Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP505 bestandteile-einer-bombe24.de

Feedback — Status Codes — 38C3 — Sicherheitspaket — Elektronische Patientenakte — Hackerparagraph — Urteil Arne Semsrott — epicenter.works — 13 Jahre LNP

Nach unserem Ausflug in die englische Sprache kehren wir zu unserer Muttersprache zurück und klappern die Nachrichtenlage ab. Nachdem wir durch das Feedback gegangen sind reichen wir noch ein paar Status Codes nach und geben dann aktuelle Informationen zum anstehenden 38. Chaos Communication Congress. Umfangreich diskutieren wir dann das drohende Sicherheitspaket inkl. unserem Dauerbrenner Vorratsdatenspeicherung , die elektronische Patientenakte und die anstehende Änderung des Hackerparagraphen. Außerdem ist ein erstes Urteil im Fall von Arne Semsrott ergangen, der versucht, über den Gerichtsweg die Verfassungswidrigkeit eines Gesetzes gegen die Veröffentlichung von Gerichtsdokumenten zu belegen. Wir besprechen, wie beide Seiten argumentieren und wie es in dem Fall wohl weitergehen wird. Zum Schluß weisen wir auf die finanzielle Notlage von epicenter.works hin und stellen fest, dass wir Logbuch:Netzpolitik mittlerweile seit 13 Jahren produzieren.

https://logbuch-netzpolitik.de/lnp505-bestandteile-einer-bombe24-de
Veröffentlicht am: 1. November 2024
Dauer: 2:19:39


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:32.234
  3. Google vs. Russland 00:12:13.415
  4. Feedback: Leipzig 00:15:20.088
  5. Feedback: Düsseldorf 00:16:40.263
  6. Feedprobleme 00:18:51.614
  7. HTTP Status Codes 503-505 00:20:37.995
  8. 38C3 00:25:27.730
  9. Sicherheitspaket und Vorratsdatenspeicherung 00:33:49.504
  10. Elektronische Patientenakte 00:57:10.408
  11. Hackerparagraph 01:46:29.080
  12. Urteil Arne Semsrott 01:58:29.085
  13. epicenter.works braucht Kohle 02:12:37.763
  14. 13 Jahre LNP 02:16:07.442
  15. Epilog 02:17:21.106

Transkript

Tim Pritlove
0:00:00
Linus Neumann
0:00:01
Tim Pritlove
0:00:02
Linus Neumann
0:00:06
Tim Pritlove
0:00:34
Linus Neumann
0:00:36
Tim Pritlove
0:00:41
Linus Neumann
0:00:45
Tim Pritlove
0:00:47
Linus Neumann
0:00:48
Tim Pritlove
0:00:49
Linus Neumann
0:00:55
Tim Pritlove
0:00:59
Linus Neumann
0:01:00
Tim Pritlove
0:01:05
Linus Neumann
0:01:07
Tim Pritlove
0:01:13
Linus Neumann
0:01:15
Tim Pritlove
0:01:22
Linus Neumann
0:01:25
Tim Pritlove
0:01:30
Linus Neumann
0:02:09
Tim Pritlove
0:02:45
Linus Neumann
0:02:46
Tim Pritlove
0:02:47
Linus Neumann
0:02:55
Tim Pritlove
0:03:07
Linus Neumann
0:03:15
Tim Pritlove
0:03:19
Linus Neumann
0:03:20
Tim Pritlove
0:03:21
Linus Neumann
0:03:24
Tim Pritlove
0:03:25
Linus Neumann
0:03:40
Tim Pritlove
0:04:01
Linus Neumann
0:04:02
Tim Pritlove
0:04:19
Linus Neumann
0:04:27
Tim Pritlove
0:04:29
Linus Neumann
0:04:59
Tim Pritlove
0:05:02
Linus Neumann
0:05:06
Tim Pritlove
0:05:09
Linus Neumann
0:05:09
Tim Pritlove
0:05:29
Linus Neumann
0:05:32
Tim Pritlove
0:06:12
Linus Neumann
0:06:13
Tim Pritlove
0:06:30
Linus Neumann
0:06:34
Tim Pritlove
0:06:37
Linus Neumann
0:06:43
Tim Pritlove
0:07:15
Linus Neumann
0:07:17
Tim Pritlove
0:07:21
Linus Neumann
0:07:24
Tim Pritlove
0:07:29
Linus Neumann
0:07:32
Tim Pritlove
0:07:42
Linus Neumann
0:07:45
Tim Pritlove
0:08:00
Linus Neumann
0:08:02
Tim Pritlove
0:08:05
Linus Neumann
0:08:37
Tim Pritlove
0:08:38
Linus Neumann
0:08:44
Tim Pritlove
0:08:46
Linus Neumann
0:08:49
Tim Pritlove
0:08:50
Linus Neumann
0:08:52
Tim Pritlove
0:08:53
Linus Neumann
0:09:19

Ja.

Tim Pritlove
0:09:20
Linus Neumann
0:10:18
Tim Pritlove
0:10:52
Linus Neumann
0:11:09
Tim Pritlove
0:11:14
Linus Neumann
0:11:16
Tim Pritlove
0:11:23
Linus Neumann
0:11:33
Tim Pritlove
0:11:34

Ja.

Linus Neumann
0:11:35
Tim Pritlove
0:11:38
Linus Neumann
0:12:00

Ja.

Tim Pritlove
0:12:02
Linus Neumann
0:12:36
Tim Pritlove
0:12:37
Linus Neumann
0:12:48
Tim Pritlove
0:12:49
Linus Neumann
0:12:52
Tim Pritlove
0:12:55
Linus Neumann
0:13:02
Tim Pritlove
0:13:04
Linus Neumann
0:13:06
Tim Pritlove
0:13:10
Linus Neumann
0:13:18
Tim Pritlove
0:13:19
Linus Neumann
0:13:27
Tim Pritlove
0:13:33
Linus Neumann
0:13:37
Tim Pritlove
0:13:39
Linus Neumann
0:14:16
Tim Pritlove
0:14:17
Linus Neumann
0:14:21
Tim Pritlove
0:14:31
Linus Neumann
0:14:32
Tim Pritlove
0:14:53
Linus Neumann
0:15:05
Tim Pritlove
0:15:11
Linus Neumann
0:15:20
Tim Pritlove
0:15:21
Linus Neumann
0:15:36
Tim Pritlove
0:15:39
Linus Neumann
0:15:53
Tim Pritlove
0:15:53
Linus Neumann
0:16:07
Tim Pritlove
0:16:09
Linus Neumann
0:16:12
Tim Pritlove
0:16:18
Linus Neumann
0:16:50
Tim Pritlove
0:16:51
Linus Neumann
0:17:04
Tim Pritlove
0:17:08
Linus Neumann
0:17:47
Tim Pritlove
0:17:55
Linus Neumann
0:18:13
Tim Pritlove
0:18:15
Linus Neumann
0:18:17
Tim Pritlove
0:18:19
Linus Neumann
0:18:33
Tim Pritlove
0:18:45
Linus Neumann
0:18:47
Tim Pritlove
0:18:49
Linus Neumann
0:19:54
Tim Pritlove
0:19:57
Linus Neumann
0:20:11
Tim Pritlove
0:20:15
Linus Neumann
0:20:20
Tim Pritlove
0:20:21
Linus Neumann
0:21:13
Tim Pritlove
0:21:14
Linus Neumann
0:21:36
Tim Pritlove
0:21:39
Linus Neumann
0:21:40
Tim Pritlove
0:21:41
Linus Neumann
0:22:13
Tim Pritlove
0:22:45
Linus Neumann
0:23:11
Tim Pritlove
0:23:13
Linus Neumann
0:23:15
Tim Pritlove
0:23:16
Linus Neumann
0:23:34

Ja.

Tim Pritlove
0:23:34
Linus Neumann
0:25:03
Tim Pritlove
0:25:08
Linus Neumann
0:25:10
Tim Pritlove
0:25:12
Linus Neumann
0:25:14
Tim Pritlove
0:25:15
Linus Neumann
0:25:22
Tim Pritlove
0:25:28
Linus Neumann
0:25:32
Tim Pritlove
0:25:34
Linus Neumann
0:25:40

