnell auch ein rotes Tuch. Sie ist ja die Tochter eines Mannes aus der Karibik und die Mutter aus Südindien. Wenn ich das richtig erinnere. Das ist sozusagen so ihre Mischung, ist aber in der schwarzen Kultur in Amerika groß geworden. Ähm, was man ja auch anmerkt, finde ich, also er hat den Schmiss und die Werbe, die dort ja auch immer wieder zu finden ist, aber jetzt muss sie natürlich es auch schaffen, dem konservativen Spektrum Amerikas ein Angebot zu machen, um eben diese Mitte der ungebundenen Wähler zu erlangen, insbesondere eben in diesen genannten Swing States, die halt alle mehr so in der Mitte des Amerikas liegen, das sind dann so Städte, Staaten wie Pennsylvania, Michigan, Arizona gehört dazu, ich kriege es jetzt gerade gar nicht so zusammen, was in der aktuellen Wahl alles an Swing States definiert wird, Aber das sind so ganz wichtige Staaten in dem Zusammenhang und jetzt warten alle sehr gespannt darauf, wen sie denn zum Vizekandidaten macht und das wird wahrscheinlich ein weißer Mann aus einer dieser Staaten sein. ein. Wer es werden wird, weiß ich nicht. Ich glaube, die Wahl dürfte sich im Wesentlichen zwischen zwei Kandidaten entscheiden. So diesem Shapiro, das ist der Gouverneur von Pennsylvania. Pennsylvania ist für sie ein ganz wichtiger Staat, den sie unbedingt gewinnen muss. Und dann gibt es noch diesen Mark Kelly aus Arizona, der ja auch Astronaut ist oder war. Also kann auch noch dritte oder vierte Person in Frage kommen, wird man dann sehen. Aber Aber womit sich definitiv Trump ein Ei gelegt hat, das ist sein Vizepräsidenten-Pick, der J.D. Vance. Und über den müssen wir mal reden, weil der Typ ist wirklich ein Phänomen. Der Typ war halt vor zwei Jahren noch überhaupt gar kein Politiker. Der ist nicht schon immer Politiker gewesen, sondern der ist vor anderthalb Jahren in Ohio dann eben bei den Midterms als Senator angetreten und letzten Endes auch gewählt worden. Kam aber mehr oder weniger aus dem Nichts. Das einzige, wofür man ihn kannte, war, dass er mal ein Buch geschrieben hat. Was so ein bisschen erfolgreich war, also sehr erfolgreich war, so ein Bestseller wurde und so ein bisschen so eine Story war aus dem mittleren Westen und seinem Leben etc. Hillbilly Allergy hieß das. Und interessanterweise ist er dann aber auch in den letzten Jahren eher so als Never-Trumper bekannt gewesen. Also man meinte, Trump wäre ja eine große Gefahr und er wäre ja irgendwie der neue Hitler und so weiter. All das ist mittlerweile vergessen und Trump hat ihn jetzt zum Vizepräsidenten gekürt und man fragt sich halt wirklich, warum eigentlich?

Linus Neumann
0:28:34
Tim Pritlove
0:28:35
Linus Neumann
0:28:48
Tim Pritlove
0:29:18
Linus Neumann
0:29:38
Tim Pritlove
0:30:39

Er gründet auch ganz viele Firmen, die alle irgendwie Namen aus dem Herr-der-Ringe-Buch erhalten, so auch dieses Palantir und JD Vance war dann auch in einer oder mehrerer dieser Unternehmen in irgendeiner Form tätig oder zumindest war er offiziell tätig. Leute, die da gearbeitet haben, können sich nicht daran erinnern, dass er irgendwie nennenswert oft aufgetaucht hat oder irgendetwas getan hat. Ist so ein bisschen vollkommen unklar, was eigentlich Thiel mit ihm jetzt so vorhatte, aber in irgendeiner Form passte er halt sozusagen da in seinen Plan mit rein. Hat ihn dann, wie gesagt, zum Senator gemacht, indem er da seinen Wahlkampf mit 15 Millionen Dollar unterfüttert hat und das hat dann eben auch funktioniert in Ohio, kurz da diese Wahl zu gewinnen. Vans hat auch selber so eine Venture-Kapitalfirma versucht zu starten das lief nicht so gut, das einzige Projekt war wohl irgendwie diese Rumble, diese rechtslastige Rumble-Videoplattform irgendwie zu pushen, das war alles nicht sonderlich erfolgreich, Naria Capital Investment ist so sein Laden gewesen oder ist es noch, ich weiß nicht, ob es den noch gibt, da hatten dann auch so, Google-Papst Eric Schmidt mit und Marc Andresen, der ja auch schön freidreht, wir erinnern uns damals noch, Netzgebt, Navigator, Programmierer, so ihre Kohle mit drin. Naja, und so als Politiker tritt halt Vance jetzt auf für. Antikryptoregulierung, also man soll doch jetzt bitte keine Gesetze gegen Bitcoin erlassen, etc. Und ist aber dann auch ein starker Proponent der Russen, indem er halt die ganze Zeit gegen die Ukraine abledert und die Unterstützung der Ukraine im Krieg gegen Russland halt irgendwie dagegen ist.

Linus Neumann
0:32:37
Tim Pritlove
0:33:23
Linus Neumann
0:34:37
Tim Pritlove
0:35:25

