Radikale Töchter — netflix will Stimmen klauen — Chatkontrolle-Konterrevolution — Routerverbot USA — Polizei meldet Sicherheitslücken — advocado
Heute begrüßen wir Christopher Kunz in unserer Runde. Christopher ist Security-Experte, kann ein abgeschlossenes Informatikstudium vorweisen und schreibt seit langem für heise. Gemeinsam klappern wir die Nachrichten ab und reden dann vor allem lang darüber, dass die Meldung einer zunächst gewöhnlich erscheinenden Sicherheitlücke dazu führte, dass die in zahlreichen Bundesländern die Polizei ausrückte und nachts die Admins aus dem Bett klingelte.
Linus Neumann
Tim Pritlove
Christopher Kunz
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Tim Pritlove 0:00:00
Guten Morgen, Linus.
Linus Neumann 0:00:01
Guten Morgen, Tim.
Tim Pritlove 0:00:03
Du, da sind irgendwelche Uniformierten vor der Tür.
Linus Neumann 0:00:06
Hast du das Update nicht gemacht? Musik.
Tim Pritlove 0:00:29
Logbuch-Netzpolitik Nummer 549 vom 25. März 2026.Was machen wir denn jetzt?
Linus Neumann 0:00:39
Patschen, patschen, patschen.
Tim Pritlove 0:00:40
Oh Gott. Hilfe. Oh Mann.Ja, ja. Schneller Patschen als die Polizei. Ja, ja, ja, ja.Die ist jetzt Gewehr bei Fuß. Da werden wir heute noch ausführlich drüber sprechen.Ja. In unserer Sondersendung.
Linus Neumann 0:00:59
Sondersendung mit Gast.
Tim Pritlove 0:01:01
Sondersendung mit Gast, genau. Und den stellen wir auch gleich mal vor.Nämlich den Christopher. Christopher Kunz. Hallo.
Christopher Kunz 0:01:07
Ja, moin.
Tim Pritlove 0:01:09
Hallo Christopher. Ja, schön, dass du bei uns bist.
Christopher Kunz 0:01:12
Vielen Dank für die Einladung.
Tim Pritlove 0:01:13
Ja, gerne. Müssen wir dich vielleicht mal kurz ein bisschen einleiten.Du bist Journalist, Security-Experte und schreibst unter anderem oder im Wesentlichenwahrscheinlich ausschließlich für Heise, richtig?
Christopher Kunz 0:01:31
Genau. Ich bin angestellt bei Heise und mache da allerlei Security-Kram.
Tim Pritlove 0:01:35
Wie bist du dazu gekommen?
Christopher Kunz 0:01:38
Ich bin ein ganz altes Heise-Gewächs und bin eigentlich als studentische Aushilfein der Netzwerkabteilung gewesen,in 2001 oder so, weil da war ein Aushang in der Uni im Rechnerpool.Und dann habe ich irgendwann angefangen, Artikel zu schreiben,habe dann noch ein paar Jahre mal was anderes gemacht und bin jetzt seit 2023fest bei Heise, mache da Heise Security, also was man da so im News-Stickerliest, ab und zu mal ein Artikel in der CT,und so ein paar Produkte, die wir für Security-Leute machen,sowas wie Webinare, Community, Dienstleistungen und sowas.
Tim Pritlove 0:02:12
Und war Security jetzt schon immer dein Ding oder warst du nur der einzige beiHeise, der wusste, wie man die Passwörter ändert?
Christopher Kunz 0:02:18
Nee, das mache ich wirklich schon immer. Also ich habe auch meine Sachen im Studium,so wenn ich irgendwelche Bachelorarbeit, Masterarbeit und sowas geschriebenhabe, das waren eigentlich immer irgendwie Security-Themen und auch so Netzwerk-Themen,das mache ich schon recht lange und bin dann irgendwann dabei geblieben,weil irgendwann kann man da ja auch nichts anderes mehr und dann bleibe ich halt dabei.
Tim Pritlove 0:02:37
Also du bist ja auch richtig Doktor, ne? Informatik und so, also du hast alles gelernt sozusagen.
Christopher Kunz 0:02:44
Alles durchgespielt.
Tim Pritlove 0:02:45
Ja, kannst kein abgebrochenes Informatik-Studium vorweisen sozusagen. sagen.
Christopher Kunz 0:02:49
Es war knapp, aber ich habe es dann durchgezogen.
Tim Pritlove 0:02:54
Ja, schön, genau. Es klang ja schon an, du hast diesen Artikel für Heise geschriebenüber diese wunderbare Meldung mit der Polizei, die nachts an die Tür klopft.Das werfen wir jetzt mal ans Ende der Sendung.Wollen wir noch ein paar Kurzmeldungen haben und die wollen wir erstmal beiseitelegen, dass wir uns da schön drauf konzentrieren können. Linus.
Linus Neumann 0:03:17
Genau, die machen wir Machen wir schnell durch. Vielen von euch ist Ceci Leonardsicherlich noch bekannt,die war bei LNP 300 bei uns auf der Bühne und hat über Aktivismus gesprochen,ist seit mehreren Jahren in der NGO Radikale Töchter aktiv.Und die sind im weitesten Sinne so in der politischen Bildung tätig und habenseit März 2025, also seit etwas über einem Jahr oder knapp einem Jahr,ein Projekt mit der Bundeszentrale für politische Bildung.Und jetzt haben sie vom Innenministerium eine Ablehnung bekommen ohne Begründung.Sie kriegen also ihr Funding nicht weiter und sollen da nicht mehr drin weiterarbeiten.Es steht natürlich irgendwie in einem unschönen Kontext auf zwei Weisen.Erstens diese ganze Kulturstaatsminister Weimar Geschichte, der jetzt irgendwieda so die politische und kulturelle Bereinigung vornimmt und irgendwie in die Menge schießt.Und gleichzeitig hatten sich die radikalen Töchter auch zu Merz',Stadtbildkritik geäußert und da ist natürlich jetzt ein komischer Zufall,dass jetzt ausgerechnet ihr Funding zur politischen Bildung plötzlich gestrichen wird.Da sehen wir also eine ähnliche charakterliche Größe wie in den USA,wo das Führungspersonal ja auch von besonderer Weitsicht und Uneitelkeit Qualitätauch geprägt ist. Qualität sowieso, ja.Weil ich nicht sicher bin, ob unser Führungspersonal in der Qualität auch andie USA heranreicht, aber zumindest in den anderen Dimensionen durchaus.Ja, sie gehen jetzt natürlich rechtlich dagegen vor mit dem Gegenrechtsschutz.Gegenrechtsschutz ist vielen Hörerinnen sicherlich auch bekannt.Arne Semsrott hatte öfter davon gesprochen ich glaube den Vortrag von HannaVoss und Vivien Kube hatten wir auch hier besprochen und empfohlen und ja, jetzt haben wir,ich will nicht sagen amerikanische Verhältnisse, aber ähnliche.Entwicklungen hier in Deutschland auch war und war jetzt auch leider zu erwarten.Sie rufen natürlich auch zu Spenden auf, weil durch das Funding sie natürlichjetzt ein Funding-Loch haben.Mehr dazu in den Shownotes.Dann gibt es eine und das sind so die AI-News, die du so,die so ein bisschen, die scrollen vielleicht so ein bisschen vorbei,weil die Leute haben vielleicht auch nicht so eine Lobby, also Synchronsprecherinnen,das ist ein Job, den gibt es überall auf der Welt, außer in den USA,das sind die Menschen, die….Das sind Menschen, die synchron sprechen zu Videos.Da gibt es ja dann auch in Deutschland einige große bekannte Leute,die dann eben, was weiß ich, die Stimme von Ben Stiller sind oder von BruceWillis oder wer auch immer.Und natürlich hat eigentlich ein so ein Schauspieler oder eine Schauspielerin,die haben natürlich eine Stimme, die werden jetzt selten mit mehreren unterschiedlichenStimmen in unterschiedlichen Ländern vertont.Und jetzt hat Netflix für seine Serien irgendwie oder für seine Synchronsprecherinneneinen neuen Vertrag, wo sie für 50 Jahre dann weitreichende Rechte an ihrenStimmaufnahmen abtreten,unter anderem das Recht, damit eine KI zu trainieren.Und das ist natürlich jetzt sehr klar, warum ja, dass sie nämlich sagen,pass auf wenn du hier genug reingesprochen hast wenn wir im Prinzip eine Seriemit dir vertont haben oder eine,Folge, dann können wir den Rest der Staffel mit einer AI machen,im Zweifelsfall also ohne Frage, natürlich billiger und natürlich,wahrscheinlich sogar schneller und in ähnlich guter Qualität oder du kannstdann natürlich auf einmal auch Stimmen oder Dinge sprechen, wie du,die du vielleicht sonst gar nicht aussprechen kannst.
Tim Pritlove 0:07:54
Ja, noch in ganz anderen Sprachen sprechen zum Beispiel.
Linus Neumann 0:07:59
Das ist natürlich die andere Frage, weil unter Umständen natürlich auch,das könntest du natürlich auch mit der Originalstimme machen.
