38C3 — Elektronische Patientenakte — Volkswagen — Wahlsoftware — Big-Tech und Trump — Sichere Kommunikation —VDS — Netzneutralität
Unsere erste Ausgabe nach dem Congress ist etwas länger geworden denn es gab natürlich einiges nachzubesprechen, was dort im Rahmen von Vorträgen vorgetragen wurde. Dazu ein paar Meldungen aus dem Bereich der (un)sicheren Kommunikation.
Linus Neumann
Tim Pritlove
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Tim Pritlove 0:00:00
Guten Morgen, Linus.
Linus Neumann 0:00:01
Guten Morgen, Tim.
Tim Pritlove 0:00:03
In der Kirche wird man jetzt auch um sein Geld gebracht.
Linus Neumann 0:00:07
Das ist ja nun wirklich nichts Neues. Ich glaube, spannend ist,dass sie sich jetzt sogar Krypto holen.
Tim Pritlove 0:00:35
Logbuch Nespolitik Nummer 511 vom 11.1.25.Neues Jahr, neues Glück und wir sind wieder da. Hallo.
Linus Neumann 0:00:50
Ja, frohes Neues.
Tim Pritlove 0:00:52
Genau. Und wer hätte es gedacht, dass jetzt die ganzen zu beschützenden Menschenin der Kirchengemeinde jetzt auch alle übers Ohr gehauen werden.
Linus Neumann 0:01:05
Das ist ja wirklich was ganz Neues. Damit konnte ja keiner rechnen.1515 Personen mit einer Krypto-Betrugsmasche um insgesamt 5,9 Millionen US-Dollar.Das ist ein fleißiger Pastor.
Tim Pritlove 0:01:26
Ja, wobei, wenn ich das richtig sehe, hat er im Wesentlichen Geld eingesammeltin so einem klassischen Schneeballsystem und gar keinen richtigen Handel betrieben.Also inwiefern da jetzt Krypto überhaupt noch der tatsächliche Umsetzungsortwar oder ob das nicht nur so der Vorwand war mit,ja wir machen jetzt hier auch Krypto und gib mal her das Geld. Ich lege das schon an.Das war ja jetzt sozusagen in Washington, also in Washington State,ein Pastor, der wesentlich mit einer spanischsprachigen Gemeinde hantiert hat,die ohnehin nicht so technikaffin war, denen irgendwas erzählt hat.Und er hat halt immer mehr Kohle eingenommen und irgendwelche Gewinne vorgetäuscht,indem er dann das wiederum aus neuen Einnahmen gemacht hat.So funktionieren halt die klassischen Schneeball-Scams.
Linus Neumann 0:02:17
An Krypto-Currencies?
Tim Pritlove 0:02:18
Nicht nur bei Kryptischen immer. Also seit es Betrug gibt, ist das sozusagen das klassische Ding.Und ja, da muss man dann bloß sich rechtzeitig absetzen, bevor die neue Kohle versiegt.Aber das ist ihm wohl irgendwie nicht so richtig gelungen.Aber es ist einfach, glaube ich, auch jetzt der Trend der Zeit.Irgendwie haben alle kapituliert, keiner ist bereit auf die Realität zu schauenmit der neuen Präsidentschaft in den USA, zeichnet sich ja auch ab,dass die ganzen Kryptogeldgeber Trumps sich hier dann durchsetzen werden.Da bin ich mal gespannt, was da noch bei rauskommt, aber ich glaube eine engeRegulierung dieses Marktes steht erstmal in weiter Ferne.Man kann nur hoffen, dass zumindest mal in Europa alle zur Besinnung kommen,aber es ist halt immer so dieses, oh mein Gott, irgendwo kann man Leute übersOhr hauen, da ist ja eine Menge Geld zu holen.Das führt dann einfach immer dazu, dass es erstmal genug Fürsprecher gibt,solange es noch nicht allen klar ist, was es damit wirklich auf sich hat.Und bevor es dann irgendwann mal final untersagt wird, wird noch viel Leid geschehen.Und das zeichnet sich eigentlich hier immer wieder ab.Also man kann einfach nach wie vor nur web3isgoinggreat.com empfehlen,wo irgendwie Molly White täglich von Krypto-Scams berichtet und von verurteiltenScammern und von ruinierten Existenzen von Leuten,die also ihr ganzes Geld da reingeworfen haben und am Ende dann abgezogen wurden.Und so ist das halt bei solchen Investment-Schemes. Man kann es einfach,ehrlich gesagt, ich kann es schon, ich schäme mich fast dafür,dass wir dieses Thema jetzt hier auch noch an den Anfang der Sendung legen,weil das Ding ist eigentlich durchgefrühstückt für uns, oder?Also ich meine, bei uns ist das so.
Linus Neumann 0:04:20
Neu ist ja, dass es jetzt ja auch im Namen Gottes, mit Gottes Segen,mit Gottes Segen passiert.Das ist doch was Neues.
Tim Pritlove 0:04:29
Naja, gut, also ich meine, Wie du schon sagtest, die Grifter sind auch in amerikanischenreligiösen Zirkeln jetzt nichts Neues.Jetzt macht man es halt auf eine andere Art und Weise, aber wir haben glaubeich schon vor vielen, vielen Jahren hier und an anderen Stellen auch immer wieder betont,in dieser ganzen Blockchain-Geschichte und diesem ganzen Krypto-Geld-Ding stecktfür die Gesellschaft kein Wert. Damit wird nichts besser.Damit wird nichts finanziert. Damit wird nichts möglich.Das ist auch anders, als das von den Protagonisten immer behauptet wird,auch nicht die Lösung für unbanked Personen in irgendwelchen Dritt- oder Viertweltländern,die sonst keinen Zugang zum Geld hätten und so.Also das sind alles so vorgeschobene Argumente, die aber dann trotzdem immer wieder verfangen.Ja, und du siehst das ja auch. Also auch in so einer Nerd-Community hast duimmer wieder Leute, die also glauben, dass jetzt hier irgendwie damit irgendeineFreiheit implementiert werden würde und das ja irgendwie.
Linus Neumann 0:05:44
Die wir bis jetzt noch nicht hatten. Man merkt ja immer, also das mit dieser Financial Freedom.Ich meine, bist du, also ich finde es ja richtig schlimm.So richtig, richtig hart ist ja in meinem Leben immer, wie viele Steine mirder Kapitalismus in den Weg legt, mein Geld auszugeben.Ich stehe morgens auf und will irgendwo was kaufen und ich habe nur Euro.Und dann sofort, nee, Euro, das wird zensiert, die Transaktion wird verhindert,du darfst, kannst jetzt nicht einkaufen.Ich merke, der Kapitalismus ist da so hart darin, in seiner finanziellen Zensuruns Ausgaben nicht zu ermöglichen.Das ist wirklich ein schweres Kreuz, was wir hier zu tragen haben.Und da finde ich das super wichtig, dass wir jetzt mal Financial Freedom kriegen.Mit zensurfreien Währung.
Tim Pritlove 0:06:42
Es ist alles gelabert. Am Ende geht es einfach darum, Leute,die viel Geld haben wollen, dass ihnen das keiner wegnimmt.Sie wollen irgendwie keine Steuern zahlen und sie wollen nicht irgendwelchenRegulationen unterliegen und sie wollen nicht im Zugriff irgendwelcher Exekutiven sein,die ihnen ihre Geschäfte verhindern.Und das ist eigentlich die ganze Story und das hatten wir auch alle schon mal.Das Währungssystem wurde dann entsprechend umgewandelt, um einfach diese Artvon Geld so nicht mehr zu haben.Und diese Regulierungen, die wir haben und diese Aufsichten,das ist halt genau eine Konsequenz daraus.Und so schlecht sind wir damit auch nicht gefahren. Das ist alles egal.Wir müssen hier auch keine Finanzberatungssendung draus machen,aber manchmal zweifelt man ja wirklich.
Linus Neumann 0:07:42
Glaubt unserer Predigt.Übrigens, ich glaube, das Problem, sollte man nochmal darauf hinweisen,also Pyramidenschemata, also warum verbietet man die?Solange die stabil sind, sind die ja quasi in Ordnung.Also du kannst ja im Prinzip sagen, ein Pyramidenschema kann in der Regel immerweiterlaufen, solange nicht irgendeiner sagt, wir wollen jetzt mal gerne alle sehen.Ja, so lange funktioniert das.Das Problem ist, auf dem Weg dahin werfen halt immer mehr Leute Geld rein undder Schaden wird immer größer.Ja, und wenn du das nicht verbietest oder stoppst, dann hast du halt irgendwannSchäden, die eine Volkswirtschaft in Gefahr bringen.Und das wäre natürlich...Zum Beispiel der Fall, wenn wie Trump das jetzt sagt und Christian Lindner,weil Trump das gesagt hat, sagt Christian Lindner das ja jetzt auch,dass beispielsweise die Wertspeicher der Zentralbanken in Bitcoin abgebildetwerden sollen, statt in Gold oder,also auch die Bindung gibt es da ja nicht mehr so.Spätestens dann, also spätestens wenn deine Zentralbank sich auf das Pyramidenschema wirft,beginnt so langsam der gelb-rote Bereich, weil das dann natürlich echt schief gehen kann.Also ich glaube ohnehin, dass es keine besonders kluge Idee ist,in hochvolatilen Risikowährungen Wertspeicher für Zentralbanken aufzubauen.Da wird es eher was, was sich langsam im Preis entwickelt.Gold hat auch Wertschwankungen.
Tim Pritlove 0:09:42
Ja, aber auf Gold basiert es ja auch heute schon nicht mehr.Also das ist ja sozusagen auch eine Vergangenheit.
Linus Neumann 0:09:47
Richtig, aber ich glaube, ich halte Cryptocurrencies für sehr ungeeignet fürdiesen Anwendungsfall.Naja, soviel zu Cryptocurrencies. Wir waren beim Kongress, beim CCC-Kongress.Wollen wir erstmal über so ein paar für netzpolitisch interessierte Hörerinnenrelevante Themen und Vorträge sprechen und dann nachher über unseren Kongress selber.Wir hatten ja in der letzten Sendung schon einige.Bekannte Gäste beim Kongress angekündigt. Julian Hessenthaler,Anne Broer-Hilka und wer nicht alles da war.Nicht alle haben jetzt News gebracht.Wir behandeln ja jetzt die Talks mit den News, empfehlen aber natürlich erstrecht alle Talks, die wir letztes Mal schon empfohlen haben.Julian, super Talk gehalten, Anne Broer-Hilka hat nochmal mit Bildern erklärt.Wie Cum-Ex funktioniert und so weiter.Das war natürlich eine ganz prominente Veranstaltung. Aber ich denke,es gab dieses Jahr zwei Vorträge mit einer besonders hohen Wahrnehmung.Und das ist natürlich als erstes der zur elektronischen Patientenakte.Ich habe mich ja hier in den letzten Wochen vor dem Kongress,da haben wir zum Beispiel auch hier über diese Fraunhofer SIT,Sicherheitsanalyse, du erinnerst dich,wo die den Gematik-GPT trainiert haben, weil das da irgendwie so viel Sicherheitskonzeptgibt, dass sie das statt es zu lesen einfach in ein,Modell damit trainiert haben und dem dann Fragen gestellt haben.Also als habe ich glaube ich auch damals gesagt, als Herangehensweise,um sich überhaupt mit einer Dokumentation auseinanderzusetzen,ist das ja gar nicht verkehrt.Das ist ja nett, machen ja viele Leute.Wenn du viel Papier hast und sagst, du suchst deine Nadel im Heuhaufen,dann nimmst du halt ein GPT oder ein eigenes LLM, ein freies oder was und sagst,kannst du das bitte mal lesen und jetzt sag mir mal bitte,wie man bei dem Scheißding die Batterie wechselt.Und dann macht das das. So was zum Beispiel kannst du machen.
Tim Pritlove 0:12:15
Sehr gutes Beispiel auch.
Linus Neumann 0:12:17
Ja genau. Und das haben die ja mit den Sicherheitskonzepten der Gematik gemachtund hatten ja dann irgendwie so herausragende Ergebnisse wie,wenn der Ostermontag auf den Montag fällt in einem Januar mit R und dann hastdu potenziell fünf Tage zwischen dem Melden einer Schwachstelle,bis die Risikoanalyse stattfindet und deswegen müssen dann,wenn eigentlich musst du in 72 Stunden laut BSI, hast du nicht gesehen,deswegen muss jetzt irgendwie Schichtbetrieb gemacht werden.Also so einen richtigen Bürokraten schöne Sache.Was ich in dieser ganzen IT-Sicherheit eh so.Immer so schön finde, wenn irgendwie so, wir machen jetzt eine Procedure, machen wir jetzt.Da müssen wir jetzt einen Prozess machen, da müssen wir jetzt irgendwie jemanden,in eine Schicht schicken, der hat dann Wochenenddienst, falls einer eine Schwachstelle meldet.Also irgendwie, das ist ja wirklich richtig weit weg von technischer IT-Sicherheit.Und entsprechend findest du mit so einer Herangehensweise natürlich auch nichts.Im Vergleich zu Bianca Kastel und Martin Tschiersig,die sich die EPA für alle angeschaut haben und da ein bisschen dran rumgeforschthaben und darüber einen Vortrag gehalten haben mit dem Titel Konnte bisher noch nie gehackt werden,die elektronische Patientenakte kommt jetzt für alle.Also die EPA für alle ist ja so die, ich glaube es ist die dritte Iterationvon der elektronischen Patientenakte und für alle heißt primär Opt-out.Es ist keine Opt-in-Lösung mehr, sondern wenn du nicht widersprichst,kriegst du eine elektronische Patientenakte.Das ist das, was man jetzt noch, ich glaube bis zum 15. Januar kann man da widersprechen,dann werden die angelegt.Und wir hatten in den bisherigen Sendungen ja auch darüber gesprochen.Dass Leute uns gefragt haben, soll ich jetzt widersprechen oder nicht?Und ich so ein bisschen gesagt habe, naja, das ist eine Entscheidung,die sollte einfach jede Person für sich selber treffen.Und diese neue Ehepaar haben die sich also angeschaut und haben erstmal gesagt,aha, vielleicht sollte ich ganz kurz noch mal die Architektur,grob, sehr, sehr in sehr großen Bögen erklären.Es gibt die sogenannten Heilberufe oder Praxisausweis.Das ist quasi eine Karte, die eine kryptografische Identität enthält,mit der du dann aus dieser großen, großen Datenbank, wo dann die ganzen elektronischenPatientenakten für alle Bundesbürgerinnen drin sind,Abfragen machen kannst.Das berechtigt überhaupt erstmal zum Lese- und Schreibzugriff.Und dann hast du also einen Heilberufs- oder Praxisausweis.Und dann kommt jetzt so eine Patientin mit ihrer Gesundheitskarte,hält die an deinen Leser Und in diesem Moment entsteht ein Zugriffsrecht.Du sagst also, die Karte wird dann da gelesen, ist ja auch eine Kryptokarte.Und jetzt dadurch gewährt dann die Patientin für einen beschränkten Zeitraum.Und schreibt Lesezugriff auf die Patientenakte.Kleiner Hinweis, ich habe gerade extra nur, weil jetzt vielleicht wieder irgendwelcheLeute, ich mache das jetzt in großen Bögen, damit es alle verstehen.Dabei werde ich einige Dinge vereinfachen.Und das sind die Dinge, die ich in meinen Augen für das Erklären für irrelevanthalte. Nur schon mal als kleiner Hinweis.In diesem Moment darf dann diese Ärztin oder diese Praxis auf die elektronischePatientenakte dieser Person zugreifen.So die Theorie. Es gibt also zwei zentrale Schutzziele.Erstens nur Ärztinnen und Ärzte beziehungsweise ihre Praxis,ihre befugten Praxisangestellten dürfen darauf zugreifen und das auch nur beiPatientinnen, die ihnen dieses Recht eingeräumt haben.Und damit wird ausgeklammert zum Beispiel, also nur mal so als Hinweis,das ist aber wahrscheinlich auch einfach sinnvoll ausgeklammert,das Missbrauchspotenzial in der einzelnen Praxis.Also wenn du jetzt irgendwie im Dorf bist und du gehst zur Ärztin und das Personalkann halt auf deine Epa zugreifen.Das war aber auch schon vorher so, dass sie auf deine Gesundheitsdaten zugreifenkönnen, weil die arbeiten halt nun mal bei deiner Ärztin. Ja,also das ist dann eben so.Was nicht sein darf, ist, dass jemand, die nicht berechtigt ist,also nicht Ärztin ist, diese Zugriffsrechte bekommt.Und was auch nicht passieren darf ist, dass jemand, die beispielsweise Ärztinist oder sich als Ärztin ausweisen kann,auf die Gesundheitsakten von Patientinnen zugreifen kann, die nicht die Einwilligung erteilt haben.Beispielsweise also eine Person,die niemals in dieser Praxis war und niemals ihre Karte gezeigt hat.Und wenn das der Fall wäre, dann hätte man ja eine elektronische Patientenakte,wo man sagen könnte, okay,das ist erstmal keine massive Erhöhung des Risikos, dadurch,dass jetzt alle Daten irgendwo zentral gespeichert werden.Jetzt haben aber Martin Tschirsich und Kollegen schon vor mehreren Jahren gezeigt,dass man sich diese Heilberufs- und Praxisausweise problemlos beschaffen kann,weil es dafür natürlich Dienstleister gibt, die die ausgeben,die wollen das günstig machen und dann schreibst sie irgendwie,fälschst ein paar Dokumente oder sowas und bestellst das Ding irgendwie an die Wursttheke.Das wurde damals Svea Eckert von der ARD, das war glaube ich der Titel sogarder Recherche, der Arztausweis an der Wursttheke.
Tim Pritlove 0:19:12
Sehr catchy auf jeden Fall.
Linus Neumann 0:19:14
In dem Fall dann der, der nebenan abgegeben wurde von dem Boten,der da war, um das persönlich an die Ärztin zu übergeben.Also damit ist quasi der erste Schritt gelungen, sich so eine SMCB problemloszu holen oder mit geringem Aufwand zu holen, um erstmal grundsätzlich in der Lage zu sein,auf die EPA überhaupt zuzugreifen mit der Rolle Arzt, Ärztin, Praxis.Und jetzt geht es aber weiter, jetzt würde man ja sagen, naja,okay, jetzt muss ja immer noch jemanden dazu bringen, dir deine Karte da reinzustecken,damit du dessen oder deren Daten auslesen kannst.Und diese Karten haben kryptografische Identitäten, also natürlich,deswegen macht man die, da ist der kleine goldene Chip drauf.Die werden aber bei dem Zugangsrechtemanagement auf diese E-Paar nicht angewendet.Zu einem völlig, mir absolut, also erstens nicht erklärbar und zweitens auch nicht entschuldbar,brauchst du im Prinzip für dieZugriffsberechtigung, brauchst du die versicherten Nummer einer Person,Und die Kartennummer. Und die Kartennummer ist aus einem ebenfalls mir völligunklaren, also das ist im Prinzip eine interne Nummer der Karte.Die sind einfach fortlaufend.Das heißt, wenn du jetzt eine Kartennummer hast und erhöhst die um eins,dann hast du die nächste Kartennummer.
Tim Pritlove 0:20:59
Super, das funktioniert ja bei Online-Shops immer so super mit den Bestellungen und so.
Linus Neumann 0:21:02
So. Und jetzt gibt es, jetzt werde ich, wie gesagt, großen Bogen oder Vereinfachung.Jetzt kannst du zu einer Kartennummer dir die Versichertennummer abrufen.Das hat zur Folge, wenn du jetzt eine Kartennummer kennst und sagst,okay, jetzt gehe ich die, die inkrementiere ich jetzt um eins,dann fragst du einen anderen Service, sag mal bitte, wer die Versichertennummer zu der Karte,dann kriegst du die Versichertennummer und dann sagst du der Ehepaar, hör mal, ich habe hier,Versichertennummer und Kartennummer, bei dem darf ich jetzt zugreifen und dannsagen die, ja super, alles klar, hier bitteschön.Das heißt, die haben in diesem System dieses, also was, also dafür gibt es überhauptSmartcards, damit man beweisen kann, dass die Karte wirklich präsent war.Also es ist auch in den, in so.Kennt ihr wahrscheinlich, wenn ihr mit eurer Kreditkarte oder EC-Karte,Gibt es ja gar nicht mehr, aber ihr glaubt, das wäre noch eine Girokarte, mit der ihr bezahlt.Häufig reicht es, die einfach nur noch da an das Lesegerät zu halten.Da wird aber auch kryptografisch bewiesen, dass die Karte da ist,was kaum noch jemand akzeptiert.Ist, dass man da irgendwie den Magnetstreifen durchzieht, weil der Magnetstreifenso einfach zu kopieren ist.Das heißt, man baut diese Karten, weil sie beweisen können, dass sie zu diesemZeitpunkt tatsächlich da waren.Und das funktioniert durch eine kryptografische Signatur einer Zufallszahl.Dann würde die Epa sagen, ach so, du möchtest beweisen, dass der Pridlaff gerade bei dir ist.Hier ist meine zufällige Zahl, die ich mir gerade ausgedacht habe.Lass doch mal bitte den Tim die mit seiner Karte signieren. Und dann bringtder Tim, bringt Tims Karte eine digitale Signatur auf diese gerade gewürfeltezufällige Zahl an und damit ist klar.
Tim Pritlove 0:23:12
Ah, okay, der ist es ja wirklich.
Linus Neumann 0:23:18
Und der ist auch jetzt gerade da, weil ich habe mir die Zufallsteile ja gerade erst ausgedacht.Wenn ich immer die gleiche nehmen würde, dann kann man ja diese Signatur kopierenund dann könnte der Arzt beim nächsten Mal sagen, jo, der Tim ist immer noch hier.Geht aber nicht, weil nächstes Mal würde eine andere Zufallstage geben.Absolute Basics. Ich müsste jetzt überlegen, die Kryptografie dahinter ist,ich müsste jetzt 30 Jahre, müsste das jetzt ungefähr sein, alt. Und ja,In der massenhaften Anwendung der Menschheit im Prinzip, seit es SIM-Karten gibt.Ich glaube, SIM-Karten waren noch früher mit Kryptoschlüsseln als Kreditkarten.Seit wann gibt es SIM-Karten? Irgendwann in den 90ern mit digitaler Mobilfunktechnologie.