Die schönen Videos kommen am Ende des Jahres wieder aus Hamburg, wo der 38 C3 stattfinden wird, der 38. Chaos Communication Congress des Chaos Computer Clubs und wir sind alle fleißig in den vielen verschiedenen Vorbereitungen, Content, Design, Location vor Ort. Es ist fleißiges Betreiben gerade und was jetzt auch unter anderem angekündigt wurde auf den CFP, hatte ich ja glaube ich schon mal hingewiesen, was jetzt angekündigt wurde, sind die Vorverkaufsdaten. Es gibt drei offene Vorverkaufstermine, das sind Dienstag der 12. November, Sonntag der 17. November und Samstag der 23. November, jeweils zu unterschiedlichen Zeiten, um für die unterschiedlichen Schlaf-Wach-Rhythmen, mit denen Menschen sich auf diesem Planeten aufhalten, erreichbar zu sein. Denn am Dienstag, den 12. November ist es um 20 Uhr, am Sonntag, den 17. November ist es um 16 Uhr und am Samstag, den 23. November ist es um 11 Uhr. So, was passieren wird ist folgendes. Am Dienstag, den 12. November wird auf einmal unglaublich viele Leute in dieser Warteschlange sein. Das ist wirklich so eine F5-Drücken-Situation und wer da nicht irgendwie in den ersten Millisekunden dabei ist, wird in dieser Phase keines der Tickets kriegen. Am Sonntag wird sich das, dem 17. wird sich das gleich nochmal wiederholen und am Samstag, den 23. Wird folgendes passieren. Das gleiche ist erstmal wieder großer Andrang und dann eideln auf einmal alle raus und dann wird es nachher ein Longtail geben, wo man noch Tickets bekommt. Also man braucht jetzt noch nicht nervös zu sein und nimmt aber bitte einfach an allen drei Phasen teil, um dann eben sein Ticket zu bekommen. So läuft das und bisher... Ich kann verstehen, dass man, wenn man jetzt in der ersten und zweiten Phase kein Glück hatte. Dass man dann in der dritten nervös wird, dass es da nicht klappt, aber letztes Jahr war es dann schon so, dass es noch einige Zeit lang eben Tickets gab, weil der Bedarf jetzt nicht, der Andrang nicht so irre war, dass die alle sofort weg waren. In diesen Phasen werden ja jeweils nur ein paar tausend Tickets verkauft und deswegen ist das normal, dass bei der ersten und zweiten Termin die Tickets wirklich äußerst schnell vergriffen sind, weil eben, wenn jetzt sagen wir mal, da sind 10.000 Leute und fragen an, es gibt pro Phase nur 3.000 Tickets angenommen oder 4, dann hast du eben bei den ersten beiden einen sehr schnell sehr großen Andrang. Also nicht nervös werden, schön die Reise planen. Klappt schon, dann werden auch wieder noch genug Leute abspringen. Wer da wirklich hin will, wird da auch hinkommen. Das sage ich auch zur Schonung meines E-Mail-Postfachs, wo dann immer alle, wir brauchen unbedingt einen Voucher. Es gab noch nicht mal die erste Vorverkaufsphase und du brauchst jetzt schon unbedingt einen Voucher. Lass uns mal bitte gucken, nach der dritten Phase, wenn dann ausverkauft ist, dann kann man mal drüber reden. Genau, das ist aber natürlich auch der Hinweis an alle Engel und so, die ja Voucher bekommen, mit denen sie sich jetzt schon ein Ticket kaufen können, wenn da was nicht passiert, wenn ihr diesen Voucher nicht bekommen habt und obwohl ihr 15 Engelstunden gemacht habt, dann könnt ihr euch da melden und so, klappt schon alles. Ja, damit kann man also den Kongress langsam mal sich darauf einrichten. Gleichzeitig fängt jetzt für uns die Arbeit an, den Content auszuwählen. Und da gibt es dieses Jahr 610 Einreichungen auf irgendwie, sagen wir mal, knapp unter 150 Slots. Das heißt, für jeden angenommenen Talk gibt es drei Ablehnungen. Das heißt, auf jeden Fall, dass die Latte relativ hoch hängt und dass eine Ablehnung viele Gründe haben kann. Aber ich kriege auch regelmäßig so Fragen, meinst du, dass es eine Einreichung wert ist? Und dann denke ich mir so, ja, also wenn du keine Einreichung machst, wirst du auf jeden Fall auch nicht angenommen werden. Also das, ja. Dann gibt es am, ich weiß gar nicht, am 10. November kriegt ihr dann eine Mail, wo irgendwie drin steht, yay, nay. Also ob ihr es ins finale Programm geschafft habt oder nicht. Und dann gibt es noch sechs Tage später ist die Deadline für den Community-CFP. Also es gibt die offiziellen Kongressbühnen, die vom Content-Team kuratiert sind. Und dann gibt es noch einige Community-Bühnen, die auch Speakerinnen und Speakern eine Bühne bieten. Da könntet ihr, also da könnt ihr auch einreichen. Beachtet aber bitte, die Community-Bühnen haben andere thematischen Fokus. Die haben nämlich zum Beispiel die Bereiche Diversity and Inclusion, Hack, Make and Break, Privacy, Anonymity und Decentralization, Open Source and Platform Decay und Sustainability. Also auch dort sind Einreichungen gerne gesehen. Primärer Unterschied zwischen dem Congress-Content und dem Community-Content ist, wer ein Congress-Content-Einreichung schafft, kriegt auch ein Freiticket. Bei den Community-Bühnen ist das nicht der Fall. Also müsst ihr trotzdem noch ein Ticket kaufen. Ja, ansonsten ist auf das Events-Blog zu verweisen. Da könnt ihr euch gerade jetzt so fängt ja die Phase an, wo dann die verschiedenen OCs und unterschiedlichen Inhalte kommen. Das ist glaube ich jetzt auch gerade ganz interessant. Freuen wir uns sehr auf den Kongress.

Tim Pritlove
0:31:36
Linus Neumann
0:31:49
Tim Pritlove
0:32:40
Linus Neumann
0:32:43
Tim Pritlove
0:32:49
Linus Neumann
0:33:33
Tim Pritlove
0:33:35
Linus Neumann
0:33:37
Tim Pritlove
0:33:46
Linus Neumann
0:33:51
Tim Pritlove
0:35:33
Linus Neumann
0:35:44
Tim Pritlove
0:35:46
Linus Neumann
0:35:47
Tim Pritlove
0:35:48
Linus Neumann
0:35:51
Tim Pritlove
0:35:56
Linus Neumann
0:36:01
Tim Pritlove
0:36:03
Linus Neumann
0:36:06
Tim Pritlove
0:36:18
Linus Neumann
0:36:20
Tim Pritlove
0:36:21
Linus Neumann
0:36:23
Tim Pritlove
0:36:39
Linus Neumann
0:36:42
Tim Pritlove
0:36:49
Linus Neumann
0:36:51
Tim Pritlove
0:37:51
Linus Neumann
0:37:55
Tim Pritlove
0:37:56
Linus Neumann
0:38:25