Ich kann dir das im Einzelnen nicht erklären. Es ist nur so, dass sie das tun und offensichtlich ganz andere Ziele zu haben scheinen. Das hat ja auch sehr viel mit dieser ganzen AI-Bewegung zu tun und dieses Gefasel über General Intelligence. Da teilt sich das so in zwei Welten. Die, die sagen, alles wird ganz schlimm und der Weltuntergang droht und die anderen, die sagen, ja, das ist aber jetzt alles ganz wichtig und wir müssen das unbedingt nach vorne bringen. Das sind auch alle so gesplittete Botschaften, die aber irgendwie alles zusammengerührt, also so eine Denkrichtung vorgeben, die schon so ein bisschen so Kultcharakter hat. Es gibt da auch einen Begriff, der daraus schon abgeleitet worden ist, der letztes Jahr so geprägt wurde. Das ist so eine Zusammenstellung aus Transhumanismus, Extropianismus, Singularitarianismus, Kosmismus, Rationalismus, diesem ineffektiven Altruismus, was ja im Wesentlichen so wir, nicht der Staat oder so entscheidet, wohin jetzt die Gelder gehen sollen. Sondern die reichen Leute machen das irgendwie selber, weil die das ja viel effizienter machen können und so. Und dann irgendwie dieser Long-Termism. Also langfristige Ziele sind jetzt wichtig. Kurzfristig kann auch mal alles den Bach runtergehen. Umweltschützen sind jetzt alles viel zu kurzsichtige Ziele. Ich kann ja das alles in der Tiefe nicht erläutern, aber das sind so Dinge, die sich dort gerade abspielen abspielen und die sich in irgendeiner Form in Silicon Valley konzentrieren und mit dem ganzen Geld und dem Einfluss, den diese Leute mittlerweile haben, beschicken sie halt jetzt die Politik und selbstverständlich verfangen solche bekloppten Ideen sehr viel besser mit durchgedrehten Republikanern, als mit noch so halbwegs mit dem Boden in Kontakt stehenden Demokraten.

Linus Neumann
0:37:31
Tim Pritlove
0:38:12
Linus Neumann
0:38:41
Tim Pritlove
0:38:43

Ja, das ist dieses Hillbilly Elegy, so spielt das eigentlich überhaupt gar keine Rolle mehr. Leute lesen ja eh nicht. Er war halt bei diesem RNC, also da wo jetzt Trump offiziell zum Kandidaten gewählt wurde, hat er halt versucht eine Rede zu erhalten. Das war so ein Trainwreck. Also er hat irgendwie versucht da einen Witz zu machen. Keiner hat auch nur reagiert, obwohl die alle da so gehypte Trump-Fans waren. Das musst du dir mal anschauen, und wie er versucht hat, da irgendwie so einen Mountain-Dew-Joke rauszuhauen. Das war schon fast peinlich. Oder was heißt fast, das war sehr peinlich. Der Typ bringt halt nichts. Und vor allem, er quatscht halt jetzt nur Trump nach. Das heißt, Trump hat sich jetzt sozusagen jemanden geholt, der genauso radikal ist und genauso einen Unsinn von sich gibt wie Trump selber, macht aber dieser Mitte kein Angebot. Wenn also jetzt Kamala Harris mit einem entsprechend klugen weißen Präsidentenpick hier kontert, dann hat Trump das Problem, dass er sich im Prinzip... Kamala Harris zu bekämpfen, die falsche Person gesucht hat. Er wollte halt über das Alter gehen, deswegen hat er sich gedacht, na dann nehme ich doch hier mal so einen 39-Jährigen, das passt schon irgendwie. Jüngster Vizepräsidentenkandidat bisher überhaupt. Und das scheint so ein bisschen nach hinten loszugehen. Aber wir sehen ja auch, wie der News-Cycle funktioniert. Dachten wir vor zwei Wochen noch so, oh Attentat, das wird jetzt das Thema, die nächsten drei Monate bestimmen, redet da jetzt schon fast keiner mehr drüber.

Linus Neumann
0:40:10
Tim Pritlove
0:40:14
Linus Neumann
0:40:15
Tim Pritlove
0:40:20
Linus Neumann
0:40:24
Tim Pritlove
0:40:42
Linus Neumann
0:40:44
Tim Pritlove
0:41:08
Linus Neumann
0:41:09
Tim Pritlove
0:41:10
Linus Neumann
0:41:11
Tim Pritlove
0:41:30
Linus Neumann
0:41:32
Tim Pritlove
0:41:32
Linus Neumann
0:41:35
Tim Pritlove
0:41:42
Linus Neumann
0:41:45

Genau, was ist da überhaupt genau passiert? Also es gibt ein Betriebssystem. Also Computer haben Betriebssysteme. Verbreitete Betriebssysteme sind Linux, Windows und ein paar BSD-Derivate, von denen beispielsweise macOS auch eines ist. Ja, also eigentlich gibt es relativ wenige Betriebssysteme. Aber was macht überhaupt ein Betriebssystem? Abgesehen davon, dass es unten eine Startleiste hinmacht oder einen Finder oder oben links irgendwie einen Pinguin, ja, ist der Betriebssystem Kern dafür da, dass der Computer überhaupt unterschiedliche Programme gleichzeitig ausführen kann, dass man die starten kann und sonstige. Also sonst könnte der Prozessor, wenn man jetzt kein Betriebssystem hätte, könnte der nur ein Programm ausführen, nämlich das, was ich ihm gebe und dann führt der das aus. Und das Betriebssystem ist dafür da, dass das Ausführen mehrerer Programme gleichzeitig, mehrerer Prozesse gleichzeitig zu verwalten und darüber vielleicht auch so eine gewisse…. Herrschaft zu halten. Das ist erstmal ein Betriebssystem. Hat eigentlich fast jeder Computer, aber nicht wirklich jeder. Also wenn man jetzt irgendwie alte digitale Uhren nimmt oder so, die haben kein Betriebssystem, sondern die haben das eine Programm, was sie machen. Und das also ist die Idee des Betriebssystemkernes, ist das Starten anderer Programme zu ermöglichen, zu verwalten und eine einheitliche welche Umgebung für diese Programme bereitzustellen ist. So zum Beispiel, dass du sagst, ich bin das Betriebssystem und bei mir gibt es eine Maus. Und die kann ich dir zum Beispiel bereitstellen, weil ich habe einen Treiber dafür und jedes Programm, was im Kontext meines Betriebssystems ausgeführt wird, das kann potenziell mit dieser Maus interagieren über ein Standardinterface. ist. Sonst müsste jedes Programm wiederum mit jeder Maus umgehen können. Aber dadurch, dass das Betriebssystem diese Umgebung bereitstellt, können, Programme sich in diesem Betriebssystem verhalten und werden dann eben für ein Betriebssystem geschrieben, das wiederum mehrere Tastaturen, mehrere Mäuse, was weiß ich, irgendeinen Drucker und so weiter bereitstellt. Würdest du sagen, das habe ich halbwegs richtig erklärt, was ein Betriebssystem ist?

