LNP505 bestandteile-einer-bombe24.de

Feedback — Status Codes — 38C3 — Sicherheitspaket — Elektronische Patientenakte — Hackerparagraph — Urteil Arne Semsrott — epicenter.works — 13 Jahre LNP

Nach unserem Ausflug in die englische Sprache kehren wir zu unserer Muttersprache zurück und klappern die Nachrichtenlage ab. Nachdem wir durch das Feedback gegangen sind reichen wir noch ein paar Status Codes nach und geben dann aktuelle Informationen zum anstehenden 38. Chaos Communication Congress. Umfangreich diskutieren wir dann das drohende Sicherheitspaket inkl. unserem Dauerbrenner Vorratsdatenspeicherung , die elektronische Patientenakte und die anstehende Änderung des Hackerparagraphen. Außerdem ist ein erstes Urteil im Fall von Arne Semsrott ergangen, der versucht, über den Gerichtsweg die Verfassungswidrigkeit eines Gesetzes gegen die Veröffentlichung von Gerichtsdokumenten zu belegen. Wir besprechen, wie beide Seiten argumentieren und wie es in dem Fall wohl weitergehen wird. Zum Schluß weisen wir auf die finanzielle Notlage von epicenter.works hin und stellen fest, dass wir Logbuch:Netzpolitik mittlerweile seit 13 Jahren produzieren.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove 0:00:00
Guten Morgen, Linus.
Linus Neumann 0:00:01
Guten Morgen, Tim.
Tim Pritlove 0:00:02
Du, ich habe in der Einbahnstraße geraucht.
Linus Neumann 0:00:06
Das kostet 2 mal 10 hoch 36 Mark.
Tim Pritlove 0:00:34
Boah, nicht mit dem Singen kommen.
Linus Neumann 0:00:36
Ehrlich. Tim, das klingt so scheiße. Nur wegen Halloween musst du den Leuten jetzt nicht...
Tim Pritlove 0:00:41
Angst machen?
Linus Neumann 0:00:45
Also auch Halloween hat seine Grenzen.
Tim Pritlove 0:00:47
Wirklich?
Linus Neumann 0:00:48
Also du singend.
Tim Pritlove 0:00:49
Ich hab nicht gesungen, ich hab gewabert.
Linus Neumann 0:00:55
Ja, das kann ich jetzt von singen nicht unterscheiden.
Tim Pritlove 0:00:59
Angst einjagen.
Linus Neumann 0:01:00
Ja, aber doch nicht so schlimm. Das ist doch für Kinder. Halloween ist...
Tim Pritlove 0:01:05
Wenn du mir keine Bonbons geben willst, dann muss ich halt...
Linus Neumann 0:01:07
Denk doch mal an die Kinder. Denk doch mal an die Kinder.
Tim Pritlove 0:01:13
Ich denke nur an die Kinder.
Linus Neumann 0:01:15
Kein Wunder, dass hier die ganze Zeit niemand klingelt. Wir sitzen hier in derMeta-Ebene. Keine Kinder draußen, alles voller Kinder.
Tim Pritlove 0:01:22
Die waren letztes Jahr schon da. Die wollten nie wiederkommen.
Linus Neumann 0:01:25
Die wollten gar keine Bonbons. Guck mal her, Kleiner. Ich hab eine Wobbung für dich.
Tim Pritlove 0:01:30
Ich nehm euch eure Macintoshes weg. Ja,ja. Kostet auch Strafe.Wir rauchen in der Einbahnstraße. Hat Google jetzt auch festgestellt.Das ist geil. Also Google hat auf YouTube irgendwie RT und Konsorten,also die ganzen russischen Propagandakanäle gekillt.Und Russland so, voll fies, voll scheiße.Und wir bestrafen euch jetzt. Und hat das schöne Spiel mit dem Reiskorn gespielt.Ist doch irgendeine klassische persische Sage oder so.
Linus Neumann 0:02:09
Das ist ein deutsches Mathematik-Basiswissen, wenn Potenzrechnung kommt.Und dann wird diese komische mit dem Bauern, der belohnt werden soll.Und dann sagt er, nimmst du mal ein Schachbrett, legst du ein Reiskorn aufsnächste, legst du doppelt so viel.Und dann lacht der Herr und sagt, ach du bist doch ein bescheidener Bauer.Und wie viele Felder hat so eine Schacht 64 da hast du halt 2 hoch 64 und dannbist du glaube ich irgendwo an der Grenze der Anzahl der Atome im Universum oder sowas.
Tim Pritlove 0:02:45
Das sagt man dann immer so ne?
Linus Neumann 0:02:46
Ne ist es nicht.
Tim Pritlove 0:02:47
Aber ist auf jeden Fall,2 hoch 64 ist auf jeden Fall richtig viel.
Linus Neumann 0:02:55
Dagegen ist die Strafe für Google in der in Russland noch verhältnismäßig niedrig.Noch. Mit 2 mal 10 hoch 36.
Tim Pritlove 0:03:07
Also es sind 18 Quintillen, also auf Englisch, 18 Quintillen.
Linus Neumann 0:03:15
Ich dachte 20.
Tim Pritlove 0:03:19
Was, 20?
Linus Neumann 0:03:20
Die Google jetzt zahlen.
Tim Pritlove 0:03:21
Ich bin nicht bei Google, ich bin noch bei dem Schachbrett.
Linus Neumann 0:03:24
Ach so, bei Schachbrett.
Tim Pritlove 0:03:25
2,64, nur um mal so ein Gefühl zu bekommen. Also 10 hoch 19, 1,8 mal 10 hoch 19.Also relativ überschaubar im Vergleich zu dem, was Google bezahlen muss.Das ist ja nur 2 hoch irgendwie.
Linus Neumann 0:03:40
Ah, natürlich, okay, natürlich. Natürlich, oh mein Gott. Jetzt siehst du,warum man mir mit solchen Summen auch einfach, warum man mir solche Summen nichtanvertraut, weil ich damit gar nicht umgehen kann.Ja, so einfach ist das. In Mathe nicht aufgepasst, willst du hier einen von der Potenz erzählen?
Tim Pritlove 0:04:01
Wenn du es nicht zählen kannst, dann kriegst du es auch nicht.
Linus Neumann 0:04:02
Lass der Junge mal weiter von der Potenz reden. Hauptsache, der kriegt keinGeld von uns. Der kann damit nicht um.Okay, also gut. Google hat inzwischen...Ist das denn auch mehr als ein Gogol?Gogol. Ist ja die namensgebende Zahl für Google.
Tim Pritlove 0:04:19
Ja, das ist eine gute Frage, die ich genauso wenig beantworten kann.Da muss ich mal kurz nachgucken. Ich fand nur gerade diesen Vergleich,den Wolfram... Ich bin ja Wolfram Alpha.
Linus Neumann 0:04:27
Ich frage hier alles Chatschip.
Tim Pritlove 0:04:29
Also 2 hoch 64, also die Zahl der Reiskörner, die man sozusagen dann theoretischauf dieses Schachbrett legen müsste, was natürlich nicht draufpasst,aber die Anzahl, die dabei rauskommt, diese 18 Quintillen, also auf Englisch,auf Deutsch ist das ja mal ein bisschen anders,also dieses bla bla bla mal 10 hoch 19, das ist noch nicht mal die Hälfte derArrangements, die du an einem 3 mal 3, 3 mal 3 mal 3 Rubik's Cube hast.Herstellen kannst.
Linus Neumann 0:04:59
Deswegen brauche ich immer so lange.
Tim Pritlove 0:05:02
Wie lange hast du den gebraucht? Wie schnell kannst du einen Rubik's Cube lösen?
Linus Neumann 0:05:06
Ich habe nur einen 2x2.
Tim Pritlove 0:05:09
Echt?
Linus Neumann 0:05:09
Den kann ich. Das ist für Doofe.Den habe ich zum Geburtstag bekommen und mit dem komme ich ganz gut zurecht.Ich habe aber auch einen Mindfuck Rubik's Cube, der exzentrisch ist.Das ist ein insanes Ding. also ich hab.
Tim Pritlove 0:05:29
Direkt zwei gekauft der nicht in der Mitte dreht.
Linus Neumann 0:05:32
Sondern also der ist also der hat keinen Farbunterschied der ist auf allen Seiten Silber,ja, aber der hat quasi, du musst dir vorstellen mit einem normalen Rubik's Cubeist das ja in der Mitte das Ding und dann schiebst du dich drumherum und dann musst du gucken, dass,gelb, blau, grün, rot und so weiter an den richtigen Stellen sindjetzt stellst du dir einen Rubik's Cube vor, indem du diesen Kern,der in der Mitte ist den setzt du jetzt oben links in die Ecke von dem Rubik'sCube, der bleibt aber viereckig und jetzt unterscheiden die sich nicht mehr in Farben,sondern wie weit das jeweilige Teil von diesem Kern entfernt ist,und sobald du den drehst Erinnern.
Tim Pritlove 0:06:12
Sich die Farben?
Linus Neumann 0:06:13
Nein, der ändert nicht die Farbe, das ist ein ganz normaler Rubik's Cube,der kann nicht die Farbe ändern der ist überall Silber und wenn du den aberjetzt drehst, dann dreht dersich ja nicht um, also drehen sich die Teile unterschiedlich um die Achse.Und dann hast du innerhalb kürzester Zeit ein komplett wirres Ding.
Tim Pritlove 0:06:30
Was einfach Aber wenn alles silber ist, wie kann da irgendwas durcheinander geraten?
Linus Neumann 0:06:34
Weil er exzentrisch ist.
Tim Pritlove 0:06:37
Achso, wirre, jetzt in seiner physischen Dimension ist er wirr.Das ist ja kein Cube mehr.
Linus Neumann 0:06:43
Genau, der verliert sofort seine Form.Und dann musst du nicht mehr also der ist dann wirklich nicht mehr lösbar.Also, weil er halt, ich guck mal, ich such mal, ob ich irgendwas sowas von demRubik's Cube, ich glaube, das kann man einfach nur noch als crazy bezeichnen.Also das ist der Mindfuck-Rubik's Cube, weil der halt, also der ist in,ja, das gibt's auch gar nicht im Internet.
Tim Pritlove 0:07:15
Also ein Go-Goal auf jeden Fall.
Linus Neumann 0:07:17
Bis 10.100. Bis dahin warten die noch.
Tim Pritlove 0:07:21
Das kann nicht mal lange dauern.
Linus Neumann 0:07:24
Und so einen habe ich. Für Doofe. Also den kann ich.
Tim Pritlove 0:07:29
Aber mit einem normalen Rubikshubs hast du das noch nie aufgenommen.
Linus Neumann 0:07:32
Doch, klar. Ich habe dann regelmäßig weggeworfen, einen neuen gekauft.Oder halt mit einem Hammer draufgehauen.
Tim Pritlove 0:07:42
Also ich glaube, mein Rekord liegt bei 32 Sekunden.
Linus Neumann 0:07:45
10 hoch 32, meinst du?
Tim Pritlove 0:08:00
Ja, also.
Linus Neumann 0:08:02
Ich suche jetzt echt ein Bild von diesem.
Tim Pritlove 0:08:05
Von deinem komischen Silberdienst. Das ist doch so ein Disco.Ich muss sagen, da bin ich ja Puritaner.Was Rubik's Cube betrifft, da verstehe ich ja keinen Spaß. Ich finde alles,was nicht 3x3 und Originalstandardfarben ist, finde ich irgendwie schmerzhaft.Auch diese Vierer-Varianten und so weiter, die funktionieren alle irgendwie nicht.Der 3x3er, der hat einfach die richtige Größe und vor allem ist es auch ganzwichtig, also wenn ihr euch einen Rubikskub kauft oder wenn ihr,jetzt ist ja bald Weihnachten.
Linus Neumann 0:08:37
Weißt du das? Ja.
Tim Pritlove 0:08:38
Und wenn ihr dann sozusagen kurz nachdem ihr eure Jahresspende für Logbuch-Netzpolitik abgegeben habt.
Linus Neumann 0:08:44
Ja, ja, da müsst ihr nochmal.
Tim Pritlove 0:08:46
Wenn ihr dann sozusagen auf die Weihnachtsgeschenke geht.
Linus Neumann 0:08:49
Hier, so einen habe ich auch.
Tim Pritlove 0:08:50
Rubik's Pyramid. Ach, furchtbar.
Linus Neumann 0:08:52
Das ist schlimm.
Tim Pritlove 0:08:53
Disco. Das, nein, das geht nicht.Also wenn ihr einen Rubik's Cube verkauft, dann bitte, bitte nehmt das Original,weil nur das Original hat einfach die richtige Federung.Das ist ganz wichtig, dass da korrekte Federung drin ist, damit er sich auch immer gut drehen lässt.Weil das Ding ist ja nicht nur genial in seiner Idee, sondern er ist ja auchwirklich extrem gut in seiner physischen Umsetzung gewesen.
Linus Neumann 0:09:19
Ja.
Tim Pritlove 0:09:20
Und dann würde ich ihn auch empfehlen, ihn einmal auseinanderbauen,aber nicht um ihn dann wieder richtig zusammensetzen zu können.Das ist natürlich dann auch so ein bisschen der Trick, aber man kann ihn auseinandernehmenmit so ein bisschen Kraft.Kriegt man die Dinger raus, da geht er nicht von kaputt, eben wegen dieser Federn.Und dann mit ein bisschen Vaseline einschmieren. Nicht zu viel,nicht übertreiben, ein bisschen reicht schon.Ganz ein bisschen Vaseline an diese Plastikränder machen und dann wieder zusammenbauen.Zusammenbauen ist einfach reindrücken und dann läuft der so geil, smooth.Es ist wirklich einfach eine Freude.Und dann kann man richtig gut üben. Mittlerweile gibt es auch schnellere Verfahrenals die, die ich damals zum Einsatz gebracht habe und die super Profis,die haben natürlich auch noch mal tausend Tricks.Ich weiß gar nicht, wo der aktuelle Rekord beim Rubik's Cube zusammenbauen liegt,aber ich glaube, das ist eher so im Zehn-Sekunden-Bereich.Und das ist awesome. Da gibt es auch so richtig Weltmeisterschaften und Pipapo. Wenig überraschend.
Linus Neumann 0:10:18
Auf Amazon heißt der Rubik's Cube, den ich habe,Shang-Shu Mirror Cube, wird verkauft als 2x2 und 3x3, also 2x2x2 und 3x3x3 ichwürde sagen also das Ding ist, wenn du den also sobald du den zerdrehst,Guck mal, die haben den hier noch nicht mal zerdreht abgebildet,weil der wird automatisch so einfach so, scheiße, du drehst da zweimal dranund sagst, kacke, ich brauche neun.
Tim Pritlove 0:10:52
Kaum das mal anfasst, wird's scheiße.Das ist doch was zur Trump-Wahl dann, ne?Könnte man sozusagen gleich als passendes Weihnachtsgeschenk verkaufen.Ich such mal noch schnell hier ein Video. Ja, wir kommen ein bisschen aus der Spur.
Linus Neumann 0:11:09
Ja, aber ich habe ja schon jetzt einen Amazon-Affiliate-Link in den Shownotes getan.
Tim Pritlove 0:11:14
So bist du!
Linus Neumann 0:11:16
Hier, da hat er den. Genau, der ist das. Und dann sagt er, guck mal,hier ist mein Würfel. Und mal gucken, ob der sich traut, da dran zu drehen.
Tim Pritlove 0:11:23
Linus, guck mal, hier gibt es nicht im Podcast.Das ist ein Audio-Podcast. Die Leute haben jetzt die AirPods drin,sind schön extra in den Wald gelaufen.
Linus Neumann 0:11:33
Der ist insane.
Tim Pritlove 0:11:34
Ja.
Linus Neumann 0:11:35
Okay, so, nächstes Thema.
Tim Pritlove 0:11:38
Wir haben das Thema noch gar nicht erzählt. Also erstmal, warte mal kurz mal, stopp mal.Jetzt machen wir erstmal das Wichtige, nämlich, hier ist Logbuch-NetzpolitikAusgabe Nummer 505 vom 31. Oktober 2024.Halloween. Wir haben uns auch verkleidet, wir haben auch schon ganz viel Bäuchchengefressen, die wir draußen den Kindern geklaut haben.
Linus Neumann 0:12:00
Ja.
Tim Pritlove 0:12:02
Und in dieser Stimmung in dieser Horror-Stimmung sind wir bereit,euch die Horror-Stories dieser Welt frisch auf den Tisch zu legen,wie ihr es von uns gewohnt seid.Und Google hat auch voll den Horror, weil Russland gesagt hat,ihr habt uns hier unsere YouTube-Kanäle gekillt, jetzt verklagen wir euch.Und jede Woche, wo ihr irgendwie nicht zahlt, verdoppelt sich eure Strafe.Und so kommen sie jetzt auf 200, was ist jetzt? 200 Milliarden,Milliarden, Milliarden, Milliarden Oder auch, jetzt kommt dein Einsatz.
Linus Neumann 0:12:36
2 mal 10 hoch 36.
Tim Pritlove 0:12:37
Ja, okay. Das kann sich ja immer kein Mensch vorstellen. Kannst du dir irgendwie10 hoch irgendwas wirklich vorstellen?Nee, siehst du mal.
Linus Neumann 0:12:48
Womit soll ich das vergleichen?
Tim Pritlove 0:12:49
Ja, weiß ich nicht. Das ist ja das Problem mit dem Vorstellen,wenn man es mit nichts vergleichen kann.
Linus Neumann 0:12:52
2 mal 10 hoch 36 ist 2 mit 36 Nullen.
Tim Pritlove 0:12:55
Ja, aber das kann ich rekonstruieren. Du guckst auf 36 Nullen hintereinander.Ich weiß ja nicht, ob das jetzt mehr oder weniger ist als das andere Nullending.
Linus Neumann 0:13:02
Ich verrechne mich da auch regelmäßig.
Tim Pritlove 0:13:04
Ja, alle tun das.
Linus Neumann 0:13:06
Ja, deswegen macht man die Notation 2 mal 10 hoch 36.
Tim Pritlove 0:13:10
Ja, aber auch 10 hoch 36 oder 10 hoch 39 kann man sich nicht vorstellen.Nicht in Reiskörnern und nicht in Bytes und auch nicht in Geld.
Linus Neumann 0:13:18
Es ist viel.
Tim Pritlove 0:13:19
Es ist mehr Geld, als derzeit auf der ganzen Welt im Umlauf ist.Von daher wird es ein bisschen schwierig für Google, das zu bezahlen.Nächste Woche wird es noch.
Linus Neumann 0:13:27
Aber weißt du, was ich glaube? Google will halt gar nicht bezahlen.
Tim Pritlove 0:13:33
Könnt ihr euch der russischen Autorität nicht unterwerfen?
Linus Neumann 0:13:37
Ich glaube, die werden das nicht zahlen.
Tim Pritlove 0:13:39
Ja, ich habe auch so ein bisschen meine Zweifel. Ist eh lustig,weil Russland hat ja nun YouTube für ganz Russland gesperrt.Es ist ja jetzt nicht so, dass jetzt irgendwie den Russen irgendwas entgehenwürde, weil die haben ja sowieso keinen YouTube mehr.Aber der Rest der Welt soll natürlich in den Genuss der russischen Propaganda kommen.Und da sind sie jetzt ganz zornig und ganz böse und haben den großen Du-Du-Du-Du-Finger,ausgepackt. Das geht ja gar nicht.Und deswegen wird es teuer für Google. Theoretisch auf dem Papier.Immerhin. Also so als Zahlenrechnung und als Spaß für Logbuch- und Netzpolitiktaugt es aber auf jeden Fall. vor allem an Halloween.
Linus Neumann 0:14:16
Aber auch danach.
Tim Pritlove 0:14:17
Auch danach, klar, wir erzählen ja jetzt jedes Mal von. Immer gar nichts.
Linus Neumann 0:14:21
Kennst du hier, wenn du zum Reichstag fährst, da ist doch dieses Gebäude vomBund der Steuerzahler und die haben da so eine komische.
Tim Pritlove 0:14:31
Steueruhr mit bla bla.
Linus Neumann 0:14:32
Bla. So eine Steueruhr, das zählt immer hoch. So werden die alle verschuldet.Der Staat muss Hartz IV kurz oder sowas.Und dann Die könnte man einfach mal so sagen.Ist doch nix, ey. Jetzt könnt ihr mal eure Google-Schulden über da...
Tim Pritlove 0:14:53
So, ich mach auch noch mal einen Link auf wolframalpha.com, weil ich glaub,das ist so eine Webseite, die kennt nicht jeder.Wenn ihr mal ein Problem mit Mathe habt, fragt nicht ChatGPT. Der hat keine Ahnung.
Linus Neumann 0:15:05
ChatGPT hat es halt aus dem Internetforum. Und Wolfram Alpha kann rechnen.
Tim Pritlove 0:15:11
Genau, Wolfram Alpha kann, was Wolfram Alpha nicht rechnen kann,das kann man auch nicht berechnen.
Linus Neumann 0:15:20
Dann gab es Feedback.
Tim Pritlove 0:15:21
Oh ja, es gab Feedback. Wir haben ja jetzt, also wir haben ja zwei,Sendungen gemacht. Eine aufDeutsch, eine auf Englisch. Habt ihr wahrscheinlich mitbekommen. Genau.
Linus Neumann 0:15:36
Oder jetzt kommt die Auflösung.
Tim Pritlove 0:15:39
Das war Englisch.Genau. Und zur vorletzten Sendung, also zur letzten Sendung gab es auch Feedback,das kam wohl ganz gut an, das Gespräch.
Linus Neumann 0:15:53
War ja auch heraus.
Tim Pritlove 0:15:53
Mit Meredith Whittaker, war auf jeden Fall sehr nett.Und zur letzten Sendung gab es noch ein paar Anmerkungen zu Städten.Das eine haben wir ja schon, das hast du glaube ich auch schon festgestellt.
Linus Neumann 0:16:07
Meines hätte ich sogar in der Sendung festgestellt.
Tim Pritlove 0:16:09
Ich bin mir da nicht mehr so sicher. Auf jeden Fall, wir haben darüber gerätselt.
Linus Neumann 0:16:12
Was es in Leipzig gibt. Ja, aber also CCC-Kongress.
Tim Pritlove 0:16:18