Und dann kannst du dir, jetzt kommen natürlich die schönen Artikel zur Vorratsdatenspeicherung, wo jetzt wieder die klugen Leute sich zu dem Thema äußern und sagen, es kann ja wohl nicht sein, dass wir das nicht haben. Ein wunderschöner Artikel von Jörg Diehl. Es ist laut Aussage des Spiegels, der Spiegelleitartikel von Jörg Diehl. Jörg Diehl echauffiert sich darüber. Also er hat Geschichte, Germanistik und Politikwissenschaft studiert und ist seit 2007 bei Spiegel online. War mal stellvertretender Ressortleiter Panorama oder ist es immer noch. Und jetzt beschwert er sich, dass die Vorratsdatenspeicherung in Deutschland nicht gibt. Und er, ja, irgendwie überall und im Internet sind die Kriminellen und so. Und. Ich finde an diesem wunderschönen Punkt, also ich zitiere mal einfach nur, weil wir jetzt wieder so, im Bereich der Diskussionen über die Vorratsdatenspeicherung sind so, die entgleisen so immer so richtig schön. Und da macht der Jörg Diehl auch direkt den Anfang und schreibt, IP-Adressen sind von herausragender Bedeutung, wenn Polizei und Justiz ihre Arbeit machen sollen. Sie sind wie Anschriften von Internetnutzern, Kennzahlen, mit denen User identifiziert werden können. Das ist auch schon mal falsch, man kann IP-Adressen im Prinzip mit Kennzeichen vergleichen, die sich regelmäßig ändern. Also worum es bei der Vorratsdatenspeicherung geht, ist, wenn du bei dir von deinem Telefon ins Internet gehst oder von deinem DSL-Anschluss zu Hause, dann hat dein Anschluss eine Adresse, also ein Heimanschluss, der hat im Prinzip eine IP-Adresse, die ändert sich aber so ungefähr jeden Tag und welche IP-Adresse dein Anschluss hatte, wird relativ schnell gelöscht beim Provider. Das heißt, wenn du die Zuordnung von IP-Adresse XY zu Anschluss, hast du nicht gesehen, von Tim Pridlaff, diese Zuordnung wird relativ schnell wieder gelöscht. Und dadurch bist du nach relativ kurzer Zeit im Internet wieder anonym. Ja. Aber ganz grundsätzlich bist du es natürlich nicht und das sehen wir ja auch daran, dass regelmäßig Leute von der Abmahnindustrie Posten nach Hause bekommen, weil sie in irgendeinem Torrent waren. Das heißt, die Abmahnindustrie fragt dann ganz schnell an, holt sich die Befugnisse dafür, holt sich die Auskunft und schreibt dir dann einen Brief und verlangt 1000 Euro, weil du irgendwie einen Film runtergeladen und dabei auch verteilt hast. So, also die IP-Adresse, es geht um die IP-Adresse Anschlusszuordnung bei der Vorratsdatenspeicherung. Die Idee bei der Vorratsdatenspeicherung ist, diese Mindestspeicherdauer der Zuordnung von IP zu Anschluss- oder Teilnehmerkennung höher zu setzen, sodass länger eine Deanonymisierung und damit Anschlussfeststellung möglich wird. Warum ist das so ein Problem? Nun ja weil du. Das sagte, glaube ich, sogar der damalige Vorsitzende des Bundesverfassungsgerichts selber, der Papier, wo ein Druck ist, da sammeln sich die Schweine. Wenn du nämlich diese Menge an Zuordnungen hast, dann werden da einfach sehr starke Begehrlichkeiten geweckt und es ist sicherlich nicht im Interesse einer freien Gesellschaft, wenn jede Person langfristig auflösbar ist. Also wenn bei uns im Logbuch Netzpolitik irgendjemand einen Quatschkommentar schreiben würde, dann steht da eine IP-Adresse drunter und dann wird es uns nicht gelingen, da eine Strafanzeige von so hoher Bedeutung draus zu machen, dass wir dieser Person am Ende anhand der IP-Adresse haperhaft werden und ich denke, das ist auch in den meisten Fällen in Ordnung. soll. Und jetzt sagt, jetzt muss Jörg Diehl also erklären, warum will man also IP-Adressen speichern. Das erste Beispiel, was ihm einfällt, ist, mit ihrer Hilfe von IP-Adressen lässt sich nachträglich nachvollziehen, wer im Netz Bestandteile einer Bombe bestellt. Und dann denke ich mir so, okay, wenn jetzt einer im Netz Bestandteile einer Bombe bestellt, habe ich erst mal Fragen. Erstens, wieso kriegt der die geliefert? Gehe ich auf bestandteileinerbombe24.de? Ja? Also, es ist ja schon mal irgendwie, ne? Und würde ich denn in einem solchen Falle nicht eventuell so als Sherlock Holmes auf die Lieferadresse gucken und sagen, Tim Prittler hat Bestandteile einer Bombe gekauft, ne? Also, es ist ja nun wirklich nicht so... Nicht so naheliegend, das nach der IP-Adresse zu machen. Und das so entgleitet die Debatte zusehends. Er sagt dann auch noch irgendwie, also er gibt auch noch Beispiele, die vielleicht halbwegs sinnvoller sind, strafbare Hasskommentare postet, einen Auftragskiller angeheuert oder Missbrauchsmilder hochgeladen hat. Also ein also. Also strafbare Hasskommentare, ja, das wäre halt zum Beispiel, wenn jemand bei Logbuch Netzpolitik mit einem relativ offenes Posting, man muss dem wie eine E-Mail-Adresse angeben, die wird aber nicht kontrolliert, wenn da jetzt ein strafbarer Hasskommentar gepostet würde, würde er bei uns im Zweifelsfall in die Moderation rasseln, wir würden den Löschen-Thema erledigt. Auftragskiller anheuern geht bei uns nicht, also auf Logbuch Netzpolitik geht das nicht, ist kein Angebot, das wir haben. Ist aber auch in weiten restlichen Teilen des Internets kein Angebot, das zur Verfügung steht. Es gibt so ein paar Angebote im Darknet. Da siehst du aber natürlich auch weder die IP-Adresse des anbietenden Servers noch des Auftragskillers, beziehungsweise der Polizei, die das Angebot macht, um zu gucken, wer so doof ist, irgendwie übers Internet jemanden bestellen zu wollen. Und also auch da wirklich ein, also ich meine, stell dir mal vor, du bist so Auftragskiller oder so, boah, wer hat dir angeheuert, da ist die IP-Adresse, ach scheiße, jetzt kann man nicht mehr rausfinden, wer es ist. Also es ist auch unglaubliche Beispiele oder Missbrauchsbilder hochgeladen hat, ja, auch da stimmt der Sachverhalt nicht wirklich, ne, wenn du jetzt dich anschicken würdest, bei Facebook Missbrauchsbilder hochzuladen und dort in die NECMEC-Detektion rasselst, dann hat Facebook natürlich in Echtzeit die Möglichkeit, das anzuzeigen. Dann geht das auch schnell genug, um deine IP-Adresse zu demaskieren. Das ist also. Wirklich, also anhand dieser Beispiele siehst du schon, dass der Rest der Debatte jetzt auch nur noch unheilvoll verlaufen kann. Da ist man dran gewöhnt, dass die Debatten so geführt werden. Es wird in Deutschland, ich weiß nicht, wann erstmals diese Idee der Vorratsdatenspeicherung diskutiert wurde, das wird wahrscheinlich so 2008, 9, 10 oder so gewesen sein. Kannst du mal gucken.

Tim Pritlove
0:46:41
Linus Neumann
0:46:45
Tim Pritlove
0:46:45
Linus Neumann
0:46:47
Tim Pritlove
0:46:49
Linus Neumann
0:46:54
Tim Pritlove
0:47:01
Linus Neumann
0:47:03
Tim Pritlove
0:47:06
Linus Neumann
0:47:08
Tim Pritlove
0:47:41
Linus Neumann
0:47:49
Tim Pritlove
0:47:50
Linus Neumann
0:47:57

Jetzt muss ich natürlich schon sagen, also die Vorratsdatenspeicherung, es ist teilweise natürlich ärgerlich, wenn ich jetzt so im Rahmen meiner beruflichen Tätigkeit bei irgendwelchen kleineren Angelegenheiten Forensik mache und dann feststelle, okay, da finde ich eine IP-Adresse, die war der Deutschen Telekom vor sechs Monaten mal zugeordnet. Und ich kann jetzt nicht mehr herausfinden, wer das war. Ja, aber das würde ich jetzt nicht im Rahmen der Terrorismusbekämpfung oder so. Also es ist... Also das, was schwere Verbrechen sind, findet, und das gleiche übrigens bei der Chatkontrolle, das, was schwere Verbrechen sind. Findet schon längst nicht mehr da statt, wo IP-Adressen die notwendigen Merkmale zur Aufklärung einer Straftat sind. Ja, wer einen Auftragskiller anheuert, macht das im Darknet. Wer Bilder tauscht, die Verbrechen dokumentieren, macht das nicht über seinen Telekom-DSL-Anschluss, ohne dabei irgendwie Tor zu nutzen. Es ist einfach wirklich ein bisschen an der Realität des kriminellen Vorgehens vorbei argumentiert, dass Menschen so agieren würden. Wenn jetzt jemand auf Twitter strafbare Hasskommentare postet oder auf Facebook, dann identifizierst du die Person über ihre E-Mail-Adresse, die sie da angegeben haben müssen, um sich zu melden oder ihre Handynummer, die Facebook irgendwie denen abgeluchst hat. Das ist wirklich, es sind wirklich selten IP-Adressen jetzt, insbesondere bei den Straftaten, die Jörg Diesig hier ausgesucht hat, das woran es scheitert. Das ist einfach nicht die Realität. Es ist sie einfach nicht. Und er zitiert dann auch wieder, die Polizei sagt, sie könnte viel mehr aufklären. Das ist ja auch wieder lustig. Also wenn die Polizei behauptet, an dem und diese und jene Straftat konnten wir nicht aufklären, weil wir die IP-Adresse nicht auflösen konnten. Dann stellt sich ja immer noch die Frage, wenn du jetzt aufgelöst hättest, hättest du dann den Täter gefunden? Wird ja dann so fest davon ausgegangen. Also da gibt es ja dann auch tausend Fälle von Abmahnungen. Abmahnung, weiß nicht, war irgendeiner im Airbnb und hat da was gemacht oder man findet dann am Ende Schadsoftwareinfektion auf der IP-Adresse oder dahinter verbirgt sich ein Internetcafé oder ein offenes WLAN und was nicht alles. Also auch kann sein, kann aber auch nicht sein.

Tim Pritlove
0:50:48
Linus Neumann
0:50:56
Tim Pritlove
0:51:37
Linus Neumann
0:51:50
Tim Pritlove
0:51:54
Linus Neumann
0:52:06

Doch klar, natürlich ist es das. Also, sorry, genau. Natürlich ist es möglich, über die IP-Adresse identifiziert zu werden. Klarer Fall. Genau deswegen soll die ja auch nicht so lange gespeichert werden. Was nicht der Fall ist, ist, dass in schweren Verbrechen wie dem Bestellen einer Bombe unter Bestandteil einer Bombe24.de oder dem Posten eines Hasskommentares oder Bildertausch, dass da in großer Menge Strafverfahren ins Nichts führen, weil die IP-Adresse nicht mehr zu unbeißen ist. Das entspricht einfach nicht dem Vorgehen der Kriminellen. Die haben sich seit 20 Jahren weiterentwickelt. Und die, also wir sehen es doch hier, also wenn wir uns das anschauen, das BKA nimmt einen Hidden Service oder nicht das BKA selber, aber diese Zusammenarbeiten der Polizeibehörden über internationale Grenzen hinweg, nehmen einen Hidden Service nach dem anderen hoch, wo illegale Foren betrieben wurden. Deutschland im Deep Web war so ein Fall wir haben ja ungefähr jedes halbe Jahr irgendeine Kinder, sonst was Börse oder was auch immer aber es sind immer Systeme die irgendwie auf Tor basieren und Tors einziges Ziel ist es IP Adressen zu verstecken ja und wenn du jetzt irgendwo ein. Eine Forensik machst, was meinst du, wie oft du da auf eine IP-Adresse stößt und dann stellst du fest, es ist ein Tor-Exit. Weil auf der anderen Seite jemand saß, der halt nicht doof ist und der auch nicht dem Braten traut, dass in der Zeitung steht, die Telekom speichert nur eine Woche deinen Anschluss dazu. Ja, also Kriminelle haben sich weiterentwickelt, und sie nutzen Anonymisierungstechniken. Selbstverständlich. Ja. Also es wäre genau so, so sinnvoll zu fordern irgendwie, dass wir eine biometrische Massenüberwachung in jeder Bank brauchen, damit wir demnächst die Bankräuber erkennen können. Und dann kommen die halt mit einer Maske. Das ist halt so. Am Ende hast du aber die biometrische Massenüberwachung der gesamten Bevölkerung und das ist ja genau der Grund, warum die Vorratsdatenspeicherung eben auch immer wieder scheitert, weil man sagt, wir möchten diesen öffentlichen Raum des Internets, auch in einer gewissen Form anonym oder zumindest pseudonym halten, damit die Menschen dort nur im Notfall überhaupt identifiziert werden können anhand der IP-Adresse. Das geht natürlich, diese Gesetzgebung wird auch immer weniger notwendig, wo mit der Zentralisierung dessen, was Menschen unter Internet verstehen. Strafbare Hasskommentare, Wie viele Leute hat inzwischen die Renate Künast da verklagt, weil die auf Facebook unter ihrem bürgerlichen Namen irgendwelche schlimmen Beschimpfungen oder Unwahrheiten über sie behauptet haben. Ich weiß nicht genau, was das ist. Da gibt es irgendeine komische Sache, gegen die sie da die ganze Zeit vorging. Und auch sicherlich zu Recht vorging und auch ohne Probleme, weil es eben nicht so ist, dass es am Ende an der IP-Adresse hängt. Insbesondere nicht bei den Straftaten, die ihr da zitiert. Aber ja, es gibt sicherlich auch Fälle, und ich habe es ja gerade selber gesagt, aus meiner beruflichen Tätigkeit auch, wo man dann mal an einer IP-Adresse scheitert, aber das sind keine schweren Verbrechen. Also niemand ist so, oder sehr wenige Leute sind so doof, schwere Verbrechen einfach ungeschützt von einer unmaskierten IP-Adresse zu begehen. Du kannst keinen Podcast hören, wo nicht irgendeiner früher oder später dir Werbung für irgendeinen kommerziellen VPN-Anbieter ins Ohr säuselt. Außer unseren. Und insofern, das hören dann auch die bösen Leute. Naja. Ich fand es auf jeden Fall, unterhaltsam und einen schönen Plottwist, dass die CDU das Sicherheitspaket in Teilen gestoppt hat.