Tim Pritlove 0:24:15
Genau, als es mit den D-Netz, mit GSM-Netzwerken losging.Also ich glaube in den ganz alten C-Netzen und so weiter, da waren zwar auchso Identifizationskarten drin, aber noch nicht mit dieser Kryptografie.Also im Kern ist es halt einfach ein kleiner Geheimspeicher,wo Informationen drinstehen, die man nicht als solche auslesen kann,wie das bei den Magnetstreifen eben noch der Fall war.Und man kann eben deren Präsenz und Gültigkeit indirekt eben über diese klassischenKryptografie-Methoden nachweisen, indem man eben sagt, hier beweis mal, dass du es bist,indem du aus dieser Zahl eine andere machst, von der ich mit dem Gegenschlüsselüberprüfen kann, dass das auch der richtige ist und damit ist das Ding klar.Eigentlich ein sehr einfaches Prinzip, tausendfach angewendet in vielen Anwendungen,aber irgendwie für die Patientengeschichte offensichtlich schon noch zu kompliziert.
Linus Neumann 0:25:10
Genau. Und das, also lange Rede, kurzer Sinn, beides funktioniert.Also du kriegst einen Heilberufeausweis und du kannst dann Zugriffstoken fürdie E-Pass beliebiger Versicherter erstellen.Du kannst auch spufen, also du kriegst eine Karte, du hast eine Karte und änderstquasi die Zugriffsfreigabe, die du mit der einen Karte bekommst.Da änderst du einfach die Kartennummer auf andere, funktioniert auch.All das sind Dinge, die man mit kryptografischen Identitäten verhindern könnte,die werden aber nicht angewendet. Und das ist...Mir ist überhaupt nicht klar, wie man sowas machen kann, weil es halt wirklichseit ungefähr 30 Jahren klar ist, dass man das nicht zu machen braucht.Also es ist ein gelöstes Problem.So Martin Tschirsich und Bianca Kastel haben darüber vorgetragen.Natürlich haben sie diese Probleme schon frühzeitig der Gematik gemeldet undauch natürlich vorgeschlagen,wie man sie beheben kann.Und war das denn irgendwann so Mitte Dezember, meldete sich dann Karl Lauterbachbei mir und wollte mal sprechen über die elektronische Patientenakte.Jetzt muss man natürlich wissen, Karl Lauterbach ist scheidender Gesundheitsminister.Und diese elektronische Patientenakte mit all ihren anderen Themen,auch dem Forschungszugriff und so weiter, der Verknüpfung der Daten und so,ist ja so sein Herzensprojekt.Und der Mann ist Epidemiologe, wir wissen, dass der Gesundheit ernst nimmt unddem ist dieses Ding sehr wichtig.Er meldete sich, dann hat er einen Call gemacht, dann hat er gesagt,ja okay, erstens muss ich sagen, wirklich hat er die Sachen ziemlich gut verstanden, die Probleme.Also er hat sich da für einen Minister schon enorm reingefuchst und war in derLage auch die technischen Probleme da größtenteils korrekt wiederzugeben undauch die Lösungen und hat dann eben in Aussicht gestellt,dass diese Probleme behoben werden müssen.Vor dem Launch. Da ist jetzt natürlich, und das kann man jetzt erstmal nur sohinnehmen, so gibt es jetzt auch die Berichterstattung, deckt natürlich ab,dass keine Verzögerung des Launch stattfinden soll und dass die Probleme gelöst werden sollen.Man fragt sich ja natürlich, die haben ja jahrelang an dieser EPA für alle gebastelt.Wie hat diese Gematik das geschafft, so einen Murks zu spezifizieren,durch alle Gremien zu bekommen,sogar irgendwie so einen Gematik-GPT-Test von der Fraunhofer zu überleben unddas dann dem Gesundheitsministerium hinzulegen.Und dann müssen wieder irgendwelche freiwilligen, interessierten Bürgerinnenund Bürger sagen, Leute,könnt ihr mal bitte das einfach nach, also Stand der Technik ist ja schon lächerlich,ja, also nach Stand der Technik des Jahrhunderts machen.Des letzten Jahrhunderts Stand der Technik des letzten Jahrhunderts das istjetzt einfach mal so die Hürde das ist einfach jetzt mal so der Maßstab,und das ist sehr faszinierend diese Gematikleute, die fressen da Millionen Millionen und dann.Funfact wir erinnern uns an die Sache, Flippke hatte das ja hier glaube ichauch mit uns im Logbuch besprochen Wir erinnern uns an diese Konnektoren,wo nicht spezifiziert worden war, dass die Konnektoren mit ihrem kryptografischenSchlüssel auch irgendwann einmal updaten müssen.Wo nicht spezifiziert war, dass ein Konnektor, wenn der kryptografische Schlüsselabläuft, nicht in den Müll muss.Also haben die Hersteller gesagt, na klar, wenn der jetzt abläuft.Da muss der in Müll, weil natürlich muss der in Müll, weil wir verkaufen dieDinger, ja? Und wenn der in Müll muss, verkaufen wir einen neuen.So machen wir das jetzt, ne? Und also mit solchen Leuten hast du das zu tun, ne?Wenn du sagst, lass uns elektronische Patientenakte machen, dann sitzen haltirgendwie so Leute so, okay, lass mal, pass auf, ich hab ne Idee, wir machen das so.Da verdienen wir mehr Geld, ne?Und das ist, also tut mir ehrlich gesagt der Karl Lauterbach halt auch leid,oder auch, was heißt Karl Lauterbach? der ist ja einfach nur ein Mensch.Unser Staat, der da verarscht wird von diesen Leuten, der könnte einem leid tun.Wir haben wirklich irgendwelche Schrotttechnologie da verbastelt,um sich daran gesund zu stoßen.Und am Ende müssen wirklich, ich meine, Martin und Bianca sind da irgendwie,halt einfach nur interessierte Leute.Die haben ja jetzt auch nicht Geld dafür bekommen, dass sie auf diese Problemehingewiesen haben. Die wurden jetzt auch nicht engagiert.Die haben auch keine, weiß nicht wie viel, 10.000 Euro Fraunhofer für einenkomischen Gematik-GPT wahrscheinlich bekommen hat.Haben die ja alles nicht. Die haben einfach nur gesagt, zeig mal bitte. Was ist das denn?Und solche Leute brauchst du, um die Gesundheitsakte irgendwie halbwegs hierin diesem Land auf der Spur zu halten. Das ist schon ein schlechtes Zeichen, ja.Dass es so weit kommt, dass es so weit kommt, dass Freiwillige das in ihrerFreizeit aus Interesse komplett zerlegen müssen.Weil du in der gesamten Kette, in der gesamten Wertschöpfungskette niemandenhast, der sagt, wie wäre das denn, wenn wir versuchen, das ordentlich zu machen?War offenbar keiner.Naja, ich weiß nicht. Also ich habe...Also es gibt, ich würde sagen, die Lösungen, die da jetzt gerade diskutiert werden,bestehen zum Beispiel darin, dass du zu einer gegebenen Kartennummer,die du dir ja wie gesagt durch inkrementieren herbeiholen kannst,nicht mehr die versicherten Nummer bekommst.Das löst das Problem erst einmal.Das ist halt eine provisorische Lösung für ein nachhaltiges Problem.Nämlich, dass es einfach nicht ordentlich gemacht wurde. Man kann aber,also man könnte sagen, okay, wir nehmen diese provisorische Lösung,Protokolländerung und so weiter und rollen dann später tatsächlich kryptografischeIdentitäten aus und nutzen die.Das wäre eine theoretische Möglichkeit.Glaube ich, dass man das in letztendlich weniger als einem Monat stabil hinbekommt,dann frage ich mich, warum die vorher jahrelang das Problem nicht gelöst haben.Also ich bin nicht so ganz sicher, aber ich habe da auch keine so guten Einblicke.Ich glaube, wenn du die Gematik bist und Karl Lauterbach dir so hinten in denNacken atmet, dann kann das sein, dass du das in einem Monat hinkriegst,aber es kann auch sein, dass das da zu einer Verzögerung kommt.
Tim Pritlove 0:33:01
Zumal wir jetzt noch Wahlen vor uns haben, die da eh nochmal alles rauszögern können.
Linus Neumann 0:33:05
Ja, das ist natürlich das andere Ding. Ich glaube, die Widerspruchsfrist endet am 15.Und dann gibt es ja in der Modellregion, in der Modellregion soll das dann,glaube ich, ab 15. Februar launchen.Und da ist für diese Ausgabe der Praxisausweise,da nehmen sie im Prinzip die Lösung, dass sie sagen, die ganzen AltersgruppenDie alten gelten nicht und nur die neuen gelten für die elektronische Patientenaktefür alle und bei den neuen machen wir,jetzt endlich mal reparieren wir den Prozess, dass man an so eine Karte kommt.Das sind ungefähr die beiden zentralen Lösungen, wieder in großen Bögen erklärt,die da aktuell diskutiert werden und ich denke als Provisorium könnte man das machen.Das darf aber nicht davon ablenken, dass man hier nachhaltige Lösungen brauchtund nachhaltige Lösungen sind vernünftige Implementierungen nach Stand der Technikdes letzten Jahrhunderts.Das war das. Vortrag ist empfohlen. Es gab dann auch noch irgendwie,also die haben noch sehr viel mehr.Sie haben irgendwie SQL-Injection auf dem Karten-Herausgeber-Portal.Da konntest du also dann, also und so weiter und so fort.
Tim Pritlove 0:34:25
Einmal alles.
Linus Neumann 0:34:27
Alles, ja. Genau. Großes Thema, natürlich gerade jetzt auch.Presseanfragen hageln gerade beim CCC ein. Soll man da rein,soll man da nicht rein, soll man widersprechen, soll man nicht widersprechenund so weiter und so fort. wie sicher sind meine Daten, was können Kriminelle mit den Daten machen.Und das auf jeden Fall würde ich sagen, ein größerer Krater,der da hinterlassen wurde.Und ich könnte sagen, meine Enttäuschung über die Unternehmen,die für Staaten oder für die Regierung wirklich hochkritisches Software bauen,könnte größer nicht sein.
Tim Pritlove 0:35:11
Man muss wirklich den kompletten Entwicklungsprozess infrage stellen.Also es kann ja eigentlich nicht sein, dass vor allem, wenn so viel Fundingvorhanden ist, dann am Ende immer noch so mittelmäßig geliefert wird.Also da sind einfach die Standards sind da einfach zu gering und ich vermuteauch einfach mal die bisher etablierten Prozesse, wie man überhaupt Softwareentwicklungim großen Maßstab oder sagen wir mal Systementwicklung, das ist ja nicht nur Software.
Linus Neumann 0:35:45
Architektur würde man in dem Fall sogar, das ist ja eine Architekturfrage.
Tim Pritlove 0:35:49
Also wie plant man das, aber auch wie geht man dabei vor?Also was sind auch die Prozesse, was sind die Überprüfungsprozesse?Das kann ja wohl nicht sein, dass jetzt nach so einem jahrelangen Hickhack,wo es schon auch immer viele regelmäßig veröffentlichte Hinweise auf grundlegende Probleme gab,das ist ja alles nichts Neues,dass dann immer noch keine Prozesse in place sind, die das einfach grundsätzlich,vielleicht nicht vermeiden, aber zumindest in einem Rahmen halten.Und ja, das ist schon wirklich sehr bedrückend, weil einfach hier zu wenig Incentive ist,für diese Unternehmen halbwegs modern zu arbeiten.Das ist so ein bisschen mein Eindruck. Also man ergibt sich durch diese Vergabeverfahren.Und eigentlich dann immer wieder in diese Situation, wo Unternehmen dann abeinem bestimmten Zeitpunkt einfach mehr oder weniger unkontrolliert tun undlassen können, was sie wollen und dabei einfach zu wenig Begleitung haben.Softwareentwicklung speziell heutzutage heißt halt auch, möglichst permanenten Review zu haben.Und es kann nicht sein, dass immer alle ganz lange auf irgendeine Deadline hinarbeitenund das Ergebnis sieht man dann eigentlich erst am Schluss, sondern das musseigentlich so ein permanenter Prozess sein. Ich fand das ganz interessant.Ich hatte ja, als ich hier mit Thomas zuletzt ein paar Sendungen gemacht hatte,war ich ja bei diesem speziellen Tag,wo es jetzt um diese Entwicklung dieser Wallet ging, die von diesem Sprint abgewickeltwurde, wo so ein offener Wettbewerb ja gemacht wird.Und da hat man schon mal gesehen, dass es auch anders geht, dass also auch soein offener Prozess mit viel Open Source vorgenommen werden kann.Das ist jetzt sicherlich nicht eins zu eins umzusetzen, aber da kann man sehr viel daraus lernen,weil dort so ein, also nicht nur ein permanenter Wettbewerb,aber eben auch so eine permanente Offenheit ist und vor allem auch so eine permanenteBegleitkultur etabliert wurde.Weil halt von Sprint eben Experten herangeholt wurden,die quasi während diese ganzen Unternehmen ihren Kram entwickelt haben,die ganze Zeit auf diesen Code geschaut haben,hingegangen und gesagt haben, hier Leute, guck mal da, ich hab mir das mal angeschaut,mach das mal nicht so, mach das mal so oder hier, müsste man das bedenken,aus welchen Gründen auch immer.Und abgesehen davon, dass es da halt einen Wettbewerb um den richtigen Weg ging,war es halt vor allem erstmal ein offener Prozess, in dem sich auch alle beteiligen können.Also in dem sich auch jeder beteiligen kann. Also in dem wir uns hätten beteiligen können.Und ich glaube, so oder so ähnlich müsste man auch künftig bei der Entwicklungsolcher Systeme vorgehen.Weil am Ende findet das ja dann eh statt.Und da das eben auch öffentliche Infrastruktur ist, kann ja auch gleich öffentlichentwickelt werden und dann wird zwangsläufig da eine ganz andere Softwarekultursich entwickeln, weil man einfach mit diesen alten, althergebrachten mittelständischen Ansätzen da,überhaupt gar nicht mehr Fuß fasst und auch überhaupt nicht mehr konkurrenzfähig ist.
Linus Neumann 0:39:09
Ja, also korrekt, ich würde aber trotzdem nochmal sagen, das ist,was wir hier haben, ist ein Architekturproblem, nicht ein Entwicklungsproblem, ja,Das haben die mit Sicherheit auch noch, ja, das haben sie noch on top.
Tim Pritlove 0:39:29
Ja, aber auch diese Architektur ist ja entwickelt worden. Und also auch dieserEntwicklungsprozess, wie man auf diese Architektur gekommen ist,der ist ja sozusagen schon der Beginn des Problems.Da kann man gar nicht mehr sehr viel richtig machen.Aber auch wenn diese Architektur entwickelt wird, kann man das in the open machenund kann, während man daran arbeitet, in so einem freien Wettbewerb eben sagen,okay, ja, nee, das geht hier in die falsche Richtung, das müssen wir anders machen. Just saying.
Linus Neumann 0:39:56
Ja, ja.Im Zweifelsfall wäre es eine einfache Anforderung gewesen. Es ist eine Katastropheund einfach nur peinlich, dass sie das nicht gemacht haben und man,ja, die sollten sich was schämen.Und die werden alle wieder irgendwelche Ausreden haben und das ist alles,das ist einfach nicht zu entschuldigen, das muss man ganz einfach sagen.Das ist nicht zu entschuldigen.Insbesondere nicht, wenn du, und hier kann ich übrigens den Karl Lauterbach nur beipflichten,wenn du das größte und kritischste Digitalprojekt der Bundesrepublik Deutschland ever bist.Es gibt eigentlich kein 70 Millionen Patientinnen-Akten sollen da reingekipptwerden Gesundheitsdaten von 70 Millionen Menschen,das ist im Zweifelsfall die größte Datenbank die irgendjemand in Deutschlandseit langem baut, also abgesehen von Facebook oder sowas,die hat also in Datenmenge wahrscheinlich einfach mehr haben,weil Aber das ist die größte nationale Datenbank garantiert der BundesrepublikDeutschland und sie hat die schützenswertesten Daten der Bürgerinnen und Bürger überhaupt.Was kritischeres, größeres gibt es nicht.Gibt es einfach nicht.
Tim Pritlove 0:41:27
Ja, ich meine, wir haben natürlich auch Personalausweis und Einwohnermeldedaten,liegt ja auch alles irgendwie letzten Endes von jedem Bürger rum,aber es ist halt nicht so persönliche Informationen.
Linus Neumann 0:41:39
Da würde ich halt sagen, das ist dann halt eine Datenbank.Das ist ja hier ein Digitalprojekt mit einer Infrastruktur dahinter,die ja in tausende Arztpraxen geht.Also das ist ein Infrastrukturprojekt und da hast du solche Vöglein dran sitzen.Das ist wirklich durch nichts zu entschuldigen. Durch nichts zu entschuldigen.Natürlich kommt hier auch erschwerend hinzu, dass man jetzt auch noch quasigezwungen wird, daran teilzunehmen.Entschuldigung, das ist falsch. Dass man widersprechen muss,wenn man daran nicht teilnehmen möchte.Und es ist natürlich jetzt ein unschöner Fall, dass jetzt Ärztinnen und Ärzte,Kinderärztinnen und so weiter sagen, ey, sorry, wenn das irgendwie nichts ist,dann widersprecht jetzt.Und potenziell ist das wahrscheinlich sogar, zum jetzigen Zeitpunkt nicht unsinnigzu widersprechen, weil man dem System in seiner jetzigen Qualität, die zum Stand 11.Januar, nicht angehören möchte.Dann gibt es so ein paar Hotfixes, die den massenhaften Missbrauch erstmal erschweren,die technischen Qualitätsmängel verbleiben, die Ausnutzungsmöglichkeiten werdennoch stärker reduziert.Da stellt sich dann die Frage, ob man mit so einem Hotfix leben will oder obman sagt, okay, ich warte lieber mal, ich möchte ehrlich gesagt erst, wenn das Ding stabil,mit Stand der Technik des letzten Jahrhunderts umgesetzt wurde, Teil davon sein.Das sind jetzt, und da gibt es eigentlich gerade, ich weiß nicht,ich müsste mal gucken, ob man da widersprechen kann und sagt,passt auf, ich widerspreche bis in zwei Jahren, meldet euch dann gerne nochmal,vielleicht möchte ich dann mitmachen.Wenn bis dahin Martin und Bianca nicht einen neuen Vortrag halten mussten,weil ihr das immer noch nicht hingekriegt habt, dann können wir nochmal drüber reden.Die Option habe ich da noch nicht gefunden.Ja, also Vortrag ist in den Shownotes verlinkt und natürlich sehr empfohlen.Dann gab es einen Vortrag von Flüpke und Michael Kreil zu einem Datenleck,das bei der Firma Carriott angefallen ist.
Tim Pritlove 0:44:29
Ich finde den Begriff Datenleck an dieser Stelle wirklich ganz interessant,weil ich weiß nicht woran du denkst, wenn du ein Leck hörst.Also ein Leck ist ja sowas wie, da tropft irgendwo ein bisschen was raus.Aber ich hatte jetzt eher so das Gefühl, das ist so ein Kieslaster,wo so auf der Autobahn hinten mal die komplette Klappe aufgeht.So eine Art Leck ist das.
Linus Neumann 0:44:53
Ja, aber wenn du mit deutscher Internetgeschwindigkeit diese Daten abschürfst,dann ist es doch nur ein Leck.Also was ist hier passiert? Habe ich viel gelernt.Ich habe in diesem Fall die Kommunikation mit dem betroffenen Unternehmen übernommen.Wir machen das als CCC ja sehr häufig, dass wir Schwachstellen melden.Am meisten macht das, glaube ich, aktuell der Kantorkel.Ich mache das auch regelmäßig.Gestartet habe ich das irgendwann mal vor ein paar Jahren. Wie dem auch sei,man kann sich an disclosure.ccc.de wenden und dort Schwachstellen melden,die vielleicht eine Nummer zu heiß sind.Oder wo man sagt, es wäre mir lieb, wenn hier nochmal jemand drüber schauen würde.Sehr häufig...Oder, also, es ist immer, immer anders, aber einigen, die sich da hinwenden,helfen wir halt einfach, ihren Write-up zu machen und sagen,alles klar, schick den mal so ab oder beschreib das mal noch anders,lass mal den Satz weg, wo du sagst, du willst Geld dafür haben oder irgendwie sowas, ne?Bei einigen sagen wir, okay komm, wir machen das für dich, weil das vielleichtso, da riecht es ein bisschen nach Ärger.Da ist vielleicht besser, wenn da einfach der CCC anklopft, weil das bei denmeisten Leuten, oder weil die Hoffnung besteht, dass die Leute ein zweites Malnachdenken, bevor sie jetzt irgendwie irgendwas.
Tim Pritlove 0:46:39
In Marsch setzen.
Linus Neumann 0:46:40
Unüberlegtes Tun. Dieser Fall war so, hat eine anonyme Person diesen Sachverhalt aufgedeckt.Und ich habe die Kommunikation in dem Fall gemacht, wie gesagt, eher Zufall.Der Volkswagen-Konzern. Relativ großes Unternehmen.
Tim Pritlove 0:47:08
Kann man sagen.
Linus Neumann 0:47:10
Mit den Töchtern, hoffentlich kriegst du jetzt hin, Seat, Audi, Volkswagen, Porsche.
Tim Pritlove 0:47:23
Skoda.
Linus Neumann 0:47:24
Und jetzt fehlt noch einer.
Tim Pritlove 0:47:25
Skoda.