Tim Pritlove 0:08:07
Ja, das könnte man machen. Aber wenn die Leute schon an die Synchronsprechergewohnt sind, wie das ja in Deutschland oft der Fall ist, oder sagen wir malauch eine besondere Affinität zu diesen Stimmen haben, Es gibt ja so bestimmte Sprecher,die vertonen ja, was weiß ich, X-V-Spieler und irgendwie hat man das so im Kopf.Das einzige Argument, was ich pro dieser Regelung sehe, weil das ja schon einbisschen fishy ist, dass man das macht für, na was ist, wenn du jetzt vom Bus überfahren wirst.
Linus Neumann 0:08:35
Ja, dann könnte man, das kann man aber auch hinschreiben, wenn du vom Bus überfahren wirst.Also was ja hier glaube ich, ich denke es ist schon relativ klar,dass das zeitnah wird diese Technologie, die Stimmsynthese,das Sitzen oder Stehen in solchen Synchronisierungsstudios ersetzen.Das wird einfach nicht mehr gemacht werden.Und das kann man jetzt mal annehmen, aber vielleicht wird es auch weiterhingemacht werden und am Ende auf eine Vinylscheibe gepresst, das kann auch sein,aber es ist naheliegend, dass einige versuchen werden, das jetzt einfach mitsolchen Programmen zu machen.Und das ist erstmal eine technische Entwicklung, zu sagen naja,okay, das ist aber jetzt übrigens mal ein Recht, dass du uns einräumst,wenn du einmal mit uns arbeitest,das ist halt was anderes und solche Stimmen haben eben,wenn insbesondere, wenn sie, wenn das Publikum daran gewöhnt ist,an diesen Schauspieler, haben die eben einen Wert und den aus einem einfachen.Zusammenarbeitsvertrag mal eben so zu so underhanded, so, ey,ach so, deine Stimme gehört jetzt übrigens uns, so, ja scheiße, ne?Das ist, glaube ich, schon ein bisschen fies, ja?Also so macht man das nicht. Ich denke, wenn jetzt irgendwie,also einer der Synchronsprecher, die ich jetzt so kenne, wäre Oliver Rohrbeck, ne?Der seit so und so vielen Jahren Justus Jonas spricht und Ben Stiller und wirnicht alles, wenn man jetzt übrigens sagt, so, ach ja, hier,für die nächste Aufzeichnung übrigens einmal kurz hier unterschreiben,dass deine Stimme ab jetzt uns gehört. Ich denke, dass das,Sollte halt keine Standardklausel sein. Und ich könnte mir vorstellen,dass die großen Sprecher da durchaus auch eben auch einen, dass sie natürlicheinen Wert haben und auch einen Preis aufrufen müssen für so etwas.Und natürlich wäre es sinnvoller, wenn das Recht zur Synthese ihrer eigenenStimme bei ihnen liegt und dann eben Case für Case eingeräumt wird.Aber nicht Netflix sagt übrigens, deine Stimme gehört ab sofort für immer uns.Also es ist wirklich schon ein sehr, sehr fieses Vorgehen.Und ja, da muss halt Protest hin.Es gibt vielleicht irgendwie so ein paar hundert Synchronsprecherinnen überhaupt,die haben natürlich eine sehr schwache Lobby.Und da gibt es eine schöne Webseite, die heißt nicht-net-flix.de,wo man einfach mal seine Unzufriedenheit damit zum Ausdruck bringen kann,und ankündigen kann, dass man sollte Netflix an dieser Klause festhalten unddie durchsetzen, dass man dann eben sein Abo kündigt und ein zu einem der anderenStreaming-Anbieter geht.Und ich glaube, das ist ein relativ wichtiges Signal, Weil es hier um eine kleineGruppe Menschen geht, die vielleicht auch Glück hatten,in dieser Rolle oder mit ihrer Stimme überhaupt Geld zu verdienen.Aber das ist eine hohe Kunst, das Synchronsprechen.Und die jetzt mal eben kurz unter die Räder zu kippen mit einer Klausel aufSeite 3, das ist schon wirklich unfein.Sei damit verlinkt und es gibt auch noch eine Fun-Facts-Folge,wo das ein bisschen erklärt wird.
Christopher Kunz 0:12:18
Was ich mich ein bisschen frage bei dieser ganzen Geschichte ist,was passiert denn eigentlich bei den Nicht-Netflix-Eigenproduktionen?Das kann ja eigentlich nur für Eigenproduktionen gelten, diese Geschichte.Oder also wenn die jetzt irgendeinen Film von Fox einkaufen oder so,der ist ja schon synchronisiert.
Linus Neumann 0:12:34
Klar, ich denke, ich würde auf jeden Fall sagen, dass es hier um die Eigenproduktiongeht. Das ist ja bei Netflix auch nicht wenig.Aber klar, wenn die Filme, und ich würde auch denken,dass die Stimme halt dann für 50 Jahre für diese Rolle oder Serie dann gekauftist und sie nicht sagen können, hier,wir setzen die Stimme jetzt ein, wo wir wollen.Da würde ich jetzt schon von ausgehen.Aber auch das ist natürlich schon ein bisschen heftig, weil du sagst im Prinzip,hallo, wir hätten hier gerne deine Stimme für eine Synchronisations-Sessionund dann willst du aber gleichzeitig sagen, aber die Bäckerei kriegen wir mit dazu.Das ist halt schon, erscheint mir ein bisschen großzügige rechte Einräumung.
Christopher Kunz 0:13:26
Es gibt da ein langes Rechtsgutachten, das auch verlinkt ist auf der Nicht-Netflix-Seite,wo man sich dann durchwühlen kann und das liest sich so beim Brüberscrollenschon einigermaßen haarsträuben.Zum Beispiel auch so, dass sie eben Sachen sich einräumen in diesen Verträgen,die noch nicht in bisherigen Verträgen abgedeckt sind und also sprich nichtnur neue Folgen, vielleicht auch ganz andere Serien als ursprünglich beauftragt.Also das ist sehr vage da in dem Rechtsgutachten,aber ich glaube, das könnte auch eine sehr unschöne Präzedenz für andere Streaming-Anbieterliefern, die da natürlich sehr genau hinschauen,ob Netflix jetzt auf die Nase fliegt damit.
Linus Neumann 0:14:15
Und das ist so ein bisschen, das ist genau, ach guck mal, hier ist der Vertragsogar auch auf der Seite des Sprecherverbandes, wo du dann irgendwie anklicken kannst.Gut, dann ist erstmal geschwärzt, um was es geht und dann…,Die Synchron-Schaffende erteilt Studio sowie dessen Rechtsnachfolgern,Abtretungsempfängern oder Lizenzen, die man hiermit die Erlaubnis,die Arbeitsergebnisse mittels analoger oder digitaler Medien einschließlichgenerativer oder anderer Formen kürzlicher Intelligenz zu bearbeiten,zu kürzen, zu verändern, zu arrangieren, umzugestalten.Soweit, das sind nur vorbehaltliche Erfüllung der Regelung.Anhang 1, Bearbeitung, Zustimmung.Meine Güte, ja. Okay, also, den geht's an den Kragen, da muss man mal ein bisschensolidarisch sein, da muss man mal Netflix kündigen, gerade jetzt im Frühjahrist das ja gar nicht so, das geht ja leicht von der Hand.Wir kommen jetzt wieder vor die Tür, da könnt ihr mal Netflix kündigen und nichtNetflix ist natürlich nicht minus net, doppelt T minus Flix D.
Tim Pritlove 0:15:22
Ich kann mir ja nicht vorstellen, dass das irgendwie fliegt mit den Synchronisationenfür Animationsfilme, wo sie ja bevorzugt auch richtige Stars sich ranholen,um ihre Animation-Filme besonders attraktiv zu machen.Und wenn du da jetzt Schauspiel-Superstars mit so einer Klausel kommst,ich glaube, da sagen die, dann,leck mich doch einfach mal am allerwertesten. Könnt ihr komplett vergessen.Das scheint ja jetzt auch eine deutsche Geschichte zu sein, wenn ich das hier richtig sehe.Es gab hier eine Verhandlung konkret mit dem Bundesverband Schauspiel e.V.Also bezieht sich das hier wahrscheinlich auf deutsche Verträge.
Linus Neumann 0:16:08
Ich stelle mir das auch ein bisschen so vor, weißt du, die,Wenn da jetzt irgendein Film mit irgendeinem Schauspieler oder irgendeiner Schauspielerinmal synchronisiert wird und du machst das da für ein paar hundert Euro und dannwird dieser Film aber erfolgreich oder diese Schauspielerin erfolgreich,dann kriegst du quasi nachher deinen,natürlich steigt damit dann eben auch der Wert deiner Stimme und dann kriegstdu eben Nachfolgebeauftragung.Dann eventuell begleitest du diesen Schauspieler oder diese Schauspielerin überihre Karriere und natürlich steigt dann damit auch dein Einkommen und dann redetman eben auch hier wie in der PM von einer Existenzgrundlage und ja,die hast du eben daher, dass du diese Stimme nun mal bist und dass die in derZukunft dann eben auch für anderePreise lieferst als den ursprünglichen Boris Becker Spoiler. mit AOL,Den hat ja auch jemand anders synchronisiert.