Tim Pritlove
0:56:26
Linus Neumann
0:56:28
Tim Pritlove
0:56:34
Linus Neumann
0:56:38
Tim Pritlove
0:56:39
Linus Neumann
0:56:41
Tim Pritlove
0:56:43
Linus Neumann
0:56:47
Tim Pritlove
0:57:07
Linus Neumann
0:57:18
Tim Pritlove
0:59:06
Linus Neumann
0:59:07

Ja. Das ist das Gematik GPT und haben dann das dem Ding Fragen gestellt und haben sich beantworten lassen, ob das eine gute Antwort darauf hatte oder nicht. Also gar nicht so ein schlechter Ansatz machen. Also der bietet sich ja wirklich an, wenn du irgendwie ein Konvolut an Text hast. Und das haben die also hier in diesem Fall getan und dann haben sie quasi versucht, diese Infrastruktur und das Sicherheitskonzept zu verstehen, haben dann so Angriffspfade gemacht, wie kommt man denn da dran und welche Schutzmaßnahmen gibt es. In diesem System kommen sie auf hoch eingestufte Schwachstellen in vier Bereichen. Ich will die jetzt mal gleich so ein bisschen durchsprechen, aber es ist sehr interessant, also die haben von einem GPT erstmal die Doku lesen lassen und dann haben sie so ein sehr ausführliches Threat-Model gemacht, wo dann so alle möglichen Akteurinnen und Akteure beschrieben werden und dann werden die quasi klassifiziert. Und was ich sehr schön fand, ist da die Bezeichnung der Haktivisten. Also Haktivisten verfolgen politische Ziele und wollen durch öffentlichkeitswirksame Aktionen, wie das Defacement von Webseiten oder das Veröffentlichen erbeuteter Daten, Aufmerksamkeit erregen. Ihre Ziele sind auf politisch motivierte Einrichtungen oder Unternehmen beschränkt. Okay. Aktivisten haben meist geringe finanzielle Mittel, können sie jedoch in losen Gruppen organisieren und technisches Wissen aufbauen. Ihre Angriffe auf das EPA-System würden zwar negative Auswirkungen auf die medizinische Versorgung haben und entsprechend bei der Mehrheit der Bürger auf wenig Verständnis stoßen. Dennoch ist die EPA ein politisch relevantes Thema und nicht alle Aktivisten stehen einer elektronischen Patientenakte im Allgemeinen oder in der konkreten Umsetzung im Speziellen positiv gegenüber. Nicht alle Aktivisten, das ist eine supergeile Beschreibung. Daher kann das eigene politische Interesse genügen, um Angriffe durchzuführen. Der Aufwand für solche Angriffe ist hoch. Dennoch ist nicht auszuschließen, dass sie nach Sicherheitslücken suchen, um das System zu diskreditieren oder bei entsprechender Gelegenheit, zum Beispiel Zugriff auf kompromittierte Drittsysteme, auch Schaden verursachen. In Summe wird die Relevanz von Haktivisten als Mittel eingeschätzt. Ich glaube, das gibt einen ganz guten Eindruck dafür, wie diese Leute da gearbeitet haben.

Tim Pritlove
1:01:53
Linus Neumann
1:02:02

Also die Frage, wie du diese Frage beantwortest, und das ist bei so einer Sicherheitsanalyse das Entscheidende, ist, was du denn als Gefahr definierst und was nicht. Zum Beispiel haben sie gesagt, staatliche Akteure sehen sie nicht im Scope. Und quasi diese Scope-Definition einer Sicherheitsanalyse ist relativ entscheidend. Wenn du jetzt sagst, Schäden für die Gematik, dann sind im Zweifelsfall Aktivisten das Einzige, was dem Ding wirklich schaden wird in naher Zukunft. Wenn du sagst Schaden für Patientinnen, dann müsstest du sagen, die Gefahr von Haktivisten wird als absolut niedrig eingeschätzt, weil die werden sicherlich nicht den Patientinnen schaden, weil sie ja der Gematik schaden wollen würden oder ihre Fähigkeiten unter Beweis stellen, sicherlich aber nicht sagen, ich bin hier ein Haktivist und ich drohe jetzt mit der Veröffentlichung von Gesundheitsdaten von Einzelnen. Das wären ja dann Kriminelle. Also du musst dir vorstellen, da ist eine ganze Reihe an Akteurinnen und Akteuren, die dann da so modelliert werden. Also das ist der Teil von dieser Bedrohungsanalyse, wo du im Prinzip die unterschiedlichen Akteure klassifizierst. Da gibt es auch viele andere. Wird dann auch gesagt, Innentäter. Innentäter ist jemand, der im Krankenhaus arbeitet und darauf Zugriff hat. Dann wird auch überlegt, welche Relevanz hat diese Person. Also ich will einfach nur, fand das mal als Teil, als Ausschnitt aus diesem Bericht ganz interessant, wie sie so schreiben. So, kommen wir mal zu... Den als hoch eingestuften Schwachstellen, die beziehen sich auf vier Themen. Ich fasse die mal zusammen und komme dann zu Details. Die Anbieter des Aktensystems haben eine zu große Zeitspanne, um Schwachstellen an Wochenenden und Feiertagen zu bewerten. Das betrachtet das Fraunhofer als hohe Schwachstelle. Es fehlt eine klare Rollentrennung der Mitarbeiter beim Umgang mit den Backups, der Masterkeys zur Ableitung der Datenpersistierungsschlüssel. Es fehlen Maßnahmen zur Rollentrennung von Mitarbeitern der Betreiber, um Angriffe auf die Verfügbarkeit der Akte zu verhindern. Und es fehlen Maßnahmen für einen sicheren Entwicklungsprozess bei den Herstellern des Aktensystems. Ich gehe da nochmal im Detail drauf ein. Denn sehr wichtig zu sagen ist, hier wird in keiner Form auf die technische Implementierung eingegangen. Das ist relativ wichtig zu wissen, wenn jemand sagt, es gibt 21 Schwachstellen im Konzept oder es gibt sechs hohe oder vier hohe oder wie viele auch immer. Das ist quasi an dem Sicherheitskonzept und nicht in irgendeiner Form die technische Implementierung, die da geprüft wurde. Da wurde einfach keine Aussage drüber getroffen. So, schauen wir uns mal die als hoch bewerteten Schwachstellen an. Sie sagen also, wenn eine Schwachstelle gefunden wird und bewertet werden muss, also gesagt werden muss, was ist denn jetzt das Risiko dieser Schwachstelle und das fällt auf ein Wochenende oder an Feiertage, dann gibt es bis zu 72 Stunden Zeit, bis diese Bewertung vorliegen muss. So und dann sagen sie sie verlangen dann also kürzere Fristen und einen entsprechenden Notdienst, Damit also, wenn jemand eine Schwachstelle findet, die sofort bewertet wird und dann potenziell geschlossen wird. Jetzt kannst du dir aber überlegen, so häufig werden jetzt nicht unbedingt Schwachstellen gefunden werden.

