Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de
El Hotzo — LNP500 — SUBSCRIBE 11 — US-Wahlen — Crowdstrike — Identify Mobile — AI Act Timeline — Bargeld-Limits bei Geldkarten — Huawei-Verbot — Datarade
In dieser Sendung ist uns nichts heilig und wir klappern die derzeitigen Datenskandale ab und erklären auch noch mal genauer, was dazu geführt hat, dass ein Fehler in der Software von Crowdstrike mal eben 8,5 Millionen Windows-PCs außer Gefecht gesetzt hat. Dann diskutieren wir die Ereignisse des US-Wahlkampfs die durch die Berufung eines shady Kandidaten für das Vizepräsidenten-Amt durch Trump und den Verzicht auf die Kandidatur durch Joe Biden gleich mehrere Wendungen in einer Woche erhalten hat. Besonders schauen wir auf das Wirken von Big-Tech-Milliardären hinter den Kulissen, die mit ihren zweifelhaften Vorstellungen über unsere Gesellschaft eine ganz neue Bedrohung darstellen.
https://logbuch-netzpolitik.de/lnp497-real-men-use-it-after-free
Veröffentlicht am: 29. Juli 2024
Dauer: 2:11:04
Ja, also dass da jemand, jemand hat auf Twitter einen geschmacklosen Scherz gemacht. Das ist auch lange nicht hervorgekommen die muss unbedingt sofort Einhalt geboten werden die hat sich auch Elon Musk ganz persönlich drum gekümmert, der ja wirklich für Anstand und Sitzamkeit auf seiner Plattform einsteht wie kein anderer sofort bei der deutschen Regierung beklagt.
Genau was passiert also El Hozo so ist er bekannt im Netz so nennt er sich selber selber, Sebastian Hotz, der macht Witze. Und ich muss sagen, er macht ziemlich gute Witze, viel auch. Also er ist sehr rege, haut das raus und ich finde das immer bemerkenswert, wenn Leute wirklich so zu allem irgendwie was produziert bekommen, insbesondere wenn es nur eine einzige Person ist, wovon ich jetzt mal ausgehe, dass das bei ihm der Fall ist. Postillon haut ja auch die ganze Zeit Sachen raus, das ist dann nicht eine Person, aber auch da bin ich immer schon schwer beeindruckt, was immer wieder einfällt und wie schnell. Das ist so eine Fähigkeit, die kann ich nur bewundern. Mir fallen zwar auch ab und zu mal Witze ein. Aber ich könnte das nicht den ganzen Tag machen.
Er hat da einen Podcast gemacht, irgendwie alle zwei Monate oder sowas. Also, er hat getwittert, dass er das grundsätzlich eigentlich immer zu begrüßen findet, so sinngemäß, wenn Faschisten sterben. Das war so die sinngemäße Äußerung. Die hat er getätigt, in einem erkennbaren Kontext mit dem Trump-Attentat. Für Missglück ein Trump-Attentat.
Oder finanziert, genau. Da wird sich schon ordentlich die Taschen voll gemacht haben mit der Staatskohle. Beim ZDF hat er auch, der war glaube ich eine Zeit lang bei ZDF Magazin Royale. Sorry, ich habe das schon mal hier vor einiger Zeit gesagt, man muss auch darüber Witze machen können. Ob das jetzt ein guter ist oder ein schlechter, ich würde sagen ziemlich schlechter, war jetzt sicherlich keine der Glanzleistungen. Seine Reaktionen darauf waren sehr viel besser.
Aber ich wollte, also das war jetzt kein besonders guter Witz und ich glaube, er hat den auch irgendwie gelöscht, weiß ich nicht genau, ob dir vielleicht selber aufgefallen ist, dass der jetzt nicht so gut war, aber dass der da dafür irgendwie dermaßen ins Kreuz genagelt wird, finde ich schon ziemlich affig und hat in seinen weiteren Tweets auch gut verwandelt, was da noch mit ihm gemacht wurde. Da hat er irgendwie so, einen vermutlich gefälschten Screenshot von seinem iPhone gepostet, wo dann irgendwie alle alle möglichen Leute, erst mal so 60.000 Euro Gehalt Überweisung von der GEZ und irgendwie Robert Habeck und irgendwelche Quatschsachen hat dann einfach so gefragt, ob ihm jemand erklären könnte, wie man die Schriftart von der Uhrzeit ändert, was ich sehr... Also er ist da auf jeden Fall sehr gut mit umgegangen. Aber auch Teenage SD, auch ein Comedy-Band, hat bei einem Konzert, sagte dann irgendwie, der Kyle Gers heißt, der glaube ich hat Geburtstag gefeiert, Hat irgendwie eine Torte bekommen, durfte sich was wünschen und hat sich gewünscht, dass man beim nächsten Mal Trump nicht verfehlt. Diese Band, also der Jack Black, der Partner dieser Comedy-Band, hat jetzt den Rest der Tour abgesagt und das kreative Fortbestehen dieser Band in Zweifel gezogen. Also können wir so ein bisschen unverkrampfter mal irgendwie darauf blicken?
Es steht jetzt zur Diskussion, das hängt gerade am seidenen Faden, ob dieses Duo sich überhaupt nochmal zusammenfindet, wegen dieses Witzes. Weil damit politische Gewalt condoned wird und Und ich weiß nicht genau, wie verkrampft man das sehen kann. Gerade wenn ein Attentat missglückt ist, finde ich es gut, Scherze zu machen. Wenn das nicht missglückt, wenn der getroffen hätte, dann bin ich auch an dem Punkt, dass ich sage, da darf man für eine Karenzzeit von drei Tagen keine Scherze machen. Das gehört sich dann nicht. Aber du musst, du kannst doch nicht, du kannst doch nicht nicht darüber Witze machen.
Einen geschmacklosen Witz über einen Mordversuch macht, dann tut die Person vor allem sich erstmal selber nichts Gutes, weil sich jeder denkt, was ist das denn für ein Idiot. Und was der Hotzo da gemacht hat ist irgendwie ziemlich dämlich was hier Tenacious D gemacht haben ist jetzt auch nicht besonders witzig es gibt aber auch Stimmen die sagen, dass mehrere Leute das vielleicht gedacht hätten und dass das vielleicht etwas ist was viele sich nicht trauen auszusprechen wie dem auch sei aber deswegen jetzt Bandauflösung und irgendwie Podcastverträge weil sie dann irgendwie sagen Der steht nicht für die Werte des RBB. Guck dir mal an, was sonst Dieter Nuhr da jeden Tag labert oder Lisa Eckart, die den ganzen Tag antisemitische Scherzchen da macht. Das ist alles nicht im Wertekanon. Das ist auch in Ordnung, dass das nicht im Wertekanon ist. Weil wenn du jetzt irgendwie anfängst Über Humor und Wertekanon zu legen Dann ist das schnell vorbei mit den Scherzen Und genau diese Verkrampfte Art Führt dazu, dass es nur noch schlimmer wird.
Und da wird es halt schwierig. Von daher muss man einfach auch zur Kenntnis nehmen, da wird man kein allgemeines Verhaltensmuster eingeklagt bekommen. Wenn immer bestimmte Gruppen so entscheiden und so entscheiden und so entscheiden und sowas wie ein öffentlicher Rundfunk, der ohnehin von allen Seiten von der Politik in Beschuss steht und natürlich auch hochgradig von ihr abhängig ist, hat sich jetzt noch nie durch ein besonders durchgedrücktes Rückgrat ausgezeichnet.
Ja, aber dann finde ich es halt witzig, was für insbesondere Verunglimpfung von Minderheiten und vulnerablen Gruppen, was nochmal eine andere Sache ist, als irgendwie so ein Trump, der nun wirklich keine Minderheit darstellt und auch keine vulnerable Gruppe oder sonst was. Wie viel da im ÖAR eben geduldet wird und da gibt es Proteste, da gibt es auch berechtigten Protest. Das ist schon mal wieder mit zweierlei Maß gemessen. Und deswegen in einer Welt, in der nichts heilig ist, lebe ich sehr viel lieber, als in einer Welt, wo irgendwelche Beknackten definieren, was jetzt auf einmal heilig wäre.
Aber jetzt muss das auch konkret werden. Jetzt muss das aus dem Pad ins Telefon. Wir hatten ja angekündigt, dass wir bis 31. 7. die Möglichkeit bieten, Shirts mitzubestellen. Diese Deadline, glaube ich, fahren wir noch mal ein bisschen hoch um ein paar Tage. Einfach, weil wir das angekündigt haben und einfach auch keine Sendung mehr gemacht haben, um daran zu erinnern. Das heißt, ich denke, bis 2. August können wir die Deadline einen verlängern. Das werden zwei Tage länger. Und dann wird, denke ich, der Shirt-Vorverkauf einfach nicht mehr möglich sein. Dann könnt ihr keine Shirts mehr bestellen. Dann könnt ihr nur noch Tickets bestellen.
Ja, das sieht auch langsam danach aus, dass sich das dem Ende zuneigt. Aber insbesondere mit den Shirts scheinen ja sehr beliebt zu sein. Also Leute kaufen Shirts und dann sollen die nachher rausgehen. Ja, so ist das. Sie sehen gut aus. Kleidsam. Gute Werbung ist da drauf. Genau, also Shirts noch bis 2. August. Ich werde das gleich irgendwie in diesem Online-Shop mal ändern. Tickets, solange der Vorrat reicht, sieht danach aus, dass das nicht mehr lange sein wird.
Ja, das ist sagen wir mal das günstige Ticket, so der normale Preis sind 125. Das ist halt ein, also bei der Subscribe ist es ja so, das ist ja das Wochenende und das finanziert das ganze Wochenende und das finanziert aber auch das Essen. So, das heißt da ist die Vollverpflegung mit dabei. Das haben wir irgendwann mal eingeführt, nachdem wir auf der Veranstaltung immer so, was weiß ich, versucht haben kollektiv in irgendein Restaurant zu marschieren. Es war aber immer völlig anstrengend, hat ewig gedauert, die Koordination war schwierig und so und dann haben wir halt irgendwann angefangen einfach das Catering auf die Veranstaltung zu holen, was am Ende auch nicht sehr viel mehr gekostet hat und gerade wenn du halt jetzt in der Umgebung dieser Locations sehr variierende Qualitäten hast, du kennst das, ist man eigentlich ganz froh und das gemeinsame Essen ist ja auch nochmal so ein Faktor. Also von daher ist das so ein rundum glücklich Tarif, allerdings haben wir ein großes Verständnis dafür, dass auch Leute teilnehmen, die es vielleicht nicht ganz so dicker haben, wo vielleicht schon die Anreise eine Herausforderung ist. Generell, wenn ihr ein Problem habt mit der Finanzierung eurer Teilnahme, meldet euch. Und wir haben so eine Varietät an Ticketoptionen, je nachdem, wie gut es euch geht. Und dann, wer halt mehr zahlt, finanziert die günstigeren Tickets mit. Aber wie das halt immer so ist, man muss so eine Balance schaffen zwischen... Was will man haben, weil am Ende wir haben halt das ganze Veranstaltungszentrum, gemietet, die Technik, die dazukommt und der sonstige Aufwand und das muss halt auch irgendwie bezahlt werden, sonst zahle ich das alles am Ende.
Ja, also ich hoffe, dass alle kommen. Alle, die vielleicht das letzte Mal schon dabei waren und alle, die schon immer mal drüber nachgedacht haben, dabei zu sein. Das Ganze ist halt eine Community-Konferenz. wendet sich vor allem an Podcaster und es können aber auch alle, die generell denen das Podcasting-Thema sehr nahe liegt, natürlich auch noch mit.
Wir reden noch weiter. Es war ja eine schwerwiegende, Es war wirklich, ich war ja wirklich bestürzt nach dem missglückten Trump-Attentat, weil relativ klar war, dass er jetzt gewinnen würde, die Wahl. Also da war einfach Bestürzung nach dem missglückten Trump-Attentat bei mir. Und diese Bilder, die hätte ich ja jetzt fast gewählt. Ich hätte ja auch gesagt, komm, wählst du den? Also ich meine, naja, du kannst jetzt auch nicht so einen dementen Kreis irgendwie wählen.
Ja, aber der eine kann noch aufstehen, der eine hat noch die Geistesgegenwart, nachdem dem ein Ohr weggeballert wurde, aufzustehen und ein Bild mit der Faust zu machen. Und bei Joe Biden musstest du Angst haben, dass wenn er die Faust erhebt, dass er irgendwie nach vorne umfällt oder so. Also das war schon bedrohlich, es war schon erkennbar, dass man jetzt Joe Biden ernsthaft nicht, also dass man überlegen kann, also dass man einfach zweifeln musste, dass der dieses Amt noch erfüllen kann weitere vier Jahre.
