Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de
Feedback — Status Codes — 38C3 — Sicherheitspaket — Elektronische Patientenakte — Hackerparagraph — Urteil Arne Semsrott — epicenter.works — 13 Jahre LNP
Nach unserem Ausflug in die englische Sprache kehren wir zu unserer Muttersprache zurück und klappern die Nachrichtenlage ab. Nachdem wir durch das Feedback gegangen sind reichen wir noch ein paar Status Codes nach und geben dann aktuelle Informationen zum anstehenden 38. Chaos Communication Congress. Umfangreich diskutieren wir dann das drohende Sicherheitspaket inkl. unserem Dauerbrenner Vorratsdatenspeicherung , die elektronische Patientenakte und die anstehende Änderung des Hackerparagraphen. Außerdem ist ein erstes Urteil im Fall von Arne Semsrott ergangen, der versucht, über den Gerichtsweg die Verfassungswidrigkeit eines Gesetzes gegen die Veröffentlichung von Gerichtsdokumenten zu belegen. Wir besprechen, wie beide Seiten argumentieren und wie es in dem Fall wohl weitergehen wird. Zum Schluß weisen wir auf die finanzielle Notlage von epicenter.works hin und stellen fest, dass wir Logbuch:Netzpolitik mittlerweile seit 13 Jahren produzieren.
https://logbuch-netzpolitik.de/lnp505-bestandteile-einer-bombe24-de
Veröffentlicht am: 1. November 2024
Dauer: 2:19:39
Ich nehm euch eure Macintoshes weg. Ja, ja. Kostet auch Strafe. Wir rauchen in der Einbahnstraße. Hat Google jetzt auch festgestellt. Das ist geil. Also Google hat auf YouTube irgendwie RT und Konsorten, also die ganzen russischen Propagandakanäle gekillt. Und Russland so, voll fies, voll scheiße. Und wir bestrafen euch jetzt. Und hat das schöne Spiel mit dem Reiskorn gespielt. Ist doch irgendeine klassische persische Sage oder so.
Das ist ein deutsches Mathematik-Basiswissen, wenn Potenzrechnung kommt. Und dann wird diese komische mit dem Bauern, der belohnt werden soll. Und dann sagt er, nimmst du mal ein Schachbrett, legst du ein Reiskorn aufs nächste, legst du doppelt so viel. Und dann lacht der Herr und sagt, ach du bist doch ein bescheidener Bauer. Und wie viele Felder hat so eine Schacht 64 da hast du halt 2 hoch 64 und dann bist du glaube ich irgendwo an der Grenze der Anzahl der Atome im Universum oder sowas.
Ah, natürlich, okay, natürlich. Natürlich, oh mein Gott. Jetzt siehst du, warum man mir mit solchen Summen auch einfach, warum man mir solche Summen nicht anvertraut, weil ich damit gar nicht umgehen kann. Ja, so einfach ist das. In Mathe nicht aufgepasst, willst du hier einen von der Potenz erzählen?
Also 2 hoch 64, also die Zahl der Reiskörner, die man sozusagen dann theoretisch auf dieses Schachbrett legen müsste, was natürlich nicht draufpasst, aber die Anzahl, die dabei rauskommt, diese 18 Quintillen, also auf Englisch, auf Deutsch ist das ja mal ein bisschen anders, also dieses bla bla bla mal 10 hoch 19, das ist noch nicht mal die Hälfte der Arrangements, die du an einem 3 mal 3, 3 mal 3 mal 3 Rubik's Cube hast. Herstellen kannst.
Sondern also der ist also der hat keinen Farbunterschied der ist auf allen Seiten Silber, ja, aber der hat quasi, du musst dir vorstellen mit einem normalen Rubik's Cube ist das ja in der Mitte das Ding und dann schiebst du dich drumherum und dann musst du gucken, dass, gelb, blau, grün, rot und so weiter an den richtigen Stellen sind jetzt stellst du dir einen Rubik's Cube vor, indem du diesen Kern, der in der Mitte ist den setzt du jetzt oben links in die Ecke von dem Rubik's Cube, der bleibt aber viereckig und jetzt unterscheiden die sich nicht mehr in Farben, sondern wie weit das jeweilige Teil von diesem Kern entfernt ist, und sobald du den drehst Erinnern.
Nein, der ändert nicht die Farbe, das ist ein ganz normaler Rubik's Cube, der kann nicht die Farbe ändern der ist überall Silber und wenn du den aber jetzt drehst, dann dreht der sich ja nicht um, also drehen sich die Teile unterschiedlich um die Achse. Und dann hast du innerhalb kürzester Zeit ein komplett wirres Ding.
Genau, der verliert sofort seine Form. Und dann musst du nicht mehr also der ist dann wirklich nicht mehr lösbar. Also, weil er halt, ich guck mal, ich such mal, ob ich irgendwas sowas von dem Rubik's Cube, ich glaube, das kann man einfach nur noch als crazy bezeichnen. Also das ist der Mindfuck-Rubik's Cube, weil der halt, also der ist in, ja, das gibt's auch gar nicht im Internet.
Von deinem komischen Silberdienst. Das ist doch so ein Disco. Ich muss sagen, da bin ich ja Puritaner. Was Rubik's Cube betrifft, da verstehe ich ja keinen Spaß. Ich finde alles, was nicht 3x3 und Originalstandardfarben ist, finde ich irgendwie schmerzhaft. Auch diese Vierer-Varianten und so weiter, die funktionieren alle irgendwie nicht. Der 3x3er, der hat einfach die richtige Größe und vor allem ist es auch ganz wichtig, also wenn ihr euch einen Rubikskub kauft oder wenn ihr, jetzt ist ja bald Weihnachten.
Disco. Das, nein, das geht nicht. Also wenn ihr einen Rubik's Cube verkauft, dann bitte, bitte nehmt das Original, weil nur das Original hat einfach die richtige Federung. Das ist ganz wichtig, dass da korrekte Federung drin ist, damit er sich auch immer gut drehen lässt. Weil das Ding ist ja nicht nur genial in seiner Idee, sondern er ist ja auch wirklich extrem gut in seiner physischen Umsetzung gewesen.
Und dann würde ich ihn auch empfehlen, ihn einmal auseinanderbauen, aber nicht um ihn dann wieder richtig zusammensetzen zu können. Das ist natürlich dann auch so ein bisschen der Trick, aber man kann ihn auseinandernehmen mit so ein bisschen Kraft. Kriegt man die Dinger raus, da geht er nicht von kaputt, eben wegen dieser Federn. Und dann mit ein bisschen Vaseline einschmieren. Nicht zu viel, nicht übertreiben, ein bisschen reicht schon. Ganz ein bisschen Vaseline an diese Plastikränder machen und dann wieder zusammenbauen. Zusammenbauen ist einfach reindrücken und dann läuft der so geil, smooth. Es ist wirklich einfach eine Freude. Und dann kann man richtig gut üben. Mittlerweile gibt es auch schnellere Verfahren als die, die ich damals zum Einsatz gebracht habe und die super Profis, die haben natürlich auch noch mal tausend Tricks. Ich weiß gar nicht, wo der aktuelle Rekord beim Rubik's Cube zusammenbauen liegt, aber ich glaube, das ist eher so im Zehn-Sekunden-Bereich. Und das ist awesome. Da gibt es auch so richtig Weltmeisterschaften und Pipapo. Wenig überraschend.
Auf Amazon heißt der Rubik's Cube, den ich habe, Shang-Shu Mirror Cube, wird verkauft als 2x2 und 3x3, also 2x2x2 und 3x3x3 ich würde sagen also das Ding ist, wenn du den also sobald du den zerdrehst, Guck mal, die haben den hier noch nicht mal zerdreht abgebildet, weil der wird automatisch so einfach so, scheiße, du drehst da zweimal dran und sagst, kacke, ich brauche neun.
Wir haben das Thema noch gar nicht erzählt. Also erstmal, warte mal kurz mal, stopp mal. Jetzt machen wir erstmal das Wichtige, nämlich, hier ist Logbuch-Netzpolitik Ausgabe Nummer 505 vom 31. Oktober 2024. Halloween. Wir haben uns auch verkleidet, wir haben auch schon ganz viel Bäuchchen gefressen, die wir draußen den Kindern geklaut haben.
Und in dieser Stimmung in dieser Horror-Stimmung sind wir bereit, euch die Horror-Stories dieser Welt frisch auf den Tisch zu legen, wie ihr es von uns gewohnt seid. Und Google hat auch voll den Horror, weil Russland gesagt hat, ihr habt uns hier unsere YouTube-Kanäle gekillt, jetzt verklagen wir euch. Und jede Woche, wo ihr irgendwie nicht zahlt, verdoppelt sich eure Strafe. Und so kommen sie jetzt auf 200, was ist jetzt? 200 Milliarden, Milliarden, Milliarden, Milliarden Oder auch, jetzt kommt dein Einsatz.
Ja, ich habe auch so ein bisschen meine Zweifel. Ist eh lustig, weil Russland hat ja nun YouTube für ganz Russland gesperrt. Es ist ja jetzt nicht so, dass jetzt irgendwie den Russen irgendwas entgehen würde, weil die haben ja sowieso keinen YouTube mehr. Aber der Rest der Welt soll natürlich in den Genuss der russischen Propaganda kommen. Und da sind sie jetzt ganz zornig und ganz böse und haben den großen Du-Du-Du-Du-Finger, ausgepackt. Das geht ja gar nicht. Und deswegen wird es teuer für Google. Theoretisch auf dem Papier. Immerhin. Also so als Zahlenrechnung und als Spaß für Logbuch- und Netzpolitik taugt es aber auf jeden Fall. vor allem an Halloween.
Ja, darum ging es ja nicht. Es ging ja um Bundesbehörden und sowas. Und in Leipzig sitzt das Bundesverwaltungsgericht. Hat uns Scholz nochmal in die Kommentare gepackt und vorher war das in Berlin. Das haben sie sozusagen aus Dahlem raus exportiert. Und dann habe ich ja noch gewollt, dass mir einer mal erklärt, was eigentlich alle gegen Düsseldorf haben im Pott. Das konntest du ja auch nicht so richtig erklären.
Ja klar. Gerade in einem Bundesland wie NRW und besonders im Ruhrgebiet mit ihrer Arbeitervergangenheit in einem gewissen Stolz dafür, sowie der wirtschaftlichen Probleme aus dem Strukturwandel, passt das kulturell häufig nicht zusammen. Dabei ist Düsseldorf zwar die zweitgrößte Stadt in NRW, allerdings kaum größer als die folgenden Städte Dortmund, Essen, Duisburg, die man alle als klassische Arbeiterstädte assoziiert. Fasst man das Ruhrgebiet mental als eine große Stadt zusammen, ist Düsseldorf winzig. Dabei hilft es auch nicht, dass sich weder Düsseldorf selbst zum Ruhrgebiet zählt, noch vom Ruhrgebiet als Teil dessen anerkannt wird. Dabei liegen Essen und Duisburg als prototypische Ruhrgebietstädte direkt vor Düsseldorfs Haustür.
Deshalb hat Düsseldorf den Ruf einer kleinen, elitären, reichen Insel in einem ansonsten eher maroden und wirtschaftlich schwachen NRW. Viele Einwohner können sich daher nicht mit ihrer Hauptstadt identifizieren. Das erklärt auch den Konflikt mit Körn. Die Stadt passt zusätzlich zu ihrer Größe kulturell besser zum Ruhrgebiet.
Ja, na gut. Musst du wissen. So, jetzt noch kleine Hausmitteilung. Es gab ein paar Probleme, weil Apple macht Ärger. Ich erkläre es ganz kurz nur. Also, Kurzfassung ist, Apple mag bestimmter Audioformate nicht mehr und so wie wir das ausgeliefert haben, nämlich in dem MPEG-4 Audioformat AAC, werden keine Kapitelmarken mehr unterstützen. Wir möchten, dass ihr alle Kapitelmarken habt, die es bei uns kostenlos mit dazu gibt. Wie alles andere auf die Millisekunde genau platziert und wohl beschriftet. Und diese Kapitelmarken sollen euch natürlich auch erreichen und deswegen habe ich alles auf MP3, umgestellt, dabei ist mir allerdings kurzzeitig habe ich etwas übersehen, das dürfte bei manchen von euch vielleicht zu Fehlern geführt haben, nämlich zu dem HTTP-Statuscode 404, das tut mir sehr leid, aber ich habe das glaube ich Oh oh.
Auf der Straße. Trinkotriet oder Feet? Trinkotriet. Und ja, dann könnt ihr einfach einfach nochmal neu abonnieren, dann passt das schon. Also jetzt kommt irgendwie alles in MP3 und ja, ich hoffe, das reicht. Genau und die Status-Codes, unsere tollen HTTP-Status-Codes, ich glaube das ist ein Thema, was alle auch überhaupt nicht interessiert. Oder? Also das war echt so eine Marotte. Jetzt haben wir damit angefangen, jetzt müssen wir das auch durchziehen. Haben aber natürlich die letzten beiden Sendungen das Thema mal wieder überhaupt nicht erwähnt, weil wir halt nicht immer dran denken oder das letzte Mal einfach nicht gepasst hat. Und holen das jetzt einfach nach für euch. Also, wenn ihr auf irgendwas rufklickt und ihr kriegt einen Fehler, 503 im Web.
Ja, dann heißt es, dass da irgendwas fehlt im Internet. Kennt ihr das Gefühl? Ja, also kann nicht verfügbar sein oder es sind gerade so Wartungsarbeiten. Aber das sind auch so Fehler, auf die man selten trifft. Kann aber passieren, dass eine Webseite sagt, ja hier irgendwie 503, weil meistens kommen immer nur obskure Default-Fehler.