Ja, darum ging es ja nicht. Es ging ja um Bundesbehörden und sowas.Und in Leipzig sitzt das Bundesverwaltungsgericht. Hat uns Scholz nochmal indie Kommentare gepackt und vorher war das in Berlin.Das haben sie sozusagen aus Dahlem raus exportiert. Und dann habe ich ja nochgewollt, dass mir einer mal erklärt, was eigentlich alle gegen Düsseldorf habenim Pott. Das konntest du ja auch nicht so richtig erklären.
Linus Neumann 0:16:50
Ich wollte es nicht erklären.
Tim Pritlove 0:16:51
Ja, na gut, aber irgendeiner muss es ja erklären. Also kam Martino und hat eserklärt und schreibt, Düsseldorf bzw.Seine Einwohner werden generell mit finanziellem Wohlstand assoziiert.
Linus Neumann 0:17:04
Antwort auf die Frage, deswegen kann sie keiner leiden. Achso, geht noch weiter.
Tim Pritlove 0:17:08
Ja klar.Gerade in einem Bundesland wie NRW und besonders im Ruhrgebiet mit ihrer Arbeitervergangenheitin einem gewissen Stolz dafür, sowie der wirtschaftlichen Probleme aus dem Strukturwandel,passt das kulturell häufig nicht zusammen.Dabei ist Düsseldorf zwar die zweitgrößte Stadt in NRW, allerdings kaum größerals die folgenden Städte Dortmund, Essen, Duisburg, die man alle als klassischeArbeiterstädte assoziiert. Fasst man das Ruhrgebiet mental als eine große Stadtzusammen, ist Düsseldorf winzig.Dabei hilft es auch nicht, dass sich weder Düsseldorf selbst zum Ruhrgebietzählt, noch vom Ruhrgebiet als Teil dessen anerkannt wird.Dabei liegen Essen und Duisburg als prototypische Ruhrgebietstädte direkt vor Düsseldorfs Haustür.
Linus Neumann 0:17:47
Nein, es ist umgekehrt. Düsseldorf liegt vor der Haustür von Duisburg.
Tim Pritlove 0:17:55
Deshalb hat Düsseldorf den Ruf einer kleinen, elitären, reichen Insel in einemansonsten eher maroden und wirtschaftlich schwachen NRW.Viele Einwohner können sich daher nicht mit ihrer Hauptstadt identifizieren.Das erklärt auch den Konflikt mit Körn.Die Stadt passt zusätzlich zu ihrer Größe kulturell besser zum Ruhrgebiet.
Linus Neumann 0:18:13
Ist aber auch nicht Ruhrgebiet.
Tim Pritlove 0:18:15
Nee, aber passt besser zum Ruhrgebiet.
Linus Neumann 0:18:17
Ja, kann sein.
Tim Pritlove 0:18:19
Weiß ich nicht, musst du ja wissen. Du bist ja aus dem Ruhrgebiet. Mir ist das ja egal.Ich blicke auf das ganze Geschehen mit interessierten, distanzierten Lächeln.Und denken mir so, haut euch doch die Köpfe ein hier.
Linus Neumann 0:18:33
Machen wir ja nicht. Wir fahren einfach nicht hin.Ich finde auch, Düsseldorf kann manein Altbier trinken. Ich bin oft in Düsseldorf. Ich bin auch oft in Köln.
Tim Pritlove 0:18:45
Mit deinen anderen reichen Freunden.
Linus Neumann 0:18:47
Mit meinen reichen Freunden.
Tim Pritlove 0:18:49
Ja, na gut. Musst du wissen. So, jetzt noch kleine Hausmitteilung.Es gab ein paar Probleme, weil Apple macht Ärger. Ich erkläre es ganz kurz nur.Also, Kurzfassung ist, Apple mag bestimmter Audioformate nicht mehr und so wiewir das ausgeliefert haben, nämlich in dem MPEG-4 Audioformat AAC,werden keine Kapitelmarken mehr unterstützen.Wir möchten, dass ihr alle Kapitelmarken habt, die es bei uns kostenlos mit dazu gibt.Wie alles andere auf die Millisekunde genau platziert und wohl beschriftet.Und diese Kapitelmarken sollen euch natürlich auch erreichen und deswegen habe ich alles auf MP3,umgestellt, dabei ist mir allerdings kurzzeitig habe ich etwas übersehen,das dürfte bei manchen von euch vielleicht zu Fehlern geführt haben,nämlich zu dem HTTP-Statuscode 404, das tut mir sehr leid, aber ich habe das glaube ich Oh oh.
Linus Neumann 0:19:54
Wir sind aber bei den 500 Ja eben.
Tim Pritlove 0:19:57
Das ist komplett aus der Zeit gefallen eigentlich dachte ich mir auch,deshalb habe ich das auch gleich korrigiert und durch einen 500er Code ersetzt.Nein, Quatsch. Ich habe es hoffentlich wieder so repariert bekommen,dass es bei allen jetzt einfach läuft. Wenn nicht, was ich nicht glaube.
Linus Neumann 0:20:11
Aber... Du verstehst das Problem.
Tim Pritlove 0:20:15
Ja, redet mit euren Freunden. Helft euch gegenseitig. Macht eine Petition im Bundestag.
Linus Neumann 0:20:20
Vielleicht einfach mal Leute an.
Tim Pritlove 0:20:21
Auf der Straße. Trinkotriet oder Feet? Trinkotriet.Und ja, dann könnt ihr einfach einfach nochmal neu abonnieren, dann passt das schon.Also jetzt kommt irgendwie alles in MP3 und ja, ich hoffe, das reicht.Genau und die Status-Codes, unsere tollen HTTP-Status-Codes,ich glaube das ist ein Thema, was alle auch überhaupt nicht interessiert.Oder? Also das war echt so eine Marotte. Jetzt haben wir damit angefangen,jetzt müssen wir das auch durchziehen.Haben aber natürlich die letzten beiden Sendungen das Thema mal wieder überhauptnicht erwähnt, weil wir halt nicht immer dran denken oder das letzte Mal einfach nicht gepasst hat.Und holen das jetzt einfach nach für euch. Also, wenn ihr auf irgendwas rufklicktund ihr kriegt einen Fehler, 503 im Web.
Linus Neumann 0:21:13
Unavailable.
Tim Pritlove 0:21:14
Ja, dann heißt es, dass da irgendwas fehlt im Internet. Kennt ihr das Gefühl?Ja, also kann nicht verfügbar sein oder es sind gerade so Wartungsarbeiten.Aber das sind auch so Fehler, auf die man selten trifft. Kann aber passieren,dass eine Webseite sagt, ja hier irgendwie 503, weil meistens kommen immer nurobskure Default-Fehler.
Linus Neumann 0:21:36
Ich glaube, das kommt, wenn man ein WordPress-Update macht.
Tim Pritlove 0:21:39
Meinst du?
Linus Neumann 0:21:40
Ja, ich glaube schon.
Tim Pritlove 0:21:41
Das kann sein, ja. Das wäre zum Beispiel so ein Beispiel. Das System aktualisiert sich gerade und so.504, was letzte Sendung dran gewesen wäre, heißt Gateway Timeout.Wir hatten ja schon mal Bart Gateway. Das ist ein schönes Reiseziel.Ein Gateway ist so eine Art Zwischenhändler im Internet. Was da jetzt genaudie Rolle im Detail dann ist, wenn so ein Fehler kommt, das kann man so oder so sehen.
Linus Neumann 0:22:13
Du hast nicht sogar schon, wenn du einen PHP-Interpreter oder sowas hinter deinemNginx hast und der Socket gerade nicht ansprechbar ist,dann würdest du nach Butt-Gateway kommen und in diesem 504,wenn dieses Gateway zwar das Socket aufmacht oder mit dir redet,aber dann nicht innerhalb der angegebenen Zeit mit einer Antwort rüberwächst,dann bist du im Gateway-Timeout.
Tim Pritlove 0:22:45
Ja, oder einfacher ausgedrückt, das womit ihr sprechen möchtet,muss nochmal mit was anderem sprechen, was irgendwo zwischengeschaltet ist unddas ist nicht verfügbar.Also ein Gateway, also etwas wo man durch muss, um die Daten zu erhalten,die letzten Endes geliefert werden sollen.Proxyserver, in diese Kategorie, so eine Sachen, also alles was zwischengeschaltetist. Ja, es ist was zwischengeschaltet.Und wenn das sich nicht meldet und der Server die ganze Zeit… Muss nicht zwischengeschaltet.
Linus Neumann 0:23:11
Kann ja auch einfach hintergeschaltet sein.
Tim Pritlove 0:23:13
Oder hintergeschaltet, ist ja auch zwischengeschaltet.
Linus Neumann 0:23:15
Nee, hinter ist ja hin.
Tim Pritlove 0:23:16
Hintergeschaltet, vorgeschaltet, hinter, vor, wo auch immer.Ist auf jeden Fall eigentlich geschaltet, aber nicht da, dann gibt's halt keine Antwort.Und irgendwann sagt sich der Server, ey, wenn du nicht mit mir reden willst,dann rede ich auch nicht mit dir und dann gibt's ein Timeout.
Linus Neumann 0:23:34
Ja.
Tim Pritlove 0:23:34
Ja, so ist es. Und jetzt sind wir bei 505.Das ist schon wieder ganz interessant, weil 505 ist HTTP-Version-Not-Supported.Also hier geht es quasi auch mal um HTTP selber.Sprich, wenn euer Browser zum Server geht und sagt, hör mal,gib mal, gib mal Ressource, dann wird das in einer, ja, in HTTP formuliert.Aber HTTP ist über die Jahre in verschiedenen Versionen dahergekommen.Fing mal mit 0.9 an, dann gab es 1.0, dann ging das Web so richtig los,dann gab es 1.1, dann fing es an zu funktionieren, dann gab es 2.0,damit sind wir jetzt ganz lange gesegelt.Dann kommt jetzt 3 und 3 macht ganz viele tolle Sachen, so super optimieren,damit es alles schneller klickt und die Werbung besser geladen werden kann,und wenn halt jetzt der Client sagt mit, ich brauche aber mindestens 2 und derServer sagt, 2 kenne ich gar nicht, habe noch nichts von gehört,bin nicht aktualisiert, dann kann er halt sowas sagen wie, ja,kann ich halt nicht und dann gibt es 505.Falls euch das interessiert, ich habe ein schönes Video gefunden auf YouTube.Ich finde das sehr interessant. diese Evolution, wie das sich so entwickelthat und was da alles so gemacht wurde, ist ein bisschen technischer,aber ist auf jeden Fall ganz gut, habe ich euch in die Show Notes gepackt.Ein kleines Video, das ist erklärt. Mit den HTTP-Versionen.Von mir, für euch. Also nicht von mir, das Video, aber ich habe es für euch rausgesucht.
Linus Neumann 0:25:03
Du hast es handverlesen aus dem Internet. Da ist der Tim ins Internet gegangen.
Tim Pritlove 0:25:08
Da bin ich quasi euer Kurator.
Linus Neumann 0:25:10
Ein schönes Video gefunden.
Tim Pritlove 0:25:12
Da habe ich mir gedacht, das war was für unsere...
Linus Neumann 0:25:14
Das Video habe ich nur für euch.
Tim Pritlove 0:25:15
Für unsere Hörerinnen und Hörer. Ja, hat sich die immer so eine durchwachteNacht dann doch gelohnt.
Linus Neumann 0:25:22
Auf der Suche nach einem guten Video im Internet hat der Tim was gefunden.
Tim Pritlove 0:25:28
Schöne Videos gibt es dann auch wieder Ende des Jahres im Internet.
Linus Neumann 0:25:32
Ja, im richtigen Internet kommen die Videos.
Tim Pritlove 0:25:34
Im richtigen Internet. Da ist nämlich wieder Veranstaltung angesagt.
Linus Neumann 0:25:40
Die schönen Videos kommen am Ende des Jahres wieder aus Hamburg,wo der 38 C3 stattfinden wird, der 38.Chaos Communication Congress des Chaos Computer Clubs und wir sind alle fleißigin den vielen verschiedenen Vorbereitungen, Content, Design, Location vor Ort.Es ist fleißiges Betreiben gerade und was jetzt auch unter anderem angekündigtwurde auf den CFP, hatte ich ja glaube ich schon mal hingewiesen,was jetzt angekündigt wurde, sind die Vorverkaufsdaten.Es gibt drei offene Vorverkaufstermine, das sind Dienstag der 12.November, Sonntag der 17.November und Samstag der 23.November, jeweils zu unterschiedlichen Zeiten, um für die unterschiedlichenSchlaf-Wach-Rhythmen, mit denen Menschen sich auf diesem Planeten aufhalten, erreichbar zu sein.Denn am Dienstag, den 12.November ist es um 20 Uhr, am Sonntag, den 17.November ist es um 16 Uhr und am Samstag, den 23. November ist es um 11 Uhr.So, was passieren wird ist folgendes. Am Dienstag, den 12.November wird auf einmal unglaublich viele Leute in dieser Warteschlange sein.Das ist wirklich so eine F5-Drücken-Situation und wer da nicht irgendwie inden ersten Millisekunden dabei ist, wird in dieser Phase keines der Tickets kriegen.Am Sonntag wird sich das, dem 17. wird sich das gleich nochmal wiederholen und am Samstag, den 23.Wird folgendes passieren. Das gleiche ist erstmal wieder großer Andrang unddann eideln auf einmal alle raus und dann wird es nachher ein Longtail geben,wo man noch Tickets bekommt.Also man braucht jetzt noch nicht nervös zu sein und nimmt aber bitte einfachan allen drei Phasen teil, um dann eben sein Ticket zu bekommen.So läuft das und bisher...Ich kann verstehen, dass man, wenn man jetzt in der ersten und zweiten Phase kein Glück hatte.Dass man dann in der dritten nervös wird, dass es da nicht klappt,aber letztes Jahr war es dann schon so, dass es noch einige Zeit lang eben Ticketsgab, weil der Bedarf jetzt nicht, der Andrang nicht so irre war,dass die alle sofort weg waren.In diesen Phasen werden ja jeweils nur ein paar tausend Tickets verkauft unddeswegen ist das normal, dass bei der ersten und zweiten Termin die Ticketswirklich äußerst schnell vergriffen sind, weil eben,wenn jetzt sagen wir mal, da sind 10.000 Leute und fragen an,es gibt pro Phase nur 3.000 Tickets angenommen oder 4,dann hast du eben bei den ersten beiden einen sehr schnell sehr großen Andrang.Also nicht nervös werden, schön die Reise planen. Klappt schon,dann werden auch wieder noch genug Leute abspringen. Wer da wirklich hin will, wird da auch hinkommen.Das sage ich auch zur Schonung meines E-Mail-Postfachs, wo dann immer alle,wir brauchen unbedingt einen Voucher.Es gab noch nicht mal die erste Vorverkaufsphase und du brauchst jetzt schonunbedingt einen Voucher.Lass uns mal bitte gucken, nach der dritten Phase, wenn dann ausverkauft ist,dann kann man mal drüber reden.Genau, das ist aber natürlich auch der Hinweis an alle Engel und so,die ja Voucher bekommen, mit denen sie sich jetzt schon ein Ticket kaufen können,wenn da was nicht passiert, wenn ihr diesen Voucher nicht bekommen habt undobwohl ihr 15 Engelstunden gemacht habt, dann könnt ihr euch da melden und so, klappt schon alles.Ja, damit kann man also den Kongress langsam mal sich darauf einrichten.Gleichzeitig fängt jetzt für uns die Arbeit an, den Content auszuwählen.Und da gibt es dieses Jahr 610 Einreichungen auf irgendwie, sagen wir mal, knapp unter 150 Slots.Das heißt, für jeden angenommenen Talk gibt es drei Ablehnungen.Das heißt, auf jeden Fall, dass die Latte relativ hoch hängt und dass eine Ablehnungviele Gründe haben kann.Aber ich kriege auch regelmäßig so Fragen, meinst du, dass es eine Einreichung wert ist?Und dann denke ich mir so, ja, also wenn du keine Einreichung machst,wirst du auf jeden Fall auch nicht angenommen werden. Also das, ja.Dann gibt es am, ich weiß gar nicht, am 10.November kriegt ihr dann eine Mail, wo irgendwie drin steht, yay, nay.Also ob ihr es ins finale Programm geschafft habt oder nicht.Und dann gibt es noch sechs Tage später ist die Deadline für den Community-CFP.Also es gibt die offiziellen Kongressbühnen, die vom Content-Team kuratiert sind.Und dann gibt es noch einige Community-Bühnen, die auch Speakerinnen und Speakern eine Bühne bieten.Da könntet ihr, also da könnt ihr auch einreichen.Beachtet aber bitte, die Community-Bühnen haben andere thematischen Fokus.Die haben nämlich zum Beispiel die Bereiche Diversity and Inclusion,Hack, Make and Break, Privacy, Anonymity und Decentralization,Open Source and Platform Decay und Sustainability.Also auch dort sind Einreichungen gerne gesehen. Primärer Unterschied zwischendem Congress-Content und dem Community-Content ist, wer ein Congress-Content-Einreichungschafft, kriegt auch ein Freiticket.Bei den Community-Bühnen ist das nicht der Fall. Also müsst ihr trotzdem noch ein Ticket kaufen.Ja, ansonsten ist auf das Events-Blog zu verweisen. Da könnt ihr euch geradejetzt so fängt ja die Phase an, wo dann die verschiedenen OCs und unterschiedlichen Inhalte kommen.Das ist glaube ich jetzt auch gerade ganz interessant. Freuen wir uns sehr auf den Kongress.
Tim Pritlove 0:31:36
OCs sind Operation Center, so die ganzen Funktionsgruppen, die sich über dieJahre rund um diese Veranstaltung oder alle Veranstaltungen des Clubs vielmehr gebildet haben.
Linus Neumann 0:31:49
Ja, da gibt es ja auch so einen feinen Unterschied, also die OCs sind die,sagen wir mal, eher so integraler Bestandteil, also so NOC, Network Operations Center,BOC, Bottle Operations Center, POC, Phone Operations Center,also Basisinfrastruktur und dann gibt es noch, dann gibt es viele Gruppen, die dann so C3,die also Beiträge auch leisten, die als wichtiger Teil der Veranstaltung sind.Aber vielleicht nicht zur Basis-Infrastruktur C3-Auti Autismusgruppe Das ist ein wichtiger,Service, aber keine Basis-Infrastruktur der Veranstaltung Was das Naja,also wird schön Mal mal in Hamburg.
Tim Pritlove 0:32:40
Sendezentrum wird es auch geben wieder Ja.
Linus Neumann 0:32:43
Das ist ja schön zu hören Und auch wieder mit Bühne oder nur so als so ein Rumgegammel.
Tim Pritlove 0:32:49
Befindet sich gerade in Absprache, aber ich würde sagen, es ist sehr wahrscheinlich, dass es auch eine,Bühnensituation noch dazu geben wird und auf jeden Fall die Community-Präsenz,vermutlich auch so in diesem Bereich, wo wir letztes Mal waren,aber das ist gerade nicht klar.Aber wird es geben, nachdem ja die Subscribe jetzt gelaufen ist,die ich ja auch angekündigt habe und auch gut gelaufen ist, hat sich sozusagen die,Community da wieder reaktiviert und ist jetzt dann auch auf dem 38C3 präsent, also mit der ganzen,Podcasting, Infrastruktur und dem ganzen Drumherum glitzt jetzt wieder ein bisschenvoran, was ganz schön ist.
Linus Neumann 0:33:33
Sehr schön, freu ich mich.
Tim Pritlove 0:33:35
Du warst ja auch kurz da auf dem Event.
Linus Neumann 0:33:37
Auf der Subscribe war ich selbstverständlich. Musste ich ja.Nein, habe ich sehr gefreut.
Tim Pritlove 0:33:46
Ich komme zu den schlechten Nachrichten.
Linus Neumann 0:33:51
Das ist eine gute Nachricht. Also völlig überraschend. Also das Plottwist.Wir hatten ja Markus Reuter hier und haben über das Sicherheitspaket gesprochen.Und dann das Sicherheitspaket wurde ja eingebracht von der Ampelkoalition von SPD, Grün und FDP.Nach dem Messeanschlag von Solingen Dann musste auf einmal, hat Nancy Faesergesagt, hier ist meine Wunschliste an vom Koalitionsvertrag nicht gedecktenGrundrechtseinschränkungen und so weiter.Das möchte ich jetzt hier auf den Weg bringen, das Peitschwells durch den Bundestag.Dann hat der Bundestag gesagt, jo, alles klar, machen wir.Und dann wurde es im Bundesrat gestoppt von der CDU. Und du denkst dir so, hä, was?Wieso wird denn jetzt irgendwie eine völlig überzogene, panische,drakonische Sicherheitsgesetzgebung mit unsinnigen Maßnahmen von der CDU blockiert?Also im Bundesrat, wo du denkst, hä?Was ist denn los? Was ist denn los? ja und das.Cliffhanger, woran hat es wohl gelegen ging der CDU nicht weit genug,weil und da kann man auch wirklich nur sagen danke, danke dass die auch einfachan uns denken Tim wir müssen ja hier mit diesem Podcast auch irgendwie,Aufmerksamkeit gibt neue Themen und so, aber wir brauchen auch so ein paar Säulenwir brauchen so ein paar Säulen.Klassiker also du brauchst einfach so ein paar Zombies die sind einfach nicht tot zu kriegen.Oder die sterben halt ganz erst im Serienfinale. Aber nicht irgendwo in den 500ern.