Christopher Kunz 0:17:13
Bin ich schon drin?
Linus Neumann 0:17:16
Das ist ja einfach. Traumhaft.
Tim Pritlove 0:17:19
Also man muss natürlich auch sagen, Synchronisation ist natürlich auch nichtnur die Stimme, sondern da gehört dann auch deutlich mehr dazu.Habe ich übrigens mal einen Podcast zu gemacht.Werfe ich auch gleich nochmal mit rein. CAE 150 über Filmsynchronisation,wo man diese ganzen Aspekte mal raushören kann.Die noch dazugehören, um wirklich eine gute Synchronisation zu machen,was halt mehr ist nur als jetzt irgendeinen Text zu sprechen,sondern da muss ja auch dein,da gehört ja auch die Adaption in die Sprache mit dazu, da gehört auch Ausdrückeund Begeisterung, Gefühle und so weiter, all diese ganzen Sachen, ja.
Linus Neumann 0:17:59
All diese Dinge, die uns so fremd sind.
Tim Pritlove 0:18:01
Ja, ich hab da viel gelernt, also ich mach das ja, Linus, du kannst ja nochmal den Podcast anhören.
Linus Neumann 0:18:07
Klappt das vielleicht auch bei dir. Habe ich ja schon gehört,ich habe alle zu dir eh gehört.
Tim Pritlove 0:18:09
Warum ist das dein Ernst?
Linus Neumann 0:18:11
Ich hab dir auch synchronisiert.
Tim Pritlove 0:18:13
Welchen Sprachen denn?
Linus Neumann 0:18:15
Deutsch.
Tim Pritlove 0:18:16
Ich hab dir auswendig gelernt.
Linus Neumann 0:18:18
Ich hab dir nochmal mit ein bisschen mehr Ausdruck eingesprochen.Mit einer KI. Das kostet aber jetzt Geld.Wir hatten in der letzten Woche eine gute Nachricht. Kurz, außer nicht,Finger weg von dem Knopf.
Tim Pritlove 0:18:34
Jaja.
Linus Neumann 0:18:36
Und die,Und zwar, dass die freiwillige Chatkontrolle nicht verlängert wurde und dannhaben aber die Konservativen, also die EVP, für morgen, Donnerstag, den 26.März, sich angestrengt eine Wiederholungsabstimmung zu erzwingen,um diesen Grundsatzbeschluss nochmal zu kippen.Und dann wird aber davor am Mittwoch darüber abgestimmt, ob die Wiederholungsabstimmungüberhaupt stattfinden kann. Dieser Mittwoch ist heute.Und damit hatten jetzt quasi die Grünen, FDP,Linken und AfD versucht, ihren Widerstand gegen diese Wiederholungsabstimmung,also es ist auch irgendwie, ist schon lustig, so Demokratie, oh, oh, oh, oh,scheiße, nee, dann machen wir Wiederholungsabstimmung, also das ist,wo kommen wir denn da hin?Dann könnten wir auch mal ein paar Wiederholungsabstimmungen gerade mal kurzmachen übrigens, aber okay wurde versucht das zu stoppen,und es wird jetzt leider morgen noch einmal stattfinden also der,Versuch diese Wiederholungsabstimmung nicht zuzulassen ist gescheitert und deswegenwird morgen eine Wiederholungsabstimmung stattfinden.Haben wir uns zu früh gefreut.
Tim Pritlove 0:20:08
Da bin ich ja mal gespannt.
Linus Neumann 0:20:10
Aber ich finde es auch wirklich, so Politikverdrossenheit oder so,das kann man natürlich gut bekämpfen, indem man,Abstimmungen, die nicht so gelaufen sind, wie man wollte, einfach nochmal neumacht. Jeder macht mal einen Fehler oder so.Also da hat man auch wirklich, da wird so richtig schön das Vertrauen in Demokratie,investiert von lieben Freundinnen und Freunden.Aber Christopher, was ich dich fragen wollte, was hast du eigentlich für einen Router?
Christopher Kunz 0:20:43
Ich habe natürlich eine Fritzbox.
Tim Pritlove 0:20:48
Deutsche Router für deutsche Netzwerkszugang.
Linus Neumann 0:20:52
Deutsche Router für deutsche Netzwerkszugang.Wie heißt die Firma nochmal? AVM Audiovisuelle Medien.
Tim Pritlove 0:21:01
Nicht mehr.
Linus Neumann 0:21:02
Die haben sich kürzlich unbedingt schade eigentlich.
Tim Pritlove 0:21:04
Die heißen jetzt auch Fritz.
Christopher Kunz 0:21:07
Die sind ja auch irgendwie gekauft worden oder da ist irgendwie Private Equityeingestiegen, glaube ich, vor ein paar Jahren.
Linus Neumann 0:21:13
Ja, darfst du in den USA nicht benutzen, ne?
Tim Pritlove 0:21:17
Gibt's da auch nicht.
Christopher Kunz 0:21:20
Ja, würde in den USA ab morgen oder ab heute nicht mehr neu zugelassen werden,wenn jetzt die neue Super Fritzbox kommt, die kriegt keine Zulassung mehr vonder Aufsichtsbehörde, von der FCC.Weil es aus dem Ausland ist ganz, ganz böse.
Linus Neumann 0:21:36
Und ist das ein Problem für die USA?
Christopher Kunz 0:21:40
Das kommt drauf an, wie viel Vorräte die noch in ihren Lagern haben,bei ihren Mediamarkt-Derivaten, ihre Best Buy und wie das alles in den USA heißt, weil die Sachen, die ja,die Router, die jetzt zugelassen sind, die dürfen weiter verkauft werden,solange man keine Software-Updates rausgibt dafür, das ist also doch der nächsteBonus, aber es wird nichts Neues mehr zugelassen.Und außer es wird komplett in den USA nicht nur zusammengeschraubt,diesen Trick gibt es ja schon ewig, dass man dann einfach die Komponenten indas Land verschifft, wo es dieses Embargo gibt und dann da zusammenschraubtund sagt so made in Land X.Nein, sie müssen auch da designt sein und alle wichtigen Schritte der Kettemüssen in den USA durchgeführt werden und auch alle Chips, die irgendwas sendenund empfangen, müssen aus den USA kommen.Also alles andere, so Speicher und so darf aus China sein, Notfall sind Widerständeund der PCB oder so, aber das was sendet und empfängt, das muss aus den USA kommen.
Tim Pritlove 0:22:36
Also das Ganze ist jetzt ein neuer Erlass der FCC, wo ja auch so ein Qualitätsmenschjetzt da von Trump in die Führung gesetzt wurde.
Linus Neumann 0:22:48
Federal Communications Commission, sowas in Deutschland wäre das dann die BNZ-A, oder?
Tim Pritlove 0:22:56
Es würde wahrscheinlich sehr viel von dem, was die machen würde,in den Bereich reinfallen. Aber es sind halt auch so Lizenzen für Broadcaster.Das ist ja auch so ein Thema, hatten wir ja auch schon ein paar Mal.Und es ist noch ein bisschen unklar, was jetzt hier das Ziel ist.Also man könnte natürlich jetzt sagen, die USA, also was heißt,man könnte sagen, das ist die Argumentation.Wegen der Sicherheit müssen wir jetzt hier das böse Ausland raushalten.Eine ähnliche Verordnung gabes, glaube ich, auch schon in Bezug auf Drohnen tatsächlich in den USA.
Christopher Kunz 0:23:29
Ja, Ende letzten Jahres.
Tim Pritlove 0:23:32
Und man kann jetzt allerdings theoretisch für einzelne Modelle,nicht so generell für die Firma, sondern immer nur für einzelne Modelle einen Antrag stellen.Da muss man dann aber einen Nachweis machen über, was sind die Firmenstrukturen,was haben wir für Partner, was haben wir für Joint Ventures.Wir müssen hier jeden Eigentümer abklopfen, der irgendwie mehr als fünf Prozentam Unternehmen hält. Was ist hier für ein Management?Also unterliegt ja irgendeine Einflussnahme ausländischer Regierungen.Dann müssen sie ein Bill of Materials vorlegen, nachweisen, wo die Router gebautwerden, wo die Software herkommt, wo die Firmware herkommt etc.Und lustigerweise müssen diese Anträge auch nicht an die FCC gestellt werden,sondern entweder ans Department of Defense oder dieses Homeland Security Ministerium.Also da sieht man schon, wo der Hase langläuft bei denen. Ist ein bisschen unklar.
Linus Neumann 0:24:29
Aber qualifiziert denn irgendein Router aus den USA?
Tim Pritlove 0:24:33
Naja, gibt ja ein paar amerikanische.
Linus Neumann 0:24:36
Welchen?
Tim Pritlove 0:24:38
So Ubiquiti und Starlink zum Beispiel. Das ist ja alles amerikanische Ware.
Linus Neumann 0:24:47
Also ich glaube.
Tim Pritlove 0:24:49
Cisco hat glaube ich noch ein paar Router im Angebot.Was ist das? Links gehört Cisco?