Das kann sein, ja. Das wäre zum Beispiel so ein Beispiel. Das System aktualisiert sich gerade und so. 504, was letzte Sendung dran gewesen wäre, heißt Gateway Timeout. Wir hatten ja schon mal Bart Gateway. Das ist ein schönes Reiseziel. Ein Gateway ist so eine Art Zwischenhändler im Internet. Was da jetzt genau die Rolle im Detail dann ist, wenn so ein Fehler kommt, das kann man so oder so sehen.
Du hast nicht sogar schon, wenn du einen PHP-Interpreter oder sowas hinter deinem Nginx hast und der Socket gerade nicht ansprechbar ist, dann würdest du nach Butt-Gateway kommen und in diesem 504, wenn dieses Gateway zwar das Socket aufmacht oder mit dir redet, aber dann nicht innerhalb der angegebenen Zeit mit einer Antwort rüberwächst, dann bist du im Gateway-Timeout.
Ja, oder einfacher ausgedrückt, das womit ihr sprechen möchtet, muss nochmal mit was anderem sprechen, was irgendwo zwischengeschaltet ist und das ist nicht verfügbar. Also ein Gateway, also etwas wo man durch muss, um die Daten zu erhalten, die letzten Endes geliefert werden sollen. Proxyserver, in diese Kategorie, so eine Sachen, also alles was zwischengeschaltet ist. Ja, es ist was zwischengeschaltet. Und wenn das sich nicht meldet und der Server die ganze Zeit… Muss nicht zwischengeschaltet.
Ja, so ist es. Und jetzt sind wir bei 505. Das ist schon wieder ganz interessant, weil 505 ist HTTP-Version-Not-Supported. Also hier geht es quasi auch mal um HTTP selber. Sprich, wenn euer Browser zum Server geht und sagt, hör mal, gib mal, gib mal Ressource, dann wird das in einer, ja, in HTTP formuliert. Aber HTTP ist über die Jahre in verschiedenen Versionen dahergekommen. Fing mal mit 0.9 an, dann gab es 1.0, dann ging das Web so richtig los, dann gab es 1.1, dann fing es an zu funktionieren, dann gab es 2.0, damit sind wir jetzt ganz lange gesegelt. Dann kommt jetzt 3 und 3 macht ganz viele tolle Sachen, so super optimieren, damit es alles schneller klickt und die Werbung besser geladen werden kann, und wenn halt jetzt der Client sagt mit, ich brauche aber mindestens 2 und der Server sagt, 2 kenne ich gar nicht, habe noch nichts von gehört, bin nicht aktualisiert, dann kann er halt sowas sagen wie, ja, kann ich halt nicht und dann gibt es 505. Falls euch das interessiert, ich habe ein schönes Video gefunden auf YouTube. Ich finde das sehr interessant. diese Evolution, wie das sich so entwickelt hat und was da alles so gemacht wurde, ist ein bisschen technischer, aber ist auf jeden Fall ganz gut, habe ich euch in die Show Notes gepackt. Ein kleines Video, das ist erklärt. Mit den HTTP-Versionen. Von mir, für euch. Also nicht von mir, das Video, aber ich habe es für euch rausgesucht.
Die schönen Videos kommen am Ende des Jahres wieder aus Hamburg, wo der 38 C3 stattfinden wird, der 38. Chaos Communication Congress des Chaos Computer Clubs und wir sind alle fleißig in den vielen verschiedenen Vorbereitungen, Content, Design, Location vor Ort. Es ist fleißiges Betreiben gerade und was jetzt auch unter anderem angekündigt wurde auf den CFP, hatte ich ja glaube ich schon mal hingewiesen, was jetzt angekündigt wurde, sind die Vorverkaufsdaten. Es gibt drei offene Vorverkaufstermine, das sind Dienstag der 12. November, Sonntag der 17. November und Samstag der 23. November, jeweils zu unterschiedlichen Zeiten, um für die unterschiedlichen Schlaf-Wach-Rhythmen, mit denen Menschen sich auf diesem Planeten aufhalten, erreichbar zu sein. Denn am Dienstag, den 12. November ist es um 20 Uhr, am Sonntag, den 17. November ist es um 16 Uhr und am Samstag, den 23. November ist es um 11 Uhr. So, was passieren wird ist folgendes. Am Dienstag, den 12. November wird auf einmal unglaublich viele Leute in dieser Warteschlange sein. Das ist wirklich so eine F5-Drücken-Situation und wer da nicht irgendwie in den ersten Millisekunden dabei ist, wird in dieser Phase keines der Tickets kriegen. Am Sonntag wird sich das, dem 17. wird sich das gleich nochmal wiederholen und am Samstag, den 23. Wird folgendes passieren. Das gleiche ist erstmal wieder großer Andrang und dann eideln auf einmal alle raus und dann wird es nachher ein Longtail geben, wo man noch Tickets bekommt. Also man braucht jetzt noch nicht nervös zu sein und nimmt aber bitte einfach an allen drei Phasen teil, um dann eben sein Ticket zu bekommen. So läuft das und bisher... Ich kann verstehen, dass man, wenn man jetzt in der ersten und zweiten Phase kein Glück hatte. Dass man dann in der dritten nervös wird, dass es da nicht klappt, aber letztes Jahr war es dann schon so, dass es noch einige Zeit lang eben Tickets gab, weil der Bedarf jetzt nicht, der Andrang nicht so irre war, dass die alle sofort weg waren. In diesen Phasen werden ja jeweils nur ein paar tausend Tickets verkauft und deswegen ist das normal, dass bei der ersten und zweiten Termin die Tickets wirklich äußerst schnell vergriffen sind, weil eben, wenn jetzt sagen wir mal, da sind 10.000 Leute und fragen an, es gibt pro Phase nur 3.000 Tickets angenommen oder 4, dann hast du eben bei den ersten beiden einen sehr schnell sehr großen Andrang. Also nicht nervös werden, schön die Reise planen. Klappt schon, dann werden auch wieder noch genug Leute abspringen. Wer da wirklich hin will, wird da auch hinkommen. Das sage ich auch zur Schonung meines E-Mail-Postfachs, wo dann immer alle, wir brauchen unbedingt einen Voucher. Es gab noch nicht mal die erste Vorverkaufsphase und du brauchst jetzt schon unbedingt einen Voucher. Lass uns mal bitte gucken, nach der dritten Phase, wenn dann ausverkauft ist, dann kann man mal drüber reden. Genau, das ist aber natürlich auch der Hinweis an alle Engel und so, die ja Voucher bekommen, mit denen sie sich jetzt schon ein Ticket kaufen können, wenn da was nicht passiert, wenn ihr diesen Voucher nicht bekommen habt und obwohl ihr 15 Engelstunden gemacht habt, dann könnt ihr euch da melden und so, klappt schon alles. Ja, damit kann man also den Kongress langsam mal sich darauf einrichten. Gleichzeitig fängt jetzt für uns die Arbeit an, den Content auszuwählen. Und da gibt es dieses Jahr 610 Einreichungen auf irgendwie, sagen wir mal, knapp unter 150 Slots. Das heißt, für jeden angenommenen Talk gibt es drei Ablehnungen. Das heißt, auf jeden Fall, dass die Latte relativ hoch hängt und dass eine Ablehnung viele Gründe haben kann. Aber ich kriege auch regelmäßig so Fragen, meinst du, dass es eine Einreichung wert ist? Und dann denke ich mir so, ja, also wenn du keine Einreichung machst, wirst du auf jeden Fall auch nicht angenommen werden. Also das, ja. Dann gibt es am, ich weiß gar nicht, am 10. November kriegt ihr dann eine Mail, wo irgendwie drin steht, yay, nay. Also ob ihr es ins finale Programm geschafft habt oder nicht. Und dann gibt es noch sechs Tage später ist die Deadline für den Community-CFP. Also es gibt die offiziellen Kongressbühnen, die vom Content-Team kuratiert sind. Und dann gibt es noch einige Community-Bühnen, die auch Speakerinnen und Speakern eine Bühne bieten. Da könntet ihr, also da könnt ihr auch einreichen. Beachtet aber bitte, die Community-Bühnen haben andere thematischen Fokus. Die haben nämlich zum Beispiel die Bereiche Diversity and Inclusion, Hack, Make and Break, Privacy, Anonymity und Decentralization, Open Source and Platform Decay und Sustainability. Also auch dort sind Einreichungen gerne gesehen. Primärer Unterschied zwischen dem Congress-Content und dem Community-Content ist, wer ein Congress-Content-Einreichung schafft, kriegt auch ein Freiticket. Bei den Community-Bühnen ist das nicht der Fall. Also müsst ihr trotzdem noch ein Ticket kaufen. Ja, ansonsten ist auf das Events-Blog zu verweisen. Da könnt ihr euch gerade jetzt so fängt ja die Phase an, wo dann die verschiedenen OCs und unterschiedlichen Inhalte kommen. Das ist glaube ich jetzt auch gerade ganz interessant. Freuen wir uns sehr auf den Kongress.
Ja, da gibt es ja auch so einen feinen Unterschied, also die OCs sind die, sagen wir mal, eher so integraler Bestandteil, also so NOC, Network Operations Center, BOC, Bottle Operations Center, POC, Phone Operations Center, also Basisinfrastruktur und dann gibt es noch, dann gibt es viele Gruppen, die dann so C3, die also Beiträge auch leisten, die als wichtiger Teil der Veranstaltung sind. Aber vielleicht nicht zur Basis-Infrastruktur C3-Auti Autismusgruppe Das ist ein wichtiger, Service, aber keine Basis-Infrastruktur der Veranstaltung Was das Naja, also wird schön Mal mal in Hamburg.
Befindet sich gerade in Absprache, aber ich würde sagen, es ist sehr wahrscheinlich, dass es auch eine, Bühnensituation noch dazu geben wird und auf jeden Fall die Community-Präsenz, vermutlich auch so in diesem Bereich, wo wir letztes Mal waren, aber das ist gerade nicht klar. Aber wird es geben, nachdem ja die Subscribe jetzt gelaufen ist, die ich ja auch angekündigt habe und auch gut gelaufen ist, hat sich sozusagen die, Community da wieder reaktiviert und ist jetzt dann auch auf dem 38C3 präsent, also mit der ganzen, Podcasting, Infrastruktur und dem ganzen Drumherum glitzt jetzt wieder ein bisschen voran, was ganz schön ist.
Das ist eine gute Nachricht. Also völlig überraschend. Also das Plottwist. Wir hatten ja Markus Reuter hier und haben über das Sicherheitspaket gesprochen. Und dann das Sicherheitspaket wurde ja eingebracht von der Ampelkoalition von SPD, Grün und FDP. Nach dem Messeanschlag von Solingen Dann musste auf einmal, hat Nancy Faeser gesagt, hier ist meine Wunschliste an vom Koalitionsvertrag nicht gedeckten Grundrechtseinschränkungen und so weiter. Das möchte ich jetzt hier auf den Weg bringen, das Peitschwells durch den Bundestag. Dann hat der Bundestag gesagt, jo, alles klar, machen wir. Und dann wurde es im Bundesrat gestoppt von der CDU. Und du denkst dir so, hä, was? Wieso wird denn jetzt irgendwie eine völlig überzogene, panische, drakonische Sicherheitsgesetzgebung mit unsinnigen Maßnahmen von der CDU blockiert? Also im Bundesrat, wo du denkst, hä? Was ist denn los? Was ist denn los? ja und das. Cliffhanger, woran hat es wohl gelegen ging der CDU nicht weit genug, weil und da kann man auch wirklich nur sagen danke, danke dass die auch einfach an uns denken Tim wir müssen ja hier mit diesem Podcast auch irgendwie, Aufmerksamkeit gibt neue Themen und so, aber wir brauchen auch so ein paar Säulen wir brauchen so ein paar Säulen. Klassiker also du brauchst einfach so ein paar Zombies die sind einfach nicht tot zu kriegen. Oder die sterben halt ganz erst im Serienfinale. Aber nicht irgendwo in den 500ern.
Alles klar, zack durch. Gebremst haben sie die Pläne für mehr Internetbefugnisse der Sicherheitsbehörden, weil Vorratsdatenspeicherung fehlt. Da bräuchte ich mal so einen passenden Button für. Jetzt hast du einen Zombie. Also die Vorratsdatenspeicherung war schon ein Zombie. Ich glaube, das Thema haben wir in der LNP 001 im Prinzip zu den Akten gelegt und haben gesagt, ja, das wird wahrscheinlich nochmal kommen. Das werden sie nochmal versuchen. Jetzt war der Moment, Und jetzt muss es, jetzt können Bundestag und Bundesregierung noch einen Rettungsversuch im Vermittlungsausschuss machen, der Vermittlungsausschuss. Aber es ist, also ich meine, also damit hätte ich jetzt wirklich nicht gerechnet, dass die CDU das Ding im Bundesrat blockiert, weil es ihr nicht weit genug geht. Also das ist, also manchmal.
Wir hätten es ja lieber selber eingereicht, dass das jetzt hier irgendwie der Ampel geschrieben wird, dass die jetzt hier was tun, sondern wir behaupten jetzt erstmal, die tun ja nicht genug und deswegen packen wir wieder unseren alten Käsekram aus und dann, geht das in die Vermittlung und dann sagen sie, ja, okay, passt schon, ihr habt jetzt hier irgendwie ein Wort von uns übernommen und dann sind wir auch ruhig. Ja, also so oder ähnlich wird es laufen.