Tim Pritlove
0:44:12
Linus Neumann
0:44:14
Tim Pritlove
0:45:43
Linus Neumann
0:45:57
Tim Pritlove
0:45:58
Linus Neumann
0:45:59
Tim Pritlove
0:46:11
Linus Neumann
0:46:18
Tim Pritlove
0:47:47
Linus Neumann
0:47:50

Ja, aber halt wirklich hart verwurzelt, wirklich im tiefsten Inneren des Betriebssystems. Und dafür stellt dieses IDA CrowdStrike einen Treiber bereit mit Kernelrechten und eben auch, der ist ein Bootstart-Driver, das heißt, der muss geladen werden. Du könntest jetzt auch einen Treiber machen, wenn der nicht Bootstart ist und das Betriebssystem sagt, okay, ich versuche mal diesen Treiber zu laden, geht schief, dann lassen wir es eben sein, dann gibt es eben keinen Drucker. Nicht jeder Treiber ist in der Lage, einen Blue Screen of Death herbeizuführen. Und jetzt muss dieses IDA, das macht also zwei Dinge, guckt dem Betriebssystem zu, um Schadsoftware und schädliche Aktivitäten zu finden, hat dabei natürlich eine ganze Reihe von Heuristiken und Definitionen, die sich die ganze Zeit ändern. Was jetzt ein IDA außerdem noch hat und was ich tatsächlich sehr, sehr hilfreich finde in Incidents beispielsweise. Es füttert halt auch alle mögliche Telemetrie an so eine Cloud und wenn du jetzt einen Indicator of Compromise hast und weißt, Okay, ich habe hier, sagen wir mal, 1000 Windows-Rechner, von denen, weil sich einer ist infiziert, in dem Moment, wo du CrowdStrike ausrollst, steht im Prinzip in einem Web-Dashboard, welche anderen auch diese Indicators of Compromise haben. Oder wenn du jetzt eigene definierst und sagst, oh, was weiß ich, diese und jene IP-Adresse ist irgendwie problematisch oder eine Datei mit diesem Hash ist problematisch, dann kannst du die kollektiv auf all diesen Rechnern suchen, statt von allen Festplattenabbilder zu ziehen und so. Das ist also ein sehr hilfreiches Tool in der Bekämpfung und Eindämmung von Incidents. Ohne sowas stehst du sehr, sehr ungünstig da. Und es ist auch ein sehr hilfreiches Tool, dabei Infektionen klassischer, bekannter oder klassische, bekannte böse Aktivitäten auf deinem Betriebssystem zu detektieren. Hier. Hat aber eben den Nachteil, das Ding funkt die ganze Zeit nach Hause und es kriegt von zu Hause Updates. Natürlich kriegt es die ganze Zeit Updates, weil sich ja die böse Aktivität der Angreifer die ganze Zeit weiterentwickelt. Es gibt ja immer wieder neue Indicators of Compromise, auf die so ein Crowdstrike dann reagieren muss. Jetzt haben die also folgendes Problem, jetzt haben die diesen Treiber, der auf höchsten Privilegien im Betriebssystem hängt und wollen den potenziell regelmäßig mit Updates versorgen. Das machen sie aber natürlich nicht, weil dafür wäre potenziell irgendwie Neuladen des Treibers oder Neustart notwendig. Also liest dieser Treiber.

Tim Pritlove
0:50:42
Linus Neumann
0:50:47
Tim Pritlove
0:51:55
Linus Neumann
0:52:04
Tim Pritlove
0:52:57
Linus Neumann
0:53:01
Tim Pritlove
0:53:04
Linus Neumann
0:53:07
Tim Pritlove
0:53:15
Linus Neumann
0:53:16
Tim Pritlove
0:53:19
Linus Neumann
0:53:21

Auf jeden Fall stand etwas drin, was dazu geführt hat, dass dieser Crowdstrike-Treiber irgendwo über seinen, irgendwie einen falschen Speicherzugriff hatte und in dem Moment ist dann halt das gesamte Betriebssystem abgeschmiert. So. Wie kriegst du das Problem gelöst? Du startest Windows im abgesicherten Modus. Und der abgesicherte Modus heißt so, weil er diese ganzen Treiber nicht lädt. Der ist also genau für den Fall da. Dafür gibt es den abgesicherten Modus. Irgendetwas, was Teil des Betriebssystems ist, verhindert einen normalen Start. Dann gehst du in den abgesicherten Modus, wird alles nicht geladen. Hast du eine Tastatur, hast du eine Maus und 16-Bit-Farben oder was auch immer. Und kannst dann das System reparieren. In dem Fall, in dem du dieses Channel-File, C00, hast du nicht gesehen, 291, gelöscht hast. Es gab auch noch andere Anweisungen, irgendwelche Registry-Keys zu löschen, aber naja, wenn du die Datei gelöscht hast, hat der Crowdstrike-Treiber sie nicht gefunden, hat sie natürlich jetzt auch nicht wieder bekommen, weil Crowdstrike gemerkt hat, ach so, scheiße, die geben wir den Leuten lieber nicht. Damit war das Problem gelöst. Das Problem ist aber, wenn du jetzt sagen wir mal 600 Rechner hast und noch dazu nicht nur CrowdStrike, sondern BitLocker, die Festplattenvollverschlüsselung von Microsoft, die du natürlich eigentlich auf Laptops haben solltest, damit wenn du das Laptop verlierst, niemand die Festplatteninhalte einfach auslesen kann, kann, indem er, einen Linux von USB-Stick bootet oder die Festplatte rausschraubt oder so. So geschehen bei Leuten, die ich kenne und dann hattest du jetzt das Problem, dass du den BitLocker Recovery Key eingeben musst, der eine zufällige Buchstaben-Zahlen-Kombination für jeden Rechner einzeln ist und wenn du deine wenn du deinen Laden nicht vollständig unter Kontrolle hast, musst du eventuell sogar damit rechnen, dass du den gar nicht mehr hast. Und da übrigens fand ich sehr schön, es war jetzt das Problem, wie kriegst du diese ganzen Bitlocker-Codes eingetippt, weil wie gesagt, das sind Zufallszeichen seit der Kryptokie. Da haben Leute sehr schöne Lösungen gehabt und haben die einfach als Barcodes ausgedruckt und mit billigen Barcode-Scannern dann eingescannt. Ganz billige Barcode-Scanner funktionieren einfach als Human Interface Device, das heißt, die melden sich bei dem Rechner als Tastatur an und wenn die so ein Barcode scannen, dann geben die die Zeichen quasi als Tastatur aus und drücken danach Enter. Und da kannst du super mit arbeiten, kostet wenig Geld, hast natürlich die naheliegenden Probleme, wenn jetzt in dem Barcode steht, Tab, Windows-Taste, CMD, Run und dann irgendwie eine Schadsoftware oder so. Aber solange du ungefähr weißt, was du da scannst, kannst du mit den Dingern eigentlich ganz gut arbeiten.