Christopher Kunz 0:24:57
Ja, übrigens gilt das auch nur für Consumer-Router. Also die ganzen Business-Router.
Linus Neumann 0:25:01
Das ist alles exempt.
Christopher Kunz 0:25:03
Es geht nur darum, was sich Peter Smith in seine Stadtwohnung in Manhattan stellt.Das ist wichtig und das ist jetzt verboten. Aber wenn ich so einen Enterprise-Routerhabe, der wer weiß, wie viel Terabit durchschiebt, dann ist es vollkommen egal,ob der aus China kommt oder nicht.
Tim Pritlove 0:25:18
Genau, also Netgear ist noch ein amerikanischer Hersteller. dann gibt es noch so Eero,Google Nest, glaube ich, hat auch so einen WiFi-Router, also was.
Christopher Kunz 0:25:29
Die Frage ist aber, werden die auch wirklich alle in den USA zusammengebaut?Das haben wir auch noch nicht so nachforschen können.Denn also Netgear zum Beispiel, da bin ich fast sicher, dass das meiste wirklichin Südostasien zusammen gelötet wird und nicht im Land der freien Routerwahl.
Tim Pritlove 0:25:49
Das könnte sogar für fast alles gelten. Also, dass sie jetzt irgendwie die Starlink-Elektronikkomplett in den USA bauen, kann ich mir auch nicht vorstellen.
Christopher Kunz 0:25:57
Angeblich in Texas, aber...
Tim Pritlove 0:25:58
Echt?
Christopher Kunz 0:25:59
Wer weiß. Wer weiß.
Linus Neumann 0:26:03
Es gibt eine Liste, was man schon mal nicht darf.Aber die gibt es, die ist glaube ich auch schon länger, das ist dann so Huawei,ZTE und so, das wollen sie nicht. Kaspersky Lab, Router.
Tim Pritlove 0:26:16
Im Heiser Artikel steht am Ende noch, Heiser Online hat die FCC gefragt,ob sie Open Source Software als im Inland hergestellt einstuft.Das ist eine schöne Frage. Ich vermute mal, es gab keine Antwort.
Christopher Kunz 0:26:26
Ich bin nicht sicher. Ich habe mit dem Kollegen seitdem nicht mehr gesprochen,aber in der Regel ist es so, wenn wir eine Antwort kriegen, dann schreiben wires dann ja auch in den Artikel.Beziehungsweise machen dann noch einen Nachklapp dazu und wenn es den nichtgibt, dann heißt das, dass die FCC uns noch nicht mit einer Antwort beehrt hat.Vielleicht ist es auch einfach, weil die E-Mail aus dem Ausland kam.Vielleicht sind ausländische E-Mails jetzt auch nicht mehr so genehm.
Tim Pritlove 0:26:49
Ich könnte dir auch einfach vorstellen, dass sie auf sowas nicht vorbereitet sind.
Christopher Kunz 0:26:52
Das ist nicht hundertprozentig witzig gemeint. Es gab mal eine Zeit,da hat, ich glaube, die CISA den Zugriff auf ihre Listen für Non-Exploited Vulnerabilities Geofenced.Und dann bist du da aus bestimmten Ländern unter anderem auch zwischenzeitlichmal aus Deutschland nicht mehr herangekommen, weil die dann Geofenster vorgeschnallthaben und dann musste man die irgendwie von GitHub ziehen oder von irgendeinemanderen Büro. Also so ganz ausgedacht ist das nicht.
Linus Neumann 0:27:18
Oh Mann.
Tim Pritlove 0:27:19
Naja, mal schauen. Also auf jeden Fall igelt sich die USA technologisch da ein,Inwiefern jetzt hier nur Security-Argumente gelten oder sie einfach nur mehrZugriff auf Zugangsüberwachung erhalten wollen, das sei mal dahingestellt.
Linus Neumann 0:27:39
Ja, also ich erinnere mich immer noch an diese deutschen Diskussionen mit derRouterrichtlinie, das war ja so eine der letzten Male,dass ich mich an so etwas noch irgendwie beteiligt habe und das war ja einfach nur,Also einfach traurig, ne? Also Auslöser war diese TR064-Schnittstelle auf irgendeinemTelekom-Router von Arcadian, die, wenn man da eine TR069-Nachricht oder umgekehrt hingeschickt hat,dann stürzte der quasi ab und mit voll CPU, also mit hoher CPU-Last.Und wenn du drei, vier so Nachrichten da hingeschickt hast, dann sind halt genugProzesse auf hoher CPU-Last gelaufen, dass dieser Router abgestürzt ist.Und dann musste ein Update eingespielt werden, das hat die Telekom dann auchgemacht, nachdem sie halt mal den Port gesperrt hat für diese Router.Was ja auch schon mal lustig ist, dass der Fernwartungsport dieser Router halteinfach, also den die Telekom für die Fernwartung nutzt, dass sie den auch ans echte Internet expost.Was mir dann ein bisschen erstaunlich schnell ging, war das Update von Arcadianund dass kein anderer Arcadian-Router da draußen betroffen zu sein schien.Was ein bisschen nahe legte, dass vielleicht die Telekom das Update einfachnicht eingespielt hatte.Und dann gab es danach die technische Richtlinie Router.Und dann hat das BSI da gesessen in Bonn und dann haben sie die Routerherstellerund die Netzbetreiber und dann waren sie alle da und dann wollten sie ein Logohaben und da musste, was man alles erfüllen muss.Und das sollte natürlich, natürlich waren die Hersteller da,um dafür zu sorgen, dass es möglichst irgendeine Form von Anforderung da drinsteht, die es ihnen ermöglicht,einen exklusiven Vorteil gegenüber der Konkurrenz zu haben aus anderen Ländern. Ich bin da...Natürlich mit den politischen Entwicklungen inzwischen natürlich auch etwasgespaltenerer Meinung.Ich glaube, Arcadian ist aber auch nicht China, sondern Taiwan,müsste man mich jetzt korrigieren.Ich weiß jetzt nicht, ob ich mir einen russischen Router hinstellen würde oderüberhaupt irgendein russisches Endgerät.Und wenn man sagt, man traut Russland nicht, dann kann man sich natürlich auchdie Frage stellen, ob man sich chinesische Geräte irgendwo hinstellen will.Was man, ich weiß nur nicht um die Bedeutung des Routers so sehr weißt du,ja okay, klar könnte sein ein Router ist dazu geeignet,eine Backdoor ins interne Netz zu ermöglichen, aber dann würde ich ja geradejetzt so diese Customer Premises Equipment, also diese Plastikrouter die haltin einer Wohnung stehen, wie du gerade schon sagtest Christopher,würde ich mich ja nicht unbedingt auf die konzentrieren, sondern vielleichtmal gucken naja, was ist denn mit den Enterprise Geräten, was ist mit den Routern,die wirklich auch mehr als drei, vier Routen so verwalten können.Also es macht irgendwie keinen, es macht nicht wirklich Sinn.Also aus einer Sicherheitsperspektive kann ich da jetzt nicht erkennen,dass das sich rechtfertigen ließe genau in dieser Priorisierung und Vorgehensweise.
Christopher Kunz 0:31:11
Also das ist schon eine etwas seltsame Priorität, auch dieses in Bausch undBogen alles aus dem Ausland zu verbieten und dann mal zu gucken,was machen wir dann danach, aber die Vorgehensweise haben wir ja bei dieserRegierung auch schon ein paar Mal gesehen,was ja sicherlich auch den Ausschlag gegeben hat, war nicht unbedingt nur sodieses Traffic abgreifen oder irgendwie man in the middle machen,sondern, dass diese Consumer-Router ja auch massiv in so Bot-Nets mitgespielt haben.Und das ist auch was, was sich in den letzten Jahren sehr stark rauskristallisierthat in diesen Residential Proxy Netzwerken, wo dann teilweise auch mit Wissender Anschlussinhaber, die dann dafür einen kleinen Obolus kriegen,die Geräte mitgenutzt wurden von Leuten, die sich da eingemietet haben.Und das ist ja zum einen dann zum Beispiel so, weiß ich nicht,irgendwie Web-Crawler oder so AI-Crawler, die möglichst so aussehen wollen,als kämen sie von so einem DSL-Anschluss, damit nicht Leute wie ihr und ichdann auf ihrem Web-Server da so eine Anubis oder irgendeinen anderen Crawler-Blocker deployen.Und dann gibt es aber auch diejenigen dieser Netze,die da ja unheimlich viel Malware drin haben und wo unheimlich auch dann dieseberühmt-berüchtigten staatlichen Akteure sich dann als DSL-Anschluss irgendwoim mittleren Westen der USA tarnen.Und ich glaube, dass es da schon ein bisschen herkommt, also zumindest dieseHerangehensweise, die kann ich auf eine Art nachvollziehen.Das Vorgehen, nun ja...
Linus Neumann 0:32:38
Ja, okay, da hast du auf jeden Fall einen richtigen und wichtigen Punkt.Die sind gerne mal geohnt. Dieser Telekom-Fall vor den vielen Jahren,das war auch, wie hieß das denn, Mirai oder sowas? Ich glaube, es war sogar Mirai.