Und dann kannst du dir, jetzt kommen natürlich die schönen Artikel zur Vorratsdatenspeicherung, wo jetzt wieder die klugen Leute sich zu dem Thema äußern und sagen, es kann ja wohl nicht sein, dass wir das nicht haben. Ein wunderschöner Artikel von Jörg Diehl. Es ist laut Aussage des Spiegels, der Spiegelleitartikel von Jörg Diehl. Jörg Diehl echauffiert sich darüber. Also er hat Geschichte, Germanistik und Politikwissenschaft studiert und ist seit 2007 bei Spiegel online. War mal stellvertretender Ressortleiter Panorama oder ist es immer noch. Und jetzt beschwert er sich, dass die Vorratsdatenspeicherung in Deutschland nicht gibt. Und er, ja, irgendwie überall und im Internet sind die Kriminellen und so. Und. Ich finde an diesem wunderschönen Punkt, also ich zitiere mal einfach nur, weil wir jetzt wieder so, im Bereich der Diskussionen über die Vorratsdatenspeicherung sind so, die entgleisen so immer so richtig schön. Und da macht der Jörg Diehl auch direkt den Anfang und schreibt, IP-Adressen sind von herausragender Bedeutung, wenn Polizei und Justiz ihre Arbeit machen sollen. Sie sind wie Anschriften von Internetnutzern, Kennzahlen, mit denen User identifiziert werden können. Das ist auch schon mal falsch, man kann IP-Adressen im Prinzip mit Kennzeichen vergleichen, die sich regelmäßig ändern. Also worum es bei der Vorratsdatenspeicherung geht, ist, wenn du bei dir von deinem Telefon ins Internet gehst oder von deinem DSL-Anschluss zu Hause, dann hat dein Anschluss eine Adresse, also ein Heimanschluss, der hat im Prinzip eine IP-Adresse, die ändert sich aber so ungefähr jeden Tag und welche IP-Adresse dein Anschluss hatte, wird relativ schnell gelöscht beim Provider. Das heißt, wenn du die Zuordnung von IP-Adresse XY zu Anschluss, hast du nicht gesehen, von Tim Pridlaff, diese Zuordnung wird relativ schnell wieder gelöscht. Und dadurch bist du nach relativ kurzer Zeit im Internet wieder anonym. Ja. Aber ganz grundsätzlich bist du es natürlich nicht und das sehen wir ja auch daran, dass regelmäßig Leute von der Abmahnindustrie Posten nach Hause bekommen, weil sie in irgendeinem Torrent waren. Das heißt, die Abmahnindustrie fragt dann ganz schnell an, holt sich die Befugnisse dafür, holt sich die Auskunft und schreibt dir dann einen Brief und verlangt 1000 Euro, weil du irgendwie einen Film runtergeladen und dabei auch verteilt hast. So, also die IP-Adresse, es geht um die IP-Adresse Anschlusszuordnung bei der Vorratsdatenspeicherung. Die Idee bei der Vorratsdatenspeicherung ist, diese Mindestspeicherdauer der Zuordnung von IP zu Anschluss- oder Teilnehmerkennung höher zu setzen, sodass länger eine Deanonymisierung und damit Anschlussfeststellung möglich wird. Warum ist das so ein Problem? Nun ja weil du. Das sagte, glaube ich, sogar der damalige Vorsitzende des Bundesverfassungsgerichts selber, der Papier, wo ein Druck ist, da sammeln sich die Schweine. Wenn du nämlich diese Menge an Zuordnungen hast, dann werden da einfach sehr starke Begehrlichkeiten geweckt und es ist sicherlich nicht im Interesse einer freien Gesellschaft, wenn jede Person langfristig auflösbar ist. Also wenn bei uns im Logbuch Netzpolitik irgendjemand einen Quatschkommentar schreiben würde, dann steht da eine IP-Adresse drunter und dann wird es uns nicht gelingen, da eine Strafanzeige von so hoher Bedeutung draus zu machen, dass wir dieser Person am Ende anhand der IP-Adresse haperhaft werden und ich denke, das ist auch in den meisten Fällen in Ordnung. soll. Und jetzt sagt, jetzt muss Jörg Diehl also erklären, warum will man also IP-Adressen speichern. Das erste Beispiel, was ihm einfällt, ist, mit ihrer Hilfe von IP-Adressen lässt sich nachträglich nachvollziehen, wer im Netz Bestandteile einer Bombe bestellt. Und dann denke ich mir so, okay, wenn jetzt einer im Netz Bestandteile einer Bombe bestellt, habe ich erst mal Fragen. Erstens, wieso kriegt der die geliefert? Gehe ich auf bestandteileinerbombe24.de? Ja? Also, es ist ja schon mal irgendwie, ne? Und würde ich denn in einem solchen Falle nicht eventuell so als Sherlock Holmes auf die Lieferadresse gucken und sagen, Tim Prittler hat Bestandteile einer Bombe gekauft, ne? Also, es ist ja nun wirklich nicht so... Nicht so naheliegend, das nach der IP-Adresse zu machen. Und das so entgleitet die Debatte zusehends. Er sagt dann auch noch irgendwie, also er gibt auch noch Beispiele, die vielleicht halbwegs sinnvoller sind, strafbare Hasskommentare postet, einen Auftragskiller angeheuert oder Missbrauchsmilder hochgeladen hat. Also ein also. Also strafbare Hasskommentare, ja, das wäre halt zum Beispiel, wenn jemand bei Logbuch Netzpolitik mit einem relativ offenes Posting, man muss dem wie eine E-Mail-Adresse angeben, die wird aber nicht kontrolliert, wenn da jetzt ein strafbarer Hasskommentar gepostet würde, würde er bei uns im Zweifelsfall in die Moderation rasseln, wir würden den Löschen-Thema erledigt. Auftragskiller anheuern geht bei uns nicht, also auf Logbuch Netzpolitik geht das nicht, ist kein Angebot, das wir haben. Ist aber auch in weiten restlichen Teilen des Internets kein Angebot, das zur Verfügung steht. Es gibt so ein paar Angebote im Darknet. Da siehst du aber natürlich auch weder die IP-Adresse des anbietenden Servers noch des Auftragskillers, beziehungsweise der Polizei, die das Angebot macht, um zu gucken, wer so doof ist, irgendwie übers Internet jemanden bestellen zu wollen. Und also auch da wirklich ein, also ich meine, stell dir mal vor, du bist so Auftragskiller oder so, boah, wer hat dir angeheuert, da ist die IP-Adresse, ach scheiße, jetzt kann man nicht mehr rausfinden, wer es ist. Also es ist auch unglaubliche Beispiele oder Missbrauchsbilder hochgeladen hat, ja, auch da stimmt der Sachverhalt nicht wirklich, ne, wenn du jetzt dich anschicken würdest, bei Facebook Missbrauchsbilder hochzuladen und dort in die NECMEC-Detektion rasselst, dann hat Facebook natürlich in Echtzeit die Möglichkeit, das anzuzeigen. Dann geht das auch schnell genug, um deine IP-Adresse zu demaskieren. Das ist also. Wirklich, also anhand dieser Beispiele siehst du schon, dass der Rest der Debatte jetzt auch nur noch unheilvoll verlaufen kann. Da ist man dran gewöhnt, dass die Debatten so geführt werden. Es wird in Deutschland, ich weiß nicht, wann erstmals diese Idee der Vorratsdatenspeicherung diskutiert wurde, das wird wahrscheinlich so 2008, 9, 10 oder so gewesen sein. Kannst du mal gucken.
Seit 20 Jahren wird das diskutiert, ungefähr auf dem Niveau, was hier in diesem Artikel auch geführt wird. Und dann hast du da eine Umfrage zu, wie der Spiegel das dann so macht, wo dann irgendwie, was meinen Sie, brauchen wir das? Also auch schön suggestiv und dann kannst du dir das Ergebnis anschauen, bei dem Artikel sagt dann zwei der Leute ja und ein der Leute nein. Wenn jetzt der Artikel nicht so einen Quatsch bezeichnen würde, dann als Beispiel nennen wir, dann wäre die Umfrage anders.
Jetzt muss ich natürlich schon sagen, also die Vorratsdatenspeicherung, es ist teilweise natürlich ärgerlich, wenn ich jetzt so im Rahmen meiner beruflichen Tätigkeit bei irgendwelchen kleineren Angelegenheiten Forensik mache und dann feststelle, okay, da finde ich eine IP-Adresse, die war der Deutschen Telekom vor sechs Monaten mal zugeordnet. Und ich kann jetzt nicht mehr herausfinden, wer das war. Ja, aber das würde ich jetzt nicht im Rahmen der Terrorismusbekämpfung oder so. Also es ist... Also das, was schwere Verbrechen sind, findet, und das gleiche übrigens bei der Chatkontrolle, das, was schwere Verbrechen sind. Findet schon längst nicht mehr da statt, wo IP-Adressen die notwendigen Merkmale zur Aufklärung einer Straftat sind. Ja, wer einen Auftragskiller anheuert, macht das im Darknet. Wer Bilder tauscht, die Verbrechen dokumentieren, macht das nicht über seinen Telekom-DSL-Anschluss, ohne dabei irgendwie Tor zu nutzen. Es ist einfach wirklich ein bisschen an der Realität des kriminellen Vorgehens vorbei argumentiert, dass Menschen so agieren würden. Wenn jetzt jemand auf Twitter strafbare Hasskommentare postet oder auf Facebook, dann identifizierst du die Person über ihre E-Mail-Adresse, die sie da angegeben haben müssen, um sich zu melden oder ihre Handynummer, die Facebook irgendwie denen abgeluchst hat. Das ist wirklich, es sind wirklich selten IP-Adressen jetzt, insbesondere bei den Straftaten, die Jörg Diesig hier ausgesucht hat, das woran es scheitert. Das ist einfach nicht die Realität. Es ist sie einfach nicht. Und er zitiert dann auch wieder, die Polizei sagt, sie könnte viel mehr aufklären. Das ist ja auch wieder lustig. Also wenn die Polizei behauptet, an dem und diese und jene Straftat konnten wir nicht aufklären, weil wir die IP-Adresse nicht auflösen konnten. Dann stellt sich ja immer noch die Frage, wenn du jetzt aufgelöst hättest, hättest du dann den Täter gefunden? Wird ja dann so fest davon ausgegangen. Also da gibt es ja dann auch tausend Fälle von Abmahnungen. Abmahnung, weiß nicht, war irgendeiner im Airbnb und hat da was gemacht oder man findet dann am Ende Schadsoftwareinfektion auf der IP-Adresse oder dahinter verbirgt sich ein Internetcafé oder ein offenes WLAN und was nicht alles. Also auch kann sein, kann aber auch nicht sein.
Nein, also die meisten IP-Adressen aus dem Pool der DSL-Anschlüssen gegeben wird. Bei einem DSL-Anschluss kriegst du eine eigene IP-Adresse. Mobilfunk bei weitem nicht. Da hast du Carrier-Grade-Nut. Das heißt, in dem Fall müssten die Anbieter nicht nur die IP-Adresse, die sie dir zuweisen, speichern, sondern da gehen mehrere Clients über eine IP-Adresse raus und sie müssten auch noch speichern den ausgehenden Port und den Zielport. Also du hast keine eigene IP-Adresse notwendigerweise im Mobilfunk.
Doch klar, natürlich ist es das. Also, sorry, genau. Natürlich ist es möglich, über die IP-Adresse identifiziert zu werden. Klarer Fall. Genau deswegen soll die ja auch nicht so lange gespeichert werden. Was nicht der Fall ist, ist, dass in schweren Verbrechen wie dem Bestellen einer Bombe unter Bestandteil einer Bombe24.de oder dem Posten eines Hasskommentares oder Bildertausch, dass da in großer Menge Strafverfahren ins Nichts führen, weil die IP-Adresse nicht mehr zu unbeißen ist. Das entspricht einfach nicht dem Vorgehen der Kriminellen. Die haben sich seit 20 Jahren weiterentwickelt. Und die, also wir sehen es doch hier, also wenn wir uns das anschauen, das BKA nimmt einen Hidden Service oder nicht das BKA selber, aber diese Zusammenarbeiten der Polizeibehörden über internationale Grenzen hinweg, nehmen einen Hidden Service nach dem anderen hoch, wo illegale Foren betrieben wurden. Deutschland im Deep Web war so ein Fall wir haben ja ungefähr jedes halbe Jahr irgendeine Kinder, sonst was Börse oder was auch immer aber es sind immer Systeme die irgendwie auf Tor basieren und Tors einziges Ziel ist es IP Adressen zu verstecken ja und wenn du jetzt irgendwo ein. Eine Forensik machst, was meinst du, wie oft du da auf eine IP-Adresse stößt und dann stellst du fest, es ist ein Tor-Exit. Weil auf der anderen Seite jemand saß, der halt nicht doof ist und der auch nicht dem Braten traut, dass in der Zeitung steht, die Telekom speichert nur eine Woche deinen Anschluss dazu. Ja, also Kriminelle haben sich weiterentwickelt, und sie nutzen Anonymisierungstechniken. Selbstverständlich. Ja. Also es wäre genau so, so sinnvoll zu fordern irgendwie, dass wir eine biometrische Massenüberwachung in jeder Bank brauchen, damit wir demnächst die Bankräuber erkennen können. Und dann kommen die halt mit einer Maske. Das ist halt so. Am Ende hast du aber die biometrische Massenüberwachung der gesamten Bevölkerung und das ist ja genau der Grund, warum die Vorratsdatenspeicherung eben auch immer wieder scheitert, weil man sagt, wir möchten diesen öffentlichen Raum des Internets, auch in einer gewissen Form anonym oder zumindest pseudonym halten, damit die Menschen dort nur im Notfall überhaupt identifiziert werden können anhand der IP-Adresse. Das geht natürlich, diese Gesetzgebung wird auch immer weniger notwendig, wo mit der Zentralisierung dessen, was Menschen unter Internet verstehen. Strafbare Hasskommentare, Wie viele Leute hat inzwischen die Renate Künast da verklagt, weil die auf Facebook unter ihrem bürgerlichen Namen irgendwelche schlimmen Beschimpfungen oder Unwahrheiten über sie behauptet haben. Ich weiß nicht genau, was das ist. Da gibt es irgendeine komische Sache, gegen die sie da die ganze Zeit vorging. Und auch sicherlich zu Recht vorging und auch ohne Probleme, weil es eben nicht so ist, dass es am Ende an der IP-Adresse hängt. Insbesondere nicht bei den Straftaten, die ihr da zitiert. Aber ja, es gibt sicherlich auch Fälle, und ich habe es ja gerade selber gesagt, aus meiner beruflichen Tätigkeit auch, wo man dann mal an einer IP-Adresse scheitert, aber das sind keine schweren Verbrechen. Also niemand ist so, oder sehr wenige Leute sind so doof, schwere Verbrechen einfach ungeschützt von einer unmaskierten IP-Adresse zu begehen. Du kannst keinen Podcast hören, wo nicht irgendeiner früher oder später dir Werbung für irgendeinen kommerziellen VPN-Anbieter ins Ohr säuselt. Außer unseren. Und insofern, das hören dann auch die bösen Leute. Naja. Ich fand es auf jeden Fall, unterhaltsam und einen schönen Plottwist, dass die CDU das Sicherheitspaket in Teilen gestoppt hat.
