Feedback — AI Coding Backdoors — Koalitionsvertrag — CISA und MITRE vs. Trump
Heute mal ein kürzeres Update. Wir tauchen durchs Feedback und geben Updates zur elektronischen Patientenakte. Dann blicken wir auf neue pfiffige Tricks, wie man dem neuen Programmiertrend Vibe Coding Steine vor die Füße werfen kann. Dann gehen wir auf ein paar Punkte des Koalitionsvertrag ein, dessen netzpolitische Aspekte Linus gestern schon in der Parlamentsrevue diskutiert hat. In den USA macht Trump alles nieder, neueste Opfer sind die Sicherheitsbehörde CISA und die MITRE-Company, die u.a. für die Sicherheitslückendatenbank CVE zuständig ist.

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Verwandte Episoden
Shownotes
Intro
- www.spiegel.de: Statistisches Bundesamt: 2,8 Millionen Menschen in Deutschland haben noch nie das Internet genutzt
Feedback
PC
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von Steffen
Hermeneutik des Verdachts
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von Sigue Sigue
- www.blaetter.de: Für Gott und gegen das Böse | Blätter für deutsche und internationale Politik
Propaganda
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von edd255
Altersverifikation
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von Torsten
- eGovernment Podcast: ID und Wallets
“In seiner jetzigen Form”
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von Der Mann mit Hut
Digitalministerium
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von stk
Elektronische Patientenakte
- netzpolitik.org: Elektronische Patientenakte: Fachleute zweifeln weiterhin an Sicherheitsversprechen
AI Coding Backdoors
- arXiv.org: We Have a Package for You! A Comprehensive Analysis of Package Hallucinations by Code Generating LLMs
- BleepingComputer: AI-hallucinated code dependencies become new supply chain risk
- www.pillar.security: New Vulnerability in GitHub Copilot and Cursor: How Hackers Can Weaponize Code Agents
Koalitionsvertrag
- Parlamentsrevue: KoaV: Digital- und Netzpolitik mit Linus Neumann
- www.ccc.de: CCC | CCC fordert Notbremse für den Überwachungskatalog im Koalitionsvertrag
- Logbuch:Netzpolitik: LNP489 Das Kabinett ist nicht maschinenlesbar
- bundestagszusammenfasser.de: Bundestagszusammenfasser – Denn irgendjemand muss es ja machen.
- Managed Nextcloud powered by IONOS: KoaV Passagen.odt
- netzpolitik.org: Auf den Punkt: Ein europäisches Palantir macht es auch nicht besser.
- netzpolitik.org: Polizeidatenbanken: Keine Palantir-Konkurrenz in Sicht
CISA und MITRE trump’ed
- The White House: Addressing Risks from Chris Krebs and Government Censorship
- www.theregister.com: Homeland Security funding for CVE program expires
- GitHub: GitHub User: CVE Program (CVEProject)
- Security: CVE-Aus abgewendet, Schwachstellendatenbank der EU geht an den Start
- www.thecvefoundation.org: CVE Foundation
Aus dem «Umdrehen, nächste Scheibe» entstand ja der Beruf des Disc Jockeys.
In Harvard sollte eine Liste mit Leuten herausgegeben werden, die an den Pro palästinensischen Protesten teilgenommen hatten. Zusätzlich sollte unter anderem eine Art politische Aufsicht installiert werden. Das würde von der Uni Leitung verweigert. Als Antwort darauf droht Trump jetzt Harvard die Erlaubnis zu entziehen als Grund auf dem US-Visa angegeben zu werden, das wäre dann auch rückwirkend. Genau weiß man noch nicht in allen Fällen was das für wen bedeutet. Die Studentenvisa sind nämlich „federal“ (bei uns etwa Bundessache) die Arbeitsvisa der Lektoren und Mitarbeiter kommen von den Bundestaaten. Aber welches Recht in den USA noch für wen gilt wenn es darauf ankommt, ist vielen dort unklar. Quelle: mein Bruder ist gerade Postdoc da. Wir halten uns bereit ihn kurzfristig aufzunehmen wenn er nach D abgeschoben wird. Solche Zustände hätte ich vor ein paar Monaten noch für unmöglich gehalten und ich neige eher zum Pessimismus in solchen Dingen.