Linus Neumann 0:47:26
Skoda.So, die bauen Autos und die versuchen ja,das ist sicherlich auch einigen bekannt, bei einigen dieser Fahrzeuge zum Beispielgleiche Plattformen zu nutzen, um irgendwie Aufwände zu vereinheitlichen oderAufwände zu reduzieren, besser zu skalieren.Beispielsweise gibt es den Golf auch nochmal von Skoda oder so. oder irgendwie.
Tim Pritlove 0:47:53
Ja, das ist also schon seit Jahrzehnten eigentlich so der Standard im Automobilbau.Man entwickelt jetzt nicht für jedes Modell eine ganz eigene Basis,sondern man entwickelt eine Plattform, auf der man dann, also wo dann halt bestimmteDinge einfach einheitlich sind.Das heißt, du kannst dann eben das einmal bauen und in vielen Modellen machen,weil die sich ja dann am Ende nur unterscheiden, haben die jetzt einen Stufenheck,hat das einen Fließheck, irgendwie wie lang ist der, ein anderer Radabstand.Also diese ganze Elektrizität, Die ganze Steuerungstechnik, die interne Verstromung etc.Das ist dann eben weitgehend identisch und damit kann man Kosten sparen unddas ist dann eben auch teilweise eben nicht nur auf eine Marke bezogen.Also in diesem Fall tauscht natürlich Volkswagen die Technik eben mit,also Marken sind am Ende nur ein Branding und eine Anpassung an die Märkte,indem man das rausbringt undteilweise werden diese Plattformen ja auch herstellerübergreifend geteilt.Also es gibt dann auch Kooperationen mit Ford oder so, wo man dann sich daraufeinigt mit hier, okay, dann nehmen wir mal diese Plattformen, ihr nehmt die auch etc.Und insbesondere ist das natürlich der Standard jetzt, wo alles auf elektrischeFahrzeuge geht, da sind diese Plattformen dann nochmal wichtiger geworden.
Linus Neumann 0:49:07
Genau und wenn du jetzt sagst, wir wollen jetzt Auto-Apps haben und irgendwiedie Autos funken Telemetrie nach Hause,dann machst du das natürlich auch und dafür gibt es die Volkswagen-Tochter Carriot,also das ist quasi deren Connected-Car-Tochter.Und wenn du jetzt irgendwie ein Fahrzeug der Volkswagen-Gruppe hast,das in irgendeiner Weise Cloud-Funktionen hat, dann wird diese ganze IT, das baut dir Carriot.Und also wenn du jetzt eine Volkswagen-App oder so was, eine Volkswagen-App,Audi-App und so weiter, die greifen auf irgendwelche Cloud-Infrastrukturen zu,bieten ähnliche Services an, Carriot.Also mach das nur, damit man jetzt versteht, dass in dem Fall Volkswagen,wenn ich jetzt Volkswagen sage, meine ich die Volkswagen Gruppe und wenn ichCarriette meine, meine ich quasi deren IT und die wird eben auch von den anderenmit, von den unterschiedlichen Marken genutzt.So, was ist hier aufgefallen? Das war im Rahmen einer,also die anonyme Person hat so ein bisschen Internet-Erkundungsreise gemachtund da gibt es quasi so bestimmte Endpunkte, wo man bei jedem Server einfach mal schaut,guckt doch mal, ob der das anbietet.Ja, und wenn er das anbietet, ist es unter Umständen interessant.Und das, was man als irgendwie so ein Server ins Internet hängt,dann wird da relativ oft jemand vorbeikommen, der mal fragen will,ob man nicht die WP-Config-PHP sehen kann.Ja, weil wenn es bestimmte Fehlkonstruktionen gibt, dann wäre die,also das kann ich noch nie gesehen, aber wäre die theoretisch anzeigbar undda stehen halt bestimmte Secrets drin und dann könnte man unter Umständen ein WordPress übernehmen.Und besonders interessant ist das bei Debug-Funktionalitäten.Wenn man jetzt quasi so eine Web-Applikation entwickelt, zum Beispiel eine Web-Applikation,die eine API bereitstellt, ein Application Programming Interface,das, womit am Ende dann das, was in der Cloud ist,womit die App auf dem Handy redet.Und wenn man so etwas entwickelt, dann gibt es natürlich für den Prozess derEntwicklung eine Reihe Debug-Funktionalitäten, die man sich so einrichten kann.Und eine, in diesem Fall Betroffene, ist der Endpunkt, über den Heap-Dumps bereitgestellt werden.Was ist ein Heap-Dump? Ein Heap-Dump ist im Prinzip ein Dump,also ein Dump mal alles, so wie der Kieslaster.Und zwar in dem Fall deinen kompletten Speicher.Kipp mal bitte alles aus, was du gerade so, was dir gerade so im Kopf ist.Womit du gerade so hantierst. Und,Das betraf hier, die Person hat einen Endpunkt,einen Actuator von einer API gefunden, wo man Heap Dumps bekommen hat und hatsich dann irgendwann mal ein paar Monate später angeschaut und hat gesehen,oh guck mal hier, da sind Secrets drin,also quasi geheime Zugriffstokens für so Amazon S3 Buckets. Das ist ja interessant.Nehme ich doch mal das Secret, was hier in dem Hiebdamm steht und gebe das malan zur Authentifizierung bei diesem S3-Bucket und sage, gib mal bitte Daten.
Tim Pritlove 0:52:55
S3-Bucket muss man vielleicht kurz erklären. Also S3 ist so dieser Datenspeicherservicevon Amazon, sehr populär und ein Bucket ist sozusagen so eine Einheit.Da hat man Zugriff auf ein Ding und dann kann man da beliebig viel Daten reinschmeißen.Was das ist, hängt dann von dir ab.
Linus Neumann 0:53:13
Das benutzt du, wenn du eben Daten speichern möchtest,in der Cloud wenn irgendjemand Daten in der Cloud speichert ist es sehr wahrscheinlich,dass er einfach in irgendein S3 Bucket wirft und da steht dann am anderen Endesteht ein Amazon Datenzentrum und sagt, danke, danke, danke,danke, gib mal her ach, willst du sehen, ich glaube, abrufen kostet mehr als reinwerfen, gute Idee,die wissen ja alle, die sie ihr Geld machen, auch geil ach, willst Daten beiuns speichern, gar kein Thema,achso, du willst die zugreifen.Das kostet aber jetzt.Die können das alle sehr gut. Also alles echt Geschäftsleute.
Tim Pritlove 0:53:51
Wobei es da auch ein gutes Argument dafür gibt, weil oft sind diese Daten ebenauch nur so zur Sicherheit dort und man greift da nur drauf zu, wenn man hohe Not hat.
Linus Neumann 0:54:04
Genau, und gerade in hoher Not will man ja viel Geld von den Leuten nehmen.
Tim Pritlove 0:54:10
In diesem Fall war aber der Zugriff das, was überhaupt erst die hohe Not erzeugt.
Linus Neumann 0:54:15
Ja, okay, also Heapdump, eine Debug-Funktionalität, die in Produktivumgebungenniemals geschaltet werden darf.Das ist der Fehler. Da purzeln jetzt raus die Secrets, um Daten aus einem Amazon-Bucketzu holen. Und zwar nicht wenige, sehr viele.Und jetzt stellt sich heraus, diese Daten beinhalten eine Reihe an Geokoordinaten,Uhrzeiten und Vehicle Identification Numbers.So, Vehicle Identification Nummer ist quasi die Fahrzeugnummer,also ist nicht gleichbedeutend mit der Fahrgestellnummer, aber es ist quasiein Unique Identifier eines Autos.Uhrzeit kennen alle, Geolokationsdaten auch.Du hattest also jetzt hier von, ich glaube, ungefähr 800.000 Kfz eine Reihean Informationen, wann die sich wo befunden haben.Und diese Informationen waren in der Regel verbunden mit so Hinweisen wie Engine-Offund Batterieladezustand.Ein bisschen Beschäftigung mit den Daten zeigte dann also auf,es waren Elektrofahrzeuge.Die nach Hause gefunkt haben, jedes Mal, wenn sie ausgeschaltet wurden.Und zwar ihren Batteriezustand und ihre Lokation.Jetzt gibt es, auch hier mache ich den großen Bogen. Bitte schaut euch den Vortragan und lest den Spiegelartikel, wenn ihr das genau im Detail machen wolltet,weil es gab jetzt wiederum Unterschiede zwischen den einzelnen Marken.Die meisten haben die Geolokationen gekürzt gehabt, sodass das nur auf 10 Kilometer genau war.VW, also die Marke VW, allerdings nicht und die machte ungefähr die Hälfte der Daten aus.Jetzt hast du also von insgesamt 800.000 Autos Bewegungsprofile.Durch einen weiteren Teil von Daten, die du jetzt da mit der Vehicle IdentificationNummer hattest, konntest du das aber mit den Nutzern der VW App oder Audi Appoder Skoda App oder was auch immer mappen,um auch noch herauszufinden, wem denn dieses Fahrzeug gehört.Denn die Identity Provider Secrets fielen auch noch raus.Du konntest also jetzt quasi sagen, das war dann quasi ein Schritt mehr zu sagen,okay, hier aus dem S3 Bucket purzeln die ganzen Autos.Wem tun die denn gehören? Das war jetzt quasi noch ein Schritt mehr,an einer anderen Stelle zu sagen, hier, ich bin ein Auto, hier ist eine Vigal.Identification Number, sag mal, wem die gehört.Ach so, und übrigens, als die Person kann ich mich jetzt auch identifizieren.Und dann konntest du quasi deren personenbezogene Daten und dann konntest duquasi herausfinden, alles klar, und das ging in beide Richtungen.Hättest du jetzt auch eine Person nehmen können und sagen können,welches Auto fährt die denn?Und du kannst ein Auto nehmen und sagen, wem gehört das denn?Ja, ähm,Super schön und die Daten gingen zurück irgendwie weit über,im längsten Fall über zwei Jahre.Ja, und das ist einfach jeder fucking, jedes einzelne Mal, wo du das Auto abgestellthast. So, was macht man mit den Daten?Und jetzt kommt hier, glaube ich, der interessante Teil. So,the classic CCC way wäre an dieser Stelle,ein paar Daten herunterzuladen, ein paar Daten zuzugreifen, um das alles zubestätigen und dem betroffenen Unternehmen Bescheid zu sagen,so übrigens Fehler gemacht.In diesem Fall sind wir ein bisschenanders vorgegangen und das möchte ich vielleicht einmal kurz erklären.Ich glaube nicht, dass das Problem in diesem Fall war, dass die Daten schlecht geschützt sind.Das Problem, also das war auch ein Problem, aber das war nicht das Kernproblem.Das Kernproblem in diesem Fall war, dass die Daten gesammelt werden.Warum sammelt Carriott von allen möglichen Autos in 800.000 in diesem Fall jedeneinzelnen Ort, wo die jemals hingefahren sind, über bis zu zwei Jahre?Also quasi jeweils seit Anmeldung des Autos. und.Offiziell zumindest habe ich das nicht gefunden, wurde es in der Berichterstattungauch im Spiegel nicht erläutert, warum das so ist.Das tut mir jetzt leid für Carriott, weil ich hätte das an deren Stelle versucht zu erklären.Ich kann es aber jetzt auch nicht unbedingt für die erklären,ich kann nur Hypothesen bilden, warum die das vielleicht machen könnten.Also ich spekuliere jetzt, warum man so etwas Warum würde man sowas überhaupt machen?Und betroffen sind nur Elektroautos. Es gibt andere Datensammlungen,die Carriot macht, die zumindest in diesem Fall nicht betroffen waren.Das ist nicht alles, was Carriot sammelt, aber dieser eine spezifische Datensatzbetraf nur Elektroautos.Und nur von einer bestimmten Plattform. Die genaue Liste der Kfz gibt es indem Vortrag von Michael Kreil und Flüpke zu sehen.So jetzt, die haben öffentlich nicht bekannt gegeben, warum sie überhaupt diese Daten sammeln.Und ich hätte es an deren Stelle erklärt, weil es natürlich eigentlich Problem,also wäre ja schon ganz nett gewesen, eine Rechtfertigung zu geben,wofür die Daten überhaupt sind.Ich kann also nur spekulieren. Mein Verdacht ist, dass diese eine spezifischeDatensammlung dazu dient,bei Elektroautos bessere Prognosen über ihre Batterie machen zu können.Weil dafür würde dich das nämlich genau interessieren, welchen Batteriezustandhat die Karre beim Starten, welchen Batteriezustand hat sie beim Abstellen und da wo sie ist,daraus kannst du ableiten, wie da die Wetterbedingungen sind.Und es ist für Elektro-Kfz eine Herausforderung, quasi die Reichweite gut zuprognostizieren oder die Ladeempfehlungen zum richtigen Zeitpunkt zu geben,insbesondere im Winter.Jetzt könnte man natürlich sagen, okay, es wäre vielleicht sinnvoll,Wenn die Temperaturmessgeräte in dem Auto sagen, ist kalt, dass das Auto das berücksichtigt.Aber das tun die offenbar nicht. Oder auch zum Beispiel zu sehen,naja, was sind Realreichweiten, die wir erreichen.Das wäre ein theoretischer, denkbarer Grund, solche Daten zu sammeln.Carriott hat aber über diesen speziellen Datensammlungsteil nicht erklärt, warum sie das tun.Zumindest nicht nach meiner Kenntnis. Ich habe auch gerade nochmal auf derenWebseite geschaut. Ich habe den Spiegelartikel gelesen.Das ist die einzige Primärquelle dazu. Die haben keine offene Aussage dazu getroffen.Es gibt aber den Begriff Feldbeobachtung, der in der Kfz, in der Elektro-Kfz-Branche üblich ist.Und das könnte ich mir vorstellen, dass es sich dabei um Feldbeobachtungen derBatterien gehandelt hat.Als Zweck für diese eine spezifische Datenerfassung. Wie gesagt,es gibt auch noch andere Sachen, die die machen.Zum Beispiel bietet Volkswagen an, die werben auch damit. Wenn du vergessenhast, wo dein Auto steht, Volkswagen weiß es.Dann kannst du in der App, siehst du, wo dein Auto steht. Weiß Google ja auch eh schon.Wenn du mit Google Maps da hingefahren wirst, steht es da auch.Und das betrifft, das waren aber zumindest nicht die Daten, die hier betroffenwaren, weil die den Leuten sagen, wo das Auto steht, kannst du halt nicht,wenn du die Geokoordinaten nur auf 10 Kilometer genau gesammelt hast.Und das ist der Teil, der mich eben an dieser Stelle zu der Hypothese verleitet,dass es sich eventuell um eine solche Feldbeobachtung hätte handeln können.Meine persönliche Hypothese.Wenn das so wäre, dann frage ich mich, wann haben eigentlich die ganzen Leute,die diesen Karren fahren, zugestimmt?Wann haben die denn gesagt, ich möchte, dass diese Daten erfasst werden?Wahrscheinlich irgendwann, entweder beim Kauf des Fahrzeugs oder nach Übernahmedes Fahrzeugs, wenn irgendwie so eine, hallo, ich bin hier ein neuer Skoda,hast du nicht gesehen? Klicken Sie mal bitte ja.Und hier ist der Button nach unten scrollen, dass sie alles gelesen haben.Man kann sich von Carriott so oder von den, also das ist ja wirklich auch einbisschen absurd, weil das ist ja dann eine Funktion des Autos, nicht der App.Es waren auch einige, die meinten, naja, vielleicht ist das ja eine Funktionder App. Nein, du musst ja nicht die App haben. Das Auto hat das auch gemacht,wenn du die App nicht hast.Die meisten Leute haben natürlich die App zu ihrem Auto, weil klar,wenn du ein neues Auto kaufst, holst du ja die App, ist ja klar,willst du die App zu deinem Auto haben.Aber in diesem Fall war das nicht zwingend so.Mein Eindruck ist, dass das hier in den Standard-AGBs irgendeine Zustimmung,wenn du die Karre nimmst und registrierst und sagst, die gehört jetzt mir.Übrigens auch aufgefallen, das ist nur ein kleiner Nebensatz.Diese Datenbank, wie gesagt, betraf nur Autos, konnte aber mit Personen bezogenwerden. Das ist auch nicht schwer, da scheiden sich natürlich jetzt auch die Gelehrten.Carriott vertritt so ungefähr die Perspektive, ja, ja, der CCC konnte auf dieBewegungsdaten von den ganzen Autos zugreifen, aber es sind ja keine personenbezogenenDaten, steht ja gar nicht drin, das ist ein Auto. Ein Auto ist ja keine Person.Ja, wo sind wir denn? Ist ja völlig klar, dass das kein Mensch ist.Also so interpretiert das dann deren Rechtsabteilung. Man kann dieser Argumentationfolgen, weil es ja nur ein Auto.Das Auto parkt halt jeden Abend vor irgendeiner Haustür und verrät damit sehrgenau, wem dieses Fahrzeug gehört.Aber muss ja nicht dem gehören. Vielleicht steht ja einfach nur jeden Tag einer vor der Tür.Naja, was Flübke und Michael dann so ein bisschen in dem Vortrag gezeigt haben,ist die Sicherheitsbrisanz dieser Daten.Wenn du jetzt nämlich zum Beispiel mal schaust, wer hält denn regelmäßig voreiner Polizeiwache, wer hält regelmäßig vor dem Reichstag, wer hält regelmäßigam Kanzleramt, wer parkt bei VW auf dem Parkplatz.Wenn eine prominente Person, von der man weiß, dass sie so ein Auto fährt,einmal sagt, dass sie da und da war.Man guckt, wie viele Volkswagen waren denn da und kann dann natürlich eben auchsehen, ach okay, alles klar.Was weiß ich, der Vorstandsvorsitzende der Volkswagen-Gruppe war an dem und dem Tag da und da.Da waren drei Volkswagen, gucken wir mal, ah zack, das ist die Karre von dem. Wo war der denn noch?Ach, guck mal hier, wo der am Freitagabend war, das ist ja irre.Da war ich auch, da fährt man aber nicht hin.Solche Dinge waren dann natürlich schnell möglich.Wir haben in dem Fall so was ich dafür das Problem halte ist,dass die Karren diese Daten sammeln und vor allem so lange und dass eigentlich niemand,der so ein Auto fährt sagt, ach ja weiß ich, habe ich auf Seite 27 gelesen dassdas Ding bis Ultimo speichert wohin ich fahre und mit den Geokoordinaten,forever Und deswegen haben wir eben diese Analyse angestoßen,Michael Kreil und Flüppke zusammen mit dem Spiegel die Daten genauesten oder also die Daten in der,die aggregierten Daten analysiert.Also nimmst du quasi den Bezug, welches Auto ist das denn weg und sagst einfach mal so,wo waren denn überall VWs oder Volkswagen Gruppe Kfz und dann vereinzelte Personenmit deren Zustimmung identifiziert und deren Daten mal angeschaut und so undnaja, was ist die Reaktion?Und Carriott hat gesagt, okay, ja, vielen Dank für den Hinweis.Hamm, muss ich auch sagen, ich habe da mit dem technischen Team gesprochen,die waren wirklich sehr fit, die waren sehr kooperativ und konstruktiv und habendas Problem auch gründlich behoben.Es gab eben zwei Probleme.Einmal überhaupt der Zugriff auf die Heap-Dumps und dann, dass du dich identifizierenkonntest und dich quasi als jede einzelne Person ausweisen konntest,weil diese Secrets, die dafür notwendig waren, eben auch rausgepurzelt waren.Da haben sie auch alles rotiert. Die Secrets, die da rausgefallen waren,wurden auch quasi invalidiert und das wurde alles sehr zügig gemacht.Außerdem haben wir noch die Sicherheitsbehörden des Bundes darüber in Kenntnisgesetzt, also Innenministerium, BSI,Verfassungsschutz und dann daran anhängt natürlich auch Bundespolizei,BKA, die dann sich alle natürlich dafür interessieren, welche Risiken sie mitdem Betrieb dieser Kfz eingehen,wenn ihre Leute, denen sie die Karren geben, da einfach auf OK klicken und niemandweiß, dass diese Daten halt auf diese Weise gesammelt werden.Vortrag ist super unterhaltsam, kann man sehr empfehlen was natürlich auch andieser Stelle immer gesagt werden muss ist.Bei Tesla ist das alles viel schlimmer, ja und wir haben jetzt gerade,Elon Musk hat das jetzt auch nochmal demonstriert, was war da jetzt irgendwieüber den Jahreswechsel hat doch einer einen Cybertruck explodieren lassen vom Trump-Hotel her.Also auf jeden Fall ein eindrückliches Foto.
Tim Pritlove 1:09:14
War auf jeden Fall schon mal ein schönes Symbolbild für 2025.Der brennende Tesla vor dem Trump Hotel. Ich glaube, klassischer wird es nicht mehr.
Linus Neumann 1:09:27
Und dann hat das aber doch irgendwie nicht lange gedauert, bis der Elon Muskirgendwie sogar die Bilder von derKarre, also die von der Karre selber aufgezeichneten Bilder hatte, oder?
Tim Pritlove 1:09:37
Ja, Videos, alles mögliche.
Linus Neumann 1:09:42
Und ich war ja gerade dabei zu erklären, warum wir hier mit diesem Fall so umgegangensind, dass wir die Daten in der Breite, auch mal in ihrem Ausmaß gezeigt haben.Und ich denke, das ist hier das Entscheidende gewesen.Nicht Aufmerksamkeit dafür zu schaffen, dass irgendwelche Menschen bei Carriottmal einen menschlichen Fehler gemacht haben.Die sind da auch nicht für zu blämen. Also klar, es war ihr Fehler,aber es ist jetzt auch nicht so, als hätte noch nie jemand einen Fehler gemachtbeim Ausrollen von Software.War ein schwerwiegender oder ein folgenschwerer, aber das Entscheidende istdoch vielmehr, warum sammelt die Volkswagen-Gruppe diese Daten?Und da hätte ich ehrlich gesagt gerne mal eine Stellungnahme von der Volkswagen-Gruppe,dass die sagen, ach so, für diejenigen, die das nicht wollen,hier wäre der Knopf, wie man das wegmacht.Hier ist die Grundlage, Grundlage sind die AGBs.Irgendwo in den AGBs stehen dann eben die unterschiedlichsten Dinge.Wie gesagt, mein Verdacht geht auf diese Batterie-Performance-Messung.Für die es da auch eine Zustimmung gibt. Und da steht eben auch dran,dass die Daten gekürzt werden. Daher meine Theorie.