Ja, das war jetzt auch eine, also am 15. Januar erhält jede gesetzlich Versicherte eine eigene elektronische Patientenakte, wenn sie denn nicht widersprochen hat. Die Widersprüche befinden sich in einem, glaube ich, niedrigen Prozentbereich und ja, das soll jetzt ausgerollt werden. Und jetzt habe ich mal, gab es einem vom Fraunhofer SIT, also Fraunhofer Institut für Sicherheit in der Informationstechnik, die haben das EPA-Konzept nach Schwachstellen untersucht. Und das ist sehr lustig, weil ich habe eine Google-Suche zu dieser, Veröffentlichung, ein paar Überschriften. Eine Überschrift lautet, Forscher finden 21 Schwachstellen im EPA-Konzept. Auf die gleiche bezieht sich, Fraunhofer SIT bestätigt, EPA für alle ist sicher. Und Fraunhofer SIT bestätigt, EPA für alle ist sicher ist die Headline der Gematik, die die EPA entwickelt. Also die Gematik ist dieser Zusammenschluss, der die Gesundheits-IT da basteln soll. Und. Also irgendwo dazwischen scheint ja die Wahrheit zu liegen. Was ich jetzt sehr schön finde, ist wie sich das Fraunhofer SIT dieser Sache genähert hat. Erstmal haben die gesagt, das ist so viel Papier, damit trainieren wir jetzt erstmal einen GPT. Also die haben LLL genommen und haben das diese haben das die Dokumentation lesen lassen.
Ja. Das ist das Gematik GPT und haben dann das dem Ding Fragen gestellt und haben sich beantworten lassen, ob das eine gute Antwort darauf hatte oder nicht. Also gar nicht so ein schlechter Ansatz machen. Also der bietet sich ja wirklich an, wenn du irgendwie ein Konvolut an Text hast. Und das haben die also hier in diesem Fall getan und dann haben sie quasi versucht, diese Infrastruktur und das Sicherheitskonzept zu verstehen, haben dann so Angriffspfade gemacht, wie kommt man denn da dran und welche Schutzmaßnahmen gibt es. In diesem System kommen sie auf hoch eingestufte Schwachstellen in vier Bereichen. Ich will die jetzt mal gleich so ein bisschen durchsprechen, aber es ist sehr interessant, also die haben von einem GPT erstmal die Doku lesen lassen und dann haben sie so ein sehr ausführliches Threat-Model gemacht, wo dann so alle möglichen Akteurinnen und Akteure beschrieben werden und dann werden die quasi klassifiziert. Und was ich sehr schön fand, ist da die Bezeichnung der Haktivisten. Also Haktivisten verfolgen politische Ziele und wollen durch öffentlichkeitswirksame Aktionen, wie das Defacement von Webseiten oder das Veröffentlichen erbeuteter Daten, Aufmerksamkeit erregen. Ihre Ziele sind auf politisch motivierte Einrichtungen oder Unternehmen beschränkt. Okay. Aktivisten haben meist geringe finanzielle Mittel, können sie jedoch in losen Gruppen organisieren und technisches Wissen aufbauen. Ihre Angriffe auf das EPA-System würden zwar negative Auswirkungen auf die medizinische Versorgung haben und entsprechend bei der Mehrheit der Bürger auf wenig Verständnis stoßen. Dennoch ist die EPA ein politisch relevantes Thema und nicht alle Aktivisten stehen einer elektronischen Patientenakte im Allgemeinen oder in der konkreten Umsetzung im Speziellen positiv gegenüber. Nicht alle Aktivisten, das ist eine supergeile Beschreibung. Daher kann das eigene politische Interesse genügen, um Angriffe durchzuführen. Der Aufwand für solche Angriffe ist hoch. Dennoch ist nicht auszuschließen, dass sie nach Sicherheitslücken suchen, um das System zu diskreditieren oder bei entsprechender Gelegenheit, zum Beispiel Zugriff auf kompromittierte Drittsysteme, auch Schaden verursachen. In Summe wird die Relevanz von Haktivisten als Mittel eingeschätzt. Ich glaube, das gibt einen ganz guten Eindruck dafür, wie diese Leute da gearbeitet haben.
Also die Frage, wie du diese Frage beantwortest, und das ist bei so einer Sicherheitsanalyse das Entscheidende, ist, was du denn als Gefahr definierst und was nicht. Zum Beispiel haben sie gesagt, staatliche Akteure sehen sie nicht im Scope. Und quasi diese Scope-Definition einer Sicherheitsanalyse ist relativ entscheidend. Wenn du jetzt sagst, Schäden für die Gematik, dann sind im Zweifelsfall Aktivisten das Einzige, was dem Ding wirklich schaden wird in naher Zukunft. Wenn du sagst Schaden für Patientinnen, dann müsstest du sagen, die Gefahr von Haktivisten wird als absolut niedrig eingeschätzt, weil die werden sicherlich nicht den Patientinnen schaden, weil sie ja der Gematik schaden wollen würden oder ihre Fähigkeiten unter Beweis stellen, sicherlich aber nicht sagen, ich bin hier ein Haktivist und ich drohe jetzt mit der Veröffentlichung von Gesundheitsdaten von Einzelnen. Das wären ja dann Kriminelle. Also du musst dir vorstellen, da ist eine ganze Reihe an Akteurinnen und Akteuren, die dann da so modelliert werden. Also das ist der Teil von dieser Bedrohungsanalyse, wo du im Prinzip die unterschiedlichen Akteure klassifizierst. Da gibt es auch viele andere. Wird dann auch gesagt, Innentäter. Innentäter ist jemand, der im Krankenhaus arbeitet und darauf Zugriff hat. Dann wird auch überlegt, welche Relevanz hat diese Person. Also ich will einfach nur, fand das mal als Teil, als Ausschnitt aus diesem Bericht ganz interessant, wie sie so schreiben. So, kommen wir mal zu... Den als hoch eingestuften Schwachstellen, die beziehen sich auf vier Themen. Ich fasse die mal zusammen und komme dann zu Details. Die Anbieter des Aktensystems haben eine zu große Zeitspanne, um Schwachstellen an Wochenenden und Feiertagen zu bewerten. Das betrachtet das Fraunhofer als hohe Schwachstelle. Es fehlt eine klare Rollentrennung der Mitarbeiter beim Umgang mit den Backups, der Masterkeys zur Ableitung der Datenpersistierungsschlüssel. Es fehlen Maßnahmen zur Rollentrennung von Mitarbeitern der Betreiber, um Angriffe auf die Verfügbarkeit der Akte zu verhindern. Und es fehlen Maßnahmen für einen sicheren Entwicklungsprozess bei den Herstellern des Aktensystems. Ich gehe da nochmal im Detail drauf ein. Denn sehr wichtig zu sagen ist, hier wird in keiner Form auf die technische Implementierung eingegangen. Das ist relativ wichtig zu wissen, wenn jemand sagt, es gibt 21 Schwachstellen im Konzept oder es gibt sechs hohe oder vier hohe oder wie viele auch immer. Das ist quasi an dem Sicherheitskonzept und nicht in irgendeiner Form die technische Implementierung, die da geprüft wurde. Da wurde einfach keine Aussage drüber getroffen. So, schauen wir uns mal die als hoch bewerteten Schwachstellen an. Sie sagen also, wenn eine Schwachstelle gefunden wird und bewertet werden muss, also gesagt werden muss, was ist denn jetzt das Risiko dieser Schwachstelle und das fällt auf ein Wochenende oder an Feiertage, dann gibt es bis zu 72 Stunden Zeit, bis diese Bewertung vorliegen muss. So und dann sagen sie sie verlangen dann also kürzere Fristen und einen entsprechenden Notdienst, Damit also, wenn jemand eine Schwachstelle findet, die sofort bewertet wird und dann potenziell geschlossen wird. Jetzt kannst du dir aber überlegen, so häufig werden jetzt nicht unbedingt Schwachstellen gefunden werden.
Ja, komme ich gleich zu. Dass du jetzt dann irgendwie 24-Stunden-Schichten machst oder so. Aber es ist halt so eine prozedurale Sache. Es hat nichts mit der technischen Implementierung zu tun und nichts mit tatsächlichen Angriffsszenarien. Es ist einfach nur so, wenn jemand was findet, da steht 72 Stunden, das ist zu lang. Kann man auch sagen, von mir aus ist das auch zu lang. Aber nur damit jetzt hier keiner denkt, die hätten eine technische Schwachstelle gefunden oder so. Dann keine Rollentrellung für die Leute, die Zugang zum HSM haben und den Leuten, die die Masterkeys kennen. Also ein Hardware-Security-Module ist im Prinzip so ein Schlüsselspeicher und in diesem Fall muss ich mir vorstellen, wenn das HSM ist, ist ein Gerät, indem man kryptografische Schlüssel speichert, die es dann anwenden kann, aber nicht preisgibt. Und deswegen, wenn du das HSM kaputt machst, ausziehst oder dann einen Knopf dran drückst, da hast du einen Knopf dran, kannst du drücken, dann löscht der alle Keys. Deswegen baut man das normalerweise in einen Käfig, damit keiner den Knopf drückt. Aber theoretisch kann es auch sein, dass irgendwie einer sagt, scheiße, die Bullen, dann drückst du den Knopf am HSM, dann löscht das die Keys und dann ist es vorbei. Dann sind alle Daten weg. Und dann sagen sie jetzt hier...
Naja, es wäre dann ein HSM, ist dann wieder nur für einen Teil zuständig oder so. Aber die Idee eines HSM ist... Ich kann das relevante Schlüsselmaterial an einer Stelle aufbewahren, das HSM gibt es nicht preis und da ist ein Knopf dran, um das zu löschen und dieser Knopf ist dafür da, dass, ja, wenn die Bullen kommen oder, ja, sorry, oder irgendjemand anders. Oder irgendjemand anders. Und jetzt beklagen sie hier, dass es keine Rollentrennung gibt, dass es also die Personen mit RZ-Zugang, die das ISM löschen können und die Personen, die für die Masterkeys zuständig ist, können die gleiche sein. Also da steht nicht drin, das müssen zwei unterschiedliche Personen sein. Und deswegen könnte eine Person beides gleichzeitig zerstören und dann werden die Daten wirklich weg. Weil du hast natürlich den HSM Master Key, den bewahrst du irgendwo nochmal auf, den schreibst du dann irgendwie mit so einem, mit einem.
Um das Ding wieder herzustellen, diese HSM Du hast dann irgendwie das HSM, meistens generiert das einen Schlüssel, gibt dir davon eine verschlüsselte Kopie und den Key, den du dafür brauchst, um dem HSM zu sagen hier ist dein verschlüsselter Schlüssel, entschlüssel dir den mal hier ist der Key, den ich dazu habe und dann musst du so Scherzchen machen, wie irgendwie besonderes Papier nehmen, was nicht zerfällt und dokumentenechte Stifte, und dann schreibst du das halt auf ein Blatt Papier, weil diese Schlüssel und so weiter und so fort. Alles so Dinge, die sind schon hinter mir. Aber gut. Und das jetzt darf die Person, die zum HSM darf, dürfte gleichzeitig auch für den Masterkey auf Bewahrung zuständig sein. Und jetzt sagen sie, das ist ein Problem, weil jetzt könnte einer quasi, der könnte den Masterkey wegwerfen und das HSM kaputt machen. Dann sind die Daten wirklich weg. Drittes Problem, der Innentäter, ein Innentäter, der also zum Beispiel jemand, der ins RZ darf oder hohe administrative Rechte hat, kann das Access Gateway oder zentrale Komponenten ausschalten. Ja, so ist das. Also, und jetzt verlangen sie, dass ein einzelner Mitarbeiter nicht ausreichend Rechte hat, alle Komponenten herunterzufahren und oder nicht physisch an alle herankommt. Ja, damit jetzt nicht eine Person, also sie sagen im Prinzip, wir möchten nicht, dass eine Person in der Lage ist, das Ding auszuschalten. Daran erkennst du, Verfügbarkeit ist denn offensichtlich ein sehr hehres Ziel. Weil ich halte es jetzt für relativ unwahrscheinlich. Oder sagen wir mal so, in dem Fall, wo man wirklich sagt, das Ding muss einmal alles auf einmal ausgeschaltet werden, ja, dann wird es natürlich eigentlich auch, dass das passiert. Ich würde also nicht, also meine Bedrohung wäre jetzt nicht unbedingt, dass jemand das scheiß Ding am Tag abschaltet. Aber für die ist das hoch. Und dann sagen sie.