Zum „2,8mio seien nie im Internet gewesen“: Das kann nicht stimmen.
Schauen wir mal die Leute an die das treffen soll:
4% der 45-64 jährigen und 2% der 16-44 jährigen.
Wo sollen die sein? Internet ist seit ca. 25 Jahren in Haushalten mehr oder minder Standard. Smartphones hatten ihren Durchbruch vor ca. 15 Jahren. Mein Abitur liegt nun 14 Jahre zurück und sogar meine katastrophal rückständige Schule hatte Internet und es war für Hausaufgaben ebenfalls weit verwendet. Das wird nicht schlechter geworden sein. Auf welcher Schule sollen denn die 2% der 16-44 Jährigen gewesen sein? Wo arbeiten die denn? Ich habe noch nie einen Menschen dieser Altersgruppe getroffen der zu diesen 2% gehört – das ist stochastisch gesehen ziemlich unplausibel. Bei den 45-64 jährigen ist es ähnlich. Wo sollen die denn sein? Diese 4% müssen sich schon massiv bemühen ihr Leben ohne Internet zu gestalten und dafür sind es unplausibel viele.
Nur wie kommt es zu dem Wert?
Vielleicht man hat da irgendwelche Korrekturen drin. Gibt schließlich einen gewissen Anteil der Bevölkerung die aufgrund von körperlichen oder geistigen Behinderungen derart eingeschränkt sind, dass sie sowieso keine elektronischen Geräte nutzen. Aber sind das 2%? Und für die korrigiert man sonst auch nicht.
Oder hat man am Ende Rundungsfehler kumuliert?
„Ich habe noch nie einen Menschen dieser Altersgruppe getroffen der zu diesen 2% gehört“
Ganz schlechter Indikator, vor allem weil du diese Menschen nicht online finden wirst. Ein Teil davon könnte z.B. Zeugen Jehovas sein und ähnlichen Gruppierungen, die einen Teil des modernen Lebens aus religiösen oder anderenbGründen ablehnen. Manche Menschen sind auch einfach einsam und haben daher null Bedarf für WhatsApp etc. und lassen sich lieber vom TV berieseln oder verbringen ihre Zeit mit analogen Hobbies wie Lesen.
Vermutlich ist es für Personen, die nach dem Durchbruch des WWW aufgewachsen sind, extrem schwer vorstellbar, ohne Zugang zum Internet zu leben. Für meine Generation und erst recht Ältere war das völlig normal. Manches war langsamer, dafür hatte man mehr gemeinsam, weniger Bubbles, Verabredungen wurden eingehalten und man hat den Weg in die nächste Stadt ohne Navi gefunden.
Mir fallen da sofort mehrere Gruppen ein:
– Frauen von Zuwanderern, deren Reich und einziges Thema die Wohnung der Familie ist. Das betrifft teils auch Menschen die in den 60ern als sogenannte Gastarbeiter kamen.
– Menschen mit Spastiken oder anderen Einschränkungen, die generell nur eingeschränkt mit ihrer Umgebung interagieren können.
– E-Mail ausgedruckt bekommer und andere Traditionalisten
– Aluhüte.
Den besten Satz des Koalitionsvertrags habt ihr ausgelassen: „Auch die Meere sehen wir als digitalen Chancenraum.“ Kapitel 2.3 „Digitales“, Abschnitt „Stärkung der Raumfahrt“, Zeile 2284.
Kleines Nitpick, weil ich mir das neulich erst angeschaut hatte: die Propaganda-Plattform des Orangen ist nicht in einer .social-Domain, sondern trägt ihren Namen in einer .com (also trußsoschel-dot-com).
stimmt, ich besuche die Seite so selten…
VDS…“Grenzen des Verfassungs- und Europarechts ausnutzen“
Erinnert mich an diesen Seinfeld-Sketch…
https://youtu.be/ZbqLF7ZeLC8?si=ogqzgy0zaAjDW9tw
Dann lasst uns doch mal auf openstreetmap einen Layer für Kameraüberwachung einrichten. Danach dann noch die Routenplanung so gestalten, dass überwachte Bereiche umgangen werden.
