LNP511 Stand der Technik des letzten Jahrhunderts

Guten Morgen, Linus.

Guten Morgen, Tim.

In der Kirche wird man jetzt auch um sein Geld gebracht.

Das ist ja nun wirklich nichts Neues. Ich glaube, spannend ist, dass sie sich jetzt sogar Krypto holen.

Logbuch Nespolitik Nummer 511 vom 11.1.25. Neues Jahr, neues Glück und wir sind wieder da. Hallo.

Ja, frohes Neues.

Genau. Und wer hätte es gedacht, dass jetzt die ganzen zu beschützenden Menschen in der Kirchengemeinde jetzt auch alle übers Ohr gehauen werden.

Das ist ja wirklich was ganz Neues. Damit konnte ja keiner rechnen. 1515 Personen mit einer Krypto-Betrugsmasche um insgesamt 5,9 Millionen US-Dollar. Das ist ein fleißiger Pastor.

Ja, wobei, wenn ich das richtig sehe, hat er im Wesentlichen Geld eingesammelt in so einem klassischen Schneeballsystem und gar keinen richtigen Handel betrieben. Also inwiefern da jetzt Krypto überhaupt noch der tatsächliche Umsetzungsort war oder ob das nicht nur so der Vorwand war mit, ja wir machen jetzt hier auch Krypto und gib mal her das Geld. Ich lege das schon an. Das war ja jetzt sozusagen in Washington, also in Washington State, ein Pastor, der wesentlich mit einer spanischsprachigen Gemeinde hantiert hat, die ohnehin nicht so technikaffin war, denen irgendwas erzählt hat. Und er hat halt immer mehr Kohle eingenommen und irgendwelche Gewinne vorgetäuscht, indem er dann das wiederum aus neuen Einnahmen gemacht hat. So funktionieren halt die klassischen Schneeball-Scams.

An Krypto-Currencies?

Nicht nur bei Kryptischen immer. Also seit es Betrug gibt, ist das sozusagen das klassische Ding. Und ja, da muss man dann bloß sich rechtzeitig absetzen, bevor die neue Kohle versiegt. Aber das ist ihm wohl irgendwie nicht so richtig gelungen. Aber es ist einfach, glaube ich, auch jetzt der Trend der Zeit. Irgendwie haben alle kapituliert, keiner ist bereit auf die Realität zu schauen mit der neuen Präsidentschaft in den USA, zeichnet sich ja auch ab, dass die ganzen Kryptogeldgeber Trumps sich hier dann durchsetzen werden. Da bin ich mal gespannt, was da noch bei rauskommt, aber ich glaube eine enge Regulierung dieses Marktes steht erstmal in weiter Ferne. Man kann nur hoffen, dass zumindest mal in Europa alle zur Besinnung kommen, aber es ist halt immer so dieses, oh mein Gott, irgendwo kann man Leute übers Ohr hauen, da ist ja eine Menge Geld zu holen. Das führt dann einfach immer dazu, dass es erstmal genug Fürsprecher gibt, solange es noch nicht allen klar ist, was es damit wirklich auf sich hat. Und bevor es dann irgendwann mal final untersagt wird, wird noch viel Leid geschehen. Und das zeichnet sich eigentlich hier immer wieder ab. Also man kann einfach nach wie vor nur web3isgoinggreat.com empfehlen, wo irgendwie Molly White täglich von Krypto-Scams berichtet und von verurteilten Scammern und von ruinierten Existenzen von Leuten, die also ihr ganzes Geld da reingeworfen haben und am Ende dann abgezogen wurden. Und so ist das halt bei solchen Investment-Schemes. Man kann es einfach, ehrlich gesagt, ich kann es schon, ich schäme mich fast dafür, dass wir dieses Thema jetzt hier auch noch an den Anfang der Sendung legen, weil das Ding ist eigentlich durchgefrühstückt für uns, oder? Also ich meine, bei uns ist das so.

Neu ist ja, dass es jetzt ja auch im Namen Gottes, mit Gottes Segen, mit Gottes Segen passiert. Das ist doch was Neues.

Naja, gut, also ich meine, Wie du schon sagtest, die Grifter sind auch in amerikanischen religiösen Zirkeln jetzt nichts Neues. Jetzt macht man es halt auf eine andere Art und Weise, aber wir haben glaube ich schon vor vielen, vielen Jahren hier und an anderen Stellen auch immer wieder betont, in dieser ganzen Blockchain-Geschichte und diesem ganzen Krypto-Geld-Ding steckt für die Gesellschaft kein Wert. Damit wird nichts besser. Damit wird nichts finanziert. Damit wird nichts möglich. Das ist auch anders, als das von den Protagonisten immer behauptet wird, auch nicht die Lösung für unbanked Personen in irgendwelchen Dritt- oder Viertweltländern, die sonst keinen Zugang zum Geld hätten und so. Also das sind alles so vorgeschobene Argumente, die aber dann trotzdem immer wieder verfangen. Ja, und du siehst das ja auch. Also auch in so einer Nerd-Community hast du immer wieder Leute, die also glauben, dass jetzt hier irgendwie damit irgendeine Freiheit implementiert werden würde und das ja irgendwie.

Die wir bis jetzt noch nicht hatten. Man merkt ja immer, also das mit dieser Financial Freedom. Ich meine, bist du, also ich finde es ja richtig schlimm. So richtig, richtig hart ist ja in meinem Leben immer, wie viele Steine mir der Kapitalismus in den Weg legt, mein Geld auszugeben. Ich stehe morgens auf und will irgendwo was kaufen und ich habe nur Euro. Und dann sofort, nee, Euro, das wird zensiert, die Transaktion wird verhindert, du darfst, kannst jetzt nicht einkaufen. Ich merke, der Kapitalismus ist da so hart darin, in seiner finanziellen Zensur uns Ausgaben nicht zu ermöglichen. Das ist wirklich ein schweres Kreuz, was wir hier zu tragen haben. Und da finde ich das super wichtig, dass wir jetzt mal Financial Freedom kriegen. Mit zensurfreien Währung.

Es ist alles gelabert. Am Ende geht es einfach darum, Leute, die viel Geld haben wollen, dass ihnen das keiner wegnimmt. Sie wollen irgendwie keine Steuern zahlen und sie wollen nicht irgendwelchen Regulationen unterliegen und sie wollen nicht im Zugriff irgendwelcher Exekutiven sein, die ihnen ihre Geschäfte verhindern. Und das ist eigentlich die ganze Story und das hatten wir auch alle schon mal. Das Währungssystem wurde dann entsprechend umgewandelt, um einfach diese Art von Geld so nicht mehr zu haben. Und diese Regulierungen, die wir haben und diese Aufsichten, das ist halt genau eine Konsequenz daraus. Und so schlecht sind wir damit auch nicht gefahren. Das ist alles egal. Wir müssen hier auch keine Finanzberatungssendung draus machen, aber manchmal zweifelt man ja wirklich.

Glaubt unserer Predigt. Übrigens, ich glaube, das Problem, sollte man nochmal darauf hinweisen, also Pyramidenschemata, also warum verbietet man die? Solange die stabil sind, sind die ja quasi in Ordnung. Also du kannst ja im Prinzip sagen, ein Pyramidenschema kann in der Regel immer weiterlaufen, solange nicht irgendeiner sagt, wir wollen jetzt mal gerne alle sehen. Ja, so lange funktioniert das. Das Problem ist, auf dem Weg dahin werfen halt immer mehr Leute Geld rein und der Schaden wird immer größer. Ja, und wenn du das nicht verbietest oder stoppst, dann hast du halt irgendwann Schäden, die eine Volkswirtschaft in Gefahr bringen. Und das wäre natürlich... Zum Beispiel der Fall, wenn wie Trump das jetzt sagt und Christian Lindner, weil Trump das gesagt hat, sagt Christian Lindner das ja jetzt auch, dass beispielsweise die Wertspeicher der Zentralbanken in Bitcoin abgebildet werden sollen, statt in Gold oder, also auch die Bindung gibt es da ja nicht mehr so. Spätestens dann, also spätestens wenn deine Zentralbank sich auf das Pyramidenschema wirft, beginnt so langsam der gelb-rote Bereich, weil das dann natürlich echt schief gehen kann. Also ich glaube ohnehin, dass es keine besonders kluge Idee ist, in hochvolatilen Risikowährungen Wertspeicher für Zentralbanken aufzubauen. Da wird es eher was, was sich langsam im Preis entwickelt. Gold hat auch Wertschwankungen.

Ja, aber auf Gold basiert es ja auch heute schon nicht mehr. Also das ist ja sozusagen auch eine Vergangenheit.

Richtig, aber ich glaube, ich halte Cryptocurrencies für sehr ungeeignet für diesen Anwendungsfall. Naja, soviel zu Cryptocurrencies. Wir waren beim Kongress, beim CCC-Kongress. Wollen wir erstmal über so ein paar für netzpolitisch interessierte Hörerinnen relevante Themen und Vorträge sprechen und dann nachher über unseren Kongress selber. Wir hatten ja in der letzten Sendung schon einige. Bekannte Gäste beim Kongress angekündigt. Julian Hessenthaler, Anne Broer-Hilka und wer nicht alles da war. Nicht alle haben jetzt News gebracht. Wir behandeln ja jetzt die Talks mit den News, empfehlen aber natürlich erst recht alle Talks, die wir letztes Mal schon empfohlen haben. Julian, super Talk gehalten, Anne Broer-Hilka hat nochmal mit Bildern erklärt. Wie Cum-Ex funktioniert und so weiter. Das war natürlich eine ganz prominente Veranstaltung. Aber ich denke, es gab dieses Jahr zwei Vorträge mit einer besonders hohen Wahrnehmung. Und das ist natürlich als erstes der zur elektronischen Patientenakte. Ich habe mich ja hier in den letzten Wochen vor dem Kongress, da haben wir zum Beispiel auch hier über diese Fraunhofer SIT, Sicherheitsanalyse, du erinnerst dich, wo die den Gematik-GPT trainiert haben, weil das da irgendwie so viel Sicherheitskonzept gibt, dass sie das statt es zu lesen einfach in ein, Modell damit trainiert haben und dem dann Fragen gestellt haben. Also als habe ich glaube ich auch damals gesagt, als Herangehensweise, um sich überhaupt mit einer Dokumentation auseinanderzusetzen, ist das ja gar nicht verkehrt. Das ist ja nett, machen ja viele Leute. Wenn du viel Papier hast und sagst, du suchst deine Nadel im Heuhaufen, dann nimmst du halt ein GPT oder ein eigenes LLM, ein freies oder was und sagst, kannst du das bitte mal lesen und jetzt sag mir mal bitte, wie man bei dem Scheißding die Batterie wechselt. Und dann macht das das. So was zum Beispiel kannst du machen.

Sehr gutes Beispiel auch.

Ja genau. Und das haben die ja mit den Sicherheitskonzepten der Gematik gemacht und hatten ja dann irgendwie so herausragende Ergebnisse wie, wenn der Ostermontag auf den Montag fällt in einem Januar mit R und dann hast du potenziell fünf Tage zwischen dem Melden einer Schwachstelle, bis die Risikoanalyse stattfindet und deswegen müssen dann, wenn eigentlich musst du in 72 Stunden laut BSI, hast du nicht gesehen, deswegen muss jetzt irgendwie Schichtbetrieb gemacht werden. Also so einen richtigen Bürokraten schöne Sache. Was ich in dieser ganzen IT-Sicherheit eh so. Immer so schön finde, wenn irgendwie so, wir machen jetzt eine Procedure, machen wir jetzt. Da müssen wir jetzt einen Prozess machen, da müssen wir jetzt irgendwie jemanden, in eine Schicht schicken, der hat dann Wochenenddienst, falls einer eine Schwachstelle meldet. Also irgendwie, das ist ja wirklich richtig weit weg von technischer IT-Sicherheit. Und entsprechend findest du mit so einer Herangehensweise natürlich auch nichts. Im Vergleich zu Bianca Kastel und Martin Tschiersig, die sich die EPA für alle angeschaut haben und da ein bisschen dran rumgeforscht haben und darüber einen Vortrag gehalten haben mit dem Titel Konnte bisher noch nie gehackt werden, die elektronische Patientenakte kommt jetzt für alle. Also die EPA für alle ist ja so die, ich glaube es ist die dritte Iteration von der elektronischen Patientenakte und für alle heißt primär Opt-out. Es ist keine Opt-in-Lösung mehr, sondern wenn du nicht widersprichst, kriegst du eine elektronische Patientenakte. Das ist das, was man jetzt noch, ich glaube bis zum 15. Januar kann man da widersprechen, dann werden die angelegt. Und wir hatten in den bisherigen Sendungen ja auch darüber gesprochen. Dass Leute uns gefragt haben, soll ich jetzt widersprechen oder nicht? Und ich so ein bisschen gesagt habe, naja, das ist eine Entscheidung, die sollte einfach jede Person für sich selber treffen. Und diese neue Ehepaar haben die sich also angeschaut und haben erstmal gesagt, aha, vielleicht sollte ich ganz kurz noch mal die Architektur, grob, sehr, sehr in sehr großen Bögen erklären. Es gibt die sogenannten Heilberufe oder Praxisausweis. Das ist quasi eine Karte, die eine kryptografische Identität enthält, mit der du dann aus dieser großen, großen Datenbank, wo dann die ganzen elektronischen Patientenakten für alle Bundesbürgerinnen drin sind, Abfragen machen kannst. Das berechtigt überhaupt erstmal zum Lese- und Schreibzugriff. Und dann hast du also einen Heilberufs- oder Praxisausweis. Und dann kommt jetzt so eine Patientin mit ihrer Gesundheitskarte, hält die an deinen Leser Und in diesem Moment entsteht ein Zugriffsrecht. Du sagst also, die Karte wird dann da gelesen, ist ja auch eine Kryptokarte. Und jetzt dadurch gewährt dann die Patientin für einen beschränkten Zeitraum. Und schreibt Lesezugriff auf die Patientenakte. Kleiner Hinweis, ich habe gerade extra nur, weil jetzt vielleicht wieder irgendwelche Leute, ich mache das jetzt in großen Bögen, damit es alle verstehen. Dabei werde ich einige Dinge vereinfachen. Und das sind die Dinge, die ich in meinen Augen für das Erklären für irrelevant halte. Nur schon mal als kleiner Hinweis. In diesem Moment darf dann diese Ärztin oder diese Praxis auf die elektronische Patientenakte dieser Person zugreifen. So die Theorie. Es gibt also zwei zentrale Schutzziele. Erstens nur Ärztinnen und Ärzte beziehungsweise ihre Praxis, ihre befugten Praxisangestellten dürfen darauf zugreifen und das auch nur bei Patientinnen, die ihnen dieses Recht eingeräumt haben. Und damit wird ausgeklammert zum Beispiel, also nur mal so als Hinweis, das ist aber wahrscheinlich auch einfach sinnvoll ausgeklammert, das Missbrauchspotenzial in der einzelnen Praxis. Also wenn du jetzt irgendwie im Dorf bist und du gehst zur Ärztin und das Personal kann halt auf deine Epa zugreifen. Das war aber auch schon vorher so, dass sie auf deine Gesundheitsdaten zugreifen können, weil die arbeiten halt nun mal bei deiner Ärztin. Ja, also das ist dann eben so. Was nicht sein darf, ist, dass jemand, die nicht berechtigt ist, also nicht Ärztin ist, diese Zugriffsrechte bekommt. Und was auch nicht passieren darf ist, dass jemand, die beispielsweise Ärztin ist oder sich als Ärztin ausweisen kann, auf die Gesundheitsakten von Patientinnen zugreifen kann, die nicht die Einwilligung erteilt haben. Beispielsweise also eine Person, die niemals in dieser Praxis war und niemals ihre Karte gezeigt hat. Und wenn das der Fall wäre, dann hätte man ja eine elektronische Patientenakte, wo man sagen könnte, okay, das ist erstmal keine massive Erhöhung des Risikos, dadurch, dass jetzt alle Daten irgendwo zentral gespeichert werden. Jetzt haben aber Martin Tschirsich und Kollegen schon vor mehreren Jahren gezeigt, dass man sich diese Heilberufs- und Praxisausweise problemlos beschaffen kann, weil es dafür natürlich Dienstleister gibt, die die ausgeben, die wollen das günstig machen und dann schreibst sie irgendwie, fälschst ein paar Dokumente oder sowas und bestellst das Ding irgendwie an die Wursttheke. Das wurde damals Svea Eckert von der ARD, das war glaube ich der Titel sogar der Recherche, der Arztausweis an der Wursttheke.

Sehr catchy auf jeden Fall.

In dem Fall dann der, der nebenan abgegeben wurde von dem Boten, der da war, um das persönlich an die Ärztin zu übergeben. Also damit ist quasi der erste Schritt gelungen, sich so eine SMCB problemlos zu holen oder mit geringem Aufwand zu holen, um erstmal grundsätzlich in der Lage zu sein, auf die EPA überhaupt zuzugreifen mit der Rolle Arzt, Ärztin, Praxis. Und jetzt geht es aber weiter, jetzt würde man ja sagen, naja, okay, jetzt muss ja immer noch jemanden dazu bringen, dir deine Karte da reinzustecken, damit du dessen oder deren Daten auslesen kannst. Und diese Karten haben kryptografische Identitäten, also natürlich, deswegen macht man die, da ist der kleine goldene Chip drauf. Die werden aber bei dem Zugangsrechtemanagement auf diese E-Paar nicht angewendet. Zu einem völlig, mir absolut, also erstens nicht erklärbar und zweitens auch nicht entschuldbar, brauchst du im Prinzip für die Zugriffsberechtigung, brauchst du die versicherten Nummer einer Person, Und die Kartennummer. Und die Kartennummer ist aus einem ebenfalls mir völlig unklaren, also das ist im Prinzip eine interne Nummer der Karte. Die sind einfach fortlaufend. Das heißt, wenn du jetzt eine Kartennummer hast und erhöhst die um eins, dann hast du die nächste Kartennummer.