Tim Pritlove 1:11:06
Die Begehrlichkeiten für solche Daten sind natürlich groß, weil du kannst natürlichhier alles mögliche herauslesen und insbesondere ein Marketing reibt sich dabeinatürlich kräftig die Hände,weil du kannst natürlich hier sehr viel rauslesen über deine Kundschaft,über deren Einkaufsverhalten,wie viel Zeit verbringen die mit dem Auto, wo verbringen sie das mit dem Auto,in welchen Kreisen bewegen die sich, Kaufkraft etc.Du kannst da alles rauslesen.Und Autos sind natürlich, würde man sagen, nach dem Smartphone auch mit so einbisschen das Sensitivste, was du so an Gerät monitoren kannst.Weil einerseits sind die natürlich auch gespickt mit allen möglichen Sensoriken.Also sowohl nach innen als auch nach außen.Und es sind nun mal eben auch sehr persönliche Geräte.So wie eben ein Smartphone auch, weil es dich eben an die Orte bringt,die für dich relevant sind.Und im Falle von Tesla kommen dann noch diese ganzen Videoaufzeichnungen dazu.Das war ja schon immer total überzogen.Karyat kann man natürlich sowohl den Vorwurf machen, dass die Struktur der Daten,wie sie sie abgespeichert haben, schon mal an sich eben überhaupt nicht auswirkt.Anonymisiert wurde in irgendeiner Form. Also dass die überhaupt schon so nacktanfallen und so zusammengestellt werden und auch nur theoretisch im Zugriffsein können und es in diesem Fall eben auch waren.Das wirft Fragen auf und es war ja auch so, dass soweit ich das dem Vortragrichtig entnommen habe,es generell in diesen ganzen AGBs schon mal die Informationen gab,ja wir greifen zwar hier Geodaten ab, aber wir löschen sozusagen so viele Nachkommastellen.Dass eben diese Position maximal auf 10 Kilometer gedau ist.Was für manche Marken auch der Fall war, aber eben, ich glaube,nicht bei VW oder bei Audi als Marke.Da waren die Daten dann eben sehr genau und das macht es natürlich dann gleichnochmal schlimmer. Also hierfehlt einfach ein Konzept, wie man solche sensiblen Daten sammeln kann.Ich habe ja Verständnis dafür, dass man sowas auswerten will aus den von dirschon genannten Vermutungen, also was weiß ich, Batteriezustände,Ladeverhalten der Leute etc.Das ist ja alles für die Planung auch von Netzwerken und auch für die Planungder Dimensionierung solcher Fahrzeuge durchaus alles ganz sinnvoll.Aber da gibt es dann eben auch Methoden, wie man solche Daten bekommen kann,ohne gleich automatisch die Privatsphäre zu gefährden.Also wenn man ein generelles Verhalten haben will, dann kann man mit DifferentialPrivacy und ähnlichen Methoden sehr wohl an diese Daten rankommen,ohne dass, wenn man sie dann eben so in dieser Form vorfindet,wie sie jetzt vorgefunden wurden,sofort eine eindeutige Zuordnung zu Personen machen kann.Und das sind einfach alles Gedankengänge, die offensichtlich hier niemals auchnur begonnen wurden und das ist natürlich auf jeden Fall auch zu kritisieren.
Linus Neumann 1:14:31
Die Verarbeitung pseudonymer Daten ist notwendig, um längerfristige Wechselwirkungenzwischen der Fahrzeug- und Dienstnutzung unserer Kunden und dem Fahrzeugzustand,zum Beispiel der Batteriefunktionsfähigkeit, feststellen zu können.Nur auf diese Weise können wir geeignete Neu- und Weiterentwicklungsmaßnahmenerkennen und unseren Kunden neue und verbesserte Produkte und Dienste anbieten.Ich finde das eine sehr schöne Lektion in informed consent,der informierten Zustimmung und der Rechtfertigung.Du musst ja immer sagen, warum eine Datenverarbeitung notwendig ist.Das finde ich sehr schön, wie dann so eine DSGVO in der Praxis aussieht.Dann erklären sie, dass das notwendig ist.Wir müssen also sagen, wir können das nur machen, wenn wir diese Daten sammeln.Deswegen haben wir eine, wie heißt das denn, da gibt es ja auch diesen wunderschönenBegriff, also irgendwie eine Berechtigung, also irgendwie erklärte Notwendigkeit.Darfst keine Daten sammeln, die nicht notwendig sind.Zweckgebundene Notwendigkeit, wie auch immer. Naja, sehr schön.Wie gesagt, sehr unterhaltsamer Vortrag, solltet ihr euch nicht entgehen lassen.Es gab dann noch, achso ja, Thorsten und ich haben einen Vortrag gehalten,Thorsten und Schröder und ich halten ja sehr gerne mal zusammen Vorträge.Ich glaube, unser bekanntester ist der, du kannst alles hacken,du darfst dich nur nicht erwischen lassen.Aber wir haben zum Beispiel auch 2017 die eine Software,die bei der Auswertung der Bundestagswahl zum Einsatz kam, analysiert mit ganzhaarsträubenden Ergebnissen.Ich glaube, das haben wir hier auch in einem Logbuch damals besprochen.Das war die Interessierte Bürger, war der Titel der Folge. Ich weiß nicht, welche Nummer.Wir verlinken die nochmal in den Shownotes.Und nachdem, auch das hatten wir hier im Logbuch besprochen,nachdem es dann in der Sachsenwahl, in der Sachsenwahl, glaube ich war das,wir haben andauernd Thüringen und Sachsen verwechselt.In der Sachsenwahl diese Probleme bei der Auswertung gab, hat Thorsten sichnochmal hingesetzt und gesagt, ich will mal irgendwie diese,mich würde ja jetzt mal interessieren, welche Software da zum Einsatz gekommenist Und da haben wir uns einfach mal damit auseinandergesetzt,was eigentlich passiert ist, seitdem wir 2017 PC-Wahl kaputt gemacht haben.Wir haben 2017 ja noch gewitzelt, dass PC-Wahl aufgekauft worden war,kurz vorher und zwar von der Firma Vote IT.Und jetzt haben wir uns eben, das war 2017, jetzt 2024, also sieben Jahre später,eine komplett andere Software angeschaut, die auch gerade mal wieder von VoteIT gekauft worden war.Und VoteIT firmiert inzwischen unterdem Namen VoteGroup und möchte gerne Online-Wahlen als nächstes anbieten.Also ich glaube, es ist einem Unternehmen ja nicht übel zu nehmen, dass es versucht,den Markt zu dominieren oder dass es Konkurrenten aufkauft.Das machen Unternehmen. Also Unternehmen sind dazu da, um zu wachsen,um mehr Umsatz zu machen, mehr Gewinn und wenn sie das nicht tun,dann macht es die Konkurrenz und dann macht die Konkurrenz halt den Gewinn undden Umsatz und deswegen sind Unternehmen im Kapitalismus bestrebt zu wachsen.So auch das Unternehmen, dem wir unsere Wahlen anvertrauen, das kauft nämlicheinfach regelmäßig schön seine Konkurrenten auf.Wenn du in diesem Bereich deine Konkurrenten kaufst, heißt das ja nicht,dass du deren Produkt kaufst, sondern du kaufst deren Kundenstamm.Also wenn es früher oder wenn es zum gegebenen Zeitpunkt mehrere Anbieter von Wahlsoftware gibt,kaufst du halt deine Konkurrenz, damit ihr ihre Verträge bedienst,diese Verträge noch und migrierst die dann auf deine zentrale Software.Das hat also hier VOTE IT getan, einmal mit PC-Wahl,jetzt auch mit dem Produkt ELECT des vorherigen Vorherstellers IVU und so bautsich da so langsam ein von einem Kartell, das wird jetzt halt langsam in ein Monopol überführt.Nach 2017, nach der Zerlegung von PC-Wahl, wo es wirklich haarsträubende Zuständegab, du brauchtest irgendwie Passwort für ein VPN,das war Nutzernahmetest und Passworttest, dann warst du in Hessen im Internetund dann konntest du auf einen FTP-Server zugreifen,wo die Wahlergebnisse hochgeladen wurden, dafür brauchtest du das Passwort Wahlen, FTP für den Nutzer FTP.
Tim Pritlove 1:19:58
Also da haben sie sich aber richtig was einfallen lassen.
Linus Neumann 1:20:01
Ja, da haben sie sich richtig was einfallen lassen. Und dann lagen da auf diesemFTP-Server lagen dann halt so die ganzen Wahlergebnisse, also in jedem Ordner so.Und also Ordner für die Wahlkreise und so weiter lag dann immer so eine Datei,da war dann so eine CSV und da konntest du halt, wenn du jetzt an der Stellewarst, konntest du auf dem FTP-Server einfach rumändern, wie du wolltest.Und da hat sich dann der Landeswahlleiter seine Daten für die Schnellmeldung geholt.In dem, dann sagte aber Thorsten, also diese ganzen Sachen, die ich gerade erzählthabe, hatte Martin Schier sich damals gefunden,der gerade schon erwähnt wurde bei der elektronischen Patienten-Hakte und dannsagte Thorsten so, ja Moment mal, lass mal bitte gucken, da geht auch noch einiges.Ich will ja nicht nur Hessen hacken, ich will die Bundesrepublik hacken undhat dann halt noch Probleme in dem.Update, wie die Software-Updates signiert werden, gefunden, die es uns ermöglichthatten, weil wir Schwachstellen auf dem Webserver hatten,dass wir Updates bereitstellen, die bösartig sind und dann hätten wir quasidie komplette Wahl übernehmen können, weil in den Wahlanweisungen durch dieLandeswahlleiter immer drinsteht, bevor du die ganze Sache benutzt, machst du ein Update.Da gab es dann noch langes Hin und Her mit den fehlenden Signaturen bei den Updates.Das viel größere Problem oder das mindestens genauso große Problem waren aberdie fehlenden Signaturen bei den Ergebnissen.Also auf dem FTP-Server liegt jetzt eine Datei.Unklar, wie die da hingekommen ist. Alle Wahlkreise benutzen das gleiche Passwort,um da Dateien hinzulegen.Ergo reicht ein.Kompromittierter Rechner ineinem Wahlkreis, um Wahlergebnisse für alle zu ändern in dem Bundesland.Und du hast keine Möglichkeit zu unterscheiden, ob das eine berechtigte Meldungist oder nicht, ein berechtigtes Wahlergebnis, weil es nicht signiert ist.Ja, und jetzt, wir haben ja gerade schon über die EPA gesprochen,wo es auch um Signaturen gibt, nämlich zum Beweis, dass eine Karte da ist.Und unsere zentrale Forderung oder unsere zentrale Empfehlung damals war,schreibt doch bitte einfach irgendeinen Standard,irgendeine Anforderung, völlig egal und sagt, die Wahlergebnisse,die da eingereicht werden, die müssen kryptografisch signiert werden.Dann hast du nämlich, egal wie Schrott deine Software danach ist,kannst du dann ein legitimes, eingereichtes Wahlergebnis von einem veränderten unterscheiden.Signaturen, du beweisst, du machst eine kryptografische Operation über einenInhalt mit einem Schlüssel, der dich als du ausweist.Und das machst du mit asymmetrischer Kryptografie.Asymmetrische Kryptografie will ich jetzt nicht auch noch im Detail erklären,aber heißt, du kannst beweisen, dass du du bist, ohne dass du und derjenige,der dich authentifiziert, ein Geheimnis teilen.Ja, das heißt, derjenige, dem gegenüber du dich authentifizierst,kann auch danach, obwohl er die Gezufahrtszeit kennt, die du ihm signiert hast.Nicht dich selber fälschen. Das ist ein ganz, ganz entscheidender Punkt.Wir haben es gerade schon alles erklärt. Kryptografie, Erkenntnisse des letzten Jahrhunderts.
Tim Pritlove 1:23:52
Stand der Technik des letzten Jahrhunderts, genau.
Linus Neumann 1:23:54
Stand der Technik des letzten Jahrhunderts, findet überall Anwendung.Wenn in eurem Browser oben ein grünes Schloss ist, dann liegt das daran,dass da jemand sich mit einem Zertifikat ausgewiesen hat, das eine CA signiert hat.Wenn irgendwann mal die EPA für alle abgesichert ist, dann liegt das daran,dass ihr mit der Karte signiert habt.Wenn du dich bei einem Mobilfunknetz mit deiner SIM-Karte anmeldest,liegt das daran, dass deine SIM-Karte etwas signiert hat.So, das hätte man mit den Wahlergebnissen machen sollen.Und wir hätten auch die Technologie dafür, habe ich auch schon erklärt.Man hätte das zum Beispiel auch mit einem Personalausweis signieren können.Dann sagst du eben hier, zack, Wahlergebnis wurde von dem berufenen Wahlstand,einem berufenen Wahlvorstand hier signiert.Gut, hätte, da muss man wirklich sagen hätte, weil die Technologie ist zwarauf jedem Personalausweis, aber es gibt keine Übermittlungen von,keine glaubhaften Übermittlungen davon, dass das schon mal jemand erfolgreich gemacht hätte,weil die Bundesregierung sich entschieden hat, Wir kippen weiß nicht wie vieleMillionen in den elektronischen Personalausweis, um am Ende keine Infrastrukturenanzubieten, wo man ihn anwenden kann.Wer auch immer die Entscheidung getroffen hat, sei dahingestellt.So, jetzt stellen wir also bei der Analyse dieser Software fest,da gibt es Signaturen. Ja, da gibt es tatsächlich Signaturen.Allerdings heißen die nur so. Es sind nämlich keine, weil sie wieder auf einevöllig falsche und nicht mithilfe von asymmetrischer Kryptografie realisierteWeise angebracht werden.Und im schlechtesten Fall brauchst du für das Fälschen einer Signatur,musst du zwei Zahlen erraten.Zwei Zahlen. Das ist die niedrigste Stufe für das Shared Secret zwischen dirund dem Landeswahlleiter.
Tim Pritlove 1:26:09
Lass mich raten. 23 und 42.
Linus Neumann 1:26:16
Nee, Entschuldigung, du hast recht, guter Punkt. Zwei Ziffern. Zwei Ziffern.Also eine zweistellige Zahl.Und noch dazu, die müssen dann eben eindeutig sein.Also eine wirklich haarsträubende Software. allein das Ding zu launchen undThorsten hatte mit irgendwie, ich hab das ja gar nicht geglaubt,der meinte irgendwie so, ja das dauert mindestens 5 Minuten diese Software zu starten.Dann haben wir einen Timer genommen, das dauerte auf einem wirklich modernen Rechner,9 Minuten 40 mit irgendwie 32 Gig RAM, 4 Kernen.Ja, weil die als allererstes kopieren die ein LibreOffice auf den Rechner dann,kopieren sie einen Chrome-Browser auf den Rechner und dann kopieren sie dieseWeb-App auf den Rechner und lassen die lokal laufen.Und dann geht dieser Chrome-Browser auf und guckt quasi auf Localhost auf die Webseite.Und das LibreOffice, weißt du, wofür die das LibreOffice brauchen?Also das LibreOffice allein da hin zu kopieren dauert drei,drei Minuten.
Tim Pritlove 1:27:32
Wofür? Um so ein Word-Dokument aufzumachen?
Linus Neumann 1:27:35
Um am Ende, wenn du so ein schönes Formular haben willst, das haben sie umgesetztmit LibreOffice Templates.Und diese LibreOffice Templates, die sind wiederum Base64 kodiert in den Konfigurationsdateien.Also es ist, weil du gerade sagst hier, wie man Software entwickelt,da kannst du dir mal echt Softwareentwicklung am Limit angucken.Das ist wirklich richtig am Limit.Also so an der Kante des Wasserfalls.
Tim Pritlove 1:28:07
Statt der Technik des vorletzten Jahrhunderts.
Linus Neumann 1:28:12
Nee, das ist einfach nur Wahnsinn, was die da machen. Also komplette Murksoftware, so richtig,Also dieser ganze Code spricht so davon, dass irgendjemand mal,der konnte halt was und hat gesagt, dann mache ich das halt so.Und das ist ja für dein persönliches Liebhaberprojekt super,aber wenn du eine kritische Infrastruktur für die Bundesrepublik Deutschlandbaust, nämlich die Software, die die Wahl abbildet, das Heiligtum der Demokratie,da musst du halt nicht das machen, was du kannst, sondern das machen, was du sollst.Und irgendwie allein ein komplettes LibreOffice mitzuliefern,ich meine, das ist nicht falsch, das ist nur einfach nicht richtig.Das ist einfach absoluter Irrsinn. In der modernen, also vor allem natürlich,also ein einfacher Angriffsfall war,du nimmst diese Config-Datei und baust einfach ein anderes LibreOffice-Template.Dann nimmst halt einfach eins, wo die Wahlergebnisse, die Leute eintragen,am Ende irgendwo unten rechts,weißt du, also da wird ja dann nachher, das ist so ein LibreOffice-Templateund da steht dann drin, was weiß ich, Wahlergebnis hast du nicht gesehen undnachher, nachher wird dann so ein Function-Call gemacht, dann wird dem LibreOffice gesagt,also dann geht der nachher drüber und manipuliert dieses Template an den entscheidendenStellen und macht ein PDF,ja, und der Call ist auch wirklich so, wir concatenaten mal hier einen Stringzusammen, zusammen und dann spawnen wir einen Prozess über so Shell Execute so ungefähr.Also da bist du auch wirklich haarscharf kurz vor der Code Execution,weil da irgendwelche wilden Variablen concatenated werden, wo du auch denkstso, das kann man so, das haben wir so anders gelernt.Das haben wir so anders gelernt.Genau, so kommt dann am Ende dieser Zettel, den die Leute unterschreiben müssen, zustande.Und da kannst du an der Stelle natürlich einfach ein anderes Template reintun,Und alles, was dein Skript von diesen Hayopies dann nachher ersetzt,druckst du einfach in Weiß auf Weiß unten rechts in die Ecke und schreibst andere Ergebnisse hin.Das ist gar kein Problem. Oder schreibst halt...Schreibst halt in das Ding nochmal eine Logik, was die Zahlen verändert oder so.Ja, alles sehr, alles höchst, höchst elegante Software, die da gebaut wurde.Ich glaube, der Vortrag war auch ganz, ganz interessant oder ganz unterhaltsam.Vor allem aber bin ich da echt verärgert über das BSI.Das haben wir auch in dem Vortrag behandelt, weil nachdem wir 2017 dieses Dingzerlegt haben, kam dann irgendwann Jahre später, Jahre später,kam so eine Mail von irgendeinem BSI-Mitarbeiter.Ja, hier übrigens, wir haben jetzt mal Anforderungen formuliert.Wir wollten euch das mal zeigen.Nächste Woche veröffentlichen wir das. Das wäre super nett, mal euer Feedback zu bekommen.
Tim Pritlove 1:31:09
Eine Woche vorher.
Linus Neumann 1:31:09
Dann habe ich eine Woche vorher, am 15. geschrieben, Ende des Monats oder so.Und dann haben wir auch gesagt, also herzlichen Dank. Wir haben jetzt irgendwie,seit mehreren Jahren sind wir an dem Thema dran.Wir haben uns mehrmals an alle gewendet. Wir haben sogar irgendwie Open-Source-Spendenan den Hersteller von dieser Schrotz-Software gemacht.Wir haben eine ganze Reihe von Empfehlungen in unseren Vorträgen.Stellen fest, dass noch nicht mal die umgesetzt sind.Und jetzt sollen wir irgendwie 86 Seiten in einer Woche lesen.Ein Dokument, wo dransteht final, ja?Wieso wird uns denn ein Dokument, wo dransteht final, mit der Bitte um Feedbackgeschickt, mit einer Woche Zeit?Also es ist ja einfach eine Unverschämtheit gewesen.Und was in diesem Dokument, aber was halt richtig krass ist,in diesem Dokument stand halt zum Beispiel drin so, ja, der Computer muss neusein, was weiß ich, das Fenster muss zu sein, wenn du Kaffee trinkst oder so.Also so Prozedurschwachsinn, der die Menschen, die diese Wahl da abhalten,nämlich die Landeswahlleiter und die Kreiswahlvorstände und was da alles beschäftigt ist.Gängelt mit irgendwelchen Anforderungen.Das ist auch die Zielgruppe. Die Zielgruppe ist alle, die an der Auszählungund Auswertung einer Wahl beteiligt sind. Weißt du, wer nicht Zielgruppe ist?Die Hersteller der scheiß Software, die das Problem ist.Das ist nicht die Zielgruppe, an die wenden wir uns nicht. Da fragst du dich,was haben die eigentlich, also was machen die eigentlich beruflich?Wenn wir sagen, hier ist ein Problem in der Software und die sagen,ja okay, pass auf, der, der, der und der, der diese Software nutzt,dem schreiben wir jetzt ein 86-Seiten-Dokument.Statt zu sagen, lieber Hersteller der Software, hier ist die technische Richtlinie.Und da wurde dann auch, dann kamen dann wieder irgendwelche schlauen Leute und,die sagten, das BSI sei schließlich nicht zuständig für die Wahl.Ja, das ist korrekt, das BSI ist nicht zuständig für die Wahl,aber das BSI formuliert sogenannte technische Richtlinien für alles.Was weiß ich, 3D-Scan einer Kartoffel.Gibt es eine technische Richtlinie von BSI, wie das zu machen ist?Oder, weiß ich nicht, vielleicht, das war jetzt ein wild guess.