Ja, und auf einmal ist alles anders. Er ist dann doch zurückgetreten, der Druck wurde zu groß und es war ja so eine Kaskade von Ereignissen, es fing halt im Prinzip an, also sagen wir mal so, die Diskussion über sein Alter und ob denn jetzt ein Second Turn bei ihm überhaupt angemessen wäre, die gab es ja schon eine Weile. So, trotzdem, er hat sich dann halt in den Vorwahlen durchgesetzt und wenig überraschend, weil wenn du als Präsident quasi nochmal antrittst, dann sagt die Tradition, da wird dann halt auch nicht groß gegen angetreten. Dann ist das halt einfach so. Der Präsident hat immer das Vorzugsrecht und er ist aber ja noch nicht offiziell nominiert worden. Dann gab es halt dieses erste Debate, dieser TV-Auftritt von Trump und Biden, bei dem Biden kein gutes Bild abgegeben hat und arg verwirrt daherkam. Ich habe es ehrlich gesagt nicht gesehen, von daher kann ich mich da jetzt nur auf die Bewertung Dritter einlassen. Hast du es gesehen?
Ja und es war natürlich auch sehr schmerzhaft so das Gefühl zu haben, dass jetzt so der Einzige, der so bisher den Eindruck macht, der könne Trump noch etwas entgegensetzen, jetzt auf den letzten Metern so dermaßen schwächelt, dass viele Leute abgetörnt sind von dieser Wahl. Weil man muss auch immer wieder sehen, während wir halt das ganz anders bewerten, dadurch, dass wir so involviert das alles verfolgen und zu allem eine klare Meinung haben, gilt das nicht unbedingt für die meisten Wähler. Sondern die meisten Wähler, vor allem auch in den USA, wollen im Wesentlichen immer in Ruhe gelassen werden und da muss man sich schon irgendwie besonders motivieren. Und letztes Mal hat die Motivation noch ausgereicht, weil man nach dieser Trump-Era halt irgendwie... Einfach die Schnauze voll hatte von dem Typen und da war insbesondere im liberalen Amerika die Motivation hoch, aber ob diese Motivation so hoch gehalten werden konnte mit Biden, das stand stark im Zweifel. Naja, und dann wurden die Stimmen immer lauter, die gesagt haben, hör mal, wir müssen da mal was ändern, denk mal drüber nach, was du ändern könntest. Unter anderem sogar Nancy Pelosi, die jetzt auch nicht gerade für ihre Jugendhaftigkeit bekannt ist, aber zumindest nicht mehr im Amt. Und ja, dann war schon klar, dass der Druck von innen doch anstieg. Und am Ende wird es sicherlich eine Mischung gewesen sein aus, ja, keine Ahnung, Selbsterkenntnis und die Kraft der Umfragen, die Joe Biden dazu gebracht haben, dann doch das Handtuch zu werfen und im selben Zuge seiner Vizepräsidentin das Zepter in die Hand zu reichen. Und das scheint ganz gut funktioniert zu haben, denn binnen kürzester Zeit haben alle entdeckt, dass Kamala Harris doch deutlich mehr Schwung in der Hüfte hat als Joe Biden. Das kann man glaube ich so festhalten.
Auf jeden Fall. Dadurch dass die Wahlbezirke und Staaten so geschnitten sind, also einmal die Wahlbezirke so geschnitten sind und zweitens Staaten immer vollständig dann in Form von Wahlpersonen in die US-Wahl eingehen. Das heißt, du gewinnst den Staat um 51 Prozent und dann wählt dieser Staat eben mit all seinen Stimmen.
Genau, das hat natürlich sehr fürchterliche Konsequenzen und führt vor allem dazu, dass es nur einige wenige Staaten gibt, in denen die Verhältnisse überhaupt so sind, dass sie sich regelmäßig mal ändern, die sogenannten Swing States und am Ende führst du als US-Präsidentin, Kandidatin einen Wahlkampf um irgendwie ungefähr 8, 9 von 50 US-Staaten. Das ist schon alles äußerst absurd.
Auf dessen Alter rumprügeln, zu Recht, zu Recht! Und jetzt dreht sich das Ganze in Trump ist eigentlich so ein übergewichtiger 70-Jähriger und jetzt kommt da so ein fast 80-Jähriger. Fast 80, 78 ist der, ne? Übergewichtiger, fast 80-Jähriger, und auf einmal ist da eine wirklich sharp, mentally sharp Frau, die das einfach, also die einfach mal eine ganz andere Dynamik ausstrahlt und das Blatt ist halt komplett gedreht. Von dem, was ich jetzt so höre, ich meine, ich habe irgendwann aufgehört, mir diese durchgeknallten, rechtsradikalen Podcasts aus den USA anzuhören, aber also die sind auf jeden Fall not amused über diese kurze Rohade, die halt für sie das Blatt jetzt vollständig wendet und Trump echt zum Getriebenen macht.
Gut, also man darf natürlich jetzt das rechte Lager nicht unterschätzen. Die werden sich schon noch ein bisschen was einfallen lassen, aber man merkt schon stark, dass sie jetzt auf dem linken Fuß erwischt wurden mit dem Ganzen. Andererseits, so populär jetzt Kamala Harris im demokratischen Lager ist, umso mehr stellt sie natürlich durch ihre politische Ausrichtung auch eine Gefahr dar. Ja, weil sie kommt halt aus Kalifornien, sie ist halt ganz klar eine Vertreterin des liberalen Spektrums. Dazu kommt natürlich dann noch Frau, also was auch ein Vorteil ist jetzt bei den Demokraten, ist natürlich dann auch wiederum bei den Republikanern schnell auch ein rotes Tuch. Sie ist ja die Tochter eines Mannes aus der Karibik und die Mutter aus Südindien. Wenn ich das richtig erinnere. Das ist sozusagen so ihre Mischung, ist aber in der schwarzen Kultur in Amerika groß geworden. Ähm, was man ja auch anmerkt, finde ich, also er hat den Schmiss und die Werbe, die dort ja auch immer wieder zu finden ist, aber jetzt muss sie natürlich es auch schaffen, dem konservativen Spektrum Amerikas ein Angebot zu machen, um eben diese Mitte der ungebundenen Wähler zu erlangen, insbesondere eben in diesen genannten Swing States, die halt alle mehr so in der Mitte des Amerikas liegen, das sind dann so Städte, Staaten wie Pennsylvania, Michigan, Arizona gehört dazu, ich kriege es jetzt gerade gar nicht so zusammen, was in der aktuellen Wahl alles an Swing States definiert wird, Aber das sind so ganz wichtige Staaten in dem Zusammenhang und jetzt warten alle sehr gespannt darauf, wen sie denn zum Vizekandidaten macht und das wird wahrscheinlich ein weißer Mann aus einer dieser Staaten sein. ein. Wer es werden wird, weiß ich nicht. Ich glaube, die Wahl dürfte sich im Wesentlichen zwischen zwei Kandidaten entscheiden. So diesem Shapiro, das ist der Gouverneur von Pennsylvania. Pennsylvania ist für sie ein ganz wichtiger Staat, den sie unbedingt gewinnen muss. Und dann gibt es noch diesen Mark Kelly aus Arizona, der ja auch Astronaut ist oder war. Also kann auch noch dritte oder vierte Person in Frage kommen, wird man dann sehen. Aber Aber womit sich definitiv Trump ein Ei gelegt hat, das ist sein Vizepräsidenten-Pick, der J.D. Vance. Und über den müssen wir mal reden, weil der Typ ist wirklich ein Phänomen. Der Typ war halt vor zwei Jahren noch überhaupt gar kein Politiker. Der ist nicht schon immer Politiker gewesen, sondern der ist vor anderthalb Jahren in Ohio dann eben bei den Midterms als Senator angetreten und letzten Endes auch gewählt worden. Kam aber mehr oder weniger aus dem Nichts. Das einzige, wofür man ihn kannte, war, dass er mal ein Buch geschrieben hat. Was so ein bisschen erfolgreich war, also sehr erfolgreich war, so ein Bestseller wurde und so ein bisschen so eine Story war aus dem mittleren Westen und seinem Leben etc. Hillbilly Allergy hieß das. Und interessanterweise ist er dann aber auch in den letzten Jahren eher so als Never-Trumper bekannt gewesen. Also man meinte, Trump wäre ja eine große Gefahr und er wäre ja irgendwie der neue Hitler und so weiter. All das ist mittlerweile vergessen und Trump hat ihn jetzt zum Vizepräsidenten gekürt und man fragt sich halt wirklich, warum eigentlich?
Also nur mal so ein Unternehmen, was man in dem Kontext immer noch nennen sollte ist Palantir. Also Data Mining, AI-Überwachung, Software, die sie an Sicherheitsbehörden verkaufen. Und der Typ ist wirklich, der ist halt wirklich einfach evil. Das ist halt ein extrem rechter, libertärer, mit irgendwie schon ganz relativ kruden politischen Vorstellungen auch. Und also ich hab den einmal bei einer Konferenz gesehen, wo der irgendwie längere Zeit mal so seinen gedankenfreien Lauf geben konnte und, Das ist ein richtig Böser. Das ist einfach ein richtig Böser.
Er gründet auch ganz viele Firmen, die alle irgendwie Namen aus dem Herr-der-Ringe-Buch erhalten, so auch dieses Palantir und JD Vance war dann auch in einer oder mehrerer dieser Unternehmen in irgendeiner Form tätig oder zumindest war er offiziell tätig. Leute, die da gearbeitet haben, können sich nicht daran erinnern, dass er irgendwie nennenswert oft aufgetaucht hat oder irgendetwas getan hat. Ist so ein bisschen vollkommen unklar, was eigentlich Thiel mit ihm jetzt so vorhatte, aber in irgendeiner Form passte er halt sozusagen da in seinen Plan mit rein. Hat ihn dann, wie gesagt, zum Senator gemacht, indem er da seinen Wahlkampf mit 15 Millionen Dollar unterfüttert hat und das hat dann eben auch funktioniert in Ohio, kurz da diese Wahl zu gewinnen. Vans hat auch selber so eine Venture-Kapitalfirma versucht zu starten das lief nicht so gut, das einzige Projekt war wohl irgendwie diese Rumble, diese rechtslastige Rumble-Videoplattform irgendwie zu pushen, das war alles nicht sonderlich erfolgreich, Naria Capital Investment ist so sein Laden gewesen oder ist es noch, ich weiß nicht, ob es den noch gibt, da hatten dann auch so, Google-Papst Eric Schmidt mit und Marc Andresen, der ja auch schön freidreht, wir erinnern uns damals noch, Netzgebt, Navigator, Programmierer, so ihre Kohle mit drin. Naja, und so als Politiker tritt halt Vance jetzt auf für. Antikryptoregulierung, also man soll doch jetzt bitte keine Gesetze gegen Bitcoin erlassen, etc. Und ist aber dann auch ein starker Proponent der Russen, indem er halt die ganze Zeit gegen die Ukraine abledert und die Unterstützung der Ukraine im Krieg gegen Russland halt irgendwie dagegen ist.
Warum? Aber was reitet denn diese ganzen Leute? Also das ist der Teil, den ich nicht so, also das andere ist irgendwie, okay, Krypto ist in Ordnung, also das ist verständlich, die wollen Kohle machen, dafür haben sie natürlich Interesse an irgendwelchen unregulierten Geldflüssen für Fraudschemes, ist ja in Ordnung, also legitimes Interesse als Milliardär. Was ich nicht verstehe ist, dass die jetzt quasi so Trump-positiv sind, Weil sie kommen ja auf jeden Fall aus einem komplett anderen Kontext Also was sie reich gemacht hat, ist ja eine progressive Umgebung und Welt.
Ja, also das ist halt alles auch ein bisschen schwierig zu erklären. Es gibt ja da mittlerweile so verschiedenste Begriffe, die dort gehandelt werden. Und schon seit längerem hast du ja in dieser ganzen Silicon Valley Welt so Botschafter einer neuen Zeitordnung. Da gibt es dann Singularitätspropheten, die alle mit so Endzeit-Utopien daherkommen. Da hast du Elon Musk, der davon faselt, dass der Untergang der Menschheit bevorsteht und wir müssen uns jetzt rüsten, dass wir andere Planeten besiedeln. Und deswegen will er mit SpaceX zum Mars. Da gibt es dann so Begriffe wie Transhumanismus und das ist auch alles so ein bisschen verbunden mit so diesen Eugenik-Gedanken von besseren Menschen. Es gibt diesen effektiven Altruismus, der da mit drin steckt.