Tim Pritlove 0:35:33
Es gibt jetzt bei Zombies einen neuen Trend in den Movies. Was machen Zombies normalerweise?Und wie bewegen die sich?
Linus Neumann 0:35:44
Mit den Händen nach vorne.
Tim Pritlove 0:35:46
Und wie schnell?
Linus Neumann 0:35:47
Langsam.
Tim Pritlove 0:35:48
Und das ist nämlich das Ding. Zombies sind jetzt auf einmal schnell.
Linus Neumann 0:35:51
Das ist doch nicht neu. das war doch hier bei 28 Days Later schon,dass die Zombie schnell war.
Tim Pritlove 0:35:56
Vielleicht war das auch der Trend, den ich meinte. Wie alt ist der?Keine Ahnung, ich gucke ja keine Zombie.
Linus Neumann 0:36:01
15 Jahre oder so?
Tim Pritlove 0:36:03
Seit 15 Jahren sind die halt schnell.
Linus Neumann 0:36:06
Nur weil du jetzt hier draußen ein paar Kinder hast, rumrennen sehen an Halloween,heißt das nicht, dass Zombies auf einmal schnell sind.Aber okay. Nee. Also ein Zombie kommt zurück.
Tim Pritlove 0:36:18
Aber schnell.
Linus Neumann 0:36:20
Lass mal versuchen, beim Thema zu bleiben.
Tim Pritlove 0:36:21
Ah, okay. ausnahmsweise.
Linus Neumann 0:36:23
Also warum scheitert,Also, Sicherheitspaket. Durchgewunken hat die CDU die Verschärfung im Aufenthaltsrecht.Klar, irgendwas gegen Ausländer.
Tim Pritlove 0:36:39
Da muss man mal was gegen machen.
Linus Neumann 0:36:42
Da muss man jetzt auch endlich mal was gegen machen. Waffenrecht kann ja nichtsein, dass hier jeder mit einem Buttermesser am Parkplatz langmarschieren darf.
Tim Pritlove 0:36:49
Und sich ein Brötchen aufmacht.
Linus Neumann 0:36:51
Alles klar, zack durch.Gebremst haben sie die Pläne für mehr Internetbefugnisse der Sicherheitsbehörden,weil Vorratsdatenspeicherung fehlt.Da bräuchte ich mal so einen passenden Button für. Jetzt hast du einen Zombie.Also die Vorratsdatenspeicherung war schon ein Zombie.Ich glaube, das Thema haben wir in der LNP 001 im Prinzip zu den Akten gelegtund haben gesagt, ja, das wird wahrscheinlich nochmal kommen.Das werden sie nochmal versuchen. Jetzt war der Moment,Und jetzt muss es, jetzt können Bundestag und Bundesregierung noch einen Rettungsversuchim Vermittlungsausschuss machen, der Vermittlungsausschuss.Aber es ist, also ich meine, also damit hätte ich jetzt wirklich nicht gerechnet,dass die CDU das Ding im Bundesrat blockiert, weil es ihr nicht weit genug geht.Also das ist, also manchmal.
Tim Pritlove 0:37:51
Mal, naja, das ist ja auch erstmal nur so ein Statement.
Linus Neumann 0:37:55
Ja, das ist so.
Tim Pritlove 0:37:56
Wir hätten es ja lieber selber eingereicht, dass das jetzt hier irgendwie derAmpel geschrieben wird, dass die jetzt hier was tun,sondern wir behaupten jetzt erstmal, die tun ja nicht genug und deswegen packenwir wieder unseren alten Käsekram aus und dann,geht das in die Vermittlung und dann sagen sie, ja, okay, passt schon,ihr habt jetzt hier irgendwie ein Wort von uns übernommen und dann sind wir auch ruhig.Ja, also so oder ähnlich wird es laufen.
Linus Neumann 0:38:25
Und dann kannst du dir, jetzt kommen natürlich die schönen Artikel zur Vorratsdatenspeicherung,wo jetzt wieder die klugen Leute sich zu dem Thema äußern und sagen,es kann ja wohl nicht sein, dass wir das nicht haben.Ein wunderschöner Artikel von Jörg Diehl.Es ist laut Aussage des Spiegels, der Spiegelleitartikel von Jörg Diehl.Jörg Diehl echauffiert sich darüber.Also er hat Geschichte, Germanistik und Politikwissenschaft studiert und istseit 2007 bei Spiegel online.War mal stellvertretender Ressortleiter Panorama oder ist es immer noch.Und jetzt beschwert er sich, dass die Vorratsdatenspeicherung in Deutschland nicht gibt.Und er, ja, irgendwie überall und im Internet sind die Kriminellen und so. Und.Ich finde an diesem wunderschönen Punkt, also ich zitiere mal einfach nur,weil wir jetzt wieder so, im Bereich der Diskussionen über die Vorratsdatenspeicherungsind so, die entgleisen so immer so richtig schön.Und da macht der Jörg Diehl auch direkt den Anfang und schreibt,IP-Adressen sind von herausragender Bedeutung, wenn Polizei und Justiz ihre Arbeit machen sollen.Sie sind wie Anschriften vonInternetnutzern, Kennzahlen, mit denen User identifiziert werden können.Das ist auch schon mal falsch, man kann IP-Adressen im Prinzip mit Kennzeichenvergleichen, die sich regelmäßig ändern.Also worum es bei der Vorratsdatenspeicherung geht, ist, wenn du bei dir vondeinem Telefon ins Internet gehst oder von deinem DSL-Anschluss zu Hause,dann hat dein Anschluss eine Adresse,also ein Heimanschluss, der hat im Prinzip eine IP-Adresse, die ändert sichaber so ungefähr jeden Tag und welche IP-Adresse dein Anschluss hatte,wird relativ schnell gelöscht beim Provider.Das heißt, wenn du die Zuordnung von IP-Adresse XY zu Anschluss,hast du nicht gesehen, von Tim Pridlaff, diese Zuordnung wird relativ schnell wieder gelöscht.Und dadurch bist du nach relativ kurzer Zeit im Internet wieder anonym. Ja.Aber ganz grundsätzlich bist du es natürlich nicht und das sehen wir ja auchdaran, dass regelmäßig Leute von der Abmahnindustrie Posten nach Hause bekommen,weil sie in irgendeinem Torrent waren.Das heißt, die Abmahnindustrie fragt dann ganz schnell an, holt sich die Befugnissedafür, holt sich die Auskunft und schreibt dir dann einen Brief und verlangt1000 Euro, weil du irgendwie einen Film runtergeladen und dabei auch verteilt hast.So, also die IP-Adresse, es geht um die IP-Adresse Anschlusszuordnung bei derVorratsdatenspeicherung.Die Idee bei der Vorratsdatenspeicherung ist, diese Mindestspeicherdauer derZuordnung von IP zu Anschluss- oder Teilnehmerkennung höher zu setzen,sodass länger eine Deanonymisierung und damit Anschlussfeststellung möglich wird.Warum ist das so ein Problem? Nun ja weil du.Das sagte, glaube ich, sogar der damalige Vorsitzende des Bundesverfassungsgerichtsselber, der Papier, wo ein Druck ist, da sammeln sich die Schweine.Wenn du nämlich diese Menge an Zuordnungen hast,dann werden da einfach sehr starke Begehrlichkeiten geweckt und es ist sicherlichnicht im Interesse einer freien Gesellschaft, wenn jede Person langfristig auflösbar ist.Also wenn bei uns im Logbuch Netzpolitik irgendjemand einen Quatschkommentar schreiben würde,dann steht da eine IP-Adresse drunter und dann wird es uns nicht gelingen,da eine Strafanzeige von so hoher Bedeutung draus zu machen,dass wir dieser Person am Ende anhand der IP-Adresse haperhaft werden und ichdenke, das ist auch in den meisten Fällen in Ordnung. soll.Und jetzt sagt, jetzt muss Jörg Diehl also erklären, warum will man also IP-Adressen speichern.Das erste Beispiel, was ihm einfällt, ist, mit ihrer Hilfe von IP-Adressen lässtsich nachträglich nachvollziehen, wer im Netz Bestandteile einer Bombe bestellt.Und dann denke ich mir so, okay, wenn jetzt einer im Netz Bestandteile einerBombe bestellt, habe ich erst mal Fragen.Erstens, wieso kriegt der die geliefert?Gehe ich auf bestandteileinerbombe24.de?Ja?Also, es ist ja schon mal irgendwie, ne?Und würde ich denn in einem solchen Falle nicht eventuell so als Sherlock Holmesauf die Lieferadresse gucken und sagen,Tim Prittler hat Bestandteile einer Bombe gekauft, ne?Also, es ist ja nun wirklich nicht so...Nicht so naheliegend, das nach der IP-Adresse zu machen.Und das so entgleitet die Debatte zusehends.Er sagt dann auch noch irgendwie, also er gibt auch noch Beispiele,die vielleicht halbwegs sinnvoller sind, strafbare Hasskommentare postet,einen Auftragskiller angeheuert oder Missbrauchsmilder hochgeladen hat. Also ein also.Also strafbare Hasskommentare, ja, das wäre halt zum Beispiel,wenn jemand bei Logbuch Netzpolitik mit einem relativ offenes Posting,man muss dem wie eine E-Mail-Adresse angeben, die wird aber nicht kontrolliert,wenn da jetzt ein strafbarer Hasskommentar gepostet würde,würde er bei uns im Zweifelsfall in die Moderation rasseln, wir würden den Löschen-Thema erledigt.Auftragskiller anheuern geht bei uns nicht, also auf Logbuch Netzpolitik gehtdas nicht, ist kein Angebot, das wir haben. Ist aber auch in weiten restlichenTeilen des Internets kein Angebot, das zur Verfügung steht.Es gibt so ein paar Angebote im Darknet.Da siehst du aber natürlich auch weder die IP-Adresse des anbietenden Serversnoch des Auftragskillers, beziehungsweise der Polizei, die das Angebot macht,um zu gucken, wer so doof ist, irgendwie übers Internet jemanden bestellen zu wollen.Und also auch da wirklich ein, also ich meine, stell dir mal vor,du bist so Auftragskiller oder so, boah, wer hat dir angeheuert,da ist die IP-Adresse, ach scheiße, jetzt kann man nicht mehr rausfinden, wer es ist.Also es ist auch unglaubliche Beispiele oder Missbrauchsbilder hochgeladen hat,ja, auch da stimmt der Sachverhalt nicht wirklich, ne, wenn du jetzt dich anschicken würdest,bei Facebook Missbrauchsbilder hochzuladen und dort in die NECMEC-Detektionrasselst, dann hat Facebook natürlich in Echtzeit die Möglichkeit, das anzuzeigen.Dann geht das auch schnell genug, um deine IP-Adresse zu demaskieren.Das ist also.Wirklich, also anhand dieser Beispiele siehst du schon, dass der Rest der Debattejetzt auch nur noch unheilvoll verlaufen kann.Da ist man dran gewöhnt, dass die Debatten so geführt werden.Es wird in Deutschland, ich weiß nicht, wann erstmals diese Idee der Vorratsdatenspeicherungdiskutiert wurde, das wird wahrscheinlich so 2008, 9, 10 oder so gewesen sein. Kannst du mal gucken.
Tim Pritlove 0:46:41
Seit wann das diskutiert wird?
Linus Neumann 0:46:45
Vorratsdatenspeicherung.
Tim Pritlove 0:46:45
Das ist doch schon ewig her.
Linus Neumann 0:46:47
Ja, meine ich ja.
Tim Pritlove 0:46:49
AK Vorrat und so, das ist doch irgendwie schon...
Linus Neumann 0:46:54
Also ich würde sagen 2007 ungefähr müsste das als Thema losgekommen sein.
Tim Pritlove 0:47:01
Also AK Vorrat hat sich 2005 gegründet.
Linus Neumann 0:47:03
Okay, na gut, dann also noch früher?
Tim Pritlove 0:47:06
20 Jahre.
Linus Neumann 0:47:08
Seit 20 Jahren wird das diskutiert, ungefähr auf dem Niveau,was hier in diesem Artikel auch geführt wird.Und dann hast du da eine Umfrage zu, wie der Spiegel das dann so macht,wo dann irgendwie, was meinen Sie, brauchen wir das?Also auch schön suggestiv und dann kannst du dir das Ergebnis anschauen,bei dem Artikel sagt dann zwei der Leute ja und ein der Leute nein.Wenn jetzt der Artikel nicht so einen Quatsch bezeichnen würde,dann als Beispiel nennen wir, dann wäre die Umfrage anders.
Tim Pritlove 0:47:41
Auslöser damals übrigens im Wesentlichen die Anschläge auf die Züge in Spanien im März 2004.
Linus Neumann 0:47:49
Okay.
Tim Pritlove 0:47:50
Das hat so die Sache ins Rollen gebracht und dann im Dezember 2005 gab es denersten Beschluss, man würde das dann jetzt mal machen.
Linus Neumann 0:47:57
Jetzt muss ich natürlich schon sagen, also die Vorratsdatenspeicherung,es ist teilweise natürlich ärgerlich,wenn ich jetzt so im Rahmen meiner beruflichen Tätigkeit bei irgendwelchen kleinerenAngelegenheiten Forensik mache und dann feststelle, okay, da finde ich eine IP-Adresse,die war der Deutschen Telekom vor sechs Monaten mal zugeordnet.Und ich kann jetzt nicht mehr herausfinden, wer das war.Ja, aber das würde ich jetzt nicht im Rahmen der Terrorismusbekämpfung oder so.Also es ist...Also das, was schwere Verbrechen sind, findet, und das gleiche übrigens beider Chatkontrolle, das, was schwere Verbrechen sind.Findet schon längst nicht mehr da statt, wo IP-Adressen die notwendigen Merkmalezur Aufklärung einer Straftat sind.Ja, wer einen Auftragskiller anheuert, macht das im Darknet.Wer Bilder tauscht, die Verbrechen dokumentieren, macht das nicht über seinenTelekom-DSL-Anschluss, ohne dabei irgendwie Tor zu nutzen.Es ist einfach wirklich ein bisschen an der Realität des kriminellen Vorgehensvorbei argumentiert, dass Menschen so agieren würden.Wenn jetzt jemand auf Twitter strafbare Hasskommentare postet oder auf Facebook,dann identifizierst du die Person über ihre E-Mail-Adresse, die sie da angegebenhaben müssen, um sich zu melden oder ihre Handynummer, die Facebook irgendwie denen abgeluchst hat.Das ist wirklich, es sind wirklich selten IP-Adressen jetzt,insbesondere bei den Straftaten, die Jörg Diesig hier ausgesucht hat, das woran es scheitert.Das ist einfach nicht die Realität.Es ist sie einfach nicht.Und er zitiert dann auch wieder, die Polizei sagt, sie könnte viel mehr aufklären.Das ist ja auch wieder lustig.Also wenn die Polizei behauptet, an dem und diese und jene Straftat konntenwir nicht aufklären, weil wir die IP-Adresse nicht auflösen konnten.Dann stellt sich ja immer noch die Frage, wenn du jetzt aufgelöst hättest,hättest du dann den Täter gefunden? Wird ja dann so fest davon ausgegangen.Also da gibt es ja dann auch tausend Fälle von Abmahnungen.Abmahnung, weiß nicht, war irgendeiner im Airbnb und hat da was gemacht oderman findet dann am Ende Schadsoftwareinfektion auf der IP-Adresse oder dahinterverbirgt sich ein Internetcafé oder ein offenes WLAN und was nicht alles.Also auch kann sein, kann aber auch nicht sein.
Tim Pritlove 0:50:48
Man muss schon anerkennen, dass natürlich die meisten IP-Adressen dann tatsächlichmehr oder weniger einem Telefon zugeordnet werden.
Linus Neumann 0:50:56
Nein, also die meisten IP-Adressen aus dem Pool der DSL-Anschlüssen gegeben wird.Bei einem DSL-Anschluss kriegst du eine eigene IP-Adresse.Mobilfunk bei weitem nicht. Da hast du Carrier-Grade-Nut. Das heißt,in dem Fall müssten die Anbieter nicht nur die IP-Adresse, die sie dir zuweisen,speichern, sondern da gehen mehrere Clients über eine IP-Adresse raus und siemüssten auch noch speichern den ausgehenden Port und den Zielport.Also du hast keine eigene IP-Adresse notwendigerweise im Mobilfunk.
Tim Pritlove 0:51:37
Ja. Es sei denn, ja, IP 4.6.Es ist schon, man kann jetzt auch nicht behaupten, es wäre...
Linus Neumann 0:51:50
Glaube mir, du musst die Ports mit dazu speichern.
Tim Pritlove 0:51:54
Deine Einschränkungen sind ja alle richtig. Ich sag nur,das soll jetzt nicht heißen, dass es nicht möglich wäre, darüber identifiziert zu werden.
Linus Neumann 0:52:06
Doch klar, natürlich ist es das. Also, sorry, genau. Natürlich ist es möglich,über die IP-Adresse identifiziert zu werden. Klarer Fall.Genau deswegen soll die ja auch nicht so lange gespeichert werden.Was nicht der Fall ist, ist,dass in schweren Verbrechen wie dem Bestellen einer Bombe unter Bestandteileiner Bombe24.de oder dem Posten eines Hasskommentares oder Bildertausch,dass da in großer Menge Strafverfahren ins Nichts führen,weil die IP-Adresse nicht mehr zu unbeißen ist.Das entspricht einfach nicht dem Vorgehen der Kriminellen.Die haben sich seit 20 Jahren weiterentwickelt.Und die, also wir sehen es doch hier, also wenn wir uns das anschauen,das BKA nimmt einen Hidden Service oder nicht das BKA selber,aber diese Zusammenarbeiten der Polizeibehörden über internationale Grenzenhinweg, nehmen einen Hidden Service nach dem anderen hoch,wo illegale Foren betrieben wurden.Deutschland im Deep Web war so ein Fall wir haben ja ungefähr jedes halbe Jahr irgendeine Kinder,sonst was Börse oder was auch immer aber es sind immer Systeme die irgendwieauf Tor basieren und Tors einziges Ziel ist es IP Adressen zu verstecken jaund wenn du jetzt irgendwo ein.Eine Forensik machst, was meinst du, wie oft du da auf eine IP-Adresse stößtund dann stellst du fest, es ist ein Tor-Exit.Weil auf der anderen Seite jemand saß, der halt nicht doof ist und der auchnicht dem Braten traut, dass in der Zeitung steht, die Telekom speichert nureine Woche deinen Anschluss dazu.Ja, also Kriminelle haben sich weiterentwickelt,und sie nutzen Anonymisierungstechniken. Selbstverständlich.Ja. Also es wäre genau so, so sinnvoll zu fordern irgendwie,dass wir eine biometrische Massenüberwachung in jeder Bank brauchen,damit wir demnächst die Bankräuber erkennen können. Und dann kommen die halt mit einer Maske.Das ist halt so. Am Ende hast du aber die biometrische Massenüberwachung dergesamten Bevölkerung und das ist ja genau der Grund,warum die Vorratsdatenspeicherung eben auch immer wieder scheitert,weil man sagt, wir möchten diesen öffentlichen Raum des Internets,auch in einer gewissen Form anonym oder zumindest pseudonym halten,damit die Menschen dort nur im Notfall überhaupt identifiziert werden können anhand der IP-Adresse.Das geht natürlich, diese Gesetzgebung wird auch immer weniger notwendig,wo mit der Zentralisierung dessen, was Menschen unter Internet verstehen.Strafbare Hasskommentare, Wie viele Leute hat inzwischen die Renate Künast daverklagt, weil die auf Facebook unter ihrem bürgerlichen Namen irgendwelcheschlimmen Beschimpfungen oder Unwahrheiten über sie behauptet haben.Ich weiß nicht genau, was das ist. Da gibt es irgendeine komische Sache,gegen die sie da die ganze Zeit vorging.Und auch sicherlich zu Recht vorging und auch ohne Probleme,weil es eben nicht so ist, dass es am Ende an der IP-Adresse hängt.Insbesondere nicht bei den Straftaten, die ihr da zitiert.Aber ja, es gibt sicherlich auch Fälle, und ich habe es ja gerade selber gesagt,aus meiner beruflichen Tätigkeit auch, wo man dann mal an einer IP-Adresse scheitert,aber das sind keine schweren Verbrechen.Also niemand ist so, oder sehr wenige Leute sind so doof, schwere Verbrecheneinfach ungeschützt von einer unmaskierten IP-Adresse zu begehen.Du kannst keinen Podcast hören, wo nicht irgendeiner früher oder später dirWerbung für irgendeinen kommerziellen VPN-Anbieter ins Ohr säuselt. Außer unseren.Und insofern, das hören dann auch die bösen Leute. Naja.Ich fand es auf jeden Fall,unterhaltsam und einen schönen Plottwist, dass die CDU das Sicherheitspaket in Teilen gestoppt hat.