Christopher Kunz 0:32:55
Ja, das war Mirai. Die haben dann auch immer die Leute gewarnt.Du hast dann irgendwie eine E-Mail gekriegt oder ich glaube sogar einen Brief.Achtung, ihr Router ist Teil eines Botnetz und sie müssten dann mal aufs Knöpfchendrücken oder sowas. Ich erinnere mich dunkel.
Linus Neumann 0:33:06
Und das stimmt natürlich, dass du da, wenn es eine ausreichende Monokultur gibt,eine ganze Reihe Geräte unter deiner Kontrolle bekommen kannst und dann hastdu natürlich auch eine entsprechende Feuerkraft für DDoS-Angriffe oder diese Crawler-Geschichten.Das ist auch eine interessante, also gibt es natürlich einerseits als wir owndeinen Router, aber gibt es auch als hey, wir haben eine coole App für dich auf deinem Smart TV.Willst du nicht, dass dein Smart TV, wenn du gerade nicht Fernsehen guckst,dein Smart TV für uns ein paar Werbeanzeigen klickt und du kriegst dafür 5 Eurogutgeschrieben oder so.Da gibt es schon sehr absurde.
Tim Pritlove 0:33:53
Aber ich meine, das Sicherheitsargument hat natürlich nichts damit zu tun,dass man jetzt hier sagt, nur US-amerikanische Router sind gut.Das mag ein Faktor sein, aber letzten Endes müsste man natürlich an alle Herstellereinfach klare Maßstäbe anlegen, die halt wirklich sicherheitsorientiert sindund nicht nur danach gehen, wer jetzt hier irgendwie welchen Pass hat.
Linus Neumann 0:34:17
Also ich glaube, dass sie sagen, naja, bei einem amerikanischen Hersteller,wenn da der Router irgendwie unsicher ist, dann können wir notfalls einfachnachts da hinfahren und den aus dem Bett klingeln.
Tim Pritlove 0:34:28
Das würde doch keiner machen.
Linus Neumann 0:34:29
Und ich könnte mir vorstellen, dass das der Gedanke ist, oder?
Tim Pritlove 0:34:34
Naja.
Christopher Kunz 0:34:35
Ich bin mir nicht sicher. Also zwei der Hersteller von so Netz-Security-Appliances,die immer mal wieder lustige Löcher haben, die sitzen ja auch in den USA.Und da gibt es jetzt noch keine Verbote. Da gab es aber auch schon mal Abschaltandrohungenvon der US-Cybersicherheitsbehörde, wie sie sich dann immer schön nennt in unseren Artikeln.Also das ist schon ein bisschen wild, was die da treiben. Und ich weiß nicht,wie zielführend das ist.Ich glaube, dass vielleicht auch noch eine weitere Dimension ist,diese Hersteller dazu zu zwingen,einfach Produktionskapazität in den USA aufzubauen und dann wieder dieses Arbeitsplatz-Argumentanzuführen und zu sagen, schau mal, wie viele Arbeitsplätze jetzt durch dieTP-Link-Router-Fabrik in San Fernando Valley oder wo auch immer entstehen.Du den Markt nicht komplett aufgeben willst, musst du ja irgendwas tun jetztals Hersteller aus Taiwan oder China oder irgendwo anders her.
Linus Neumann 0:35:35
Naja, aber dann kommen wir doch mal zu unserem Hauptthema heute.Polizei, dein Freund und Patcher.
Christopher Kunz 0:35:43
Hautfixer, dein Freund und Hautfixer. Ich muss schon korrigierend eingreifen. Es ist alles sehr wild.
Linus Neumann 0:35:48
Stimmt, es gab ja gar keinen Patch.
Christopher Kunz 0:35:51
Wir können im Präsens bleiben. Also zum Zeitpunkt der Aufnahme,ich reloade die Seite nochmal.Man wird nämlich auf der Warnseite vom Hersteller gebeten, regelmäßig nachzuschauen.Ich schaue jetzt nochmal regelmäßig drauf.
Linus Neumann 0:36:03
Lass da doch irgendein Botnetz einfach kurz immer gucken für dich.Da musst du doch jetzt nicht immer F5 drücken.
Christopher Kunz 0:36:09
Ich lasse das mal in den AI-Crawler machen über ein Transidential Proxy Network.Genau. Soll ich was erzählen oder wie wollen wir das machen?Ich weiß nicht, ob ich das unfallfrei hinkriege oder ob ich vielleicht ein bisschenlachen muss zwischendurch.
Tim Pritlove 0:36:24
Das ist hier Standard.
Linus Neumann 0:36:25
Die Hörerinnen auch.
Christopher Kunz 0:36:27
Es ist ein bisschen, es ist eine recht wilde Geschichte, die am Wochenende passiertist und die fand ich sehr bemerkenswert, deswegen habe ich auch ein bisschenwas drüber geschrieben.Also es begann am vergangenen Sonntag, so am späten Vormittag,da kriegte ich eine Nachricht von der Quelle,da gibt es eine Sicherheitslücke in dieser Software Windchill und in der SoftwareFlexPLM und dann dachte ich mir, naja,das kann vielleicht bis Montag warten, das ist vielleicht jetzt nicht unbedingtdringend was fürs Wochenende, wir haben ja auch bei Heise so eine Wochenendschicht,aber manchmal kriegt man solche Tipps halt auch am Wochenende direkt.Und ich habe mir dann angeschaut, was das für Produkte sind. Das ist,Software zum Product Lifecycle Management und da hört es bei mir auch schon auf mit dem Fachwissen,ist also was eher branchenspezifisches, was nischiges, also nichts,wo ich jetzt sage, da gibt es auf der Welt 250 Millionen Installationen,das ist kein Chrome oder auch nur ein SharePoint.Und das Ding hatte eine Lücke, die wir allerdings aus SharePoint sehr gut kennen,weil da haben wir alle vier Wochenwas in der Art, eine unsichere Deserialisierung in so einem Endpunkt,der irgendwie auf dem Web-Server irgendwo liegt und wo man dann ohne Authentifizierungpotenziell eigenen Code hätte ausführen können.Und das ist dann in der nach oben geschlossenen CVSS-Skada halt so eine Zehn.Also das kriegt dann die volle Punktzahl und da dachte ich immer noch,naja gut, das ist eine schwere Sicherheitslücke, aber ist das jetzt wirklichso wichtig? Ich meine, wie viele Leute in Deutschland kennen dieses Produkt?
Tim Pritlove 0:37:56
Kannst du kurz erläutern, was eine Deserialisierungslücke ist?
Christopher Kunz 0:38:00
Also da bin ich auch nicht so firm drin, aber am Ende, wenn du Input in einerWeb-Anwendung weiterverarbeitest, Dann serialisierst du den auf eine bestimmte Art und Weise.Also zum Beispiel JSON ist ja auch eine Art Serialisierung von Daten.Und dann hast du eine Deserialisierungsfunktion, die kriegt dann ja User-Input.Der kommt irgendwo aus irgendeinem Webformular oder aus irgendeiner Session-Variable oder sowas.Das ist also in der Regel vom User kontrolliert. Und wenn du dann deine Deserialisierungfalsch anstellst, dann kann da Code mit durchrutschen, also dass dann zum Beispielnach dem Ende des Arrays noch irgendeine, in diesem Fall Java-Methode,mit ausgeführt wird.Es gibt Generatoren online, da kann ich mir dann entsprechende Payloads,die heißen dann Gadget Chains,selber generieren und kann, wenn ich so eine Lücke irgendwo finde,die dann ausnutzen, um beispielsweise eine Webshell auszuführen oder CalcExezu starten oder was auch immer man mit so einem Remote Code Execution Ding so macht.So, die sind bekannt durch eben sowas wie die Tool-Shell-Lücke,die es letztes Jahr im Sharepoint gab und die auch sehr weitlich ausgenutztwurde, wo es auch größere Verwirrungen darum gab, wie viele Lücken das eigentlichsind und wie gefährlich die alle sind.Aber diese Deserialisierungslücken sind diese relativ alltägliche Geschichte,die wir so bei Heise Security recht häufig im Ticker sehen.Deswegen war ich jetzt nicht unheimlich panisch und aufgeregt,als ich das gelesen habe, weil das ist eigentlich so, was bei Microsoft heißt,das ist Mittwoch, wenn so eine Lücke rauskommt.Ich habe dann trotzdem eine Meldung dazu gemacht, weil meine Quelle sagte,das solltet ihr euch doch mal angucken, zumindest mal ein bisschen was dazuschreiben, weil das könnte irgendwie steil gehen. Und die Quelle hatte recht.Ich habe eine Meldung gemacht, habe die online gestellt und da hatte jemandecht einen guten Riecher, das hätte ich nämlich so nicht gesehen.Und die Meldung lief jetzt erstmal auch so, wie ich das erwartet hatte,also mehr oder weniger unter Ausschluss der Öffentlichkeit, weil dieses Produkteben in Deutschland nur sehr, sehr wenige Unternehmen überhaupt einsetzen.Und dann ist auch so ein Security Alert an einem Sonntag im Grunde was,was nicht so viele Leute lesen. Und dann kam der Montagmorgen und dann guckteich ins Forum, weil mir ein Kollege sagte, du musst mal kurz in das Forum zuder Meldung gucken, da passieren komische Dinge.Ich hatte auch schon eine E-Mail oder zwei bekommen, wo dann drin stand,hier, da hat die Polizei wohl vor der Tür gestanden bei Leuten,die diese Software einsetzen, am Sonntag in der Nacht.Und dann dachte ich, das jetzt kurz auf die Uhr geguckt, das hat man auch imForum einige geschrieben, deswegen klaue ich den Witz, ist schon erster Vierter,das ist ja irgendwie nicht normal.Dann bin ich losmarschiert, hab dann im Forum geguckt und da sind ja,wie das so ist, wenn man zum Glück immer noch keine Klarnamenpflicht gesetzlichverankert hat, da sind dann natürlich viele Leute unter Pseudonym und dann habe ich gesagt, okay.Kann mir bitte jemand aus der Anonymität raustreten oder meinetwegen auch anonym,zumindest könntest mir mal irgendwie beweisen, was ihr da behauptet.Und dann kamen ein halbes Dutzend E-Mails am Sonntag und am Montag.Und diese Leute sagten, ja, da hat bei uns um halb drei jemand den Geschäftsführeraus dem Bett geklingelt.Und man möchte sich bitte sofort um diese Sicherheitslücke kümmern.Und ein weiterer Heise-Leser hat mir geschrieben, da stand jemand bei uns,Am Sonntag, wir machen Mehrschichtbetrieb und wir produzieren auch am Wochenende,stand jemand in der Produktionsstätte und hat Produktionsmitarbeiter angesprochen von der Polizei.Man möge doch mal bitte diese Sicherheitsinformation weitergeben.Und diese Sicherheitsinformation war eben im Wesentlichen das Advisory von PTC,das ist der Hersteller von Windschild und Flex PLM,das bereits am Freitagabend um etwa 23 Uhr westeuropäischer Zeit an alle Kunden gegangen war.Das wurde dann also, ich weiß nicht, ob ausgedruckt oder als Link,es wurde auf jeden Fall nochmal von der Polizei persönlich teilweise überreicht.