Ja, das mag alles sein, aber wenn es bevorwortet, protektionistische Handelspolitik, strengere Einwanderungsgesetze, höhere Mindestlohne und einen aggressiveren Ansatz bei der Kartallrechtsdurchsetzung. Ich verstehe in keinem dieser, also ich verstehe nicht, warum der Thiel und die alle das irgendwie so toll finden. Also, dass sie meinen, der lässt sich auch einfrieren und so, das ist ja alles in Ordnung. Ein paar Spleens kann sich so ein Milliardär ja leisten, ist ja in Ordnung. Lässt er sich einfrieren, fliegt er zum Mars, ist okay. Aber wieso die so diese verhältnismäßig nicht besonders weitsichtige Wirtschaftspolitik auch unterstützen, verstehe ich nicht.
Ich kann dir das im Einzelnen nicht erklären. Es ist nur so, dass sie das tun und offensichtlich ganz andere Ziele zu haben scheinen. Das hat ja auch sehr viel mit dieser ganzen AI-Bewegung zu tun und dieses Gefasel über General Intelligence. Da teilt sich das so in zwei Welten. Die, die sagen, alles wird ganz schlimm und der Weltuntergang droht und die anderen, die sagen, ja, das ist aber jetzt alles ganz wichtig und wir müssen das unbedingt nach vorne bringen. Das sind auch alle so gesplittete Botschaften, die aber irgendwie alles zusammengerührt, also so eine Denkrichtung vorgeben, die schon so ein bisschen so Kultcharakter hat. Es gibt da auch einen Begriff, der daraus schon abgeleitet worden ist, der letztes Jahr so geprägt wurde. Das ist so eine Zusammenstellung aus Transhumanismus, Extropianismus, Singularitarianismus, Kosmismus, Rationalismus, diesem ineffektiven Altruismus, was ja im Wesentlichen so wir, nicht der Staat oder so entscheidet, wohin jetzt die Gelder gehen sollen. Sondern die reichen Leute machen das irgendwie selber, weil die das ja viel effizienter machen können und so. Und dann irgendwie dieser Long-Termism. Also langfristige Ziele sind jetzt wichtig. Kurzfristig kann auch mal alles den Bach runtergehen. Umweltschützen sind jetzt alles viel zu kurzsichtige Ziele. Ich kann ja das alles in der Tiefe nicht erläutern, aber das sind so Dinge, die sich dort gerade abspielen abspielen und die sich in irgendeiner Form in Silicon Valley konzentrieren und mit dem ganzen Geld und dem Einfluss, den diese Leute mittlerweile haben, beschicken sie halt jetzt die Politik und selbstverständlich verfangen solche bekloppten Ideen sehr viel besser mit durchgedrehten Republikanern, als mit noch so halbwegs mit dem Boden in Kontakt stehenden Demokraten.
Ja, also die sonstigen Erklärungen sind ja eher so, okay, Kryptoregulierung wollen sie verhindern und Besteuerung. Das finde ich jetzt irgendwie erstmal... Naheliegender, aber gerade wenn du Long-Termism verfolgst, musst du dich ja ernsthaft, fragen, in welche wirklich düstere Zukunft Trump die USA führen würde oder einfach für was für eine düstere Vorstellung der Mann steht, Tja, irgendetwas kriegen die was, was sie ein bisschen komisch drauf macht, Ja.
Trotzdem, dieser Vance ist jetzt für Trump aber eher im Zusammenhang mit dem Aufkommen von Kamala Harris eher ein Problem, weil der Typ ist extrem unbeliebt, also der hat irgendwie auch bei Independence und Republikanern nur so 32% Zustimmung in Umfragen derzeit, das ist so der niedrigste Wert, den ein Vizepräsident jemals hatte und der ist halt auch ein leeres Blatt. Es gab jetzt diesen Er hat wohl ein Buch.
Ja, das ist dieses Hillbilly Elegy, so spielt das eigentlich überhaupt gar keine Rolle mehr. Leute lesen ja eh nicht. Er war halt bei diesem RNC, also da wo jetzt Trump offiziell zum Kandidaten gewählt wurde, hat er halt versucht eine Rede zu erhalten. Das war so ein Trainwreck. Also er hat irgendwie versucht da einen Witz zu machen. Keiner hat auch nur reagiert, obwohl die alle da so gehypte Trump-Fans waren. Das musst du dir mal anschauen, und wie er versucht hat, da irgendwie so einen Mountain-Dew-Joke rauszuhauen. Das war schon fast peinlich. Oder was heißt fast, das war sehr peinlich. Der Typ bringt halt nichts. Und vor allem, er quatscht halt jetzt nur Trump nach. Das heißt, Trump hat sich jetzt sozusagen jemanden geholt, der genauso radikal ist und genauso einen Unsinn von sich gibt wie Trump selber, macht aber dieser Mitte kein Angebot. Wenn also jetzt Kamala Harris mit einem entsprechend klugen weißen Präsidentenpick hier kontert, dann hat Trump das Problem, dass er sich im Prinzip... Kamala Harris zu bekämpfen, die falsche Person gesucht hat. Er wollte halt über das Alter gehen, deswegen hat er sich gedacht, na dann nehme ich doch hier mal so einen 39-Jährigen, das passt schon irgendwie. Jüngster Vizepräsidentenkandidat bisher überhaupt. Und das scheint so ein bisschen nach hinten loszugehen. Aber wir sehen ja auch, wie der News-Cycle funktioniert. Dachten wir vor zwei Wochen noch so, oh Attentat, das wird jetzt das Thema, die nächsten drei Monate bestimmen, redet da jetzt schon fast keiner mehr drüber.
Genau, was ist da überhaupt genau passiert? Also es gibt ein Betriebssystem. Also Computer haben Betriebssysteme. Verbreitete Betriebssysteme sind Linux, Windows und ein paar BSD-Derivate, von denen beispielsweise macOS auch eines ist. Ja, also eigentlich gibt es relativ wenige Betriebssysteme. Aber was macht überhaupt ein Betriebssystem? Abgesehen davon, dass es unten eine Startleiste hinmacht oder einen Finder oder oben links irgendwie einen Pinguin, ja, ist der Betriebssystem Kern dafür da, dass der Computer überhaupt unterschiedliche Programme gleichzeitig ausführen kann, dass man die starten kann und sonstige. Also sonst könnte der Prozessor, wenn man jetzt kein Betriebssystem hätte, könnte der nur ein Programm ausführen, nämlich das, was ich ihm gebe und dann führt der das aus. Und das Betriebssystem ist dafür da, dass das Ausführen mehrerer Programme gleichzeitig, mehrerer Prozesse gleichzeitig zu verwalten und darüber vielleicht auch so eine gewisse…. Herrschaft zu halten. Das ist erstmal ein Betriebssystem. Hat eigentlich fast jeder Computer, aber nicht wirklich jeder. Also wenn man jetzt irgendwie alte digitale Uhren nimmt oder so, die haben kein Betriebssystem, sondern die haben das eine Programm, was sie machen. Und das also ist die Idee des Betriebssystemkernes, ist das Starten anderer Programme zu ermöglichen, zu verwalten und eine einheitliche welche Umgebung für diese Programme bereitzustellen ist. So zum Beispiel, dass du sagst, ich bin das Betriebssystem und bei mir gibt es eine Maus. Und die kann ich dir zum Beispiel bereitstellen, weil ich habe einen Treiber dafür und jedes Programm, was im Kontext meines Betriebssystems ausgeführt wird, das kann potenziell mit dieser Maus interagieren über ein Standardinterface. ist. Sonst müsste jedes Programm wiederum mit jeder Maus umgehen können. Aber dadurch, dass das Betriebssystem diese Umgebung bereitstellt, können, Programme sich in diesem Betriebssystem verhalten und werden dann eben für ein Betriebssystem geschrieben, das wiederum mehrere Tastaturen, mehrere Mäuse, was weiß ich, irgendeinen Drucker und so weiter bereitstellt. Würdest du sagen, das habe ich halbwegs richtig erklärt, was ein Betriebssystem ist?
Ich glaube, du hast das, nee, Daniel war das mal, es gibt irgendwie so einen Podcast, wo das mal erklärt wurde, was ein Betriebssystem ist. Was macht Eichelack ein Betriebssystem? Wie dem auch sei, das ist also ein Betriebssystem. Das Betriebssystem selber ist ein Programm auch und dieses Programm hat natürlich sehr hohe, Sehr hohe Macht, weil es ja alle anderen Programme verwaltet, Betreiber bereitstellt und so weiter. Und wenn das Betriebssystem einen Bug hat, also der Kernel selber einen Fehler hat, dann ist die beste Möglichkeit damit umzugehen, wirklich einfach alles hart zu stoppen. Weil jetzt ja die Verwaltung aller anderen Programme verloren gegangen ist oder offenbar aus dem Tritt geraten ist und im Gegensatz zu wenn jetzt ein normales Programm auf deinem Computer crasht, dann meldet sich im Zweifelsfall das Betriebssystem und sagt, ey, da ist so ein Prozess, der dreht irgendwie durch, der braucht 100%, CPU die ganze Zeit oder der ist gerade gesackfaultet, das ist jetzt weggeschmiert, müssen wir mit umgehen. Wenn aber das Betriebssystem selber crasht, dann kann ja das quasi dieses Programm auch sich selber nicht mehr trauen. Also crasht der ganze Computer und es gibt ein Blue Screen of Death und der sagt, pass auf, an dem und dem an der und der Stelle war jetzt ein unsicherer Speicherzugriff oder kam nicht das, was ich erwartet habe, bin irgendwo hingesprungen, weiß ich nicht. Feierabend.
Das ist passiert. So, warum ist das aber passiert? Nun ja, es ist passiert auf Systemen, die ein IDA hatten von CrowdStrike. Das ist die Firma, die das ausgelöst hat. So, was ist ein IDA? Endpoint Detection and Response, im Prinzip das, was man früher Virenscanner genannt hat, in ordentlich. Also sehr tief im Betriebssystem vergraben, eben läuft mit Kernelrechten und führt eine Live-Analyse von Aktivitäten und Syscalls und allem durch, was dieses Betriebssystem macht. Das läuft also in dem Kernel mit als Treiber. Ein Treiber läuft auch auf Kernel-Ebene. In diesem Fall sogar einer, der boot-relevant ist. Also sagt sogar, das Windows darf nicht booten, wenn dieser Treiber nicht lädt. Und hakt sich dann an alle möglichen Aktivitäten dieses Betriebssystems ein, um zu schauen, was passiert da so. Ja, also zum Beispiel jedes Mal, wenn ein neuer Prozess ausgeführt wird, fängt das IDA das ab, versucht sich darüber Kenntnis zu verschaffen, guckt, was wird hier gerade ausgeführt, schaut in Speicherinhalte und will so quasi gewünschte Aktivität von ungewünschter Aktivität unterscheiden.