Tim Pritlove 1:33:34
Ich dachte, das wäre jetzt ein Beispiel.
Linus Neumann 1:33:35
Nein, nein.
Tim Pritlove 1:33:37
Fake News, Mann.
Linus Neumann 1:33:39
Schredder in einer Festplatte. Da gibt es, glaube ich, eine technische Richtlinie.
Tim Pritlove 1:33:43
Das BSI ist dazu da, Standards zu formulieren und im Zeitpunkt halt auch anden Mann zu bringen und selbstverständlich.
Linus Neumann 1:33:52
Genau.
Tim Pritlove 1:33:52
Und die sind, wenn die nicht in der Lage sind, den Softwareunternehmen,die wirklich für öffentliche Infrastruktur sorgen, beizubringen,wie man das so halbwegs zeitgemäß und sicher hinbekommt, dann brauchen wir auch das ganze BSI nicht.
Linus Neumann 1:34:05
Eben. Also vor allem nur kurz, um zu dem Argument zu kommen.Eine technische Richtlinie des BSI ist ein Blatt Papier. Das ist richtig.Das ist für niemanden verbindlich, kannst du keinen für verhaften.Ich habe jetzt gerade mal die Liste der technischen Richtlinien des BSI.Erste ist BSI-Technische Richtlinie 01201 D-Mail.Da hätte ich auch noch einen Vortrag zu verhalten.
Tim Pritlove 1:34:33
Ja, der hätte ich es verlegt.
Linus Neumann 1:34:35
Da hätte ich auch noch einen zu verlinken. So, genau.Aber auch die technische Richtlinie D-Mail, nur um kurz die Rolle des BSI korrektwiederzugeben, war für niemanden verbindlich.Kryptografische Verfahren, Empfehlungen und Schlüssellängen.Da muss, niemand kommt ins Gefängnis, weil er eine technische Richtlinie desBSI nicht umgesetzt hat.Aber, wenn du dann Software aus, Wenn du beispielsweise als Landeswahlleiterinausschreibst, ich möchte eine Software zur Auswertung der Bundestagswahl haben,dann schreibst du in den Anforderungskatalog, diese Software muss BSI-technischeRichtlinie, muss noch jemand schreiben, genügen.Dann ist das einfach Teil deiner Ausschreibung, Teil des Anforderungskatalogsund damit zwingend für jeden, der ein Angebot machen möchte. So funktioniert das.Die haben ja auch zum Beispiel, das war ja die technische Richtlinie,wo ich damals beteiligt war und irgendwann aufgehört habe mitzuarbeiten,die technische Richtlinie sichere Breitbandrouter.Da werden Anforderungen formuliert.Die Breitbandrouter zu erfüllen haben. Das war eine Konsequenz darauf,dass damals diese ganzen Telekom-Router ausgefallen sind.Auch das haben wir hier im Podcast behandelt.Und da wurde dann in Reaktion darauf vom BSI eine technische Richtlinie wieein Breitbandrouter, also ein Fritzbox oder Tel, wie heißen die von der Telekom?Telebox oder sowas. So, und da werden dann Sicherheitsanforderungen formuliert,was der alles unterstützen muss,damit der sagen kann, ich bin in Übereinstimmung mit dieser Richtlinie.So, niemand, wie gesagt, du kannst immer noch einen Router herausgeben,der nicht dieser technischen Richtlinie entspricht, aber es gibt einen Anforderungsstandard,auf den sich jeder beziehen kann.Und das hätte das BSI genauso für Wahlsoftware machen können.Ja, dann hätte immer noch nicht, also es wäre, dann hätte immer noch eine weitereInstanz, nämlich Landes- und BundeswahlleiterInnen sagen müssen,hier, wir nehmen nur noch Software, die diesem Standard genügt.Aber das wäre, wenn die das vor sieben Jahren oder vor fünf Jahren gemacht hätten,dann hätten wir heute eine Software, die das machen muss.Aber stattdessen sitzen die Vögel von der Vote Group da und sagen,wir kopieren hier mal ein Libro-Office,wir machen hier mal so, wir machen hier irgendein Template und wir konkatenatenein paar Strings und eine Signatur, da haben wir uns auch was Neues überlegt,was natürlich auch keinerlei Anforderungen oder Standards genügt.Da gibt es übrigens nur von der Bundesnetzagentur einen Standard.Was soll ich sagen? Wenn wir als Staat nicht sagen, wir hätten gerne eine EPA,die einfach mal dem Stand der Technik des letzten Jahrhunderts entspricht.Und für die Wahlsoftware noch nicht mal etwas vorschreiben, welchen Anforderungen die genügen muss.Da müssen wir uns doch auch nicht wundern, wenn da irgendwelche Geier sitzen,die uns irgendwelchen Scheiß verkaufen.Und ich finde das, es ist trotzdem eine schwere Verantwortungslosigkeit derHersteller dieser Software,aber es ist ebenso eine Nachlässigkeit, Der Bundesregierung,des BSI, wem auch immer, denen keine Anforderungen zu präsentieren,die sie umsetzen müssen.Tut mir leid.
Tim Pritlove 1:38:34
Also wenn man das im Nahrungsmittelbereich so handhaben würde,dann würden also wirklich täglich die Leute mit Magenverstimmung da niedersinken.
Linus Neumann 1:38:44
Du, Thorsten und ich hatten auch die ein oder andere Magenverstimmung in derVorbereitung dieses Vortrags.
Tim Pritlove 1:38:51
Das kann ich mir vorstellen. Und das ist so ein bisschen, glaube ich,auch das, was noch überhaupt nicht eingesickert ist, womit wir natürlich jetzt wieder so zum,Kernproblem kommen. Wir haben einfach in Deutschland gesamtkulturell da einfachein Problem mit informatischen Systemen.Also es wird einfach von allen, also wir regen uns gerne irgendwie über irgendwas auf,aber es gibt noch keinerlei Bereitschaft, sich da wirklich mal ernsthaft drumzu kümmern und auch Anforderungen zu stellen, auch gegenüber der Regierung zu stellen,dass sowas natürlich mal ordentlich geführt, reguliert und weiterentwickelt gehört.Und jetzt ist für die nächste Wahl, weiß nicht, diesmal war es glaube ich dieCDU, die irgendwie ein digitales Ministerium ins Feld geführt haben,dass man sowas ja mal bräuchte.Vielleicht kommt es ja auch irgendwann nochmal. Ich meine, ein Ministerium alleinwird noch nichts besser machen, sondern wir müssen halt einfach zusehen,dass wir das Thema ernst nehmen.Und ich verliere da ehrlich gesagt langsam die Geduld, Aber das passt ja auchgenerell in meine Grundthese, dass das eh nie was werden wird.
Linus Neumann 1:40:07
Also für mich ist so Security, also ich meine,machen wir uns nichts vor, IT-Security ist wirklich schwierig,aber sie ist unmöglich, wenn du dich nicht an die vernünftigen Lösungen fürein Problem, weißt du, wo kommen überhaupt diese ganzen Leute her, die immer meinen,sie könnten nochmal was, wir machen das nicht so, wie es die Gelehrten und dieGelehrten haben sich das ja nicht im Elfenbeinturm ausgedacht.Die haben einfach nur gesehen, oder vielleicht haben sie sich sogar im Elfenventumausgedacht, die haben einfach gesagt so, wie könnte man denn an einer Stelledafür sorgen, dass das Problem zumindest kein technisches mehr ist.Das ist ja schwer genug, so eine Wahl sicher zu machen. Aber am Ende ist esfür mich einfach so eine Hygienefrage.Und wenn du halt schlechte Hygiene hast, dann hast du halt nachher Security-Magen-Darm.
Tim Pritlove 1:41:00
Ja.
Linus Neumann 1:41:01
Brechtdurchfall.Wie fandest du denn sonst, also genau, das waren jetzt so die, ich denke,die ersten drei Vorträge, die wir hier mal so vielleicht in dem Podcast behandeln,wir werden im Verlauf der Zeit noch viele weitere erwähnen und verlinken.Hier, Meredith war ja auch da, auch ein super Vortrag.MediaCCC.de ist euer Freund, da könnt ihr auch direkt auf den 38C3 klicken undden einfach durchbingen.Aber wie war denn sonst so dein Eindruck vom Vortrag?Vom Kongress?
Tim Pritlove 1:41:47
Also man merkt mal wieder sofort, das war ein Kongress, der das zweite Mal untermehr oder weniger denselben Bedingungen an einem Ort stattgefunden hat.Und die Fehler, oder Fehler ist ein großes Wort, sagen wir mal,es wurde dann alles weiter durchoptimiert und man hat Dinge,die vielleicht vorher noch übersehen wurden oder falsch bewertet wurden,dann auch eben schnell korrigiert.Also das bezieht sich jetzt auf die Nutzung des Gebäudes im Wesentlichen.Ich war jetzt natürlich organisatorisch überhaupt nicht beteiligt.Ich habe das nur so immer am Rande in Seitengesprächen für mich einsammeln können,aber ich habe so den Eindruck gewonnen, dass es insgesamt alles sehr smoothund harmonisch ablief im ganzen Aufbau und auch in der Durchführung der Veranstaltung.Es gab auch ausreichend Freiwillige, die überall eingegriffen haben und man merkt einfach,wie dieser Organismuskongress einfach jetzt auch diese lange Pausezeit erfolgreichhinter sich gebracht hat und wieder in so einem normalen Modus operandi ankommt.Und mit dem CCH glaube ich auch so den idealen Ort gefunden hat in Deutschland.Also das ist schon glaube ich die Location, mit der wir noch eine ganze Weilebeschäftigt sein werden.Das war so erstmal meine Grundwahrnehmung. Ich habe dann selber mal für michbeschlossen, mal einen Kongress zu machen wie so ein normaler Teilnehmer.Also mich einfach mal mit meinen eigenen Projekten beschäftigen und ein bisschenrumlaufen und mal gucken, was die anderen so hacken und einfach mal so nichtalles mögliche zur Kenntnis nehmen. und ich kannte ja eigentlich auch viel.Einzige Ausnahme war, dass ich mich so als Chaos-Pate gemeldet habe.Das wollte ich schon immer mal machen und habe ich jetzt das erste Mal getan.Und das war es dann eigentlich auch schon an Besonderheiten für mich.
Linus Neumann 1:44:00
Wir haben ein Hörer-Rennentreffen gemacht. Das war sehr nett.
Tim Pritlove 1:44:04
Ja, aber das war auch nicht das erste Mal, dass wir das gemacht haben.Aber ja, haben wir gemacht, war gut, auf jeden Fall.Sehr schön, vielen Dank an alle, die da gekommen sind.Ja, aber das war so meine Perspektive, finde ich auch ganz gut.Ich war natürlich dann im Sendezentrum, was ich ein bisschen mit vorab geplant,schon fast zu groß gesagt, aber das haben wir da so kollektiv gemacht,hatten dann auch unseren eigenen kleinen Saal jetzt nach vorne geholt,wo wir dann so podcastbezogene Workshops und Live-Podcasts machen konnten.Ja, und das lief eigentlich alles ganz gut.Es war mir erstaunlich, wie gut der Kongress auch diese ganzen Assemblies,diese ganzen Niederlassungen, die ganzen Projektorte mittlerweile auch schon mitplant.Also man meldet sich da an, man macht sozusagen klar,welchen Bedarf man hat und dass man den auch berechtigterweise hat,kriegt das dann eben entsprechend zugesprochen und dann kommt man irgendwievor Ort an und dann stehen schon die Tische da und alles ist irgendwie...Irgendwie verkabelt und irgendwie alle Technik, alle Möbel sind da.Es gibt ja seit einiger Zeit dieses C3 Möbelhaus, wieder so eine Projektgruppe,die sich gegründet hat, die sozusagen sich ausschließlich um die Möblierungdes Kongresses kümmert und damit der eigentlichen Assembly Orga,die ja sagen wir mal generell erstmal so die Zuteilung,macht und diese ganze Kommunikation führt, dann entsprechend entlastet hat.Es ist immer schön zu sehen, wie sich so neue Funktionsgruppen aus sich heraus so bilden,weil sie merken so, oh hier gibt es eine Überlastung oder hier ist irgendwasetwas unterorganisiert oder hier könnte man was schöner oder besser machen unddann ist das immer so die Gelegenheit für bestimmte Leute,sich da ein eigenes Profil zu schaffen, sich seinen eigenen Aufgabenbereichzu schaffen innerhalb dieses Kongresses und damit zum Gesamtgelingen beizutragen.Auch ganz schön finde ich diesen Trend, um weiterhin die ganzen softwarebasiertenSysteme, die den Kongress tragen, weiterzuentwickeln.Dieses Hub-Projekt gibt es ja schon ein bisschen länger.Ich hatte das jetzt bisher nie so im Detail verfolgt, aber man kann sich ja auch als Assembly,also als Projektgruppe, Also da dann innerhalb dieses Systems so seine eigenePräsenz schaffen, seine eigenen Aktivitäten, Workshops anbieten.Einen Plan veröffentlichen, wann man was macht oder was man generell überhaupt zu bieten hat.Also es werden in zunehmendem Maße so Tools gebaut, die alles das unterstützen,was man dort eben gerne machen möchte.Nämlich mit Leuten in Kontakt kommen, die ähnliche Interessen haben und mitdenen in irgendeiner Form zu kommunizieren undsich dann natürlich vor Ort zusammenzuschließen. Und das finde ich super.Ich denke, der langfristige Traum hier ist halt einfach, dass das Ganze zu soeiner Art Event-OS anwächst.Da gehören ja auch noch viele andere Komponenten dazu, die so über Jahre dazugewachsensind. So Pre-Tix, das Ticketsystem, das kommt irgendwie aus diesem Kongressbedarf heraus.Pre-Talks, das Planungssystem ist jetzt die dritte Generation von Konferenzplanungssoftware,die im Rahmen der Kongressarbeit jetzt in den letzten 20 Jahren entstanden ist.Und alles ist miteinander vernetzt, die Videoaufzeichnungen und Audio-Streaming-Geschichten,das greift in diese Pläne ein und alles ist irgendwie mit allem vernetzt undes ist eine Softwareentwicklung,ohne dass da große Millionen reinfließen und die auch gewissen Sicherheitsanforderungen entspricht.Und wenn das gut funktioniert innerhalb kürzester Zeit.Ein Wunder, ja? Also wie ist sowas überhaupt möglich, ohne dass man da so vielGeld drin versenkt? Und dann funktioniert das auch noch.
Linus Neumann 1:48:07
Ja, wer hätte das,sagen können?
Tim Pritlove 1:48:12
Ja.
Linus Neumann 1:48:14
Ja, ich war,beschäftigt mit Vorträgen. Genau, mehrere Vorträge.Achso, ja, wir hatten noch mit dem, mit Kantorke zusammen noch den kleinen Vortragüber Disclosure gehalten, also quasi über das Mitteilen von Sicherheitslücken,den können wir auch nochmal kurz verlinken,war wie immer ein unterhaltsamer, abwechslungsreicher Kongress.Dieses Jahr hat mich nochmal insbesondere vielleicht inhaltlicher Schwerpunktgefreut, den das Polsock-Team erkennbar gesetzt hat.Also Polsock ist ja der Track Politics, Ethics und Society-Team.Und zwar Julian Hessenthaler war da, hat quasi über die fünf Jahre zwischendem Ibiza-Skandal und FPÖ ist stärkste Partei in der Wahl beleuchtet hat.Und Jean Peters von Korrektiv hat den Eröffnungsvortrag gehalten,direkt nach dem Opening.Die Korrektiv-Recherche ist ja jetzt gerade genau ein Jahr alt.Also quasi die Veröffentlichung, wann war das, 10.Januar oder so, also ungefähr ein Jahr, hat da nochmal von neuen Treffen zwischenAfD-Vertreterinnen und Angehörigen von in Deutschland als verfassungswidrigverbotenen Organisationen gezeigt.Ja, die treffen sich mit irgendwelchen, ja, also quasi, wie könnte man sagen,so gesichert rechtsextremen, dass man sie sogar verbietet.Und was mich auch sehr gefreut hat, sehr, das war mir die größte Freude eigentlich,der Adenauer SRP Plus, der stand ja unten in der Assemblyhalle.Der Adenauer SRP Plus ist der neue Demo-Superbus des Zentrums für politischeSchönheit, mit dem sie am heutigen 11.Januar den AfD-Parteitag in Riesa begleiten.Ein großer, umgebauter Justiz-Gefangenenbus mit allerlei Extras,den sich anzuschauen lohnt sich sehr.Mit dem werden sie jetzt den Bundestagswahlkampf der AfD begleiten.Das war schon sehr schön, diese engagierten, kreativen Leute auf der Veranstaltung zu haben.Das hat mich schon sehr, sehr gefreut.Kann ich nicht anders sagen. Das war mir eine große Freude.
Tim Pritlove 1:51:13
Ja, also wir sind zufrieden mit dem Kongress, kann man sagen.
Linus Neumann 1:51:18
Ja, natürlich sind wir zufrieden mit dem Kongress. Also es wäre jetzt ja noch schlimmer.Ja, war eine schöne Veranstaltung. Ich glaube, du hast aber auch in der Freakshowschon sehr viel über die so den generellen Vibe der Veranstaltung auch gesprochen,oder brauchen wir jetzt hier, können wir darauf verweisen, oder?
Tim Pritlove 1:51:41
Klar können wir darauf verweisen, ist ja schon veröffentlicht.
Linus Neumann 1:51:44
Ist schon veröffentlicht.
Tim Pritlove 1:51:45
Ist schon veröffentlicht, wie ein Wunder.
Linus Neumann 1:51:49
Okay, dann können wir ja mal, kommen wir nun zu den Neuigkeiten.In einer wirklich völlig wirren, in einem völlig wirren Realitätsabzweig,wo ich gerade irgendwie mit dem Schuh fest klemme,ist Trump irgendwie straffrei, also verurteilt, aber straffrei für das Schweigegeld,dass er da irgendwie an Stormy Daniels gezahlt hat.Elon Musk hat als Dankeschön für seine AfD-Empfehlung einen Gastbeitrag in derTageszeitung Die Welt bekommen.Und die ganzen Tech-CEOs habenjeweils eine Million gespendet für die Inauguration von Donald Trump.Darunter übrigens auch Tim Apple.Und wer noch?Tim Apple hat das privat gespendet. Ich glaube, Sam Altman war das Privatspende?
Tim Pritlove 1:52:50
Das weiß ich nicht.
Linus Neumann 1:52:52
Sam Altman, Zuckerberg, Musk hat ja eh eine Viertel Milliarde oder was gespendet. Ja.Dann hat, nachdem Musk seinen Gastbeitrag in der Welt hatte,in dem er erklären konnte, warum nur die AfD Deutschland retten könne in seiner Vorstellung,hat er noch ein X-Space mit Alice Weidel gemacht,woraufhin die komplette deutsche Medienlandschaft das irgendwie auf der Startseitein Knall groß hatte, was natürlich auch äußerst gelungen ist.Und außerdem hat dann am Ende noch Mark Zuckerberg gesagt, er will jetzt Facebooknach dem Vorbild von X umbauen.Ich glaube aber, das liegt wie gesagt daran, dass ich hier gerade mit dem Schuhirgendwie auf einem schlechten Asset-Trip klemmen geblieben bin,weil das kann doch irgendwie nicht sein.
Tim Pritlove 1:53:47
Naja, also ich meine, es wird halt jetzt einfach, es werden jetzt die Gabenvor den Füßen des neuen Herrschers abgelegt, damit sie mit dessen Milde rechnen können.Denn alle anderen werden ja dann abgewatscht. Man will ja nicht abgewatschtwerden, wenn man mit im Business bleiben will.Und da stören dann halt so bestimmte Sachen wie so, naja, fairer Umgang mitWahrheit und sowas, das ist ja dann auch sehr anstrengend. Du kennst das.
Linus Neumann 1:54:20
Also, ich finde, also ich denke, diesen Schritt von Mark Zuckerberg solltenwir schon nochmal genauer beleuchten.Hast du das Video gesehen von seiner Ankündigung da?
Tim Pritlove 1:54:36
Nein, ich schaue mir das nicht an.
Linus Neumann 1:54:37
Hast du nicht geschaut? Also er hat...
Tim Pritlove 1:54:41
Ich interessiere mich ja auch ehrlich gesagt nicht für Facebook.Ich fand das schon immer inakzeptabel.Im Prinzip hat er ja verkündet, dass sie jetzt so diese ganze Fact-Checking-Geschichtesein lassen und jetzt gilt halt hier irgendwie Free Speech. Ja,Mit Community Notes, so wie X das macht. Was ja vielleicht auch in gewisserHinsicht nicht so eine schlechte Idee ist,aber dann auch natürlich sehr davon abhängt, wie es umgesetzt wird,genauso wie Fact-Checking halt auch.Aber diese ganze Diskussion in den USA lässt sich halt gar nicht mehr einfangen,so in Bezug von, es gibt dann so eine Firma, die entscheidet,was erscheint oder was nicht erscheint.Was ja auch durchaus diskutabel ist. Und dieses, ja man lässt es vielleichtstehen, aber man annotiert es eben mit anderen Darstellungen, kann man auch machen.Ich weiß nicht, ob das jetzt der große Umsturz schon ist, aber es ist auf jedenFall da ein kultureller Wandel zu sehen jetzt im Rahmen des Wechsels der Präsidentschaft.
Linus Neumann 1:55:52
Ja, also ich meine,Sascha Lobo war in meiner Wahrnehmung der einzige reichweitenstarke, der so gesagt hat, naja,Meinungsfreiheit wäre ja schon irgendwie ganz wichtig und wenn man jetzt massenhaftBeiträge verschwinden lässt, dann sind wir ja eigentlich schon auch der Ansicht,dass das nicht gut ist. und,da gibt es das, also er sagt quasi es ist ja jetzt nicht so als hätten bis einenTag vor Mark Zuckerbergs Ankündigung alle gesagt mit der Inhaltekontrolle beiFacebook, da ist schon alles in Ordnung, läuft,ja na und,gleichzeitig wird er ja mit dieser Ankündigung die kann sich ja eigentlich erstmalnur auf die USA beziehen, weil der wird ja mit der,also wird er zumindest in der EU wird er damit nicht so weit kommen,wenn er jetzt sagt, passt auf wir machen jetzt mal anders hier also da gibt es ja einfach bestimmte,bestimmte Regeln, die er nicht die er jetzt nicht einfach ignorieren kann.