Tim Pritlove 0:42:02
War das jetzt ganz normale Polizei? Oder war das irgendeine spezielle Abteilung?
Christopher Kunz 0:42:11
Das war das Hotfix Spezialeinsatzkommando.
Tim Pritlove 0:42:17
Datenverkehrspolizei oder was?
Christopher Kunz 0:42:18
Ja, ich habe auch versucht mit irgendeinem Bildgenerator ein pseudowitzigesKI-Bild zu machen, aber ich habe dann doch was bei Shutterstock gekauft.Nein, das war wohl normale Streifenpolizei. Also ich habe die Meldekette dannversucht nachzuvollziehen, weil ich dann auch wissen wollte,ich habe das noch nie gehört. Also ich mache das jetzt auch schon ein paar Jahre.Ich habe aber auch ja nicht alles gesehen, was so passiert ist.Und ich glaube, gerade bei großen Themen, also wenn für große Unternehmen zumBeispiel ein Cyberangriff bevorsteht,und es dann einen Tipp gegeben hat an irgendeine der Ermittlungsbehörden,dann fahren die natürlich auch mal da in das Unternehmen und sagen,Achtung, könnte sein, dass da morgen ein Ransomware-Angriff läuft oder dassihr schon penetriert seid.Also das kann ich mir schon gut vorstellen, aber dass die jetzt wirklich inMengen rausfahren, in Bayern zum Beispiel wurde, ich weiß nicht,ob persönlich oder persönlich per E-Mail und Telefon eine niedrige dreistelligeAnzahl an Unternehmen informiert.Also das ist jetzt nicht so, dass da irgendwie zwei oder drei informiert wurdenund da die Polizei teilweise vorgefahren ist, sondern da war richtig was los.Und das war also zu Zeiten, wo ich dann sagen würde, als jemand,der auch mit diesen ganzen Abmahngeschichtenund Hausdurchsuchungen so ein bisschen sozialisiert wurde,da sollte ich mir vielleicht überlegen, ob ich mal ganz schnell den USB-Stickmit den kompromittierenden Informationen runterschlucke, weil wenn die um vieran der Tür klingeln, dann normalerweise ist das ja eher der Termin für eine Hausdurchsuchung.Und insofern ist das schon einigermaßen auch für die Leute, die davon betroffenwaren, nicht nur ungewöhnlich, sondern auch vielleicht ein bisschen,ich will nicht sagen beängstigend, aber schon auch so ein kleiner Schock gewesen, zumal am Wochenende.
Linus Neumann 0:43:52
Und diese Software, wir kennen sie noch nicht mal?Sie ist sehr wenig verbreitet?
Christopher Kunz 0:44:02
Ja, also sie ist nicht SharePoint. Ich nehme das immer als Beispiel her,weil wir da eben auch diese Desirialisierungslücken haben und weil wir da auchziemlich gut sehen können, wie zum Beispiel Microsoft auf solche Sachen reagiert.Und das ist eine ganz andere Hausnummer. Es gibt wohl 1200 oder in der Regionvon zwischen 1000 und 1400 Betroffene, Also diese Software,eine dieser beiden Softwares, Winchill und FlexPLM sind zwei verschiedene Produktevom gleichen Hersteller, die aber die gleichen Sicherheitslücken hatten.Also die gleiche Sicherheitslücke ist das eine, die diese 1200,1300, was auch immer in der Größenordnung Betroffenen sind, zugegebenermaßenaber auch teilweise Unternehmen mit Namen.Also ich habe mal beim Hersteller selber nachgeschlagen, die haben dann ja immerdiese tollen Case Studies und zeigen, was sie alles tolles mit ihren Kundenmachen und da ist dann MAN dabei, die kennt man, Lufthansa Technik in Hamburgist auch kein ganz kleiner Laden. ZF gibt es noch.Die sind auch nicht so winzig. Weiland. Und was ich originell fand,ich weiß nicht, wie groß das Unternehmen ist, aber ich kenne die aus dem Stadtbild.Street Scooter. Das sind nämlich die, die diese gelben Elektro-Post-Autos machen,soweit ich weiß, oder früher gemacht haben.
Tim Pritlove 0:45:15
Ja, das sieht man ja.
Linus Neumann 0:45:16
Die sind ein Problem im Stadtbild, wollte ich nur sagen.
Christopher Kunz 0:45:19
Das kommt drauf an, ob sie sich bewegen oder auf dem Fahrradweg stehen.Und was die Software macht, ich habe wirklich ich bin da total überfragt.
Tim Pritlove 0:45:32
Aber sie macht nichts Unsicher.
Linus Neumann 0:45:34
Diese Realität.
Tim Pritlove 0:45:36
Lifecycle Management heißt das ja und das ist halt jetzt hier Maschinenbau,Automotive Bereich, Luftraumfahrt, so Medizintechnik wird das halt einfach intern,verwendet und ist halt so eine dieser Standardlösungen im Markt und dieses FlexDas PLM ist wahrscheinlich was ähnliches, aber das ist glaube ich mehr so aufBekleidungsindustrie,Konsumgüterkram, also etwas andere Branche als Target.
Linus Neumann 0:46:07
Aber das klingt für mich nach etwas, was man jetzt wahrscheinlich eher so inso einem internen Netz betreibt.
Christopher Kunz 0:46:14
Ja.
Linus Neumann 0:46:15
Und vielleicht nicht draußen ans Internet hängt, also woher kommt genau jetztder, also was genau, wo war jetzt der Notstand, dass am Wochenende die Polizei an der Tür steht?
Christopher Kunz 0:46:28
Das ist eine ganz ausgezeichnete Frage, die ich auch allen, die sie nicht hörenwollten, gestellt habe.Erst mal ist das, was du da sagst, auch grundsätzlich der Tenor dessen,was ich an Rückmeldungen von unseren Lesern, also von den Betroffenen,die sich bei mir zurückgemeldet haben, bekommen habe.Einer war dabei, der sagte, er wisse gar nicht, warum er da angesprochen undin aller Herrgottsfrühe in die Firma beordert worden sei, denn man hätte zwardarüber nachgedacht, dass eins der beiden Produkte zu nutzen,nutze es aber derzeit gar nicht.Also es sei nie eine Lizenz erworben worden.
Linus Neumann 0:47:02
Das ist die Gedankenpolizei.
Christopher Kunz 0:47:03
So eine Art Precrime. Du musst auch Software updaten, die du in Zukunft zu kaufen gedenkst.Ein anderer oder mehrere andere sagten, wir haben das natürlich irgendwo imLAN vernagelt und das ist nicht übers Internet erreichbar.Man sollte das nicht zu sehr relativieren, weil natürlich ist irgendwie LateralMovement ein Ding. Und wenn jemand erstmal im Netz drin ist und dann so eineInstallation findet und dann noch einen weiteren Server hat,wo er Code ausführen kann, dann ist das natürlich auch alles andere als toll.
Linus Neumann 0:47:35
Genau, aber da kannst du montags um zwölf mal anrufen und nicht Samstag nachts kommen.