Tim Pritlove
0:56:33
Linus Neumann
0:56:36
Tim Pritlove
0:57:36
Linus Neumann
0:57:41
Tim Pritlove
0:57:42
Linus Neumann
0:57:46
Tim Pritlove
0:58:58
Linus Neumann
0:59:00
Tim Pritlove
1:00:10
Linus Neumann
1:00:11
Tim Pritlove
1:00:45
Linus Neumann
1:00:50
Tim Pritlove
1:02:48
Linus Neumann
1:02:52
Tim Pritlove
1:04:05
Linus Neumann
1:04:13
Tim Pritlove
1:05:20
Linus Neumann
1:05:25
Tim Pritlove
1:05:27
Linus Neumann
1:05:30
Tim Pritlove
1:05:55
Linus Neumann
1:06:04
Tim Pritlove
1:06:09

Da

Linus Neumann
1:06:09
Tim Pritlove
1:06:13
Linus Neumann
1:06:14
Tim Pritlove
1:06:21
Linus Neumann
1:06:24
Tim Pritlove
1:06:40

Ist das bei C-Sharp auch noch ein Problem? Nee, ich glaube nicht. C-Sharp läuft ja schon mit VM und so weiter, da hast du das nicht mehr. Es ist im Wesentlichen C, C++, das ist so ein bisschen das Problem. Das ist unsere Legacy, die wir noch mittragen. In diesem Fall war es ja mal wieder so ein klassischer Sprung nach Null, wenn ich das jetzt richtig erinnere. Also es wurde quasi eine Instruktion ausgeführt, die so nicht hätte ausgeführt werden können, weil Speicher korrumpiert war. Mit anderen Worten, das Programm war mehr oder weniger in der Lage, sich selbst die Karten zu legen und damit einen Fehler auszuführen, wo halt der Prozessor nicht mit umgehen kann, woraufhin. Wiederum das Betriebssystem damit nicht umgehen konnte. Und moderne Programmiersprachen, also nahezu alle, haben dieses Problem dadurch gelöst, dass einfach dieser niedrigschwellige Zugriff auf die Hardware so überhaupt nicht mehr machbar ist. In C und seinem C++ hat man eben diese Kontrolle und das ist halt bei vielen Programmierern auch noch so ein bisschen so eine Religion, dass man ja diese Kontrolle unbedingt bräuchte, um wirklich alles bis aufs Letzte durch zu optimieren. Aber ich kann halt sagen, ein Computer, der ein ganzes Wochenende stillsteht, weil irgendwie das Betriebssystem gecrashed ist, schafft einfach bestimmte Aufgaben nicht besonders schnell. Da sollte man sich mal überlegen, was nicht vielleicht die bessere Sache ist. Was die Betriebssysteme betrifft, die natürlich alle noch aus dieser alten Zeit stammen und sehr, sehr, sehr langsam sich so in die Zukunft involvieren, da wird es noch eine ganze Weile dauern, bis man das komplett abgelegt hat. Es gibt Entwicklungen wie die Rust-Programmiersprache zum Beispiel, die dort neue Wege schafft, sowohl diesen Effizienzgedanken in irgendeiner Form aufrechtzuerhalten, aber auf der anderen Seite sicherzustellen, dass solche kaputten Speicherzugriffe nicht mehr stattfinden, beziehungsweise nicht fatal sind. Und höhere Programmiersprachen, die also ohnehin schon etwas abstrakter daherkommen, haben schon immer einen gewissen Preis bezahlt, was die maximale Performance betrifft, aber auf der anderen Seite... Können die technisch gar nicht so einen Fehler überhaupt erzeugen. Nur in dieser Treiber-Betriebssystem-Welt, da wird einfach noch sehr viel auf dem blanken Metall geputzt und das ist und bleibt auch noch für die ganze Zeit ein schwieriges Problem, aber ich finde auch die Softwareindustrie muss langsam mal erkennen, dass es vielleicht ganz sinnvoll wäre, mal kategorisch solche Fehler auszuschließen und das geht. Das ist kein Hexenwerk, sondern das ist möglich, sondern man muss sich entscheiden, modernere Werkzeuge zu verwenden, man muss sich da vielleicht auch mal mit den Betriebssystemherstellern auf dem Pfad einigen, wie man das auch gesichert in die Zukunft tragen kann und dann wird es auch irgendwann mal werden. Aber so wie es derzeit ist, kann ich nur sagen, also dieser Blogpost hat das schön zusammengefasst im Stile dieser Onion-Artikel, die sich in der Regel halt immer auf School-Shootings beziehen.