Tim Pritlove 0:56:26
Aber wahrscheinlich nicht final aufhalten wird.
Linus Neumann 0:56:28
Nein, natürlich nicht. Die fordern jetzt einfach, die wollen es zusammen sagen,es ist nicht drakonisch genug.
Tim Pritlove 0:56:34
Um dann später behaupten zu können, durch unsere Hinweise wurde es erst richtig scharf.
Linus Neumann 0:56:38
Jetzt ist Deutschland sicher.
Tim Pritlove 0:56:39
Ja, genau.
Linus Neumann 0:56:41
Oh, scheiße, schon wieder.
Tim Pritlove 0:56:43
So läuft es. Nichts Neues.
Linus Neumann 0:56:47
Und alle diese Leute, alle diese Verschärfungen und der Abbau von demokratischenGrundrechten ist immer das, was die Terroristinnen, die unsere freie Gesellschaftangreifen wollen, erst erfolgreich macht. Das ist erst das,womit ihnen ein Sieg gewährt wird.
Tim Pritlove 0:57:07
Ja, na gut, aber dafür ist er im Bereich der digitalen Infrastruktur alles im grünen Bereich, oder?
Linus Neumann 0:57:18
Ja, das war jetzt auch eine, also am 15.Januar erhält jede gesetzlich Versicherte eine eigene elektronische Patientenakte,wenn sie denn nicht widersprochen hat.Die Widersprüche befinden sich in einem, glaube ich, niedrigen Prozentbereichund ja, das soll jetzt ausgerollt werden.Und jetzt habe ich mal, gab es einem vom Fraunhofer SIT, also Fraunhofer Institutfür Sicherheit in der Informationstechnik,die haben das EPA-Konzept nach Schwachstellen untersucht.Und das ist sehr lustig, weil ich habe eine Google-Suche zu dieser,Veröffentlichung, ein paar Überschriften. Eine Überschrift lautet,Forscher finden 21 Schwachstellen im EPA-Konzept.Auf die gleiche bezieht sich, Fraunhofer SIT bestätigt, EPA für alle ist sicher.Und Fraunhofer SIT bestätigt, EPAfür alle ist sicher ist die Headline der Gematik, die die EPA entwickelt.Also die Gematik ist dieser Zusammenschluss, der die Gesundheits-IT da basteln soll. Und.Also irgendwo dazwischen scheint ja die Wahrheit zu liegen. Was ich jetzt sehrschön finde, ist wie sich das Fraunhofer SIT dieser Sache genähert hat.Erstmal haben die gesagt, das ist so viel Papier, damit trainieren wir jetzt erstmal einen GPT.Also die haben LLL genommen und haben das diese haben das die Dokumentation lesen lassen.
Tim Pritlove 0:59:06
Lernshaft?
Linus Neumann 0:59:07
Ja. Das ist das Gematik GPT und haben dann das dem Ding Fragen gestellt undhaben sich beantworten lassen, ob das eine gute Antwort darauf hatte oder nicht.Also gar nicht so ein schlechter Ansatz machen. Also der bietet sich ja wirklichan, wenn du irgendwie ein Konvolut an Text hast.Und das haben die also hier in diesem Fall getan und dann haben sie quasi versucht,diese Infrastruktur und das Sicherheitskonzept zu verstehen,haben dann so Angriffspfade gemacht, wie kommt man denn da dran und welche Schutzmaßnahmen gibt es.In diesem System kommen sie auf hoch eingestufte Schwachstellen in vier Bereichen.Ich will die jetzt mal gleich so ein bisschen durchsprechen,aber es ist sehr interessant,also die haben von einem GPT erstmal die Doku lesen lassen und dann haben sieso ein sehr ausführliches Threat-Model gemacht,wo dann so alle möglichen Akteurinnen und Akteure beschrieben werden und dannwerden die quasi klassifiziert.Und was ich sehr schön fand, ist da die Bezeichnung der Haktivisten.Also Haktivisten verfolgen politische Ziele und wollen durch öffentlichkeitswirksameAktionen, wie das Defacement von Webseiten oder das Veröffentlichen erbeuteterDaten, Aufmerksamkeit erregen.Ihre Ziele sind auf politisch motivierte Einrichtungen oder Unternehmen beschränkt.Okay. Aktivisten haben meist geringe finanzielle Mittel, können sie jedoch inlosen Gruppen organisieren und technisches Wissen aufbauen.Ihre Angriffe auf das EPA-System würden zwar negative Auswirkungen auf die medizinischeVersorgung haben und entsprechend bei der Mehrheit der Bürger auf wenig Verständnis stoßen.Dennoch ist die EPA ein politisch relevantes Thema und nicht alle Aktivistenstehen einer elektronischen Patientenakte im Allgemeinen oder in der konkretenUmsetzung im Speziellen positiv gegenüber.Nicht alle Aktivisten, das ist eine supergeile Beschreibung.Daher kann das eigene politische Interesse genügen, um Angriffe durchzuführen.Der Aufwand für solche Angriffe ist hoch.Dennoch ist nicht auszuschließen, dass sie nach Sicherheitslücken suchen,um das System zu diskreditieren oder bei entsprechender Gelegenheit,zum Beispiel Zugriff auf kompromittierte Drittsysteme, auch Schaden verursachen.In Summe wird die Relevanz von Haktivisten als Mittel eingeschätzt.Ich glaube,das gibt einen ganz guten Eindruck dafür, wie diese Leute da gearbeitet haben.
Tim Pritlove 1:01:53
Wie würdest du denn das Bedrohungspotenzial von Haktivisten einschätzen?Ich finde die Beschreibung jetzt ehrlich gesagt gar nicht so unzutreffend. Nein, die Frage ist.
Linus Neumann 1:02:02
Also die Frage, wie du diese Frage beantwortest, und das ist bei so einer Sicherheitsanalysedas Entscheidende, ist, was du denn als Gefahr definierst und was nicht.Zum Beispiel haben sie gesagt, staatliche Akteure sehen sie nicht im Scope.Und quasi diese Scope-Definition einer Sicherheitsanalyse ist relativ entscheidend.Wenn du jetzt sagst, Schäden für die Gematik,dann sind im Zweifelsfall Aktivistendas Einzige, was dem Ding wirklich schaden wird in naher Zukunft.Wenn du sagst Schaden für Patientinnen, dann müsstest du sagen,die Gefahr von Haktivisten wird als absolut niedrig eingeschätzt,weil die werden sicherlich nicht den Patientinnen schaden,weil sie ja der Gematik schaden wollen würden oder ihre Fähigkeiten unter Beweisstellen, sicherlich aber nicht sagen,ich bin hier ein Haktivist und ich drohe jetzt mit der Veröffentlichung vonGesundheitsdaten von Einzelnen. Das wären ja dann Kriminelle.Also du musst dir vorstellen, da ist eine ganze Reihe an Akteurinnen und Akteuren,die dann da so modelliert werden.Also das ist der Teil von dieser Bedrohungsanalyse, wo du im Prinzip die unterschiedlichenAkteure klassifizierst.Da gibt es auch viele andere. Wird dann auch gesagt, Innentäter.Innentäter ist jemand, der im Krankenhaus arbeitet und darauf Zugriff hat.Dann wird auch überlegt, welche Relevanz hat diese Person.Also ich will einfach nur, fand das mal als Teil, als Ausschnitt aus diesemBericht ganz interessant, wie sie so schreiben.So, kommen wir mal zu...Den als hoch eingestuften Schwachstellen, die beziehen sich auf vier Themen.Ich fasse die mal zusammen und komme dann zu Details. Die Anbieter des Aktensystemshaben eine zu große Zeitspanne, um Schwachstellen an Wochenenden und Feiertagen zu bewerten.Das betrachtet das Fraunhofer als hohe Schwachstelle.Es fehlt eine klare Rollentrennung der Mitarbeiter beim Umgang mit den Backups,der Masterkeys zur Ableitung der Datenpersistierungsschlüssel.Es fehlen Maßnahmen zur Rollentrennung von Mitarbeitern der Betreiber,um Angriffe auf die Verfügbarkeit der Akte zu verhindern.Und es fehlen Maßnahmen für einen sicheren Entwicklungsprozess bei den Herstellern des Aktensystems.Ich gehe da nochmal im Detail drauf ein.Denn sehr wichtig zu sagen ist, hier wird in keiner Form auf die technischeImplementierung eingegangen.Das ist relativ wichtig zu wissen, wenn jemand sagt, es gibt 21 Schwachstellenim Konzept oder es gibt sechs hohe oder vier hohe oder wie viele auch immer.Das ist quasi an dem Sicherheitskonzept und nicht in irgendeiner Form die technischeImplementierung, die da geprüft wurde. Da wurde einfach keine Aussage drüber getroffen.So, schauen wir uns mal die als hoch bewerteten Schwachstellen an.Sie sagen also, wenn eine Schwachstelle gefunden wird und bewertet werden muss,also gesagt werden muss, was ist denn jetzt das Risiko dieser Schwachstelleund das fällt auf ein Wochenende oder an Feiertage,dann gibt es bis zu 72 Stunden Zeit, bis diese Bewertung vorliegen muss.So und dann sagen sie sie verlangen dann also kürzere Fristen und einen entsprechenden Notdienst,Damit also, wenn jemand eine Schwachstelle findet, die sofort bewertet wirdund dann potenziell geschlossen wird.Jetzt kannst du dir aber überlegen, so häufig werden jetzt nicht unbedingt Schwachstellen gefunden werden.
Tim Pritlove 1:05:56
Wenn es gut läuft.
Linus Neumann 1:05:57
Ja, komme ich gleich zu. Dass du jetzt dann irgendwie 24-Stunden-Schichten machst oder so.Aber es ist halt so eine prozedurale Sache. Es hat nichts mit der technischenImplementierung zu tun und nichts mit tatsächlichen Angriffsszenarien.Es ist einfach nur so, wenn jemand was findet, da steht 72 Stunden, das ist zu lang.Kann man auch sagen, von mir aus ist das auch zu lang. Aber nur damit jetzthier keiner denkt, die hätten eine technische Schwachstelle gefunden oder so.Dann keine Rollentrellung für die Leute, die Zugang zum HSM haben und den Leuten,die die Masterkeys kennen.Also ein Hardware-Security-Module ist im Prinzip so ein Schlüsselspeicher undin diesem Fall muss ich mir vorstellen, wenn das HSM ist,ist ein Gerät,indem man kryptografische Schlüssel speichert, die es dann anwenden kann, aber nicht preisgibt.Und deswegen, wenn du das HSM kaputt machst, ausziehst oder dann einen Knopfdran drückst, da hast du einen Knopf dran, kannst du drücken,dann löscht der alle Keys.Deswegen baut man das normalerweise in einen Käfig, damit keiner den Knopf drückt.Aber theoretisch kann es auch sein, dass irgendwie einer sagt,scheiße, die Bullen, dann drückstdu den Knopf am HSM, dann löscht das die Keys und dann ist es vorbei.Dann sind alle Daten weg. Und dann sagen sie jetzt hier...
Tim Pritlove 1:07:25
Alle Gesundheitsdaten von allen in Deutschland.
Linus Neumann 1:07:27
Naja, es wäre dann ein HSM, ist dann wieder nur für einen Teil zuständig oderso. Aber die Idee eines HSM ist...Ich kann das relevante Schlüsselmaterial an einer Stelle aufbewahren,das HSM gibt es nicht preis und da ist ein Knopf dran, um das zu löschen unddieser Knopf ist dafür da, dass, ja, wenn die Bullen kommen oder, ja,sorry, oder irgendjemand anders.Oder irgendjemand anders.Und jetzt beklagen sie hier, dass es keine Rollentrennung gibt,dass es also die Personen mit RZ-Zugang, die das ISM löschen können und diePersonen, die für die Masterkeys zuständig ist, können die gleiche sein.Also da steht nicht drin, das müssen zwei unterschiedliche Personen sein.Und deswegen könnte eine Personbeides gleichzeitig zerstören und dann werden die Daten wirklich weg.Weil du hast natürlich den HSM Master Key, den bewahrst du irgendwo nochmalauf, den schreibst du dann irgendwie mit so einem, mit einem.
Tim Pritlove 1:08:27
Also der Universalschlüssel quasi Ja.
Linus Neumann 1:08:29
Um das Ding wieder herzustellen, diese HSM Du hast dann irgendwie das HSM,meistens generiert das einen Schlüssel, gibt dir davon eine verschlüsselte Kopieund den Key, den du dafür brauchst, um dem HSM zu sagen hier ist dein verschlüsselterSchlüssel, entschlüssel dir den mal hier ist der Key, den ich dazu habe unddann musst du so Scherzchen machen,wie irgendwie besonderes Papier nehmen, was nicht zerfällt und dokumentenechte Stifte,und dann schreibst du das halt auf ein Blatt Papier, weil diese Schlüssel und so weiter und so fort.Alles so Dinge, die sind schon hinter mir. Aber gut.Und das jetzt darf die Person, die zum HSM darf, dürfte gleichzeitig auch fürden Masterkey auf Bewahrung zuständig sein.Und jetzt sagen sie, das ist ein Problem, weil jetzt könnte einer quasi,der könnte den Masterkey wegwerfen und das HSM kaputt machen.Dann sind die Daten wirklich weg.Drittes Problem, der Innentäter, ein Innentäter, der also zum Beispiel jemand,der ins RZ darf oder hohe administrative Rechte hat, kann das Access Gatewayoder zentrale Komponenten ausschalten.Ja, so ist das. Also, und jetzt verlangen sie, dass ein einzelner Mitarbeiternicht ausreichend Rechte hat, alle Komponenten herunterzufahren und oder nichtphysisch an alle herankommt.Ja, damit jetzt nicht eine Person, also sie sagen im Prinzip,wir möchten nicht, dass eine Person in der Lage ist, das Ding auszuschalten.Daran erkennst du, Verfügbarkeit ist denn offensichtlich ein sehr hehres Ziel.Weil ich halte es jetzt für relativ unwahrscheinlich. Oder sagen wir mal so,in dem Fall, wo man wirklich sagt, das Ding muss einmal alles auf einmal ausgeschaltetwerden, ja, dann wird es natürlich eigentlich auch, dass das passiert.Ich würde also nicht, also meine Bedrohung wäre jetzt nicht unbedingt,dass jemand das scheiß Ding am Tag abschaltet. Aber für die ist das hoch.Und dann sagen sie.
Tim Pritlove 1:10:16
Kann ja schon, ich meine, bei klarem Geiste ja, aber kann ja auch sein,dass einer völlig durchdreht.
Linus Neumann 1:10:24
Ja, ich möchte nur mal so ein Gefühl dafür geben, von was für einer Art Schwachstellenwir hier reden, weil ich kriege ungefähr drei E-Mails am Tag.Linus ist die EPA sicher.Oder soll ich da jetzt widersprechen? Ja und diese, also die Frage,ist das jetzt sicher oder nicht, die lässt sich nie sinnvoll beantworten.Weil die Frage ist immer, wogegen soll es denn sicher sein?Geht es dir um die Vertraulichkeit? Geht es dir um die Verfügbarkeit?Geht es dir um die Integrität?Und wer sind deine Angreifer? Deswegen auch gerade hier die Schilderung vonAktivisten und Innentäter und hast du nicht gesehen und Nancy Faeser und derRusse, aber der Russe spielt keine Rolle.Den haben wir mal out of scope definiert.
Tim Pritlove 1:11:09
Und unser kleines Sprachproblem, was wir im Deutschen haben,dass Sicherheit, sozusagen Security und Safety in einem ist.Also manchmal geht es um die Sicherheit im Sinne von Zugriff auf Daten,manchmal geht es um Sicherheit im Sinne von Betrieb des Systems.
Linus Neumann 1:11:25
Genau, also ja, ich glaube, das würde ja schon alles unter Security fallen,weil ja Security, Availability, Confidentiality, Integrity ist.Und dieser Aspekt, wir möchten nicht, dass ein Mensch die Macht hat,hier zentrale Komponenten alle auszuschalten, das ist dann eben Availabilityund würde man jetzt klassisch unter Informationssicherheit führen.Und dann sagen sie ja, wenn ein Zulieferer,einen unsicheren Software Development Lifecycle hat, also irgendwie wenn daunsichere Praxis herrscht, wie das Ding entwickelt wird, wie könnte man sichdas vorstellen, das kann ja gar nicht sein,kann dort unbemerkt eine beliebige Änderungen am Code vorgenommen werden unddeswegen verlangen sie Vorgaben für die Zulieferer hinsichtlich der Geräte, der Prozesse,dass dann zum Beispiel die Open-Source-Komponenten reviewt werden müssen,damit da nicht irgendwelcher Open-Source-Krempel reingeknallt wird und dannverlangen sie, dass die eine S-Bomb machen. S-Bomb ist richtig geil.Software Bill of Materials.Das ist etwas, was so ein bisschen modern wurde.Eigentlich ...Als diese Log4j-Schwachstelle war. Wir erinnern uns, Log4j war die Logging-Library,die in Java sehr verbreitet ist und wo irgendwann ein Lasergehirn die Idee hatte,dass man quasi in das Log selber aktive Inhalte schreiben kann,die dann von der Logging-Library interpretiert werden.Was also eigentlich die Definition von einer Code-Injection war, ist.Und dann hattest du diese Situation, dass es auf einmal überall auf dieser WeltSoftware gab, die irgendwie geloggt hat, die unter Umständen für dieses Logging Log4J verwendet hat.Und dass es dann ein lustiger Spaß war, aktive Befehle zum Beispiel irgendwo reinzuschreiben,wo sie potenziell von irgendjemand anders gelockt werden und dann festzustellen,dass dieser aktive Inhalt irgendwo in der Kette von irgendeiner Infrastrukturvon Log4j dann interpretiert und umgesetzt wurde.Dann wurden auf einmal alle nervös und sagten, oh scheiße, da gibt es diesesLog4J jetzt müssen wir irgendwie mal rausfinden ob wir das denn bei uns verwendenund dann gab es aber keine Datenbank, in der drin stand hier sind unsere.Softwarekomponenten, unsere Geräte mit Log4J Keiner wusste Bescheid Warum auch,ist eine von ein paar Millionen Open Source Libraries, die irgendeiner irgendworeingeknotet hat oder auch nicht und das gab es halt nicht.Und dann haben sich die Leute gesagt, ja okay, dann müsst ihr jetzt eine SoftwareBill of Material machen.Und das stellen die, also eines S-Bomb wäre also so, du bist da so als äh,sagen wir mal als Betreiber, ähm, musst du dann für deine Software, äh.Eine Liste machen in meiner Gematik-Software, die wir hier beistellen,die wir hier zur Verfügung stellen, sind folgende Open-Source-Libraries in folgenden Versionen drin.Und in der anderen Version sind die in der Version drin und in der anderen Versionsind die in der Version drin. Ich bin aber jetzt nur Zielüferer von einem Gerät.Jetzt kannst du dir mal vorstellen, wenn du das mal auf so eine größere Ebeneziehst, sagen wir mal ein Krankenhaus.Krankenhaus müsste dann alsohingehen und sagen, okay, wir haben unsere Software Build-of-Materials.Wir haben Microsoft Windows im Einsatz, zack, bumm.Wir benutzen außerdem, keine Ahnung.WiFi, einen WiFi-Controller von Ubiquity mit folgender Software und Ubiquityhat uns gesagt, da sind folgende Open-Source-Komponenten drin.Jetzt kümmern wir es in unsere Software-Build-of-Material. Und wenn dann jetztirgendeiner sagt OpenSSL in Versionen, hast du nicht gesehen,1.2 hat eine Schwachstelle,dann kann ich in meine S-Bomb gucken und kann sagen, sag mal,wo ist denn hier alles OpenSSL drin?Dann sagt er, auf folgenden 84 Web-Servernhast du das, auf folgenden 795 Access-Points auf deinem Controller,auf dem Web-Interface von deiner Heizungssteuerung und in deinem alten Firefox-Browserauf der Linux-Büx unten im Keller.Also eine super Idee, vollkommen unrealistisch, dass du das in einem kleinenUnternehmen vollständig hinkriegst und auch noch aktuell hältst. Aber okay.Wäre nicht schlecht, wenn man es hat und ist auch nicht blöd, das zu fordern.Das Ding, sowas zu haben und zu pflegen, du musst ja jedes Mal,wenn du ein Update gemacht hast, sagt einer, hör mal, gab gerade ein Updatefür unseren Unify-Controller, ich hab das mal eingespult.Oh, okay, dann kann ich jetzt die S-Bomb updaten.So, was steht denn da jetzt drin? Ist da jetzt das OpenSSL noch in Version X drin oder in Version XA?Okay, nee, XA, ja gut, dann schreib mal in deine S-Bomb.