Ja, aber halt wirklich hart verwurzelt, wirklich im tiefsten Inneren des Betriebssystems. Und dafür stellt dieses IDA CrowdStrike einen Treiber bereit mit Kernelrechten und eben auch, der ist ein Bootstart-Driver, das heißt, der muss geladen werden. Du könntest jetzt auch einen Treiber machen, wenn der nicht Bootstart ist und das Betriebssystem sagt, okay, ich versuche mal diesen Treiber zu laden, geht schief, dann lassen wir es eben sein, dann gibt es eben keinen Drucker. Nicht jeder Treiber ist in der Lage, einen Blue Screen of Death herbeizuführen. Und jetzt muss dieses IDA, das macht also zwei Dinge, guckt dem Betriebssystem zu, um Schadsoftware und schädliche Aktivitäten zu finden, hat dabei natürlich eine ganze Reihe von Heuristiken und Definitionen, die sich die ganze Zeit ändern. Was jetzt ein IDA außerdem noch hat und was ich tatsächlich sehr, sehr hilfreich finde in Incidents beispielsweise. Es füttert halt auch alle mögliche Telemetrie an so eine Cloud und wenn du jetzt einen Indicator of Compromise hast und weißt, Okay, ich habe hier, sagen wir mal, 1000 Windows-Rechner, von denen, weil sich einer ist infiziert, in dem Moment, wo du CrowdStrike ausrollst, steht im Prinzip in einem Web-Dashboard, welche anderen auch diese Indicators of Compromise haben. Oder wenn du jetzt eigene definierst und sagst, oh, was weiß ich, diese und jene IP-Adresse ist irgendwie problematisch oder eine Datei mit diesem Hash ist problematisch, dann kannst du die kollektiv auf all diesen Rechnern suchen, statt von allen Festplattenabbilder zu ziehen und so. Das ist also ein sehr hilfreiches Tool in der Bekämpfung und Eindämmung von Incidents. Ohne sowas stehst du sehr, sehr ungünstig da. Und es ist auch ein sehr hilfreiches Tool, dabei Infektionen klassischer, bekannter oder klassische, bekannte böse Aktivitäten auf deinem Betriebssystem zu detektieren. Hier. Hat aber eben den Nachteil, das Ding funkt die ganze Zeit nach Hause und es kriegt von zu Hause Updates. Natürlich kriegt es die ganze Zeit Updates, weil sich ja die böse Aktivität der Angreifer die ganze Zeit weiterentwickelt. Es gibt ja immer wieder neue Indicators of Compromise, auf die so ein Crowdstrike dann reagieren muss. Jetzt haben die also folgendes Problem, jetzt haben die diesen Treiber, der auf höchsten Privilegien im Betriebssystem hängt und wollen den potenziell regelmäßig mit Updates versorgen. Das machen sie aber natürlich nicht, weil dafür wäre potenziell irgendwie Neuladen des Treibers oder Neustart notwendig. Also liest dieser Treiber.
Genau, der wird nämlich signiert, dass er überhaupt geladen werden kann. Guter und wichtiger Punkt, Tim. Wahrscheinlich kannst du unter Wegklicken mehrerer Warnungen irgendwie noch einen Treiber in Windows installieren, Aber ich würde mich nicht wundern, wenn sie es vollständig auch ausgeschlossen haben. So gut kenne ich mich damit nicht aus. Aber auf jeden Fall natürlich ein Treiber, der mit diesen Privilegien ausgestattet ist, der wird von Microsoft eben signiert und es macht Sinn, dass der jetzt nicht dreimal am Tag ein Update kriegen kann. Also schreiben die sich, das ist jetzt quasi die Software-Architektur von CrowdStrike, sogenannte Channel-Files, ich würde das übersetzen einfach mit Signaturen, damit sie nicht den Treiber die ganze Zeit mit Updates versorgen müssen, sondern das sind im Prinzip neue Dinge, nach denen der suchen soll. Und jetzt haben sie, und die schieben sie teilweise stündlich sogar raus oder täglich, das ist einfach das, wie CrowdStrike die ganze Zeit Erkennungs-Updates macht.
Genau, in diesem Fall ging es um bestimmte Art von wie eine, also aktuell ist der Verdacht, dass es darum ging, dass sie, So, wie heißt das denn? Dieses C2-Framework, was alle immer benutzen. Cobalt Strike, genau. CrowdStrike und Cobalt Strike. Wollten sie quasi eine neue Detektionsregel für Cobalt Strike vermutlich ausrollen, die eine bestimmte Art von, wie man einen Prozess abruft. Also das ist alles gerade noch halbwegs grau. Tatsache ist CrowdStrike stellt dieses Update eines Channel-Files bereit und das führt dazu, dass ihr eigener Treiber mit diesem Channel, der im Betriebssystem läuft, der kam mit diesem Channel-File nicht zurecht und dann hat der, ist er eben gecrashed und dann mit ihm der ganze Kern und dann gab es ein Blue Screen of Death.
Auf jeden Fall stand etwas drin, was dazu geführt hat, dass dieser Crowdstrike-Treiber irgendwo über seinen, irgendwie einen falschen Speicherzugriff hatte und in dem Moment ist dann halt das gesamte Betriebssystem abgeschmiert. So. Wie kriegst du das Problem gelöst? Du startest Windows im abgesicherten Modus. Und der abgesicherte Modus heißt so, weil er diese ganzen Treiber nicht lädt. Der ist also genau für den Fall da. Dafür gibt es den abgesicherten Modus. Irgendetwas, was Teil des Betriebssystems ist, verhindert einen normalen Start. Dann gehst du in den abgesicherten Modus, wird alles nicht geladen. Hast du eine Tastatur, hast du eine Maus und 16-Bit-Farben oder was auch immer. Und kannst dann das System reparieren. In dem Fall, in dem du dieses Channel-File, C00, hast du nicht gesehen, 291, gelöscht hast. Es gab auch noch andere Anweisungen, irgendwelche Registry-Keys zu löschen, aber naja, wenn du die Datei gelöscht hast, hat der Crowdstrike-Treiber sie nicht gefunden, hat sie natürlich jetzt auch nicht wieder bekommen, weil Crowdstrike gemerkt hat, ach so, scheiße, die geben wir den Leuten lieber nicht. Damit war das Problem gelöst. Das Problem ist aber, wenn du jetzt sagen wir mal 600 Rechner hast und noch dazu nicht nur CrowdStrike, sondern BitLocker, die Festplattenvollverschlüsselung von Microsoft, die du natürlich eigentlich auf Laptops haben solltest, damit wenn du das Laptop verlierst, niemand die Festplatteninhalte einfach auslesen kann, kann, indem er, einen Linux von USB-Stick bootet oder die Festplatte rausschraubt oder so. So geschehen bei Leuten, die ich kenne und dann hattest du jetzt das Problem, dass du den BitLocker Recovery Key eingeben musst, der eine zufällige Buchstaben-Zahlen-Kombination für jeden Rechner einzeln ist und wenn du deine wenn du deinen Laden nicht vollständig unter Kontrolle hast, musst du eventuell sogar damit rechnen, dass du den gar nicht mehr hast. Und da übrigens fand ich sehr schön, es war jetzt das Problem, wie kriegst du diese ganzen Bitlocker-Codes eingetippt, weil wie gesagt, das sind Zufallszeichen seit der Kryptokie. Da haben Leute sehr schöne Lösungen gehabt und haben die einfach als Barcodes ausgedruckt und mit billigen Barcode-Scannern dann eingescannt. Ganz billige Barcode-Scanner funktionieren einfach als Human Interface Device, das heißt, die melden sich bei dem Rechner als Tastatur an und wenn die so ein Barcode scannen, dann geben die die Zeichen quasi als Tastatur aus und drücken danach Enter. Und da kannst du super mit arbeiten, kostet wenig Geld, hast natürlich die naheliegenden Probleme, wenn jetzt in dem Barcode steht, Tab, Windows-Taste, CMD, Run und dann irgendwie eine Schadsoftware oder so. Aber solange du ungefähr weißt, was du da scannst, kannst du mit den Dingern eigentlich ganz gut arbeiten.
Genau, es funktioniert eben, weil es ein Human Interface Device ist, schon irgendwie auf dieser niedrigsten Ebene einfach mit einer Tastatur und das ist äußerst elegant, wenn du dann die Rechner hast, dann hast du halt ein Blatt Papier, legst das da hin, steckst den Scanner dran, da steht ja dann auch, achso du willst im abgesicherten Modus, jetzt musst du aber erstmal hier den BitLocker Recovery Key eingeben, dann machst du einmal pip, wie Smudo, pip, pip und dann sind wir drin. Schon drin? Genau. Jetzt kommt die Frage, jetzt sagen natürlich alle, wer ist schuld? Und ich würde sagen... Eindeutig CrowdStrike? Und dann kommt die Frage, wird CrowdStrike jetzt dafür haften? Da würde ich sagen, eindeutig nicht. Garantiert nicht. Garantiert werden die nicht dafür haften. Ich bin mir ganz sicher, dass sie genug Anwältinnen und Anwälte haben, um zu verhindern, dass sie dafür haften.
Die haben dann irgendwelche, was man das wollte oder was weiß ich, irgendeine Uber Eats oder was, Gutscheine und die funktionierten dann nicht. Also das ist wirklich wunderschön, wie sie da gefailt haben. Aber wir müssen uns trotzdem noch fragen, also es ist eindeutig, darf nicht passieren, dass CrowdStrike Updates an seinem Produkt rausgibt, die 8,5 Millionen Rechner abschmieren lassen. Sie sagen, Sie machen zwei Arten von Tests. Das eine ist ein Stress-Test, wo sie irgendwie das Update ausrollen, gucken, wie sich das auf Ressourcenverbrauch, Performance und so weiter auswirkt. Also funktioniert das überhaupt? Zum Beispiel Event-Volume ist auch etwas, wo sie gucken, also wenn das Ding jetzt auf einmal ganz viel meldet oder Teile des Betriebssystemes selbst als bösartig erkennt. Das ist so eigentlich das, wie Virenscanner oder EDAs sich irgendwie in die eigenen Beine schießen, dass sie halt auf einmal das Betriebssystem selber böse finden.
Genau, dann sagen dann einfach, irgendeine für das Betriebssystem lebenswichtige Datei ist auf einmal böse und wenn man darauf zugreifen will, sagt es nein und dann sagt das Betriebssystem, scheiße, knack. Das wäre der eigentliche Verdacht, aber es ist tatsächlich hier, oder es wäre der ursprüngliche Verdacht, hier ist es tatsächlich ihr eigener Treiber, ihr Code crasht, wenn man dem Ding eine Channel-File gibt, was so aussieht wie Channel-File 291. Und, Jetzt sagen sie, sie haben dieses quasi Live-Ausrollen auf Testsystem, haben sie gemacht und dann gibt es noch einen Content-Validator, der diese Template-Files validiert und nochmal quasi nochmal approved und sagt, okay, dieses File ist auch wirklich valide, das kannst du diesem Treiber geben. Damit wollen sie vermeiden, dass dieser Treiber auf der Betriebssystemebene crasht, wenn man ihm die Datei gibt.
Genau. Also sie sagen, sie haben normale Tests auf Standardsystemen und dann haben sie den Content Validator. Aber jetzt hatte der Content-Validator auch noch einen Bug, sodass der nicht erkannt hat, dass dieses Channel-File, was sie da rauswerfen, fehlerhaft ist und dazu führt, dass der Treiber abschmiert. Also der Content-Validator hatte einen Bug und den ausführlichen Test, das wirklich aufs System rauszurollen, den haben sie nicht wiederholt, weil sie haben nur eine Kleinigkeit geändert. hat.
Dann gab es zwischendurch noch, hat auch noch einer bei Microsoft angefragt und hat gesagt, Leute, könnt ihr uns mal erklären, das, was wir da sehen, ist ein Blue Screen of Death von Microsoft. Wieso ist jetzt dieses Crowdstrike daran schuld? Und dann sagt, sagen die Microsoft-Leute, naja, pass auf, wir haben Wir haben eine Anforderung von der EU, es gab eine Beschwerde im Jahr 2009. Und da hat Microsoft quasi mit der EU-Kommission sich darauf geeinigt, dass die Hersteller von Sicherheitssoftware den gleichen Zugang wie Microsoft zu den Windows-Innereien erhalten. Also quasi die EU-Kommission wollte sicherstellen, dass Microsoft seine eigenen EDAs, zum Beispiel den Windows Defender, die haben ja auch eine solche Funktionalität eingebaut in das Betriebssystem, kannst du Geld einwerfen, dann hat der auch bessere Funktionalitäten. Dass sie das nicht bevorteilen gegenüber anderen Anbietern, wie zum Beispiel SentinelOne, CrowdStrike oder was auch immer. Weil Markt. Weil der, genau, wo kommen wir denn da hin, wenn nicht jeder Körnerrechte in Microsoft haben kann? Und das ist halt die Antwort von Microsoft und sagt, tut uns leid, Wir müssten denen die Rechte geben, dass sie als Treiber auf Körnel-Ebene mit höchsten Privilegien laufen, hat die EU-Kommission gesagt. Wir hätten das natürlich auch gerne nicht. Wenn Microsoft das nicht hätte, dann würde es im Zweifelsfall CrowdStrike eventuell nicht oder so nicht geben. Ja.