Tim Pritlove
1:05:56
Linus Neumann
1:05:57
Tim Pritlove
1:07:25
Linus Neumann
1:07:27
Tim Pritlove
1:08:27
Linus Neumann
1:08:29

Um das Ding wieder herzustellen, diese HSM Du hast dann irgendwie das HSM, meistens generiert das einen Schlüssel, gibt dir davon eine verschlüsselte Kopie und den Key, den du dafür brauchst, um dem HSM zu sagen hier ist dein verschlüsselter Schlüssel, entschlüssel dir den mal hier ist der Key, den ich dazu habe und dann musst du so Scherzchen machen, wie irgendwie besonderes Papier nehmen, was nicht zerfällt und dokumentenechte Stifte, und dann schreibst du das halt auf ein Blatt Papier, weil diese Schlüssel und so weiter und so fort. Alles so Dinge, die sind schon hinter mir. Aber gut. Und das jetzt darf die Person, die zum HSM darf, dürfte gleichzeitig auch für den Masterkey auf Bewahrung zuständig sein. Und jetzt sagen sie, das ist ein Problem, weil jetzt könnte einer quasi, der könnte den Masterkey wegwerfen und das HSM kaputt machen. Dann sind die Daten wirklich weg. Drittes Problem, der Innentäter, ein Innentäter, der also zum Beispiel jemand, der ins RZ darf oder hohe administrative Rechte hat, kann das Access Gateway oder zentrale Komponenten ausschalten. Ja, so ist das. Also, und jetzt verlangen sie, dass ein einzelner Mitarbeiter nicht ausreichend Rechte hat, alle Komponenten herunterzufahren und oder nicht physisch an alle herankommt. Ja, damit jetzt nicht eine Person, also sie sagen im Prinzip, wir möchten nicht, dass eine Person in der Lage ist, das Ding auszuschalten. Daran erkennst du, Verfügbarkeit ist denn offensichtlich ein sehr hehres Ziel. Weil ich halte es jetzt für relativ unwahrscheinlich. Oder sagen wir mal so, in dem Fall, wo man wirklich sagt, das Ding muss einmal alles auf einmal ausgeschaltet werden, ja, dann wird es natürlich eigentlich auch, dass das passiert. Ich würde also nicht, also meine Bedrohung wäre jetzt nicht unbedingt, dass jemand das scheiß Ding am Tag abschaltet. Aber für die ist das hoch. Und dann sagen sie.

Tim Pritlove
1:10:16
Linus Neumann
1:10:24
Tim Pritlove
1:11:09
Linus Neumann
1:11:25

Genau, also ja, ich glaube, das würde ja schon alles unter Security fallen, weil ja Security, Availability, Confidentiality, Integrity ist. Und dieser Aspekt, wir möchten nicht, dass ein Mensch die Macht hat, hier zentrale Komponenten alle auszuschalten, das ist dann eben Availability und würde man jetzt klassisch unter Informationssicherheit führen. Und dann sagen sie ja, wenn ein Zulieferer, einen unsicheren Software Development Lifecycle hat, also irgendwie wenn da unsichere Praxis herrscht, wie das Ding entwickelt wird, wie könnte man sich das vorstellen, das kann ja gar nicht sein, kann dort unbemerkt eine beliebige Änderungen am Code vorgenommen werden und deswegen verlangen sie Vorgaben für die Zulieferer hinsichtlich der Geräte, der Prozesse, dass dann zum Beispiel die Open-Source-Komponenten reviewt werden müssen, damit da nicht irgendwelcher Open-Source-Krempel reingeknallt wird und dann verlangen sie, dass die eine S-Bomb machen. S-Bomb ist richtig geil. Software Bill of Materials. Das ist etwas, was so ein bisschen modern wurde. Eigentlich ... Als diese Log4j-Schwachstelle war. Wir erinnern uns, Log4j war die Logging-Library, die in Java sehr verbreitet ist und wo irgendwann ein Lasergehirn die Idee hatte, dass man quasi in das Log selber aktive Inhalte schreiben kann, die dann von der Logging-Library interpretiert werden. Was also eigentlich die Definition von einer Code-Injection war, ist. Und dann hattest du diese Situation, dass es auf einmal überall auf dieser Welt Software gab, die irgendwie geloggt hat, die unter Umständen für dieses Logging Log4J verwendet hat. Und dass es dann ein lustiger Spaß war, aktive Befehle zum Beispiel irgendwo reinzuschreiben, wo sie potenziell von irgendjemand anders gelockt werden und dann festzustellen, dass dieser aktive Inhalt irgendwo in der Kette von irgendeiner Infrastruktur von Log4j dann interpretiert und umgesetzt wurde. Dann wurden auf einmal alle nervös und sagten, oh scheiße, da gibt es dieses Log4J jetzt müssen wir irgendwie mal rausfinden ob wir das denn bei uns verwenden und dann gab es aber keine Datenbank, in der drin stand hier sind unsere. Softwarekomponenten, unsere Geräte mit Log4J Keiner wusste Bescheid Warum auch, ist eine von ein paar Millionen Open Source Libraries, die irgendeiner irgendwo reingeknotet hat oder auch nicht und das gab es halt nicht. Und dann haben sich die Leute gesagt, ja okay, dann müsst ihr jetzt eine Software Bill of Material machen. Und das stellen die, also eines S-Bomb wäre also so, du bist da so als äh, sagen wir mal als Betreiber, ähm, musst du dann für deine Software, äh. Eine Liste machen in meiner Gematik-Software, die wir hier beistellen, die wir hier zur Verfügung stellen, sind folgende Open-Source-Libraries in folgenden Versionen drin. Und in der anderen Version sind die in der Version drin und in der anderen Version sind die in der Version drin. Ich bin aber jetzt nur Zielüferer von einem Gerät. Jetzt kannst du dir mal vorstellen, wenn du das mal auf so eine größere Ebene ziehst, sagen wir mal ein Krankenhaus. Krankenhaus müsste dann also hingehen und sagen, okay, wir haben unsere Software Build-of-Materials. Wir haben Microsoft Windows im Einsatz, zack, bumm. Wir benutzen außerdem, keine Ahnung. WiFi, einen WiFi-Controller von Ubiquity mit folgender Software und Ubiquity hat uns gesagt, da sind folgende Open-Source-Komponenten drin. Jetzt kümmern wir es in unsere Software-Build-of-Material. Und wenn dann jetzt irgendeiner sagt OpenSSL in Versionen, hast du nicht gesehen, 1.2 hat eine Schwachstelle, dann kann ich in meine S-Bomb gucken und kann sagen, sag mal, wo ist denn hier alles OpenSSL drin? Dann sagt er, auf folgenden 84 Web-Servern hast du das, auf folgenden 795 Access-Points auf deinem Controller, auf dem Web-Interface von deiner Heizungssteuerung und in deinem alten Firefox-Browser auf der Linux-Büx unten im Keller. Also eine super Idee, vollkommen unrealistisch, dass du das in einem kleinen Unternehmen vollständig hinkriegst und auch noch aktuell hältst. Aber okay. Wäre nicht schlecht, wenn man es hat und ist auch nicht blöd, das zu fordern. Das Ding, sowas zu haben und zu pflegen, du musst ja jedes Mal, wenn du ein Update gemacht hast, sagt einer, hör mal, gab gerade ein Update für unseren Unify-Controller, ich hab das mal eingespult. Oh, okay, dann kann ich jetzt die S-Bomb updaten. So, was steht denn da jetzt drin? Ist da jetzt das OpenSSL noch in Version X drin oder in Version XA? Okay, nee, XA, ja gut, dann schreib mal in deine S-Bomb.

Tim Pritlove
1:16:29
Linus Neumann
1:16:41
Tim Pritlove
1:17:58
Linus Neumann
1:18:02
Tim Pritlove
1:18:32
Linus Neumann
1:18:33