Linus Neumann
1:09:55
Tim Pritlove
1:10:18
Linus Neumann
1:10:39
Tim Pritlove
1:10:43
Linus Neumann
1:10:47
Tim Pritlove
1:10:51
Linus Neumann
1:11:00
Tim Pritlove
1:11:06
Linus Neumann
1:11:11
Tim Pritlove
1:11:39
Linus Neumann
1:11:44

Andere Produkte haben prinzipiell erstmal das gleiche potenzielle Problem. Ich habe schon gesagt, dass solche EDAs, XDAs sehr, sehr hilfreich sind. Und es gibt ja jetzt auch irgendwie einige besonders qualifizierte Leute, die dann irgendwie empfehlen, man sollte darauf verzichten. Das halte ich für äußerst falsch, also für äußerst unklug in so einer Enterprise-Umgebung. Also wenn du jetzt irgendwie, die Realität heutzutage ist, ist, dass du halt irgendwie ein Unternehmen betreibst, in diesem Unternehmen Microsoft-Rechner stehen und du willst da ein IDA drauf haben. Ob das jetzt Microsoft Defender ist oder ein Drittprodukt ist, am Ende relativ egal, aber du bist dem Problem, du musst ja in IT-Sicherheit dir immer überlegen, wie verringerst du Wahrscheinlichkeiten? Wie ersetzt du das Problem, was du hast, durch ein potenziell kleineres, das ist ja das, was man in IT macht, ist ja nicht so, dass man Probleme löst, sondern man schafft sich nur andere, die man besser kontrollieren kann und, ich würde sagen, in einer Umgebung, wo du jetzt so ein Enterprise-Umfeld, nicht unbedingt du jetzt zu Hause auf deinem Rechner, du, ich zu Hause würde, ich benutze sowas nicht, auf gar keinen Fall kommt mir sowas auf meinen Rechner, aber wenn du die Sicherheit eines Unternehmens, einer Organisation, einer Rechnerflotte sicherstellen willst, dann kommst du nicht drum herum, irgendwie so etwas zu haben. In einem größeren Unternehmen, wo du davon ausgehen musst, dass die Wahrscheinlichkeit, dass etwas angeklickt und ausgeführt wird, einfach mal eins ist.

Tim Pritlove
1:13:36
Linus Neumann
1:14:49
Tim Pritlove
1:15:57
Linus Neumann
1:16:09

Genau und noch dazu hast du... Es ist gut, dass wir das nochmal ansprechen, weil das eben fundamental, das fundamentale Problem ist, warum solche Systeme, EDAs und so weiter kritisiert werden, weil sie diese hohen Zugriffsprivilegien haben und während sie dort sind, die ganze Zeit dynamisch in dem, was sie tun, verändert werden können. Und es wäre jetzt beispielsweise für dieses CrowdStrike Falcon durchaus jetzt einfach zu sagen, hier gibt es eine neue Regel und die lautet, wenn bestimmte Worte in einer Datei sind, schickt die mal bitte zur Analyse an uns an die Cloud. Und es ist aufgrund der Tiefe, wie es im Betriebssystem drin hängt, auch ein perfektes Spionagewerkzeug. Was auch erklären könnte, warum man sich darüber so große Gedanken macht, wenn so etwas von russischen Unternehmen kommt oder so. Also Kaspersky zieht sie aus dem US-Markt zurück. Es gibt in bestimmten Hochsicherheitsbereichen dann eben auch Zweifel, ob man ein solches IDA einsetzen kann, wenn man da im Bereich des Geheimschutzes tätig ist. Aber dann kommt wieder die Frage, naja, okay, dann haben wir halt hier jetzt kein IDA. Das heißt, in dem kritischsten Bereich verzichten wir jetzt auf einmal auf Schadsoftware-Schutz. Und das wird natürlich auch... Das ist jetzt auch nicht unbedingt der bessere Weg nach vorne. Das andere, worauf du hinaus wolltest, ist, dass Apple so etwas nicht zulässt, dass du auf Kernel-Privilegien-Ebene läufst. Nee, die haben, Kernel-Extensions haben die alles rausgeworfen. Was aber auch zum Beispiel dazu führt. Die hatten zum Beispiel früher, ich nutze so eine Application Firewall, also ein Programm, was für jeden einzelnen Prozess überwacht, welche Internetverbindungen der hat und dann kannst du eben dem sagen, was weiß ich, dieses Programm kriegt kein Internet oder was weiß ich, der darf sich nicht zu Adobe verbinden, der darf sich nicht zu Google verbinden, aber der Rest darf das. Das ist eine Application Firewall und die hat, habe ich schon sehr lange, früher hatte die ein Kernel-Modul und hat da einfach auf Kernel-Ebene den Traffic kontrolliert, das hat Apple irgendwann abgeschaltet. Und das hat aber jetzt auch zur Folge, Und dass diese Firewall, die spricht halt jetzt über irgendein von Apple bereitgestelltes Kernel-Interface und kriegt von Apple gesagt, guck mal hier, der Prozess will sich da hin verbinden, willst du das machen oder nicht? Dann sagt die Application Firewall, ja, bitte ja, bitte nein. Jetzt hast du eine bessere Integrität des Betriebssystems, weil Bugs in dieser Firewall können nicht mehr den Kernel potenziell aus dem Tritt bringen. Aber Apple kann natürlich auch sagen, für unsere eigenen Prozesse, die melden wir nicht an diese Firewall, weil für die Integrität unseres Betriebssystems ist schon wichtig, dass wir mit unseren Cloud-Dingern reden können und Telemetrie machen können und so. Und das wäre ja jetzt wirklich nicht gut, wenn jetzt irgendeine dahergelaufene Application-Firewall unsere Lizenzchecks zum Beispiel unterbindet. Das heißt für die Integrität hier, machen wir mal halblang. Und das gab natürlich dann auch einen großen Aufschrei, weil damit der Nutzerin potenziell nicht mehr die vollständige Kontrolle über den Netzwerktraffic gegeben ist, wie das nach alter Schule mit Packetfilter und so weiter durchaus möglich gewesen wäre.

Tim Pritlove
1:20:05
Linus Neumann
1:21:24
Tim Pritlove
1:21:28
Linus Neumann
1:21:32
Tim Pritlove
1:21:38
Linus Neumann
1:21:43
Tim Pritlove
1:21:51
Linus Neumann
1:22:02
Tim Pritlove
1:22:18
Linus Neumann
1:22:25
Tim Pritlove
1:22:32
Linus Neumann
1:22:34
Tim Pritlove
1:22:38
Linus Neumann
1:22:45
Tim Pritlove
1:22:54
Linus Neumann
1:22:56
Tim Pritlove
1:23:13
Linus Neumann
1:23:13
Tim Pritlove
1:24:07
Linus Neumann
1:24:09
Tim Pritlove
1:24:13
Linus Neumann
1:24:43
Tim Pritlove
1:25:52
Linus Neumann
1:25:53
Tim Pritlove
1:26:04
Linus Neumann
1:26:06
Tim Pritlove
1:27:02
Linus Neumann
1:27:05
Tim Pritlove
1:27:12
Linus Neumann
1:27:16
Tim Pritlove
1:28:06
Linus Neumann
1:28:09
Tim Pritlove
1:29:40
Linus Neumann
1:29:42
Tim Pritlove
1:29:47
Linus Neumann
1:29:49