Tim Pritlove 1:16:29
Das lässt sich natürlich nur mit Systemen machen, die mehr oder weniger mindestenshalbautomatisch funktionieren. Wenn es beinhaltet, dass irgendjemand irgendwelcheZeilen, irgendwelche Wörterdokumente eintragen soll, kannst du es natürlich komplett vergessen.
Linus Neumann 1:16:41
Es ist eine Aufgabe, die du nicht lösen kannst in einer großen Infrastruktur.Aber hier geht es darum, dass man sagt, der Zulieferer soll das machen.Und das ist natürlich schon eine absolut akzeptable Anforderung,dass man sagt, du bist hier Zulieferer für Gematik.Und du sagst bitte, du machst hier bitte eine Software Bill of Materials.Und jede einzelne fucking Open Source Komponente, die du da drin hast,gibst du bitte an mit Version.Und dann guckt halt auch jemand drauf, ob das irgendwie eine Software-Library mit gutem Ruf ist.Das Problem ist nur, wenn du jetzt irgendwie so in klassischer heutiger Software-Entwicklung,da sagst du halt irgendwie, keine Ahnung, ich möchte diese und jene Librarybei mir reinhaben, dann hat die aber nochmal Dependencies auf 25 andere.Das heißt, selbst wenn du als Entwickler vielleicht meinst,ja wieso, ich depende doch nur hier auf folgende vier Node-Module,inszeniert dein Node.js trotzdem noch 35 andere,weil deine vier Node-Module jeweils auf fünf andere dependen,die nochmal auf sechs andere dependen.Und irgendwo ganz am Ende ist irgendeine One Single Software Project a guy inPennsylvania has been thanklessly maintaining for 20 years.
Tim Pritlove 1:17:58
Der kleine Zahnstocher, der den Jünger Tower festhält.
Linus Neumann 1:18:02
Und dann wollen sie irgendwie noch das in das Cyber Resilience Act.Dann haben sie, finde ich aber ganz interessant, was haben sie denn als eher mittlere?Da sagen sie ja, okay, es gibt kein Intrusion Detection System auf sektoralenIDPs vorgeschrieben. Was?Also ein höherwertiges Monitoring auf den sektoralen IDPs.Das sind bestimmte Komponenten dieser Gematik-Infrastruktur.
Tim Pritlove 1:18:32
Aha.
Linus Neumann 1:18:33
Dann sagen sie Social Engineering auf Löschen der gesamten Daten.Dass also jemand sagt, ich bin der Linus Neumann, ich möchte gerne,dass alle meine Daten gelöscht werden.Da haben sie also Angst vor Social Engineering-Angriffen.Und sie sagen, es gibt keine Sicherheitsanforderungen für die Entwicklung des Primärsystems.Das sagen sie, das ist Mittel.Jetzt gucken wir uns mal an, was ist denn das Primärsystem? Das Primärsystemist das, was auf den Seiten desLeistungserbringers den Zugriff auf die Gematikinfrastruktur ermöglicht.Also das, was im Krankenhaus dann läuft, womit die Leute auf die EPA tatsächlichzugreifen. Da gibt es keine Sicherheitsanforderungen für.Es gibt zwar einen Leitfaden, der ist aber nicht verpflichtend.Und dann sagen sie, wäre ganz gut, wenn man den Leitfaden mal verpflichtend machen würde.Und es wäre cool, wenn man es mindestens mal vorschreiben würde,eine sichere Benutzerauthentifizierung, dass man eine Passwortrichtlinie auch tatsächlich erzwingt,dass man gegen Brute Force schützt und dass man nach Inaktivität automatischsperrt und ein Secure Software Development Lifecycle vorschreibt und vielleichtnoch eine Anomalieerkennung macht.So, das ist für das Primärsystem also das, was auf den Seiten des Leistungserbringers steht.Also das, was am Ende auf hunderttausenden Rechnern in allen möglichen Krankenhäusernund Arztpraxen läuft, wo der Patient im Prinzip einfach reingehen kann.Und also da, wo die Angriffe am Ende stattfinden, da, wo die Schadsoftware aufden Rechnern ist, die dann,wo das Primärsystem dann eben läuft, wo die Leute quasi auf den System,womit sie am Ende auf deine E-Path zugreifen,zwischendurch noch irgendwelchen Quatsch googeln und irgendeine Software runterladen.Da gibt es halt irgendwie keine Sicherheitsanforderungen.Das ist aber ein mittleres Problem. Da ist schon wichtiger, dass derjenige,der das HSM löschen kann, nicht auch den Masterkey zugreifen kann.Also man erkennt, dass das so ein bisschen sehr prozessgetriebene IT-Sicherheit ist.Die ist auch sehr wichtig, aber der Leistungserbringer und mit seinem Primärsystem,die haben auf alles Zugriff, das sind unglaublich viele und die Relevanz istmittelgroß, also genauso wie ein Haktivist.Ich würde sagen, und das erklärt der Projektleiter Steven Arzt, ähm.Und warum ist es nicht so wichtig, also warum sind nicht diese ganzen Leistungserbringerund alle, die für sie arbeiten, bei einer normalen Arztpraxis ja schon irgendwieirgendwas wahrscheinlich zwischen 8 und 20 Personen bei einer kleinen Arztpraxis,weil die lediglich nach dem Scan der elektronischen Gesundheitskarte für 90Tage darauf zugreifen können und auch nur als Leistungserbringer,bei dem die Karte eingelesen wurde.Bei großen Leistungserbringern mit vielen Patienten ergeben sich hieraus umfangreicheZugriffsrechte, aber die wurden ja schließlich auch gewährt.Bei vielen größeren Kliniken und Praxisverbünden existieren daher in den Informationssystementechnische Maßnahmen zu internen Zugriffsbeschränkungen innerhalb der Leistungsbegringer.Das ist aber das, wo das Fraunhofer sagt, das ist ja nicht vorgeschrieben.Und dann sagt er, wir empfehlen hierbei rechtliche Vorgaben für das Mindestsicherheitsniveauder Primärsysteme zu erheben.Jetzt, ich würde sagen, wenn auf deine elektronische Patientenakte zugegriffenwird, also von dir als Person, Tim Pritlaff.Wenn da ein unberechtigter Zugriff drauf stattfindet, dann wird der im Zweifelsfallstattfinden bei den Leistungserbringern.Also da, wo die Karte eingelesen wurde und die dann 90 Tage Zugriff darauf habenund die in so einem Krankenhaus, wenn du überlegst,jeder der da ist 90 Tage, so ein Krankenhaus schleift an OPs und besucht eineganze Menge Leute durch und da gibt es quasi überhaupt keine Vorgaben.Gibt es aber auch heute nicht, wurden ja gerade in Berlin auch wieder irgendwelcheKrankenhäuser gehackt und die Daten abgezogen und das will ich hier gerade erklären,deswegen sagen die, das ist kein großes Problem für die EPA,weil aktuell sind die Daten ja auch in den Krankenhäusern gespeichert und freizugreifbar so ungefähr und nicht ordentlich geschützt.Und die EPA erhöht hier das Risiko nicht nennenswert,weil nur dadurch, dass sie in der EPA sind, wird das Krankenhaus weder sicherernoch unsicherer und man kann nur auf die Patienten zugreifen,die halt dem so doof an dem Krankenhaus zu vertrauen.Und ich will, also ich spreche da deshalb drüber, weil ich so ein bisschen diesedenke, wie so eine Sicherheitsanalyse eben vonstatten geht und wie da so eineScope-Definition stattfindet und was sie sich anschauen und was nicht.Was sie zum Beispiel nicht angeschaut haben ist, mach doch mal eine S-Bomb undlass mich die mal angucken und wenn die nicht auf eine DIN A4-Seite passt, dann ist die zu lang.Solche Fragen sind hier nicht gestellt, das ist halt so eine rein prozeduraleSicherheitsbetrachtung.Und unter dem Hinblick kann man von dem, was sie hier geprüft haben und wassie bemängeln, kann ich schon verstehen, dass die Gematik sagt,guck mal hier, die haben mit ihrem GPT nichts Nennenswertes gefunden.Weil das natürlich,hier das, was sie als hoch bezeichnen, immer noch relativ unrealistische Szenarien sind.Ja, dass jetzt irgendwie einer das HSM löscht, ja gut.Unwahrscheinlich. Gleichzeitig, dass so im Krankenhaus läuft irgendeine Softwarezweifelhafter Genese ohne jede Sicherheitsanforderung.Das sagen wir halt, mittel.Weil das eben heute schon der Fall ist und kein nennenswertes,erweitertes Risiko durch die EPA eingeführt wird.Und man muss halt diese Sprache verstehen und diese Risikoperspektive verstehen,um mit diesem Bericht etwas anfangen zu können.Was halt grundsätzlich unbehandelt bleibt, ist, ist das eine gute Idee,diese massenhaften Daten in dieser Menge anzuhäufen, ein Leben lang zu speichernund was ist mit dem Risiko einer Einzelperson?Ja, wenn wir jetzt sagen, ich gehe in ein Krankenhaus und da sind die Daten90 Tage zugreifbar, ja, ich und bei mir werden jetzt im Laufe meines Lebenssicherlich noch eine ganze Menge Daten dazukommen, dann ist es relativ,also dann wird halt die Menge an Daten, die in einem Krankenhaus für 90 Tagezugreifbar ist, immer mehr mit der Dauer meines Lebens, ne, also,und klar.
Tim Pritlove 1:25:37
Darum geht's ja auch.
Linus Neumann 1:25:38
Genau, darum geht's auch, Aber heutzutage, wenn ich in irgendeinem Krankenhauskomme, haben die halt auch nur die Daten, die jetzt unmittelbar gerade für denFall relevant sind und nicht meine komplette Krankenhistorie.
Tim Pritlove 1:25:50
Ja gut, aber es wäre in gewisser Hinsicht ja auch wünschenswert,dass sie die komplette Krankenhistorie haben.
Linus Neumann 1:25:54
Das ist richtig, hier geht es aber um die Sicherheit.
Tim Pritlove 1:25:55
Ja.
Linus Neumann 1:25:57
Ja, und solche Dinge finden hier halt etwas weniger Betrachtung,weil sie sich quasi sehr diese Prozeduren des Betriebs angeschaut haben.Und zum Beispiel nicht die Frage gestellt haben,Was bedeutet das in, sagen wir mal, 30 Jahren,wenn dort von 30, von was weiß ich, wie vielen Millionen Deutschen,die in der gesetzlichen Krankenkasse sind, 30 Lebensjahre Krankengeschichte sind,auf die sich diese 90 Tage Zugriffsmöglichkeit beziehen, für die 2000 Angestelltenin einem Krankenhaus mit ihren, weiß ich nicht,5000 Arbeitsplätzen oder was auch immer da ist.Also diese Komponente findet da keine Berücksichtigung. Die wollen wir jetztaber auch an dieser Stelle nicht diskutieren.Ich wollte jetzt einfach mal sagen, was steht in diesem Bericht und was steht da nicht drin.So, ich kann diese Einstufung, was jetzt hoch und niedrig ist,an einigen Stellen nicht immer nachvollziehen.Es ist aber nicht tragisch.So Berichte sind dadurch getrieben, welchen Scope sie haben.
Tim Pritlove 1:27:23
Naja, und,hättest du jetzt also du, wenn ich dich jetzt richtig verstanden habe,grundsätzlich kannst du sozusagen die Darstellung nachvollziehen du hättestgerne gesehen dass längerfristige,Sicherheitsbetrachtungen noch mit in diesen Bericht mit eingeflossen wären diemehr schon so in die Gesamtrisikoabschätzung und damit ja auch schon, sagen wir mal,fast schon eine politische Betrachtung der Sicherheit stattfindet,weil es ja dann sozusagen… Also es gibt ja andere Themen.
Linus Neumann 1:28:01
Was ich zum Beispiel überhaupt nicht finde, ist dieser ganze Teil mit dem angeblichanonymisierten Zugänglichmachen von Daten für Forschungszwecke,was halt einfach mal nicht funktionieren wird.Also, dass das anonym ist, das wird einfach nicht gehen.Jede Krankengeschichte ist einzigartig und mit drei Merkmalen deanonymisierstdu im Prinzip jede Person, wenn du sie dann siehst.Das heißt, da kommen kaputte Anonymisierungskonzepte zum Einsatz.Das interessiert aber wiederum das Fraunhofer SIT nicht, weil die sagen,wenn ihr einer eine Schwachstelle hat, dann muss der sofort bewerten und nicht 72 Stunden Zeit haben.Es ist also so eine, beide, also diese Form von IT-Sicherheit ist nicht die, die ich...Also es ist grundsätzlich nicht die, die ich in meiner beruflichen Tätigkeitfür die relevante halte.Also ich interessiere mich eher für die technische.Gleichzeitig natürlich ist die bei einer großen Organisation und bei den Risiken,die die hier haben, musst du diesen prozessgetriebenen Teil machen.Und dann, wenn die sagen, ja, hier 72 Stunden im schlimmsten Fall, ist halt zu lang.Ja klar, 72 Stunden sind, wie viele Tage sind das denn?
Tim Pritlove 1:29:24
Drei.
Linus Neumann 1:29:26
Und dann sagen sie halt, wenn ihr drei Tage Zeit habt, die Sicherheitslückeerstmal zu bewerten, bevor ihr dann anhand der Bewertung überlegt,was er jetzt damit macht.
Tim Pritlove 1:29:35
So Freitag um 12, wenn sie den Stift fallen lassen, bis Montag um 12,wenn der erste Kaffee wirkt. Das ist der Zeitraum.
Linus Neumann 1:29:45
Aber jetzt dafür einen Notdienst einzurichten, weiß ich jetzt auch nicht.
Tim Pritlove 1:29:51
Naja, also für die Gesamtoperation EPA, wenn sozusagen das Gesamtsystem undder Zugriff von Daten...
Linus Neumann 1:29:57
Da wird doch eh am Wochenende einer sich drum kümmern.
Tim Pritlove 1:30:01
Weiß ich nicht. Wenn da drinsteht, das dauert 72 Stunden, dann ist keiner da,der sich kümmern kann. Aber wahrscheinlich ist doch jemand da. Ich weiß es ja nicht.
Linus Neumann 1:30:09
Also insgesamt, um vielleicht so Netzpolitik.org titelt Fraunhofer-Gutachten,elektronische Patientenakte leidet an schweren Schwachstellen.Gematik sagt, Fraunhofer bestätigt, EPA ist sicher. Und beides ist Quatsch.Also beides ist Quatsch, weil dieser Bericht in meinen, also diejenigen, die denken,also was versteht ein Mensch, der seine Daten in diese EPA tut,unter einer schweren Schwachstelle.Wenn mich jemand fragt, Linus, ich habe gehört von den schweren Schwachstellen,soll ich jetzt eine IPA machen oder nicht? Und ich sage, mach es nicht.Wenn du Pech hast, hat der Typ, der das heißt M löschen kann,Zugriff auf die Masterkeys und dann ist alles weg.Das ist ja jetzt, weißt du, das ist ja jetzt nicht ein Risiko,was die Menschen beschäftigt, wenn sie sich über die IPA-Gedanken machen.Ja? Und,deswegen denke ich, dass diese ganze, das was da jetzt gemacht wurde,das geht halt an dem Risiko vorbei, was Menschen eigentlich,darunter sehen, eine zentrale Speicherung ihrer Gesundheitsakte auf Lebensdauer anzufertigen.Es ist halt so eine Prozesssicherheit, da kannst du definieren, was du willst.
Tim Pritlove 1:31:36
Möchtest du denn eine lebenslange EPA von dir haben?
Linus Neumann 1:31:39
Ich möchte meine persönliche Meinung da tatsächlich nicht teilen,weil ich, weil das eine, weil alle denkenwürden, dass ich dies aus einer IT-Sicherheitsperspektive treffe. Und,das tue ich in meinem Fall nicht.
Tim Pritlove 1:31:59
Okay. Ja.
Linus Neumann 1:32:03
Und das heißt, ich sage wirklich nicht, ob es ja oder nein ist,weil wenn ich jetzt, also würde ich ja sagen, dann würde es heißen,Linus denkt, die EPA ist sicher.Würde ich nein sagen, würden die Leute sagen, Nenus denkt, die EPA ist nichtsicher, aber auf Basis von dem, was ich bis jetzt gelesen und gesehen habe,das sind nicht die für mich entscheidenden Gründe und das ist auch das,was ich an diesem warum ich denke, dieses Fraunhofer-Gut da hatten,das ist halt toll, dass die da irgendwie mal so eine riesige Analyse mit einem GPT gemacht haben,aber weißt du, das sind also das sind so, das ist das, was mich auch wirklichan meinem Job in der IT-Security so ankotzt,dass Leute dass du für jeden Scheiß, den jemand baut, gibt es dann irgendeinenStandard. Dann kannst du sagen, wir erfüllen doch jeden Standard.Wir haben doch hier BSI Grundschutz. Haben wir doch. Haben wir doch hier.Cyber Resilience Act haben wir alles hier.Unser HSM, wir haben nochmal den Master Key auf den Zettel geschrieben, der liegt im Tresor.Tresor hat, kennen nur acht Leute den.Wir haben ja immer alles, was jemals jemand auf Papier geschrieben hat,wie man macht, machen wir. Und du kannst trotzdem Scheiße bauen.Oder auf Facebook ist ja auch sicher. Also Facebook ist nicht unsicher.Facebook ist einfach Grundscheiße. Und das ist aber nicht unsicher.
Tim Pritlove 1:33:21
Ja,ich grübel nur gerade, weil natürlich abgesehen von so einer sicherheitstechnischenBetrachtung unter anderem ja von uns gegebenenfalls auch eine netzpolitischeBewertung der Maßnahmen vielleicht nicht unbedingt erwartet wird,aber zumindest damit gerechnet wird.Und ich bin schon seit längerem ein bisschen gefangen in diesem Hexenkesselder Abwägung von Chancen und Risiken,der ja ein Permanenter ist, den man immer machen muss und der irgendwie an dieserStelle sich mal wieder sehr schön zeigt, weil auf der einen Seite sind wir alleein bisschen genervt von den konkreten digitalen Umsetzungen,die geschaffen werden im Rahmen unserer Digitalisierung Und da läuft natürlichauch viel schief und oft sind die Ansätze nicht die richtigen und es muss vielkorrigiert und nachgearbeitet werden und teilweise wird es vielleicht auch nichtkorrigiert und nachgearbeitet werden.Andererseits müssen wir natürlich auch vorankommen mit solchen Sachen,weil es halt auch eine Notwendigkeit gibt dafür.Und das ist wirklich ein Spannungsfeld, was teilweise wirklich extrem schwierig zu bewerten ist.
Linus Neumann 1:34:38