Christopher Kunz 0:47:41
Ja, oder du kannst einfach abwarten, bis die Leute den Hotfix,der ihnen ja schon per E-Mail zugestellt wurde, Klammer auf,auch nicht immer unbedingt an die richtige Adresse, wie mir ein Beteiligter gesagt hat,abwarten und dann sagen, ich installiere dann den Hotfix bzw.Spiele erstmal den Hotfix ein.Das ist aber in diesem Fall auch nicht geschehen und das ist das eigentlichInteressante an dieser Geschichte, denn ich finde jetzt, man könnte schon drüberdiskutieren, ob es nicht vielleicht sogar eine ganz gute Idee wäre,wenn mal ein bisschen mehr Druck darauf käme, dass die Leute ihre kaputten Exchange-Serveroder ihre Sharepoints oder ihre, weiß ich nicht, WordPress von 2008 mal fixen,damit die nicht weiter eine Gefahr für den Rest des Internet darstellen, aber,ausgerechnet an dieser Stelle wirkt es irgendwie total.Komisch, ich fehle am Platz, eine sehr seltsame Risikoeinschätzung und ich bindann losgegangen und habe da die sämtlichen deutschen Landeskriminalämter unddas BKA und das BSI um eine Stellungnahme gebeten und dann sind mir irgendwiedie drei Buchstabenagenturen ausgegangen,weil BND wollte ich nicht fragen und die haben dann also durchschnittlich vieroder fünf Zeilen lang geantwortet,und die Antworten der Landeskriminalämter lasen sich alle sehr, sehr ähnlich.Das Vorgehen unterschied sich, also sie haben teilweise nur angerufen,zum Beispiel in Niedersachsen, da wurden die Betroffenen angerufen oder haben E-Mails bekommen.In anderen Bundesländern, zum Beispiel in Thüringen, sind sie persönlich vorbeigefahren,in NRW hat es das auch gegeben.Das wurde mir dann auch entsprechend bestätigt und dann stand da immer drin,Für die übergeordneten Sachverhalte wird sich das BKA ihnen gegenüber äußern.Detailliert äußern stand schon gar nicht drin, die wussten wohl schon was kommt.Kam nämlich nicht so viel. Also ich habe dann vom BKA auch eine Rückmeldungbekommen und das BKA das schrieb, sie hätten Kenntnis von einer kritischen Schwachstelleerhalten und entsprechend den etablierten Prozessen die Landeskriminalämter informiert.
Linus Neumann 0:49:41
Also, vielleicht mal, also wir müssen das ja ein bisschen in so einen Kontext ziehen.Ich hatte dem Tim gerade, bevor wir mit der Sendung angefangen haben,einfach nur mal einen Screenshot von Heise Security gezeigt,wo ich glaube drei, also drei Meldungen sind über Schwachstellen,zwei Meldungen über Schwachstellen, knallrot,also ernsthafte Probleme und da hat eben niemand was gemacht.Das war jetzt irgendwie, also quasi aus der gleichen Zeit, kritische Sicherheitslückein Citrix Gateway und Netscaler ADC, ja, das ist vom 23.Und genauso und vom 22. ist Zero Day erlaubt, das ist die Flex PLM, okay gut.Also wegen dieser einen war die Polizei da und bei Citrix Gateway und Netscalergab es am gleichen Tag halt Schwachstellen, die jetzt,ich will jetzt mal sagen, wahrscheinlich in der deutschen Wirtschaft beraten.Den Fortbestand unserer Volkswirtschaft in ein größeres Risiko gebracht haben,als diese eine Schwachstelle in so einer Software, die eine Handvoll Leute nutzen, oder?
Christopher Kunz 0:50:59
Zumal wir auch bei dieser Citrix-Lücke, da habe ich auch die Meldung zugeschrieben,deswegen habe ich sie mir kurz angeguckt, eine Präzedenz haben.Denn es gab schon genau diese Lücke, das liest sich fast genau wortgleich inden Advisories mehrfach, die hieß dann Citrix Bleed und Citrix Bleed 2.Und da konnte man dann direkt aus den Geräten über deren Webmanagement-Interfaceim Grunde die Session-Daten rausklauen von irgendwelchen Admins.Und das ist im großen Stil exploited worden von den üblichen Verdächtigen,also Cybercrime und staatlichen Akteuren.Und diese Netscaler, ADC und diese Citrix-Gateway-Geräte, die stehen ja nunmal auch irgendwo, wo sie aus dem Internet erreichbar sind.Das sind im Grunde Loadbalancer, WAV und VPN-Endpunkte.Und die müssen ja übers Web erreichbar sein oder übers Internet erreichbar sein,sonst können die ihre Aufgabe nicht erfüllen.Und da ergibt sich schon eine ganz andere Fallhöhe aus meiner Sicht als jetztbei diesen Systemen, die dann doch vielleicht eher intern irgendwo in einemNetzwerksegment liegen,wo sie sich nicht so richtig mit Kriminellen aus Russland oder wo auch immerher verständigen können.
Linus Neumann 0:52:12
Also wir müssen jetzt irgendwie rätseln, wie kommt es,dass ausgerechnet bei dieser Schwachstelle auf einmal irgendwie so eine Polizeieskalationstattfindet und vielleicht so ein bisschen dem vorangestellt,das ist schon, also es ist nicht so,wie soll ich sagen, also es ist ja nicht so verkehrt.Wenn der Staat sagt, okay, wir achten mal ein bisschen darauf,was hier so in den heimischen Digitalgärten ist,da sagen wir mal, machen wir ein paar Regeln hier für den Schrebergartenund die Hecke darf halt nur 1,50 hoch sein und der Patchstand darf nicht größerals drei Major-Releases sein und nicht mehr als zehn CVSS 9,8 Lücken oder so,Dass man da mal ein paar Regeln für die Kleingartenanlage definiert.Und da gäbe es ja auch durchaus viel zu tun, wie du gerade schon sagst.Da fliegen überall irgendwelche outdated Server rum,die eigentlich nur darauf warten, dass sich jemand mal das alte WordPress oderwas auch immer darauf anschaut und das aufmacht.Also eigentlich ist das nicht so verkehrt, dass vielleicht der Staat eine etwas aktivere Rolle spielt.Dabei wahrnehmen würde, Sicherheit herbeizuführen.
Tim Pritlove 0:53:49
Ich würde da mal so ein bisschen Mut maßen, also wenn ich mir das so anschaue,dann riecht das so ein bisschen nach, man fängt jetzt an, Ursprung war ja quasiBKA, wenn ich das jetzt richtig deute.So, das heißt, die beobachten jetzt den Cyber und versuchen,Schlüsse zu ziehen mit, ist die deutsche Wirtschaft irgendwie jetzt besonders gefährdet.Müssen wir jetzt hier irgendwie alert sein.Und das ist ja auch eine gute Sache, würde ich jetzt erstmal sagen,dass sie generell jetzt dieses Bewusstsein auch für digitale Bedrohungen aufbauen.Und es macht auf mich so ein bisschen den Eindruck, als hätte man jetzt hier mal so ein Rollout einer.Anderen Alarmisierung der Wirtschaft ausprobiert, die jetzt in unterschiedlichenLändern zu unterschiedlichen Ausprägungen geführt hat.Bis hin zu, oh, da müssen wir jetzt irgendwie an die Tür klopfen.Was vielleicht eher ein organisatorischer Unfall war,und nicht wirklich so gedacht war, aber so verstanden worden ist bei diesemstillen Postverfahren, das man jetzt von BKA zu LKA zu lokaler Polizei dann gemacht hat.Das kann ja auch durchaus auf Missverständnissen beruhen, kann man ja allesnicht ausschließen. Und grundsätzlich versuchen sie aber abzuwägen,ist jetzt hier sozusagen unsere Wirtschaft gefährdet.Ich meine, wenn es um so eine Lösung geht, wo Luft- und Raumfahrt betroffenist oder auch große Maschinenbauhersteller, das ist ja schon so ein bisschendas Herz der deutschen Wirtschaft auch mit,beziehungsweise wo auch potenziell viel Sicherheitsrelevantes angefasst wird.Und kann ich das schon nachvollziehen, dass das jetzt so kommt,aber dieser Alarmierungsrollout war jetzt noch ein bisschen ruppig.
Linus Neumann 0:55:44
Also mein lieber Tim, ich glaube, das muss man etwas differenzierter noch drauf blicken.Diese Unternehmen,haben wahrscheinlich jeden Tag größere Sorgen als diese eine Schwarzstelle in dieser einen Software.
Tim Pritlove 0:56:05
Oh, mit Sicherheit.
Linus Neumann 0:56:06
Ja. Und die haben IBM und Microsoft im Haus.Die haben wirklich andere Kopfschmerzen als das.Das heißt,Es gäbe auf jeden Fall eine ganze Reihe anderer Probleme, die sie haben,die sie mit höherer Dringlichkeit hätten beseitigen müssen und die sie jeden Tag haben.Insofern, wenn die Polizei hier wenigstens eine Korrelation zur tatsächlichenKritikalität auch im Ökosystem gezeigt hätte,dann hätte sie auch hier eine Kompetenz unter Beweis gestellt.Und das ist nämlich genau das Problem, die Polizei hat da überhaupt gar keine Kompetenz.