Super, das funktioniert ja bei Online-Shops immer so super mit den Bestellungen und so.

So. Und jetzt gibt es, jetzt werde ich, wie gesagt, großen Bogen oder Vereinfachung. Jetzt kannst du zu einer Kartennummer dir die Versichertennummer abrufen. Das hat zur Folge, wenn du jetzt eine Kartennummer kennst und sagst, okay, jetzt gehe ich die, die inkrementiere ich jetzt um eins, dann fragst du einen anderen Service, sag mal bitte, wer die Versichertennummer zu der Karte, dann kriegst du die Versichertennummer und dann sagst du der Ehepaar, hör mal, ich habe hier, Versichertennummer und Kartennummer, bei dem darf ich jetzt zugreifen und dann sagen die, ja super, alles klar, hier bitteschön. Das heißt, die haben in diesem System dieses, also was, also dafür gibt es überhaupt Smartcards, damit man beweisen kann, dass die Karte wirklich präsent war. Also es ist auch in den, in so. Kennt ihr wahrscheinlich, wenn ihr mit eurer Kreditkarte oder EC-Karte, Gibt es ja gar nicht mehr, aber ihr glaubt, das wäre noch eine Girokarte, mit der ihr bezahlt. Häufig reicht es, die einfach nur noch da an das Lesegerät zu halten. Da wird aber auch kryptografisch bewiesen, dass die Karte da ist, was kaum noch jemand akzeptiert. Ist, dass man da irgendwie den Magnetstreifen durchzieht, weil der Magnetstreifen so einfach zu kopieren ist. Das heißt, man baut diese Karten, weil sie beweisen können, dass sie zu diesem Zeitpunkt tatsächlich da waren. Und das funktioniert durch eine kryptografische Signatur einer Zufallszahl. Dann würde die Epa sagen, ach so, du möchtest beweisen, dass der Pridlaff gerade bei dir ist. Hier ist meine zufällige Zahl, die ich mir gerade ausgedacht habe. Lass doch mal bitte den Tim die mit seiner Karte signieren. Und dann bringt der Tim, bringt Tims Karte eine digitale Signatur auf diese gerade gewürfelte zufällige Zahl an und damit ist klar.

Ah, okay, der ist es ja wirklich.

Und der ist auch jetzt gerade da, weil ich habe mir die Zufallsteile ja gerade erst ausgedacht. Wenn ich immer die gleiche nehmen würde, dann kann man ja diese Signatur kopieren und dann könnte der Arzt beim nächsten Mal sagen, jo, der Tim ist immer noch hier. Geht aber nicht, weil nächstes Mal würde eine andere Zufallstage geben. Absolute Basics. Ich müsste jetzt überlegen, die Kryptografie dahinter ist, ich müsste jetzt 30 Jahre, müsste das jetzt ungefähr sein, alt. Und ja, In der massenhaften Anwendung der Menschheit im Prinzip, seit es SIM-Karten gibt. Ich glaube, SIM-Karten waren noch früher mit Kryptoschlüsseln als Kreditkarten. Seit wann gibt es SIM-Karten? Irgendwann in den 90ern mit digitaler Mobilfunktechnologie.

Genau, als es mit den D-Netz, mit GSM-Netzwerken losging. Also ich glaube in den ganz alten C-Netzen und so weiter, da waren zwar auch so Identifizationskarten drin, aber noch nicht mit dieser Kryptografie. Also im Kern ist es halt einfach ein kleiner Geheimspeicher, wo Informationen drinstehen, die man nicht als solche auslesen kann, wie das bei den Magnetstreifen eben noch der Fall war. Und man kann eben deren Präsenz und Gültigkeit indirekt eben über diese klassischen Kryptografie-Methoden nachweisen, indem man eben sagt, hier beweis mal, dass du es bist, indem du aus dieser Zahl eine andere machst, von der ich mit dem Gegenschlüssel überprüfen kann, dass das auch der richtige ist und damit ist das Ding klar. Eigentlich ein sehr einfaches Prinzip, tausendfach angewendet in vielen Anwendungen, aber irgendwie für die Patientengeschichte offensichtlich schon noch zu kompliziert.

Genau. Und das, also lange Rede, kurzer Sinn, beides funktioniert. Also du kriegst einen Heilberufeausweis und du kannst dann Zugriffstoken für die E-Pass beliebiger Versicherter erstellen. Du kannst auch spufen, also du kriegst eine Karte, du hast eine Karte und änderst quasi die Zugriffsfreigabe, die du mit der einen Karte bekommst. Da änderst du einfach die Kartennummer auf andere, funktioniert auch. All das sind Dinge, die man mit kryptografischen Identitäten verhindern könnte, die werden aber nicht angewendet. Und das ist... Mir ist überhaupt nicht klar, wie man sowas machen kann, weil es halt wirklich seit ungefähr 30 Jahren klar ist, dass man das nicht zu machen braucht. Also es ist ein gelöstes Problem. So Martin Tschirsich und Bianca Kastel haben darüber vorgetragen. Natürlich haben sie diese Probleme schon frühzeitig der Gematik gemeldet und auch natürlich vorgeschlagen, wie man sie beheben kann. Und war das denn irgendwann so Mitte Dezember, meldete sich dann Karl Lauterbach bei mir und wollte mal sprechen über die elektronische Patientenakte. Jetzt muss man natürlich wissen, Karl Lauterbach ist scheidender Gesundheitsminister. Und diese elektronische Patientenakte mit all ihren anderen Themen, auch dem Forschungszugriff und so weiter, der Verknüpfung der Daten und so, ist ja so sein Herzensprojekt. Und der Mann ist Epidemiologe, wir wissen, dass der Gesundheit ernst nimmt und dem ist dieses Ding sehr wichtig. Er meldete sich, dann hat er einen Call gemacht, dann hat er gesagt, ja okay, erstens muss ich sagen, wirklich hat er die Sachen ziemlich gut verstanden, die Probleme. Also er hat sich da für einen Minister schon enorm reingefuchst und war in der Lage auch die technischen Probleme da größtenteils korrekt wiederzugeben und auch die Lösungen und hat dann eben in Aussicht gestellt, dass diese Probleme behoben werden müssen. Vor dem Launch. Da ist jetzt natürlich, und das kann man jetzt erstmal nur so hinnehmen, so gibt es jetzt auch die Berichterstattung, deckt natürlich ab, dass keine Verzögerung des Launch stattfinden soll und dass die Probleme gelöst werden sollen. Man fragt sich ja natürlich, die haben ja jahrelang an dieser EPA für alle gebastelt. Wie hat diese Gematik das geschafft, so einen Murks zu spezifizieren, durch alle Gremien zu bekommen, sogar irgendwie so einen Gematik-GPT-Test von der Fraunhofer zu überleben und das dann dem Gesundheitsministerium hinzulegen. Und dann müssen wieder irgendwelche freiwilligen, interessierten Bürgerinnen und Bürger sagen, Leute, könnt ihr mal bitte das einfach nach, also Stand der Technik ist ja schon lächerlich, ja, also nach Stand der Technik des Jahrhunderts machen. Des letzten Jahrhunderts Stand der Technik des letzten Jahrhunderts das ist jetzt einfach mal so die Hürde das ist einfach jetzt mal so der Maßstab, und das ist sehr faszinierend diese Gematikleute, die fressen da Millionen Millionen und dann. Funfact wir erinnern uns an die Sache, Flippke hatte das ja hier glaube ich auch mit uns im Logbuch besprochen Wir erinnern uns an diese Konnektoren, wo nicht spezifiziert worden war, dass die Konnektoren mit ihrem kryptografischen Schlüssel auch irgendwann einmal updaten müssen. Wo nicht spezifiziert war, dass ein Konnektor, wenn der kryptografische Schlüssel abläuft, nicht in den Müll muss. Also haben die Hersteller gesagt, na klar, wenn der jetzt abläuft. Da muss der in Müll, weil natürlich muss der in Müll, weil wir verkaufen die Dinger, ja? Und wenn der in Müll muss, verkaufen wir einen neuen. So machen wir das jetzt, ne? Und also mit solchen Leuten hast du das zu tun, ne? Wenn du sagst, lass uns elektronische Patientenakte machen, dann sitzen halt irgendwie so Leute so, okay, lass mal, pass auf, ich hab ne Idee, wir machen das so. Da verdienen wir mehr Geld, ne? Und das ist, also tut mir ehrlich gesagt der Karl Lauterbach halt auch leid, oder auch, was heißt Karl Lauterbach? der ist ja einfach nur ein Mensch. Unser Staat, der da verarscht wird von diesen Leuten, der könnte einem leid tun. Wir haben wirklich irgendwelche Schrotttechnologie da verbastelt, um sich daran gesund zu stoßen. Und am Ende müssen wirklich, ich meine, Martin und Bianca sind da irgendwie, halt einfach nur interessierte Leute. Die haben ja jetzt auch nicht Geld dafür bekommen, dass sie auf diese Probleme hingewiesen haben. Die wurden jetzt auch nicht engagiert. Die haben auch keine, weiß nicht wie viel, 10.000 Euro Fraunhofer für einen komischen Gematik-GPT wahrscheinlich bekommen hat. Haben die ja alles nicht. Die haben einfach nur gesagt, zeig mal bitte. Was ist das denn? Und solche Leute brauchst du, um die Gesundheitsakte irgendwie halbwegs hier in diesem Land auf der Spur zu halten. Das ist schon ein schlechtes Zeichen, ja. Dass es so weit kommt, dass es so weit kommt, dass Freiwillige das in ihrer Freizeit aus Interesse komplett zerlegen müssen. Weil du in der gesamten Kette, in der gesamten Wertschöpfungskette niemanden hast, der sagt, wie wäre das denn, wenn wir versuchen, das ordentlich zu machen? War offenbar keiner. Naja, ich weiß nicht. Also ich habe... Also es gibt, ich würde sagen, die Lösungen, die da jetzt gerade diskutiert werden, bestehen zum Beispiel darin, dass du zu einer gegebenen Kartennummer, die du dir ja wie gesagt durch inkrementieren herbeiholen kannst, nicht mehr die versicherten Nummer bekommst. Das löst das Problem erst einmal. Das ist halt eine provisorische Lösung für ein nachhaltiges Problem. Nämlich, dass es einfach nicht ordentlich gemacht wurde. Man kann aber, also man könnte sagen, okay, wir nehmen diese provisorische Lösung, Protokolländerung und so weiter und rollen dann später tatsächlich kryptografische Identitäten aus und nutzen die. Das wäre eine theoretische Möglichkeit. Glaube ich, dass man das in letztendlich weniger als einem Monat stabil hinbekommt, dann frage ich mich, warum die vorher jahrelang das Problem nicht gelöst haben. Also ich bin nicht so ganz sicher, aber ich habe da auch keine so guten Einblicke. Ich glaube, wenn du die Gematik bist und Karl Lauterbach dir so hinten in den Nacken atmet, dann kann das sein, dass du das in einem Monat hinkriegst, aber es kann auch sein, dass das da zu einer Verzögerung kommt.

Zumal wir jetzt noch Wahlen vor uns haben, die da eh nochmal alles rauszögern können.

Ja, das ist natürlich das andere Ding. Ich glaube, die Widerspruchsfrist endet am 15. Und dann gibt es ja in der Modellregion, in der Modellregion soll das dann, glaube ich, ab 15. Februar launchen. Und da ist für diese Ausgabe der Praxisausweise, da nehmen sie im Prinzip die Lösung, dass sie sagen, die ganzen Altersgruppen Die alten gelten nicht und nur die neuen gelten für die elektronische Patientenakte für alle und bei den neuen machen wir, jetzt endlich mal reparieren wir den Prozess, dass man an so eine Karte kommt. Das sind ungefähr die beiden zentralen Lösungen, wieder in großen Bögen erklärt, die da aktuell diskutiert werden und ich denke als Provisorium könnte man das machen. Das darf aber nicht davon ablenken, dass man hier nachhaltige Lösungen braucht und nachhaltige Lösungen sind vernünftige Implementierungen nach Stand der Technik des letzten Jahrhunderts. Das war das. Vortrag ist empfohlen. Es gab dann auch noch irgendwie, also die haben noch sehr viel mehr. Sie haben irgendwie SQL-Injection auf dem Karten-Herausgeber-Portal. Da konntest du also dann, also und so weiter und so fort.

Einmal alles.

Alles, ja. Genau. Großes Thema, natürlich gerade jetzt auch. Presseanfragen hageln gerade beim CCC ein. Soll man da rein, soll man da nicht rein, soll man widersprechen, soll man nicht widersprechen und so weiter und so fort. wie sicher sind meine Daten, was können Kriminelle mit den Daten machen. Und das auf jeden Fall würde ich sagen, ein größerer Krater, der da hinterlassen wurde. Und ich könnte sagen, meine Enttäuschung über die Unternehmen, die für Staaten oder für die Regierung wirklich hochkritisches Software bauen, könnte größer nicht sein.

Man muss wirklich den kompletten Entwicklungsprozess infrage stellen. Also es kann ja eigentlich nicht sein, dass vor allem, wenn so viel Funding vorhanden ist, dann am Ende immer noch so mittelmäßig geliefert wird. Also da sind einfach die Standards sind da einfach zu gering und ich vermute auch einfach mal die bisher etablierten Prozesse, wie man überhaupt Softwareentwicklung im großen Maßstab oder sagen wir mal Systementwicklung, das ist ja nicht nur Software.

Architektur würde man in dem Fall sogar, das ist ja eine Architekturfrage.

Also wie plant man das, aber auch wie geht man dabei vor? Also was sind auch die Prozesse, was sind die Überprüfungsprozesse? Das kann ja wohl nicht sein, dass jetzt nach so einem jahrelangen Hickhack, wo es schon auch immer viele regelmäßig veröffentlichte Hinweise auf grundlegende Probleme gab, das ist ja alles nichts Neues, dass dann immer noch keine Prozesse in place sind, die das einfach grundsätzlich, vielleicht nicht vermeiden, aber zumindest in einem Rahmen halten. Und ja, das ist schon wirklich sehr bedrückend, weil einfach hier zu wenig Incentive ist, für diese Unternehmen halbwegs modern zu arbeiten. Das ist so ein bisschen mein Eindruck. Also man ergibt sich durch diese Vergabeverfahren. Und eigentlich dann immer wieder in diese Situation, wo Unternehmen dann ab einem bestimmten Zeitpunkt einfach mehr oder weniger unkontrolliert tun und lassen können, was sie wollen und dabei einfach zu wenig Begleitung haben. Softwareentwicklung speziell heutzutage heißt halt auch, möglichst permanenten Review zu haben. Und es kann nicht sein, dass immer alle ganz lange auf irgendeine Deadline hinarbeiten und das Ergebnis sieht man dann eigentlich erst am Schluss, sondern das muss eigentlich so ein permanenter Prozess sein. Ich fand das ganz interessant. Ich hatte ja, als ich hier mit Thomas zuletzt ein paar Sendungen gemacht hatte, war ich ja bei diesem speziellen Tag, wo es jetzt um diese Entwicklung dieser Wallet ging, die von diesem Sprint abgewickelt wurde, wo so ein offener Wettbewerb ja gemacht wird. Und da hat man schon mal gesehen, dass es auch anders geht, dass also auch so ein offener Prozess mit viel Open Source vorgenommen werden kann. Das ist jetzt sicherlich nicht eins zu eins umzusetzen, aber da kann man sehr viel daraus lernen, weil dort so ein, also nicht nur ein permanenter Wettbewerb, aber eben auch so eine permanente Offenheit ist und vor allem auch so eine permanente Begleitkultur etabliert wurde. Weil halt von Sprint eben Experten herangeholt wurden, die quasi während diese ganzen Unternehmen ihren Kram entwickelt haben, die ganze Zeit auf diesen Code geschaut haben, hingegangen und gesagt haben, hier Leute, guck mal da, ich hab mir das mal angeschaut, mach das mal nicht so, mach das mal so oder hier, müsste man das bedenken, aus welchen Gründen auch immer. Und abgesehen davon, dass es da halt einen Wettbewerb um den richtigen Weg ging, war es halt vor allem erstmal ein offener Prozess, in dem sich auch alle beteiligen können. Also in dem sich auch jeder beteiligen kann. Also in dem wir uns hätten beteiligen können. Und ich glaube, so oder so ähnlich müsste man auch künftig bei der Entwicklung solcher Systeme vorgehen. Weil am Ende findet das ja dann eh statt. Und da das eben auch öffentliche Infrastruktur ist, kann ja auch gleich öffentlich entwickelt werden und dann wird zwangsläufig da eine ganz andere Softwarekultur sich entwickeln, weil man einfach mit diesen alten, althergebrachten mittelständischen Ansätzen da, überhaupt gar nicht mehr Fuß fasst und auch überhaupt nicht mehr konkurrenzfähig ist.

Ja, also korrekt, ich würde aber trotzdem nochmal sagen, das ist, was wir hier haben, ist ein Architekturproblem, nicht ein Entwicklungsproblem, ja, Das haben die mit Sicherheit auch noch, ja, das haben sie noch on top.

Ja, aber auch diese Architektur ist ja entwickelt worden. Und also auch dieser Entwicklungsprozess, wie man auf diese Architektur gekommen ist, der ist ja sozusagen schon der Beginn des Problems. Da kann man gar nicht mehr sehr viel richtig machen. Aber auch wenn diese Architektur entwickelt wird, kann man das in the open machen und kann, während man daran arbeitet, in so einem freien Wettbewerb eben sagen, okay, ja, nee, das geht hier in die falsche Richtung, das müssen wir anders machen. Just saying.