Also, es werden potenziell sehr viele Gesundheitsdaten zentral verschlüsselt gespeichert.Verschlüsselt heißt aber, sie sind mit dem entsprechenden Schlüssel zugreifbarund dieser Zugriff wird eben gewährt dadurch,dass du mit deiner Karte die Erlaubnis gibst. so.Vorteile ohne Frage. Man häuft potenziell vielleicht bei chronischen Krankheiten,bei schweren Krankheiten eine ganze Menge Gesundheitsdaten an.Wir hatten hier ja einmal einen Kommentar, an den ich mich sehr gut erinnere,wo jemand sagte, seine Partnerin oder Partner war chronisch krank und sie musstenzu allen möglichen unterschiedlichen Ärzten und es war immer scheiße,da den Kramen jedes Mal wieder die ganze Zeit die Geschichte erzählen.Und gerade chronisch kranken ist das im Zweifelsfall scheißegal.Wer diese Daten hat und die sind sehr froh, wenn sie die problemlos von allem,wenn die einfach schon bei dem Arzt sind, wo sie kommen, wo sie hingehen. Ja.
Tim Pritlove 1:35:45
Nicht nur chronisch Kranken.
Linus Neumann 1:35:47
Ja, aber auch. Ja.Für die Wissenschaft sollen Forschende eben Zugang zu mehr Daten erhalten.Das heißt, da siehst du schon, so verschlüsselt können die ja nicht sein,wenn die auf einmal zu Forschungszwecken in großer Menge zur Verfügung stehen.Das ist ja auch wieder so eine Sache, ist das denn verschlüsselt?Ja, von mir aus ist das verschlüsselt. Was meint ihr, was alles verschlüsseltist, was ihr klar auf eurem Bildschirm seht?Ja, so verschlüsselt kann das ja dann auch nicht sein. Also zumindest nichtdas, was ihr landläufig für verschlüsselt haltet.Risiko, viele sensible Daten zentral an einem Ort, wo potenziell sehr vieleLeute darauf Zugriff haben. In so einem Krankenhaus.Jede Person, die da arbeitet, kann da reinschauen. Und tun das auch.Die müssen das ja auch im Rahmen ihrer Aufgaben erfüllen.
Tim Pritlove 1:36:43
Darum geht es ja auch.
Linus Neumann 1:36:43
Genau.Es kann potenziell schwieriger werden, eine unvoreingenommene zweite Meinungzu bekommen, wenn du sagst, könnt ihr mal gucken, was hier ist.Und der Arzt sagt, na was haben denn die anderen gesagt.Das kann schwierig sein.Es gibt aber auch die Möglichkeit, bei einigen Sachen zu widersprechen,dass sie in die EPA kommen, also psychische Erkrankungen, Schwangerschaftsabbrüche,sexuell übertragbare Infektionen, muss der Behandelnde sagen,du hast das Recht zu widersprechen, kannst in der App oder auch bei einer Ombudsstelle dich dagegen wehren.Aber standardmäßig sind alle Dokumente in der EPA für alle Ärztinnen sichtbar,sobald du den Zugriff gegeben hast.Und das werden nicht nur die Ärztinnen machen, sondern alle,die da arbeiten, können 90 Tage lang darauf zugreifen.Der öffentliche Gesundheitsdienst, Arbeitsmedizinerinnen und Apotheken dürfennach Einwilligung drei Tage lang darauf zugreifen.Reicht aber, du brauchst, um alle Daten da rauszuholen, nicht 90 Tage und nicht drei.Dann sind die zentral verschlüsselt, also man kann die nicht an einer Stellezentral einsehen, es gibt aber eben das besagte HSM, wo dann irgendwie die Berechtigungengecheckt werden, wo dann eben die Entschlüsselungen stattfinden.Am Ende gibt es einen Ort, wenn man an der richtigen Stelle ist,wo du alle Daten auf einmal entschlüsseln kannst.Diese Informationen werden dann getrennt, dann hat der eine nur Zugriff daraufund so weiter, damit es irgendwie nicht möglich ist.Oder nicht, dass sich die Gelegenheit nicht bietet, ohne das Brechen mehrererProzeduren und die Wahrscheinlichkeit soll verringert werden.Dann nicht besonders schön ist natürlich, dass es hier ein Opt-out gibt eigentlichglaube ich, das ist so nicht rechtens weil,bei einer solchen Datensammlung eigentlich ein Opt-in-Verfahren wäre aber auchdarüber haben wir schon gesprochen, wenn das jetzt Opt-in wäre, dann macht es keiner ja.
Tim Pritlove 1:39:05
Dann gibt es keine Forschung,ja.
Linus Neumann 1:39:10
Ist jetzt halt die Frage, ob das so sinnvoll ist die abgelegten Daten werdender Forschung zur Verfügung gestellt,musst den Antrag stellen an das Forschungsdatenzentrum des Bundes und dort werdendie Informationen gesammelt und gespeichert.Du kannst der Forschung mit den Gesundheitsdaten widersprechen,das geht in der App oder über die Ombudsstelle der Krankenkasse,kannst den Widerspruch generell machen oder auf unterschiedliche Zwecke beschränken,und dafür werden sie dann pseudonymisiert.Dann steht da statt des Namen steht dann da eine Ziffer.Das ist keine ausreichende Anonymisierung der Daten.Das ist einfach mit geringem Aufwand wieder zuweisbar.
Tim Pritlove 1:39:58
Wenn man das denn will und betreibt.
Linus Neumann 1:40:03
Ja, genau. Aber das, ja. So, kann es widersprechen. Ja.Ich denke, das ist eine Entscheidung, die jede Person für sich selber treffen muss.
Tim Pritlove 1:40:21
Also ich will ganz ehrlich sein, ich wäre sehr glücklich, wenn ich so einenRekord hätte, wo alles, was an mir schon mal gemacht wurde, drin wäre. Ich habe sowas nicht.Und ich habe auch selber viel zu spät darüber nachgedacht,gedacht, so ein Archiv, wenn es auch nur ein Papierarchiv ist,also irgendwie auch nur mal einen konsistenten Ordner, wo sozusagen alle Behandlungenmal drin sind, selbst wenn sie da nicht datenbankenmäßig geordnet sind,so habe ich nicht, habe so ein bisschen was, aber nicht vollständig.Und ich bin immer wieder, wenn ich in solchen Krankenhaussituationen bin undweißt du, da muss mal irgendwas an dir gemacht werden und dann kommen sie mit,haben sie schon mal so eine Operation gehabt?Ist schon mal das an ihnen gemacht worden? Haben sie dieses Medikament schon mal genommen?Wo ich dann halt so in mich gehe und mir denke so, keine Ahnung, vielleicht.Und das halt irgendwie alles nicht sehr hilfreich.
Linus Neumann 1:41:20
Ja, aber da muss man jetzt auch mal...Mal ein bisschen realistisch bleiben, weil diese Fragen werden die in Zukunftauch weiterstellen, weil was die EPA ja nicht macht, das ist ja dann trotzdemnur irgendwie so ein wilder Key-Value-Store ohne irgendwelche Formatvorgaben.Das heißt, da macht irgendeiner ein Röntgenbild und exportiert das als TIF undlegt das zu den anderen PNGs und PDFs und so weiter.Das heißt, ein strukturiertes Datenformat hast du da ja nicht.
Tim Pritlove 1:41:49
Naja, das ist nicht ganz so. Also es gibt schon strukturierte Datenformate undwenn du ein Röntgenbild machst, hast du da dein Kinkumfolder.Da stehen schon sehr viele auswertbare Daten drin.
Linus Neumann 1:42:01
Aber, die Frage nach, hatten sie schon mal eine solche Operation,da müssen sie es vorher durch den Gematik-GPT von Fraunhofer werfen.Also es ist, es geht ja auch darum.
Tim Pritlove 1:42:12
Dass ich den Zugriff habe. Also das ist das, worauf ich hinaus will.
Linus Neumann 1:42:15
Du hast den ja gar nicht.
Tim Pritlove 1:42:17
Wieso habe ich den nicht?
Linus Neumann 1:42:19
Also, zwei Dinge werden nicht passieren. Dass dich die Ärztinnen und Ärzte nichtmehr fragen, wird nicht passieren.Die werden dich weiterhin fragen. Die werden da gar nicht reingucken.Das wird einfach eine Müllhalde von Daten.Die ist, ja, ganz sicher werden die dir die Frage stellen, bevor sie irgendwie am Computer gucken.Und wenn du sagst, weiß ich nicht, werden sie sagen, so eine Operation vergisst man nicht.Ja, Herr Prittlaff, bei Ihnen haben sie noch keine OP am offenen Hirn gemacht.Obwohl man den Eindruck hat. Ja, auf Annen.
Tim Pritlove 1:42:51
So.Hm? Und Wie meinst du das?
Linus Neumann 1:43:00
Es gibt Leute, naja, du hast doch hier so eine Halloween-Naht an der Stirn gerade.
Tim Pritlove 1:43:06
Das ist nur Deko.
Linus Neumann 1:43:10
So, dann gibt es aber, ähm,Ja, ich denke, das wird.
Tim Pritlove 1:43:15
Natürlich werden wir so starten, aber so wird es ja nicht enden.Also es ist ja sozusagen ein Prozess, auf dem wir uns befinden,der gerade beginnt. Deutschland fängt an.
Linus Neumann 1:43:27
Ja, und ab dann geht es ja jetzt bergab. Also das wissen wir ja von Deutschen.
Tim Pritlove 1:43:34
Ja, egal. Komm, lass uns nicht weiter die Optimismus, Pessimismus, Waage bewegen.
Linus Neumann 1:43:40
Nein, machen wir gar nicht. Ich versuche hier gerade den Leuten eine ernsthafteEinschätzung zu geben. Du sagst, du willst das haben.Ist in deinem Fall, glaube ich, mit ein paar Erwartungen verbunden, die überzogen sind.Das heißt aber immer noch nicht, dass man es nicht haben will.Wir erinnern an den Hörer mit der Schilderung einer chronischen Erkrankung.Wir müssen aber auch an Leute erinnern, die vielleicht medizinische Zuständehatten in ihrem Leben, die sie nicht jemals,auch nur in der Nähe des Risikos haben wollen, dass die an die Öffentlichkeitkommen oder dass die überhaupt jeder Ärztin zugreifbar sind.Wir haben ja hier über psychische Erkrankungen und sonstiges gesprochen.Und gerade jetzt psychische Erkrankungen, das würde ich sicherlich nicht inmeine EPA schreiben, damit ich bei jedem Arzt, wo ich vorspreche und sage,hier mein gebrochenes Bein steht Hypochonder. Wäre ja scheiße.Also das kann auch Nachteile haben und das Problem,also ich denke, das sollte jede Person für sich selber entscheiden und wennsie es tut, muss sie auf jeden Fall mit dem Risiko,muss sie das Risiko in Betracht ziehen, dass da mehr Leute auf diesen gesamtenDatenbestand Zugriff haben, als ihr lieb ist und da muss jede Person für sich selber entscheiden,ob das in Ordnung ist oder im Sinne der Sache.Und dann kommt dazu, dass viele Personen das vielleicht heute,diese Entscheidung treffen, bevor quasi ihre Krankengeschichte zu Ende ist.Krankengeschichte endet üblicherweise mit dem Ableben.Das heißt, euer aller Krankengeschichte wird noch weiter geschrieben.Und dazu kann gehören, dass ihr in einem Jahr irgendeine Krankheit kriegt,für die man sich schämen muss oder für die ihr euch schämt und wo ihr nichtwollt, dass die da drin steht das kann aber auch sein, dass ihr heute sagt,ich möchte keine EPA haben und übermorgen wird euch irgendwie eine schwere chronische Krankheit.Attestiert und ihr würdet euch wünschen, dass ihr eine hättet und deswegen möchteich eigentlich auf diese Entscheidung in der Form keinen Einfluss nehmen.Ich verlink noch mal die Entscheidungshilfe von Netzpolitik.org,Und dann könnt ihr eure eigenen Entscheidungen zu der Situation treffen.Das Risiko, dass jetzt irgendwie übermorgen alle eure Daten im Internet landen,wird durch die EPA nicht nennenswert größer zu Beginn.Weil die Daten müssen ja erstmal noch rein.
Tim Pritlove 1:46:23
Das dauert ja noch ein bisschen.
Linus Neumann 1:46:24
Die müssen ja erstmal noch gefüllt werden.Okay, dann kommen wir jetzt zu den Haktivistinnen.
Tim Pritlove 1:46:32
Ja, was ist denn mit den Haktivisten?
Linus Neumann 1:46:34
Ja, die sind ja mittelgroß.
Tim Pritlove 1:46:39
Mittelgroßes Problem.
Linus Neumann 1:46:40
Und im Koalitionsvertrag steht drin, dass Identifizieren, Melden und Schließenvon Sicherheitslücken in einem verantwortlichen Verfahren, zum Beispiel in derIT-Sicherheitsforschung,soll legal durchführbar sein.
Tim Pritlove 1:46:57
Ich erinnere mich noch, als diese Regierung angetreten ist mit ihrem Programm,wie wir dieses Thema auch….
Linus Neumann 1:47:04
Aber da haben wir ja schon gesagt, das wäre ganz schön.
Tim Pritlove 1:47:06
Das wäre ganz gut, das klingt ja schon mal ganz gut. Das könnte ja eine schöne Zeit werden mit euch.
Linus Neumann 1:47:12
Das hätte ja noch was werden.
Tim Pritlove 1:47:13
Glühende Landschaft. Und was ist jetzt?
Linus Neumann 1:47:16
Naja, und es geht ja natürlich um den Hackerparagrafen oder die Hackerparagrafen.Das ist dieser gesamte Bereich. SCGB 202 Ausspähen und also nee, 202 A, B, C,D Und bei dem Ja,ich weiß ja gerade da geht es, also 202 istdie Verletzung des Briefgeheimnisses und 202A ist das Ausspähen von Daten 202Bist das Abfangen von Daten und 202c ist das Vorbereiten des Ausspähens und Abfangens von Daten,und 202d ist die Datenhehlerei.Datenhehlerei kam da irgendwie vor einigen Jahren dazu.Als Hacker-Paragraph wird gemeinhin dieser 202c bezeichnet, weil er im Prinzip die.Quasi noch nicht die Straftat, wirklich jetzt massenhaft Daten auszuspähen,aber immerhin die Vorbereitung dessen unter Straftat stellt und zwar,wer eine Straftat nach 202a, also Ausspähen oder 202b, Abfangen von Daten vorbereitet,indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichenoder zweitens Computerprogramme, deren Zweck die Begehung einer solchen Tatist, herstellt, sich oder einem anderen verschafft, verkauft.Einem anderen überlässt, verbreitet oder sonst zugänglich wacht,wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.Und damit ist jedes Hacker-Tool und jedes Hacking,auch wenn es noch nicht unter Ausspähen oder Abfangen von Daten in der engerenDefinition fällt, illegal.Bis zu zwei Jahre Knast für Hacking. Das ist mein Beruf, Hacking.
Tim Pritlove 1:49:23
Vorbereitung von Hacking.
Linus Neumann 1:49:24
Vorbereitung von Hacking, Nachbereitung von Hacking, Durchbereitung,Breithacken, Kleinhacken, in alle Formen hacken, machen wir.Und das ist natürlich ungünstig.Und da gibt es dann diese Fälle, wo Leute im Prinzip, sag ich mal,ein System hacken, eine Schwachstelle dabei identifizieren und die Schwachstellemelden. Das ist etwas, was sehr häufig passiert.Daher wissen wir ja nun mal von den Schwachstellen, weil sie irgendwie Leutegefunden haben und gemeldet haben.Das kann eine Schwachstelle sein in irgendeiner weitverbreiteten Software oderin irgendeiner selbstgeklöppelten Software, was weiß ich, diese CDU-Sache,die wir hier mal behandelt hatten,wo Lilith Wittmann dann irgendeine Datenleck in der CDU-App gefunden hat unddie gemeldet hat und dafür angezeigt wurde, von der CDU statt einen Kuchen zubekommen als Dankeschön.So, diese ähm,Diese Tätigkeit, das Aufspüren von Sicherheitslücken in IT-Systemen soll nichtmehr strafbar sein unter drei Bedingungen, drei Voraussetzungen.Erstens, du musst in der Absicht handeln, eine Sicherheitslücke festzustellen.Du musst die Sicherheitslücke an Hersteller beziehungsweise Betreiber oder BSImelden und das technische Vorgehen muss erforderlich sein, um eine Lücke festzustellen.Das heißt im Prinzip, wenn du jetzt weit darüber hinaus schießt,also im Prinzip zu scannen,SQL Injection auszuprobieren und so weiter, alles in Ordnung,das ist alles noch erforderlich.Am Ende 5 Terabyte aus dem Amazon-Bucket ziehen, ist vielleicht nicht mehr erforderlich.Da könnte man sagen, du hast die Lücke festgestellt, indem du einen Datensatzrausgezogen hast oder 8 oder 10, aber nicht alle 2 Millionen.Oder alle 2 mal 10 aus 36 Gesundheitsdaten.Da könnte man sagen, da ist dann irgendwann nicht mehr erforderlich.Den,202c jedoch, den wollen sie nicht ändern.Sie wollen quasi bei dem Ausspähen von Daten, also diesen Aspekt Hacker-Toolsund so weiter nicht ändern, weil das wäre dann nicht mehr erforderlich, weil sie das,quasi beim Ausspähen und Abfangen quasi die Veränderung machen.
Tim Pritlove 1:52:09
Naja Das würde ja auch bedeuten, dass man alles die PSI melden muss Naja.
Linus Neumann 1:52:18
Also muss das schon jemand melden, also wenn du dich darauf berufen willst,also sie ändern 202a 202b,und 303a Oh, 303 gibt es auch noch, das ist wer rechtswidrig Daten löscht,unterdrückt und unbrauchbar macht,Also sie ändern die Definition ausspielen von Daten, wer unbefugt sich odereinem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigtenZugang besonders geschützt sind,unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafebis zu drei Jahren oder mit Geldstrafe bestraft.Das wäre jetzt auch hier Lillith Wittmann, hat ja Daten bekommen, die nicht für sich,die nicht für sie bestimmt waren. Aber das heißt, sie ändern alle anderen Paragraphen,außer den wirklich kritischen, den 202c Vorbereitung des Ausspielens von Daten.Es wäre schon gut, den 20C auch noch wegzumachen, aber immerhin gehen sie indie richtige Richtung. Ja.Aber immer noch, ja, unzureichend.Ja, also es wird jetzt gesagt, wenn du in positiver Absicht handelst,sollst du nicht mehr kriminalisiert werden.Aber so einfach lässt sich diese Absicht ja auch nicht feststellen.Ich finde es aber trotzdem erstmal einen guten Punkt, dass man sagt,wenn jetzt jemand ein angeblich sicheres IT-System mal ein bisschen abklopft,dass er sich damit nicht strafbar macht, sondern eben im Prinzip der Öffentlichkeitund den Nutzerinnen einen Dienst erweist.Es wäre aber noch ganz schön wie gesagt, den 202c könnte man einfach komplettabschaffen dieser Argumentation das ist nicht mehr erforderlich der schließeich mich jetzt eigentlich nicht unbedingt an weil es einfach.
Tim Pritlove 1:54:18
Zu viel offen ist.
Linus Neumann 1:54:19
Genau, wir sagen, also eigentlich sagen wir mach den 202c weg das ist der Hackerparad,der ist doof wir sagen ja gar nicht Abfangen und Ausspielen von Daten natürlich ist das schlecht,und natürlich muss auch das muss man da auch eine Ausnahme machen,aber Aber die Idee war, streicht bitte mal den 202c.Ich gucke gerade die genaue Formulierung, nur damit wir die jetzt auch hierhaben, also dem 202a, wer Daten ausspielt, lalala, wird bestraft.Werden die Absätze 3 und 4 angefügt.Die Handlung ist nicht unbefugt im Sinne des Absatzes 1, wenn erstens sie inder Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko einesinformationstechnischen Systems, Klammer auf Sicherheitslücke,festzustellen und die für das informationstechnische System verantwortlichen,dem betreibenden Dienstleister des jeweiligen Systems,den Hersteller betroffener IT-Wand und das Bundesamt für Sicherheit und Informationstechniküber die festgestellte Sicherheitslücke zu unterrichten und zweitens sie zurFeststellung der Sicherheitslücke erforderlich ist.Das hatte ich gerade schon gesagt, ich will es nur einmal ausformulieren.Viertens, in besonders schweren Fällen des Absatzes 1 ist die Freiheitsstrafevon drei Monaten bis zu fünf Jahren.Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter erstens einenVermögensverlust großen Ausmaßes herbeiführt,aus Gewinnsucht oder gewerbsmäßig handelt oder als Mitglied einer Bande,die sich zur fortgesetzten Begehung von solchen Taten verbunden hat oder durchdie Tat, die Verfügbarkeit, Funktionsfähigkeit,Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastrukturoder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt.Und das wird dem 202b und dem 303a ebenfalls angekommen.Dieser zweite Teil, also der Absatz 4, besonders schwere Fälle,Vermögensverlust in großem Ausmaß und Gewinnsucht, gewerbsmäßig Mitglied einer Bande,Verfügbarkeit, Funktionsfähigkeit, das sind so die Wörter, die stehen,da steht einfach nur dran, Ransomware-Gang.Das ist 100% Vermögensverlust, großen Ausmaß, ja, Ransomware,Gewinnsucht, ja, die Erpresse, gewerbsmäßig, ja, Mitglied einer Bande,ja, zur fortgesetzten Begehung einer solchen Tat verbunden, ja,Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität,Vertraulichkeit, ja, ja, ja, ja, ja, check, check, check, check, check.Und da ist dann die Freiheitsstrafe von drei Monaten bis fünf Jahren,obwohl sie in der jetzigen Ausführung bis zu drei Jahre ist.Also eine Erhöhung der Strafen für Ransomware-Gang-Mitglieder wird hier noch mit reingenommen.Ja.