Tim Pritlove 1:57:08
Also kann er schon aber es dauert dann nochmal 10 Jahre bevor er dann dafür nicht bestraft wird Ja.
Linus Neumann 1:57:14
Stimmt Was ich interessant finde ist weißt du, wenn der Musk Twitter kauft undsagt, okay, es ist jetzt meins und jetzt mache ich das scheiße.Und zwar so scheiße, wie ich will.Dann verbrennt er ja nur sein eigenes Geld.Mal gucken, ob das überhaupt langfristig so ist, weil jetzt ist er ja zumindestmal Government-Starling.Das dürfte zumindest für die nächsten vier Jahre,auch die,Konsequenzen dafür haben, ob Unternehmen jetzt noch auf X werben oder nicht.Mark Zuckerberg ist aber CEO eines börsendotierten Unternehmens,dass entsprechend, wenn der den Laden jetzt da in die Gülle rauschen lässt,dann vernichtet der eine ganze Menge Kapital von Leuten, die vielleicht nicht möchten.
Tim Pritlove 1:58:17
Was heißt in die Gülle rauschen? Ich meine, bewegt ihr sich nicht sowieso schondie ganze Zeit in der Gülle? Also das ist doch eigentlich das Geschäftsmodell an der Stelle.Also ganz ehrlich, ich habe da relativ wenig Hoffnung, dass sich das in irgendeinerForm nennenswert auf die Operations auswirken wird.Ganz im Gegenteil, das wird dann eher das Businessmodell noch stärken,weil wir wissen ja alles, wie das ist mit dieser ganzen Aufregung,die in diesen sozialen Netzen immer stattfindet.Das ist am Ende für Unternehmen, die auf Daten- und Kommunikationsverhaltensauswertungbasieren, positiv. Und wenn dann halt irgendwie der Umsatz stimmt,dann ist das der Börse eigentlich auch ziemlich egal, da geht es eigentlich nur um Geld.Also von daher reiben sich da glaube ich alle die Hände, zumal man eben nichtdavon ausgehen kann, dass diese Unternehmen jetzt in irgendeiner Form weiterenBeschränkungen noch unterliegen werden müssen.Sondern es ist eher davon auszugehen, dass Trump halt jetzt dafür sorgen wird,dass was auch immer an störenden Beschränkungen derzeit noch existiert,entweder fällt oder sogar noch weiter ins Absurde getrieben wird und dass daseben jetzt auch alles stattfinden darf.Das haben sie dann sozusagen jetzt mit ihren großzügigen Spenden dann auch nochmal losgetreten.Andererseits muss man auch sagen.Es ist ja jetzt nicht so, dass jetzt den Leuten nicht klar wäre, was jetzt kommt.Also der Unterschied zu dieser letzten Trump-Präsidentschaft ist,dass alle nicht wussten, was da auf sie zukommt.Und einschließlich Trump, der wirklich nur Dilettanten eigentlich am Start hatteund auch ja selber überhaupt nicht damit gerechnet hat,Präsident zu werden. Das ist natürlich jetzt ganz anders.Das heißt, alle wissen jetzt in etwa, was jetzt kommt. Das heißt,es wird jetzt keinerlei nennenswerte Auflagen geben für Unternehmen,die Leute bescheißen, die die Umwelt versauen etc.Und so wird es halt jetzt sein. Und da spielt man dann halt einfach mal mit.Und alle müssen sich eben jetzt auch fragen, was sie angesichts dieser Realität tun.Und da finde ich das in gewisser Hinsicht fast schon konsequent,dass sogar Tim Cook da noch eine Million rauslegt.
Linus Neumann 2:00:45
On top wirft.
Tim Pritlove 2:00:46
Ja, privat sozusagen, weil er weiß, es wird einfach jeder bestraft werden,der da jetzt nicht mitspielt.Da kannst du deine Ethik schön auch noch aus dem Regal nochmal holen und nochmalabstauben, aber das findet jetzt halt einfach so statt.Wenn er dann die Kohle aus seiner Privatschatulle holt und nicht Apple selberbezahlen lässt, dann...Nimmt er sozusagen eins fürs Team, mal salopp formuliert.Ich weiß jetzt nicht, wie viele andere jetzt noch privat da gespendet habenoder ihre Unternehmen haben bluten lassen.Ich denke, die betroffenen Personen haben diese Millionen alle locker im Regal liegen.Und ja, darauf stellen sich halt jetzt alle ein.Das wird jetzt einfach so eine Proligarchie, wo es eigentlich nur noch um Geldgeht und niemand hat, glaube ich, irgendwelche Erwartungen noch.
Linus Neumann 2:01:40
Ja,korrekt.
Tim Pritlove 2:01:47
Das ist die Realität jetzt.
Linus Neumann 2:01:52
Ja, jetzt müssen wir uns vielleicht trotzdem darüber Gedanken machen.Ich meine, du hast schon recht, es ist auch ziemlich neu, dass wir vor Facebookund derartigen Unternehmen waren.Denn was der Zuckerberg zum Beispiel auch sagt, ist, dass er das Team für Inhaltemoderationjetzt nicht mehr in Kalifornien macht, sondern in Texas.Und das finde ich halt das finde ich ja schon sehr witzig also das ist halt eine.Und sagt halt in Texas glaubt er einfach dass da die politische Färbung des,Zensurteams nicht so extrem sein wird ja ich meine und das ist halt schon,also muss man überlegen das ist ja sowieso einfach mal sehr witzig Weil wenn du als CEO sagst,dass die Qualität deines Inhaltemoderationsteams davon abhängt,ob die in Kalifornien oder Texas sitzen,dann heißt das ja, dass du deinen Laden nicht im Griff hast.Das ist ja katastrophal. Muss man überlegen. Es ist ja jetzt nicht so,dass es Texas Bodenschätze gibt oder so, die du dafür brauchst.Es ist ja naheliegend, ein Inhalte-Moderationsteam da zu machen,wo sie am billigsten sind.Macht Facebook ja auch. Größtenteils irgendwo auf den Philippinen.Irgendwelche Billig-Worker, die sich den ganzen Terror angucken müssen und dieganzen wirklichen, also illegalen und wirklich verletzten, also komplett krankenSchmutz den Leute bei Facebook hochladen.Aber stell dir mal vor, jemand in es gibt ja jetzt kein ein deutsches Netzwerk.Irgendeiner würde sagen, wir machen das mal, pass auf, wir machen das jetztnicht mehr in Berlin, sondern in München.Weil wir glauben, dass die Leute in München dieser Aufgabe besser gewachsensind. Überleg mal, was das für eine Aufsage ist.Über den gesamten Bundesstaat und über wirklich über die Qualität,wie du dein Unternehmen führst.Ich möchte mir doch hoffentlich verbitten, dass das Inhalte-Moderationsteambei Facebook in irgendeiner Form,persönlichen Einfluss auf die Entscheidung nehmen kann oder die Qualität davonabhängt, ob ich gerade von einem Texaner oder von einer Kalifornierin beurteilt werde.
Tim Pritlove 2:04:18
Also ich bin mir jetzt nicht so sicher, ob wir machen, dass jetzt in Texas einegroße Auswirkung auf die Personenzusammensetzung hat.Also sicherlich auch, aber ich kann mir auch vorstellen, dass da eine gewisseKontinuität ist und dass die Leute dann einfach umziehen und dann halt irgendwie,was weiß ich, in Houston wohnen.
Linus Neumann 2:04:35
Also Inhalt-Moderation bei Facebook ist glaube ich kein Job, für den du umziehst.
Tim Pritlove 2:04:39
I don't know. Ich glaube aber, dass das jetzt nicht die Motivation,also ich meine, Voke-Leute hast du auch in Texas.Wie du dir dein Team zusammenstellst, ist vollkommen unabhängig davon, wo du das ansiedelst.Womit es meiner Auffassung nach wahrscheinlich mehr was zu tun hat,ist die lokale Rechtsprechung und inwiefern du da in Konflikt gerätst mit irgendwelchenRegularien oder Haftungsgründen.Und ich meine, das hast du dann auch in Deutschland. Ich meine,man muss ja immer nur anschauen, wenn eine Urheberrechtsklage kommt von irgendeinemVerlag und so weiter, wo findet die dann statt? Na, in Hamburg.Und warum? Weil man halt weiß, wie die Gerichte da entscheiden.Und das ist ja in den USA generell ein sehr beliebter Sport.Da gibt es ja sozusagen für jeden Fallbereich gibt es dann auch den passendenStaat. So Delaware sind diese ganzen Verhandlungen von großen Unternehmen,so Lizenzabkommen und all dieser ganze Kram findet halt da statt etc.Und ich schätze mal in Texas ist man dann sehr beruhigt, was mögliche Klagen,Vorwürfe gegen so ein Team und so weiter angeht.Aber das ist ehrlich gesagt jetzt auch reine Spekulation meinerseits.
Linus Neumann 2:05:55
Also,im Zweifelsfall ist es irgendeine symbolische Geste gegenüber Trump und Elon Musk.Elon Musk ist ja auf jeden Fall so ein Texas-Fan.
Tim Pritlove 2:06:12
Der ist ja mit seinem Tesla-Sitz da auch hingezogen, auch aus wenigen Gründen wahrscheinlich.
Linus Neumann 2:06:18
Aber es ist schon schockierend. Kannst nicht anders sagen.
Tim Pritlove 2:06:23
Also schockt dich das noch? Also mich schockt ja das irgendwie alles überhaupt nicht mehr.
Linus Neumann 2:06:29
Na das hilft, also wir machen ja immer noch einen Podcast, in dem wir das irgendwie behandeln.Und dass das keine positive Entwicklung ist, werden wir hier schon anbringen.
Tim Pritlove 2:06:41
Das würde man ja nochmal sagen dürfen. Ja, das darf man natürlich sagen.Aber wenn du sagst, dich schockiert das oder gut, es ist schockiert, ja.Ich denke, wir müssen uns da keine Illusionen machen.Das werden jetzt schwere Jahre werden. Also die USA wird natürlich der Hauptverwundetesein in diesem Fall, definitiv.Also ich denke nicht, dass es in puncto Bürgerrechte, Demokratie etc.Nennenswerte Fortschritte geben wird. Es wird natürlich Gegenbewegungen gebenund es wird auch immer noch hier und da die Möglichkeit geben,dem Ganzen was entgegenzusetzen, aber in Anbetracht der Tatsache,dass die Republikaner jetzt halt den kompletten Kongress,den Senat und das Haus unter Kontrolle haben und den Supreme Court und Trumpnatürlich die nächsten Jahre auch weiterhin die Gerichtsbarkeit der USA mitseinen Getreuen durchsetzen wird.So wie es das mittlerweile auch mit der republikanischen Partei getan hat.Das ist also schon eher so ein putinesker Ausbau der Machtbasis.Und man kann halt nur hoffen, dass dem Ganzen in irgendeiner Form durch irgendeinePerson, die wir heute noch nicht kennen, in fünf Jahren da ein Riegel vorgeschoben wird.Wenn es denn dann noch möglich ist, das wieder in irgendeiner Form in den Griffzu bekommen und es eine entsprechende Gegenbewegung geben wird.Aber bis dahin wird es schwierig, auch auf internationaler Ebene.Man kann jetzt eigentlich nur hoffen, dass man….Politik international mit ihm noch in irgendeiner Form auf die Kette kriegt,auch wenn es wahrscheinlich im Wesentlichen bedeutet, dass man quasi alle politischenBotschaften jetzt anders formulieren muss.Du musst halt immer sagen, das was wir hier wollen ist gut, weil dann steht Trump gut da.Nur genau dann wird er es machen. Nur so kannst du jetzt irgendwie die Ukraine retten.Man muss nur dafür sorgen, dass Trump das Gefühl hat, dass wenn er sich Putinunterwirft, dass das für ihn schlecht ist.Und deswegen gehen da auch die ganzen Argumentationen jetzt schon anders.Vorher wurde jetzt immer über Freiheit und Verantwortung und so weiter gesprochenund deswegen müsste man ja der Ukraine helfen und Menschenrechte und so.Spielt natürlich heute jetzt überhaupt gar keine Rolle mehr.Jetzt geht die ganze Diskussion in puncto zu.Da sind ja große Bodenschätze in der Ukraine. Wäre ja schade,wenn die nicht von der USA genutzt werden könnten in der Zukunft.Da geht ja so viel Geld verloren.So muss man jetzt argumentieren, um da noch was mitzubekommen.Genauso sehen wir das jetzt bei der Diskussion um die NATO und ähnlich werdenwir dann wahrscheinlich auch im netzpolitischen Bereich argumentieren müssen,weil alles andere, glaube ich, ist schwierig.Also ich bin da mal wirklich ausnahmsweise mal sehr pessimistisch, was das betrifft.
Linus Neumann 2:09:44
Klar, also da kommt eine ganze Reihe absurder Kram,Grönland. Wer wird jetzt noch alles gekauft? Grönland.
Tim Pritlove 2:09:55
Panama.
Linus Neumann 2:09:57
Panama. Panama Kanal will er haben.
Tim Pritlove 2:10:00
Ja, im Zweifelsfall jetzt Panama. Man könnte halt auch mal schauen,ob wir nicht irgendwie Thüringen noch abtreten können.
Linus Neumann 2:10:08
Thüringen könnten wir abtreten.Und Sachsen. Sachsen, Thüringen. Haben die Bodenschätze?
Tim Pritlove 2:10:20
Würste.
Linus Neumann 2:10:20
Man könnte da, die brauchen das, um das neue,Inhalte-Kontrollteam von Facebook zu machen.
Tim Pritlove 2:10:31
Da könnte es nach Thüringen gehen, ja.
Linus Neumann 2:10:37
Man sollte aber glaube ich nicht, also die, also ich glaube,Ich hoffe, dass die Inhaltekontrolle für Meta und auch das, was Meta darf und nicht darf,weiterhin in Deutschland für Deutschland und grundsätzlich in Europa für Europa geklärt wird.Und die Macht der sozialen Medienkonzerne sollte aber tatsächlich noch einmalsehr genau berücksichtigt werden.Ich meine, wir hatten darüber gesprochen, in Rumänien wurde jetzt eine Wahlwegen feindlicher Einflussnahme durch Social Media Kampagnen in Zweifel gezogen.Die Macht, die Elon Musk hat, dadurch, dass er Aufmerksamkeit kontrollierenkann, kontrolliert lenken kann,ist problematisch.Und ich kann übrigens auch sehr gut verstehen, dass viele Leute bei der Welteinfach kündigen, wenn jemand, der sich für ein paar Milliarden ein sozialesNetzwerk kauft, bei denen noch irgendwie einen Artikel auf der Meinungsseite on top kriegt.Das kann ich sehr verstehen, dass das dann selbst beim Springer Verlag bei einigendas Verständnis für Journalismus irgendwo an die Grenzen bringt.Das kommt ja selten vor. Normalerweise fliegst du bei Springer,weil du dich den Frauen gegenüber nicht vernünftig verhalten kannst und es jemandaußerhalb von Springer bemängelt hat.Dann fliegst du bei Springer, wenn du unhaltbar geworden bist mit deiner Scheiße.Aber doch, dass du freiwillig da gehst, aus moralischen Erwägungen oder ethischenErwägungen, das kommt selten vor, wenn du einmal in die Grube hinabgestiegen bist.Aber es passiert und man wird noch Pferde kotzen sehen, direkt vom Springerhochhaus.Aber es ist schon wirklich absurd, dass die halt sagen, dass die denken,dass der Typ, der sowieso die Weltaufmerksamkeit zu großen Teilen kontrolliert,dass man dem irgendwie noch ein Forum bieten müsse, das ist halt wirklich ein bisschen schwach.Gleichzeitig sterben unsere Medien, also die sogenannten traditionellen Medien,langsam vor sich hin,weil die Menschen ihre Aufmerksamkeit diesen sozialen Medien mit ihren süchtigmachenden Algorithmen und Geschäftspraktiken schenken.Und das ist eigentlich ein Problem, weißt du, irgendwie so ein US-Wahlergebnisoder so, das sind eigentlich, glaube ich, am Ende nur Symptome.Einer Ursache, die eben darin besteht, dass diese gesamte Internetnummer geradeeine echt schlechte Kurve nimmt.Das war schon die ganze Zeit keine gute, aber die sozialen Medien haben,die sogenannten sozialen Medien, da kann man wieder Andi Müller-Magun zitieren,das sind doch asoziale Medien.Wie kommt man denn auf die Idee, wo kommt eigentlich dieser Begriff soziale Medien her?Dass die,damit einhergeht, die Macht und diese Kontrolle und die gesellschaftlichen Veränderungen,die ja erklärtermaßen auch mit deren Hilfe umgesetzt werden und aufrechterhaltenwerden, da wird man sich mal Gedanken drüber machen müssen. Und ich glaube, Ja.Ich glaube, da wird irgendeine Form von Kontrolle, von Kurskorrektur notwendigwerden, wie man als Gesellschaft mit diesen Dingern umgeht.
Tim Pritlove 2:14:40
Auf jeden Fall ist der Traum von alles muss immer überall frei und unzensuriert sein, nicht zu halten.Also das zeigt sich leider, dass das quasi so als pure Vision allein so nicht umsetzbar ist.Sondern man muss da einen Zwischenweg finden.
Linus Neumann 2:15:02
Also richtig, aber das ist ja nicht das, also wenn du das jetzt machst,ist ja trotzdem nicht die Macht der sozialen Medien gebrochen.Die Macht der sozialen Medien besteht ja darin, was dir gezeigt wird und was nicht.Von dem, was andere da reingießen. Übrigens ja auch der Grund,warum da dieser Twitter-Space mit Alice Weidel potenziell als illegale Wahlkampfspendeinterpretiert werden kann.Weil, und die Argumentation, die wir daran führen, ist ja, weil du dir einederartige Reichweite bei Twitter kaufen musst.Das Geschäftsmodell des Unternehmens ist, dass du Reichweite kaufen musst undnicht, dass du die einfach bekommst, weil der CEO, der den Laden kontrolliert,dir ein Interview gibt und das auf seiner Plattform einfach ausspielt.Wenn ich sage, ich möchte das gerne machen, muss ich dafür sehr viel Geld bezahlen.
Tim Pritlove 2:15:56
Und hast du Hoffnung, dass das auch passieren wird? Dass das verfolgt wird?
Linus Neumann 2:16:01
Ich muss noch ein bisschen sparen.
Tim Pritlove 2:16:05
Für deinen eigenen Twitter-Space?
Linus Neumann 2:16:07
Für meinen eigenen Twitter-Space mit Elon Musk.
Tim Pritlove 2:16:14
Ach ja.Haben Sie sich da eigentlich auf Deutsch oder auf Englisch unterhalten?
Linus Neumann 2:16:20
Auf sehr schlechtem Englisch habe ich gelesen. Ich konnte mir jetzt überlegen,ich hatte ja die Wahl zwischen,ich gucke mir den Scheiß live an oder die Primärquelle oder ich bestätige alldie Medien, die darüber berichten,indem ich ihnen einen Klick gebe, damit die Geld verdienen dafür,dass sie darüber berichtet haben.Also habe ich mir bei der Tagesschau kurz angeschaut, weil die verdienen nicht an Klicks.Und der Thomas Fischer hatte auch noch den einen oder anderen Hinweis über die zweifelhafte,nicht nur die sehr unsinnigen Inhalte, aber auch die zweifelhafte englischeAussprache von Frau Weidel.
Tim Pritlove 2:17:09
Ja gut, also ich meine, sie tritt ja nicht als US-Präsidentin an,ist ja zu gutem Englisch nicht verpflichtet, aber naja.
Linus Neumann 2:17:17
Ja, das ist wie gesagt,also der ARD-Faktencheck hat sich dann noch irgendwie mit den nicht korrektenBehauptungen in dem Kontext auseinandergesetzt und es war ansonsten wohl ein Gespräch,das keine besondere Tiefe hatte.Ja, der Inhalt ist ja auch egal.
Tim Pritlove 2:17:44
Das Ereignis als solches und dass darüber berichtet wird von allen Seiten undalle drauf linken und alle sich darüber empören und so.Diese ganze Empörerei, das hat irgendwie Trump schon in die erste Präsidentschaftgebracht und genauso auch wieder in die zweite.Und wenn wir damit nicht aufhören und die ganze Zeit dieses Empörspiel der Rechtenmitzuspielen, dann werden die auch nicht weggehen.Das ist einfach wichtig, dass wir das ignorieren. Deswegen ignorieren wir jetztauch Alice Weidel und ihren scheiß Twitter-Space.Mir scheißegal, was sie da macht in ihrer Freizeit, interessiert mich nicht.