Es hätte auch den, der wäre wahrscheinlich vorher ausgefallen, weil irgendein Typ in irgendeiner E-Mail auf runterladen und ausführen gedrückt hätte. Also es ist eindeutig, also für mich ist eindeutig, dass CrowdStrike hier die Sorgfaltspflicht verletzt hat zu einem fahrlässigen Maß, wenn du ein de facto nicht ausführlich getestetes Update sofort auf ein paar Millionen Rechner rauspusht, dann hast du was falsch gemacht und du solltest natürlich eigentlich auch eine ähm, eine ähm, dass weniger Rechner das Update geben und gucken, ob die das überleben. Haben sie alles nicht gemacht und ich denke, da werden sie zu Recht für gescholten, aber ich gehe auch davon aus, dass sie am Ende nicht dafür haften werden. Auch wenn gleich das tragisch ist, aber es wäre fürchterlich quasi auch für die Hersteller von Software, wenn man für so etwas haften würde. Weil acht Millionen Rechner, der Ausfall und so, also der Schaden, der da entstanden ist, den kann Crowdstrike unter keinen Umständen bezahlen. Das würde das Unternehmen halt komplett ruinieren.
So ist ja die allgemeine Argumentation von allen Leuten, die Software in Umlauf bringen. Und nochmal, Software ist so ungefähr das Einzige, wo man nicht verhaftet. Es gibt also alles andere, was du irgendwo in Umlauf bringst, haftest du für. Und im Bereich der Software haftet niemand, das ist so gelebte Praxis. Macht da keinen Hehl draus, dass ich denke, dass es sinnvoll wäre, Haftung, zumindest bei Fahrlässigkeit und so mal langsam zu ermöglichen. Und ich würde vorsichtig davon ausgehen, dass das, was CrowdStrike hier gemacht hat, potenziell in den Bereich der Fahrlässigkeit fällt. Ich bin mir aber auch sicher, dass CrowdStrike gerade alles Geld der Welt für Anwältinnen und Anwälte ausgibt, die, koste es was es wolle, vermeiden wollen, dass CrowdStrike hierfür in irgendeiner Form in die Haftung gezogen wird.
Es gibt sogenannte Memory-Safe-Languages, die vermeiden, durch wie sie funktionieren, dass Menschen diese Fehler machen können in dem Code. Also dass du quasi unqualifiziert irgendwo in den Speicher zugreifst und der korrumpiert werden kann. Du out of bounds liest, das fängt die Sprache irgendwie selber ab.
Ist das bei C-Sharp auch noch ein Problem? Nee, ich glaube nicht. C-Sharp läuft ja schon mit VM und so weiter, da hast du das nicht mehr. Es ist im Wesentlichen C, C++, das ist so ein bisschen das Problem. Das ist unsere Legacy, die wir noch mittragen. In diesem Fall war es ja mal wieder so ein klassischer Sprung nach Null, wenn ich das jetzt richtig erinnere. Also es wurde quasi eine Instruktion ausgeführt, die so nicht hätte ausgeführt werden können, weil Speicher korrumpiert war. Mit anderen Worten, das Programm war mehr oder weniger in der Lage, sich selbst die Karten zu legen und damit einen Fehler auszuführen, wo halt der Prozessor nicht mit umgehen kann, woraufhin. Wiederum das Betriebssystem damit nicht umgehen konnte. Und moderne Programmiersprachen, also nahezu alle, haben dieses Problem dadurch gelöst, dass einfach dieser niedrigschwellige Zugriff auf die Hardware so überhaupt nicht mehr machbar ist. In C und seinem C++ hat man eben diese Kontrolle und das ist halt bei vielen Programmierern auch noch so ein bisschen so eine Religion, dass man ja diese Kontrolle unbedingt bräuchte, um wirklich alles bis aufs Letzte durch zu optimieren. Aber ich kann halt sagen, ein Computer, der ein ganzes Wochenende stillsteht, weil irgendwie das Betriebssystem gecrashed ist, schafft einfach bestimmte Aufgaben nicht besonders schnell. Da sollte man sich mal überlegen, was nicht vielleicht die bessere Sache ist. Was die Betriebssysteme betrifft, die natürlich alle noch aus dieser alten Zeit stammen und sehr, sehr, sehr langsam sich so in die Zukunft involvieren, da wird es noch eine ganze Weile dauern, bis man das komplett abgelegt hat. Es gibt Entwicklungen wie die Rust-Programmiersprache zum Beispiel, die dort neue Wege schafft, sowohl diesen Effizienzgedanken in irgendeiner Form aufrechtzuerhalten, aber auf der anderen Seite sicherzustellen, dass solche kaputten Speicherzugriffe nicht mehr stattfinden, beziehungsweise nicht fatal sind. Und höhere Programmiersprachen, die also ohnehin schon etwas abstrakter daherkommen, haben schon immer einen gewissen Preis bezahlt, was die maximale Performance betrifft, aber auf der anderen Seite... Können die technisch gar nicht so einen Fehler überhaupt erzeugen. Nur in dieser Treiber-Betriebssystem-Welt, da wird einfach noch sehr viel auf dem blanken Metall geputzt und das ist und bleibt auch noch für die ganze Zeit ein schwieriges Problem, aber ich finde auch die Softwareindustrie muss langsam mal erkennen, dass es vielleicht ganz sinnvoll wäre, mal kategorisch solche Fehler auszuschließen und das geht. Das ist kein Hexenwerk, sondern das ist möglich, sondern man muss sich entscheiden, modernere Werkzeuge zu verwenden, man muss sich da vielleicht auch mal mit den Betriebssystemherstellern auf dem Pfad einigen, wie man das auch gesichert in die Zukunft tragen kann und dann wird es auch irgendwann mal werden. Aber so wie es derzeit ist, kann ich nur sagen, also dieser Blogpost hat das schön zusammengefasst im Stile dieser Onion-Artikel, die sich in der Regel halt immer auf School-Shootings beziehen.
Ja, also denke auch, dass man, also ich verstehe auch ehrlich gesagt nicht unbedingt, warum man da irgendwie stolz drauf sein soll, dass man sich da irgendwie einen so einen, Speicherfehler nach dem anderen in seinen Code macht oder halt besonders smart ist, dass man das schafft, das in vielen Fällen zu vermeiden.
Okay, ja, also ich bin auf jeden Fall sehr gespannt, wie das jetzt weitergeht. Wie gesagt, meine Prognose ist, niemand wird dafür haften. Ich würde auf jeden Fall sagen, Crowdstrike hat da fahrlässig offenbar irgendwie was rausgeschossen. Ich bin mir sehr sicher, dass sie genug Anwältinnen und Anwälte haben, die das in sehr viel Papier schreiben, dass das nicht der Fall gewesen wäre.
Andere Produkte haben prinzipiell erstmal das gleiche potenzielle Problem. Ich habe schon gesagt, dass solche EDAs, XDAs sehr, sehr hilfreich sind. Und es gibt ja jetzt auch irgendwie einige besonders qualifizierte Leute, die dann irgendwie empfehlen, man sollte darauf verzichten. Das halte ich für äußerst falsch, also für äußerst unklug in so einer Enterprise-Umgebung. Also wenn du jetzt irgendwie, die Realität heutzutage ist, ist, dass du halt irgendwie ein Unternehmen betreibst, in diesem Unternehmen Microsoft-Rechner stehen und du willst da ein IDA drauf haben. Ob das jetzt Microsoft Defender ist oder ein Drittprodukt ist, am Ende relativ egal, aber du bist dem Problem, du musst ja in IT-Sicherheit dir immer überlegen, wie verringerst du Wahrscheinlichkeiten? Wie ersetzt du das Problem, was du hast, durch ein potenziell kleineres, das ist ja das, was man in IT macht, ist ja nicht so, dass man Probleme löst, sondern man schafft sich nur andere, die man besser kontrollieren kann und, ich würde sagen, in einer Umgebung, wo du jetzt so ein Enterprise-Umfeld, nicht unbedingt du jetzt zu Hause auf deinem Rechner, du, ich zu Hause würde, ich benutze sowas nicht, auf gar keinen Fall kommt mir sowas auf meinen Rechner, aber wenn du die Sicherheit eines Unternehmens, einer Organisation, einer Rechnerflotte sicherstellen willst, dann kommst du nicht drum herum, irgendwie so etwas zu haben. In einem größeren Unternehmen, wo du davon ausgehen musst, dass die Wahrscheinlichkeit, dass etwas angeklickt und ausgeführt wird, einfach mal eins ist.
Es sind ja im Prinzip zwei Dinge, die man hier auseinander halten muss. Das eine ist dieser Komfort, den man eben von so einem Remote- Überwachungssystem und Early-Detection- System hat. Das andere ist die Frage, wie ist das ganz konkret in das Betriebssystem eingebettet und muss es wirklich dieses Sprengfallen haben. Und meiner Meinung nach wäre Microsoft jetzt dann doch anzuraten, diese Funktionalität, die von diesem Treiber, von CrowdStrike und allen anderen Herstellern dort realisiert wird, in irgendeiner Form als Betriebssystem-Service anzubieten, für den sie dann wiederum garantieren können, dass der eben nicht verkauft, kaputt geht, weil das auf irgendwelche Firmen zu verteilen und dann passiert halt genau sowas, das hat man im Prinzip damit herausgefordert, während ja diese eigentliche Aktivität, die dort durchgeführt wird, mehr oder weniger auch klar definiert ist oder ohnehin im Betriebssystem ja Sichtbarkeit schaffen muss. Und das verstehe ich, da ist eine Innovations-Race natürlich auch noch mit dabei, aber am Ende muss man da abwägen, was kann jetzt sozusagen die Sicherheit, also die Betriebssicherheit herstellen versus was kann die Angriffssicherheit herstellen.
Genau, das ist absolut richtig und es ist auch nicht das erste Mal, dass irgendwie ein Virenscanner-Betriebssystem abknallt. Das ist eher die Regel und wenn man da jetzt nochmal darauf zurückblickt, du hast ja gerade gesagt, also erstens, die laufen auf einer sehr hohen Privilegienstufe, die sind da auch signiert und der aus einer Security-Perspektive crazy Teil ist, dass dieser signierte Treiber irgendwelche dynamischen Updates irgendwo herkriegt und mit denen dann agiert. Das ist das, was halt fundamental falsch ist, weil der jetzt auf einmal Dinge tut, die nicht signiert sind. Der nimmt ja jetzt einen Input von der Festplatte, was offensichtlich Konsequenzen dafür hat, was er tut und was er ausführt und was er jetzt machen wird. Also das, was das Programm tun wird, ist plötzlich, du hast ein Programm durchsigniert und das kriegst jetzt aber irgendwelche Updates dahingelegt und agiert auf deren Basis. Das ist halt fundamental, also du brichst damit diese ganze Idee, dass du den Code vorher signiert hast.
Genau und noch dazu hast du... Es ist gut, dass wir das nochmal ansprechen, weil das eben fundamental, das fundamentale Problem ist, warum solche Systeme, EDAs und so weiter kritisiert werden, weil sie diese hohen Zugriffsprivilegien haben und während sie dort sind, die ganze Zeit dynamisch in dem, was sie tun, verändert werden können. Und es wäre jetzt beispielsweise für dieses CrowdStrike Falcon durchaus jetzt einfach zu sagen, hier gibt es eine neue Regel und die lautet, wenn bestimmte Worte in einer Datei sind, schickt die mal bitte zur Analyse an uns an die Cloud. Und es ist aufgrund der Tiefe, wie es im Betriebssystem drin hängt, auch ein perfektes Spionagewerkzeug. Was auch erklären könnte, warum man sich darüber so große Gedanken macht, wenn so etwas von russischen Unternehmen kommt oder so. Also Kaspersky zieht sie aus dem US-Markt zurück. Es gibt in bestimmten Hochsicherheitsbereichen dann eben auch Zweifel, ob man ein solches IDA einsetzen kann, wenn man da im Bereich des Geheimschutzes tätig ist. Aber dann kommt wieder die Frage, naja, okay, dann haben wir halt hier jetzt kein IDA. Das heißt, in dem kritischsten Bereich verzichten wir jetzt auf einmal auf Schadsoftware-Schutz. Und das wird natürlich auch... Das ist jetzt auch nicht unbedingt der bessere Weg nach vorne. Das andere, worauf du hinaus wolltest, ist, dass Apple so etwas nicht zulässt, dass du auf Kernel-Privilegien-Ebene läufst. Nee, die haben, Kernel-Extensions haben die alles rausgeworfen. Was aber auch zum Beispiel dazu führt. Die hatten zum Beispiel früher, ich nutze so eine Application Firewall, also ein Programm, was für jeden einzelnen Prozess überwacht, welche Internetverbindungen der hat und dann kannst du eben dem sagen, was weiß ich, dieses Programm kriegt kein Internet oder was weiß ich, der darf sich nicht zu Adobe verbinden, der darf sich nicht zu Google verbinden, aber der Rest darf das. Das ist eine Application Firewall und die hat, habe ich schon sehr lange, früher hatte die ein Kernel-Modul und hat da einfach auf Kernel-Ebene den Traffic kontrolliert, das hat Apple irgendwann abgeschaltet. Und das hat aber jetzt auch zur Folge, Und dass diese Firewall, die spricht halt jetzt über irgendein von Apple bereitgestelltes Kernel-Interface und kriegt von Apple gesagt, guck mal hier, der Prozess will sich da hin verbinden, willst du das machen oder nicht? Dann sagt die Application Firewall, ja, bitte ja, bitte nein. Jetzt hast du eine bessere Integrität des Betriebssystems, weil Bugs in dieser Firewall können nicht mehr den Kernel potenziell aus dem Tritt bringen. Aber Apple kann natürlich auch sagen, für unsere eigenen Prozesse, die melden wir nicht an diese Firewall, weil für die Integrität unseres Betriebssystems ist schon wichtig, dass wir mit unseren Cloud-Dingern reden können und Telemetrie machen können und so. Und das wäre ja jetzt wirklich nicht gut, wenn jetzt irgendeine dahergelaufene Application-Firewall unsere Lizenzchecks zum Beispiel unterbindet. Das heißt für die Integrität hier, machen wir mal halblang. Und das gab natürlich dann auch einen großen Aufschrei, weil damit der Nutzerin potenziell nicht mehr die vollständige Kontrolle über den Netzwerktraffic gegeben ist, wie das nach alter Schule mit Packetfilter und so weiter durchaus möglich gewesen wäre.