Tim Pritlove 1:57:25
So, das Ganze ist jetzt quasi Die kriegen sie dann.
Linus Neumann 1:57:28
Anhand ihrer IP-Adresse bestimmt.
Tim Pritlove 1:57:30
Ja, und das Ganze ist jetzt DJ Bushman,schon in der Abstimmung oder in welchem Zustand befindet sich das?
Linus Neumann 1:57:41
Ich glaube, das ist auch relativ früh. Das Justizministerium hat einen Gesetzentwurf,formuliert, klassisch, Regierung reicht etwas ins Parlament als Referentenentwurf,der dann in die Ressortabstimmung gehen soll. Also relativ früh.
Tim Pritlove 1:58:02
Ja, gucken wir doch mal in den Bundestagszusammenfasser. Da haben wir hier Änderungdes Strafgesetzbuches, Modernisierung des Computerstrafrechts, Referentenentwurf.Also das ist alles noch ganz am Anfang.Es gibt jetzt einen Entwurf, das Kabinett muss den beschließen und dann geht es erst in den Prozess.Also Bundestag, Bundesrat.
Linus Neumann 1:58:29
Apropos Prozess.
Tim Pritlove 1:58:34
Apropos Prozess, ja genau, es gab einen Prozess, einen kurzen Prozess, muss man dazu sagen, ja,kurzer Prozess, weil es nicht so lange gedauert hat, hier zu einem Urteil zukommen, es geht natürlich um den Fall Arne Semmsrott, unser Arne.
Linus Neumann 1:58:51
Den wir hier angekündigt hatten. Oder er hier selber gesagt,dass er an diese beiden Verhandlungstage, als er bei uns hier in der Sendungwar, hat er darauf hingewiesen.Waren auch viele Leute im Gericht vor Ort.
Tim Pritlove 1:59:01
Genau.
Linus Neumann 1:59:02
Großer Auflauf.
Tim Pritlove 1:59:03
Sozusagen Operation Jesus died for your sins.Arne möchte gerne verurteilt werden und der Hintergrund ist, er hat ja,Beschlüsse aus einem Ermittlungsverfahren letztes Jahr im August gegen die letzteGeneration veröffentlicht und Und hat das bewusst getan,auch wenn es eben ein Gesetz gibt,hier wieder Strafgesetzbuch, 353d, verbotene Mitteilung über Gerichtsverhandlungen,was das unter Strafe stellt.Und er wollte aber bewusst dagegen verstoßen und auch dafür jetzt sozusagenverurteilt werden oder zumindest das jetzt mal vor Gericht klären lassen, was denn nun ist,weil er die Auffassung vertritt, dass hier die Presse quasi ein entsprechendesVeröffentlichungsrecht genießensollte und das eben in der derzeitigen Regelung nicht der Fall ist.Und jetzt habe ich mir natürlich wieder nicht notiert, welches Gericht jetzthier gerade konkret zum Einsatz kam.Das Landgericht Berlin. Und ja,die Argumentation von Arne und seinem Verteidigungsteam war halt,dass das sozusagen verfassungswidrig ist.Jetzt gucken wir mal kurz, was dieses Strafgesetzbuch macht,aber es geht konkret um Paragraf 353d Nummer 3.Im Prinzip heißt es hier, mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft,wer die Anklageschrift oder andere amtliche Dokumente eines Strafverfahrens,eines Bußgeldverfahrens oder eines Disziplinarverfahrens ganz oder in wesentlichenTeilen, im Wortlaut öffentlich mitteilt,bevor sie in öffentlicher Verhandlung erörtert worden sind oder das Verfahren abgeschlossen ist.So lautet das Gesetz.Und er wurde aber jetzt von dem Gericht zu einer Geldstrafe von 20 Tagessätzenzu 50 Euro, außenone ist ein Tausi, verurteilt.Allerdings wurde das ausgesetzt zur Bewährung, wenn er also jetzt ein Jahr langRuhe gibt und keine weiteren Verstöße begeht.
Linus Neumann 2:01:53
Darauf kann man sich ja verlassen. Da kann es ja sicher sein,dass das nicht nochmal vorkommt.
Tim Pritlove 2:01:59
Also dann findet das irgendwie alles nicht statt.Also es ist sozusagen nur unter Vorbehalt und damit quasi erstmal nur eine Verwarnung.Sprich, das Gericht hat hier sehr soft argumentiert oder sehr soft gehandelt. Warum?
Linus Neumann 2:02:18
Also Arne hat ja, also Arne beabsichtigt ja, Arne hält das Gesetz für falschund will das zu Fall bringen.Das hat er ja hier auch schon erklärt, aber muss man als Kontext dazu sagen, der will das nicht.Und hat sich quasi diese Straftat ja bewusst begangen und gesagt,zeig mich mal an, ich würde das gerne vor Gericht klären.Also eigentlich war es für ihn auch in diesem Fall weil, sag ich mal,das Ziel vom Landgericht verurteilt zu werden.
Tim Pritlove 2:02:44
Beziehungsweise heißt das dokumentierte, also das konkret jetzt hier angestrebteZiel war halt eigentlich zu sagen, dass das Gericht sagt, das ist verfassungswidrigoder wir sind der Meinung, das ist irgendwie schwierig und wir verweisen dasjetzt hier mal sofort ans Bundesverfassungsgericht.
Linus Neumann 2:02:59
Den Gefallen haben sie ihm nicht getan.
Tim Pritlove 2:03:00
Nee, den Gefallen haben sie ihm nicht getan, weil das Landgericht einfach derMeinung ist, das sei nicht verfassungswidrig.Schauen wir vielleicht erstmal auf die Argumentation der Verteidigung.Also warum sie der Meinung sind, dass das eben nicht verfassungsgemäß ist.Also in dieser Argumentation.Wurde wohl auch vorgebracht, wie das Ansehen der Justiz spielt ja eine Rolle,dem widersprach die Verteidigung.Es wurde auch darauf verwiesen, dass das EGMR,also der Europäische Gerichtshof für Menschenrechte, sich zu solchen Veröffentlichungspraktikengeäußert habe und sich gegen ein Veröffentlichungstotalverbot ausgesprochen hat.Es wurde ferner argumentiert, dass dieser Paragraf nicht auf Gerichtsbeschlüsseangewendet werden soll.Also hier ist ja von anderen amtlichen Dokumenten nur die Rede und es wurdenoch der Vergleich gebracht mit einem Fall,wo auch in einem anderen Fall, aber einer ähnlichen Vorgehensweise,wo also auch entsprechende Dokumente veröffentlicht wurden durch die neue Zeitschrift für Strafrecht,NSTZ.Das ist sozusagen eher ein rechtswissenschaftliches Magazin,wo ein ähnliches Vorgehen war.Ich weiß jetzt nicht genau, was das war.Aber das Gericht sieht es anders und hat also diesen Verweis ans Bundesverfassungsgericht abgelehnt.Das Gesetz sei nicht verfassungswidrig,denn in der Sicht des Gerichtes würde quasi die Nicht-Existenz einer solchenRegelung Schauprozesse bewirken.Das ist sozusagen die Kernargumentation, die auch nicht,Ich nachvollziehen kann, weil dieser Schutz des Verfahrens und des Nichtveröffentlicheneines nicht abgeschlossenen Verfahrens geht ja nicht darum,dass es gar nicht so ist, sondern dass man sozusagen erstmal,das Gericht soll in Ruhe entscheiden können und es soll auch abgeschirmt seineben von der Veröffentlichung, damit es eben auch nicht durch die Öffentlichkeitbeeinflusst werden kann in seiner Urteilssprechung.Das sei gerade in heutiger Zeit sogar noch angemessener denn je,so mit dem Hinweis auf Social Media,entsprechende Aufregungskultur etc., die wir ja alle kennen und weist auch daraufhin, dass ja eine Wiedergabe dieser Informationen durch die Presse sehr wohl möglich sei,Aber eben nur in zusammenfassender und indirekter Rede und eben nicht wortwörtlichund schon gar nicht vollständig, wie das in diesem Fall gewesen ist und wiees ja auch in diesem Gesetzestext festgehalten wird.Also sie meinen einfach Pressefreiheit geht auch ohne wörtliches Zitieren, so ihre Argumentation.
Linus Neumann 2:06:11
Jetzt hast du gerade auf die NSCZ die neue Zeitschrift für Strafrecht Bezuggenommen und in dieser Fachzeitschrift für Strafrecht,wer hätte das gedacht, so nennt sie sich ja auch,wurde ein Schriftsatz aus einem laufenden Ermittlungsverfahren veröffentlicht.Und zwar der Beschluss des Landgerichts München 1 vom 16.11.2023,der zunächst in der Fachzeitschrift publiziert wurde und dann auch danach aufder Webseite des Landgerichts München veröffentlicht wurde.Also quasi hier hat jemand in dieser Zeitschrift geschrieben.Aus einem laufenden Ermittlungsverfahren veröffentlicht. Hat er dann auch gegen das Gesetz verstoßen.Und da hat Jean Peters, der war ja auch bei uns schon in der Sendung,wir stecken ja alle unter einer Decke, könnte man den Eindruck erlangen.
Tim Pritlove 2:07:13
Ist aber nicht so.
Linus Neumann 2:07:14
Ist nicht so.
Tim Pritlove 2:07:15
Auf gar keinen Fall.
Linus Neumann 2:07:15
Hat eine Anzeige erstattet und zwar bei der Polizeiinspektion 12 in München.Weil er natürlich sagt, jetzt muss diese neue Zeitschrift für Strafrecht dieaus einem laufenden Ermittlungsverfahren veröffentlicht hat sicher bitte auchmal verantworten, weil der Schauprozess,den wollen wir uns ja wohl auch nicht geben Genau.
Tim Pritlove 2:07:41
Also das steht offen vielleicht noch zur Argumentation des Gerichts ja,also die haben sich da schon ein paar Gedanken zu gemacht zum Beispiel sagen sie noch, dass so,Also die Problematik der Veröffentlichung dieser Dokumente,speziell bei Ermittlungsverfahren,sei unter anderem, dass eben dort eine...Feststellende Sprache verwendet wird, wie sie das nennen.Also da ist dann nicht so diese typische Formulierung mit, es wird vorgeworfenund es könnte irgendwie sein,sondern innerhalb dieses Verfahrens die einzelnen Parteien, die dazu quasi ihreStatements abgeben, wie zum Beispiel in diesen Ermittlungsbeschlüssen,habe eine feststellende Sprache.Du hast, der hat das getan, die hat das gemacht etc.Und das sei aber auch okay, solange das eben intern bleibt, weil ja die Richterwissen, wie das zu nehmen ist, weil das sozusagen klar ist, dass das sozusagenso formuliert nur relativ zu sehen ist.Wenn man das aber öffentlich zitiert wiederum, würde das eben zu entsprechendenMissverständnissen führen,weil es dann sozusagen ohne diesen Kontext schnell so aussieht,als wären jetzt hier irgendwelche Vorverurteilungen oder sowas vorgenommen worden.Außerdem meinen sie, dass auch dieses EGMR, also das Europäische Gerichtshoffür Menschenrechte, dass deren Feststellung, dass es kein Totalverbot geben darf,sehr wohl berücksichtigt worden sei, schlicht weil jetzt hier in diesem Fallauch milde geurteilt wurde. Ich komme gleich nochmal dazu.Denn das EGMR in seiner Formulierung, die ich jetzt nicht gelesen habe,gespeichert ihn zu interpretieren, mir anmaßen würde, eher auf Einzelfälle verwiesen wird.Also es kann nicht immer ein Totalverbot sein, es muss auch in Einzelfällenmöglich sein, dass es irgendwie anders ist und das sei hier dann in ihrer Rechtsprechungauch so, von daher würden sie dagegen nicht verstoßen.Ja, und generell wurde Arne dann eben auch sein Vergehen als sehr,sehr gering angesehen, weil er irgendwie in seinem Vorgehen weitgehend okay war.Es war lediglich die vollständige Veröffentlichung dieser Akten,die das Gericht gestört hat.Und daher hat das Gericht Arne auch angeboten, das Verfahren einzustellen und zu sagen, Leute,ist alles nicht so schlimm, du kommst jetzt nicht in den Knast,du musst auch keine Geldstrafe haben, wir bieten dir an, das einzustellen unddann hat Arne gesagt, nö, machen wir nicht, ich will hier ein Urteil haben,entweder ihr verweist das jetzt ans Bundesverfassungsgericht oder ich nehme, wie es kommt.
Linus Neumann 2:10:50
Ja, und jetzt hat er ein Urteil bekommen, Also würde mich ja wundern,wenn er sich jetzt von dieser Bewährungsauflage, wenn er die ungenutzt verstreichen lässt.
Tim Pritlove 2:10:59
Erstmal geht er in Revision. Also das ist glaube ich der nächste Schritt.Damit wandert das Ganze vom Landgericht Berlin zum Bundesgerichtshof.Hier habe es wohl schon andere Haltungen gegeben gegenüber diesem Gesetz undsich für eine eingeschränkte konventionskonforme Auslegung der Strafnorm ausgesprochen,was auch immer das heißen mag.Ja, also mit anderen Worten der erste Akt dieses,dieser Oper ist jetzt sozusagen gelaufen, Vorhang zu und kann gut sein dasswir uns in der nächsten Zeit noch ein paar Mal mit diesem Fall,auseinandersetzen werden aber man kann jetzt auch nicht sagen,dass sich das Gericht jetzt gar nicht damit beschäftigt hat.
Linus Neumann 2:11:54
Okay,Gut Gut, dann schauen wir mal, wie das weitergeht.Ich würde sagen, die gehen in Revision und der Arne wird gerade hektisch nachweiteren Gerichtsakten aus laufenden Verfahren suchen, die er veröffentlichenkann, um seine Bewährungsauflage zu erfüllen. da.
Tim Pritlove 2:12:14
Braucht er ja nicht unbedingt weil er kann ja jetzt erstmal für diesen Fallin Revision gehen da muss er sich jetzt nicht gleich straffer machen den Tausikann er sich jetzt erstmal sparen.
Linus Neumann 2:12:23
Ja da bin ich mir wohl sicher dass er sich den noch ich hab den schon ja ichsehe den hier schon abends in der Kneipe stehen um den zusammen zu kriegen erwird sich mit der Nummer jetzt nicht zufrieden geben ist klar,Ein wichtiger Hinweis hat uns noch erreicht. Also erstens, heute ist Halloween.Und das heißt, ihr müsst euch langsam Gedanken machen, was ihr uns zu Weihnachtenschenkt. An uns bitte früh denken, bevor das ganze Geld hier für die anderen drauf geht.Aber vor allem kommt jetzt ja die Zeit, dass unsere wichtigen netzpolitischenNGOs ihre Funding-Runs machen.Und ich würde sagen, erstmalig sieht es wirklich nicht so gut aus bei EpicenterWorks, der NGO von Thomas.Die hat ein relativ moderates Funding-Gap von 30.000 Euro.Also wenn man sich anschaut, was andere Organisationen so zum Ende des Jahresdann eher so noch ein paar hunderttausend brauchen.Ich weiß nicht, ist Jimmy Wales schon wieder am Betteln, wenn man in die Wikipedia kommt?
Tim Pritlove 2:13:44
Weiß es nicht.
Linus Neumann 2:13:46
Wird aber auch noch kommen, ja. Daran gemessen ist die Lücke von nur 30.000Euro, die Epicenter schließen muss, wirklich überschaubar.Aber sie ist da und sie brauchen eben bis in diesem Jahr noch 30.000 Euro,sonst sehen sie eben schlecht aus.Sie haben eine Fördermitgliedschaft, die sie anbieten und im Prinzip brauchen sie nur 250 Leute,die zum Beispiel so eine Fördermitgliedschaft mit 10 Euro oder mehr im Monat abschließen.Das ist relativ einfach.Link ist in den Shownotes. Man kann das auch irgendwie wieder kündigen und so weiter.Und ich denke, der stetige Einsatz von Epicenter ist den Hörerinnen ja hier durchaus bekannt.Und schon Thomas' Einsatz auf EU-Ebene für die Netzneutralität.Die unterschiedlichen Erfolge, die er so über die Zeit mit dieser Organisationgefeiert hat, sind hier ausführlich bekannt. Ich denke, wir werden Thomas auchnochmal irgendwie dieses Jahr sicherlich auch nochmal in der Sendung haben.Und ja, 30.000 Euro ist für so eine Organisation als Funding-Gap nicht viel.Aber wenn du die 30.000 Euro nicht hast, dann ist das sehr schlecht für dich als Organisation.Und ja, deswegen unsere dringende Bitte...Denen zu helfen. Die zielen im ganzen Jahr auf 255.818 Euro und da fehlen ihnenhalt gerade noch ein paar.Der Aufruf zeigt auch erste Wirkungen.Aber ja, gerade in den schweren Zeiten, die Österreicher jetzt mit seiner Regierungauch hat, wäre es schon, glaube ich, ganz gut, Epicenter zu unterstützen.
Tim Pritlove 2:16:07
Ja, und wir haben jetzt übrigens unsere 13 Jahre voll.
Linus Neumann 2:16:12
Ja, wir hatten vor ein paar Tagen Geburtstag.
Tim Pritlove 2:16:14
Genau.
Linus Neumann 2:16:14
25. oder wann war das?
Tim Pritlove 2:16:15
28. Genau.
Linus Neumann 2:16:17
13 Jahre.
Tim Pritlove 2:16:18
13 Jahre Logbuch Netzpolitik gibt es. Ist jetzt keine runde Zahl,kann man nicht gerade sagen, aber ist ja eigentlich auch egal.Ja, 13 Jahre. Wieder einmal eins rumgekriegt. Ich wollte jetzt auch gerade sagen,jetzt gehen wir erstmal die Kohle nach Österreich und wenn wir dann Geburtstaghaben, dann meckern wir wieder, aber ich bin tatsächlich.
Linus Neumann 2:16:40
Ich war bis dahin noch kein Fördermitglied bei Epicenter und bin das jetzt geworden.
Tim Pritlove 2:16:49
Ja, naja, aber wir kommen euch auch noch, wir nerven euch auch nochmal,aber wir nerven euch auch wirklich nur einmal im Jahr.
Linus Neumann 2:16:59
Ist gut, ne? Also ich habe gerade ausgerechnet, dass wir im Schnitt 38 Sendungen im Jahr machen.Also wir nerven da schon ein bisschen stetiger.38 Mal im Jahr.
Tim Pritlove 2:17:10
Ja, wir nerven mit den Sendungen, aber mit Fragen nach Geld nerven wir selten genug.
Linus Neumann 2:17:16
Nein, das machen wir nicht. Wir sind keine Podcast-Bettler.
Tim Pritlove 2:17:21
So Leute, jetzt war die Sendung aber auch lang genug und deswegen würde ichsagen, machen wir mal Schlussi und wir wünschen euch noch,schreckliche ein schreckliches Halloween auf das er euch so richtig schön erschrecktund dann dass wir uns vielleicht alle auch sehen auf dem 38C3 und wenn nicht,dann wünschen wir euch auch sonst eigentlich alles Gute ähm,weil kommt ja bald auch wieder eine neue Sendung von uns bestimmt, oder?
Linus Neumann 2:17:54
Gehe ich von aus.
Tim Pritlove 2:17:55
Ja, bestimmt. Und was kann es Schöneres geben?
Linus Neumann 2:17:58
Also, ciao, ciao.
Tim Pritlove 2:18:00
Tschüss.