Ja, ich möchte nur mal so ein Gefühl dafür geben, von was für einer Art Schwachstellen wir hier reden, weil ich kriege ungefähr drei E-Mails am Tag. Linus ist die EPA sicher. Oder soll ich da jetzt widersprechen? Ja und diese, also die Frage, ist das jetzt sicher oder nicht, die lässt sich nie sinnvoll beantworten. Weil die Frage ist immer, wogegen soll es denn sicher sein? Geht es dir um die Vertraulichkeit? Geht es dir um die Verfügbarkeit? Geht es dir um die Integrität? Und wer sind deine Angreifer? Deswegen auch gerade hier die Schilderung von Aktivisten und Innentäter und hast du nicht gesehen und Nancy Faeser und der Russe, aber der Russe spielt keine Rolle. Den haben wir mal out of scope definiert.
Genau, also ja, ich glaube, das würde ja schon alles unter Security fallen, weil ja Security, Availability, Confidentiality, Integrity ist. Und dieser Aspekt, wir möchten nicht, dass ein Mensch die Macht hat, hier zentrale Komponenten alle auszuschalten, das ist dann eben Availability und würde man jetzt klassisch unter Informationssicherheit führen. Und dann sagen sie ja, wenn ein Zulieferer, einen unsicheren Software Development Lifecycle hat, also irgendwie wenn da unsichere Praxis herrscht, wie das Ding entwickelt wird, wie könnte man sich das vorstellen, das kann ja gar nicht sein, kann dort unbemerkt eine beliebige Änderungen am Code vorgenommen werden und deswegen verlangen sie Vorgaben für die Zulieferer hinsichtlich der Geräte, der Prozesse, dass dann zum Beispiel die Open-Source-Komponenten reviewt werden müssen, damit da nicht irgendwelcher Open-Source-Krempel reingeknallt wird und dann verlangen sie, dass die eine S-Bomb machen. S-Bomb ist richtig geil. Software Bill of Materials. Das ist etwas, was so ein bisschen modern wurde. Eigentlich ... Als diese Log4j-Schwachstelle war. Wir erinnern uns, Log4j war die Logging-Library, die in Java sehr verbreitet ist und wo irgendwann ein Lasergehirn die Idee hatte, dass man quasi in das Log selber aktive Inhalte schreiben kann, die dann von der Logging-Library interpretiert werden. Was also eigentlich die Definition von einer Code-Injection war, ist. Und dann hattest du diese Situation, dass es auf einmal überall auf dieser Welt Software gab, die irgendwie geloggt hat, die unter Umständen für dieses Logging Log4J verwendet hat. Und dass es dann ein lustiger Spaß war, aktive Befehle zum Beispiel irgendwo reinzuschreiben, wo sie potenziell von irgendjemand anders gelockt werden und dann festzustellen, dass dieser aktive Inhalt irgendwo in der Kette von irgendeiner Infrastruktur von Log4j dann interpretiert und umgesetzt wurde. Dann wurden auf einmal alle nervös und sagten, oh scheiße, da gibt es dieses Log4J jetzt müssen wir irgendwie mal rausfinden ob wir das denn bei uns verwenden und dann gab es aber keine Datenbank, in der drin stand hier sind unsere. Softwarekomponenten, unsere Geräte mit Log4J Keiner wusste Bescheid Warum auch, ist eine von ein paar Millionen Open Source Libraries, die irgendeiner irgendwo reingeknotet hat oder auch nicht und das gab es halt nicht. Und dann haben sich die Leute gesagt, ja okay, dann müsst ihr jetzt eine Software Bill of Material machen. Und das stellen die, also eines S-Bomb wäre also so, du bist da so als äh, sagen wir mal als Betreiber, ähm, musst du dann für deine Software, äh. Eine Liste machen in meiner Gematik-Software, die wir hier beistellen, die wir hier zur Verfügung stellen, sind folgende Open-Source-Libraries in folgenden Versionen drin. Und in der anderen Version sind die in der Version drin und in der anderen Version sind die in der Version drin. Ich bin aber jetzt nur Zielüferer von einem Gerät. Jetzt kannst du dir mal vorstellen, wenn du das mal auf so eine größere Ebene ziehst, sagen wir mal ein Krankenhaus. Krankenhaus müsste dann also hingehen und sagen, okay, wir haben unsere Software Build-of-Materials. Wir haben Microsoft Windows im Einsatz, zack, bumm. Wir benutzen außerdem, keine Ahnung. WiFi, einen WiFi-Controller von Ubiquity mit folgender Software und Ubiquity hat uns gesagt, da sind folgende Open-Source-Komponenten drin. Jetzt kümmern wir es in unsere Software-Build-of-Material. Und wenn dann jetzt irgendeiner sagt OpenSSL in Versionen, hast du nicht gesehen, 1.2 hat eine Schwachstelle, dann kann ich in meine S-Bomb gucken und kann sagen, sag mal, wo ist denn hier alles OpenSSL drin? Dann sagt er, auf folgenden 84 Web-Servern hast du das, auf folgenden 795 Access-Points auf deinem Controller, auf dem Web-Interface von deiner Heizungssteuerung und in deinem alten Firefox-Browser auf der Linux-Büx unten im Keller. Also eine super Idee, vollkommen unrealistisch, dass du das in einem kleinen Unternehmen vollständig hinkriegst und auch noch aktuell hältst. Aber okay. Wäre nicht schlecht, wenn man es hat und ist auch nicht blöd, das zu fordern. Das Ding, sowas zu haben und zu pflegen, du musst ja jedes Mal, wenn du ein Update gemacht hast, sagt einer, hör mal, gab gerade ein Update für unseren Unify-Controller, ich hab das mal eingespult. Oh, okay, dann kann ich jetzt die S-Bomb updaten. So, was steht denn da jetzt drin? Ist da jetzt das OpenSSL noch in Version X drin oder in Version XA? Okay, nee, XA, ja gut, dann schreib mal in deine S-Bomb.
Es ist eine Aufgabe, die du nicht lösen kannst in einer großen Infrastruktur. Aber hier geht es darum, dass man sagt, der Zulieferer soll das machen. Und das ist natürlich schon eine absolut akzeptable Anforderung, dass man sagt, du bist hier Zulieferer für Gematik. Und du sagst bitte, du machst hier bitte eine Software Bill of Materials. Und jede einzelne fucking Open Source Komponente, die du da drin hast, gibst du bitte an mit Version. Und dann guckt halt auch jemand drauf, ob das irgendwie eine Software-Library mit gutem Ruf ist. Das Problem ist nur, wenn du jetzt irgendwie so in klassischer heutiger Software-Entwicklung, da sagst du halt irgendwie, keine Ahnung, ich möchte diese und jene Library bei mir reinhaben, dann hat die aber nochmal Dependencies auf 25 andere. Das heißt, selbst wenn du als Entwickler vielleicht meinst, ja wieso, ich depende doch nur hier auf folgende vier Node-Module, inszeniert dein Node.js trotzdem noch 35 andere, weil deine vier Node-Module jeweils auf fünf andere dependen, die nochmal auf sechs andere dependen. Und irgendwo ganz am Ende ist irgendeine One Single Software Project a guy in Pennsylvania has been thanklessly maintaining for 20 years.
Und dann wollen sie irgendwie noch das in das Cyber Resilience Act. Dann haben sie, finde ich aber ganz interessant, was haben sie denn als eher mittlere? Da sagen sie ja, okay, es gibt kein Intrusion Detection System auf sektoralen IDPs vorgeschrieben. Was? Also ein höherwertiges Monitoring auf den sektoralen IDPs. Das sind bestimmte Komponenten dieser Gematik-Infrastruktur.
Dann sagen sie Social Engineering auf Löschen der gesamten Daten. Dass also jemand sagt, ich bin der Linus Neumann, ich möchte gerne, dass alle meine Daten gelöscht werden. Da haben sie also Angst vor Social Engineering-Angriffen. Und sie sagen, es gibt keine Sicherheitsanforderungen für die Entwicklung des Primärsystems. Das sagen sie, das ist Mittel. Jetzt gucken wir uns mal an, was ist denn das Primärsystem? Das Primärsystem ist das, was auf den Seiten des Leistungserbringers den Zugriff auf die Gematikinfrastruktur ermöglicht. Also das, was im Krankenhaus dann läuft, womit die Leute auf die EPA tatsächlich zugreifen. Da gibt es keine Sicherheitsanforderungen für. Es gibt zwar einen Leitfaden, der ist aber nicht verpflichtend. Und dann sagen sie, wäre ganz gut, wenn man den Leitfaden mal verpflichtend machen würde. Und es wäre cool, wenn man es mindestens mal vorschreiben würde, eine sichere Benutzerauthentifizierung, dass man eine Passwortrichtlinie auch tatsächlich erzwingt, dass man gegen Brute Force schützt und dass man nach Inaktivität automatisch sperrt und ein Secure Software Development Lifecycle vorschreibt und vielleicht noch eine Anomalieerkennung macht. So, das ist für das Primärsystem also das, was auf den Seiten des Leistungserbringers steht. Also das, was am Ende auf hunderttausenden Rechnern in allen möglichen Krankenhäusern und Arztpraxen läuft, wo der Patient im Prinzip einfach reingehen kann. Und also da, wo die Angriffe am Ende stattfinden, da, wo die Schadsoftware auf den Rechnern ist, die dann, wo das Primärsystem dann eben läuft, wo die Leute quasi auf den System, womit sie am Ende auf deine E-Path zugreifen, zwischendurch noch irgendwelchen Quatsch googeln und irgendeine Software runterladen. Da gibt es halt irgendwie keine Sicherheitsanforderungen. Das ist aber ein mittleres Problem. Da ist schon wichtiger, dass derjenige, der das HSM löschen kann, nicht auch den Masterkey zugreifen kann. Also man erkennt, dass das so ein bisschen sehr prozessgetriebene IT-Sicherheit ist. Die ist auch sehr wichtig, aber der Leistungserbringer und mit seinem Primärsystem, die haben auf alles Zugriff, das sind unglaublich viele und die Relevanz ist mittelgroß, also genauso wie ein Haktivist. Ich würde sagen, und das erklärt der Projektleiter Steven Arzt, ähm. Und warum ist es nicht so wichtig, also warum sind nicht diese ganzen Leistungserbringer und alle, die für sie arbeiten, bei einer normalen Arztpraxis ja schon irgendwie irgendwas wahrscheinlich zwischen 8 und 20 Personen bei einer kleinen Arztpraxis, weil die lediglich nach dem Scan der elektronischen Gesundheitskarte für 90 Tage darauf zugreifen können und auch nur als Leistungserbringer, bei dem die Karte eingelesen wurde. Bei großen Leistungserbringern mit vielen Patienten ergeben sich hieraus umfangreiche Zugriffsrechte, aber die wurden ja schließlich auch gewährt. Bei vielen größeren Kliniken und Praxisverbünden existieren daher in den Informationssystemen technische Maßnahmen zu internen Zugriffsbeschränkungen innerhalb der Leistungsbegringer. Das ist aber das, wo das Fraunhofer sagt, das ist ja nicht vorgeschrieben. Und dann sagt er, wir empfehlen hierbei rechtliche Vorgaben für das Mindestsicherheitsniveau der Primärsysteme zu erheben. Jetzt, ich würde sagen, wenn auf deine elektronische Patientenakte zugegriffen wird, also von dir als Person, Tim Pritlaff. Wenn da ein unberechtigter Zugriff drauf stattfindet, dann wird der im Zweifelsfall stattfinden bei den Leistungserbringern. Also da, wo die Karte eingelesen wurde und die dann 90 Tage Zugriff darauf haben und die in so einem Krankenhaus, wenn du überlegst, jeder der da ist 90 Tage, so ein Krankenhaus schleift an OPs und besucht eine ganze Menge Leute durch und da gibt es quasi überhaupt keine Vorgaben. Gibt es aber auch heute nicht, wurden ja gerade in Berlin auch wieder irgendwelche Krankenhäuser gehackt und die Daten abgezogen und das will ich hier gerade erklären, deswegen sagen die, das ist kein großes Problem für die EPA, weil aktuell sind die Daten ja auch in den Krankenhäusern gespeichert und frei zugreifbar so ungefähr und nicht ordentlich geschützt. Und die EPA erhöht hier das Risiko nicht nennenswert, weil nur dadurch, dass sie in der EPA sind, wird das Krankenhaus weder sicherer noch unsicherer und man kann nur auf die Patienten zugreifen, die halt dem so doof an dem Krankenhaus zu vertrauen. Und ich will, also ich spreche da deshalb drüber, weil ich so ein bisschen diese denke, wie so eine Sicherheitsanalyse eben vonstatten geht und wie da so eine Scope-Definition stattfindet und was sie sich anschauen und was nicht. Was sie zum Beispiel nicht angeschaut haben ist, mach doch mal eine S-Bomb und lass mich die mal angucken und wenn die nicht auf eine DIN A4-Seite passt, dann ist die zu lang. Solche Fragen sind hier nicht gestellt, das ist halt so eine rein prozedurale Sicherheitsbetrachtung. Und unter dem Hinblick kann man von dem, was sie hier geprüft haben und was sie bemängeln, kann ich schon verstehen, dass die Gematik sagt, guck mal hier, die haben mit ihrem GPT nichts Nennenswertes gefunden. Weil das natürlich, hier das, was sie als hoch bezeichnen, immer noch relativ unrealistische Szenarien sind. Ja, dass jetzt irgendwie einer das HSM löscht, ja gut. Unwahrscheinlich. Gleichzeitig, dass so im Krankenhaus läuft irgendeine Software zweifelhafter Genese ohne jede Sicherheitsanforderung. Das sagen wir halt, mittel. Weil das eben heute schon der Fall ist und kein nennenswertes, erweitertes Risiko durch die EPA eingeführt wird. Und man muss halt diese Sprache verstehen und diese Risikoperspektive verstehen, um mit diesem Bericht etwas anfangen zu können. Was halt grundsätzlich unbehandelt bleibt, ist, ist das eine gute Idee, diese massenhaften Daten in dieser Menge anzuhäufen, ein Leben lang zu speichern und was ist mit dem Risiko einer Einzelperson? Ja, wenn wir jetzt sagen, ich gehe in ein Krankenhaus und da sind die Daten 90 Tage zugreifbar, ja, ich und bei mir werden jetzt im Laufe meines Lebens sicherlich noch eine ganze Menge Daten dazukommen, dann ist es relativ, also dann wird halt die Menge an Daten, die in einem Krankenhaus für 90 Tage zugreifbar ist, immer mehr mit der Dauer meines Lebens, ne, also, und klar.