Ja, ja. Im Zweifelsfall wäre es eine einfache Anforderung gewesen. Es ist eine Katastrophe und einfach nur peinlich, dass sie das nicht gemacht haben und man, ja, die sollten sich was schämen. Und die werden alle wieder irgendwelche Ausreden haben und das ist alles, das ist einfach nicht zu entschuldigen, das muss man ganz einfach sagen. Das ist nicht zu entschuldigen. Insbesondere nicht, wenn du, und hier kann ich übrigens den Karl Lauterbach nur beipflichten, wenn du das größte und kritischste Digitalprojekt der Bundesrepublik Deutschland ever bist. Es gibt eigentlich kein 70 Millionen Patientinnen-Akten sollen da reingekippt werden Gesundheitsdaten von 70 Millionen Menschen, das ist im Zweifelsfall die größte Datenbank die irgendjemand in Deutschland seit langem baut, also abgesehen von Facebook oder sowas, die hat also in Datenmenge wahrscheinlich einfach mehr haben, weil Aber das ist die größte nationale Datenbank garantiert der Bundesrepublik Deutschland und sie hat die schützenswertesten Daten der Bürgerinnen und Bürger überhaupt. Was kritischeres, größeres gibt es nicht. Gibt es einfach nicht.

Ja, ich meine, wir haben natürlich auch Personalausweis und Einwohnermeldedaten, liegt ja auch alles irgendwie letzten Endes von jedem Bürger rum, aber es ist halt nicht so persönliche Informationen.

Da würde ich halt sagen, das ist dann halt eine Datenbank. Das ist ja hier ein Digitalprojekt mit einer Infrastruktur dahinter, die ja in tausende Arztpraxen geht. Also das ist ein Infrastrukturprojekt und da hast du solche Vöglein dran sitzen. Das ist wirklich durch nichts zu entschuldigen. Durch nichts zu entschuldigen. Natürlich kommt hier auch erschwerend hinzu, dass man jetzt auch noch quasi gezwungen wird, daran teilzunehmen. Entschuldigung, das ist falsch. Dass man widersprechen muss, wenn man daran nicht teilnehmen möchte. Und es ist natürlich jetzt ein unschöner Fall, dass jetzt Ärztinnen und Ärzte, Kinderärztinnen und so weiter sagen, ey, sorry, wenn das irgendwie nichts ist, dann widersprecht jetzt. Und potenziell ist das wahrscheinlich sogar, zum jetzigen Zeitpunkt nicht unsinnig zu widersprechen, weil man dem System in seiner jetzigen Qualität, die zum Stand 11. Januar, nicht angehören möchte. Dann gibt es so ein paar Hotfixes, die den massenhaften Missbrauch erstmal erschweren, die technischen Qualitätsmängel verbleiben, die Ausnutzungsmöglichkeiten werden noch stärker reduziert. Da stellt sich dann die Frage, ob man mit so einem Hotfix leben will oder ob man sagt, okay, ich warte lieber mal, ich möchte ehrlich gesagt erst, wenn das Ding stabil, mit Stand der Technik des letzten Jahrhunderts umgesetzt wurde, Teil davon sein. Das sind jetzt, und da gibt es eigentlich gerade, ich weiß nicht, ich müsste mal gucken, ob man da widersprechen kann und sagt, passt auf, ich widerspreche bis in zwei Jahren, meldet euch dann gerne nochmal, vielleicht möchte ich dann mitmachen. Wenn bis dahin Martin und Bianca nicht einen neuen Vortrag halten mussten, weil ihr das immer noch nicht hingekriegt habt, dann können wir nochmal drüber reden. Die Option habe ich da noch nicht gefunden. Ja, also Vortrag ist in den Shownotes verlinkt und natürlich sehr empfohlen. Dann gab es einen Vortrag von Flüpke und Michael Kreil zu einem Datenleck, das bei der Firma Carriott angefallen ist.

Ich finde den Begriff Datenleck an dieser Stelle wirklich ganz interessant, weil ich weiß nicht woran du denkst, wenn du ein Leck hörst. Also ein Leck ist ja sowas wie, da tropft irgendwo ein bisschen was raus. Aber ich hatte jetzt eher so das Gefühl, das ist so ein Kieslaster, wo so auf der Autobahn hinten mal die komplette Klappe aufgeht. So eine Art Leck ist das.

Ja, aber wenn du mit deutscher Internetgeschwindigkeit diese Daten abschürfst, dann ist es doch nur ein Leck. Also was ist hier passiert? Habe ich viel gelernt. Ich habe in diesem Fall die Kommunikation mit dem betroffenen Unternehmen übernommen. Wir machen das als CCC ja sehr häufig, dass wir Schwachstellen melden. Am meisten macht das, glaube ich, aktuell der Kantorkel. Ich mache das auch regelmäßig. Gestartet habe ich das irgendwann mal vor ein paar Jahren. Wie dem auch sei, man kann sich an disclosure.ccc.de wenden und dort Schwachstellen melden, die vielleicht eine Nummer zu heiß sind. Oder wo man sagt, es wäre mir lieb, wenn hier nochmal jemand drüber schauen würde. Sehr häufig... Oder, also, es ist immer, immer anders, aber einigen, die sich da hinwenden, helfen wir halt einfach, ihren Write-up zu machen und sagen, alles klar, schick den mal so ab oder beschreib das mal noch anders, lass mal den Satz weg, wo du sagst, du willst Geld dafür haben oder irgendwie sowas, ne? Bei einigen sagen wir, okay komm, wir machen das für dich, weil das vielleicht so, da riecht es ein bisschen nach Ärger. Da ist vielleicht besser, wenn da einfach der CCC anklopft, weil das bei den meisten Leuten, oder weil die Hoffnung besteht, dass die Leute ein zweites Mal nachdenken, bevor sie jetzt irgendwie irgendwas.

In Marsch setzen.

Unüberlegtes Tun. Dieser Fall war so, hat eine anonyme Person diesen Sachverhalt aufgedeckt. Und ich habe die Kommunikation in dem Fall gemacht, wie gesagt, eher Zufall. Der Volkswagen-Konzern. Relativ großes Unternehmen.

Kann man sagen.

Mit den Töchtern, hoffentlich kriegst du jetzt hin, Seat, Audi, Volkswagen, Porsche.

Skoda.

Und jetzt fehlt noch einer.

Skoda.

Skoda. So, die bauen Autos und die versuchen ja, das ist sicherlich auch einigen bekannt, bei einigen dieser Fahrzeuge zum Beispiel gleiche Plattformen zu nutzen, um irgendwie Aufwände zu vereinheitlichen oder Aufwände zu reduzieren, besser zu skalieren. Beispielsweise gibt es den Golf auch nochmal von Skoda oder so. oder irgendwie.

Ja, das ist also schon seit Jahrzehnten eigentlich so der Standard im Automobilbau. Man entwickelt jetzt nicht für jedes Modell eine ganz eigene Basis, sondern man entwickelt eine Plattform, auf der man dann, also wo dann halt bestimmte Dinge einfach einheitlich sind. Das heißt, du kannst dann eben das einmal bauen und in vielen Modellen machen, weil die sich ja dann am Ende nur unterscheiden, haben die jetzt einen Stufenheck, hat das einen Fließheck, irgendwie wie lang ist der, ein anderer Radabstand. Also diese ganze Elektrizität, Die ganze Steuerungstechnik, die interne Verstromung etc. Das ist dann eben weitgehend identisch und damit kann man Kosten sparen und das ist dann eben auch teilweise eben nicht nur auf eine Marke bezogen. Also in diesem Fall tauscht natürlich Volkswagen die Technik eben mit, also Marken sind am Ende nur ein Branding und eine Anpassung an die Märkte, indem man das rausbringt und teilweise werden diese Plattformen ja auch herstellerübergreifend geteilt. Also es gibt dann auch Kooperationen mit Ford oder so, wo man dann sich darauf einigt mit hier, okay, dann nehmen wir mal diese Plattformen, ihr nehmt die auch etc. Und insbesondere ist das natürlich der Standard jetzt, wo alles auf elektrische Fahrzeuge geht, da sind diese Plattformen dann nochmal wichtiger geworden.

Genau und wenn du jetzt sagst, wir wollen jetzt Auto-Apps haben und irgendwie die Autos funken Telemetrie nach Hause, dann machst du das natürlich auch und dafür gibt es die Volkswagen-Tochter Carriot, also das ist quasi deren Connected-Car-Tochter. Und wenn du jetzt irgendwie ein Fahrzeug der Volkswagen-Gruppe hast, das in irgendeiner Weise Cloud-Funktionen hat, dann wird diese ganze IT, das baut dir Carriot. Und also wenn du jetzt eine Volkswagen-App oder so was, eine Volkswagen-App, Audi-App und so weiter, die greifen auf irgendwelche Cloud-Infrastrukturen zu, bieten ähnliche Services an, Carriot. Also mach das nur, damit man jetzt versteht, dass in dem Fall Volkswagen, wenn ich jetzt Volkswagen sage, meine ich die Volkswagen Gruppe und wenn ich Carriette meine, meine ich quasi deren IT und die wird eben auch von den anderen mit, von den unterschiedlichen Marken genutzt. So, was ist hier aufgefallen? Das war im Rahmen einer, also die anonyme Person hat so ein bisschen Internet-Erkundungsreise gemacht und da gibt es quasi so bestimmte Endpunkte, wo man bei jedem Server einfach mal schaut, guckt doch mal, ob der das anbietet. Ja, und wenn er das anbietet, ist es unter Umständen interessant. Und das, was man als irgendwie so ein Server ins Internet hängt, dann wird da relativ oft jemand vorbeikommen, der mal fragen will, ob man nicht die WP-Config-PHP sehen kann. Ja, weil wenn es bestimmte Fehlkonstruktionen gibt, dann wäre die, also das kann ich noch nie gesehen, aber wäre die theoretisch anzeigbar und da stehen halt bestimmte Secrets drin und dann könnte man unter Umständen ein WordPress übernehmen. Und besonders interessant ist das bei Debug-Funktionalitäten. Wenn man jetzt quasi so eine Web-Applikation entwickelt, zum Beispiel eine Web-Applikation, die eine API bereitstellt, ein Application Programming Interface, das, womit am Ende dann das, was in der Cloud ist, womit die App auf dem Handy redet. Und wenn man so etwas entwickelt, dann gibt es natürlich für den Prozess der Entwicklung eine Reihe Debug-Funktionalitäten, die man sich so einrichten kann. Und eine, in diesem Fall Betroffene, ist der Endpunkt, über den Heap-Dumps bereitgestellt werden. Was ist ein Heap-Dump? Ein Heap-Dump ist im Prinzip ein Dump, also ein Dump mal alles, so wie der Kieslaster. Und zwar in dem Fall deinen kompletten Speicher. Kipp mal bitte alles aus, was du gerade so, was dir gerade so im Kopf ist. Womit du gerade so hantierst. Und, Das betraf hier, die Person hat einen Endpunkt, einen Actuator von einer API gefunden, wo man Heap Dumps bekommen hat und hat sich dann irgendwann mal ein paar Monate später angeschaut und hat gesehen, oh guck mal hier, da sind Secrets drin, also quasi geheime Zugriffstokens für so Amazon S3 Buckets. Das ist ja interessant. Nehme ich doch mal das Secret, was hier in dem Hiebdamm steht und gebe das mal an zur Authentifizierung bei diesem S3-Bucket und sage, gib mal bitte Daten.

S3-Bucket muss man vielleicht kurz erklären. Also S3 ist so dieser Datenspeicherservice von Amazon, sehr populär und ein Bucket ist sozusagen so eine Einheit. Da hat man Zugriff auf ein Ding und dann kann man da beliebig viel Daten reinschmeißen. Was das ist, hängt dann von dir ab.

Das benutzt du, wenn du eben Daten speichern möchtest, in der Cloud wenn irgendjemand Daten in der Cloud speichert ist es sehr wahrscheinlich, dass er einfach in irgendein S3 Bucket wirft und da steht dann am anderen Ende steht ein Amazon Datenzentrum und sagt, danke, danke, danke, danke, gib mal her ach, willst du sehen, ich glaube, abrufen kostet mehr als reinwerfen, gute Idee, die wissen ja alle, die sie ihr Geld machen, auch geil ach, willst Daten bei uns speichern, gar kein Thema, achso, du willst die zugreifen. Das kostet aber jetzt. Die können das alle sehr gut. Also alles echt Geschäftsleute.

Wobei es da auch ein gutes Argument dafür gibt, weil oft sind diese Daten eben auch nur so zur Sicherheit dort und man greift da nur drauf zu, wenn man hohe Not hat.

Genau, und gerade in hoher Not will man ja viel Geld von den Leuten nehmen.

In diesem Fall war aber der Zugriff das, was überhaupt erst die hohe Not erzeugt.