Dann sagen sie Social Engineering auf Löschen der gesamten Daten. Dass also jemand sagt, ich bin der Linus Neumann, ich möchte gerne, dass alle meine Daten gelöscht werden. Da haben sie also Angst vor Social Engineering-Angriffen. Und sie sagen, es gibt keine Sicherheitsanforderungen für die Entwicklung des Primärsystems. Das sagen sie, das ist Mittel. Jetzt gucken wir uns mal an, was ist denn das Primärsystem? Das Primärsystem ist das, was auf den Seiten des Leistungserbringers den Zugriff auf die Gematikinfrastruktur ermöglicht. Also das, was im Krankenhaus dann läuft, womit die Leute auf die EPA tatsächlich zugreifen. Da gibt es keine Sicherheitsanforderungen für. Es gibt zwar einen Leitfaden, der ist aber nicht verpflichtend. Und dann sagen sie, wäre ganz gut, wenn man den Leitfaden mal verpflichtend machen würde. Und es wäre cool, wenn man es mindestens mal vorschreiben würde, eine sichere Benutzerauthentifizierung, dass man eine Passwortrichtlinie auch tatsächlich erzwingt, dass man gegen Brute Force schützt und dass man nach Inaktivität automatisch sperrt und ein Secure Software Development Lifecycle vorschreibt und vielleicht noch eine Anomalieerkennung macht. So, das ist für das Primärsystem also das, was auf den Seiten des Leistungserbringers steht. Also das, was am Ende auf hunderttausenden Rechnern in allen möglichen Krankenhäusern und Arztpraxen läuft, wo der Patient im Prinzip einfach reingehen kann. Und also da, wo die Angriffe am Ende stattfinden, da, wo die Schadsoftware auf den Rechnern ist, die dann, wo das Primärsystem dann eben läuft, wo die Leute quasi auf den System, womit sie am Ende auf deine E-Path zugreifen, zwischendurch noch irgendwelchen Quatsch googeln und irgendeine Software runterladen. Da gibt es halt irgendwie keine Sicherheitsanforderungen. Das ist aber ein mittleres Problem. Da ist schon wichtiger, dass derjenige, der das HSM löschen kann, nicht auch den Masterkey zugreifen kann. Also man erkennt, dass das so ein bisschen sehr prozessgetriebene IT-Sicherheit ist. Die ist auch sehr wichtig, aber der Leistungserbringer und mit seinem Primärsystem, die haben auf alles Zugriff, das sind unglaublich viele und die Relevanz ist mittelgroß, also genauso wie ein Haktivist. Ich würde sagen, und das erklärt der Projektleiter Steven Arzt, ähm. Und warum ist es nicht so wichtig, also warum sind nicht diese ganzen Leistungserbringer und alle, die für sie arbeiten, bei einer normalen Arztpraxis ja schon irgendwie irgendwas wahrscheinlich zwischen 8 und 20 Personen bei einer kleinen Arztpraxis, weil die lediglich nach dem Scan der elektronischen Gesundheitskarte für 90 Tage darauf zugreifen können und auch nur als Leistungserbringer, bei dem die Karte eingelesen wurde. Bei großen Leistungserbringern mit vielen Patienten ergeben sich hieraus umfangreiche Zugriffsrechte, aber die wurden ja schließlich auch gewährt. Bei vielen größeren Kliniken und Praxisverbünden existieren daher in den Informationssystemen technische Maßnahmen zu internen Zugriffsbeschränkungen innerhalb der Leistungsbegringer. Das ist aber das, wo das Fraunhofer sagt, das ist ja nicht vorgeschrieben. Und dann sagt er, wir empfehlen hierbei rechtliche Vorgaben für das Mindestsicherheitsniveau der Primärsysteme zu erheben. Jetzt, ich würde sagen, wenn auf deine elektronische Patientenakte zugegriffen wird, also von dir als Person, Tim Pritlaff. Wenn da ein unberechtigter Zugriff drauf stattfindet, dann wird der im Zweifelsfall stattfinden bei den Leistungserbringern. Also da, wo die Karte eingelesen wurde und die dann 90 Tage Zugriff darauf haben und die in so einem Krankenhaus, wenn du überlegst, jeder der da ist 90 Tage, so ein Krankenhaus schleift an OPs und besucht eine ganze Menge Leute durch und da gibt es quasi überhaupt keine Vorgaben. Gibt es aber auch heute nicht, wurden ja gerade in Berlin auch wieder irgendwelche Krankenhäuser gehackt und die Daten abgezogen und das will ich hier gerade erklären, deswegen sagen die, das ist kein großes Problem für die EPA, weil aktuell sind die Daten ja auch in den Krankenhäusern gespeichert und frei zugreifbar so ungefähr und nicht ordentlich geschützt. Und die EPA erhöht hier das Risiko nicht nennenswert, weil nur dadurch, dass sie in der EPA sind, wird das Krankenhaus weder sicherer noch unsicherer und man kann nur auf die Patienten zugreifen, die halt dem so doof an dem Krankenhaus zu vertrauen. Und ich will, also ich spreche da deshalb drüber, weil ich so ein bisschen diese denke, wie so eine Sicherheitsanalyse eben vonstatten geht und wie da so eine Scope-Definition stattfindet und was sie sich anschauen und was nicht. Was sie zum Beispiel nicht angeschaut haben ist, mach doch mal eine S-Bomb und lass mich die mal angucken und wenn die nicht auf eine DIN A4-Seite passt, dann ist die zu lang. Solche Fragen sind hier nicht gestellt, das ist halt so eine rein prozedurale Sicherheitsbetrachtung. Und unter dem Hinblick kann man von dem, was sie hier geprüft haben und was sie bemängeln, kann ich schon verstehen, dass die Gematik sagt, guck mal hier, die haben mit ihrem GPT nichts Nennenswertes gefunden. Weil das natürlich, hier das, was sie als hoch bezeichnen, immer noch relativ unrealistische Szenarien sind. Ja, dass jetzt irgendwie einer das HSM löscht, ja gut. Unwahrscheinlich. Gleichzeitig, dass so im Krankenhaus läuft irgendeine Software zweifelhafter Genese ohne jede Sicherheitsanforderung. Das sagen wir halt, mittel. Weil das eben heute schon der Fall ist und kein nennenswertes, erweitertes Risiko durch die EPA eingeführt wird. Und man muss halt diese Sprache verstehen und diese Risikoperspektive verstehen, um mit diesem Bericht etwas anfangen zu können. Was halt grundsätzlich unbehandelt bleibt, ist, ist das eine gute Idee, diese massenhaften Daten in dieser Menge anzuhäufen, ein Leben lang zu speichern und was ist mit dem Risiko einer Einzelperson? Ja, wenn wir jetzt sagen, ich gehe in ein Krankenhaus und da sind die Daten 90 Tage zugreifbar, ja, ich und bei mir werden jetzt im Laufe meines Lebens sicherlich noch eine ganze Menge Daten dazukommen, dann ist es relativ, also dann wird halt die Menge an Daten, die in einem Krankenhaus für 90 Tage zugreifbar ist, immer mehr mit der Dauer meines Lebens, ne, also, und klar.

Tim Pritlove
1:25:37
Linus Neumann
1:25:38
Tim Pritlove
1:25:50
Linus Neumann
1:25:54
Tim Pritlove
1:25:55

Ja.

Linus Neumann
1:25:57
Tim Pritlove
1:27:23
Linus Neumann
1:28:01
Tim Pritlove
1:29:24
Linus Neumann
1:29:26
Tim Pritlove
1:29:35
Linus Neumann
1:29:45
Tim Pritlove
1:29:51
Linus Neumann
1:29:57
Tim Pritlove
1:30:01
Linus Neumann
1:30:09
Tim Pritlove
1:31:36
Linus Neumann
1:31:39
Tim Pritlove
1:31:59
Linus Neumann
1:32:03
Tim Pritlove
1:33:21
Linus Neumann
1:34:38
Tim Pritlove
1:35:45
Linus Neumann
1:35:47
Tim Pritlove
1:36:43
Linus Neumann
1:36:43

Genau. Es kann potenziell schwieriger werden, eine unvoreingenommene zweite Meinung zu bekommen, wenn du sagst, könnt ihr mal gucken, was hier ist. Und der Arzt sagt, na was haben denn die anderen gesagt. Das kann schwierig sein. Es gibt aber auch die Möglichkeit, bei einigen Sachen zu widersprechen, dass sie in die EPA kommen, also psychische Erkrankungen, Schwangerschaftsabbrüche, sexuell übertragbare Infektionen, muss der Behandelnde sagen, du hast das Recht zu widersprechen, kannst in der App oder auch bei einer Ombudsstelle dich dagegen wehren. Aber standardmäßig sind alle Dokumente in der EPA für alle Ärztinnen sichtbar, sobald du den Zugriff gegeben hast. Und das werden nicht nur die Ärztinnen machen, sondern alle, die da arbeiten, können 90 Tage lang darauf zugreifen. Der öffentliche Gesundheitsdienst, Arbeitsmedizinerinnen und Apotheken dürfen nach Einwilligung drei Tage lang darauf zugreifen. Reicht aber, du brauchst, um alle Daten da rauszuholen, nicht 90 Tage und nicht drei. Dann sind die zentral verschlüsselt, also man kann die nicht an einer Stelle zentral einsehen, es gibt aber eben das besagte HSM, wo dann irgendwie die Berechtigungen gecheckt werden, wo dann eben die Entschlüsselungen stattfinden. Am Ende gibt es einen Ort, wenn man an der richtigen Stelle ist, wo du alle Daten auf einmal entschlüsseln kannst. Diese Informationen werden dann getrennt, dann hat der eine nur Zugriff darauf und so weiter, damit es irgendwie nicht möglich ist. Oder nicht, dass sich die Gelegenheit nicht bietet, ohne das Brechen mehrerer Prozeduren und die Wahrscheinlichkeit soll verringert werden. Dann nicht besonders schön ist natürlich, dass es hier ein Opt-out gibt eigentlich glaube ich, das ist so nicht rechtens weil, bei einer solchen Datensammlung eigentlich ein Opt-in-Verfahren wäre aber auch darüber haben wir schon gesprochen, wenn das jetzt Opt-in wäre, dann macht es keiner ja.