Linus Neumann 2:18:20
Okay. Gut, so machen wir das.Kommen wir zu den kürzeren Themen. Wir haben so drei kleinere Sachen aus demBereich der sicheren Kommunikation. Es gibt...Auch das haben wir hier behandelt. Ein wirklich übrigens krasser Fall,über den Joseph Cox ein super Buch geschrieben hat. Dark Wire,the incredible true story of the largest Sting-Operation ever.Und zwar gab es ja mehrere Fälle,wo quasi internationale Polizeibehördenin ihrer Zusammenarbeit so Kryptokommunikationssysteme unterwandert haben,die sich spezifisch an Kriminelle gewendet haben. Zum Beispiel EncroChat.Infolgedessen haben die aber, weil die ja dann auch immer einen großen Marktteilnehmervom Markt genommen haben, haben sie dann auch mal einfach selber einen gebaut.Und das war Anom, also Enem. Also, so.Und dieses Enem war, also das Geschäftsmodell war, die haben Handys verkauftmit einer versteckten App drauf.Also quasi, du kriegst es für 2000 US-Dollar pro, für ein halbes Jahr,kriegst du so ein Handy mit einem gehärteten Android drauf und einer verstecktenKrypto-Messenger-App.Die war dann irgendwie hinterher ein Taschenrechner.Du musst Taschenrechner aufmachen, irgendeinen Code eingeben und dann kam diese Anim-App.Das wurde gezielt eigentlich quasi ausschließlich von Kriminellen an Kriminelle verkauft.Und das FBI hat dieses Ding halt betrieben, bis da irgendwie ein paar Zehntausend drauf waren.Und die haben halt fleißig diese ganzen Nachrichten gelesen und dann mal hierso 50 Tonnen Koks beschlagnahmt, Hirnmord verhindert und so weiter und so fortund irgendwann halt massenhaft zugeschlagen und das Ding zugemacht.Und das Buch von Joseph Cox kann ich sehr empfehlen. Da haben wir euch aucheinen Link in die Shownotes gemacht.Gibt es auch als Hörbuch, ich habe das Hörbuch gehört, eine wirklich irre Geschichte.Was da für Kriminelle, wie die unterwandert wurden und so weiter. Alles total stark.Und das ganze Ding war natürlich relativ, ja, wie soll man das sagen, rechtliches Neuland.Ja, wenn da jetzt das FBI so unter falschen Versprechungen so einen abhörbarenKryptomessenger vertreibt und was ist denn jetzt mit den Dingen,sind die als Beweismittel zugelassen oder nicht.Und in Deutschland hat jetzt der Bundesgerichtshof entschieden,dass deutsche Behörden diese Daten verwenden können.Und das dürfte für einige Kriminelle eine relativ schlechte Nachricht sein.
Tim Pritlove 2:21:27
Ja, interessant.
Linus Neumann 2:21:29
Also wirklich eine irre Geschichte. Ich habe da auch bei der DEF CON hatte derJoseph Cox auch einen Vortrag darüber gehalten.Auch der ist sehr zu empfehlen.Den haben wir auch nochmal in die Shownotes, weil da halt wirklich krasse Sachen sind.Und noch dazu ist es halt wirklich, ich meine, das ist natürlich ein Ding,was genau an diesem Thema staatlicherZugriff auf Kryptografie oder verschlüsselte Nachrichten spielt.Und auch wenn die, bei Enorm ist der Fall, das haben sie halt einfach selberaufgebaut und angeboten, sind die Kunden halt selber schuld,wenn sie bei der Polizei ihre Kryptohandys kaufen.Bei EncroChat und anderen haben sie die halt tatsächlich auch gehackt.Da sind wir dann rechtlich schon wieder in noch einer anderen Sache,nämlich im Bereich der Staatstrojaner.Ich will das jetzt nur im kurzen Überblick. Im Bereich der Staatstrojaner gab es jetzt...Ja, dieses Strafverfahren gegen die NSO Group, die einen der großen Staatstrojaneran Diktatoren weltweit verkauft, nämlich die Pegasus,wo es von unseren Freunden vom Citizen Lab und vom Amnesty Security Lab regelmäßigauf Forschungsergebnisse geht,wo das wieder von irgendeinem Diktator gegen unschuldige Journalistinnen undOppositionspolitiker eingesetzt wurde.Die wurden ja schon vor vielen Jahren von WhatsApp verklagt,weil WhatsApp sagt, naja, pass mal auf, ihr habt ja irgendwie gegen unsere AGBsverstoßen, so sinngemäß.Ihr habt irgendwie unter Ausnutzung von Zero Days in WhatsApp Spyware auf mindestens1400 Geräten installiert und die haben also jetzt,die NSO Group wurde von einem Bundesgericht der USA zumindest dafür haftbar gemacht.Das ist schon mal ein gutes Zeichen, weil wenn Facebook von denen einen Schadensersatzam Ende zugesprochen kriegt, dann kann das diesem Unternehmen hoffentlich schaden.Wie gesagt, anderer Fall. Hier gibt es quasi ein Privatunternehmen,das hackt und die Ergebnisse Staaten und Diktatoren zugänglich macht.In einem anderen Fall betrieben vom Staat, spezifisch auch für Kriminelle.Dieses NSO richtet sich ja nicht notwendigerweise gegen Kriminelle,sondern insbesondere, wenn da irgendwelche Diktatoren ihre Ehefrau mit überwachen,eher so ein bisschen den etwas zweifelhafteren Bereich.
Tim Pritlove 2:24:29
Wozu so ein Start dann an Dienstleistungen auf einmal möglich ist,wenn die Motivation hoch genug ist?
Linus Neumann 2:24:37
Telegram gibt jetzt deutlich mehr Daten an deutsche Behörden raus,seitdem der Pavel Durow da in Paris verhaftet wurde.
Tim Pritlove 2:24:45
Ein Wunder.
Linus Neumann 2:24:47
Funktioniert dann doch?
Tim Pritlove 2:24:48
Ja.
Linus Neumann 2:24:49
Das war, da frage ich mich, ich glaube...
Tim Pritlove 2:24:51
Ich habe nichts gehört davon, dass er weg ist.
Linus Neumann 2:24:54
Ich glaube,ähm... Hm...Ich glaube, der ist doch da irgendwie rausgekommen, oder?
Tim Pritlove 2:25:05
Ich schau grad mal an.
Linus Neumann 2:25:06
Ja, der ist am 28.8. wurde der schon in Frankreich aus der Haft entlassen.
Tim Pritlove 2:25:13
Ja, aber der durfte das Land nicht verlassen.
Linus Neumann 2:25:16
Ja gut, aber das ist ein Unterschied. Das ist ein Unterschied,ob du im Gefängnis bist oder ein Land nicht verlassen darfst.
Tim Pritlove 2:25:22
Aber es ist auch ein Unterschied, ob du da irgendwie in Frankreich abhängenmusst oder ob du in Dubai in der Luxus-Lounge rumhängst.
Linus Neumann 2:25:30
Ich weiß nicht, also ich würde lieber, ich würde Frankreich zu jedem Zeitpunkt bevorzugen.
Tim Pritlove 2:25:34
Naja gut, was es Essen betrifft, definitiv. Also hier steht bis zum Abschlussdes Ermittlungsverfahrens darf er Frankreich nicht verlassen, also ist er noch da.
Linus Neumann 2:25:41
Okay.Ja, soviel zu eurer sicheren Kommunikation. Buchempfehlung. Endlich mal einGerichtsverfahren, bei dem man Facebook Glück wünscht.Und wenn man anfängt, seine Gesetze durchzusetzen, dann funktionieren die am Ende doch.Dann hatten wir in Deutschland, bleibt jetzt Unklarheit, wir hatten es in derletzten Sendung dann berichtet, in Magdeburg ist irgendein Irrer in den Weihnachtsmarkt gefahren,hat darüber lange vorher, lang und breit in Twitter X irgendwelche Ankündigungengemacht, unter der Account, den er da hatte, lief vollständig normal unter seinem Namen,und ist natürlich klar, das Einzige, was hier jetzt noch geholfen hätte, das zu verhindern,nachdem ja auch mehrere Leute bei unterschiedlichsten Sicherheitsbehörden gesagt haben, Vorsicht,der da, der hat eine Waffe, der meint das ernst, könnt ihr da bitte mal gucken?Und die Sicherheitsbehörden zu dem Typen hingefahren sind und gesagt haben,übrigens Das macht halt man nicht.Nachdem der dann trotzdem noch einen Attentat verübt, hilft natürlich nur nocheins, Vorratsdatenspeicherung.Ja, klar. Also das ist ja quasi zwingend ergibt sich das ja.Also es ergibt sich ja wirklich zwingend.
Tim Pritlove 2:27:18
Und diese in sich geschlossenen Logikketten bei der CDU sind einfach irre. Deswegen wählt man die.
Linus Neumann 2:27:26
Und weil die Vorratsdatenspeicherung fehlte und das Sicherheitspaket denen nichtweit genug gegangen ist, hat die CDU das ja kippen lassen, dann hat die Bundesregierung gesagt,so oh, nach Magdeburg, so hui, dann brauchen wir jetzt natürlich Vorratsdatenspeicherung,was so ungefähr die dümmste Schlussfolgerung aus dem Magdeburg-Ding ist,die man haben kann, aber natürlich eine sehr gute,wenn man davon ablenken will, dass die eigenen Sicherheitsbehörden absolut versagt haben.Ich meine, die waren bei dem Typen und haben gesagt, ey, nicht,dass du hier Scheiße baust, mein Freund.Und dann hat der gesagt, nee, nee, kein Problem, alles gut, alles gut,alles gut. Und als nächstes fährt der an dem Polizeiauto vorbei in den Weihnachtsmarkt.Da brauchst du natürlich irgendein Aufregerthema, um davon abzulenken,dass das halt absolute Flachzangen sind.Und das Beste, was du machen kannst, ist natürlich zu sagen,pass auf, die brauchen einfach noch mehr Befugnis. Ist doch völlig klar.
Tim Pritlove 2:28:25
Ja, ich meine, die schlagen doch Vorratsdatenspeicherung wirklich bei allemvor. Deutschland gewinnt wieder den ESC nicht, Vorratsdatenspeicherung.Söder kann das Bier nicht mehr richtig anstechen, Vorratsdatenspeicherung.Also das ist einfach die logische Konsequenz, immer.
Linus Neumann 2:28:44
Interessanterweise wurden sie dann in der Bundespressekonferenz gefragt unddann wurde gesagt, also zwar am 3.Januar, und dann sagte die stellvertretende Regierung, auf einmal,ja, nee, die Bundesregierung spricht sich nicht für Vorratsdatenspeicherung aus.Man hätte nämlich über die Silvestertage plötzlich Beratungsbedarf entdeckt.
Tim Pritlove 2:29:12
Oh, wirklich? Aber war das nicht die CDU, die das im Wesentlichen geforderthat oder war das auch die Bundesregierung?
Linus Neumann 2:29:18
Ja, aber die Frage war ja, was macht die Bundesregierung? Noch ist die CDU janicht eine Bundesregierung.
Tim Pritlove 2:29:24
Ja, stimmt.
Linus Neumann 2:29:26
Deswegen hat Rot-Grün Ich meine, die sind da jetzt auch irgendwie,Wahrscheinlich brauchen wir jetzt eine Vorratsdatenspeicherung,weil der Christian Lindner eine Torte abbekommen hat Hast du ein Video schonhundertmal geguckt oder noch nicht?
Tim Pritlove 2:29:42
Ich hab ein Foto gesehen Ich beschäftige mich auch mit Christian Lindner nichtso, ich bin ja nicht so vernaht wie du.
Linus Neumann 2:29:48
Ich bin doch nicht vernaht Ich hab einfach nur festgestellt.
Tim Pritlove 2:29:51
Dass der eine Torte abbekommen hat Ich rede nie von Christian Lindner.
Linus Neumann 2:29:54
Christian Lindner war Teil der Bundesregierung.
Tim Pritlove 2:29:58
Na und? Das waren schon viele.
Linus Neumann 2:30:01
Ja, aber das ist auch einfach schon mal ein Qualitätsurteil grundsätzlich überdas Land. Das ist ein Missstand, den muss man doch besprechen.
Tim Pritlove 2:30:10
Haben wir ja auch schon gemacht.
Linus Neumann 2:30:13
Okay, kommen wir, also das ist jetzt wieder auf Eis.Vielleicht kommt die Vorratsdatenspeicherung erst, vielleicht kommt der nächsteVersuch, die bisher jedes Mal als grundrechtswidrig wieder einkassierte Vorratsdatenspeicherungin Deutschland einzuführen, erst nach der Wahl.So, das ist die aktuelle Nachricht. Und in den USA wird jetzt auch mal wiederkurz bevor Trump zurückkommt, direkt wieder die Netzneutralität über Bord geworfen.2015 wurde dort durch die Federal Communications Commission.2015 wurde dort durch die Federal Communications Commission Netzneutralitätgestärkt, indem sie sagten, ja,Datenaustausch ist Kommunikation, also sind wir hier zuständig und deswegendarf es da keine Beeinträchtigung geben.Dann war 2017 Trump Präsident.Da hatte er dann diese Regeln weggeworfen.2024 kamen sie dann aber unter Joe Biden zurück.Und jetzt hat ein US-Berufungsgericht am 2. Januar gesagt, naja Moment,das sind ja gar keine Telekommunikationsdienste, die Breitband-Internetanbieterhier machen, sondern Informationsdienste.Und deswegen ist die FCC nicht zuständig und die Regel, die sie schreibt, auch nicht anwendbar.Und deswegen ist die Netzneutralität jetzt wieder gekippt, weil das Berufungsgerichteben gesagt hat, naja, Moment mal, das ist doch gar keine Kommunikation.Das ist doch überhaupt nicht euer Zuständigkeitsbereich. Was?Ciao. Ja, okay. Das heißt, wir haben jetzt nach aktueller Wahrnehmung in denUSA schon bevor Trump zurückkommt keine Netzneutralität mehr.Und in dem Kontext der Netzneutralität gehen in Deutschland Epicenter Works,Gesellschaft für Freiheitsrechte,Verbraucherzentrale Bundesverband bei der Bundesnetzagentur gegen die DeutscheTelekom vor und beanstanden dort unfaire Geschäftspraktises. Praktis ist.Weil die Telekom, hier geht es um diesen Punkt der künstlichen Engpässe an denZugängen zum Telekom-Netz.Wo wir ja, in welchem Fall haben wir da zuletzt drüber gesprochen,das war die Auseinandersetzung zwischen, wer war das denn?Zwischen Netflix und, oder war es zwischen Facebook und, wer hatte denn,da waren die Verträge, Facebook, ne?Wo die Deutsche Telekom eben gesagt hat zu Facebook, okay pass auf,wenn du unsere schönen Kunden hier erreichen willst, dann mach das mal bessernicht über ein Internet-Exchange, sondern über dedicated Übergabepunkte,was technisch durchaus richtig ist und technisch durchaus sinnvoll ist.Bei dieser Menge musst du nicht notwendigerweise über einen Kix gehen,da kannst du auch direkte Übergabepunkte machen.Aber das haben sie eben nicht als Peering gemacht, sondern als Transit.Peering ist das, wo man sagt, hier passt auf wir haben beide ein Interesse,dass diese Daten fließen, auf deinem Ende willst du das auf meinem Ende willich das also wir machen das jetzt im Prinzip beide zum Selbstkostenpreis und fertig,Transit ist, ach so du willst, ist eigentlich etwas wo du sagst,du willst über uns ins Internet gehen.Wir ermöglichen dir überhaupt erst den Zugang zu dem großen, weiten Internet.Oder zu großen Teilen des großen, weiten Internets. Dafür nimmt man Transit.Und die Telekom macht an der Stelle, wo viele sagen würden, das ist ein Fallfür Peering, verlangen die Transit.Dagegen gibt es jetzt die Beschwerde.Unter netzbremse.de findet ihr mehr darüber.Und damit sind wir auch schon am Ende unserer heutigen Sendung.
Tim Pritlove 2:34:41
Wir haben noch nicht mal die drei Stunden voll gemacht hier.
Linus Neumann 2:34:45
Noch nicht mal die drei Stunden. Ja, über den Kongress reden wir dann doch immer ein bisschen gerne.
Tim Pritlove 2:34:51
Machen wir auch noch. Machen wir auch noch. Aber jetzt nicht mehr.Jetzt nicht mehr. Jetzt erstmal Ruhe im Karton hier.Ja, ich habe dem wenig hinzuzufügen.Ja, wir melden uns dann demnächst wieder. Wir sind beide ein bisschen auf Reisen.Von daher müssen wir mal gucken, wie wir mit den Terminen so zusammenkommen.Ihr werdet das dann feststellen.
Linus Neumann 2:35:17
Ja, auf jeden Fall. Ihr merkt ja daran, dass wir hier eine etwas längere Sendunggemacht haben, dass wir euch ein bisschen,ein bisschen Proviant geben und ihr habt ja auch eine Reihe an Kongress-Vorträgen.Wie gesagt, die Erwähnten sind alle in den Shownotes, die Gesamt-Playlist von media.ccc.de auch.
Tim Pritlove 2:35:38
Genau, das guckt ihr dann erstmal und dann gibt es auch wieder Logbuch in derPolitik. Wenn ihr damit fertig seid, Meldet ihr euch einfach kurz auf Bescheid.
Linus Neumann 2:35:46
Naja, die meisten bingen ja, eigentlich ist ja media.ccc.de bingen irgendwie so eine Aufgabe für 1.Bis 3. Januar oder so, ne? Kurz durchballern, dann hat man das ja auch weg.Sind ja nur so 150 Stunden Videomaterial.
Tim Pritlove 2:36:02
Ja, es ist ja in wenigen Wochen getan. Alright, Leute. Wir sagen Tschüss, bis bald.
Linus Neumann 2:36:10
Ciao, ciao.
Shownotes
Prolog
- golem.de: Millionenschaden: Pastor bestiehlt Kirchgänger mit Krypto-Scam – Golem.de
- web3isgoinggreat.com
38C3: Elektronische Patientenakte
- media.ccc.de: „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt – jetzt für alle! – Vortrag von Martin Tschirsich und Bianca Kastl
- gematik.de: Stellungnahme zum CCC-Vortrag zur ePA für alle
- heise.de: Opt-out: Widerspruchsmöglichkeiten bei der elektronischen Patientenakte
- heise.de: Elektronische Patientenakte nicht empfehlenswert, Ärzte raten zum Widerspruch
- golem.de: Wegen Sicherheitslücken: Ärzteschaft empfiehlt Widerspruch zu ePA für alle – Golem.de
- iphone-ticker.de: Einführung der elektronischen Patientenakte verzögert sich
38C3: Volkswagen-Datenleck
- media.ccc.de: 38C3: Wir wissen wo dein Auto steht – Vortrag von flüpke und Michael Kreil
- spiegel.de: Wir wissen wo dein Auto steht
- ccc.de: Wir wissen wo dein Auto steht
- youtube.de: Riesiges VW-Datenleck: 800.000 E-Autos betroffen – Bewegungsprofile ungeschützt
- consent.vwgroup.io: Datenschutzerklärung für die Nutzung der mobilen Online-Dienste der Volkswagen AG „We Connect, VW Connect“ in Fahrzeugen der „ID. Familie“
38C3: Wahlsoftware
- media.ccc.de: 38C3: Der Thüring-Test für Wahlsoftware (2024) Vortrag von Thorsten Schröder und Linus Neumann
- media.ccc.de: 34C3: Der PC-Wahl-Hack – Analyse einer Wahlsoftware (2017)
- media.ccc.de: How election software can fail
- ccc.de Wahlsoftware: Offene Quellen – Weniger Missverständnisse
- golem.de: Wahlsoftware immer noch unsicher
- bsi.bund.de: Technische Richtlinien
- georgetownlawtechreview.org: ELECTION INTEGRITY AND TECHNOLOGY: VULNERABILITIES AND SOLUTIONS
38C3
- media.ccc.de: 38C3: Illegal Instructions – Alle Vorträge
- der-adenauer.de: Zerstöre den Wahlkampf der AfD!
- media.ccc.de: Correctiv-Recherche “Geheimplan gegen Deutschland” – 1 Jahr danach – Vortrag von Jean Peters
- media.ccc.de: 5 Jahre nach Ibiza – Vortrag von Julian Hessenthaler
- media.ccc.de: Sicherheitslücke gefunden… und nun? – Vortrag von kantorkel and Linus Neumann
Big Trump-Tech
- linkedin.com: Zuckerbergs Kniefall von Trump gefährdet die Demokratie
- spiegel.de: Meta kippt zahlreiche Hassrede-Regeln auf Instagram und Facebook in den USA
- spiegel.de: Mark Zuckerberg kündigt Richtungswechsel bei Facebook und Instagram an
- sueddeutsche.de: Darum unterwerfen sich Tech-Konzerne jetzt Donald Trump
- sueddeutsche.de: Kann die EU Musk und Zuckerberg zähmen? Konfrontation mit Tech-Milliardären
- spiegel.de: (S+) Mark Zuckerberg baut Meta um: Hetze fürs Geschäft
- tagesschau.de: Gespräch ohne Widerspruch zwischen Musk und Weidel
- wiwo.de: Mark Zuckerberg: Was ein Ex-Faktenchecker über die Meta-Änderung sagt
- spiegel.de: (S+) Meinung: Sascha Lobo über Mark Zuckerbergs Richtungswechsel: Weiter wie gehabt ist auch keine Option
Sichere Kommunikation
Anom
- spiegel.de: FBI-Falle: Gerichte dürfen Krypto-Chats verwerten
- amazon.de: Dark Wire: The Incredible True Story of the Largest Sting Operation Ever – Als Amazon-Partner verdient Linus an qualifizierten Verkäufen.
- youtube.de: DEF CON 32 – Inside the FBI’s Secret Encrypted Phone Company ‘Anom’ – Joseph Cox
- bundesgerichtshof.de: AnomChat-Daten zur Aufklärung schwerer Straftaten verwertbar
NSO
- bleepingcomputer.com: US court finds spyware maker NSO liable for WhatsApp hacks
Telegram
Vorratsdatenspeicherung
- heise.de: Nach Magdeburg: Bundesregierung will Vorratsdatenspeicherung
- heise.de: Bundesregierung: Erneute Kehrtwende bei Vorratsdatenspeicherung
- taz.de: Rot-grüne Pläne zu Speicherpflichten: Regierung freitags doch nicht für Vorratsdatenspeicherung
Netzneutralität
- netzpolitik.org: USA: Erneutes Aus für Netzneutralität
- netzbremse.de: Netzbremse – Die Telekom drosselt das Netz!