Ja, okay, also Heapdump, eine Debug-Funktionalität, die in Produktivumgebungen niemals geschaltet werden darf. Das ist der Fehler. Da purzeln jetzt raus die Secrets, um Daten aus einem Amazon-Bucket zu holen. Und zwar nicht wenige, sehr viele. Und jetzt stellt sich heraus, diese Daten beinhalten eine Reihe an Geokoordinaten, Uhrzeiten und Vehicle Identification Numbers. So, Vehicle Identification Nummer ist quasi die Fahrzeugnummer, also ist nicht gleichbedeutend mit der Fahrgestellnummer, aber es ist quasi ein Unique Identifier eines Autos. Uhrzeit kennen alle, Geolokationsdaten auch. Du hattest also jetzt hier von, ich glaube, ungefähr 800.000 Kfz eine Reihe an Informationen, wann die sich wo befunden haben. Und diese Informationen waren in der Regel verbunden mit so Hinweisen wie Engine-Off und Batterieladezustand. Ein bisschen Beschäftigung mit den Daten zeigte dann also auf, es waren Elektrofahrzeuge. Die nach Hause gefunkt haben, jedes Mal, wenn sie ausgeschaltet wurden. Und zwar ihren Batteriezustand und ihre Lokation. Jetzt gibt es, auch hier mache ich den großen Bogen. Bitte schaut euch den Vortrag an und lest den Spiegelartikel, wenn ihr das genau im Detail machen wolltet, weil es gab jetzt wiederum Unterschiede zwischen den einzelnen Marken. Die meisten haben die Geolokationen gekürzt gehabt, sodass das nur auf 10 Kilometer genau war. VW, also die Marke VW, allerdings nicht und die machte ungefähr die Hälfte der Daten aus. Jetzt hast du also von insgesamt 800.000 Autos Bewegungsprofile. Durch einen weiteren Teil von Daten, die du jetzt da mit der Vehicle Identification Nummer hattest, konntest du das aber mit den Nutzern der VW App oder Audi App oder Skoda App oder was auch immer mappen, um auch noch herauszufinden, wem denn dieses Fahrzeug gehört. Denn die Identity Provider Secrets fielen auch noch raus. Du konntest also jetzt quasi sagen, das war dann quasi ein Schritt mehr zu sagen, okay, hier aus dem S3 Bucket purzeln die ganzen Autos. Wem tun die denn gehören? Das war jetzt quasi noch ein Schritt mehr, an einer anderen Stelle zu sagen, hier, ich bin ein Auto, hier ist eine Vigal. Identification Number, sag mal, wem die gehört. Ach so, und übrigens, als die Person kann ich mich jetzt auch identifizieren. Und dann konntest du quasi deren personenbezogene Daten und dann konntest du quasi herausfinden, alles klar, und das ging in beide Richtungen. Hättest du jetzt auch eine Person nehmen können und sagen können, welches Auto fährt die denn? Und du kannst ein Auto nehmen und sagen, wem gehört das denn? Ja, ähm, Super schön und die Daten gingen zurück irgendwie weit über, im längsten Fall über zwei Jahre. Ja, und das ist einfach jeder fucking, jedes einzelne Mal, wo du das Auto abgestellt hast. So, was macht man mit den Daten? Und jetzt kommt hier, glaube ich, der interessante Teil. So, the classic CCC way wäre an dieser Stelle, ein paar Daten herunterzuladen, ein paar Daten zuzugreifen, um das alles zu bestätigen und dem betroffenen Unternehmen Bescheid zu sagen, so übrigens Fehler gemacht. In diesem Fall sind wir ein bisschen anders vorgegangen und das möchte ich vielleicht einmal kurz erklären. Ich glaube nicht, dass das Problem in diesem Fall war, dass die Daten schlecht geschützt sind. Das Problem, also das war auch ein Problem, aber das war nicht das Kernproblem. Das Kernproblem in diesem Fall war, dass die Daten gesammelt werden. Warum sammelt Carriott von allen möglichen Autos in 800.000 in diesem Fall jeden einzelnen Ort, wo die jemals hingefahren sind, über bis zu zwei Jahre? Also quasi jeweils seit Anmeldung des Autos. und. Offiziell zumindest habe ich das nicht gefunden, wurde es in der Berichterstattung auch im Spiegel nicht erläutert, warum das so ist. Das tut mir jetzt leid für Carriott, weil ich hätte das an deren Stelle versucht zu erklären. Ich kann es aber jetzt auch nicht unbedingt für die erklären, ich kann nur Hypothesen bilden, warum die das vielleicht machen könnten. Also ich spekuliere jetzt, warum man so etwas Warum würde man sowas überhaupt machen? Und betroffen sind nur Elektroautos. Es gibt andere Datensammlungen, die Carriot macht, die zumindest in diesem Fall nicht betroffen waren. Das ist nicht alles, was Carriot sammelt, aber dieser eine spezifische Datensatz betraf nur Elektroautos. Und nur von einer bestimmten Plattform. Die genaue Liste der Kfz gibt es in dem Vortrag von Michael Kreil und Flüpke zu sehen. So jetzt, die haben öffentlich nicht bekannt gegeben, warum sie überhaupt diese Daten sammeln. Und ich hätte es an deren Stelle erklärt, weil es natürlich eigentlich Problem, also wäre ja schon ganz nett gewesen, eine Rechtfertigung zu geben, wofür die Daten überhaupt sind. Ich kann also nur spekulieren. Mein Verdacht ist, dass diese eine spezifische Datensammlung dazu dient, bei Elektroautos bessere Prognosen über ihre Batterie machen zu können. Weil dafür würde dich das nämlich genau interessieren, welchen Batteriezustand hat die Karre beim Starten, welchen Batteriezustand hat sie beim Abstellen und da wo sie ist, daraus kannst du ableiten, wie da die Wetterbedingungen sind. Und es ist für Elektro-Kfz eine Herausforderung, quasi die Reichweite gut zu prognostizieren oder die Ladeempfehlungen zum richtigen Zeitpunkt zu geben, insbesondere im Winter. Jetzt könnte man natürlich sagen, okay, es wäre vielleicht sinnvoll, Wenn die Temperaturmessgeräte in dem Auto sagen, ist kalt, dass das Auto das berücksichtigt. Aber das tun die offenbar nicht. Oder auch zum Beispiel zu sehen, naja, was sind Realreichweiten, die wir erreichen. Das wäre ein theoretischer, denkbarer Grund, solche Daten zu sammeln. Carriott hat aber über diesen speziellen Datensammlungsteil nicht erklärt, warum sie das tun. Zumindest nicht nach meiner Kenntnis. Ich habe auch gerade nochmal auf deren Webseite geschaut. Ich habe den Spiegelartikel gelesen. Das ist die einzige Primärquelle dazu. Die haben keine offene Aussage dazu getroffen. Es gibt aber den Begriff Feldbeobachtung, der in der Kfz, in der Elektro-Kfz-Branche üblich ist. Und das könnte ich mir vorstellen, dass es sich dabei um Feldbeobachtungen der Batterien gehandelt hat. Als Zweck für diese eine spezifische Datenerfassung. Wie gesagt, es gibt auch noch andere Sachen, die die machen. Zum Beispiel bietet Volkswagen an, die werben auch damit. Wenn du vergessen hast, wo dein Auto steht, Volkswagen weiß es. Dann kannst du in der App, siehst du, wo dein Auto steht. Weiß Google ja auch eh schon. Wenn du mit Google Maps da hingefahren wirst, steht es da auch. Und das betrifft, das waren aber zumindest nicht die Daten, die hier betroffen waren, weil die den Leuten sagen, wo das Auto steht, kannst du halt nicht, wenn du die Geokoordinaten nur auf 10 Kilometer genau gesammelt hast. Und das ist der Teil, der mich eben an dieser Stelle zu der Hypothese verleitet, dass es sich eventuell um eine solche Feldbeobachtung hätte handeln können. Meine persönliche Hypothese. Wenn das so wäre, dann frage ich mich, wann haben eigentlich die ganzen Leute, die diesen Karren fahren, zugestimmt? Wann haben die denn gesagt, ich möchte, dass diese Daten erfasst werden? Wahrscheinlich irgendwann, entweder beim Kauf des Fahrzeugs oder nach Übernahme des Fahrzeugs, wenn irgendwie so eine, hallo, ich bin hier ein neuer Skoda, hast du nicht gesehen? Klicken Sie mal bitte ja. Und hier ist der Button nach unten scrollen, dass sie alles gelesen haben. Man kann sich von Carriott so oder von den, also das ist ja wirklich auch ein bisschen absurd, weil das ist ja dann eine Funktion des Autos, nicht der App. Es waren auch einige, die meinten, naja, vielleicht ist das ja eine Funktion der App. Nein, du musst ja nicht die App haben. Das Auto hat das auch gemacht, wenn du die App nicht hast. Die meisten Leute haben natürlich die App zu ihrem Auto, weil klar, wenn du ein neues Auto kaufst, holst du ja die App, ist ja klar, willst du die App zu deinem Auto haben. Aber in diesem Fall war das nicht zwingend so. Mein Eindruck ist, dass das hier in den Standard-AGBs irgendeine Zustimmung, wenn du die Karre nimmst und registrierst und sagst, die gehört jetzt mir. Übrigens auch aufgefallen, das ist nur ein kleiner Nebensatz. Diese Datenbank, wie gesagt, betraf nur Autos, konnte aber mit Personen bezogen werden. Das ist auch nicht schwer, da scheiden sich natürlich jetzt auch die Gelehrten. Carriott vertritt so ungefähr die Perspektive, ja, ja, der CCC konnte auf die Bewegungsdaten von den ganzen Autos zugreifen, aber es sind ja keine personenbezogenen Daten, steht ja gar nicht drin, das ist ein Auto. Ein Auto ist ja keine Person. Ja, wo sind wir denn? Ist ja völlig klar, dass das kein Mensch ist. Also so interpretiert das dann deren Rechtsabteilung. Man kann dieser Argumentation folgen, weil es ja nur ein Auto. Das Auto parkt halt jeden Abend vor irgendeiner Haustür und verrät damit sehr genau, wem dieses Fahrzeug gehört. Aber muss ja nicht dem gehören. Vielleicht steht ja einfach nur jeden Tag einer vor der Tür. Naja, was Flübke und Michael dann so ein bisschen in dem Vortrag gezeigt haben, ist die Sicherheitsbrisanz dieser Daten. Wenn du jetzt nämlich zum Beispiel mal schaust, wer hält denn regelmäßig vor einer Polizeiwache, wer hält regelmäßig vor dem Reichstag, wer hält regelmäßig am Kanzleramt, wer parkt bei VW auf dem Parkplatz. Wenn eine prominente Person, von der man weiß, dass sie so ein Auto fährt, einmal sagt, dass sie da und da war. Man guckt, wie viele Volkswagen waren denn da und kann dann natürlich eben auch sehen, ach okay, alles klar. Was weiß ich, der Vorstandsvorsitzende der Volkswagen-Gruppe war an dem und dem Tag da und da. Da waren drei Volkswagen, gucken wir mal, ah zack, das ist die Karre von dem. Wo war der denn noch? Ach, guck mal hier, wo der am Freitagabend war, das ist ja irre. Da war ich auch, da fährt man aber nicht hin. Solche Dinge waren dann natürlich schnell möglich. Wir haben in dem Fall so was ich dafür das Problem halte ist, dass die Karren diese Daten sammeln und vor allem so lange und dass eigentlich niemand, der so ein Auto fährt sagt, ach ja weiß ich, habe ich auf Seite 27 gelesen dass das Ding bis Ultimo speichert wohin ich fahre und mit den Geokoordinaten, forever Und deswegen haben wir eben diese Analyse angestoßen, Michael Kreil und Flüppke zusammen mit dem Spiegel die Daten genauesten oder also die Daten in der, die aggregierten Daten analysiert. Also nimmst du quasi den Bezug, welches Auto ist das denn weg und sagst einfach mal so, wo waren denn überall VWs oder Volkswagen Gruppe Kfz und dann vereinzelte Personen mit deren Zustimmung identifiziert und deren Daten mal angeschaut und so und naja, was ist die Reaktion? Und Carriott hat gesagt, okay, ja, vielen Dank für den Hinweis. Hamm, muss ich auch sagen, ich habe da mit dem technischen Team gesprochen, die waren wirklich sehr fit, die waren sehr kooperativ und konstruktiv und haben das Problem auch gründlich behoben. Es gab eben zwei Probleme. Einmal überhaupt der Zugriff auf die Heap-Dumps und dann, dass du dich identifizieren konntest und dich quasi als jede einzelne Person ausweisen konntest, weil diese Secrets, die dafür notwendig waren, eben auch rausgepurzelt waren. Da haben sie auch alles rotiert. Die Secrets, die da rausgefallen waren, wurden auch quasi invalidiert und das wurde alles sehr zügig gemacht. Außerdem haben wir noch die Sicherheitsbehörden des Bundes darüber in Kenntnis gesetzt, also Innenministerium, BSI, Verfassungsschutz und dann daran anhängt natürlich auch Bundespolizei, BKA, die dann sich alle natürlich dafür interessieren, welche Risiken sie mit dem Betrieb dieser Kfz eingehen, wenn ihre Leute, denen sie die Karren geben, da einfach auf OK klicken und niemand weiß, dass diese Daten halt auf diese Weise gesammelt werden. Vortrag ist super unterhaltsam, kann man sehr empfehlen was natürlich auch an dieser Stelle immer gesagt werden muss ist. Bei Tesla ist das alles viel schlimmer, ja und wir haben jetzt gerade, Elon Musk hat das jetzt auch nochmal demonstriert, was war da jetzt irgendwie über den Jahreswechsel hat doch einer einen Cybertruck explodieren lassen vom Trump-Hotel her. Also auf jeden Fall ein eindrückliches Foto.

War auf jeden Fall schon mal ein schönes Symbolbild für 2025. Der brennende Tesla vor dem Trump Hotel. Ich glaube, klassischer wird es nicht mehr.

Und dann hat das aber doch irgendwie nicht lange gedauert, bis der Elon Musk irgendwie sogar die Bilder von der Karre, also die von der Karre selber aufgezeichneten Bilder hatte, oder?

Ja, Videos, alles mögliche.

Und ich war ja gerade dabei zu erklären, warum wir hier mit diesem Fall so umgegangen sind, dass wir die Daten in der Breite, auch mal in ihrem Ausmaß gezeigt haben. Und ich denke, das ist hier das Entscheidende gewesen. Nicht Aufmerksamkeit dafür zu schaffen, dass irgendwelche Menschen bei Carriott mal einen menschlichen Fehler gemacht haben. Die sind da auch nicht für zu blämen. Also klar, es war ihr Fehler, aber es ist jetzt auch nicht so, als hätte noch nie jemand einen Fehler gemacht beim Ausrollen von Software. War ein schwerwiegender oder ein folgenschwerer, aber das Entscheidende ist doch vielmehr, warum sammelt die Volkswagen-Gruppe diese Daten? Und da hätte ich ehrlich gesagt gerne mal eine Stellungnahme von der Volkswagen-Gruppe, dass die sagen, ach so, für diejenigen, die das nicht wollen, hier wäre der Knopf, wie man das wegmacht. Hier ist die Grundlage, Grundlage sind die AGBs. Irgendwo in den AGBs stehen dann eben die unterschiedlichsten Dinge. Wie gesagt, mein Verdacht geht auf diese Batterie-Performance-Messung. Für die es da auch eine Zustimmung gibt. Und da steht eben auch dran, dass die Daten gekürzt werden. Daher meine Theorie.

Die Begehrlichkeiten für solche Daten sind natürlich groß, weil du kannst natürlich hier alles mögliche herauslesen und insbesondere ein Marketing reibt sich dabei natürlich kräftig die Hände, weil du kannst natürlich hier sehr viel rauslesen über deine Kundschaft, über deren Einkaufsverhalten, wie viel Zeit verbringen die mit dem Auto, wo verbringen sie das mit dem Auto, in welchen Kreisen bewegen die sich, Kaufkraft etc. Du kannst da alles rauslesen. Und Autos sind natürlich, würde man sagen, nach dem Smartphone auch mit so ein bisschen das Sensitivste, was du so an Gerät monitoren kannst. Weil einerseits sind die natürlich auch gespickt mit allen möglichen Sensoriken. Also sowohl nach innen als auch nach außen. Und es sind nun mal eben auch sehr persönliche Geräte. So wie eben ein Smartphone auch, weil es dich eben an die Orte bringt, die für dich relevant sind. Und im Falle von Tesla kommen dann noch diese ganzen Videoaufzeichnungen dazu. Das war ja schon immer total überzogen. Karyat kann man natürlich sowohl den Vorwurf machen, dass die Struktur der Daten, wie sie sie abgespeichert haben, schon mal an sich eben überhaupt nicht auswirkt. Anonymisiert wurde in irgendeiner Form. Also dass die überhaupt schon so nackt anfallen und so zusammengestellt werden und auch nur theoretisch im Zugriff sein können und es in diesem Fall eben auch waren. Das wirft Fragen auf und es war ja auch so, dass soweit ich das dem Vortrag richtig entnommen habe, es generell in diesen ganzen AGBs schon mal die Informationen gab, ja wir greifen zwar hier Geodaten ab, aber wir löschen sozusagen so viele Nachkommastellen. Dass eben diese Position maximal auf 10 Kilometer gedau ist. Was für manche Marken auch der Fall war, aber eben, ich glaube, nicht bei VW oder bei Audi als Marke. Da waren die Daten dann eben sehr genau und das macht es natürlich dann gleich nochmal schlimmer. Also hier fehlt einfach ein Konzept, wie man solche sensiblen Daten sammeln kann. Ich habe ja Verständnis dafür, dass man sowas auswerten will aus den von dir schon genannten Vermutungen, also was weiß ich, Batteriezustände, Ladeverhalten der Leute etc. Das ist ja alles für die Planung auch von Netzwerken und auch für die Planung der Dimensionierung solcher Fahrzeuge durchaus alles ganz sinnvoll. Aber da gibt es dann eben auch Methoden, wie man solche Daten bekommen kann, ohne gleich automatisch die Privatsphäre zu gefährden. Also wenn man ein generelles Verhalten haben will, dann kann man mit Differential Privacy und ähnlichen Methoden sehr wohl an diese Daten rankommen, ohne dass, wenn man sie dann eben so in dieser Form vorfindet, wie sie jetzt vorgefunden wurden, sofort eine eindeutige Zuordnung zu Personen machen kann. Und das sind einfach alles Gedankengänge, die offensichtlich hier niemals auch nur begonnen wurden und das ist natürlich auf jeden Fall auch zu kritisieren.

Die Verarbeitung pseudonymer Daten ist notwendig, um längerfristige Wechselwirkungen zwischen der Fahrzeug- und Dienstnutzung unserer Kunden und dem Fahrzeugzustand, zum Beispiel der Batteriefunktionsfähigkeit, feststellen zu können. Nur auf diese Weise können wir geeignete Neu- und Weiterentwicklungsmaßnahmen erkennen und unseren Kunden neue und verbesserte Produkte und Dienste anbieten. Ich finde das eine sehr schöne Lektion in informed consent, der informierten Zustimmung und der Rechtfertigung. Du musst ja immer sagen, warum eine Datenverarbeitung notwendig ist. Das finde ich sehr schön, wie dann so eine DSGVO in der Praxis aussieht. Dann erklären sie, dass das notwendig ist. Wir müssen also sagen, wir können das nur machen, wenn wir diese Daten sammeln. Deswegen haben wir eine, wie heißt das denn, da gibt es ja auch diesen wunderschönen Begriff, also irgendwie eine Berechtigung, also irgendwie erklärte Notwendigkeit. Darfst keine Daten sammeln, die nicht notwendig sind. Zweckgebundene Notwendigkeit, wie auch immer. Naja, sehr schön. Wie gesagt, sehr unterhaltsamer Vortrag, solltet ihr euch nicht entgehen lassen. Es gab dann noch, achso ja, Thorsten und ich haben einen Vortrag gehalten, Thorsten und Schröder und ich halten ja sehr gerne mal zusammen Vorträge. Ich glaube, unser bekanntester ist der, du kannst alles hacken, du darfst dich nur nicht erwischen lassen. Aber wir haben zum Beispiel auch 2017 die eine Software, die bei der Auswertung der Bundestagswahl zum Einsatz kam, analysiert mit ganz haarsträubenden Ergebnissen. Ich glaube, das haben wir hier auch in einem Logbuch damals besprochen. Das war die Interessierte Bürger, war der Titel der Folge. Ich weiß nicht, welche Nummer. Wir verlinken die nochmal in den Shownotes. Und nachdem, auch das hatten wir hier im Logbuch besprochen, nachdem es dann in der Sachsenwahl, in der Sachsenwahl, glaube ich war das, wir haben andauernd Thüringen und Sachsen verwechselt. In der Sachsenwahl diese Probleme bei der Auswertung gab, hat Thorsten sich nochmal hingesetzt und gesagt, ich will mal irgendwie diese, mich würde ja jetzt mal interessieren, welche Software da zum Einsatz gekommen ist Und da haben wir uns einfach mal damit auseinandergesetzt, was eigentlich passiert ist, seitdem wir 2017 PC-Wahl kaputt gemacht haben. Wir haben 2017 ja noch gewitzelt, dass PC-Wahl aufgekauft worden war, kurz vorher und zwar von der Firma Vote IT. Und jetzt haben wir uns eben, das war 2017, jetzt 2024, also sieben Jahre später, eine komplett andere Software angeschaut, die auch gerade mal wieder von VoteIT gekauft worden war. Und VoteIT firmiert inzwischen unter dem Namen VoteGroup und möchte gerne Online-Wahlen als nächstes anbieten. Also ich glaube, es ist einem Unternehmen ja nicht übel zu nehmen, dass es versucht, den Markt zu dominieren oder dass es Konkurrenten aufkauft. Das machen Unternehmen. Also Unternehmen sind dazu da, um zu wachsen, um mehr Umsatz zu machen, mehr Gewinn und wenn sie das nicht tun, dann macht es die Konkurrenz und dann macht die Konkurrenz halt den Gewinn und den Umsatz und deswegen sind Unternehmen im Kapitalismus bestrebt zu wachsen. So auch das Unternehmen, dem wir unsere Wahlen anvertrauen, das kauft nämlich einfach regelmäßig schön seine Konkurrenten auf. Wenn du in diesem Bereich deine Konkurrenten kaufst, heißt das ja nicht, dass du deren Produkt kaufst, sondern du kaufst deren Kundenstamm. Also wenn es früher oder wenn es zum gegebenen Zeitpunkt mehrere Anbieter von Wahlsoftware gibt, kaufst du halt deine Konkurrenz, damit ihr ihre Verträge bedienst, diese Verträge noch und migrierst die dann auf deine zentrale Software. Das hat also hier VOTE IT getan, einmal mit PC-Wahl, jetzt auch mit dem Produkt ELECT des vorherigen Vorherstellers IVU und so baut sich da so langsam ein von einem Kartell, das wird jetzt halt langsam in ein Monopol überführt. Nach 2017, nach der Zerlegung von PC-Wahl, wo es wirklich haarsträubende Zustände gab, du brauchtest irgendwie Passwort für ein VPN, das war Nutzernahmetest und Passworttest, dann warst du in Hessen im Internet und dann konntest du auf einen FTP-Server zugreifen, wo die Wahlergebnisse hochgeladen wurden, dafür brauchtest du das Passwort Wahlen, FTP für den Nutzer FTP.