Ja, und solche Dinge finden hier halt etwas weniger Betrachtung, weil sie sich quasi sehr diese Prozeduren des Betriebs angeschaut haben. Und zum Beispiel nicht die Frage gestellt haben, Was bedeutet das in, sagen wir mal, 30 Jahren, wenn dort von 30, von was weiß ich, wie vielen Millionen Deutschen, die in der gesetzlichen Krankenkasse sind, 30 Lebensjahre Krankengeschichte sind, auf die sich diese 90 Tage Zugriffsmöglichkeit beziehen, für die 2000 Angestellten in einem Krankenhaus mit ihren, weiß ich nicht, 5000 Arbeitsplätzen oder was auch immer da ist. Also diese Komponente findet da keine Berücksichtigung. Die wollen wir jetzt aber auch an dieser Stelle nicht diskutieren. Ich wollte jetzt einfach mal sagen, was steht in diesem Bericht und was steht da nicht drin. So, ich kann diese Einstufung, was jetzt hoch und niedrig ist, an einigen Stellen nicht immer nachvollziehen. Es ist aber nicht tragisch. So Berichte sind dadurch getrieben, welchen Scope sie haben.
Naja, und, hättest du jetzt also du, wenn ich dich jetzt richtig verstanden habe, grundsätzlich kannst du sozusagen die Darstellung nachvollziehen du hättest gerne gesehen dass längerfristige, Sicherheitsbetrachtungen noch mit in diesen Bericht mit eingeflossen wären die mehr schon so in die Gesamtrisikoabschätzung und damit ja auch schon, sagen wir mal, fast schon eine politische Betrachtung der Sicherheit stattfindet, weil es ja dann sozusagen… Also es gibt ja andere Themen.
Was ich zum Beispiel überhaupt nicht finde, ist dieser ganze Teil mit dem angeblich anonymisierten Zugänglichmachen von Daten für Forschungszwecke, was halt einfach mal nicht funktionieren wird. Also, dass das anonym ist, das wird einfach nicht gehen. Jede Krankengeschichte ist einzigartig und mit drei Merkmalen deanonymisierst du im Prinzip jede Person, wenn du sie dann siehst. Das heißt, da kommen kaputte Anonymisierungskonzepte zum Einsatz. Das interessiert aber wiederum das Fraunhofer SIT nicht, weil die sagen, wenn ihr einer eine Schwachstelle hat, dann muss der sofort bewerten und nicht 72 Stunden Zeit haben. Es ist also so eine, beide, also diese Form von IT-Sicherheit ist nicht die, die ich... Also es ist grundsätzlich nicht die, die ich in meiner beruflichen Tätigkeit für die relevante halte. Also ich interessiere mich eher für die technische. Gleichzeitig natürlich ist die bei einer großen Organisation und bei den Risiken, die die hier haben, musst du diesen prozessgetriebenen Teil machen. Und dann, wenn die sagen, ja, hier 72 Stunden im schlimmsten Fall, ist halt zu lang. Ja klar, 72 Stunden sind, wie viele Tage sind das denn?
Also insgesamt, um vielleicht so Netzpolitik.org titelt Fraunhofer-Gutachten, elektronische Patientenakte leidet an schweren Schwachstellen. Gematik sagt, Fraunhofer bestätigt, EPA ist sicher. Und beides ist Quatsch. Also beides ist Quatsch, weil dieser Bericht in meinen, also diejenigen, die denken, also was versteht ein Mensch, der seine Daten in diese EPA tut, unter einer schweren Schwachstelle. Wenn mich jemand fragt, Linus, ich habe gehört von den schweren Schwachstellen, soll ich jetzt eine IPA machen oder nicht? Und ich sage, mach es nicht. Wenn du Pech hast, hat der Typ, der das heißt M löschen kann, Zugriff auf die Masterkeys und dann ist alles weg. Das ist ja jetzt, weißt du, das ist ja jetzt nicht ein Risiko, was die Menschen beschäftigt, wenn sie sich über die IPA-Gedanken machen. Ja? Und, deswegen denke ich, dass diese ganze, das was da jetzt gemacht wurde, das geht halt an dem Risiko vorbei, was Menschen eigentlich, darunter sehen, eine zentrale Speicherung ihrer Gesundheitsakte auf Lebensdauer anzufertigen. Es ist halt so eine Prozesssicherheit, da kannst du definieren, was du willst.
Und das heißt, ich sage wirklich nicht, ob es ja oder nein ist, weil wenn ich jetzt, also würde ich ja sagen, dann würde es heißen, Linus denkt, die EPA ist sicher. Würde ich nein sagen, würden die Leute sagen, Nenus denkt, die EPA ist nicht sicher, aber auf Basis von dem, was ich bis jetzt gelesen und gesehen habe, das sind nicht die für mich entscheidenden Gründe und das ist auch das, was ich an diesem warum ich denke, dieses Fraunhofer-Gut da hatten, das ist halt toll, dass die da irgendwie mal so eine riesige Analyse mit einem GPT gemacht haben, aber weißt du, das sind also das sind so, das ist das, was mich auch wirklich an meinem Job in der IT-Security so ankotzt, dass Leute dass du für jeden Scheiß, den jemand baut, gibt es dann irgendeinen Standard. Dann kannst du sagen, wir erfüllen doch jeden Standard. Wir haben doch hier BSI Grundschutz. Haben wir doch. Haben wir doch hier. Cyber Resilience Act haben wir alles hier. Unser HSM, wir haben nochmal den Master Key auf den Zettel geschrieben, der liegt im Tresor. Tresor hat, kennen nur acht Leute den. Wir haben ja immer alles, was jemals jemand auf Papier geschrieben hat, wie man macht, machen wir. Und du kannst trotzdem Scheiße bauen. Oder auf Facebook ist ja auch sicher. Also Facebook ist nicht unsicher. Facebook ist einfach Grundscheiße. Und das ist aber nicht unsicher.
Ja, ich grübel nur gerade, weil natürlich abgesehen von so einer sicherheitstechnischen Betrachtung unter anderem ja von uns gegebenenfalls auch eine netzpolitische Bewertung der Maßnahmen vielleicht nicht unbedingt erwartet wird, aber zumindest damit gerechnet wird. Und ich bin schon seit längerem ein bisschen gefangen in diesem Hexenkessel der Abwägung von Chancen und Risiken, der ja ein Permanenter ist, den man immer machen muss und der irgendwie an dieser Stelle sich mal wieder sehr schön zeigt, weil auf der einen Seite sind wir alle ein bisschen genervt von den konkreten digitalen Umsetzungen, die geschaffen werden im Rahmen unserer Digitalisierung Und da läuft natürlich auch viel schief und oft sind die Ansätze nicht die richtigen und es muss viel korrigiert und nachgearbeitet werden und teilweise wird es vielleicht auch nicht korrigiert und nachgearbeitet werden. Andererseits müssen wir natürlich auch vorankommen mit solchen Sachen, weil es halt auch eine Notwendigkeit gibt dafür. Und das ist wirklich ein Spannungsfeld, was teilweise wirklich extrem schwierig zu bewerten ist.
Also, es werden potenziell sehr viele Gesundheitsdaten zentral verschlüsselt gespeichert. Verschlüsselt heißt aber, sie sind mit dem entsprechenden Schlüssel zugreifbar und dieser Zugriff wird eben gewährt dadurch, dass du mit deiner Karte die Erlaubnis gibst. so. Vorteile ohne Frage. Man häuft potenziell vielleicht bei chronischen Krankheiten, bei schweren Krankheiten eine ganze Menge Gesundheitsdaten an. Wir hatten hier ja einmal einen Kommentar, an den ich mich sehr gut erinnere, wo jemand sagte, seine Partnerin oder Partner war chronisch krank und sie mussten zu allen möglichen unterschiedlichen Ärzten und es war immer scheiße, da den Kramen jedes Mal wieder die ganze Zeit die Geschichte erzählen. Und gerade chronisch kranken ist das im Zweifelsfall scheißegal. Wer diese Daten hat und die sind sehr froh, wenn sie die problemlos von allem, wenn die einfach schon bei dem Arzt sind, wo sie kommen, wo sie hingehen. Ja.
Ja, aber auch. Ja. Für die Wissenschaft sollen Forschende eben Zugang zu mehr Daten erhalten. Das heißt, da siehst du schon, so verschlüsselt können die ja nicht sein, wenn die auf einmal zu Forschungszwecken in großer Menge zur Verfügung stehen. Das ist ja auch wieder so eine Sache, ist das denn verschlüsselt? Ja, von mir aus ist das verschlüsselt. Was meint ihr, was alles verschlüsselt ist, was ihr klar auf eurem Bildschirm seht? Ja, so verschlüsselt kann das ja dann auch nicht sein. Also zumindest nicht das, was ihr landläufig für verschlüsselt haltet. Risiko, viele sensible Daten zentral an einem Ort, wo potenziell sehr viele Leute darauf Zugriff haben. In so einem Krankenhaus. Jede Person, die da arbeitet, kann da reinschauen. Und tun das auch. Die müssen das ja auch im Rahmen ihrer Aufgaben erfüllen.
Genau. Es kann potenziell schwieriger werden, eine unvoreingenommene zweite Meinung zu bekommen, wenn du sagst, könnt ihr mal gucken, was hier ist. Und der Arzt sagt, na was haben denn die anderen gesagt. Das kann schwierig sein. Es gibt aber auch die Möglichkeit, bei einigen Sachen zu widersprechen, dass sie in die EPA kommen, also psychische Erkrankungen, Schwangerschaftsabbrüche, sexuell übertragbare Infektionen, muss der Behandelnde sagen, du hast das Recht zu widersprechen, kannst in der App oder auch bei einer Ombudsstelle dich dagegen wehren. Aber standardmäßig sind alle Dokumente in der EPA für alle Ärztinnen sichtbar, sobald du den Zugriff gegeben hast. Und das werden nicht nur die Ärztinnen machen, sondern alle, die da arbeiten, können 90 Tage lang darauf zugreifen. Der öffentliche Gesundheitsdienst, Arbeitsmedizinerinnen und Apotheken dürfen nach Einwilligung drei Tage lang darauf zugreifen. Reicht aber, du brauchst, um alle Daten da rauszuholen, nicht 90 Tage und nicht drei. Dann sind die zentral verschlüsselt, also man kann die nicht an einer Stelle zentral einsehen, es gibt aber eben das besagte HSM, wo dann irgendwie die Berechtigungen gecheckt werden, wo dann eben die Entschlüsselungen stattfinden. Am Ende gibt es einen Ort, wenn man an der richtigen Stelle ist, wo du alle Daten auf einmal entschlüsseln kannst. Diese Informationen werden dann getrennt, dann hat der eine nur Zugriff darauf und so weiter, damit es irgendwie nicht möglich ist. Oder nicht, dass sich die Gelegenheit nicht bietet, ohne das Brechen mehrerer Prozeduren und die Wahrscheinlichkeit soll verringert werden. Dann nicht besonders schön ist natürlich, dass es hier ein Opt-out gibt eigentlich glaube ich, das ist so nicht rechtens weil, bei einer solchen Datensammlung eigentlich ein Opt-in-Verfahren wäre aber auch darüber haben wir schon gesprochen, wenn das jetzt Opt-in wäre, dann macht es keiner ja.
Ist jetzt halt die Frage, ob das so sinnvoll ist die abgelegten Daten werden der Forschung zur Verfügung gestellt, musst den Antrag stellen an das Forschungsdatenzentrum des Bundes und dort werden die Informationen gesammelt und gespeichert. Du kannst der Forschung mit den Gesundheitsdaten widersprechen, das geht in der App oder über die Ombudsstelle der Krankenkasse, kannst den Widerspruch generell machen oder auf unterschiedliche Zwecke beschränken, und dafür werden sie dann pseudonymisiert. Dann steht da statt des Namen steht dann da eine Ziffer. Das ist keine ausreichende Anonymisierung der Daten. Das ist einfach mit geringem Aufwand wieder zuweisbar.