Shownotes

Prolog

Feedback

Leipzig

Düsseldorf

HTTP Status Codes 503–505

38C3

Sicherheitspaket und Vorratsdatenspeicherung

Elektronische Patientenakte

Hackerparagraph

Urteil Arne Semsrott

epicenter.works braucht Kohle

34 Gedanken zu „LNP505 bestandteile-einer-bombe24.de

  1. Wie ist das denn in der diesjährigen Neuauflage der Vorratsdatenspeicherung mit Carrier-Grade NAT?

    Haben sie immerhin dran gedacht den source port mit in die Speicherung aufzunehmen oder kriegen die Behörden dann bei ner Anfrage nach einer IPv4 Adresse den ganzen Sack von Kunden, die dahinter hängen und dürfen sich dann selbst mappen wen sie eigentlich haben wollen?

  2. Auf dem Schabrett liegen übrigens nicht nur 2^64 =~ 1.8E19 Reiskörner sondern allein auf dem letzen Feld liegen so viele. Insgesamt sind es (fast) doppelt so viele: $ \sum_{i=1}^64 2^i = 2^65 -1 $ also ca. 3,7E19.

    • Vertrauen in die Darstellungen des BKA vorausgesetzt, sieht es bezügl. IP-Adressen bezogen auf Fälle im NCMEC-Prozess (sex. Gewalt an Kindern) stand 2022 so aus: Der größte Teil der IP-Adressen im NCMEC-Prozess sind, wenn sie das BKA erhält, weniger als 7 Tage alt. Ginge man (natürlich nur rein hypothetisch) davon aus, dass eine IP-Adresse auch zu Ermittlungserfolg führt, läge dieser bei bis zu 7 Tage alten IP-Adressen bereits bei 76%. Eine über 7 Tage hinausgehende Speicherung von IP-Adressen würde den hyp. Ermittlungserfolg nur sehr langsam weiter vergrößern, nach verdoppelter Speicherdauer (14 Tage) wären 84,5% erreicht. https://cdn.netzpolitik.org/wp-upload/2023/06/2023-06-21_BKA_Bedeutung-IP-Adresse.pdf Die Forderung der Union, eine 6-monatige Vorratsdatenspeicherung einzuführen (https://dserver.bundestag.de/btd/20/036/2003687.pdf), geht also vollkommen am unionsrechtlichen Rahmen des minimal nötigen Umfangs vorbei. Andererseits kann man schon diskutieren, ob eine verpflichtende Speicherung für einen Zeitraum von 7 Tagen sooo falsch wäre. Aber wie kantorkel bereits erwähnt, schon jetzt gibt es Empfehlungen aus anderen Motiven heraus, die in diese Richtung gehen. Die Alternative zu VDS, das „Quick Freeze“ erscheint da sinnvoller, sofern ein Weg gefunden wird diese praktisch wirksam umzusetzen. Fraglich ist der reale Ermittlungserfolg bei schweren Straftaten, klar. Natürlich gibt es auch „dumme“ Kriminelle die üblen Scheiß ohne technische Vorkehrungen verzapfen, aber denen wird man vrmtl. auch anderweitig habhaft. Was Hasskommentare, Volksverhetzung usw. betrifft: Wenn Messenger wie telegram die IP-Adressen-Herausgabe verweigern, nützt eine Speicherpflicht auch nichts. Vielleicht sind Bestandsdatenauskünfte auch überhaupt nicht immer die richtige Lösung, um Hass, Wut und Desinformation im Internet zu bekämpfen….

  3. Unwichtig, war ja nur so zur Veranschaulichung daher gesagt, aber Firefox verwendet nicht OpenSSL sondern hat sein eigenes Ding (NSS). (Außer das hat sich in letzter Zeit geändert.)

  4. Mhhm bezüglich Arne und §353d besteht bei mir irgendwie ein bisschen Stirnrunzeln.

    Ich finde eigentlich die Ausführungen des Gerichts bezüglich des Zwecks des Paragraphen gut nachvollziehbar. Wenn jetzt in Zukunft jede Desinformationsplattform im Internet, unter dem Deckmantel der Pressefreiheit, Anklageschriften im Wortlaut als Fakt veröffentlichen können soll, halte ich das mit der vorherrschenden Medienkompetenz im Land schon für bedenklich…

    Ideal ist er natürlich nicht, weil er als Damoklesschwert über den Köpfen der Journalist*innen hängt und man sich drauf verlassen muss, dass ein Gericht hier so eine faire Abwägung trifft wie in Arnes Fall (wenn ich es richtig verstanden hab, wäre ja selbst auszugsweise wörtliche Rede okay gewesen. Nur eben nicht die Veröffentlichung des vollständigen Dokuments), was natürlich in Anbetracht der faschistoiden Entwicklungen hier im Land problematisch ist.
    Aber den Paragraphen ganz wegzunehmen und jeglicher tendenziöser, reißerischer Berichterstattung über laufende Prozesse die Tür zu öffnen hört sich irgendwie sehr falsch für mich an.
    Übersehe ich hier irgendwas?

    Vermutlich wäre es das Beste wenn das Ding durch die legislative überarbeitet würde um explizit „fair use“-mäßige Ausnahmen zuzulassen.

  5. Zur ePA: Als Patient mit einer chronischen Krankheit habe ich überhaupt nichts gegen Forschung, aber ich möchte vorher gefragt werden und ich finde es eine Frechheit, dass meine Daten einfach so weiter gegeben werden, ohne, dass ich weiß wer die bekommt, für welche Zwecke usw. Forschung ist auch ein sehr weitgehender Begriff, damit kann alles mögliche gemeint sein. Schon aus diesem Grund habe ich der Erstelleung einer ePA für mich widersprochen.

    Des weiterem kommt hinzu, dass dies wieder ein Datenpool ist, der früher oder später vom autoritären Staat für Kontroll- oder Reprässionszwecke genutzt werden kann und wird.

  6. Wie Linus schon richtig sagt, die „Sicherheits“-Betrachtung hatte Lücken. Auf eine besonders nervige möchte ich direkt Hinweisen: Doctolib &Co!

    – In dieser Doku sieht man wie Doctolib den Praxen die Stammdaten der PattientInnen regelrecht abschnorchelt, und die Ärzte verstehen das leider gar nicht: https://www.ardmediathek.de/video/marktcheck/arzttermine-ueber-doctolib-nuetzliches-tool-oder-datenkrake/swr/Y3JpZDovL3N3ci5kZS9hZXgvbzE4Mzg5ODQ

    – Wird Doctolib das mit der ePA auch so machen?
    – Wird die Arzt-Praxis zum Einfallstor auf die Daten der PatientInnen im Sinne dieser ätzenden Unternehmen?

    Bestimmt!

    Doctolib freut sich regelrecht auf die ePA:
    (leider hinter der Paywall, aber das Zitat aus der Überschrift reicht)
    „…welche Chancen sich für das Healthtech-Unternehmen durch die flächendeckende Einführung der ePA ergeben und wie Doctolib Datensicherheit und Datenschutz umsetzt“
    https://background.tagesspiegel.de/digitalisierung-und-ki/briefing/wir-brauchen-verlaessliche-strukturen-seitens-des-staates

    Ich denke, es schadet nicht die ePA erstmal von allen anderen Testen zu lassen, bevor man sie selbst nutzt.

  7. Bei der ganzen Frage um Gerichtsdokumente und auch das Verbot der Aufzeichnung oder Übertragung von Gerichtsverhandlungen, obwohl diese in der Regel öffentlich sind, frage ich mich: Warum sollte das nicht alleine der Angeklagte entscheiden dürfen?

  8. Zu Tim und seiner Sammlung alle seiner Untersuchungen, Krankheiten und Gesundheitsdaten. Ein Beispiel: Ich war gerade mal wieder beim Zahnarzt. Er kennt mich nicht, hat keine Daten von mir und ich kenne ihn auch noch nicht. Es gab einen Fragebogen für mich zum Ankreuzen (Anamese) ein kurzes Gespräch und Untersuchung. Sowie eine Röntgenaufnahme und dann wurde ein Behandlungsplan über die nächsten Sitzungen erstellt.
    Ich habe bei verschiedenen Zahnärzten in den letzten ca. 55 Jahren viel über mich ergehen lassen müssen und viele male gelitten und geschwitzt. Fast alles war nicht relevant für die jetzige Behandlung.
    Ansonsten war es wieder ein klasse Podcast. Premium wie alles von der Metaebene. Weiter so!

  9. Zur epa: allein der Mehraufwand einen Satz Daten aus einem Tag nachträglich einzustellen ist dermaßen hoch, dass das einfach nicht passieren DARF. Praxen sind so schon überlastet. Ich mach gelegentlich IT für eine, alle hassen die Telematik Infrastruktur (TI). Wenn irgendwas von der TI ausfällt, bedeutet das im besten Fall stundenlang aufräumen/nacharbeiten und im schlimmsten Fall geht gar nichts, weil ohne TI keine Chipkarte, keine Abrechnung, keine Behandlung.

    Long story short: ja Ausfallsicherheit ist bei der TI allgemein und auch bei der ePa speziell ein wichtiger Faktor.

    GaLiGrü Lia

  10. Nur als Hinweis: Linus meinte zur ePA, dass es kritisch wäre, wenn man dort Informationen zu psychischen Erkrankungen einsehen können (Beispiel Hypochonder).

    Auf eurem Link: https://netzpolitik.org/2024/entscheidungshilfe-zur-elektronischen-patientenakte-soll-ichs-wirklich-machen-oder-lass-ichs-lieber-sein/#gibt-es-nachteile-oder-risiken

    Steht:
    Bei „sexuell übertragbaren Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen“ gibt es eine Ausnahme: Hier müssen Behandelnde explizit darauf hinweisen, dass Patient:innen widersprechen können, dass die Daten in die ePA aufgenommen werden.

    Also das ist schon mal kein Argument dagegen.

  11. Zum Thema Rubiks Cube muss ich Tim leider widersprechen. Gute Speed Cubes haben keine Sticker aber dafür Magneten und einstellbare Federn. Für Anfänger empfehle ich den GAN 356m. Gibt‘s für 20 Euro bei Aliexpress.

    Und der Mirror Cube von Linus ist genau so einfach lösbar wie ein regulärer 3×3.

      • Das hat man deine Ausführungen leider angemerkt. „wärst du mal bei deinen Computerthemen geblieben“, hehe. Die GAN Speed Cubes sind schon echt gut. Ich habe noch einen originalen aus den späten 80ern oder frühen 90ern und der ist vergleichsweise Müll.

        Den von Linus beschriebenen GAN Mirror hab ich auch, in fancy purple. Der ist gar nicht so viel schwerer zu lösen als ein normaler 3×3. Wenn man es wirklich lustig haben möchte, dann kann ich noch den Mr. M Square-2 empfehlen.

    • Und bitte auch kein Vaseline, sondern für Würfel geeignetes Lube (= Gleitmittel) verwenden. Vaseline schmiert zwar erst mal gut, aber es zersetzt das Plastik auf Dauer. Richtige Lubes für so einen Würfel kosten auch nur ein paar Taler und können die Reibung noch mehr als Vaseline heruntersetzen – je nachdem, was für eins man wählt.

  12. Wie ändern sich eure Einschätzungen zur elektronischen Patientenakte (ePA), wenn man die neuesten medizinischen Fortschritte durch KI (Künstliche Intelligenz) betrachtet? Vor einem Jahr wurde bekannt, dass man Morbus Crohn, Diabetes Typ II und eine ALS-ähnliche Krankheit heilen kann, und zwar so, als ob man diese zuvor nie gehabt hätte, also immer gesund gewesen wäre. Die Biontech-Forscher kommen demnächst mit einem Impfstoff gegen diverse Krebsarten um die Ecke. Es fehlen nur noch die üblichen Test- und Zulassungsverfahren. Der Nobelpreis für Medizin ging 2023 an mRNA-Forscher, 2024 an microRNA-Forscher, was beides nicht mehr viel mit der traditionellen Medizin zu tun hat (ich stochere mit einem Stäbchen in Glibbergewebe herum und befinde, dass es glibberig ist). Es ist eher ein Teilgebiet der Informatik mit Auswirkungen auf die Physiologie des Menschen. Die Nobelpreise 2024 für Chemie und Physik gingen ebenfalls an KI-Forscher. Einer der Chemiepreisträger hatte das Projekt „AlphaFold“ aus der Taufe gehoben und binnen zwei Tagen sämtliche Proteinformen, aus denen der Mensch besteht, ‚durchgerechnet‘ und deren Faltungsprinzipien verstanden. Die neueste Version „AlphaFold 3“ kann quasi das Zusammenpassen von Proteinbausteinen vorhersagen und neue Formen ‚erfinden‘. Neue Meldungen zu solchen Durchbrüchen kommen Schlag auf Schlag.

    In Anbetracht der Geschwindigkeit dieser Entwicklungen wäre doch der Aufbau eines unsicheren Bürokraiegebildes obsolet noch bevor es sinnvoll gestartet ist. Wenn jede Krankheit, auch die psychischen und genetisch vorprogrammierten, mit einem „Pffffft“ aus Doktor Pilles Hypospray-Ampulle geheilt werden können, wären Daten über Krankheiten und deren Missbrauchspotenzial kein langzeitliches Problem mehr.

  13. Hallo ihr beiden,

    bei der ePA habt ihr mich wahnsinnig gemaxht, konkret die Diskussion über die fragen beim Arzt, 01:42:00 und folgen.

    Tim: es geht mir ja vor allem drum, dass ich den Zugriff habe.
    Linus: hast du garnicht! Zwei Dinge werden nicht passieren: erstens, Ärzte werden nicht aufhören zu fragen…

    Was ist mit „zweitens“?! Wolltest du sagen, dass die Patienten gar keinen Zugriff haben/kriegen? Ich bin noch nicht soooo alt, habe aber seit ein paar Jahren einen Ordner, mit allem medizinischem drin. Dieses “ papiersammelsurium“ kann ich vorsortieren, und dann beispielsweise sagen: kuck, das Knie was gras wieder ärger macht hatte 2010 nen Skiunfall, hier Material von damals.

    Wenn ich selbst das mache, hat das ne Chance, ich hab ja viel mehr Zeit als so ein Arzt.
    Wenn *nur* Ärzte da PDFs ablegen und auch nur Ärzte da überhaupt reinschauen können, nicht die Patienten selbst, dann ist das ne Katastrophe.

    Grüsse

    • Nachtrag:

      Sehr sehenswert, unbedingt mal die ersten 20 min schauen.

      Staatsanwaltschaften und Gerichte geben selbst Pressemitteilungen heraus um Prominente bloßzustellen. Beispiel war Jens Lehmann, der vermutlich alkoholisiert in eine Verkehrskontrolle kam.

      Man selbst darf aber als beschuldigter, oder als Presse nichts öffentlich machen.

      Ich schätze diesen Anwalt sehr, man hat sogar die Möglichkeit regelmäßig Fragen zu stellen. Leider wird das hier vermutlich ohnehin schon zweifelhafte Bild unseres Rechtsstaats nicht besser. Aber es kann auch mal wichtig sein vorher gut bescheid zu wissen.

  14. Anmerkungen zum Sicherheitsgutachten der ePA:

    # Keine unabhängige Prüfung:

    Laut gematik war Ziel des Auftrags an das „unabhängige Forschungsteam“ vom SIT „die Sicherheit [hinsichtlich definierter Sicherheitsziele] von einer unabhängigen Stelle prüfen zu lassen“. Tatsächlich aber war die gematik inhaltlich an der Bewertung beteiligt. Wie vorgetragen wurden Regierungsorganisationen in „Absprache mit der gematik“ als nicht relevant eingestuft. Die Relevanz bestimmt die „a-priori-Schätzung der Erfolgswahrscheinlichkeit“ und geht direkt multiplikativ in die Risikoeinschätzung ein. Zusätzlich lag die Sicherheitsanalyse vor Fertigstellung eine Woche zum Review bei der gematik.

    # Keine CCC-Angriffe:

    Die vom CCC 2019 gezeigten Angriffspfade wurden nicht betrachtet. Karten wie eGK oder SMC-B können laut Analyse nur gestohlen oder kopiert, nicht aber unberechtigt beantragt werden.

    # Unplausible Angriffsbewertung:

    Laut Sicherheitsanalyse ist z. B. die Wahrscheinlichkeit eines erfolgreichen Kartendiebstahls (#193) identisch zur Wahrscheinlichkeit, dass ein Außentäter eine Karte ink. darauf gespeicherten Daten wie privatem Schlüsselmaterial kopiert (#194, jeweils 10%). Tatsächlich ist Diebstahl zu erwarten (daher gibt es auch Sperrhotlines) wohingegen die Nichtauslesbarkeit der privaten Schlüssel in den Chips der eGK (vgl. nPA) ein grundlegender Sicherheitspfeiler der TI ist.

    # Keine Supply-Chain-Angriffe

    Laut Sicherheitsanalyse kann nur der Hersteller selbst Schadcode für Arzt- und Krankenhaussysteme entwickeln. Spätestens seit dem SolarWinds-Hack ist aber zu erwarten, dass auch Außentäter über kompromittierte Abhängigkeiten Schadcode einschleusen.

    … usw. …

    Anmerkung noch zur Aussage „Da macht irgendeiner ein Röntgenbild und exportiert das als TIFF und legt das zu den anderen PNGs“:

    Die „ePA für Alle“ (ePA 3.0) unterstützt seit wenigen Tagen keine TIFF und PNG-Bilder mehr, ggf, kommen die später wieder hinzu [1].

    Anmerkung noch zur Aussage „Wenn du ein Röntgenbild machts dann hast du deinen DICOM-Folder“:

    Auch DICOM wird weiterhin nicht unterstützt.

    [1] https://www.aerzteblatt.de/nachrichten/155204/Elektronische-Patientenakte-Bilddaten-monatelang-nur-ueber-Umweg-moeglich

  15. Hallo!

    Zur Feedumstellung habe ich folgenden Link gefunden. Ich habe keine Ahnung wie aktuell das ist (da steht kein Datum dran). Aber auf die Gefahr hin dass das ein nützlicher Hinweis ist, teile ich es mal:

    https://podcasters.apple.com/support/2482-using-chapters-on-apple-podcasts

    Das steht:

    „Apple Podcasts supports chapters for MP4, MP3, and AAC files for podcasts available from the directory or manually added to Library using an RSS feed. Creators can specify chapters in the header of an MP4 file, or by modifying the ID3 tags of an MP3 or AAC file using third-party tools, such as Ferrite on iOS and iPadOS, Forecast by Overcast and Podcasts Chapters on macOS, and Vizzy on the web.“

    Liebe Grüße!

  16. Ihr hattet vor einiger Zeit den Fall „modern solutions“ besprochen, bei dem jemand, der eine Schwachstelle meldete, angeklagt war auf Basis des „Hackerparagrapgen“.
    Das LG Aachen hat am 4.11 die Verurteilung aus erster Instanz aufrechterhalten und die Berufung abgewiesen. Das ganze ist eine schmerzliche Erinnerung wie gefährlich es sein kann – im Angesicht des technischen Unverstandes der Justiz und dieses Paragraphen – Schwachstellen zu melden, unbeschadet der Absicht und egal wie lachhaft die „Hürden“ auch seien, die man beim Eindringen in ein System überwinden musste.

  17. Hi,

    Zur ePA und der Sorge um Zugriffsrechte für Ärzte und Einrichtungen auf bestimmte Befunde:

    Diese Sorge ist weitgehend unbegründet, vorausgesetzt man nutzt die Konfigurationsmöglichkeiten der ePA. Zumindest bei meiner KV habe ich eine EPA-App, die nach vorheriger Authentifizierung (Perso, Versichertenkarte oder App-Code) mir für jedes Dokument Zugriffsrechte definieren lässt.

    Das funktioniert in drei Stufen: offen, vertraulich (nur die gleiche Fachrichtung darf es sehen) oder privat (Zugriff per Whitelist).

    Die App dafür ist gewöhnungsbedürftig in der Bedienung, Einrichtung und Authentifizierung, was wieder einige abschrecken wird, aber am Ende ist der Datenschutz-Gedanke da auf jeden Fall mitgedacht.

    Grüße
    flo

  18. Linus Argument zur Software Bill of Materials verstehe ich nicht. Ja, moderne Entwicklungspraktiken (Paketmanager) machen es möglich, viele transitive Dependencies zu verwenden, aber die Information darüber liegt in strukturierter maschinenlesbarer Form vor. Die SBOM wird dadurch nicht erschwert, sondern gerade erst möglich, oder? Transitive Abhängigkeiten auflisten in NodeJS: npm ls –all

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.