Und du musst aber ein paar Millionen ausgeben für SMS. Fand ich ganz lustig. Den Blogpost verlinken wir auch. Signal is expensive. Okay, aber ich wollte ja eigentlich mal zum Thema kommen. Genau, jetzt gibt es einen Anbieter, der diese Dienstleistung, wir verschicken SMS, anbietet. Und dieser Dienstleister heißt Identify Mobile, und die haben gesagt, naja okay wir haben ja hier so Systeme, die sind ja super, die müssen aber irgendwie auch mal ein bisschen prüfen da schreiben wir mal Logfiles und wir schreiben diese Logfiles am besten in einen Amazon S3 Bucket also, S3 Simple sowieso Storage ich weiß nicht was das zweite ist. Ein Standard, den Microsoft in diesem Simple Storage Service, Amazon S3 Simple Storage Service ist im Prinzip eine webartige API, um Speichern und Abrufen von Daten zu ermöglichen. Wird in diesem ganzen Cloud-Umfeld gerne verwendet und die Art, wie man mit S3 spricht, wird auch inzwischen von anderen Cloud-Storage-Anbietern unterstützt. De facto ist das einfach nur, wir haben eine API und können da Dateien hinlegen. Und das kannst du halt natürlich hinter einer Authentifizierung verbergen oder nicht. Und dieser Anbieter Identify Mobile hat halt gedacht, oh, diese SMS, wir verschieben ja relativ viele SMS. Dann schreiben wir mal Log-Files und dann packen wir die mal auf ein S3-Bucket und das S3-Bucket lassen wir mal ohne Authentifizierung. Und dann lagen die Log-Files von diesen SMS, wo dann drin steht, an wen, welche Uhrzeit, welcher Inhalt, diese SMS versendet wurde, erfolgreich zugestellt und so weiter. Das haben die einfach weggeloggt und weltlesbar ins Internet gestellt, was zur Folge hatte, dass du also quasi dorthin schauen konntest. Wenn du jetzt quasi das Passwort von jemandem gehabt hättest, hättest du dich angemeldet, in dem Moment wird diese SMS gesendet und dann guckst du in diese Logfiles und siehst, welcher Code da steht und kannst quasi diese Zwei-Faktor-Authentifizierung außer Kraft setzen. Ebenfalls hättest du WhatsApp-Nummern übernehmen können, sagst du, ich habe die und die Nummer, WhatsApp schickt die SMS, dann gibst du den Code ein, hast WhatsApp bewiesen, dass du die Nummer hast, kannst du WhatsApp auf fremde Nummern registrieren. Schön. Fand ich ein super Datenleak. Du brauchst ein wunderschönes zweite-Faktor-Authentifizierungssystem, schreibst einfach mal die Logfiles offen ins Internet. Insgesamt waren mehr als 200 Unternehmen betroffen, die diesen Anbieter nutzen. Und irgendwie waren so 198 Millionen SMS-Lagen da rum. Und dann ist folgendes passiert, also wir haben das als CCC dann gemeldet, also es gibt Leute, es gibt mehrere Leute, die suchen einfach regelmäßig einfach S3-Buckets ab und gucken, ob da was ist.

Tim Pritlove
1:33:17
Linus Neumann
1:33:20

Weil die oft nicht richtig geschützt sind und weil man da eben zum Beispiel sowas findet. Und dann guckt man da rein, dann lässt man so einen Scan laufen, irgendwann guckt man da rein und denkt, oh guck mal hier, das ist aber spannend. Jetzt hast du aber das Problem, du weißt nicht, wem dieser Bucket gehört. Das heißt, du siehst dann da von 200 Unternehmen diese Zwei-Faktor-SMS und hast jetzt die Aufgabe herauszufinden, wer schreibt denn diese scheiß Logfiles. Und da haben wir dann, naja, also Unternehmen, die in diesen Listen standen, wo wir Kontakte hin hatten, angeschrieben und haben gesagt, hör mal, ihr steht da, eure Zwei-Faktor-SMS stehen in so einem Ding. Deswegen könnt ihr uns sagen, wer euer Anbieter für Zwei-Faktor-SMS ist, damit wir dem Bescheid sagen können, dass sie ein Bucket haben, wo dieser Shit drin steht. Das heißt, wir haben das dann mithilfe dieser Unternehmen geklärt und dann brach aber die Hölle über uns herein, weil dann ist das Datenleck gesperrt, alles gut. Es war jetzt auch kein GAU, weil nach unserer Kenntnis wurde das nicht ausgenutzt. Und dann hast du aber von diesen 200 Unternehmen die Datenschutzbeauftragten an der Backe, die dir dann nämlich so, weil dann schickt nämlich, dann war Twilio da mit drin, weil Twilio auch noch irgendwo da drin hing, ja, und dann schreiben die dir alle und sagen, es gab ein Datenlex, aber könnt ihr bestätigen, dass ihr diese Daten gelöscht habt? Ja, Hammer gelöscht, keine Sorge. Und dann irgendwie, könnt ihr bestätigen, dass niemand anderes Zugriff darauf hatte? Nein, können wir nicht.