Also da haben sie sich aber richtig was einfallen lassen.

Ja, da haben sie sich richtig was einfallen lassen. Und dann lagen da auf diesem FTP-Server lagen dann halt so die ganzen Wahlergebnisse, also in jedem Ordner so. Und also Ordner für die Wahlkreise und so weiter lag dann immer so eine Datei, da war dann so eine CSV und da konntest du halt, wenn du jetzt an der Stelle warst, konntest du auf dem FTP-Server einfach rumändern, wie du wolltest. Und da hat sich dann der Landeswahlleiter seine Daten für die Schnellmeldung geholt. In dem, dann sagte aber Thorsten, also diese ganzen Sachen, die ich gerade erzählt habe, hatte Martin Schier sich damals gefunden, der gerade schon erwähnt wurde bei der elektronischen Patienten-Hakte und dann sagte Thorsten so, ja Moment mal, lass mal bitte gucken, da geht auch noch einiges. Ich will ja nicht nur Hessen hacken, ich will die Bundesrepublik hacken und hat dann halt noch Probleme in dem. Update, wie die Software-Updates signiert werden, gefunden, die es uns ermöglicht hatten, weil wir Schwachstellen auf dem Webserver hatten, dass wir Updates bereitstellen, die bösartig sind und dann hätten wir quasi die komplette Wahl übernehmen können, weil in den Wahlanweisungen durch die Landeswahlleiter immer drinsteht, bevor du die ganze Sache benutzt, machst du ein Update. Da gab es dann noch langes Hin und Her mit den fehlenden Signaturen bei den Updates. Das viel größere Problem oder das mindestens genauso große Problem waren aber die fehlenden Signaturen bei den Ergebnissen. Also auf dem FTP-Server liegt jetzt eine Datei. Unklar, wie die da hingekommen ist. Alle Wahlkreise benutzen das gleiche Passwort, um da Dateien hinzulegen. Ergo reicht ein. Kompromittierter Rechner in einem Wahlkreis, um Wahlergebnisse für alle zu ändern in dem Bundesland. Und du hast keine Möglichkeit zu unterscheiden, ob das eine berechtigte Meldung ist oder nicht, ein berechtigtes Wahlergebnis, weil es nicht signiert ist. Ja, und jetzt, wir haben ja gerade schon über die EPA gesprochen, wo es auch um Signaturen gibt, nämlich zum Beweis, dass eine Karte da ist. Und unsere zentrale Forderung oder unsere zentrale Empfehlung damals war, schreibt doch bitte einfach irgendeinen Standard, irgendeine Anforderung, völlig egal und sagt, die Wahlergebnisse, die da eingereicht werden, die müssen kryptografisch signiert werden. Dann hast du nämlich, egal wie Schrott deine Software danach ist, kannst du dann ein legitimes, eingereichtes Wahlergebnis von einem veränderten unterscheiden. Signaturen, du beweisst, du machst eine kryptografische Operation über einen Inhalt mit einem Schlüssel, der dich als du ausweist. Und das machst du mit asymmetrischer Kryptografie. Asymmetrische Kryptografie will ich jetzt nicht auch noch im Detail erklären, aber heißt, du kannst beweisen, dass du du bist, ohne dass du und derjenige, der dich authentifiziert, ein Geheimnis teilen. Ja, das heißt, derjenige, dem gegenüber du dich authentifizierst, kann auch danach, obwohl er die Gezufahrtszeit kennt, die du ihm signiert hast. Nicht dich selber fälschen. Das ist ein ganz, ganz entscheidender Punkt. Wir haben es gerade schon alles erklärt. Kryptografie, Erkenntnisse des letzten Jahrhunderts.

Stand der Technik des letzten Jahrhunderts, genau.

Stand der Technik des letzten Jahrhunderts, findet überall Anwendung. Wenn in eurem Browser oben ein grünes Schloss ist, dann liegt das daran, dass da jemand sich mit einem Zertifikat ausgewiesen hat, das eine CA signiert hat. Wenn irgendwann mal die EPA für alle abgesichert ist, dann liegt das daran, dass ihr mit der Karte signiert habt. Wenn du dich bei einem Mobilfunknetz mit deiner SIM-Karte anmeldest, liegt das daran, dass deine SIM-Karte etwas signiert hat. So, das hätte man mit den Wahlergebnissen machen sollen. Und wir hätten auch die Technologie dafür, habe ich auch schon erklärt. Man hätte das zum Beispiel auch mit einem Personalausweis signieren können. Dann sagst du eben hier, zack, Wahlergebnis wurde von dem berufenen Wahlstand, einem berufenen Wahlvorstand hier signiert. Gut, hätte, da muss man wirklich sagen hätte, weil die Technologie ist zwar auf jedem Personalausweis, aber es gibt keine Übermittlungen von, keine glaubhaften Übermittlungen davon, dass das schon mal jemand erfolgreich gemacht hätte, weil die Bundesregierung sich entschieden hat, Wir kippen weiß nicht wie viele Millionen in den elektronischen Personalausweis, um am Ende keine Infrastrukturen anzubieten, wo man ihn anwenden kann. Wer auch immer die Entscheidung getroffen hat, sei dahingestellt. So, jetzt stellen wir also bei der Analyse dieser Software fest, da gibt es Signaturen. Ja, da gibt es tatsächlich Signaturen. Allerdings heißen die nur so. Es sind nämlich keine, weil sie wieder auf eine völlig falsche und nicht mithilfe von asymmetrischer Kryptografie realisierte Weise angebracht werden. Und im schlechtesten Fall brauchst du für das Fälschen einer Signatur, musst du zwei Zahlen erraten. Zwei Zahlen. Das ist die niedrigste Stufe für das Shared Secret zwischen dir und dem Landeswahlleiter.

Lass mich raten. 23 und 42.

Nee, Entschuldigung, du hast recht, guter Punkt. Zwei Ziffern. Zwei Ziffern. Also eine zweistellige Zahl. Und noch dazu, die müssen dann eben eindeutig sein. Also eine wirklich haarsträubende Software. allein das Ding zu launchen und Thorsten hatte mit irgendwie, ich hab das ja gar nicht geglaubt, der meinte irgendwie so, ja das dauert mindestens 5 Minuten diese Software zu starten. Dann haben wir einen Timer genommen, das dauerte auf einem wirklich modernen Rechner, 9 Minuten 40 mit irgendwie 32 Gig RAM, 4 Kernen. Ja, weil die als allererstes kopieren die ein LibreOffice auf den Rechner dann, kopieren sie einen Chrome-Browser auf den Rechner und dann kopieren sie diese Web-App auf den Rechner und lassen die lokal laufen. Und dann geht dieser Chrome-Browser auf und guckt quasi auf Localhost auf die Webseite. Und das LibreOffice, weißt du, wofür die das LibreOffice brauchen? Also das LibreOffice allein da hin zu kopieren dauert drei, drei Minuten.

Wofür? Um so ein Word-Dokument aufzumachen?

Um am Ende, wenn du so ein schönes Formular haben willst, das haben sie umgesetzt mit LibreOffice Templates. Und diese LibreOffice Templates, die sind wiederum Base64 kodiert in den Konfigurationsdateien. Also es ist, weil du gerade sagst hier, wie man Software entwickelt, da kannst du dir mal echt Softwareentwicklung am Limit angucken. Das ist wirklich richtig am Limit. Also so an der Kante des Wasserfalls.

Statt der Technik des vorletzten Jahrhunderts.

Nee, das ist einfach nur Wahnsinn, was die da machen. Also komplette Murksoftware, so richtig, Also dieser ganze Code spricht so davon, dass irgendjemand mal, der konnte halt was und hat gesagt, dann mache ich das halt so. Und das ist ja für dein persönliches Liebhaberprojekt super, aber wenn du eine kritische Infrastruktur für die Bundesrepublik Deutschland baust, nämlich die Software, die die Wahl abbildet, das Heiligtum der Demokratie, da musst du halt nicht das machen, was du kannst, sondern das machen, was du sollst. Und irgendwie allein ein komplettes LibreOffice mitzuliefern, ich meine, das ist nicht falsch, das ist nur einfach nicht richtig. Das ist einfach absoluter Irrsinn. In der modernen, also vor allem natürlich, also ein einfacher Angriffsfall war, du nimmst diese Config-Datei und baust einfach ein anderes LibreOffice-Template. Dann nimmst halt einfach eins, wo die Wahlergebnisse, die Leute eintragen, am Ende irgendwo unten rechts, weißt du, also da wird ja dann nachher, das ist so ein LibreOffice-Template und da steht dann drin, was weiß ich, Wahlergebnis hast du nicht gesehen und nachher, nachher wird dann so ein Function-Call gemacht, dann wird dem LibreOffice gesagt, also dann geht der nachher drüber und manipuliert dieses Template an den entscheidenden Stellen und macht ein PDF, ja, und der Call ist auch wirklich so, wir concatenaten mal hier einen String zusammen, zusammen und dann spawnen wir einen Prozess über so Shell Execute so ungefähr. Also da bist du auch wirklich haarscharf kurz vor der Code Execution, weil da irgendwelche wilden Variablen concatenated werden, wo du auch denkst so, das kann man so, das haben wir so anders gelernt. Das haben wir so anders gelernt. Genau, so kommt dann am Ende dieser Zettel, den die Leute unterschreiben müssen, zustande. Und da kannst du an der Stelle natürlich einfach ein anderes Template reintun, Und alles, was dein Skript von diesen Hayopies dann nachher ersetzt, druckst du einfach in Weiß auf Weiß unten rechts in die Ecke und schreibst andere Ergebnisse hin. Das ist gar kein Problem. Oder schreibst halt... Schreibst halt in das Ding nochmal eine Logik, was die Zahlen verändert oder so. Ja, alles sehr, alles höchst, höchst elegante Software, die da gebaut wurde. Ich glaube, der Vortrag war auch ganz, ganz interessant oder ganz unterhaltsam. Vor allem aber bin ich da echt verärgert über das BSI. Das haben wir auch in dem Vortrag behandelt, weil nachdem wir 2017 dieses Ding zerlegt haben, kam dann irgendwann Jahre später, Jahre später, kam so eine Mail von irgendeinem BSI-Mitarbeiter. Ja, hier übrigens, wir haben jetzt mal Anforderungen formuliert. Wir wollten euch das mal zeigen. Nächste Woche veröffentlichen wir das. Das wäre super nett, mal euer Feedback zu bekommen.

Eine Woche vorher.

Dann habe ich eine Woche vorher, am 15. geschrieben, Ende des Monats oder so. Und dann haben wir auch gesagt, also herzlichen Dank. Wir haben jetzt irgendwie, seit mehreren Jahren sind wir an dem Thema dran. Wir haben uns mehrmals an alle gewendet. Wir haben sogar irgendwie Open-Source-Spenden an den Hersteller von dieser Schrotz-Software gemacht. Wir haben eine ganze Reihe von Empfehlungen in unseren Vorträgen. Stellen fest, dass noch nicht mal die umgesetzt sind. Und jetzt sollen wir irgendwie 86 Seiten in einer Woche lesen. Ein Dokument, wo dransteht final, ja? Wieso wird uns denn ein Dokument, wo dransteht final, mit der Bitte um Feedback geschickt, mit einer Woche Zeit? Also es ist ja einfach eine Unverschämtheit gewesen. Und was in diesem Dokument, aber was halt richtig krass ist, in diesem Dokument stand halt zum Beispiel drin so, ja, der Computer muss neu sein, was weiß ich, das Fenster muss zu sein, wenn du Kaffee trinkst oder so. Also so Prozedurschwachsinn, der die Menschen, die diese Wahl da abhalten, nämlich die Landeswahlleiter und die Kreiswahlvorstände und was da alles beschäftigt ist. Gängelt mit irgendwelchen Anforderungen. Das ist auch die Zielgruppe. Die Zielgruppe ist alle, die an der Auszählung und Auswertung einer Wahl beteiligt sind. Weißt du, wer nicht Zielgruppe ist? Die Hersteller der scheiß Software, die das Problem ist. Das ist nicht die Zielgruppe, an die wenden wir uns nicht. Da fragst du dich, was haben die eigentlich, also was machen die eigentlich beruflich? Wenn wir sagen, hier ist ein Problem in der Software und die sagen, ja okay, pass auf, der, der, der und der, der diese Software nutzt, dem schreiben wir jetzt ein 86-Seiten-Dokument. Statt zu sagen, lieber Hersteller der Software, hier ist die technische Richtlinie. Und da wurde dann auch, dann kamen dann wieder irgendwelche schlauen Leute und, die sagten, das BSI sei schließlich nicht zuständig für die Wahl. Ja, das ist korrekt, das BSI ist nicht zuständig für die Wahl, aber das BSI formuliert sogenannte technische Richtlinien für alles. Was weiß ich, 3D-Scan einer Kartoffel. Gibt es eine technische Richtlinie von BSI, wie das zu machen ist? Oder, weiß ich nicht, vielleicht, das war jetzt ein wild guess.

Ich dachte, das wäre jetzt ein Beispiel.

Nein, nein.

Fake News, Mann.

Schredder in einer Festplatte. Da gibt es, glaube ich, eine technische Richtlinie.

Das BSI ist dazu da, Standards zu formulieren und im Zeitpunkt halt auch an den Mann zu bringen und selbstverständlich.

Genau.

Und die sind, wenn die nicht in der Lage sind, den Softwareunternehmen, die wirklich für öffentliche Infrastruktur sorgen, beizubringen, wie man das so halbwegs zeitgemäß und sicher hinbekommt, dann brauchen wir auch das ganze BSI nicht.

Eben. Also vor allem nur kurz, um zu dem Argument zu kommen. Eine technische Richtlinie des BSI ist ein Blatt Papier. Das ist richtig. Das ist für niemanden verbindlich, kannst du keinen für verhaften. Ich habe jetzt gerade mal die Liste der technischen Richtlinien des BSI. Erste ist BSI-Technische Richtlinie 01201 D-Mail. Da hätte ich auch noch einen Vortrag zu verhalten.

Ja, der hätte ich es verlegt.

Da hätte ich auch noch einen zu verlinken. So, genau. Aber auch die technische Richtlinie D-Mail, nur um kurz die Rolle des BSI korrekt wiederzugeben, war für niemanden verbindlich. Kryptografische Verfahren, Empfehlungen und Schlüssellängen. Da muss, niemand kommt ins Gefängnis, weil er eine technische Richtlinie des BSI nicht umgesetzt hat. Aber, wenn du dann Software aus, Wenn du beispielsweise als Landeswahlleiterin ausschreibst, ich möchte eine Software zur Auswertung der Bundestagswahl haben, dann schreibst du in den Anforderungskatalog, diese Software muss BSI-technische Richtlinie, muss noch jemand schreiben, genügen. Dann ist das einfach Teil deiner Ausschreibung, Teil des Anforderungskatalogs und damit zwingend für jeden, der ein Angebot machen möchte. So funktioniert das. Die haben ja auch zum Beispiel, das war ja die technische Richtlinie, wo ich damals beteiligt war und irgendwann aufgehört habe mitzuarbeiten, die technische Richtlinie sichere Breitbandrouter. Da werden Anforderungen formuliert. Die Breitbandrouter zu erfüllen haben. Das war eine Konsequenz darauf, dass damals diese ganzen Telekom-Router ausgefallen sind. Auch das haben wir hier im Podcast behandelt. Und da wurde dann in Reaktion darauf vom BSI eine technische Richtlinie wie ein Breitbandrouter, also ein Fritzbox oder Tel, wie heißen die von der Telekom? Telebox oder sowas. So, und da werden dann Sicherheitsanforderungen formuliert, was der alles unterstützen muss, damit der sagen kann, ich bin in Übereinstimmung mit dieser Richtlinie. So, niemand, wie gesagt, du kannst immer noch einen Router herausgeben, der nicht dieser technischen Richtlinie entspricht, aber es gibt einen Anforderungsstandard, auf den sich jeder beziehen kann. Und das hätte das BSI genauso für Wahlsoftware machen können. Ja, dann hätte immer noch nicht, also es wäre, dann hätte immer noch eine weitere Instanz, nämlich Landes- und BundeswahlleiterInnen sagen müssen, hier, wir nehmen nur noch Software, die diesem Standard genügt. Aber das wäre, wenn die das vor sieben Jahren oder vor fünf Jahren gemacht hätten, dann hätten wir heute eine Software, die das machen muss. Aber stattdessen sitzen die Vögel von der Vote Group da und sagen, wir kopieren hier mal ein Libro-Office, wir machen hier mal so, wir machen hier irgendein Template und wir konkatenaten ein paar Strings und eine Signatur, da haben wir uns auch was Neues überlegt, was natürlich auch keinerlei Anforderungen oder Standards genügt. Da gibt es übrigens nur von der Bundesnetzagentur einen Standard. Was soll ich sagen? Wenn wir als Staat nicht sagen, wir hätten gerne eine EPA, die einfach mal dem Stand der Technik des letzten Jahrhunderts entspricht. Und für die Wahlsoftware noch nicht mal etwas vorschreiben, welchen Anforderungen die genügen muss. Da müssen wir uns doch auch nicht wundern, wenn da irgendwelche Geier sitzen, die uns irgendwelchen Scheiß verkaufen. Und ich finde das, es ist trotzdem eine schwere Verantwortungslosigkeit der Hersteller dieser Software, aber es ist ebenso eine Nachlässigkeit, Der Bundesregierung, des BSI, wem auch immer, denen keine Anforderungen zu präsentieren, die sie umsetzen müssen. Tut mir leid.