Ja, ist ein Spannungsfeld, wie man so schön sagt, weil es natürlich auch durchaus argumentierbar ist. Heutzutage sind eben nun mal sehr viele Sicherheits- und andere Grundfunktionalitäten serverbasiert. Man hat iCloud angebunden, das ist alles auch extrem wichtig für Authentifizierung, für Überprüfungen auch. Und natürlich, wenn man da jetzt irgendwie dazwischen geht und sagt, die URL, die gefällt mir jetzt aber hier nicht und mit der API-Bereste will ich nichts zu tun haben, dann nimmst du natürlich das System dann auch auseinander, dass es dann wiederum so Nebenwirkungen hat, dass man eben bestimmte Dinge, die vielleicht nicht unbedingt essentiell wichtig sind und die man dann doch gerne unterbinden möchte, nicht unterbindbar sind. Aber grundsätzlich ist das schon mal von der Security des Betriebssystemsansatzes her gut, dass diese ganzen Überprüfungsvorgänge abstrahiert und in einem definierten API, also in einem für Programme zugreifbaren Interface abgelegt sind. Sind, weil dann ist es eben nicht erforderlich, dass ich etwas ganz tief in den Körner reinlegen muss und dort zu Problemen führt, wie die Abschaltung des BER.
Two-Factor-Authentication. Two-Factor-Authentication ist gut, wichtig, wollen wir, finden wir richtig, wir wollen Two-Factor-Authentication haben und... Um das nochmal kurz zu wiederholen, das True Factor hat eine Theorie dahinter, dass man nämlich aus den Faktoren Haben, Wissen und Sein zwei unabhängige Faktoren zur Authentifizierung nimmt. Also der erste ist häufig ein Wissensfaktor, nämlich das Passwort. Und dann käme der zweite Faktor, wäre also aus Haben oder Sein. Die Gebildeten von uns kennen den Klassiker Erich Fromm.
Oder Sein ist 76. Ja. Kunst des Liebens, da hat der Tim sich natürlich ausführlich mit verhandelt. Na klar, ich bin ja Experte. Okay, genau, haben oder sein wird also abgebildet dadurch, dass du unter Beweis stellst, üblicherweise ein Gerät zum jetzigen Zeitpunkt in deinem Besitz zu haben oder sein wäre so ein Biometriefaktor. Und dieser zweite Faktor haben wird häufig auch realisiert durch, wir schicken dir eine SMS, weil du damit ja den Nachweis erbringst zu diesem Zeitpunkt. Das Gerät zu haben, Zugriff auf das Handy zu haben. Also meldest dich jetzt bei der Bank an, dann sagst du erstmal, Passwort ist in Ordnung, dann sagst du jetzt, will ich Geld überweisen, dann schickten sie dir eine SMS, ich glaube inzwischen dürfen sie das ja nicht mehr, PSD 2 wird glaube ich nicht mehr gemacht, aber dann wird dir quasi, gucken wir mal nochmal, ob du auch dein Handy hast, du sagst, du weißt Tims Passwort, gucken wir mal auch, ob du Tims Handy hast.
Genau, aber das ist also die gesamte Idee von zweiter Faktor. Die schönen Umsetzungen sind die mit den time-based one-time-passwords, wo du irgendwie so eine App hast, die dir alle alle 30 Sekunden einen anderen Code anzeigt oder eine App hast, die dann quasi nochmal holt, jetzt gibt es eine Überweisung auf das Konto so und so und um genau diese eine Überweisung jetzt freizugeben, gib bitte folgenden Code ein. Das wären dann immer so die Echtzeitdinger, die letztendlich auch immer den Haben-Faktor abbilden oder das sogar teilweise mit dem Sein-Faktor verbinden, indem sie noch eine biometrische Ausführung machen, wie auch immer. So, soviel zu zwei Faktoren. Jetzt haben wir zwei Faktoren nochmal erklärt. Sehr gut. Wollen wir haben? Zwei Faktor ist immer, immer besser als ein Faktor.
Und jetzt gehen natürlich Unternehmen hin und sagen, okay, pass auf, wir machen mal, wir machen das mit SMS. Super. Und jetzt müssen wir SMS versenden. Wie machen wir das? Ja, stecken wir irgendwie ein USB-Kabel an unser iPhone und stecken das iPhone an den Server und dann stecken wir SMS. Nein, du verwendest natürlich so Bulk-SMS-Versender. Das sind dann Unternehmen, die das anbieten, die die Service-Dienstleistungen anbieten, eine SMS zu versenden. Und dafür nehmen die natürlich dann Geld, kostet dann einfach so und so viel Cent pro SMS. Preise unterscheiden sich danach, in welches Land du versendest. Mit dem einen Land haben sie bessere Deals als mit dem anderen. Und das sind dann SMS-Versender.
Und die bieten dir im Prinzip an, also du machst jetzt sagen wir mal so einen Online-Shop oder eine App oder so und dann bieten die dir an, hier kommt eine, du gibst quasi ein Authentifizierungs-Request bei uns raus mit der Telefonnummer und wir stellen das zu und geben dir zurück, welchen Code derjenige eingeben muss. Also mehr API brauchst du dafür ja nicht. Machst mal bitte Authentifizierung mit der und der Telefonnummer und dann sagen die alles klar, ist in Ordnung, hier ist der Code, Wenn die den eingibt, dann hat der die SMS bekommen. Kannst du natürlich auch komplizierter machen, steht in der SMS dann drin, wenn du jetzt so und so viel Geld da und dahin überweisen willst, gib mal ein oder was auch immer. Kann man irgendwie machen, bieten die an. Wer gehört noch zu den Kunden? WhatsApp. WhatsApp gehört zu deren Kunden, weil WhatsApp zum Abschließen des, ich möchte gerne WhatsApp auf folgender Telefonnummer haben, schicken die dir eine SMS und sagen, hier ist dein WhatsApp-Verifizierungscode. Und dann beweist du, yo, ich habe WhatsApp. Übrigens interessanterweise, kleiner Funfact, ich habe mich da mit Meredith Whitaker auch drüber unterhalten, diese SMS-Verifikation ist der höchste Posten im jährlichen Budget von Signal. Signal, der größte einzelne Posten, den die haben, sind sieben Millionen US-Dollar für Verifikations-SMS, die sie verschicken.
Und du musst aber ein paar Millionen ausgeben für SMS. Fand ich ganz lustig. Den Blogpost verlinken wir auch. Signal is expensive. Okay, aber ich wollte ja eigentlich mal zum Thema kommen. Genau, jetzt gibt es einen Anbieter, der diese Dienstleistung, wir verschicken SMS, anbietet. Und dieser Dienstleister heißt Identify Mobile, und die haben gesagt, naja okay wir haben ja hier so Systeme, die sind ja super, die müssen aber irgendwie auch mal ein bisschen prüfen da schreiben wir mal Logfiles und wir schreiben diese Logfiles am besten in einen Amazon S3 Bucket also, S3 Simple sowieso Storage ich weiß nicht was das zweite ist. Ein Standard, den Microsoft in diesem Simple Storage Service, Amazon S3 Simple Storage Service ist im Prinzip eine webartige API, um Speichern und Abrufen von Daten zu ermöglichen. Wird in diesem ganzen Cloud-Umfeld gerne verwendet und die Art, wie man mit S3 spricht, wird auch inzwischen von anderen Cloud-Storage-Anbietern unterstützt. De facto ist das einfach nur, wir haben eine API und können da Dateien hinlegen. Und das kannst du halt natürlich hinter einer Authentifizierung verbergen oder nicht. Und dieser Anbieter Identify Mobile hat halt gedacht, oh, diese SMS, wir verschieben ja relativ viele SMS. Dann schreiben wir mal Log-Files und dann packen wir die mal auf ein S3-Bucket und das S3-Bucket lassen wir mal ohne Authentifizierung. Und dann lagen die Log-Files von diesen SMS, wo dann drin steht, an wen, welche Uhrzeit, welcher Inhalt, diese SMS versendet wurde, erfolgreich zugestellt und so weiter. Das haben die einfach weggeloggt und weltlesbar ins Internet gestellt, was zur Folge hatte, dass du also quasi dorthin schauen konntest. Wenn du jetzt quasi das Passwort von jemandem gehabt hättest, hättest du dich angemeldet, in dem Moment wird diese SMS gesendet und dann guckst du in diese Logfiles und siehst, welcher Code da steht und kannst quasi diese Zwei-Faktor-Authentifizierung außer Kraft setzen. Ebenfalls hättest du WhatsApp-Nummern übernehmen können, sagst du, ich habe die und die Nummer, WhatsApp schickt die SMS, dann gibst du den Code ein, hast WhatsApp bewiesen, dass du die Nummer hast, kannst du WhatsApp auf fremde Nummern registrieren. Schön. Fand ich ein super Datenleak. Du brauchst ein wunderschönes zweite-Faktor-Authentifizierungssystem, schreibst einfach mal die Logfiles offen ins Internet. Insgesamt waren mehr als 200 Unternehmen betroffen, die diesen Anbieter nutzen. Und irgendwie waren so 198 Millionen SMS-Lagen da rum. Und dann ist folgendes passiert, also wir haben das als CCC dann gemeldet, also es gibt Leute, es gibt mehrere Leute, die suchen einfach regelmäßig einfach S3-Buckets ab und gucken, ob da was ist.
Weil die oft nicht richtig geschützt sind und weil man da eben zum Beispiel sowas findet. Und dann guckt man da rein, dann lässt man so einen Scan laufen, irgendwann guckt man da rein und denkt, oh guck mal hier, das ist aber spannend. Jetzt hast du aber das Problem, du weißt nicht, wem dieser Bucket gehört. Das heißt, du siehst dann da von 200 Unternehmen diese Zwei-Faktor-SMS und hast jetzt die Aufgabe herauszufinden, wer schreibt denn diese scheiß Logfiles. Und da haben wir dann, naja, also Unternehmen, die in diesen Listen standen, wo wir Kontakte hin hatten, angeschrieben und haben gesagt, hör mal, ihr steht da, eure Zwei-Faktor-SMS stehen in so einem Ding. Deswegen könnt ihr uns sagen, wer euer Anbieter für Zwei-Faktor-SMS ist, damit wir dem Bescheid sagen können, dass sie ein Bucket haben, wo dieser Shit drin steht. Das heißt, wir haben das dann mithilfe dieser Unternehmen geklärt und dann brach aber die Hölle über uns herein, weil dann ist das Datenleck gesperrt, alles gut. Es war jetzt auch kein GAU, weil nach unserer Kenntnis wurde das nicht ausgenutzt. Und dann hast du aber von diesen 200 Unternehmen die Datenschutzbeauftragten an der Backe, die dir dann nämlich so, weil dann schickt nämlich, dann war Twilio da mit drin, weil Twilio auch noch irgendwo da drin hing, ja, und dann schreiben die dir alle und sagen, es gab ein Datenlex, aber könnt ihr bestätigen, dass ihr diese Daten gelöscht habt? Ja, Hammer gelöscht, keine Sorge. Und dann irgendwie, könnt ihr bestätigen, dass niemand anderes Zugriff darauf hatte? Nein, können wir nicht.