Tim Pritlove
1:35:01
Linus Neumann
1:35:02
Tim Pritlove
1:36:03
Linus Neumann
1:36:21

Das war jetzt eh nochmal so ein Ding, die haben dann behauptet, das wäre nur ein sehr kurzer Zeitraum gewesen. Also die sagen natürlich, der Zeitraum, den die einräumen, ist natürlich der Zeitraum zwischen unserem, also demjenigen, der es gefunden hat, war ja nicht ich, dem ersten Zugriff und der Meldung. Und dass sie es abgeschaltet haben. Den Zeitraum sagen die dann, da waren die Daten zugreifbar. So, derjenige, der das Ding gefunden hat, hat aber das als Teil eines massenhaften Scans Monate vorher schon gefunden. Hat aber nicht reingeschaut, weil er einfach eine Liste hatte und die hat er gewissenhaft abgearbeitet und hat ein paar Monate gedauert und das heißt, wir haben schon eigentlich den gesicherten Eindruck, dass diese Sachen sehr viel länger zugreifbar waren. Aber natürlich hast du es dann mit diesen Anwältinnen und Anwälten zu tun, die dann, das war der bestätigte Zugriff so an diese Uhrzeit und, oh ey, ekelig. Und genauso wird das bei Crowdstrike auch sein. Weißt du, dass da jetzt irgendwelche, so Rosinen, wie heißt das, Korinthenkacker, irgendwelche Detailtexte schreiben, bis alle kotzen und sagen, boah, verpisst euch einfach. Naja, okay. Ja, das war noch eine ganz schöne Meldung des CCC. Lehre davon, zwei FAP SMS ist immer noch besser als nichts. Und auch hier ist jetzt halt, es gab keinen GAU, aber es hätte durchaus einen geben können. und andere Verfahren kommen ohne diesen Anbieter aus und die würden wir empfehlen. Vor allem, wenn das so scheiße teuer ist. Also TOTP ist nicht Phishing-resistent, aber immerhin ist es 2FA, SMS auch nicht und ich glaube, da seid ihr erstmal besser mit beraten. Und dann könnte man halt Hardware-Tokens nehmen, aber das ist jetzt vielleicht auch für den einen oder anderen Popel-Zugriff ein bisschen überzogen.

Tim Pritlove
1:38:30
Linus Neumann
1:39:19
Tim Pritlove
1:39:22
Linus Neumann
1:39:24
Tim Pritlove
1:39:50
Linus Neumann
1:39:54
Tim Pritlove
1:41:02
Linus Neumann
1:41:03
Tim Pritlove
1:41:10
Linus Neumann
1:41:13

Ja, ordentlich benehmt und keine Witze macht, wenn ein Attentat auf Trump missglückt. So, dann haben wir die, im August 25, also in einem Jahr, kommen dann eine Reihe an Verpflichtungen für General Purpose AIs zum Tragen. Und im August 2026, dann gibt es Regeln für Hochrisiko-AI-Systeme, die mit Biometrie, kritischer Infrastruktur, Bildung oder Arbeitsrecht zu tun haben. Und dann haben sie jetzt eine Aufteilung in minimale Risiken, niedrige Risiken, hohe Risiken und inakzeptable Risiken. Also inakzeptabel ist dieser Teil, die täuschen oder die das menschliche Verhalten täuschen oder beeinflussen können. Hohe Risiken ist da, wo Law Enforcement, sie benutzt biometrische Identifikation durchgeführt wird oder so, da haben sie halt hohe Kontrolldinge und ja minimale und limitierte Risiken sind irgendwie Chatbots und sonst irgendwas. Gleichzeitig haben sie aber wieder tausend Ausnahmen, dass dann irgendwie der militärische Nutzen, der ist dann wieder ausgenommen von der Kontrolle oder so, sodass das bisher eher nicht, also das macht auf mich nicht den Eindruck, ein gut geschriebenes Gesetz zu sein. Und die Anwältinnen und Anwälte, Juristinnen und Juristen, mit denen ich mich darüber unterhalten habe, die haben auch nicht den Eindruck, dass das jetzt besonders handwerklich gut ist. Wir werden uns da denke ich mit Teilen davon in zukünftigen Folgen auseinandersetzen. Was ich an dieser Stelle vielleicht mal noch besprechen wollen würde, es gibt halt diese Compliance-Checks und du wirst halt, also wenn du jetzt irgendwie so Modelle in den Umlauf bringst oder auf deinen Systemen laufen lässt und Kunden denen aussetzt, wirst du halt eine Reihe an Compliance-Checks machen müssen, die es dir sehr schwer machen, auch in den nicht so kritischen Systemen, so etwas überhaupt in den Umlauf zu bringen. Und da gibt es jetzt das Argument, dass man argumentieren könnte, dass dieser AI-Act vielleicht ein bisschen früh ist und potenziell zum Standortnachteil Europas werden könnte. Was die Entwicklung von AI-Systemen angeht. Wir wissen, Europa und Bundesrepublik Deutschland sowieso ganz weit vorne, ganz weit vorne in diesen ganzen Innovationstechnologien wie Dieselmotoren oder so, aber mit dieser AI und sonstigen ganzen Tech-Sachen, Da könnte man jetzt von einem Risiko ausgehen, dass, sag ich mal, auch diese Innovationswelle nicht von Europa ausgeht. Dass also potenziell die Möglichkeiten, die ökonomischen Erträge davon nicht unbedingt hier landen. Und wenn man das jetzt mit Überregulierung auch noch quasi unattraktiv macht, so etwas in Europa zu machen, dann könnte das für diejenigen wenigen, die aus Europa jetzt irgendwie mit Machine Learning etwas machen wollen, könnte das für diejenigen Unternehmen eben zum Standortnachteil werden, dass sie das in Europa machen, während alle anderen irgendwo Offshore, YOLO machen, was sie wollen Und dann potenziell nochmal die Schwierigkeit haben, so etwas auf den europäischen Markt zu kriegen, dass es jetzt auch keine kleine Schwierigkeit ist.

Tim Pritlove
1:45:30
Linus Neumann
1:46:13
Tim Pritlove
1:46:19
Linus Neumann
1:46:34
Tim Pritlove
1:46:35
Linus Neumann
1:46:50
Tim Pritlove
1:48:09
Linus Neumann
1:48:30
Tim Pritlove
1:49:57
Linus Neumann
1:49:59
Tim Pritlove
1:50:03
Linus Neumann
1:50:06
Tim Pritlove
1:50:12
Linus Neumann
1:50:13
Tim Pritlove
1:50:23
Linus Neumann
1:50:26
Tim Pritlove
1:50:54
Linus Neumann
1:50:55
Tim Pritlove
1:52:42
Linus Neumann
1:53:12
Tim Pritlove
1:53:44
Linus Neumann
1:53:46
Tim Pritlove
1:53:50
Linus Neumann
1:53:54
Tim Pritlove
1:54:10
Linus Neumann
1:54:11
Tim Pritlove
1:55:00
Linus Neumann
1:55:06
Tim Pritlove
1:55:08
Linus Neumann
1:55:23
Tim Pritlove
1:55:37
Linus Neumann
1:55:45