So kann jeder selbstbestimmt entscheiden, ob er erfasst werden will oder nicht
Ich fand auffällig, dass von einem sicherheitspolitischen Erfordernis die Rede war, nicht von einem sicherheitstechnischen Erfordernis.
Reinhard Mey — „Sei wachsam“ (1996)
https://www.youtube.com/watch?v=CdBo34ycvkw
Songtext: (kurzer Auszug)
„Ein Wahlplakat zerrissen auf dem nassen Rasen
Sie grinsen mich an, die alten aufgeweichten Phrasen
Die Gesichter von auf jugendlich gemachten Greisen
Die dir das Mittelalter als den Fortschritt anpreisen
Und ich denk′ mir, jeder Schritt zu dem verheiß’nen Glück
Ist ein Schritt nach ewig gestern, ein Schritt zurück
Wie sie das Volk zu Besonnenheit und Opfern ermahnen
Sie nennen es das Volk aber sie meinen Untertanen
All das Leimen, all das Schleimen ist nicht länger zu ertragen
Wenn du erst lernst zu übersetzen, was sie wirklich sagen
Der Minister nimmt flüsternd den Bischof beim Arm:
„Halt′ du sie dumm, ich halt‘ sie arm!“
Sei wachsam
Präg‘ dir die Worte ein!
Sei wachsam
Und fall nicht auf sie rein!
Paß auf, dass du deine Freiheit nutzt
Die Freiheit nutzt sich ab, wenn du sie nicht nutzt!
Sei wachsam
Merk dir die Gesichter gut!
Sei wachsam
Bewahr dir deinen Mut
Sei wachsam
Und sei auf der Hut!
…“
Ich wollte einfach, dass ihr euch das anhört. Es passt immer und überall.
„…und die sind alle sehr geachtet und hochanerkannt
und nach den Schlimmsten werden Straßen und Flugplätze benannt.“ (freies Zitat aus dem Gedächtnis)
Gute Wahl als musikalische Zusammenfassung dieser Folge.
Helft mir mal bitte beim Faktencheck. Linus, du erwähnst zum Koalitionsvertrag (~ 0:38:15) in der Wassonstnoch-Aufzählung: „Register für psychisch Kranke“.
Kannst du rekonstruieren, woher du das hast?
Mir erzählte kürzlich ein befreundeter Psychiater von mehreren verunsicherten Patient:innen, die genau diesen Plan für faktisch hielten. Er habe selbst nachgeforscht und keinen Anhaltspunkt zu einem solchen Vorhaben gefunden (mal abgesehen von jeder Menge Artikeln zur Befürchtung, dass ein solches Register geplant sei).
Im KoaV selbst finde ich keine Passage, die zu dieser Paraphrasierung passen würde.
Seite 82:
# Kooperation von Sicherheitsbehörden
Den Datenaustausch unter den Sicherheitsbehörden (insbesondere P20, Verbundspeicherung) sowie mit zivilen Behörden verbessern wir grundlegend. Der Bund trägt seinen Anteil an einer auskömmlichen Finanzierung. Zur Verhinderung weiterer Gewalttaten, wie in der jüngsten Vergangenheit, wollen wir die frühzeitige Erkennung entsprechender Risikopotenziale bei Personen mit psychischen Auffälligkeiten sicherstellen. Hierzu führen wir eine gemeinsame Risikobewertung und ein integriertes behördenübergreifendes Risikomanagement ein.
Wir drängen auf eine echte Europäische Sicherheitsunion.
—
Du hast Recht, dass die Idee da nicht explizit formuliert wird, allerdings wird sich gerade im Föderalismus „gemeinsame Risikobewertung und ein integriertes behördenübergreifendes Risikomanagement“ nicht ohne einheitliche Datenbasis realisieren lassen, oder?