Könnt ihr bestätigen, dass folgende drei Zugriffe von euch sind und die einzigen sind? Dann sagst du so, naja, nach unserer Kenntnis gingen von uns vier Zugriffe aus. Und dann kommt das aber. Weil dann der Anbieter schreibt dann halt diesen Unternehmen und sagt, wir hatten einen Zwischenfall, aber hier gibt es nichts zu sehen, alles gut. Wir haben bestätigen können, dass die CCC-Sicherheitsforscher das gelöscht haben. Und dann schreiben aber die Datenschutzbeauftragten, dann könnt ihr uns bitte nochmal bestätigen. Und das war ziemlich nervig, vor allem, weil es dann irgendwie nur dieser Cover-US-Kram ist, statt jetzt mal zu überlegen, wer ist der fucking Depp, der diese SMS überhaupt lockt, noch dazu in großer Menge auf einem offenen S3-Bucket, können wir mal mit dem reden?
Das war jetzt eh nochmal so ein Ding, die haben dann behauptet, das wäre nur ein sehr kurzer Zeitraum gewesen. Also die sagen natürlich, der Zeitraum, den die einräumen, ist natürlich der Zeitraum zwischen unserem, also demjenigen, der es gefunden hat, war ja nicht ich, dem ersten Zugriff und der Meldung. Und dass sie es abgeschaltet haben. Den Zeitraum sagen die dann, da waren die Daten zugreifbar. So, derjenige, der das Ding gefunden hat, hat aber das als Teil eines massenhaften Scans Monate vorher schon gefunden. Hat aber nicht reingeschaut, weil er einfach eine Liste hatte und die hat er gewissenhaft abgearbeitet und hat ein paar Monate gedauert und das heißt, wir haben schon eigentlich den gesicherten Eindruck, dass diese Sachen sehr viel länger zugreifbar waren. Aber natürlich hast du es dann mit diesen Anwältinnen und Anwälten zu tun, die dann, das war der bestätigte Zugriff so an diese Uhrzeit und, oh ey, ekelig. Und genauso wird das bei Crowdstrike auch sein. Weißt du, dass da jetzt irgendwelche, so Rosinen, wie heißt das, Korinthenkacker, irgendwelche Detailtexte schreiben, bis alle kotzen und sagen, boah, verpisst euch einfach. Naja, okay. Ja, das war noch eine ganz schöne Meldung des CCC. Lehre davon, zwei FAP SMS ist immer noch besser als nichts. Und auch hier ist jetzt halt, es gab keinen GAU, aber es hätte durchaus einen geben können. und andere Verfahren kommen ohne diesen Anbieter aus und die würden wir empfehlen. Vor allem, wenn das so scheiße teuer ist. Also TOTP ist nicht Phishing-resistent, aber immerhin ist es 2FA, SMS auch nicht und ich glaube, da seid ihr erstmal besser mit beraten. Und dann könnte man halt Hardware-Tokens nehmen, aber das ist jetzt vielleicht auch für den einen oder anderen Popel-Zugriff ein bisschen überzogen.
Ja, auf jeden Fall macht es sich bei solchen sicherheitskritischen Dingen ganz gut, nicht unbedingt als erstes irgendwelche shady Third-Party-Anbieter zu nehmen, sondern vielleicht ein bisschen enger zu begleiten. Also man kann sich ja externe Hilfe ranholen, wenn man in dem Feld nicht so unterwegs ist, aber da gibt es ja auch noch mehr Stufen als einfach nur so, macht ihr das mal für uns, passt schon. Klar, da kann man dann erstmal auf den ersten Blick Geld sparen, nur mit der Sicherheit, die ja gerade ist, das ist alles so eine wackelige Sache, hat ja dann auch nicht nur einen Preis im Sinne von was spare ich mir hier, sondern es hat ja auch einen Preis in Vertrauen. Also das ist vielleicht sogar überhaupt der wichtigste Preis, den so ein Unternehmen bei den Kunden aufruft.
Weißt du, du hast dann diese Identify-Mobile-Leute, die bieten diesen Service an, die geben sich natürlich irgendwie Mühe, schönen SS7-Uplink für ihren SMS-Versand zu bekommen, nutzen da wieder irgendeinen anderen komischen Anbieter und dann gehen diese sicherheitsrelevanten Codes auf einmal durch eine ganze Menge Hände, die meinen, sie müssten die wegloggen. Schlimm. Schlimm, schlimm, schlimm.
So, jetzt kommen wir, ich glaube wir können das eher nur mal so anteasern, das Thema, das wird uns glaube ich noch ein bisschen länger insgesamt beschäftigen und zwar der AI-Act. Der AI-Act wird jetzt in Kraft treten im August. Dann im Februar 25 werden dann bestimmte nicht akzeptable AIs verboten sein in der EU, die zu Manipulationen und zu Täuschungen von Menschen und zu Verhaltensmanipulationen gedacht sind. Oder Social Scoring bauen. Ich bin mal gespannt, welche Definition von Verhaltensmanipulation sich da am Ende durchsetzt, weil ich denke, dass fast alles, was Menschen tun, ja, das Ziel hat, das Verhalten anderer zu manipulieren. Alles, was Werbung ist beispielsweise. Mal schauen, wie sich das noch ausformulieren.
Ja, ordentlich benehmt und keine Witze macht, wenn ein Attentat auf Trump missglückt. So, dann haben wir die, im August 25, also in einem Jahr, kommen dann eine Reihe an Verpflichtungen für General Purpose AIs zum Tragen. Und im August 2026, dann gibt es Regeln für Hochrisiko-AI-Systeme, die mit Biometrie, kritischer Infrastruktur, Bildung oder Arbeitsrecht zu tun haben. Und dann haben sie jetzt eine Aufteilung in minimale Risiken, niedrige Risiken, hohe Risiken und inakzeptable Risiken. Also inakzeptabel ist dieser Teil, die täuschen oder die das menschliche Verhalten täuschen oder beeinflussen können. Hohe Risiken ist da, wo Law Enforcement, sie benutzt biometrische Identifikation durchgeführt wird oder so, da haben sie halt hohe Kontrolldinge und ja minimale und limitierte Risiken sind irgendwie Chatbots und sonst irgendwas. Gleichzeitig haben sie aber wieder tausend Ausnahmen, dass dann irgendwie der militärische Nutzen, der ist dann wieder ausgenommen von der Kontrolle oder so, sodass das bisher eher nicht, also das macht auf mich nicht den Eindruck, ein gut geschriebenes Gesetz zu sein. Und die Anwältinnen und Anwälte, Juristinnen und Juristen, mit denen ich mich darüber unterhalten habe, die haben auch nicht den Eindruck, dass das jetzt besonders handwerklich gut ist. Wir werden uns da denke ich mit Teilen davon in zukünftigen Folgen auseinandersetzen. Was ich an dieser Stelle vielleicht mal noch besprechen wollen würde, es gibt halt diese Compliance-Checks und du wirst halt, also wenn du jetzt irgendwie so Modelle in den Umlauf bringst oder auf deinen Systemen laufen lässt und Kunden denen aussetzt, wirst du halt eine Reihe an Compliance-Checks machen müssen, die es dir sehr schwer machen, auch in den nicht so kritischen Systemen, so etwas überhaupt in den Umlauf zu bringen. Und da gibt es jetzt das Argument, dass man argumentieren könnte, dass dieser AI-Act vielleicht ein bisschen früh ist und potenziell zum Standortnachteil Europas werden könnte. Was die Entwicklung von AI-Systemen angeht. Wir wissen, Europa und Bundesrepublik Deutschland sowieso ganz weit vorne, ganz weit vorne in diesen ganzen Innovationstechnologien wie Dieselmotoren oder so, aber mit dieser AI und sonstigen ganzen Tech-Sachen, Da könnte man jetzt von einem Risiko ausgehen, dass, sag ich mal, auch diese Innovationswelle nicht von Europa ausgeht. Dass also potenziell die Möglichkeiten, die ökonomischen Erträge davon nicht unbedingt hier landen. Und wenn man das jetzt mit Überregulierung auch noch quasi unattraktiv macht, so etwas in Europa zu machen, dann könnte das für diejenigen wenigen, die aus Europa jetzt irgendwie mit Machine Learning etwas machen wollen, könnte das für diejenigen Unternehmen eben zum Standortnachteil werden, dass sie das in Europa machen, während alle anderen irgendwo Offshore, YOLO machen, was sie wollen Und dann potenziell nochmal die Schwierigkeit haben, so etwas auf den europäischen Markt zu kriegen, dass es jetzt auch keine kleine Schwierigkeit ist.
Oder eben auch, dass sie es halt überall anders machen und es dann halt nur in Europa nicht verfügbar ist, diese Technologie. Das ist ja auch gerade ähnlich. Also diese Diskussion findet eine Überregulierung statt. Gibt es ja nicht nur was jetzt diesen AI-Kram betrifft, wo ja die EU, muss man ja sagen, relativ schnell an diesem Thema dran ist. Also bei vielen anderen Themen, also so zu Beginn des Internets, das Internet, das hat sich rapide weiterentwickelt und bis überhaupt erstmal das Bewusstsein in der Politik da war, dass da überhaupt was zu regulieren gibt, geben könnte und worum es sich denn dabei handelt und dass das irgendwie relevant ist.
Und da würde ich aber, also meine Wahrnehmung der Datenschutzgrundverordnung ist, hat das wirklich jetzt in irgendeiner Form da Facebook gezähmt? Ja, es gibt zwei, drei Dinge, die sie jetzt nicht mehr dürfen, aber das fundamentale Geschäftsmodell von denen ist immer noch da und man hätte es vielleicht früher…, Also wenn die DSGVO zehn Jahre vorher da gewesen wäre, hätte man es vielleicht schaffen können, diese Entwicklungen tatsächlich zu verhindern. Gleichzeitig, wer hat heute Probleme mit der DSGVO? Der deutsche und europäische Mittelstand. Du kannst ja, also es ist wirklich so, dass du, sobald du irgendwie Daten verarbeitest, quasi diese DSGVO-Compliance wirklich einfach mal eine riesige Beraterkaste da geschaffen hat und die Juristinnen und Juristen sich freuen, irgendwie dann kleine Unternehmen und Startups irgendwie kaputt zu nerven mit dieser DSGVO. Während Facebook sagt, wir machen jetzt folgendes, ist uns scheißegal und wenn das irgendwie in drei Jahren oder fünf Jahren irgendwo von Max Schrems vor der EU weggeklagt wird, dann zahlen wir halt die 50 Millionen.
Ich glaube, wir werden uns in den zukünftigen Sendungen damit nochmal vertiefend auseinandersetzen. Es gibt auf jeden Fall vokale Kritiker des AI generell. Also ich glaube, handwerklich gut nennt ihn niemand. Und dann gibt es noch eine Meinung dazu, ob das jetzt gut oder schlecht ist, so früh regulierend einzugreifen. Ich muss auch ehrlich sagen, dass ich selber sehr gespalten bin. Ich vermute, wahrscheinlich ist es, also ja, es kann echt sein, dass es halt klug ist, jetzt endlich mal anfangs die Flöcke in den Boden zu rammen und schon mal zu sagen, gut, dann klären wir den Rest halt nachher vor Gericht. Aber wir haben schon mal etwas, um dieses Monster, was da potenziell entstehen könnte, in die richtige Richtung zu schubsen. Es kann aber eben auch sein, dass es die Europäische Union einfach weiter von Innovationen und wirtschaftlicher Teilhabe abschneidet und sodass das finale Goodbye ist. So, ah, okay, da gibt's was Neues. Nee, das verbieten wir erst mal. Beide Perspektiven scheinen, glaube ich, gewissermaßen beide zuzutreffen. Wahrscheinlich schafft es die EU jetzt wirklich, sich selber halt zu schaden und potenziell noch den größten Schaden von anderen abzuwenden. Mal schauen.
Jetzt haben wir klare Verhältnisse und der Markt gehört eh uns. Mach mal, ist in Ordnung. Wir haben auch die Kohle, um den Quatsch zu bezahlen, die Konkurrenz nicht. Was sollte uns hier, also ist doch völlig in Ordnung. Gar kein Problem, mach mal. Wollt ihr noch eine Regulierung? Ist okay. Setzt euch damit auseinander. Wir schicken euch schon mal 180 Lobbyisten auf den Hals, die bei euch an der Kaffeemaschine auf euch warten und dann gucken wir mal. Ist schon in Ordnung.