Also ich will ganz ehrlich sein, ich wäre sehr glücklich, wenn ich so einen Rekord hätte, wo alles, was an mir schon mal gemacht wurde, drin wäre. Ich habe sowas nicht. Und ich habe auch selber viel zu spät darüber nachgedacht, gedacht, so ein Archiv, wenn es auch nur ein Papierarchiv ist, also irgendwie auch nur mal einen konsistenten Ordner, wo sozusagen alle Behandlungen mal drin sind, selbst wenn sie da nicht datenbankenmäßig geordnet sind, so habe ich nicht, habe so ein bisschen was, aber nicht vollständig. Und ich bin immer wieder, wenn ich in solchen Krankenhaussituationen bin und weißt du, da muss mal irgendwas an dir gemacht werden und dann kommen sie mit, haben sie schon mal so eine Operation gehabt? Ist schon mal das an ihnen gemacht worden? Haben sie dieses Medikament schon mal genommen? Wo ich dann halt so in mich gehe und mir denke so, keine Ahnung, vielleicht. Und das halt irgendwie alles nicht sehr hilfreich.
Ja, aber da muss man jetzt auch mal... Mal ein bisschen realistisch bleiben, weil diese Fragen werden die in Zukunft auch weiterstellen, weil was die EPA ja nicht macht, das ist ja dann trotzdem nur irgendwie so ein wilder Key-Value-Store ohne irgendwelche Formatvorgaben. Das heißt, da macht irgendeiner ein Röntgenbild und exportiert das als TIF und legt das zu den anderen PNGs und PDFs und so weiter. Das heißt, ein strukturiertes Datenformat hast du da ja nicht.
Also, zwei Dinge werden nicht passieren. Dass dich die Ärztinnen und Ärzte nicht mehr fragen, wird nicht passieren. Die werden dich weiterhin fragen. Die werden da gar nicht reingucken. Das wird einfach eine Müllhalde von Daten. Die ist, ja, ganz sicher werden die dir die Frage stellen, bevor sie irgendwie am Computer gucken. Und wenn du sagst, weiß ich nicht, werden sie sagen, so eine Operation vergisst man nicht. Ja, Herr Prittlaff, bei Ihnen haben sie noch keine OP am offenen Hirn gemacht. Obwohl man den Eindruck hat. Ja, auf Annen.
Nein, machen wir gar nicht. Ich versuche hier gerade den Leuten eine ernsthafte Einschätzung zu geben. Du sagst, du willst das haben. Ist in deinem Fall, glaube ich, mit ein paar Erwartungen verbunden, die überzogen sind. Das heißt aber immer noch nicht, dass man es nicht haben will. Wir erinnern an den Hörer mit der Schilderung einer chronischen Erkrankung. Wir müssen aber auch an Leute erinnern, die vielleicht medizinische Zustände hatten in ihrem Leben, die sie nicht jemals, auch nur in der Nähe des Risikos haben wollen, dass die an die Öffentlichkeit kommen oder dass die überhaupt jeder Ärztin zugreifbar sind. Wir haben ja hier über psychische Erkrankungen und sonstiges gesprochen. Und gerade jetzt psychische Erkrankungen, das würde ich sicherlich nicht in meine EPA schreiben, damit ich bei jedem Arzt, wo ich vorspreche und sage, hier mein gebrochenes Bein steht Hypochonder. Wäre ja scheiße. Also das kann auch Nachteile haben und das Problem, also ich denke, das sollte jede Person für sich selber entscheiden und wenn sie es tut, muss sie auf jeden Fall mit dem Risiko, muss sie das Risiko in Betracht ziehen, dass da mehr Leute auf diesen gesamten Datenbestand Zugriff haben, als ihr lieb ist und da muss jede Person für sich selber entscheiden, ob das in Ordnung ist oder im Sinne der Sache. Und dann kommt dazu, dass viele Personen das vielleicht heute, diese Entscheidung treffen, bevor quasi ihre Krankengeschichte zu Ende ist. Krankengeschichte endet üblicherweise mit dem Ableben. Das heißt, euer aller Krankengeschichte wird noch weiter geschrieben. Und dazu kann gehören, dass ihr in einem Jahr irgendeine Krankheit kriegt, für die man sich schämen muss oder für die ihr euch schämt und wo ihr nicht wollt, dass die da drin steht das kann aber auch sein, dass ihr heute sagt, ich möchte keine EPA haben und übermorgen wird euch irgendwie eine schwere chronische Krankheit. Attestiert und ihr würdet euch wünschen, dass ihr eine hättet und deswegen möchte ich eigentlich auf diese Entscheidung in der Form keinen Einfluss nehmen. Ich verlink noch mal die Entscheidungshilfe von Netzpolitik.org, Und dann könnt ihr eure eigenen Entscheidungen zu der Situation treffen. Das Risiko, dass jetzt irgendwie übermorgen alle eure Daten im Internet landen, wird durch die EPA nicht nennenswert größer zu Beginn. Weil die Daten müssen ja erstmal noch rein.
Naja, und es geht ja natürlich um den Hackerparagrafen oder die Hackerparagrafen. Das ist dieser gesamte Bereich. SCGB 202 Ausspähen und also nee, 202 A, B, C, D Und bei dem Ja, ich weiß ja gerade da geht es, also 202 ist die Verletzung des Briefgeheimnisses und 202A ist das Ausspähen von Daten 202B ist das Abfangen von Daten und 202c ist das Vorbereiten des Ausspähens und Abfangens von Daten, und 202d ist die Datenhehlerei. Datenhehlerei kam da irgendwie vor einigen Jahren dazu. Als Hacker-Paragraph wird gemeinhin dieser 202c bezeichnet, weil er im Prinzip die. Quasi noch nicht die Straftat, wirklich jetzt massenhaft Daten auszuspähen, aber immerhin die Vorbereitung dessen unter Straftat stellt und zwar, wer eine Straftat nach 202a, also Ausspähen oder 202b, Abfangen von Daten vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen oder zweitens Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft. Einem anderen überlässt, verbreitet oder sonst zugänglich wacht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Und damit ist jedes Hacker-Tool und jedes Hacking, auch wenn es noch nicht unter Ausspähen oder Abfangen von Daten in der engeren Definition fällt, illegal. Bis zu zwei Jahre Knast für Hacking. Das ist mein Beruf, Hacking.
Vorbereitung von Hacking, Nachbereitung von Hacking, Durchbereitung, Breithacken, Kleinhacken, in alle Formen hacken, machen wir. Und das ist natürlich ungünstig. Und da gibt es dann diese Fälle, wo Leute im Prinzip, sag ich mal, ein System hacken, eine Schwachstelle dabei identifizieren und die Schwachstelle melden. Das ist etwas, was sehr häufig passiert. Daher wissen wir ja nun mal von den Schwachstellen, weil sie irgendwie Leute gefunden haben und gemeldet haben. Das kann eine Schwachstelle sein in irgendeiner weitverbreiteten Software oder in irgendeiner selbstgeklöppelten Software, was weiß ich, diese CDU-Sache, die wir hier mal behandelt hatten, wo Lilith Wittmann dann irgendeine Datenleck in der CDU-App gefunden hat und die gemeldet hat und dafür angezeigt wurde, von der CDU statt einen Kuchen zu bekommen als Dankeschön. So, diese ähm, Diese Tätigkeit, das Aufspüren von Sicherheitslücken in IT-Systemen soll nicht mehr strafbar sein unter drei Bedingungen, drei Voraussetzungen. Erstens, du musst in der Absicht handeln, eine Sicherheitslücke festzustellen. Du musst die Sicherheitslücke an Hersteller beziehungsweise Betreiber oder BSI melden und das technische Vorgehen muss erforderlich sein, um eine Lücke festzustellen. Das heißt im Prinzip, wenn du jetzt weit darüber hinaus schießt, also im Prinzip zu scannen, SQL Injection auszuprobieren und so weiter, alles in Ordnung, das ist alles noch erforderlich. Am Ende 5 Terabyte aus dem Amazon-Bucket ziehen, ist vielleicht nicht mehr erforderlich. Da könnte man sagen, du hast die Lücke festgestellt, indem du einen Datensatz rausgezogen hast oder 8 oder 10, aber nicht alle 2 Millionen. Oder alle 2 mal 10 aus 36 Gesundheitsdaten. Da könnte man sagen, da ist dann irgendwann nicht mehr erforderlich. Den, 202c jedoch, den wollen sie nicht ändern. Sie wollen quasi bei dem Ausspähen von Daten, also diesen Aspekt Hacker-Tools und so weiter nicht ändern, weil das wäre dann nicht mehr erforderlich, weil sie das, quasi beim Ausspähen und Abfangen quasi die Veränderung machen.
Also muss das schon jemand melden, also wenn du dich darauf berufen willst, also sie ändern 202a 202b, und 303a Oh, 303 gibt es auch noch, das ist wer rechtswidrig Daten löscht, unterdrückt und unbrauchbar macht, Also sie ändern die Definition ausspielen von Daten, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders geschützt sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Das wäre jetzt auch hier Lillith Wittmann, hat ja Daten bekommen, die nicht für sich, die nicht für sie bestimmt waren. Aber das heißt, sie ändern alle anderen Paragraphen, außer den wirklich kritischen, den 202c Vorbereitung des Ausspielens von Daten. Es wäre schon gut, den 20C auch noch wegzumachen, aber immerhin gehen sie in die richtige Richtung. Ja. Aber immer noch, ja, unzureichend. Ja, also es wird jetzt gesagt, wenn du in positiver Absicht handelst, sollst du nicht mehr kriminalisiert werden. Aber so einfach lässt sich diese Absicht ja auch nicht feststellen. Ich finde es aber trotzdem erstmal einen guten Punkt, dass man sagt, wenn jetzt jemand ein angeblich sicheres IT-System mal ein bisschen abklopft, dass er sich damit nicht strafbar macht, sondern eben im Prinzip der Öffentlichkeit und den Nutzerinnen einen Dienst erweist. Es wäre aber noch ganz schön wie gesagt, den 202c könnte man einfach komplett abschaffen dieser Argumentation das ist nicht mehr erforderlich der schließe ich mich jetzt eigentlich nicht unbedingt an weil es einfach.
Genau, wir sagen, also eigentlich sagen wir mach den 202c weg das ist der Hackerparad, der ist doof wir sagen ja gar nicht Abfangen und Ausspielen von Daten natürlich ist das schlecht, und natürlich muss auch das muss man da auch eine Ausnahme machen, aber Aber die Idee war, streicht bitte mal den 202c. Ich gucke gerade die genaue Formulierung, nur damit wir die jetzt auch hier haben, also dem 202a, wer Daten ausspielt, lalala, wird bestraft. Werden die Absätze 3 und 4 angefügt. Die Handlung ist nicht unbefugt im Sinne des Absatzes 1, wenn erstens sie in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems, Klammer auf Sicherheitslücke, festzustellen und die für das informationstechnische System verantwortlichen, dem betreibenden Dienstleister des jeweiligen Systems, den Hersteller betroffener IT-Wand und das Bundesamt für Sicherheit und Informationstechnik über die festgestellte Sicherheitslücke zu unterrichten und zweitens sie zur Feststellung der Sicherheitslücke erforderlich ist. Das hatte ich gerade schon gesagt, ich will es nur einmal ausformulieren. Viertens, in besonders schweren Fällen des Absatzes 1 ist die Freiheitsstrafe von drei Monaten bis zu fünf Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter erstens einen Vermögensverlust großen Ausmaßes herbeiführt, aus Gewinnsucht oder gewerbsmäßig handelt oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von solchen Taten verbunden hat oder durch die Tat, die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt. Und das wird dem 202b und dem 303a ebenfalls angekommen. Dieser zweite Teil, also der Absatz 4, besonders schwere Fälle, Vermögensverlust in großem Ausmaß und Gewinnsucht, gewerbsmäßig Mitglied einer Bande, Verfügbarkeit, Funktionsfähigkeit, das sind so die Wörter, die stehen, da steht einfach nur dran, Ransomware-Gang. Das ist 100% Vermögensverlust, großen Ausmaß, ja, Ransomware, Gewinnsucht, ja, die Erpresse, gewerbsmäßig, ja, Mitglied einer Bande, ja, zur fortgesetzten Begehung einer solchen Tat verbunden, ja, Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität, Vertraulichkeit, ja, ja, ja, ja, ja, check, check, check, check, check. Und da ist dann die Freiheitsstrafe von drei Monaten bis fünf Jahren, obwohl sie in der jetzigen Ausführung bis zu drei Jahre ist. Also eine Erhöhung der Strafen für Ransomware-Gang-Mitglieder wird hier noch mit reingenommen. Ja.
Ja, gucken wir doch mal in den Bundestagszusammenfasser. Da haben wir hier Änderung des Strafgesetzbuches, Modernisierung des Computerstrafrechts, Referentenentwurf. Also das ist alles noch ganz am Anfang. Es gibt jetzt einen Entwurf, das Kabinett muss den beschließen und dann geht es erst in den Prozess. Also Bundestag, Bundesrat.