Linnemann hatte das schon vor Wochen genau so gefordert und landete damit in den Überschriften.
Moin,
nochmal auf die Goldenen Zwanziger zurück: dachte mir in der letzlich schon, dass das mit dem güldenen in den Zwanzigern im zwanzigsten Jahrhundert auch erst später losging. War mir nicht ganz sicher, jetzt in einem Podcast über den Ruhraufstand sagte der Historiker vom Dienst eben jenes.
Also, lieber Tim, halte noch ein wenig durch und strecke den Restoptimismus mit Wasser, 2026 ist alles Gold in den Straßen von Berlin ;)
Ahoi AD
Sehr interessant fand ich die Beurteilung der Trump Regierung in Bezug auf Universitäten wie Havard. Die Begründung, dort sei man rassistisch, weil weiße Menschen benachteiligt werden, wird meiner Ansicht nicht konsequent genug weiterverfolgt. Man müsste auch die Todeszellen der US-Gefängnisse in den Blick nehmen, wo ja weiße Menschen komplett unterrepräsentiert sind.
Viele Grüße und weiter so.
Hallo ihr Beiden,
zur Frage nach Anzahl der CVEs: Aus der höchsten vergebenen Nummer kann man nicht direkt auf die Anzahl schließen. Die Nummern werden nicht alle direkt von MITRE vergeben, sondern indirekt über CVE Numbering Authorities (CNAs). Eine CNA reserviert einen bestimmten Bereich und kann möglicherweise auch noch Teilbereiche an Sub-CNAs weiterreichen. Die Nummerierung ist also nicht unbedingt fortlaufend, es gibt Lücken.
Hinzu kommen noch Entwicklungen, wie dass der Linux-Kernel angefangen hat, für sehr viele Bugs CVEs zu vergeben, ungeachtet der praktischen Security-Relevanz. Kurzum: Die reine Zahl sagt wenig.
Und zu den AI Coding Backdoors: Ich sehe weniger die Gefahr, dass diese direkt in Produktiv-Code landen. Das wird schon auch mal passieren, aber da gibt es wie von euch besprochen hoffentlich ein paar Checks und Quality-Gates.
Was ich hingegen häufiger beobachte, ist Vibe-Coding zum Ausprobieren, Rumspielen, für Demos oder Proofs of Concept. In diesen Fällen läuft der Code zwar nie produktiv, wird aber durchaus mit User-Rechten auf den Laptops der Entwickler:innen ausgeführt – mitsamt aller Libraries, Backdoors etc. Das reicht auch, um z.B. Secrets abzugreifen. Ich würde gerade in solchen Fällen zu angemessener Isolation raten, z.B. mit Dev-Containern. Wird oft natürlich nicht gemacht, weil es ja gerade darum geht, schnell und ohne großen Overhead loszulegen.
Nitpick @LinusNeumann::00:56:43:
Es sind die IVY League Schools
https://en.wikipedia.org/wiki/Ivy_League
Aber vielleicht war das ja ein Wortspiel, denn vielleicht sind die leitenden Angestellten diese Privat-Unis ja in einem Elfenbeinturm eingeschlossen…
Danke, ich war mir sicher dass es was mit Ivory zu tun hätte :) Ich bitte, das mit meiner bildungsfernen Sozialisation zu entschuldigen (NRW-Abitur!)
Nitpick: Tim fängt das Thema zu „AI Coding Backdoors“ grob folgendermaßen an: Programmieren mit AI, also Vibe Coding, das nutzen mittlerweile auch die meisten Profis…
Das war etwas missverständlich ausgedrückt.
Vibe Coding ist es, wenn man den Code fast ausschließlich von der AI erzeugen lässt, also nur Prompts liefert und nichts selber programmiert.
Im professionellen Umfeld wird meiner Erfahrung nach AI-Unterstützung zur Programmierung recht häufig genutzt, aber Vibe Coding nur recht selten.
Werdet ihr einen Recap zum Easterhegg machen? Es gab einen sehr guten Talk zum Thema Machtmissbrauch in Wissenschaftsorganisationen (The Silent Scandal – Power Abuse and Corruption by Design in German Research) und ich denke das Thema verdient Sichtbarkeit!