Okay, jetzt kommen wir in den Teil der kürzeren Meldungen. Hui. Wir haben hier auch darüber gesprochen, dass Asylbewerberinnen jetzt so beschnittene Kreditkarten kriegen sollten oder kriegen sollen, ja, bekommen sie. Bezahlkarten. Funktioniert wie eine Kreditkarte oder sonst was, ne? Hat aber irgendwie so ein paar Limits. Zum Beispiel kannst du 50 Euro Bargeld abheben, damit du nicht mit deinem Bargeld auf einmal, dass du nicht dein ganzes Geld da in Umschlag packst und damit deine Familie zu Hause ernährst oder so. Haben wir ja auch drüber gesprochen, was für ein Quatsch das ist. So, jetzt gab es eine Umsetzung davon in Hamburg und da hat jetzt das Sozialgericht geurteilt und hat gesagt, naja, Ja, also Bargeldlimit könnt ihr nicht pauschal pro Karte machen, sondern da muss es eine Ermessensentscheidung geben und die müssen natürlich zum Beispiel Alter, Behinderung, Krankheit oder Familienumstände berücksichtigen. Also quasi ihr müsst individuell den Bargeldbedarf der Person beurteilen, bevor ihr irgendwie sagt, mehr Bargeld kriegt die nicht. So, finde ich in Ordnung. Das war's. Oder hast du so eine Karte? Nee, hab ich nicht. Aber es ist auf jeden Fall, glaube ich, relativ unsinnig, das zu machen. Dann wurde jetzt tatsächlich einfach mal ein Huawei-Verbot verordnet vom Innenministerium. Und ich war so ein bisschen überrascht, wie wenig, es ist fast an mir vorbeigescrollt.
Müssen die kritischen Management-Systeme bis Ende 29 ersetzt werden. Dummerweise, und ich kenne mich ja ein bisschen mit Mobilfunk aus, weiß ich jetzt auch nicht genau, was jetzt die kritischen Management-Systeme in Rahn und Transport sind und ob das bedeutet, dass man trotzdem weiterhin, ja E-Note Bees und sonstiges von Huawei betreiben kann.
Radio Access Network. Also Zugang, also ich stolper über diesen Satz. In den Zugangs- und Transportnetzen, Zugang wäre jetzt, also das RAN, Radio Access Network, das was also Funknetz, Funkmasten sind und wie es dann eben über die Transportnetze zum Core kommt. Und jetzt steht eben, in den Zugangs- und Transportnetzen müssen die kritischen Management-Systeme spätestens 2029 ersetzt werden. Und jetzt weiß ich nicht genau, ob der Satz bedeutet, die Management-Systeme sind jetzt kritisch und die müssen ersetzt werden. Die dürfen nicht mehr von Huawei sein. Oder ob das heißt, Deutsche Telekom oder was, die können jetzt jede einzelne Antenne vom Dach holen und müssen, was weiß ich, was anderes da hinstellen.
Ich bin, ich finde es, also ich werde aus der Meldung noch nicht so ganz schlau. Jedenfalls, also meine Frage ist, sind Antennen von Huawei noch erlaubt oder nicht? Weil ich würde schätzen, wenn die nicht mehr erlaubt sind, dann haben einige Netzbetreiber in Deutschland richtig Probleme. Da müssen die auf eine ganze Menge Dächer klettern. Und ja, da Kern und sonst was, irgendwie Management-Systeme, ja, das kriegt man schon irgendwie hin. Aber nochmal, das Problem sind nicht die Komponenten von Huawei, sondern dass dann jeweils eben diese Netze auch wirklich von den Anbietern gebaut werden. Also wenn du, du kaufst nicht bei Huawei irgendwie eine Antenne oder was und sagst, gib mal her, dann kommt die auf der Palette und dann fährst du da hin und schraubst die aufs Dach, sondern die wird natürlich auch von Huawei-Mitarbeiterinnen entsprechend dimensioniert. Die Management-Systeme sind von denen, du hast quasi die sind da, die gehen bei dir ein und aus wenn du bei denen Kunde bist und das ist nicht irgendwie so rufst den China an und im nächsten Container kommt was und dann schraubst du das irgendwo hin, ja die sind schon sehr sehr, individualisiert mit dir in deinem Netzausbau beschäftigt und haben natürlich dadurch auch klare, intime Kenntnisse dessen, wie dieser Netzausbau funktioniert und haben natürlich auch Management-Zugänge dorthin Bei jedem Mobilfunknetz. Aber ich habe längere Zeit erklärt, warum ich das zumindest nicht aus Sicherheitsgründen. Gründen für unbedingt geboten halte, diesen Austausch. Ich denke, dass das eher auch Wirtschaftsförderungszwecke hat, das zu machen und die würde ich auch erstmal grundsätzlich, finde ich das nicht falsch, weil 5G-Technologie kann in Europa eigentlich kaum jemand konkurrenzfähig herstellen.
Also ich bin mal gespannt, wie teuer das wird und wie die sich da geeinigt haben. Ich fand die Meldung auf jeden Fall überraschend, weil sie, tja, also dafür, was da vorher für ein Geschrei war, ist diese Meldung so sang- und klanglos mal irgendwie in der Tagesschau kurz an mir vorbeigescrollt, müsste ich mich mal nochmal mehr informieren. Was da jetzt, was das genau also welche Komponenten jetzt als kritisch sind, ich lese raus die haben die, die tatsächlichen die die letzte Antennenmeile nicht mit dazu genommen und dann frage ich mich aber, wie man die managen will ohne Huawei Management Systeme, also irgendwie komisch, aber da Telekom und so nicht so laut schreien, scheinen sie irgendwie einig geworden zu sein, So.
Sich bei einem der Anbieter einen Datensatz mit 3,6 Milliarden Milliarden Standortdaten geben lassen. Und 3,6 Milliarden Standortdaten ist eine ganze Menge und jeder einzelne dieser Standortdaten hat dann aber eine Mobile Advertising ID angebunden. Und damit werden quasi die Datenpunkte einer Person erkennbar. Und dadurch gibt es also jetzt eine ganze Menge Einzelpersonen, die da drin sind, also 11 Millionen Werbe-IDs, und das ist nur Deutschland, so wie ich das jetzt hier verstehe. Es sind in Deutschland geortete Telefone und ihre Bewegungen datiert auf zwei Monate Ende 2023. Da haben sie also irgendwie so einen alten Testdatensatz bekommen von so einem Data Broker, der ihnen natürlich diese Daten dann eher live anbieten möchte. Und ja, fand ich schon ganz spannend.
Dass sie offenbar auf diese Menge aggregiert und dann auch wirklich verkauft werden. Ja, also, erst mal, wie kommt man in so ein Ding rein? Naja, du hast eine App, die fragt dich als erstes, ey, darf ich auf deine Location zugreifen? Du sagst ja klar, immer. Und dann sagt die, ey, geil. Übrigens, die Daten, die ich für dich nutze, kann ich dir zur Werbung nutzen und dann sagst du, ja, sieh ich.
Genau, oder du musst einen Euro einwerfen. So, und jetzt wird natürlich dieser Datenkram und Werbekram, der dahinter stattfindet, der wird ja auch wieder nicht von der App gemacht, sondern von irgendeinem Werbenetzwerk, was dann da reingeklinkt wird. Das ist ja, das baut ja keiner mehr selber heute. Und offenbar gibt es da ein Werbenetzwerk oder mehrere, die noch dazu dann eben diese Daten weiterverkaufen. Ist schon alles irgendwie ziemlich crazy. Und ja, bist da reingekommen. Also Let's Platic Org bietet jetzt so einen Checker an, da musst du dann deine Mobile Advertising ID, die kann man sich anzeigen lassen.
Steht weiter unten. Und bei mir wird sie nicht angezeigt, weil ich glaube, ich habe das grundsätzlich aus. Auf Apple Handys hat die Mobile Advertising ID den Namen IDFA, Identifier for Advertisers. Leider ist sie versteckt. Zum Auslesen braucht es Drittanbieter-Apps wie My Device ID oder Adjust Insights. Und diese Apps benötigen leider die Erlaubnis zum App-Tracking. Deshalb lösche sie besser, sobald du mit ihrer Hilfe eine ID herausgefunden hast. Willst du mal machen? Gucken wir mal, ob du in dem Datenleck bist. Machen wir mal. Lad mal runter. Lad mal.
Ja. Oder nachher. Cliffhanger für die nächste Sendung. Gut, wie wird man's los? Es ist tatsächlich jetzt natürlich nicht so einfach herauszufinden, warum man in diesen Daten ist, also erstmal, man kann jetzt seine Device-ID da herausfinden und dort eingeben, dann sagt einem Netzpolitik.org, okay, du bist in diesem Datenleck, oder was heißt Datenleck, in diesem gehandelten Daten, in diesem Preview von gehandelten Daten und dann weißt du aber natürlich noch nicht, von welcher App das jetzt so ist. Dann kannst du eben durchgehen, deine Location-Freigaben, ob du irgendeiner potenziellen Shady- oder irgendwie werbefinanzierten App eine Location-Freigabe erteilt hast und dann könntest du die wieder entziehen. Auf iOS ist das, du kannst halt sagen, ja okay, kriegst du grundsätzlich nicht oder wenn du nächstes Mal willst, frag mich oder du kriegst es immer. Ja und keine Ahnung. Und das wäre natürlich jetzt auch wieder interessant, wenn du da drin bist und bist da andauernd drin. Weißt du, so alle zehn Minuten, dann wird es im Zweifelsfall irgendeine App sein, die dich jetzt wirklich aktiv überwacht. Wenn du halt nur sehr selten drin bist und dann immer zu Hause auf dem Topf, dann ist es halt die App, die du immer zu Hause auf dem Topf verwendest. Aber es scheinen hier Menschen Apps zu haben, da werden ja so unterschiedliche Fälle geschildert, die sie sehr granular überwachen. Also irgendwie wird von jemandem gesprochen, der da und da wohnt, zur Arbeit fährt, danach in ein Unterhaltungsetablissement in Berlin für Erwachsene, danach in ein Einkaufsland. Einkaufsland, entweder ist der halt sehr süchtig nach einer spezifischen App, dass er sie sogar irgendwie in der kurzen Zeit, die er in dem Unterhaltungs- Erwachsene verbringt, nicht von dieser App loskommt oder die trackt ihn im Hintergrund.
Ja, genau, aber ihr könnt euch irgendwie, also sieht ein bisschen, genau, könnt da mal gucken, ob ihr da drin seid, genau, der Checker ist verlinkt und ich fände es jetzt tatsächlich schön, weil wir ja ein bisschen smartere Leute unter den Hörerinnen und Hörern haben, wenn ihr mal schaut, ob ihr da drin seid und dann, ob ihr auch, ob und wie ihr herausfindet, durch welche App, weil das müsst ihr ja dann, ja, oder ihr könnt ja dann Apps verdächtigen.
Bei uns schreibt ihr es zuerst. Naja, ich sag mal, wir haben ja ganz guten Kontakt zu Netzpolitik.org. Ich könnte mir vorstellen, man könnte die ja mal fragen, ob sie, ob man dann nicht mal, ob wir nicht mal gucken können, wo ihr so in den Puff geht. Das haben wir hier als erstes gemacht. Offenbar macht man das mit diesen Daten. Das meinte ich mit Etablissement für Erwachsenen.
Natürlich dann aber auch irgendwie irgendwelche Bad Aibling und so. Ist ja klar. Natürlich. Wenn du elf Millionen Devices hast, in Deutschland ist halt schon wirklich eine sehr große Menge. Und dass dann da Geheimdienstmitarbeiterinnen und Sexarbeiterinnen und Bundestagsabgeordnete, und was nicht alles dabei sind, ist ja völlig klar.
Machen wir. Kriegen wir hin. Ihr denkt dran, bis zum 2. August, wenn ihr möchtet, könnt ihr noch ein Shirt bestellen. Tickets gehen langsam dem Ende zu. Ich denke, da würde ich lieber jetzt mal langsam noch einen schnappen, wenn ihr möchtet. Insbesondere, wenn ihr eine Reise nach Berlin damit verbinden wollten, müsst, könnt oder so. Und dann sehen wir uns mit. Inzwischen haben wir zwei Gäste fix. Und wenn die Sendung jetzt hier vorbei ist, verhandeln Tim und ich, ob wir dritte oder vierte Gäste überhaupt wollen oder nicht.