Also wenn man das im Nahrungsmittelbereich so handhaben würde, dann würden also wirklich täglich die Leute mit Magenverstimmung da niedersinken.

Du, Thorsten und ich hatten auch die ein oder andere Magenverstimmung in der Vorbereitung dieses Vortrags.

Das kann ich mir vorstellen. Und das ist so ein bisschen, glaube ich, auch das, was noch überhaupt nicht eingesickert ist, womit wir natürlich jetzt wieder so zum, Kernproblem kommen. Wir haben einfach in Deutschland gesamtkulturell da einfach ein Problem mit informatischen Systemen. Also es wird einfach von allen, also wir regen uns gerne irgendwie über irgendwas auf, aber es gibt noch keinerlei Bereitschaft, sich da wirklich mal ernsthaft drum zu kümmern und auch Anforderungen zu stellen, auch gegenüber der Regierung zu stellen, dass sowas natürlich mal ordentlich geführt, reguliert und weiterentwickelt gehört. Und jetzt ist für die nächste Wahl, weiß nicht, diesmal war es glaube ich die CDU, die irgendwie ein digitales Ministerium ins Feld geführt haben, dass man sowas ja mal bräuchte. Vielleicht kommt es ja auch irgendwann nochmal. Ich meine, ein Ministerium allein wird noch nichts besser machen, sondern wir müssen halt einfach zusehen, dass wir das Thema ernst nehmen. Und ich verliere da ehrlich gesagt langsam die Geduld, Aber das passt ja auch generell in meine Grundthese, dass das eh nie was werden wird.

Also für mich ist so Security, also ich meine, machen wir uns nichts vor, IT-Security ist wirklich schwierig, aber sie ist unmöglich, wenn du dich nicht an die vernünftigen Lösungen für ein Problem, weißt du, wo kommen überhaupt diese ganzen Leute her, die immer meinen, sie könnten nochmal was, wir machen das nicht so, wie es die Gelehrten und die Gelehrten haben sich das ja nicht im Elfenbeinturm ausgedacht. Die haben einfach nur gesehen, oder vielleicht haben sie sich sogar im Elfenventum ausgedacht, die haben einfach gesagt so, wie könnte man denn an einer Stelle dafür sorgen, dass das Problem zumindest kein technisches mehr ist. Das ist ja schwer genug, so eine Wahl sicher zu machen. Aber am Ende ist es für mich einfach so eine Hygienefrage. Und wenn du halt schlechte Hygiene hast, dann hast du halt nachher Security-Magen-Darm.

Ja.

Brechtdurchfall. Wie fandest du denn sonst, also genau, das waren jetzt so die, ich denke, die ersten drei Vorträge, die wir hier mal so vielleicht in dem Podcast behandeln, wir werden im Verlauf der Zeit noch viele weitere erwähnen und verlinken. Hier, Meredith war ja auch da, auch ein super Vortrag. MediaCCC.de ist euer Freund, da könnt ihr auch direkt auf den 38C3 klicken und den einfach durchbingen. Aber wie war denn sonst so dein Eindruck vom Vortrag? Vom Kongress?

Also man merkt mal wieder sofort, das war ein Kongress, der das zweite Mal unter mehr oder weniger denselben Bedingungen an einem Ort stattgefunden hat. Und die Fehler, oder Fehler ist ein großes Wort, sagen wir mal, es wurde dann alles weiter durchoptimiert und man hat Dinge, die vielleicht vorher noch übersehen wurden oder falsch bewertet wurden, dann auch eben schnell korrigiert. Also das bezieht sich jetzt auf die Nutzung des Gebäudes im Wesentlichen. Ich war jetzt natürlich organisatorisch überhaupt nicht beteiligt. Ich habe das nur so immer am Rande in Seitengesprächen für mich einsammeln können, aber ich habe so den Eindruck gewonnen, dass es insgesamt alles sehr smooth und harmonisch ablief im ganzen Aufbau und auch in der Durchführung der Veranstaltung. Es gab auch ausreichend Freiwillige, die überall eingegriffen haben und man merkt einfach, wie dieser Organismuskongress einfach jetzt auch diese lange Pausezeit erfolgreich hinter sich gebracht hat und wieder in so einem normalen Modus operandi ankommt. Und mit dem CCH glaube ich auch so den idealen Ort gefunden hat in Deutschland. Also das ist schon glaube ich die Location, mit der wir noch eine ganze Weile beschäftigt sein werden. Das war so erstmal meine Grundwahrnehmung. Ich habe dann selber mal für mich beschlossen, mal einen Kongress zu machen wie so ein normaler Teilnehmer. Also mich einfach mal mit meinen eigenen Projekten beschäftigen und ein bisschen rumlaufen und mal gucken, was die anderen so hacken und einfach mal so nicht alles mögliche zur Kenntnis nehmen. und ich kannte ja eigentlich auch viel. Einzige Ausnahme war, dass ich mich so als Chaos-Pate gemeldet habe. Das wollte ich schon immer mal machen und habe ich jetzt das erste Mal getan. Und das war es dann eigentlich auch schon an Besonderheiten für mich.

Wir haben ein Hörer-Rennentreffen gemacht. Das war sehr nett.

Ja, aber das war auch nicht das erste Mal, dass wir das gemacht haben. Aber ja, haben wir gemacht, war gut, auf jeden Fall. Sehr schön, vielen Dank an alle, die da gekommen sind. Ja, aber das war so meine Perspektive, finde ich auch ganz gut. Ich war natürlich dann im Sendezentrum, was ich ein bisschen mit vorab geplant, schon fast zu groß gesagt, aber das haben wir da so kollektiv gemacht, hatten dann auch unseren eigenen kleinen Saal jetzt nach vorne geholt, wo wir dann so podcastbezogene Workshops und Live-Podcasts machen konnten. Ja, und das lief eigentlich alles ganz gut. Es war mir erstaunlich, wie gut der Kongress auch diese ganzen Assemblies, diese ganzen Niederlassungen, die ganzen Projektorte mittlerweile auch schon mitplant. Also man meldet sich da an, man macht sozusagen klar, welchen Bedarf man hat und dass man den auch berechtigterweise hat, kriegt das dann eben entsprechend zugesprochen und dann kommt man irgendwie vor Ort an und dann stehen schon die Tische da und alles ist irgendwie... Irgendwie verkabelt und irgendwie alle Technik, alle Möbel sind da. Es gibt ja seit einiger Zeit dieses C3 Möbelhaus, wieder so eine Projektgruppe, die sich gegründet hat, die sozusagen sich ausschließlich um die Möblierung des Kongresses kümmert und damit der eigentlichen Assembly Orga, die ja sagen wir mal generell erstmal so die Zuteilung, macht und diese ganze Kommunikation führt, dann entsprechend entlastet hat. Es ist immer schön zu sehen, wie sich so neue Funktionsgruppen aus sich heraus so bilden, weil sie merken so, oh hier gibt es eine Überlastung oder hier ist irgendwas etwas unterorganisiert oder hier könnte man was schöner oder besser machen und dann ist das immer so die Gelegenheit für bestimmte Leute, sich da ein eigenes Profil zu schaffen, sich seinen eigenen Aufgabenbereich zu schaffen innerhalb dieses Kongresses und damit zum Gesamtgelingen beizutragen. Auch ganz schön finde ich diesen Trend, um weiterhin die ganzen softwarebasierten Systeme, die den Kongress tragen, weiterzuentwickeln. Dieses Hub-Projekt gibt es ja schon ein bisschen länger. Ich hatte das jetzt bisher nie so im Detail verfolgt, aber man kann sich ja auch als Assembly, also als Projektgruppe, Also da dann innerhalb dieses Systems so seine eigene Präsenz schaffen, seine eigenen Aktivitäten, Workshops anbieten. Einen Plan veröffentlichen, wann man was macht oder was man generell überhaupt zu bieten hat. Also es werden in zunehmendem Maße so Tools gebaut, die alles das unterstützen, was man dort eben gerne machen möchte. Nämlich mit Leuten in Kontakt kommen, die ähnliche Interessen haben und mit denen in irgendeiner Form zu kommunizieren und sich dann natürlich vor Ort zusammenzuschließen. Und das finde ich super. Ich denke, der langfristige Traum hier ist halt einfach, dass das Ganze zu so einer Art Event-OS anwächst. Da gehören ja auch noch viele andere Komponenten dazu, die so über Jahre dazugewachsen sind. So Pre-Tix, das Ticketsystem, das kommt irgendwie aus diesem Kongressbedarf heraus. Pre-Talks, das Planungssystem ist jetzt die dritte Generation von Konferenzplanungssoftware, die im Rahmen der Kongressarbeit jetzt in den letzten 20 Jahren entstanden ist. Und alles ist miteinander vernetzt, die Videoaufzeichnungen und Audio-Streaming-Geschichten, das greift in diese Pläne ein und alles ist irgendwie mit allem vernetzt und es ist eine Softwareentwicklung, ohne dass da große Millionen reinfließen und die auch gewissen Sicherheitsanforderungen entspricht. Und wenn das gut funktioniert innerhalb kürzester Zeit. Ein Wunder, ja? Also wie ist sowas überhaupt möglich, ohne dass man da so viel Geld drin versenkt? Und dann funktioniert das auch noch.

Ja, wer hätte das, sagen können?

Ja.

Ja, ich war, beschäftigt mit Vorträgen. Genau, mehrere Vorträge. Achso, ja, wir hatten noch mit dem, mit Kantorke zusammen noch den kleinen Vortrag über Disclosure gehalten, also quasi über das Mitteilen von Sicherheitslücken, den können wir auch nochmal kurz verlinken, war wie immer ein unterhaltsamer, abwechslungsreicher Kongress. Dieses Jahr hat mich nochmal insbesondere vielleicht inhaltlicher Schwerpunkt gefreut, den das Polsock-Team erkennbar gesetzt hat. Also Polsock ist ja der Track Politics, Ethics und Society-Team. Und zwar Julian Hessenthaler war da, hat quasi über die fünf Jahre zwischen dem Ibiza-Skandal und FPÖ ist stärkste Partei in der Wahl beleuchtet hat. Und Jean Peters von Korrektiv hat den Eröffnungsvortrag gehalten, direkt nach dem Opening. Die Korrektiv-Recherche ist ja jetzt gerade genau ein Jahr alt. Also quasi die Veröffentlichung, wann war das, 10. Januar oder so, also ungefähr ein Jahr, hat da nochmal von neuen Treffen zwischen AfD-Vertreterinnen und Angehörigen von in Deutschland als verfassungswidrig verbotenen Organisationen gezeigt. Ja, die treffen sich mit irgendwelchen, ja, also quasi, wie könnte man sagen, so gesichert rechtsextremen, dass man sie sogar verbietet. Und was mich auch sehr gefreut hat, sehr, das war mir die größte Freude eigentlich, der Adenauer SRP Plus, der stand ja unten in der Assemblyhalle. Der Adenauer SRP Plus ist der neue Demo-Superbus des Zentrums für politische Schönheit, mit dem sie am heutigen 11. Januar den AfD-Parteitag in Riesa begleiten. Ein großer, umgebauter Justiz-Gefangenenbus mit allerlei Extras, den sich anzuschauen lohnt sich sehr. Mit dem werden sie jetzt den Bundestagswahlkampf der AfD begleiten. Das war schon sehr schön, diese engagierten, kreativen Leute auf der Veranstaltung zu haben. Das hat mich schon sehr, sehr gefreut. Kann ich nicht anders sagen. Das war mir eine große Freude.

Ja, also wir sind zufrieden mit dem Kongress, kann man sagen.

Ja, natürlich sind wir zufrieden mit dem Kongress. Also es wäre jetzt ja noch schlimmer. Ja, war eine schöne Veranstaltung. Ich glaube, du hast aber auch in der Freakshow schon sehr viel über die so den generellen Vibe der Veranstaltung auch gesprochen, oder brauchen wir jetzt hier, können wir darauf verweisen, oder?

Klar können wir darauf verweisen, ist ja schon veröffentlicht.

Ist schon veröffentlicht.

Ist schon veröffentlicht, wie ein Wunder.

Okay, dann können wir ja mal, kommen wir nun zu den Neuigkeiten. In einer wirklich völlig wirren, in einem völlig wirren Realitätsabzweig, wo ich gerade irgendwie mit dem Schuh fest klemme, ist Trump irgendwie straffrei, also verurteilt, aber straffrei für das Schweigegeld, dass er da irgendwie an Stormy Daniels gezahlt hat. Elon Musk hat als Dankeschön für seine AfD-Empfehlung einen Gastbeitrag in der Tageszeitung Die Welt bekommen. Und die ganzen Tech-CEOs haben jeweils eine Million gespendet für die Inauguration von Donald Trump. Darunter übrigens auch Tim Apple. Und wer noch? Tim Apple hat das privat gespendet. Ich glaube, Sam Altman war das Privatspende?

Das weiß ich nicht.

Sam Altman, Zuckerberg, Musk hat ja eh eine Viertel Milliarde oder was gespendet. Ja. Dann hat, nachdem Musk seinen Gastbeitrag in der Welt hatte, in dem er erklären konnte, warum nur die AfD Deutschland retten könne in seiner Vorstellung, hat er noch ein X-Space mit Alice Weidel gemacht, woraufhin die komplette deutsche Medienlandschaft das irgendwie auf der Startseite in Knall groß hatte, was natürlich auch äußerst gelungen ist. Und außerdem hat dann am Ende noch Mark Zuckerberg gesagt, er will jetzt Facebook nach dem Vorbild von X umbauen. Ich glaube aber, das liegt wie gesagt daran, dass ich hier gerade mit dem Schuh irgendwie auf einem schlechten Asset-Trip klemmen geblieben bin, weil das kann doch irgendwie nicht sein.

Naja, also ich meine, es wird halt jetzt einfach, es werden jetzt die Gaben vor den Füßen des neuen Herrschers abgelegt, damit sie mit dessen Milde rechnen können. Denn alle anderen werden ja dann abgewatscht. Man will ja nicht abgewatscht werden, wenn man mit im Business bleiben will. Und da stören dann halt so bestimmte Sachen wie so, naja, fairer Umgang mit Wahrheit und sowas, das ist ja dann auch sehr anstrengend. Du kennst das.

Also, ich finde, also ich denke, diesen Schritt von Mark Zuckerberg sollten wir schon nochmal genauer beleuchten. Hast du das Video gesehen von seiner Ankündigung da?

Nein, ich schaue mir das nicht an.

Hast du nicht geschaut? Also er hat...

Ich interessiere mich ja auch ehrlich gesagt nicht für Facebook. Ich fand das schon immer inakzeptabel. Im Prinzip hat er ja verkündet, dass sie jetzt so diese ganze Fact-Checking-Geschichte sein lassen und jetzt gilt halt hier irgendwie Free Speech. Ja, Mit Community Notes, so wie X das macht. Was ja vielleicht auch in gewisser Hinsicht nicht so eine schlechte Idee ist, aber dann auch natürlich sehr davon abhängt, wie es umgesetzt wird, genauso wie Fact-Checking halt auch. Aber diese ganze Diskussion in den USA lässt sich halt gar nicht mehr einfangen, so in Bezug von, es gibt dann so eine Firma, die entscheidet, was erscheint oder was nicht erscheint. Was ja auch durchaus diskutabel ist. Und dieses, ja man lässt es vielleicht stehen, aber man annotiert es eben mit anderen Darstellungen, kann man auch machen. Ich weiß nicht, ob das jetzt der große Umsturz schon ist, aber es ist auf jeden Fall da ein kultureller Wandel zu sehen jetzt im Rahmen des Wechsels der Präsidentschaft.

Ja, also ich meine, Sascha Lobo war in meiner Wahrnehmung der einzige reichweitenstarke, der so gesagt hat, naja, Meinungsfreiheit wäre ja schon irgendwie ganz wichtig und wenn man jetzt massenhaft Beiträge verschwinden lässt, dann sind wir ja eigentlich schon auch der Ansicht, dass das nicht gut ist. und, da gibt es das, also er sagt quasi es ist ja jetzt nicht so als hätten bis einen Tag vor Mark Zuckerbergs Ankündigung alle gesagt mit der Inhaltekontrolle bei Facebook, da ist schon alles in Ordnung, läuft, ja na und, gleichzeitig wird er ja mit dieser Ankündigung die kann sich ja eigentlich erstmal nur auf die USA beziehen, weil der wird ja mit der, also wird er zumindest in der EU wird er damit nicht so weit kommen, wenn er jetzt sagt, passt auf wir machen jetzt mal anders hier also da gibt es ja einfach bestimmte, bestimmte Regeln, die er nicht die er jetzt nicht einfach ignorieren kann.

Also kann er schon aber es dauert dann nochmal 10 Jahre bevor er dann dafür nicht bestraft wird Ja.