Ich bin wahrlich kein Trump Fan aber die Politiker in den USA (egal ob Demokraten oder Republikaner) geben sich nix beim Insiderhandel.
Nancy Pelossi (Demokraten) ist bekannt für ihre Aktiengeschaefte und ehohe Rendite (2023 ca. 65% Rendite)
Siehe: https://www.boerse-online.de/nachrichten/geld-und-vorsorge/50-gewinn-im-jahr-die-insider-depots-der-us-politiker-und-was-sie-jetzt-kaufen-20361725.html
Insiderhandel der Politiker ist in den USA an der Tagesordnung.
4chan wurde vor einer Woche gehackt warum ist das kein Thema?
Tim erklaert im Abschnitt ueber Vibe Coding ganz richtig, dass Sprachmodelle ja nicht auf eine Wissensdatenbank zurueckgreifen. Was aber wichtig ist: Die LLMs inferieren niemals _Wissen_ im Sinne der Definition aus ihrem Sprachmodell. So banal das klingt, ein Sprachmodell ist ein Sprachmodell – ein statistisches Modell menschlicher Sprachen.
Wissen wird meist als eine „begruendete, wahre Ueberzeugung“ definiert. Ihr habt das direkt danach in der Diskussion um die Vorratsdatenspeicher im Koalitionsvertrag prima als Beispiel gebracht: Wenn die Aussage „die Sicherheitsbehoerden verdienen das Vertrauen von Politik und Gesellschaft“ gesichertes Wissen sein soll, dann muss sie wahr sein, und sie muss als Schlussfolgerung logisch aus einer Reihe unabhaengig nachvollziehbarer Praemissen folgen.
Ein Sprachmodell arbeitet dagegen nicht mit logischen Regeln, sondern ist eine Teilmenge der konnektionistischen KI-Ansätze, also alles rund um kuenstliche neuronale Netzwerke, maschinellem Lernen etc, allesamt wahrscheinlichkeitsbasierte Ansaetze.
Die sind halt derzeit krass beliebt, weil sie 1.) ein interessantes User Interface bieten – im Zweifel aber halt auch nur, um irgendwo im Web abgelegtes Wissen per Retrieval-Augmented Generation abzurufen und dann ueber das Sprachinterface aufzubereiten, und wenn man Glueck hat, stimmt es dann auch noch mit der Originalquelle ueberein. Und weil 2.) die andere Stroemung, die symbolischen oder logikbasierten KI-Ansaetze, auf semantisch auswertbare Speicherung von Wissen angewiesen sind. Und weil wir 30 Jahre drauf getrimmt wurden, Informationen in Excel zu speichern, gibt’s da mit Ausnahme von Wikidata und Co halt ein Defizit :D
Dafuer kann dir Wikidata dann auch Dinge beauskunften, fuer die es gar keine Textquellen gibt, die ein LLM per RAG abfragen kann – beispielsweise eine Karte mit allen nach Ernst Thaelmann benannten Strassen in Deutschland (und wo es die einzige solche Strasse in Westdeutschland gibt), oder eine Statistik, wie haeufig welche Gaeste 2024 bei Markus Lanz waren, samt Parteizugehoerigkeit.
Das ist jetzt furchtbar nitpicky, aber mir ist im letzten halben Jahr immer wieder aufgefallen, dass das vor allem im Umgang mit IT-Laien fuer die total augenoeffnend ist, den Unterschied gezeigt zu bekommen. Und wenn IT-Laien den politischen Diskurs um „KI (Sammelbegriff)“ treiben, können ganz wilde Zielbilder herauskommen, wenn sie von falschen Annahmen ausgehen – zum Beispiel, dass Sprachmodelle was „wissen“ wuerden.
Kann es sein, dass jemand im BBK diese Sendung hier hört?
https://www.bbk.bund.de/SharedDocs/Kurzmeldungen/DE/2025/02/om-22-katleuchttuerme-warnung.html