- heise.de: US-Urteil begräbt Netzneutralität: Internet ist keine Telekommunikation
Ich liebe euch sehr, aber die letzten Sendungen werden zunehmend zur pessimistischen Meckerei of old (sorry) white men. Mir fehlt ein bisschen der Fokus auf Geschichten des Gelingens. Ich wünsche mir Handlungsfähigkeit und Energie durch Blick auf „was geht jetzt“ und nicht so viel es ist alles im Argen. Ist zwar schief aber die Wiederholung macht es nicht besser.
Und – jaa ihr findet Krypto scheiße, der allermeiste Kram da draußen ist auch absoluter BS, aber die Argumente die so fallen sind echt lahm. Ich kann im kapitalismus alles kaufen – schön für dich, dass Argument dass das in manchen Regionen nicht möglich ist und bLoCkchAin helfen kann ist nachvollziehbar (wenn vermutlich meist unreal) – ich hatte den Eindruck dass ihr früher ™ mehr wert auf die Erklärung gelegt habt, warum das nicht ggf. Nicht funktioniert. Klar will man nicht immer alles wiederholen, aber das Ranten wiederholt Ihr halt.
So, genug Nörgelei, Metaebene bekommt ein Tip als Ausgleich
Ich musste schon schmunzeln bzgl. Crypto, gerade weil ja Tim mehrmals sein Konto zugenagelt wurde und die Metaebene mehrfach gewechselt hat, auch der Fail von Flattr zeigt, dass es da Bedarf gibt. Ob da jetzt Krypto die Lösung ist, muss jeder selber wissen.
Der „Fall von Flattr“ zeigt eigentlich nur, dass das Projekt sich nicht schnell genug an die Bedingungen des Marktes angepasst hat. Dass ich die eigentlichen Gewinner Patreon und Steady (zumindest derzeit) nicht nutze zeigt, dass SEPA doch ganz gut funktioniert (zumindest in Europa).
Thema ePA: ich betreue IT einer Praxis für Psychotherapie, also noch einmal gesondert sensible Daten. Wir haben die PM des CCC zur ePA ausliegen weil es einfach unzumutbar gefährlich ist, eine EPA zu haben wo auch nur die Abrechnungsdaten seitens Krankenkasse reinfließen.
Die ePA ist einfach ein gefährliches Projekt.
Danke! :-)
Bisher habe ich immer nur „alles ok, keine Probleme“ oder „das wird schon“ gelesen oder gehört…
Ich habe nach dem Vortrag zur ePA:
https://media.ccc.de/v/38c3-konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle
..sofort widersprochen. DANKE CCC!!!
Das Ganze kann übrigens wieder „angeschaltet“ werden. Habe ich hier übrigens Schriftlich von meiner Krankenkasse.
Supi Sendung – supi Folgen-AI-Bild
Gruß aus dem Netz
zu Kirche und Crypto: Musste ziemlich direkt an den sehr tollen 38C3 Talk denken darüber wie eigentlich im Silicon Valley der Protestantismus noch (oder wieder im neuen Gewand) der ideologische Motor ist: https://media.ccc.de/v/38c3-longtermismus-der-geist-des-digitalen-kapitalismus
Schon gesehen?
Jetzt lasst doch mal den Hund im Hintergrund um 2:14h rein, den ihr mutmasslich einfach mit einem HTTP 511 die ganze Zeit abweist :)
Oder ist das Tim, der zwischendurch zum Werwolf geworden ist, als Linus womöglich das Licht ausgeknipst hat? Wenn ich da jetzt noch ein Leak von Siri- und Alexa-Aufzeichnungen finde, kann ich das hundebiometrisch abgleichen und die Position der Metaebene triangulieren :) Aber vielleicht war’s eh ein Call und ihr habt den Hund nur als _decoy_ eingespielt.
Oder Tim ist dann gar nicht lange weg, sondern geht einfach gaaaaanz lange mit dem Hund raus.
Sonst natürlich gut wie immer.
Natürlich dürfen wir insbesondere Sachsen nicht abtreten, bei 2:10:11. ;-) Silicon Saxony hat bereits weit vorgelegt und arbeitet weiterhin fleißig an seinem Ruf in der Halbleiterindustrie. Für D springen bislang immerhin um 60k Arbeitsplätze und ordentliche Umsätze in Milliardenhöhe bei raus. Zusammenfassung von neulich: https://mastodon.social/@pallenberg/113808900423339669 – Wenn wir das den USA überlassen.. strategisch unklug.
Ein paar Marken aus dem VW-Konzern habt ihr vergessen ;-) … oder sind die nicht von dem Datenleck betroffen?
und zur ePA: meine BKK preist die ePA immer noch als super toll und super sicher an… Reaktion (immerhin gab es eine) auf meinen Hinweis zu den Lücken: „Ja, stimmt, aber die Gematik hat uns versichert, dass das alles behoben wird. Also ist alles in Ordnung“ :-( :-(
Richtig. Zur Volkswagen Group gehören Audi, Bentley, Bugatti, Cupra, Ducati, Lamborghini, MAN, Navistar, Porsche, Scania, Seat, Škoda Auto, Volkswagen Caminhões e Ônibus, Volkswagen Nutzfahrzeuge und VW.
Fun fact am Rande … Die Volkswagen Group gehört (teilweise) der Porsche SE. Als Porsche von Volkswagen geschluckt wurde, hatte ich gerade ein Projekt bei Porsche Leipzig und die fanden es sehr wichtig darauf hinzuweisen, dass über Volkswagen noch einmal Porsche steht. Da hingen an den Wänden entsprechende Organigramme wie man sie auch hier sehen kann: https://gtspirit.com/2012/07/07/volkswagen-assimilates-porsche/ Die Stimmung damals hatte ein bisschen was von Schwanzvergleich. :D
Glaubt ihr denn, es wäre so einfach Wissen über Verschlüsselung, Authentifizierung und kryptographische Signaturen, das 19-jährigen Informatikstudenten innerhalb eines Semester-Seminars beigebracht wird, im Erwachsenenalter, also als Vollbitprogrammierer, immernoch abzurufen? Das kann doch nicht von uns höchstentlohnten (400 bis 1000 Euro/Stunde) Softwaretechnikern verlangt werden. Schließlich haben wir Zertifikate erworben, die unsere Kompetenz bestätigen
sollenDas Ding mit der elektronischen Krankenkassenpatientenkarte, oder wie das heißt, muss jetzt durch – egal was kommt! Ich und meinen Kollegen von der Gematik brauchen das Geld – die Frauen sitzen uns im Nacken. Ja, die wollen ihre vierte Kreuzfahrt im Jahr machen, da beißt die Maus keinen Faden ab. Was meint ihr, wie ich sonst das Studium meines Sohnes auf der kalifornischen Universität finanzieren soll? Soll in seinem Lebenslauf etwa stehen, er hätte mit dem Pöbel auf einer deutschen Universität gemeinsam gelernt? Soweit kommt es noch! Außerdem benötigt meine Tochter dringend ihren dritten Porsche, diesmal in rosa. Den hat sie sich wegen dieser Barby-Filme so gewünscht. Denkt ihr unsere Laura-Chantalle sollte verglichen mit ihrer Freundin, der Zahnarzttochter Charlotte-Willhelmina, hintenan stehen? Auf diesem Niveau sollten wir hier keine Diskussion führen.
Nur weil ein paar Heiopeis aus irgendeinem Computerverein oder Podcastgesinde sich querlegen, werden wir auf unsere Ansprüche innerhalb unserer funktionierenden staatlichen Demokratie nicht verzichten. Schließlich haben wir uns das verdient! Es war schon immer so. Gebt euch damit zufrieden.
gez. Gematik-Man
Also ich fand’s ohne die künstlichen Episoden-Bilder ja besser. Die sind doch beliebig und haben keinen Wert.
Hört man da Hühner im Hintergrund oder bilde ich mir das ein?
Ich höre auch welche, z.B. bei 14 – 15 Minuten, während Linus spricht. Witzig
Als außenstehender Halblaie mit einigen Jahren Erfahrung beim Thema öffentliche Ausschreibung/Vergabe im ÖRR: Das Problem könnte darin liegen, dass bei der Ausschreibung / der Erstellung der Kritieren (sog. Kriterienkatalog) nach denen etwas vergeben wird, zu wenig Fachkompetenz vorhanden ist.
Der von Linus erwähnte seit 30 Jahren etablierte Kryptografie-Standard könnte z.B. einfach als sog. Ausschlusskriterium in einer Ausschreibung enthalten sein. Heißt: Jeder Anbietende/Teilnehmende am Vergabeverfahren, der eine Lösung anbietet, die nicht diesen Standard enthält, ist automatisch ausgeschlossen. Da wird es vermutlich noch mehr sinnvolle/nortwendige Kriterien geben, siehe Hinweis von Linus/Tim auf die Architektur.
Mögliche Lösung: Stärkung der Fachkompetenz der am Ausschreibungsdesign beteiligten / Einbindung von externen Expert*innen. Aber möglichst nicht von den üblichen Verdächtigen (=großen Beraterbuden, mit denen ÖRR i.d.R. Rahmenverträge haben = die bevorzugt genutzt werden), sondern z.B. aus der Zivilgesellschaft (CCC, OpenSource Vereinigungen (s.z.B. Liste unten Bundestag), …)
Zudem Bevorzugung von Opensource Lösungen (so auch übrigens in der Reform des Vergaberechts angedacht)
Lose Sammlung zum Thema:
——————————–
Open Source + Vergaberecht
Das Thema Open Source Software hat ein eigenes Kapitel in der sog. UfAB (Unterlage für Ausschreibung und Bewertung von IT-Leistungen) https://www.cio.bund.de/Webs/CIO/DE/digitale-loesungen/it-einkauf/ufab/ufab-node.html. Darin werden mehr oder weniger allgemeinverständlich Aspekte von Ausschreibung und Bewertung von IT-Leistungen erläutert. Konkret: Seite 76, 5.2. Aspekte im Zusammenhang mit Open Source Software
Open Source Business Alliance / Vorrangige Beschaffung von Open Source Software:
„Ein von der Open Source Business Alliance in Auftrag gegebenes juristisches Gutachten macht Vorschläge, wie ein Vorrang von Open Source Software bei der Beschaffung im Sinne des Koalitionsvertrages rechtssicher gesetzlich verankert werden kann.“
https://www.vergabeblog.de/2023-05-25/gutachten-zur-vorrangigen-beschaffung-von-open-source-software-durch-die-bundesverwaltung/, (25/05/2023)
Leider ist da (fast) nix draus geworden:
OSS Beschaffung + Vergabe in Koalitionsvertrag + Digitalstrategie:
„Im Koalitionsvertrag und in der Digitalstrategie bekräftigt die Bundesregierung, dass sie bei Beschaffung und Vergabe besonders auf Open Source Software und offene Standards setzen will, um so die digitale Souveränität der Verwaltung zu stärken.“
https://www.vergabeblog.de/2023-05-25/gutachten-zur-vorrangigen-beschaffung-von-open-source-software-durch-die-bundesverwaltung/, (25/05/2023)
OSS Vergaberecht / netzpolitik.org
Artikel: Der Schlüssel für Open Source in den Verwaltungen ist das Vergaberecht
https://netzpolitik.org/2023/irgendwas-mit-internet-der-schluessel-fuer-open-source-in-den-verwaltungen-ist-das-vergaberecht/, (24.06.2023), Markus Beckedahl
OSS, Sitzung im Bundestag:
Es gab am 4.12.2024 im Deutschen Bundestag eine öffentliche (bis auf den afd-part) sehr sehenswerte Sitzung des Ausschusses für Digitales zum Thema Open Source. Hier gibt es eine Zusammenfassung (Text), ausführliche Stellungsnahmen der Sachverständigen (pdf) und das ganze Video: https://www.bundestag.de/dokumente/textarchiv/2024/kw49-pa-digitales-open-source-1029830
Als Sachverständige waren u.a. dabei:
Free Software Foundation Europe e.V.
Sovereign Tech Agency
Open Source Business Alliance – Bundesverband für digitale Souveränität
e.V.
Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDis) GmbH
Innovationsverbund öffentliche Gesundheit e. V.
Apache Software Foundation
Berichterstattung s.z.B.:
https://www.heise.de/news/Open-Source-Software-Deutschland-muss-raus-aus-der-Abhaengigkeit-10188035.html
Wird https://podcasts.social/@lnp aktiv gepflegt oder welche Kanäle außer dieser Webseite werden aktiv gepflegt?
Ja und das ist derzeit eigentlich auch der einzige LNP-spezifische, sonst gibt es noch metaebene@mastodon.social.
Die Folge vom 13. ist am 14. da noch nicht erwähnt. (nachdenksmiley + Herz)
Ich hatte zuerst gedacht ihr haettet sehr spaet von dem Pastor gehoert, aber es war schon der zweite: https://www.youtube.com/watch?v=MYB23Q3gJgE
Zum Thema Datenerhebung bei VW und warum machen die das: Ich kann natürlich auch nur spekulieren, arbeite aber in der Autobranche.
In der Autobranche heißt es schon lange, dass man in Zukunft kein Geld mehr mit Hardware verdienen wird, sondern Software und Daten das neue Gold sind. Bei Software weiss man nicht so richtig wie und bei den Daten auch nicht. Nur man sammelt halt schon mal so viele wie möglich. Vielleicht kann man damit später ja noch was machen und irgendwie Geld daraus machen. Verargumentiert wird das mit kontinuierlicher Produktverbesserung in der aktuellen oder der nächsten Generation. Im Prinzip ist da schon was dran. Wenn ich analysieren kann, dass z.B. meine Fensterheber viel weniger Zyklen laufen als ich sie ausgelegt habe, kann ich sie in der nächsten Serie günstiger auslegen. Wenn ich analysiere, dass meine aktuelle Flotte sehr häufig in bestimmte (mechanische, elektrische) Fehler läuft, dann kann ich da vielleicht mit einigen Algorithmen in Software vorbäugen. Grundsätzlich ist da ja auch einiges Gutes dabei, aber mit welcher Breite die Daten gesammelt werden kommt eher aus der Not der Branche.
Dazu kommt noch, dass Elektrifizierung und autonomes Fahren eben noch sehr neu ist, man mit unheimlichem Druck den asiatischen Herstellen hinterher läuft und eben mit den Daten auch versucht, Erkenntnisse zu gewinnen….btw, die machen das bestimmt auch.
Zum Thema Facebook:
Der CCC war seit je her gegen Zensur, so auch damals gegen das Netzwerkdurchsetzungsgesetz. Wenn jetzt Facebook die Eigenzensur abschaffen will, verstehe ich die Aufregung nicht.
Genauso wie ich bei Twitter schon nicht die Aufregung verstanden habe. Ja, seit Elon Musk gibt es auf Twitter mehr rechte Beiträge (sogar objektiv messbar), aber könnte es nicht sein, dass es die vorher vor allem deshalb nicht gab, weil sie selbstzensiert wurden? Die harte Realität ist vielleicht einfach, dass die Mehrheit der Menschen rechts-konservativ sind und nicht links-progressiv. Wenn letztere die Plattform verlassen, wird es natürlich noch schlimmer.
Unabhängig von den Plattformen bräuchte es als erstes eine fähige Polizei, die Hass und Beleidigungen konsequent verfolgt und zur Anzeige bringt. Hier habe ich auch nie die CCC-Haltung gegen eine Klarnamenpflicht verstanden. Genauso sollte es auch nicht möglich sein, anonym eine Website zu betreiben. Ich kann mir ja auch kein Grundstück kaufen und große Hass-Plakate darauf aufstellen und niemand findet raus, von wem das ist. Wieso soll das dann im Internet möglich sein?
Aber auch dann bleibt noch das Problem, dass Lügen und den größen Unsinn verbreiten nicht verboten sind. Die Frage ist wohl die, wie sich Meinungsfreiheit und Reichweitenfreiheit in Zeiten des Internets in Einklang bringen lassen. ;)
Es geht ja nicht darum, dass FB „Zensur“ reduzieren will.
Was FB effektiv ankündigt, ist, dass sie weniger gegen Lügen, Hass und Hetze vorgehen wollen.
„Zensur“ betreibt FB weiterhin, siehe zum Beispiel das Verhinden von Verlinkungen auf Pixelfed.
Moin,
Linus meinte irgendwann, dass er sich frage, warum in der ganzen Wertschöpfungskette niemand merkt, dass das, was man da gerade baut, scheiße ist. (weiß gerade nicht mehr, ob das zur ePA oder zur Wahlsoftware war, ist aber für meine Ergänzung auch egal)
Aus meiner beruflichen Erfahrung heraus möchte ich die Vermutung aufstellen, dass sehr wohl Mitarbeitende der beteiligten Firmen gemerkt und vielleicht auch geäußert haben, dass sie Bauchweh bekommen. Nur hören Manager heute nicht mehr auf Ingenieure. Sie lesen irgendwas ganz Tolles im „Manager Magazin“ oder in der „Elektrotechnik“ und denken dann, sie wüssten, wie die Technik funktioniert. Ich habe die letzten zwei Firmen verlassen, weil Manager uns praktisch in jeder Frage überstimmt haben und wir Pfusch einbauen mussten. Immer mit dem Argument, wir würden sonst Großkunden verlieren. In meiner letzten Firma sind aus diesem Grund jedes Jahr zwei/drei Leute gegangen. So schnell kann gar nicht nachbesetzt werden, sodass nun noch 5 Leute da sind (von 30 vor 5 Jahren), die keine Zeit mehr haben, sich über Sinn und Unsinn ihrer Arbeit Gedanken zu machen. Also ich denke mal, dass Linus das schon so gemeint hatte, dass sich da kein „Verantwortlicher“ gefunden hat, dem mal auffällt, dass man Scheiße baut. … Wollte nur einmal eine Lanze brechen für die Entwickler, die gerne einfach mal alles ordentlich machen würden und die daher in vielen Firmen unerwünscht sind. Und die Entwickler, die so etwas ungeschimpft mit machen, sollen sich sofort in die Ecke stellen und schämen.
Meta’s neue hate speech Regeln erlauben auch explizit Leute anhand ihrer sexuellen Ausrichtung oder ihrer Genderidentity als geistig krank zu bezeichnen. Das setzt auch schon Mal einen Ton.
Linus ‘Das ist nicht falsch, das ist einfach nicht richtig’ (1:28:54) klaue ich mir. Das kommt zu den Allzweckwekzeugen ‘Das ist nur ihre Meinung’ und ‘ich brauche mehr Details’ aus Didi der Dioppelgänger
Hab zum Thema Kryptohandy noch den Podcast zum Thema Sky ECC gehört. https://www.zdf.de/politik/frontal/podcast-loesch-alles-bro-crime-messenger-sky-ecc-krypto-app-100.html War auch ganz spannend.
Ein kleiner Nachtrag zu VW:
Linus (oder ihr beiden?) stellt mehrmals die Frage, an welcher Stelle eigentlich eine Einwilligung der Betroffenen eingeholt wurde, die die Speicherung der Standortdaten der Fahrzeuge rechtfertigen würde. Die Einwilligung in die Verarbeitung ist nur ein möglicher Rechtfertigungstatbestand für Datenverarbeitungen, die die DSGVO in Art. 6 Abs. 1 Unterabsatz 1 Buchstaben a) bis f) vorsieht. Daneben kommen beispielsweise das berechtigte Interesse des für die Verarbeitung Verantwortlichen (Buchstabe f)) oder die Erfüllung eines Vertrages (Buchstabe b)) in Betracht. Kann sich ein Verantwortlicher auf einen dieser Rechtfertigungsgründe stützen, wäre eine Einwilligung nicht erforderlich.
Allerdings muss selbst bei berechtigtem Interesse und Vertragserfüllung die Verarbeitung der Daten erforderlich (also zwingend notwendig) sein und darf nur im nötigen Maß erfolgen (wie der EuGH erst vor kurzem entschieden hat; Rs. C-394/23; https://www.lto.de/recht/nachrichten/n/europaeischer-gerichtshof-datenschutz-dsgvo-diskriminierung-geschlechtsidentitaet). Daher könnte Linus‘ Szenario, dass die Daten erhoben wurden, um die Batterieleistung bei unterschiedlichen Temperaturen zu bewerten, ein berechtigtes Interesse darstellen. Ob dafür die präzise Erhebung des Standortes erforderlich ist oder nur die grobe Erhebung auf 10KM, wie es ja bei einigen Marken der Fall war, kann ich nicht einschätzen. So oder so wäre VW in der Verantwortung darzulegen, warum die Verarbeitung der Daten (ob präzise GPS oder grobe GPS) erforderlich ist. Außerdem müsste VW über die Verarbeitung der Daten transparent informieren (Art. 13 DSGVO), da wäre es mal spannend, die Datenschutzerklärung für ein betroffenes Elektroauto zu Gesicht zu bekommen.
Eine Einwilligung irgendwo in den AGB zu verstecken ist in der Praxis vermutlich nicht selten, aber explizit nicht erlaubt.
Etwas schmunzeln musste ich, dass VW versucht, sich darüber rauszureden, dass die GPS-Daten Fahrzeugdaten wären und keine personenbezogenen Daten. Richtig ist, dass Maschinendaten nicht unter die DSGVO fallen, weil nur personenbezogene Daten geschützt werden. Es gilt aber kein gegenseitiger Ausschluss, also dass Maschinendaten automatisch keine personenbezogenen Daten sein könnten. Maschinendaten können auch personenbezogene Daten sein, wie der EuGH beispielsweise in Bezug auf IP-Adressen schon vor langem entschieden hat. Aber angesichts der Situation, in der VW da gerade ist, greift man vielleicht erstmal jeden Strohhalm, den man finden kann.
Daher kann ich Linus Irritation gut verstehen, mich persönlich beruhigt aber, dass die DSGVO das eigentlich alles schon regelt. Es müssten sich die Leute jetzt nur noch daran halten.
WIe kann man hier Kommentare schreiben, so dass ein Bild mit angezeigt wird ?
Man könnte auch sagen: „Stand der Technik des letzten Jahrtausends“ :-)