Stimmt Was ich interessant finde ist weißt du, wenn der Musk Twitter kauft und sagt, okay, es ist jetzt meins und jetzt mache ich das scheiße. Und zwar so scheiße, wie ich will. Dann verbrennt er ja nur sein eigenes Geld. Mal gucken, ob das überhaupt langfristig so ist, weil jetzt ist er ja zumindest mal Government-Starling. Das dürfte zumindest für die nächsten vier Jahre, auch die, Konsequenzen dafür haben, ob Unternehmen jetzt noch auf X werben oder nicht. Mark Zuckerberg ist aber CEO eines börsendotierten Unternehmens, dass entsprechend, wenn der den Laden jetzt da in die Gülle rauschen lässt, dann vernichtet der eine ganze Menge Kapital von Leuten, die vielleicht nicht möchten.

Was heißt in die Gülle rauschen? Ich meine, bewegt ihr sich nicht sowieso schon die ganze Zeit in der Gülle? Also das ist doch eigentlich das Geschäftsmodell an der Stelle. Also ganz ehrlich, ich habe da relativ wenig Hoffnung, dass sich das in irgendeiner Form nennenswert auf die Operations auswirken wird. Ganz im Gegenteil, das wird dann eher das Businessmodell noch stärken, weil wir wissen ja alles, wie das ist mit dieser ganzen Aufregung, die in diesen sozialen Netzen immer stattfindet. Das ist am Ende für Unternehmen, die auf Daten- und Kommunikationsverhaltensauswertung basieren, positiv. Und wenn dann halt irgendwie der Umsatz stimmt, dann ist das der Börse eigentlich auch ziemlich egal, da geht es eigentlich nur um Geld. Also von daher reiben sich da glaube ich alle die Hände, zumal man eben nicht davon ausgehen kann, dass diese Unternehmen jetzt in irgendeiner Form weiteren Beschränkungen noch unterliegen werden müssen. Sondern es ist eher davon auszugehen, dass Trump halt jetzt dafür sorgen wird, dass was auch immer an störenden Beschränkungen derzeit noch existiert, entweder fällt oder sogar noch weiter ins Absurde getrieben wird und dass das eben jetzt auch alles stattfinden darf. Das haben sie dann sozusagen jetzt mit ihren großzügigen Spenden dann auch nochmal losgetreten. Andererseits muss man auch sagen. Es ist ja jetzt nicht so, dass jetzt den Leuten nicht klar wäre, was jetzt kommt. Also der Unterschied zu dieser letzten Trump-Präsidentschaft ist, dass alle nicht wussten, was da auf sie zukommt. Und einschließlich Trump, der wirklich nur Dilettanten eigentlich am Start hatte und auch ja selber überhaupt nicht damit gerechnet hat, Präsident zu werden. Das ist natürlich jetzt ganz anders. Das heißt, alle wissen jetzt in etwa, was jetzt kommt. Das heißt, es wird jetzt keinerlei nennenswerte Auflagen geben für Unternehmen, die Leute bescheißen, die die Umwelt versauen etc. Und so wird es halt jetzt sein. Und da spielt man dann halt einfach mal mit. Und alle müssen sich eben jetzt auch fragen, was sie angesichts dieser Realität tun. Und da finde ich das in gewisser Hinsicht fast schon konsequent, dass sogar Tim Cook da noch eine Million rauslegt.

On top wirft.

Ja, privat sozusagen, weil er weiß, es wird einfach jeder bestraft werden, der da jetzt nicht mitspielt. Da kannst du deine Ethik schön auch noch aus dem Regal nochmal holen und nochmal abstauben, aber das findet jetzt halt einfach so statt. Wenn er dann die Kohle aus seiner Privatschatulle holt und nicht Apple selber bezahlen lässt, dann... Nimmt er sozusagen eins fürs Team, mal salopp formuliert. Ich weiß jetzt nicht, wie viele andere jetzt noch privat da gespendet haben oder ihre Unternehmen haben bluten lassen. Ich denke, die betroffenen Personen haben diese Millionen alle locker im Regal liegen. Und ja, darauf stellen sich halt jetzt alle ein. Das wird jetzt einfach so eine Proligarchie, wo es eigentlich nur noch um Geld geht und niemand hat, glaube ich, irgendwelche Erwartungen noch.

Ja, korrekt.

Das ist die Realität jetzt.

Ja, jetzt müssen wir uns vielleicht trotzdem darüber Gedanken machen. Ich meine, du hast schon recht, es ist auch ziemlich neu, dass wir vor Facebook und derartigen Unternehmen waren. Denn was der Zuckerberg zum Beispiel auch sagt, ist, dass er das Team für Inhaltemoderation jetzt nicht mehr in Kalifornien macht, sondern in Texas. Und das finde ich halt das finde ich ja schon sehr witzig also das ist halt eine. Und sagt halt in Texas glaubt er einfach dass da die politische Färbung des, Zensurteams nicht so extrem sein wird ja ich meine und das ist halt schon, also muss man überlegen das ist ja sowieso einfach mal sehr witzig Weil wenn du als CEO sagst, dass die Qualität deines Inhaltemoderationsteams davon abhängt, ob die in Kalifornien oder Texas sitzen, dann heißt das ja, dass du deinen Laden nicht im Griff hast. Das ist ja katastrophal. Muss man überlegen. Es ist ja jetzt nicht so, dass es Texas Bodenschätze gibt oder so, die du dafür brauchst. Es ist ja naheliegend, ein Inhalte-Moderationsteam da zu machen, wo sie am billigsten sind. Macht Facebook ja auch. Größtenteils irgendwo auf den Philippinen. Irgendwelche Billig-Worker, die sich den ganzen Terror angucken müssen und die ganzen wirklichen, also illegalen und wirklich verletzten, also komplett kranken Schmutz den Leute bei Facebook hochladen. Aber stell dir mal vor, jemand in es gibt ja jetzt kein ein deutsches Netzwerk. Irgendeiner würde sagen, wir machen das mal, pass auf, wir machen das jetzt nicht mehr in Berlin, sondern in München. Weil wir glauben, dass die Leute in München dieser Aufgabe besser gewachsen sind. Überleg mal, was das für eine Aufsage ist. Über den gesamten Bundesstaat und über wirklich über die Qualität, wie du dein Unternehmen führst. Ich möchte mir doch hoffentlich verbitten, dass das Inhalte-Moderationsteam bei Facebook in irgendeiner Form, persönlichen Einfluss auf die Entscheidung nehmen kann oder die Qualität davon abhängt, ob ich gerade von einem Texaner oder von einer Kalifornierin beurteilt werde.

Also ich bin mir jetzt nicht so sicher, ob wir machen, dass jetzt in Texas eine große Auswirkung auf die Personenzusammensetzung hat. Also sicherlich auch, aber ich kann mir auch vorstellen, dass da eine gewisse Kontinuität ist und dass die Leute dann einfach umziehen und dann halt irgendwie, was weiß ich, in Houston wohnen.

Also Inhalt-Moderation bei Facebook ist glaube ich kein Job, für den du umziehst.

I don't know. Ich glaube aber, dass das jetzt nicht die Motivation, also ich meine, Voke-Leute hast du auch in Texas. Wie du dir dein Team zusammenstellst, ist vollkommen unabhängig davon, wo du das ansiedelst. Womit es meiner Auffassung nach wahrscheinlich mehr was zu tun hat, ist die lokale Rechtsprechung und inwiefern du da in Konflikt gerätst mit irgendwelchen Regularien oder Haftungsgründen. Und ich meine, das hast du dann auch in Deutschland. Ich meine, man muss ja immer nur anschauen, wenn eine Urheberrechtsklage kommt von irgendeinem Verlag und so weiter, wo findet die dann statt? Na, in Hamburg. Und warum? Weil man halt weiß, wie die Gerichte da entscheiden. Und das ist ja in den USA generell ein sehr beliebter Sport. Da gibt es ja sozusagen für jeden Fallbereich gibt es dann auch den passenden Staat. So Delaware sind diese ganzen Verhandlungen von großen Unternehmen, so Lizenzabkommen und all dieser ganze Kram findet halt da statt etc. Und ich schätze mal in Texas ist man dann sehr beruhigt, was mögliche Klagen, Vorwürfe gegen so ein Team und so weiter angeht. Aber das ist ehrlich gesagt jetzt auch reine Spekulation meinerseits.

Also, im Zweifelsfall ist es irgendeine symbolische Geste gegenüber Trump und Elon Musk. Elon Musk ist ja auf jeden Fall so ein Texas-Fan.

Der ist ja mit seinem Tesla-Sitz da auch hingezogen, auch aus wenigen Gründen wahrscheinlich.

Aber es ist schon schockierend. Kannst nicht anders sagen.

Also schockt dich das noch? Also mich schockt ja das irgendwie alles überhaupt nicht mehr.

Na das hilft, also wir machen ja immer noch einen Podcast, in dem wir das irgendwie behandeln. Und dass das keine positive Entwicklung ist, werden wir hier schon anbringen.

Das würde man ja nochmal sagen dürfen. Ja, das darf man natürlich sagen. Aber wenn du sagst, dich schockiert das oder gut, es ist schockiert, ja. Ich denke, wir müssen uns da keine Illusionen machen. Das werden jetzt schwere Jahre werden. Also die USA wird natürlich der Hauptverwundete sein in diesem Fall, definitiv. Also ich denke nicht, dass es in puncto Bürgerrechte, Demokratie etc. Nennenswerte Fortschritte geben wird. Es wird natürlich Gegenbewegungen geben und es wird auch immer noch hier und da die Möglichkeit geben, dem Ganzen was entgegenzusetzen, aber in Anbetracht der Tatsache, dass die Republikaner jetzt halt den kompletten Kongress, den Senat und das Haus unter Kontrolle haben und den Supreme Court und Trump natürlich die nächsten Jahre auch weiterhin die Gerichtsbarkeit der USA mit seinen Getreuen durchsetzen wird. So wie es das mittlerweile auch mit der republikanischen Partei getan hat. Das ist also schon eher so ein putinesker Ausbau der Machtbasis. Und man kann halt nur hoffen, dass dem Ganzen in irgendeiner Form durch irgendeine Person, die wir heute noch nicht kennen, in fünf Jahren da ein Riegel vorgeschoben wird. Wenn es denn dann noch möglich ist, das wieder in irgendeiner Form in den Griff zu bekommen und es eine entsprechende Gegenbewegung geben wird. Aber bis dahin wird es schwierig, auch auf internationaler Ebene. Man kann jetzt eigentlich nur hoffen, dass man…. Politik international mit ihm noch in irgendeiner Form auf die Kette kriegt, auch wenn es wahrscheinlich im Wesentlichen bedeutet, dass man quasi alle politischen Botschaften jetzt anders formulieren muss. Du musst halt immer sagen, das was wir hier wollen ist gut, weil dann steht Trump gut da. Nur genau dann wird er es machen. Nur so kannst du jetzt irgendwie die Ukraine retten. Man muss nur dafür sorgen, dass Trump das Gefühl hat, dass wenn er sich Putin unterwirft, dass das für ihn schlecht ist. Und deswegen gehen da auch die ganzen Argumentationen jetzt schon anders. Vorher wurde jetzt immer über Freiheit und Verantwortung und so weiter gesprochen und deswegen müsste man ja der Ukraine helfen und Menschenrechte und so. Spielt natürlich heute jetzt überhaupt gar keine Rolle mehr. Jetzt geht die ganze Diskussion in puncto zu. Da sind ja große Bodenschätze in der Ukraine. Wäre ja schade, wenn die nicht von der USA genutzt werden könnten in der Zukunft. Da geht ja so viel Geld verloren. So muss man jetzt argumentieren, um da noch was mitzubekommen. Genauso sehen wir das jetzt bei der Diskussion um die NATO und ähnlich werden wir dann wahrscheinlich auch im netzpolitischen Bereich argumentieren müssen, weil alles andere, glaube ich, ist schwierig. Also ich bin da mal wirklich ausnahmsweise mal sehr pessimistisch, was das betrifft.

Klar, also da kommt eine ganze Reihe absurder Kram, Grönland. Wer wird jetzt noch alles gekauft? Grönland.

Panama.

Panama. Panama Kanal will er haben.

Ja, im Zweifelsfall jetzt Panama. Man könnte halt auch mal schauen, ob wir nicht irgendwie Thüringen noch abtreten können.

Thüringen könnten wir abtreten. Und Sachsen. Sachsen, Thüringen. Haben die Bodenschätze?

Würste.

Man könnte da, die brauchen das, um das neue, Inhalte-Kontrollteam von Facebook zu machen.

Da könnte es nach Thüringen gehen, ja.

Man sollte aber glaube ich nicht, also die, also ich glaube, Ich hoffe, dass die Inhaltekontrolle für Meta und auch das, was Meta darf und nicht darf, weiterhin in Deutschland für Deutschland und grundsätzlich in Europa für Europa geklärt wird. Und die Macht der sozialen Medienkonzerne sollte aber tatsächlich noch einmal sehr genau berücksichtigt werden. Ich meine, wir hatten darüber gesprochen, in Rumänien wurde jetzt eine Wahl wegen feindlicher Einflussnahme durch Social Media Kampagnen in Zweifel gezogen. Die Macht, die Elon Musk hat, dadurch, dass er Aufmerksamkeit kontrollieren kann, kontrolliert lenken kann, ist problematisch. Und ich kann übrigens auch sehr gut verstehen, dass viele Leute bei der Welt einfach kündigen, wenn jemand, der sich für ein paar Milliarden ein soziales Netzwerk kauft, bei denen noch irgendwie einen Artikel auf der Meinungsseite on top kriegt. Das kann ich sehr verstehen, dass das dann selbst beim Springer Verlag bei einigen das Verständnis für Journalismus irgendwo an die Grenzen bringt. Das kommt ja selten vor. Normalerweise fliegst du bei Springer, weil du dich den Frauen gegenüber nicht vernünftig verhalten kannst und es jemand außerhalb von Springer bemängelt hat. Dann fliegst du bei Springer, wenn du unhaltbar geworden bist mit deiner Scheiße. Aber doch, dass du freiwillig da gehst, aus moralischen Erwägungen oder ethischen Erwägungen, das kommt selten vor, wenn du einmal in die Grube hinabgestiegen bist. Aber es passiert und man wird noch Pferde kotzen sehen, direkt vom Springerhochhaus. Aber es ist schon wirklich absurd, dass die halt sagen, dass die denken, dass der Typ, der sowieso die Weltaufmerksamkeit zu großen Teilen kontrolliert, dass man dem irgendwie noch ein Forum bieten müsse, das ist halt wirklich ein bisschen schwach. Gleichzeitig sterben unsere Medien, also die sogenannten traditionellen Medien, langsam vor sich hin, weil die Menschen ihre Aufmerksamkeit diesen sozialen Medien mit ihren süchtig machenden Algorithmen und Geschäftspraktiken schenken. Und das ist eigentlich ein Problem, weißt du, irgendwie so ein US-Wahlergebnis oder so, das sind eigentlich, glaube ich, am Ende nur Symptome. Einer Ursache, die eben darin besteht, dass diese gesamte Internetnummer gerade eine echt schlechte Kurve nimmt. Das war schon die ganze Zeit keine gute, aber die sozialen Medien haben, die sogenannten sozialen Medien, da kann man wieder Andi Müller-Magun zitieren, das sind doch asoziale Medien. Wie kommt man denn auf die Idee, wo kommt eigentlich dieser Begriff soziale Medien her? Dass die, damit einhergeht, die Macht und diese Kontrolle und die gesellschaftlichen Veränderungen, die ja erklärtermaßen auch mit deren Hilfe umgesetzt werden und aufrechterhalten werden, da wird man sich mal Gedanken drüber machen müssen. Und ich glaube, Ja. Ich glaube, da wird irgendeine Form von Kontrolle, von Kurskorrektur notwendig werden, wie man als Gesellschaft mit diesen Dingern umgeht.

Auf jeden Fall ist der Traum von alles muss immer überall frei und unzensuriert sein, nicht zu halten. Also das zeigt sich leider, dass das quasi so als pure Vision allein so nicht umsetzbar ist. Sondern man muss da einen Zwischenweg finden.

Also richtig, aber das ist ja nicht das, also wenn du das jetzt machst, ist ja trotzdem nicht die Macht der sozialen Medien gebrochen. Die Macht der sozialen Medien besteht ja darin, was dir gezeigt wird und was nicht. Von dem, was andere da reingießen. Übrigens ja auch der Grund, warum da dieser Twitter-Space mit Alice Weidel potenziell als illegale Wahlkampfspende interpretiert werden kann. Weil, und die Argumentation, die wir daran führen, ist ja, weil du dir eine derartige Reichweite bei Twitter kaufen musst. Das Geschäftsmodell des Unternehmens ist, dass du Reichweite kaufen musst und nicht, dass du die einfach bekommst, weil der CEO, der den Laden kontrolliert, dir ein Interview gibt und das auf seiner Plattform einfach ausspielt. Wenn ich sage, ich möchte das gerne machen, muss ich dafür sehr viel Geld bezahlen.

Und hast du Hoffnung, dass das auch passieren wird? Dass das verfolgt wird?

Ich muss noch ein bisschen sparen.

Für deinen eigenen Twitter-Space?

Für meinen eigenen Twitter-Space mit Elon Musk.

Ach ja. Haben Sie sich da eigentlich auf Deutsch oder auf Englisch unterhalten?

Auf sehr schlechtem Englisch habe ich gelesen. Ich konnte mir jetzt überlegen, ich hatte ja die Wahl zwischen, ich gucke mir den Scheiß live an oder die Primärquelle oder ich bestätige all die Medien, die darüber berichten, indem ich ihnen einen Klick gebe, damit die Geld verdienen dafür, dass sie darüber berichtet haben. Also habe ich mir bei der Tagesschau kurz angeschaut, weil die verdienen nicht an Klicks. Und der Thomas Fischer hatte auch noch den einen oder anderen Hinweis über die zweifelhafte, nicht nur die sehr unsinnigen Inhalte, aber auch die zweifelhafte englische Aussprache von Frau Weidel.