Sozusagen Operation Jesus died for your sins. Arne möchte gerne verurteilt werden und der Hintergrund ist, er hat ja, Beschlüsse aus einem Ermittlungsverfahren letztes Jahr im August gegen die letzte Generation veröffentlicht und Und hat das bewusst getan, auch wenn es eben ein Gesetz gibt, hier wieder Strafgesetzbuch, 353d, verbotene Mitteilung über Gerichtsverhandlungen, was das unter Strafe stellt. Und er wollte aber bewusst dagegen verstoßen und auch dafür jetzt sozusagen verurteilt werden oder zumindest das jetzt mal vor Gericht klären lassen, was denn nun ist, weil er die Auffassung vertritt, dass hier die Presse quasi ein entsprechendes Veröffentlichungsrecht genießen sollte und das eben in der derzeitigen Regelung nicht der Fall ist. Und jetzt habe ich mir natürlich wieder nicht notiert, welches Gericht jetzt hier gerade konkret zum Einsatz kam. Das Landgericht Berlin. Und ja, die Argumentation von Arne und seinem Verteidigungsteam war halt, dass das sozusagen verfassungswidrig ist. Jetzt gucken wir mal kurz, was dieses Strafgesetzbuch macht, aber es geht konkret um Paragraf 353d Nummer 3. Im Prinzip heißt es hier, mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer die Anklageschrift oder andere amtliche Dokumente eines Strafverfahrens, eines Bußgeldverfahrens oder eines Disziplinarverfahrens ganz oder in wesentlichen Teilen, im Wortlaut öffentlich mitteilt, bevor sie in öffentlicher Verhandlung erörtert worden sind oder das Verfahren abgeschlossen ist. So lautet das Gesetz. Und er wurde aber jetzt von dem Gericht zu einer Geldstrafe von 20 Tagessätzen zu 50 Euro, außenone ist ein Tausi, verurteilt. Allerdings wurde das ausgesetzt zur Bewährung, wenn er also jetzt ein Jahr lang Ruhe gibt und keine weiteren Verstöße begeht.
Also Arne hat ja, also Arne beabsichtigt ja, Arne hält das Gesetz für falsch und will das zu Fall bringen. Das hat er ja hier auch schon erklärt, aber muss man als Kontext dazu sagen, der will das nicht. Und hat sich quasi diese Straftat ja bewusst begangen und gesagt, zeig mich mal an, ich würde das gerne vor Gericht klären. Also eigentlich war es für ihn auch in diesem Fall weil, sag ich mal, das Ziel vom Landgericht verurteilt zu werden.
Nee, den Gefallen haben sie ihm nicht getan, weil das Landgericht einfach der Meinung ist, das sei nicht verfassungswidrig. Schauen wir vielleicht erstmal auf die Argumentation der Verteidigung. Also warum sie der Meinung sind, dass das eben nicht verfassungsgemäß ist. Also in dieser Argumentation. Wurde wohl auch vorgebracht, wie das Ansehen der Justiz spielt ja eine Rolle, dem widersprach die Verteidigung. Es wurde auch darauf verwiesen, dass das EGMR, also der Europäische Gerichtshof für Menschenrechte, sich zu solchen Veröffentlichungspraktiken geäußert habe und sich gegen ein Veröffentlichungstotalverbot ausgesprochen hat. Es wurde ferner argumentiert, dass dieser Paragraf nicht auf Gerichtsbeschlüsse angewendet werden soll. Also hier ist ja von anderen amtlichen Dokumenten nur die Rede und es wurde noch der Vergleich gebracht mit einem Fall, wo auch in einem anderen Fall, aber einer ähnlichen Vorgehensweise, wo also auch entsprechende Dokumente veröffentlicht wurden durch die neue Zeitschrift für Strafrecht, NSTZ. Das ist sozusagen eher ein rechtswissenschaftliches Magazin, wo ein ähnliches Vorgehen war. Ich weiß jetzt nicht genau, was das war. Aber das Gericht sieht es anders und hat also diesen Verweis ans Bundesverfassungsgericht abgelehnt. Das Gesetz sei nicht verfassungswidrig, denn in der Sicht des Gerichtes würde quasi die Nicht-Existenz einer solchen Regelung Schauprozesse bewirken. Das ist sozusagen die Kernargumentation, die auch nicht, Ich nachvollziehen kann, weil dieser Schutz des Verfahrens und des Nichtveröffentlichen eines nicht abgeschlossenen Verfahrens geht ja nicht darum, dass es gar nicht so ist, sondern dass man sozusagen erstmal, das Gericht soll in Ruhe entscheiden können und es soll auch abgeschirmt sein eben von der Veröffentlichung, damit es eben auch nicht durch die Öffentlichkeit beeinflusst werden kann in seiner Urteilssprechung. Das sei gerade in heutiger Zeit sogar noch angemessener denn je, so mit dem Hinweis auf Social Media, entsprechende Aufregungskultur etc., die wir ja alle kennen und weist auch darauf hin, dass ja eine Wiedergabe dieser Informationen durch die Presse sehr wohl möglich sei, Aber eben nur in zusammenfassender und indirekter Rede und eben nicht wortwörtlich und schon gar nicht vollständig, wie das in diesem Fall gewesen ist und wie es ja auch in diesem Gesetzestext festgehalten wird. Also sie meinen einfach Pressefreiheit geht auch ohne wörtliches Zitieren, so ihre Argumentation.
Jetzt hast du gerade auf die NSCZ die neue Zeitschrift für Strafrecht Bezug genommen und in dieser Fachzeitschrift für Strafrecht, wer hätte das gedacht, so nennt sie sich ja auch, wurde ein Schriftsatz aus einem laufenden Ermittlungsverfahren veröffentlicht. Und zwar der Beschluss des Landgerichts München 1 vom 16.11.2023, der zunächst in der Fachzeitschrift publiziert wurde und dann auch danach auf der Webseite des Landgerichts München veröffentlicht wurde. Also quasi hier hat jemand in dieser Zeitschrift geschrieben. Aus einem laufenden Ermittlungsverfahren veröffentlicht. Hat er dann auch gegen das Gesetz verstoßen. Und da hat Jean Peters, der war ja auch bei uns schon in der Sendung, wir stecken ja alle unter einer Decke, könnte man den Eindruck erlangen.
Hat eine Anzeige erstattet und zwar bei der Polizeiinspektion 12 in München. Weil er natürlich sagt, jetzt muss diese neue Zeitschrift für Strafrecht die aus einem laufenden Ermittlungsverfahren veröffentlicht hat sicher bitte auch mal verantworten, weil der Schauprozess, den wollen wir uns ja wohl auch nicht geben Genau.
Also das steht offen vielleicht noch zur Argumentation des Gerichts ja, also die haben sich da schon ein paar Gedanken zu gemacht zum Beispiel sagen sie noch, dass so, Also die Problematik der Veröffentlichung dieser Dokumente, speziell bei Ermittlungsverfahren, sei unter anderem, dass eben dort eine... Feststellende Sprache verwendet wird, wie sie das nennen. Also da ist dann nicht so diese typische Formulierung mit, es wird vorgeworfen und es könnte irgendwie sein, sondern innerhalb dieses Verfahrens die einzelnen Parteien, die dazu quasi ihre Statements abgeben, wie zum Beispiel in diesen Ermittlungsbeschlüssen, habe eine feststellende Sprache. Du hast, der hat das getan, die hat das gemacht etc. Und das sei aber auch okay, solange das eben intern bleibt, weil ja die Richter wissen, wie das zu nehmen ist, weil das sozusagen klar ist, dass das sozusagen so formuliert nur relativ zu sehen ist. Wenn man das aber öffentlich zitiert wiederum, würde das eben zu entsprechenden Missverständnissen führen, weil es dann sozusagen ohne diesen Kontext schnell so aussieht, als wären jetzt hier irgendwelche Vorverurteilungen oder sowas vorgenommen worden. Außerdem meinen sie, dass auch dieses EGMR, also das Europäische Gerichtshof für Menschenrechte, dass deren Feststellung, dass es kein Totalverbot geben darf, sehr wohl berücksichtigt worden sei, schlicht weil jetzt hier in diesem Fall auch milde geurteilt wurde. Ich komme gleich nochmal dazu. Denn das EGMR in seiner Formulierung, die ich jetzt nicht gelesen habe, gespeichert ihn zu interpretieren, mir anmaßen würde, eher auf Einzelfälle verwiesen wird. Also es kann nicht immer ein Totalverbot sein, es muss auch in Einzelfällen möglich sein, dass es irgendwie anders ist und das sei hier dann in ihrer Rechtsprechung auch so, von daher würden sie dagegen nicht verstoßen. Ja, und generell wurde Arne dann eben auch sein Vergehen als sehr, sehr gering angesehen, weil er irgendwie in seinem Vorgehen weitgehend okay war. Es war lediglich die vollständige Veröffentlichung dieser Akten, die das Gericht gestört hat. Und daher hat das Gericht Arne auch angeboten, das Verfahren einzustellen und zu sagen, Leute, ist alles nicht so schlimm, du kommst jetzt nicht in den Knast, du musst auch keine Geldstrafe haben, wir bieten dir an, das einzustellen und dann hat Arne gesagt, nö, machen wir nicht, ich will hier ein Urteil haben, entweder ihr verweist das jetzt ans Bundesverfassungsgericht oder ich nehme, wie es kommt.
Erstmal geht er in Revision. Also das ist glaube ich der nächste Schritt. Damit wandert das Ganze vom Landgericht Berlin zum Bundesgerichtshof. Hier habe es wohl schon andere Haltungen gegeben gegenüber diesem Gesetz und sich für eine eingeschränkte konventionskonforme Auslegung der Strafnorm ausgesprochen, was auch immer das heißen mag. Ja, also mit anderen Worten der erste Akt dieses, dieser Oper ist jetzt sozusagen gelaufen, Vorhang zu und kann gut sein dass wir uns in der nächsten Zeit noch ein paar Mal mit diesem Fall, auseinandersetzen werden aber man kann jetzt auch nicht sagen, dass sich das Gericht jetzt gar nicht damit beschäftigt hat.
Ja da bin ich mir wohl sicher dass er sich den noch ich hab den schon ja ich sehe den hier schon abends in der Kneipe stehen um den zusammen zu kriegen er wird sich mit der Nummer jetzt nicht zufrieden geben ist klar, Ein wichtiger Hinweis hat uns noch erreicht. Also erstens, heute ist Halloween. Und das heißt, ihr müsst euch langsam Gedanken machen, was ihr uns zu Weihnachten schenkt. An uns bitte früh denken, bevor das ganze Geld hier für die anderen drauf geht. Aber vor allem kommt jetzt ja die Zeit, dass unsere wichtigen netzpolitischen NGOs ihre Funding-Runs machen. Und ich würde sagen, erstmalig sieht es wirklich nicht so gut aus bei Epicenter Works, der NGO von Thomas. Die hat ein relativ moderates Funding-Gap von 30.000 Euro. Also wenn man sich anschaut, was andere Organisationen so zum Ende des Jahres dann eher so noch ein paar hunderttausend brauchen. Ich weiß nicht, ist Jimmy Wales schon wieder am Betteln, wenn man in die Wikipedia kommt?
Wird aber auch noch kommen, ja. Daran gemessen ist die Lücke von nur 30.000 Euro, die Epicenter schließen muss, wirklich überschaubar. Aber sie ist da und sie brauchen eben bis in diesem Jahr noch 30.000 Euro, sonst sehen sie eben schlecht aus. Sie haben eine Fördermitgliedschaft, die sie anbieten und im Prinzip brauchen sie nur 250 Leute, die zum Beispiel so eine Fördermitgliedschaft mit 10 Euro oder mehr im Monat abschließen. Das ist relativ einfach. Link ist in den Shownotes. Man kann das auch irgendwie wieder kündigen und so weiter. Und ich denke, der stetige Einsatz von Epicenter ist den Hörerinnen ja hier durchaus bekannt. Und schon Thomas' Einsatz auf EU-Ebene für die Netzneutralität. Die unterschiedlichen Erfolge, die er so über die Zeit mit dieser Organisation gefeiert hat, sind hier ausführlich bekannt. Ich denke, wir werden Thomas auch nochmal irgendwie dieses Jahr sicherlich auch nochmal in der Sendung haben. Und ja, 30.000 Euro ist für so eine Organisation als Funding-Gap nicht viel. Aber wenn du die 30.000 Euro nicht hast, dann ist das sehr schlecht für dich als Organisation. Und ja, deswegen unsere dringende Bitte... Denen zu helfen. Die zielen im ganzen Jahr auf 255.818 Euro und da fehlen ihnen halt gerade noch ein paar. Der Aufruf zeigt auch erste Wirkungen. Aber ja, gerade in den schweren Zeiten, die Österreicher jetzt mit seiner Regierung auch hat, wäre es schon, glaube ich, ganz gut, Epicenter zu unterstützen.
13 Jahre Logbuch Netzpolitik gibt es. Ist jetzt keine runde Zahl, kann man nicht gerade sagen, aber ist ja eigentlich auch egal. Ja, 13 Jahre. Wieder einmal eins rumgekriegt. Ich wollte jetzt auch gerade sagen, jetzt gehen wir erstmal die Kohle nach Österreich und wenn wir dann Geburtstag haben, dann meckern wir wieder, aber ich bin tatsächlich.
So Leute, jetzt war die Sendung aber auch lang genug und deswegen würde ich sagen, machen wir mal Schlussi und wir wünschen euch noch, schreckliche ein schreckliches Halloween auf das er euch so richtig schön erschreckt und dann dass wir uns vielleicht alle auch sehen auf dem 38C3 und wenn nicht, dann wünschen wir euch auch sonst eigentlich alles Gute ähm, weil kommt ja bald auch wieder eine neue Sendung von uns bestimmt, oder?