Ich bin, ich finde es, also ich werde aus der Meldung noch nicht so ganz schlau. Jedenfalls, also meine Frage ist, sind Antennen von Huawei noch erlaubt oder nicht? Weil ich würde schätzen, wenn die nicht mehr erlaubt sind, dann haben einige Netzbetreiber in Deutschland richtig Probleme. Da müssen die auf eine ganze Menge Dächer klettern. Und ja, da Kern und sonst was, irgendwie Management-Systeme, ja, das kriegt man schon irgendwie hin. Aber nochmal, das Problem sind nicht die Komponenten von Huawei, sondern dass dann jeweils eben diese Netze auch wirklich von den Anbietern gebaut werden. Also wenn du, du kaufst nicht bei Huawei irgendwie eine Antenne oder was und sagst, gib mal her, dann kommt die auf der Palette und dann fährst du da hin und schraubst die aufs Dach, sondern die wird natürlich auch von Huawei-Mitarbeiterinnen entsprechend dimensioniert. Die Management-Systeme sind von denen, du hast quasi die sind da, die gehen bei dir ein und aus wenn du bei denen Kunde bist und das ist nicht irgendwie so rufst den China an und im nächsten Container kommt was und dann schraubst du das irgendwo hin, ja die sind schon sehr sehr, individualisiert mit dir in deinem Netzausbau beschäftigt und haben natürlich dadurch auch klare, intime Kenntnisse dessen, wie dieser Netzausbau funktioniert und haben natürlich auch Management-Zugänge dorthin Bei jedem Mobilfunknetz. Aber ich habe längere Zeit erklärt, warum ich das zumindest nicht aus Sicherheitsgründen. Gründen für unbedingt geboten halte, diesen Austausch. Ich denke, dass das eher auch Wirtschaftsförderungszwecke hat, das zu machen und die würde ich auch erstmal grundsätzlich, finde ich das nicht falsch, weil 5G-Technologie kann in Europa eigentlich kaum jemand konkurrenzfähig herstellen.

Tim Pritlove
1:57:46
Linus Neumann
1:57:49
Tim Pritlove
1:57:56
Linus Neumann
1:57:59
Tim Pritlove
1:58:05
Linus Neumann
1:58:07
Tim Pritlove
1:59:04
Linus Neumann
1:59:31
Tim Pritlove
2:00:28
Linus Neumann
2:00:35
Tim Pritlove
2:01:01
Linus Neumann
2:01:04
Tim Pritlove
2:01:54
Linus Neumann
2:01:57
Tim Pritlove
2:02:39
Linus Neumann
2:02:44
Tim Pritlove
2:02:48
Linus Neumann
2:02:48

Ja. Oder nachher. Cliffhanger für die nächste Sendung. Gut, wie wird man's los? Es ist tatsächlich jetzt natürlich nicht so einfach herauszufinden, warum man in diesen Daten ist, also erstmal, man kann jetzt seine Device-ID da herausfinden und dort eingeben, dann sagt einem Netzpolitik.org, okay, du bist in diesem Datenleck, oder was heißt Datenleck, in diesem gehandelten Daten, in diesem Preview von gehandelten Daten und dann weißt du aber natürlich noch nicht, von welcher App das jetzt so ist. Dann kannst du eben durchgehen, deine Location-Freigaben, ob du irgendeiner potenziellen Shady- oder irgendwie werbefinanzierten App eine Location-Freigabe erteilt hast und dann könntest du die wieder entziehen. Auf iOS ist das, du kannst halt sagen, ja okay, kriegst du grundsätzlich nicht oder wenn du nächstes Mal willst, frag mich oder du kriegst es immer. Ja und keine Ahnung. Und das wäre natürlich jetzt auch wieder interessant, wenn du da drin bist und bist da andauernd drin. Weißt du, so alle zehn Minuten, dann wird es im Zweifelsfall irgendeine App sein, die dich jetzt wirklich aktiv überwacht. Wenn du halt nur sehr selten drin bist und dann immer zu Hause auf dem Topf, dann ist es halt die App, die du immer zu Hause auf dem Topf verwendest. Aber es scheinen hier Menschen Apps zu haben, da werden ja so unterschiedliche Fälle geschildert, die sie sehr granular überwachen. Also irgendwie wird von jemandem gesprochen, der da und da wohnt, zur Arbeit fährt, danach in ein Unterhaltungsetablissement in Berlin für Erwachsene, danach in ein Einkaufsland. Einkaufsland, entweder ist der halt sehr süchtig nach einer spezifischen App, dass er sie sogar irgendwie in der kurzen Zeit, die er in dem Unterhaltungs- Erwachsene verbringt, nicht von dieser App loskommt oder die trackt ihn im Hintergrund.

Tim Pritlove
2:04:52
Linus Neumann
2:05:06
Tim Pritlove
2:05:11
Linus Neumann
2:05:13
Tim Pritlove
2:05:18
Linus Neumann
2:05:26
Tim Pritlove
2:05:33
Linus Neumann
2:05:34
Tim Pritlove
2:05:43
Linus Neumann
2:05:49
Tim Pritlove
2:06:19
Linus Neumann
2:06:23

Ja.

Tim Pritlove
2:06:25
Linus Neumann
2:06:26
Tim Pritlove
2:06:52
Linus Neumann
2:06:54
Tim Pritlove
2:07:20
Linus Neumann
2:07:26
Tim Pritlove
2:07:45
Linus Neumann
2:07:54
Tim Pritlove
2:07:54
Linus Neumann
2:07:56
Tim Pritlove
2:08:00
Linus Neumann
2:08:01
Tim Pritlove
2:08:39
Linus Neumann
2:08:41
Tim Pritlove
2:08:51
Linus Neumann
2:08:55
Tim Pritlove
2:08:57
Linus Neumann
2:09:04
Tim Pritlove
2:09:05
Linus Neumann
2:09:10
Tim Pritlove
2:09:11
Linus Neumann
2:09:14
Tim Pritlove
2:09:20
Linus Neumann
2:09:31