Tim Pritlove
1:39:05
Linus Neumann
1:39:10
Tim Pritlove
1:39:58
Linus Neumann
1:40:03
Tim Pritlove
1:40:21
Linus Neumann
1:41:20
Tim Pritlove
1:41:49
Linus Neumann
1:42:01
Tim Pritlove
1:42:12
Linus Neumann
1:42:15
Tim Pritlove
1:42:17
Linus Neumann
1:42:19
Tim Pritlove
1:42:51
Linus Neumann
1:43:00
Tim Pritlove
1:43:06
Linus Neumann
1:43:10
Tim Pritlove
1:43:15
Linus Neumann
1:43:27
Tim Pritlove
1:43:34
Linus Neumann
1:43:40

Nein, machen wir gar nicht. Ich versuche hier gerade den Leuten eine ernsthafte Einschätzung zu geben. Du sagst, du willst das haben. Ist in deinem Fall, glaube ich, mit ein paar Erwartungen verbunden, die überzogen sind. Das heißt aber immer noch nicht, dass man es nicht haben will. Wir erinnern an den Hörer mit der Schilderung einer chronischen Erkrankung. Wir müssen aber auch an Leute erinnern, die vielleicht medizinische Zustände hatten in ihrem Leben, die sie nicht jemals, auch nur in der Nähe des Risikos haben wollen, dass die an die Öffentlichkeit kommen oder dass die überhaupt jeder Ärztin zugreifbar sind. Wir haben ja hier über psychische Erkrankungen und sonstiges gesprochen. Und gerade jetzt psychische Erkrankungen, das würde ich sicherlich nicht in meine EPA schreiben, damit ich bei jedem Arzt, wo ich vorspreche und sage, hier mein gebrochenes Bein steht Hypochonder. Wäre ja scheiße. Also das kann auch Nachteile haben und das Problem, also ich denke, das sollte jede Person für sich selber entscheiden und wenn sie es tut, muss sie auf jeden Fall mit dem Risiko, muss sie das Risiko in Betracht ziehen, dass da mehr Leute auf diesen gesamten Datenbestand Zugriff haben, als ihr lieb ist und da muss jede Person für sich selber entscheiden, ob das in Ordnung ist oder im Sinne der Sache. Und dann kommt dazu, dass viele Personen das vielleicht heute, diese Entscheidung treffen, bevor quasi ihre Krankengeschichte zu Ende ist. Krankengeschichte endet üblicherweise mit dem Ableben. Das heißt, euer aller Krankengeschichte wird noch weiter geschrieben. Und dazu kann gehören, dass ihr in einem Jahr irgendeine Krankheit kriegt, für die man sich schämen muss oder für die ihr euch schämt und wo ihr nicht wollt, dass die da drin steht das kann aber auch sein, dass ihr heute sagt, ich möchte keine EPA haben und übermorgen wird euch irgendwie eine schwere chronische Krankheit. Attestiert und ihr würdet euch wünschen, dass ihr eine hättet und deswegen möchte ich eigentlich auf diese Entscheidung in der Form keinen Einfluss nehmen. Ich verlink noch mal die Entscheidungshilfe von Netzpolitik.org, Und dann könnt ihr eure eigenen Entscheidungen zu der Situation treffen. Das Risiko, dass jetzt irgendwie übermorgen alle eure Daten im Internet landen, wird durch die EPA nicht nennenswert größer zu Beginn. Weil die Daten müssen ja erstmal noch rein.

Tim Pritlove
1:46:23
Linus Neumann
1:46:24
Tim Pritlove
1:46:32
Linus Neumann
1:46:34
Tim Pritlove
1:46:39
Linus Neumann
1:46:40
Tim Pritlove
1:46:57
Linus Neumann
1:47:04
Tim Pritlove
1:47:06
Linus Neumann
1:47:12
Tim Pritlove
1:47:13
Linus Neumann
1:47:16
Tim Pritlove
1:49:23
Linus Neumann
1:49:24

Vorbereitung von Hacking, Nachbereitung von Hacking, Durchbereitung, Breithacken, Kleinhacken, in alle Formen hacken, machen wir. Und das ist natürlich ungünstig. Und da gibt es dann diese Fälle, wo Leute im Prinzip, sag ich mal, ein System hacken, eine Schwachstelle dabei identifizieren und die Schwachstelle melden. Das ist etwas, was sehr häufig passiert. Daher wissen wir ja nun mal von den Schwachstellen, weil sie irgendwie Leute gefunden haben und gemeldet haben. Das kann eine Schwachstelle sein in irgendeiner weitverbreiteten Software oder in irgendeiner selbstgeklöppelten Software, was weiß ich, diese CDU-Sache, die wir hier mal behandelt hatten, wo Lilith Wittmann dann irgendeine Datenleck in der CDU-App gefunden hat und die gemeldet hat und dafür angezeigt wurde, von der CDU statt einen Kuchen zu bekommen als Dankeschön. So, diese ähm, Diese Tätigkeit, das Aufspüren von Sicherheitslücken in IT-Systemen soll nicht mehr strafbar sein unter drei Bedingungen, drei Voraussetzungen. Erstens, du musst in der Absicht handeln, eine Sicherheitslücke festzustellen. Du musst die Sicherheitslücke an Hersteller beziehungsweise Betreiber oder BSI melden und das technische Vorgehen muss erforderlich sein, um eine Lücke festzustellen. Das heißt im Prinzip, wenn du jetzt weit darüber hinaus schießt, also im Prinzip zu scannen, SQL Injection auszuprobieren und so weiter, alles in Ordnung, das ist alles noch erforderlich. Am Ende 5 Terabyte aus dem Amazon-Bucket ziehen, ist vielleicht nicht mehr erforderlich. Da könnte man sagen, du hast die Lücke festgestellt, indem du einen Datensatz rausgezogen hast oder 8 oder 10, aber nicht alle 2 Millionen. Oder alle 2 mal 10 aus 36 Gesundheitsdaten. Da könnte man sagen, da ist dann irgendwann nicht mehr erforderlich. Den, 202c jedoch, den wollen sie nicht ändern. Sie wollen quasi bei dem Ausspähen von Daten, also diesen Aspekt Hacker-Tools und so weiter nicht ändern, weil das wäre dann nicht mehr erforderlich, weil sie das, quasi beim Ausspähen und Abfangen quasi die Veränderung machen.

Tim Pritlove
1:52:09
Linus Neumann
1:52:18

Also muss das schon jemand melden, also wenn du dich darauf berufen willst, also sie ändern 202a 202b, und 303a Oh, 303 gibt es auch noch, das ist wer rechtswidrig Daten löscht, unterdrückt und unbrauchbar macht, Also sie ändern die Definition ausspielen von Daten, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders geschützt sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Das wäre jetzt auch hier Lillith Wittmann, hat ja Daten bekommen, die nicht für sich, die nicht für sie bestimmt waren. Aber das heißt, sie ändern alle anderen Paragraphen, außer den wirklich kritischen, den 202c Vorbereitung des Ausspielens von Daten. Es wäre schon gut, den 20C auch noch wegzumachen, aber immerhin gehen sie in die richtige Richtung. Ja. Aber immer noch, ja, unzureichend. Ja, also es wird jetzt gesagt, wenn du in positiver Absicht handelst, sollst du nicht mehr kriminalisiert werden. Aber so einfach lässt sich diese Absicht ja auch nicht feststellen. Ich finde es aber trotzdem erstmal einen guten Punkt, dass man sagt, wenn jetzt jemand ein angeblich sicheres IT-System mal ein bisschen abklopft, dass er sich damit nicht strafbar macht, sondern eben im Prinzip der Öffentlichkeit und den Nutzerinnen einen Dienst erweist. Es wäre aber noch ganz schön wie gesagt, den 202c könnte man einfach komplett abschaffen dieser Argumentation das ist nicht mehr erforderlich der schließe ich mich jetzt eigentlich nicht unbedingt an weil es einfach.

Tim Pritlove
1:54:18
Linus Neumann
1:54:19

Genau, wir sagen, also eigentlich sagen wir mach den 202c weg das ist der Hackerparad, der ist doof wir sagen ja gar nicht Abfangen und Ausspielen von Daten natürlich ist das schlecht, und natürlich muss auch das muss man da auch eine Ausnahme machen, aber Aber die Idee war, streicht bitte mal den 202c. Ich gucke gerade die genaue Formulierung, nur damit wir die jetzt auch hier haben, also dem 202a, wer Daten ausspielt, lalala, wird bestraft. Werden die Absätze 3 und 4 angefügt. Die Handlung ist nicht unbefugt im Sinne des Absatzes 1, wenn erstens sie in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems, Klammer auf Sicherheitslücke, festzustellen und die für das informationstechnische System verantwortlichen, dem betreibenden Dienstleister des jeweiligen Systems, den Hersteller betroffener IT-Wand und das Bundesamt für Sicherheit und Informationstechnik über die festgestellte Sicherheitslücke zu unterrichten und zweitens sie zur Feststellung der Sicherheitslücke erforderlich ist. Das hatte ich gerade schon gesagt, ich will es nur einmal ausformulieren. Viertens, in besonders schweren Fällen des Absatzes 1 ist die Freiheitsstrafe von drei Monaten bis zu fünf Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter erstens einen Vermögensverlust großen Ausmaßes herbeiführt, aus Gewinnsucht oder gewerbsmäßig handelt oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von solchen Taten verbunden hat oder durch die Tat, die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt. Und das wird dem 202b und dem 303a ebenfalls angekommen. Dieser zweite Teil, also der Absatz 4, besonders schwere Fälle, Vermögensverlust in großem Ausmaß und Gewinnsucht, gewerbsmäßig Mitglied einer Bande, Verfügbarkeit, Funktionsfähigkeit, das sind so die Wörter, die stehen, da steht einfach nur dran, Ransomware-Gang. Das ist 100% Vermögensverlust, großen Ausmaß, ja, Ransomware, Gewinnsucht, ja, die Erpresse, gewerbsmäßig, ja, Mitglied einer Bande, ja, zur fortgesetzten Begehung einer solchen Tat verbunden, ja, Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität, Vertraulichkeit, ja, ja, ja, ja, ja, check, check, check, check, check. Und da ist dann die Freiheitsstrafe von drei Monaten bis fünf Jahren, obwohl sie in der jetzigen Ausführung bis zu drei Jahre ist. Also eine Erhöhung der Strafen für Ransomware-Gang-Mitglieder wird hier noch mit reingenommen. Ja.