Ja gut, also ich meine, sie tritt ja nicht als US-Präsidentin an, ist ja zu gutem Englisch nicht verpflichtet, aber naja.

Ja, das ist wie gesagt, also der ARD-Faktencheck hat sich dann noch irgendwie mit den nicht korrekten Behauptungen in dem Kontext auseinandergesetzt und es war ansonsten wohl ein Gespräch, das keine besondere Tiefe hatte. Ja, der Inhalt ist ja auch egal.

Das Ereignis als solches und dass darüber berichtet wird von allen Seiten und alle drauf linken und alle sich darüber empören und so. Diese ganze Empörerei, das hat irgendwie Trump schon in die erste Präsidentschaft gebracht und genauso auch wieder in die zweite. Und wenn wir damit nicht aufhören und die ganze Zeit dieses Empörspiel der Rechten mitzuspielen, dann werden die auch nicht weggehen. Das ist einfach wichtig, dass wir das ignorieren. Deswegen ignorieren wir jetzt auch Alice Weidel und ihren scheiß Twitter-Space. Mir scheißegal, was sie da macht in ihrer Freizeit, interessiert mich nicht.

Okay. Gut, so machen wir das. Kommen wir zu den kürzeren Themen. Wir haben so drei kleinere Sachen aus dem Bereich der sicheren Kommunikation. Es gibt... Auch das haben wir hier behandelt. Ein wirklich übrigens krasser Fall, über den Joseph Cox ein super Buch geschrieben hat. Dark Wire, the incredible true story of the largest Sting-Operation ever. Und zwar gab es ja mehrere Fälle, wo quasi internationale Polizeibehörden in ihrer Zusammenarbeit so Kryptokommunikationssysteme unterwandert haben, die sich spezifisch an Kriminelle gewendet haben. Zum Beispiel EncroChat. Infolgedessen haben die aber, weil die ja dann auch immer einen großen Marktteilnehmer vom Markt genommen haben, haben sie dann auch mal einfach selber einen gebaut. Und das war Anom, also Enem. Also, so. Und dieses Enem war, also das Geschäftsmodell war, die haben Handys verkauft mit einer versteckten App drauf. Also quasi, du kriegst es für 2000 US-Dollar pro, für ein halbes Jahr, kriegst du so ein Handy mit einem gehärteten Android drauf und einer versteckten Krypto-Messenger-App. Die war dann irgendwie hinterher ein Taschenrechner. Du musst Taschenrechner aufmachen, irgendeinen Code eingeben und dann kam diese Anim-App. Das wurde gezielt eigentlich quasi ausschließlich von Kriminellen an Kriminelle verkauft. Und das FBI hat dieses Ding halt betrieben, bis da irgendwie ein paar Zehntausend drauf waren. Und die haben halt fleißig diese ganzen Nachrichten gelesen und dann mal hier so 50 Tonnen Koks beschlagnahmt, Hirnmord verhindert und so weiter und so fort und irgendwann halt massenhaft zugeschlagen und das Ding zugemacht. Und das Buch von Joseph Cox kann ich sehr empfehlen. Da haben wir euch auch einen Link in die Shownotes gemacht. Gibt es auch als Hörbuch, ich habe das Hörbuch gehört, eine wirklich irre Geschichte. Was da für Kriminelle, wie die unterwandert wurden und so weiter. Alles total stark. Und das ganze Ding war natürlich relativ, ja, wie soll man das sagen, rechtliches Neuland. Ja, wenn da jetzt das FBI so unter falschen Versprechungen so einen abhörbaren Kryptomessenger vertreibt und was ist denn jetzt mit den Dingen, sind die als Beweismittel zugelassen oder nicht. Und in Deutschland hat jetzt der Bundesgerichtshof entschieden, dass deutsche Behörden diese Daten verwenden können. Und das dürfte für einige Kriminelle eine relativ schlechte Nachricht sein.

Ja, interessant.

Also wirklich eine irre Geschichte. Ich habe da auch bei der DEF CON hatte der Joseph Cox auch einen Vortrag darüber gehalten. Auch der ist sehr zu empfehlen. Den haben wir auch nochmal in die Shownotes, weil da halt wirklich krasse Sachen sind. Und noch dazu ist es halt wirklich, ich meine, das ist natürlich ein Ding, was genau an diesem Thema staatlicher Zugriff auf Kryptografie oder verschlüsselte Nachrichten spielt. Und auch wenn die, bei Enorm ist der Fall, das haben sie halt einfach selber aufgebaut und angeboten, sind die Kunden halt selber schuld, wenn sie bei der Polizei ihre Kryptohandys kaufen. Bei EncroChat und anderen haben sie die halt tatsächlich auch gehackt. Da sind wir dann rechtlich schon wieder in noch einer anderen Sache, nämlich im Bereich der Staatstrojaner. Ich will das jetzt nur im kurzen Überblick. Im Bereich der Staatstrojaner gab es jetzt... Ja, dieses Strafverfahren gegen die NSO Group, die einen der großen Staatstrojaner an Diktatoren weltweit verkauft, nämlich die Pegasus, wo es von unseren Freunden vom Citizen Lab und vom Amnesty Security Lab regelmäßig auf Forschungsergebnisse geht, wo das wieder von irgendeinem Diktator gegen unschuldige Journalistinnen und Oppositionspolitiker eingesetzt wurde. Die wurden ja schon vor vielen Jahren von WhatsApp verklagt, weil WhatsApp sagt, naja, pass mal auf, ihr habt ja irgendwie gegen unsere AGBs verstoßen, so sinngemäß. Ihr habt irgendwie unter Ausnutzung von Zero Days in WhatsApp Spyware auf mindestens 1400 Geräten installiert und die haben also jetzt, die NSO Group wurde von einem Bundesgericht der USA zumindest dafür haftbar gemacht. Das ist schon mal ein gutes Zeichen, weil wenn Facebook von denen einen Schadensersatz am Ende zugesprochen kriegt, dann kann das diesem Unternehmen hoffentlich schaden. Wie gesagt, anderer Fall. Hier gibt es quasi ein Privatunternehmen, das hackt und die Ergebnisse Staaten und Diktatoren zugänglich macht. In einem anderen Fall betrieben vom Staat, spezifisch auch für Kriminelle. Dieses NSO richtet sich ja nicht notwendigerweise gegen Kriminelle, sondern insbesondere, wenn da irgendwelche Diktatoren ihre Ehefrau mit überwachen, eher so ein bisschen den etwas zweifelhafteren Bereich.

Wozu so ein Start dann an Dienstleistungen auf einmal möglich ist, wenn die Motivation hoch genug ist?

Telegram gibt jetzt deutlich mehr Daten an deutsche Behörden raus, seitdem der Pavel Durow da in Paris verhaftet wurde.

Ein Wunder.

Funktioniert dann doch?

Ja.

Das war, da frage ich mich, ich glaube...

Ich habe nichts gehört davon, dass er weg ist.

Ich glaube, ähm... Hm... Ich glaube, der ist doch da irgendwie rausgekommen, oder?

Ich schau grad mal an.

Ja, der ist am 28.8. wurde der schon in Frankreich aus der Haft entlassen.

Ja, aber der durfte das Land nicht verlassen.

Ja gut, aber das ist ein Unterschied. Das ist ein Unterschied, ob du im Gefängnis bist oder ein Land nicht verlassen darfst.

Aber es ist auch ein Unterschied, ob du da irgendwie in Frankreich abhängen musst oder ob du in Dubai in der Luxus-Lounge rumhängst.

Ich weiß nicht, also ich würde lieber, ich würde Frankreich zu jedem Zeitpunkt bevorzugen.

Naja gut, was es Essen betrifft, definitiv. Also hier steht bis zum Abschluss des Ermittlungsverfahrens darf er Frankreich nicht verlassen, also ist er noch da.

Okay. Ja, soviel zu eurer sicheren Kommunikation. Buchempfehlung. Endlich mal ein Gerichtsverfahren, bei dem man Facebook Glück wünscht. Und wenn man anfängt, seine Gesetze durchzusetzen, dann funktionieren die am Ende doch. Dann hatten wir in Deutschland, bleibt jetzt Unklarheit, wir hatten es in der letzten Sendung dann berichtet, in Magdeburg ist irgendein Irrer in den Weihnachtsmarkt gefahren, hat darüber lange vorher, lang und breit in Twitter X irgendwelche Ankündigungen gemacht, unter der Account, den er da hatte, lief vollständig normal unter seinem Namen, und ist natürlich klar, das Einzige, was hier jetzt noch geholfen hätte, das zu verhindern, nachdem ja auch mehrere Leute bei unterschiedlichsten Sicherheitsbehörden gesagt haben, Vorsicht, der da, der hat eine Waffe, der meint das ernst, könnt ihr da bitte mal gucken? Und die Sicherheitsbehörden zu dem Typen hingefahren sind und gesagt haben, übrigens Das macht halt man nicht. Nachdem der dann trotzdem noch einen Attentat verübt, hilft natürlich nur noch eins, Vorratsdatenspeicherung. Ja, klar. Also das ist ja quasi zwingend ergibt sich das ja. Also es ergibt sich ja wirklich zwingend.

Und diese in sich geschlossenen Logikketten bei der CDU sind einfach irre. Deswegen wählt man die.

Und weil die Vorratsdatenspeicherung fehlte und das Sicherheitspaket denen nicht weit genug gegangen ist, hat die CDU das ja kippen lassen, dann hat die Bundesregierung gesagt, so oh, nach Magdeburg, so hui, dann brauchen wir jetzt natürlich Vorratsdatenspeicherung, was so ungefähr die dümmste Schlussfolgerung aus dem Magdeburg-Ding ist, die man haben kann, aber natürlich eine sehr gute, wenn man davon ablenken will, dass die eigenen Sicherheitsbehörden absolut versagt haben. Ich meine, die waren bei dem Typen und haben gesagt, ey, nicht, dass du hier Scheiße baust, mein Freund. Und dann hat der gesagt, nee, nee, kein Problem, alles gut, alles gut, alles gut. Und als nächstes fährt der an dem Polizeiauto vorbei in den Weihnachtsmarkt. Da brauchst du natürlich irgendein Aufregerthema, um davon abzulenken, dass das halt absolute Flachzangen sind. Und das Beste, was du machen kannst, ist natürlich zu sagen, pass auf, die brauchen einfach noch mehr Befugnis. Ist doch völlig klar.

Ja, ich meine, die schlagen doch Vorratsdatenspeicherung wirklich bei allem vor. Deutschland gewinnt wieder den ESC nicht, Vorratsdatenspeicherung. Söder kann das Bier nicht mehr richtig anstechen, Vorratsdatenspeicherung. Also das ist einfach die logische Konsequenz, immer.

Interessanterweise wurden sie dann in der Bundespressekonferenz gefragt und dann wurde gesagt, also zwar am 3. Januar, und dann sagte die stellvertretende Regierung, auf einmal, ja, nee, die Bundesregierung spricht sich nicht für Vorratsdatenspeicherung aus. Man hätte nämlich über die Silvestertage plötzlich Beratungsbedarf entdeckt.

Oh, wirklich? Aber war das nicht die CDU, die das im Wesentlichen gefordert hat oder war das auch die Bundesregierung?

Ja, aber die Frage war ja, was macht die Bundesregierung? Noch ist die CDU ja nicht eine Bundesregierung.

Ja, stimmt.

Deswegen hat Rot-Grün Ich meine, die sind da jetzt auch irgendwie, Wahrscheinlich brauchen wir jetzt eine Vorratsdatenspeicherung, weil der Christian Lindner eine Torte abbekommen hat Hast du ein Video schon hundertmal geguckt oder noch nicht?

Ich hab ein Foto gesehen Ich beschäftige mich auch mit Christian Lindner nicht so, ich bin ja nicht so vernaht wie du.

Ich bin doch nicht vernaht Ich hab einfach nur festgestellt.

Dass der eine Torte abbekommen hat Ich rede nie von Christian Lindner.

Christian Lindner war Teil der Bundesregierung.

Na und? Das waren schon viele.

Ja, aber das ist auch einfach schon mal ein Qualitätsurteil grundsätzlich über das Land. Das ist ein Missstand, den muss man doch besprechen.

Haben wir ja auch schon gemacht.

Okay, kommen wir, also das ist jetzt wieder auf Eis. Vielleicht kommt die Vorratsdatenspeicherung erst, vielleicht kommt der nächste Versuch, die bisher jedes Mal als grundrechtswidrig wieder einkassierte Vorratsdatenspeicherung in Deutschland einzuführen, erst nach der Wahl. So, das ist die aktuelle Nachricht. Und in den USA wird jetzt auch mal wieder kurz bevor Trump zurückkommt, direkt wieder die Netzneutralität über Bord geworfen. 2015 wurde dort durch die Federal Communications Commission. 2015 wurde dort durch die Federal Communications Commission Netzneutralität gestärkt, indem sie sagten, ja, Datenaustausch ist Kommunikation, also sind wir hier zuständig und deswegen darf es da keine Beeinträchtigung geben. Dann war 2017 Trump Präsident. Da hatte er dann diese Regeln weggeworfen. 2024 kamen sie dann aber unter Joe Biden zurück. Und jetzt hat ein US-Berufungsgericht am 2. Januar gesagt, naja Moment, das sind ja gar keine Telekommunikationsdienste, die Breitband-Internetanbieter hier machen, sondern Informationsdienste. Und deswegen ist die FCC nicht zuständig und die Regel, die sie schreibt, auch nicht anwendbar. Und deswegen ist die Netzneutralität jetzt wieder gekippt, weil das Berufungsgericht eben gesagt hat, naja, Moment mal, das ist doch gar keine Kommunikation. Das ist doch überhaupt nicht euer Zuständigkeitsbereich. Was? Ciao. Ja, okay. Das heißt, wir haben jetzt nach aktueller Wahrnehmung in den USA schon bevor Trump zurückkommt keine Netzneutralität mehr. Und in dem Kontext der Netzneutralität gehen in Deutschland Epicenter Works, Gesellschaft für Freiheitsrechte, Verbraucherzentrale Bundesverband bei der Bundesnetzagentur gegen die Deutsche Telekom vor und beanstanden dort unfaire Geschäftspraktises. Praktis ist. Weil die Telekom, hier geht es um diesen Punkt der künstlichen Engpässe an den Zugängen zum Telekom-Netz. Wo wir ja, in welchem Fall haben wir da zuletzt drüber gesprochen, das war die Auseinandersetzung zwischen, wer war das denn? Zwischen Netflix und, oder war es zwischen Facebook und, wer hatte denn, da waren die Verträge, Facebook, ne? Wo die Deutsche Telekom eben gesagt hat zu Facebook, okay pass auf, wenn du unsere schönen Kunden hier erreichen willst, dann mach das mal besser nicht über ein Internet-Exchange, sondern über dedicated Übergabepunkte, was technisch durchaus richtig ist und technisch durchaus sinnvoll ist. Bei dieser Menge musst du nicht notwendigerweise über einen Kix gehen, da kannst du auch direkte Übergabepunkte machen. Aber das haben sie eben nicht als Peering gemacht, sondern als Transit. Peering ist das, wo man sagt, hier passt auf wir haben beide ein Interesse, dass diese Daten fließen, auf deinem Ende willst du das auf meinem Ende will ich das also wir machen das jetzt im Prinzip beide zum Selbstkostenpreis und fertig, Transit ist, ach so du willst, ist eigentlich etwas wo du sagst, du willst über uns ins Internet gehen. Wir ermöglichen dir überhaupt erst den Zugang zu dem großen, weiten Internet. Oder zu großen Teilen des großen, weiten Internets. Dafür nimmt man Transit. Und die Telekom macht an der Stelle, wo viele sagen würden, das ist ein Fall für Peering, verlangen die Transit. Dagegen gibt es jetzt die Beschwerde. Unter netzbremse.de findet ihr mehr darüber. Und damit sind wir auch schon am Ende unserer heutigen Sendung.

Wir haben noch nicht mal die drei Stunden voll gemacht hier.

Noch nicht mal die drei Stunden. Ja, über den Kongress reden wir dann doch immer ein bisschen gerne.

Machen wir auch noch. Machen wir auch noch. Aber jetzt nicht mehr. Jetzt nicht mehr. Jetzt erstmal Ruhe im Karton hier. Ja, ich habe dem wenig hinzuzufügen. Ja, wir melden uns dann demnächst wieder. Wir sind beide ein bisschen auf Reisen. Von daher müssen wir mal gucken, wie wir mit den Terminen so zusammenkommen. Ihr werdet das dann feststellen.

Ja, auf jeden Fall. Ihr merkt ja daran, dass wir hier eine etwas längere Sendung gemacht haben, dass wir euch ein bisschen, ein bisschen Proviant geben und ihr habt ja auch eine Reihe an Kongress-Vorträgen. Wie gesagt, die Erwähnten sind alle in den Shownotes, die Gesamt-Playlist von media.ccc.de auch.

Genau, das guckt ihr dann erstmal und dann gibt es auch wieder Logbuch in der Politik. Wenn ihr damit fertig seid, Meldet ihr euch einfach kurz auf Bescheid.

Naja, die meisten bingen ja, eigentlich ist ja media.ccc.de bingen irgendwie so eine Aufgabe für 1. Bis 3. Januar oder so, ne? Kurz durchballern, dann hat man das ja auch weg. Sind ja nur so 150 Stunden Videomaterial.

Ja, es ist ja in wenigen Wochen getan. Alright, Leute. Wir sagen Tschüss, bis bald.

Ciao, ciao.