Tim Pritlove
1:57:25
Linus Neumann
1:57:28
Tim Pritlove
1:57:30
Linus Neumann
1:57:41
Tim Pritlove
1:58:02
Linus Neumann
1:58:29
Tim Pritlove
1:58:34
Linus Neumann
1:58:51
Tim Pritlove
1:59:01
Linus Neumann
1:59:02
Tim Pritlove
1:59:03

Sozusagen Operation Jesus died for your sins. Arne möchte gerne verurteilt werden und der Hintergrund ist, er hat ja, Beschlüsse aus einem Ermittlungsverfahren letztes Jahr im August gegen die letzte Generation veröffentlicht und Und hat das bewusst getan, auch wenn es eben ein Gesetz gibt, hier wieder Strafgesetzbuch, 353d, verbotene Mitteilung über Gerichtsverhandlungen, was das unter Strafe stellt. Und er wollte aber bewusst dagegen verstoßen und auch dafür jetzt sozusagen verurteilt werden oder zumindest das jetzt mal vor Gericht klären lassen, was denn nun ist, weil er die Auffassung vertritt, dass hier die Presse quasi ein entsprechendes Veröffentlichungsrecht genießen sollte und das eben in der derzeitigen Regelung nicht der Fall ist. Und jetzt habe ich mir natürlich wieder nicht notiert, welches Gericht jetzt hier gerade konkret zum Einsatz kam. Das Landgericht Berlin. Und ja, die Argumentation von Arne und seinem Verteidigungsteam war halt, dass das sozusagen verfassungswidrig ist. Jetzt gucken wir mal kurz, was dieses Strafgesetzbuch macht, aber es geht konkret um Paragraf 353d Nummer 3. Im Prinzip heißt es hier, mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer die Anklageschrift oder andere amtliche Dokumente eines Strafverfahrens, eines Bußgeldverfahrens oder eines Disziplinarverfahrens ganz oder in wesentlichen Teilen, im Wortlaut öffentlich mitteilt, bevor sie in öffentlicher Verhandlung erörtert worden sind oder das Verfahren abgeschlossen ist. So lautet das Gesetz. Und er wurde aber jetzt von dem Gericht zu einer Geldstrafe von 20 Tagessätzen zu 50 Euro, außenone ist ein Tausi, verurteilt. Allerdings wurde das ausgesetzt zur Bewährung, wenn er also jetzt ein Jahr lang Ruhe gibt und keine weiteren Verstöße begeht.

Linus Neumann
2:01:53
Tim Pritlove
2:01:59
Linus Neumann
2:02:18
Tim Pritlove
2:02:44
Linus Neumann
2:02:59
Tim Pritlove
2:03:00

Nee, den Gefallen haben sie ihm nicht getan, weil das Landgericht einfach der Meinung ist, das sei nicht verfassungswidrig. Schauen wir vielleicht erstmal auf die Argumentation der Verteidigung. Also warum sie der Meinung sind, dass das eben nicht verfassungsgemäß ist. Also in dieser Argumentation. Wurde wohl auch vorgebracht, wie das Ansehen der Justiz spielt ja eine Rolle, dem widersprach die Verteidigung. Es wurde auch darauf verwiesen, dass das EGMR, also der Europäische Gerichtshof für Menschenrechte, sich zu solchen Veröffentlichungspraktiken geäußert habe und sich gegen ein Veröffentlichungstotalverbot ausgesprochen hat. Es wurde ferner argumentiert, dass dieser Paragraf nicht auf Gerichtsbeschlüsse angewendet werden soll. Also hier ist ja von anderen amtlichen Dokumenten nur die Rede und es wurde noch der Vergleich gebracht mit einem Fall, wo auch in einem anderen Fall, aber einer ähnlichen Vorgehensweise, wo also auch entsprechende Dokumente veröffentlicht wurden durch die neue Zeitschrift für Strafrecht, NSTZ. Das ist sozusagen eher ein rechtswissenschaftliches Magazin, wo ein ähnliches Vorgehen war. Ich weiß jetzt nicht genau, was das war. Aber das Gericht sieht es anders und hat also diesen Verweis ans Bundesverfassungsgericht abgelehnt. Das Gesetz sei nicht verfassungswidrig, denn in der Sicht des Gerichtes würde quasi die Nicht-Existenz einer solchen Regelung Schauprozesse bewirken. Das ist sozusagen die Kernargumentation, die auch nicht, Ich nachvollziehen kann, weil dieser Schutz des Verfahrens und des Nichtveröffentlichen eines nicht abgeschlossenen Verfahrens geht ja nicht darum, dass es gar nicht so ist, sondern dass man sozusagen erstmal, das Gericht soll in Ruhe entscheiden können und es soll auch abgeschirmt sein eben von der Veröffentlichung, damit es eben auch nicht durch die Öffentlichkeit beeinflusst werden kann in seiner Urteilssprechung. Das sei gerade in heutiger Zeit sogar noch angemessener denn je, so mit dem Hinweis auf Social Media, entsprechende Aufregungskultur etc., die wir ja alle kennen und weist auch darauf hin, dass ja eine Wiedergabe dieser Informationen durch die Presse sehr wohl möglich sei, Aber eben nur in zusammenfassender und indirekter Rede und eben nicht wortwörtlich und schon gar nicht vollständig, wie das in diesem Fall gewesen ist und wie es ja auch in diesem Gesetzestext festgehalten wird. Also sie meinen einfach Pressefreiheit geht auch ohne wörtliches Zitieren, so ihre Argumentation.

Linus Neumann
2:06:11
Tim Pritlove
2:07:13
Linus Neumann
2:07:14
Tim Pritlove
2:07:15
Linus Neumann
2:07:15
Tim Pritlove
2:07:41

Also das steht offen vielleicht noch zur Argumentation des Gerichts ja, also die haben sich da schon ein paar Gedanken zu gemacht zum Beispiel sagen sie noch, dass so, Also die Problematik der Veröffentlichung dieser Dokumente, speziell bei Ermittlungsverfahren, sei unter anderem, dass eben dort eine... Feststellende Sprache verwendet wird, wie sie das nennen. Also da ist dann nicht so diese typische Formulierung mit, es wird vorgeworfen und es könnte irgendwie sein, sondern innerhalb dieses Verfahrens die einzelnen Parteien, die dazu quasi ihre Statements abgeben, wie zum Beispiel in diesen Ermittlungsbeschlüssen, habe eine feststellende Sprache. Du hast, der hat das getan, die hat das gemacht etc. Und das sei aber auch okay, solange das eben intern bleibt, weil ja die Richter wissen, wie das zu nehmen ist, weil das sozusagen klar ist, dass das sozusagen so formuliert nur relativ zu sehen ist. Wenn man das aber öffentlich zitiert wiederum, würde das eben zu entsprechenden Missverständnissen führen, weil es dann sozusagen ohne diesen Kontext schnell so aussieht, als wären jetzt hier irgendwelche Vorverurteilungen oder sowas vorgenommen worden. Außerdem meinen sie, dass auch dieses EGMR, also das Europäische Gerichtshof für Menschenrechte, dass deren Feststellung, dass es kein Totalverbot geben darf, sehr wohl berücksichtigt worden sei, schlicht weil jetzt hier in diesem Fall auch milde geurteilt wurde. Ich komme gleich nochmal dazu. Denn das EGMR in seiner Formulierung, die ich jetzt nicht gelesen habe, gespeichert ihn zu interpretieren, mir anmaßen würde, eher auf Einzelfälle verwiesen wird. Also es kann nicht immer ein Totalverbot sein, es muss auch in Einzelfällen möglich sein, dass es irgendwie anders ist und das sei hier dann in ihrer Rechtsprechung auch so, von daher würden sie dagegen nicht verstoßen. Ja, und generell wurde Arne dann eben auch sein Vergehen als sehr, sehr gering angesehen, weil er irgendwie in seinem Vorgehen weitgehend okay war. Es war lediglich die vollständige Veröffentlichung dieser Akten, die das Gericht gestört hat. Und daher hat das Gericht Arne auch angeboten, das Verfahren einzustellen und zu sagen, Leute, ist alles nicht so schlimm, du kommst jetzt nicht in den Knast, du musst auch keine Geldstrafe haben, wir bieten dir an, das einzustellen und dann hat Arne gesagt, nö, machen wir nicht, ich will hier ein Urteil haben, entweder ihr verweist das jetzt ans Bundesverfassungsgericht oder ich nehme, wie es kommt.

Linus Neumann
2:10:50
Tim Pritlove
2:10:59
Linus Neumann
2:11:54
Tim Pritlove
2:12:14
Linus Neumann
2:12:23
Tim Pritlove
2:13:44
Linus Neumann
2:13:46
Tim Pritlove
2:16:07
Linus Neumann
2:16:12
Tim Pritlove
2:16:14
Linus Neumann
2:16:14
Tim Pritlove
2:16:15
Linus Neumann
2:16:17
Tim Pritlove
2:16:18
Linus Neumann
2:16:40
Tim Pritlove
2:16:49
Linus Neumann
2:16:59
Tim Pritlove
2:17:10
Linus Neumann
2:17:16
Tim Pritlove
2:17:21
Linus Neumann
2:17:54
Tim Pritlove
2:17:55
Linus Neumann
2:17:58
Tim Pritlove
2:18:00