Christopher Kunz 0:57:00
Es wäre ja schon schön, wenn wir sagen wir mal auf Bundesebene so ein Amt hätten,was sich um Sicherheit in der Informationstechnik kümmert. Ich habe aber keineIdee, wie man das nennen könnte.Aber das könnte dann ja auch diese Risikoeinschätzung machen und dann sagen,okay, hier für SharePoint, da schicken wir die Kavallerie, aber bei FlexPLModer bei Christophers Kühlschranksoftware muss das vielleicht nicht unbedingt sein.
Linus Neumann 0:57:25
So ein Bundesamt für Sicherheit in der Informationstechnik.
Christopher Kunz 0:57:27
Ja, das nehmen wir.
Linus Neumann 0:57:29
Das ist ein guter Name. Das könnte man zum Beispiel auch mit der Zuständigkeit dann versehen.
Christopher Kunz 0:57:37
Wir hängen das direkt unter dem Innenministerium auf. Das ist doch vielleichtauch eine Idee. Und dann hat das ja auch eigentlich...
Linus Neumann 0:57:42
Direkt ein Interessenskonflikt leider dann auch mit der Polizei und den...
Christopher Kunz 0:57:48
Die hängen da ja auch, ne?
Linus Neumann 0:57:49
Ja, ne.
Tim Pritlove 0:57:50
Leute, Leute, ich hab mal nachgeschaut.
Linus Neumann 0:57:53
Die hätten einen kurzen Dienstweg gehabt, ne?
Tim Pritlove 0:57:56
Das gibt's schon.
Christopher Kunz 0:57:56
Lino, das gibt es.
Tim Pritlove 0:57:58
Nein. Ja, ein Wunder.
Linus Neumann 0:58:00
Ja. Ist ja irre.
Christopher Kunz 0:58:03
Das gibt es schon. Also, deswegen habe ich die ja auch schon direkt mit in meinegroße Fragerunde mit reingenommen und ich war da tatsächlich auch ganz ehrlichund das wirklich, ich versuche das jetzt so ironiefrei wie möglich zu sagen,ich war da auch wirklich verwundert,wie das gelaufen ist. Und, ähm,Und dass da das BKA offensichtlich tatsächlich so eine Risikobewertung gemachthat und gesagt hat, so jetzt, das ist uns jetzt zu heikel, jetzt müssen wir da was tun.Und auch hier Ironie beiseite, das ist natürlich ein seltsamer Vorgang und füruns, die wir das jetzt so ein bisschen von außen betrachten,sieht das auch komisch aus, aber vielleicht wissen die ja wirklich irgendwasGroßes, was wir nicht wissen.Und sagen es uns nicht, weil sie es uns nicht sagen können.Eine der Rückmeldungen aus einem LKA enthielt auch diesen magischen Passus ausermittlungstaktischen Gründen und das setzt ja auch immer irgendwie ein bisschenvoraus, dass es eine Ermittlung gibt.Aber ich hätte erwartet, dass da was vom BSI, also dass das BSI so eine Risikoentschätzungmacht und sagt, so jetzt hier kommt,die schicken ja auch solche Bulletin raus, wo das dann heißt,schaltet mal euer Exchange 2019 ab, das ist jetzt mal fällig und sowas machtdas BSI ja und das zerrt bunt schickt, auch automatisiert Warnmeldungen, wenn du,deinen NetBios-Port zum Internet öffnest oder einen offenen Resolver betreibst.Das gibt es seit Jahrzehnten, also literally seit Jahrzehnten, diese Warndienste.Das machen die ja alles schon. In diesem Fall hat das BSI aber geantwortet,ja, wir unterziehen auch,Sicherheitslücken immer einer Risikobetrachtung, die unter anderem beinhaltet,wie verbreitet das Produkt ist,die unter anderem auch beinhaltet, wie kritisch die Sicherheitslücke ist und die beinhaltet,ob die Kunden und Nutzer bereits durch den Hersteller informiert wurden unddann passen wir beim BSI unser Verhalten und unser Vorgehen an dieses Ergebnis dieser Betrachtung an.Und das war das ganze, oder paraphrasiert das Statement, das ich bekommen habezu diesem Vorgang vom BSI und das war das ganze, das war das ganze Statement.Da muss man dann, glaube ich, so ein kleines bisschen versuchen,sich das zusammenzupuzzeln, weil das ja erstmal sehr nichts sagen,das ist ja eine Verfahrensbeschreibung und ich kenne das Verfahren,das muss man mir jetzt nicht nochmal extra beschreiben und ich glaube auch denmeisten unserer Leser und euren Hörern auch nicht.
Linus Neumann 1:00:19
An der Stelle kann man aber durchaus vielleicht mal sagen, und das BSI machtdas, ja, aber schauen wir uns mal einen Fall der Vergangenheit an,wie hieß denn diese Gruppe, die da die ganzen Exchange-On-Prems-Server aufgemacht hatten?Weißt du das noch? Also es gab eine Conti? Nein, nein, nein, dieser,Ich suche das gleich noch.
Christopher Kunz 1:00:52
Ich würde den Nachrichtendienst kennen, der da vielleicht was drüber geschrieben hat.
Linus Neumann 1:00:55
Es gab eine Schwachstelle in,Exchange-Servern. Das ist zum Beispiel so ein Begriff, da muss man für micheinen Synchronsprecher finden, um Exchange aussprechen.Also Exchange kann ich, was ich nicht sagen kann ist Exchange-Server.
Christopher Kunz 1:01:15
Da sträubt es sich in mir aber auch so ein bisschen, aber vielleicht ist es auch nicht gewonnen.
Linus Neumann 1:01:20
Aber genau, da kriegt man auch direkt immer so ein Exchange will man eigentlichnicht auf seinem Server haben, das kann ich sagen,also gab es eine Schwachstelle in Outlook Web Access, die es mehr oder wenigerermöglicht hat da eine Web Shell drauf zu knallen, dann hast du halt ein Exchange übernommen und ähm,Und das war ein Zero-Day, was Microsoft noch nicht gepatcht hatte und insbesonderenicht für seine On-Prem, also für die Server bei den Leuten da draußen.Und die wurden in der Wildnis ausgenutzt und als dann Microsoft davon Wind bekommenhat und einen Patch ausgerollt hat,hat die Angreifergruppe, die diese Angriffe gemacht hat,gesagt, okay, jetzt wird schnell gepatcht, also rollen wir jetzt automatisiert.Aus und wir knallen einfach überall in der Webstelle hin und dann kommen wir später zum Ernten.Haben es sehr dreckig gemacht, haben die Webstelles nicht ordentlich geschütztund so waren einfach zu detektieren.Und dann hatte das BSI irgendwie Wochen später noch Zehntausende solcher Serverim deutschen IP-Bereich.Und dann haben sie Monate später haben sie noch Briefe geschrieben.Und jetzt muss man natürlich faszinierend feststellen, erstens,das BSI hat keine andere Möglichkeit, zu wirken, als irgendwie Briefe zu schreiben.
Christopher Kunz 1:02:45
Hatte. Ich glaube, das sollten wir mindestens in den Perfekt setzen.
Linus Neumann 1:02:49
Wieso? Welche Möglichkeit haben sie jetzt?
Christopher Kunz 1:02:51
Es gibt doch jetzt das schöne neue Meldeportal und da kann man auch Kontaktdateneintragen. Dann können sie dir eine E-Mail schreiben und ich glaube sogar anrufen oder so.
Linus Neumann 1:02:57
Genau, aber wenn jetzt wenn du nicht reagierst, dann haben sie,okay, sorry, ich wollte Briefe schreiben, weil es so ein bisschen paraphrasiertist. Achso, okay, ich dachte.
Christopher Kunz 1:03:06
Du warst buchstäbliche Briefe, okay.
Linus Neumann 1:03:08
Nein, nein, die können natürlich auch, die können dann potenziell,hätten auch eine E-Mail, können jetzt auch E-Mail schreiben,weil können dich auch anrufen oder so, Richtig.Aber sie haben keine Bemächtigungsgrundlage mehr zu machen, als zu sagen,wir möchten dich gerne darauf hinweisen.Und dann hast du die ganzen deutschen EDV-Dieters, die dann sagen,oh, da ist schon wieder ein Brief vom BSI, ich hab doch draußen dran stehen,ich will keine Werbung von der Regierung oder so.Und die sowas dann ignorieren oder denen das nicht zustellbar ist oder die sagen,den Server, den warte ich nächste Woche und dabei hängt da seit eigentlich seitkürzester Zeit, seit Monaten hängen da halt irgendwie die Angreifer drauf und also das BSI hat keine,Ermächtigung,irgendwo durchzugreifen und die haben auch nicht die Kapazitäten bei den Leutenzu Hause so vorbeizufahren.Und jetzt hat unser Innenminister ja, und ich denke, dass dieses Outlook-Exchange-Dingist ein sehr schönes Beispiel dafür, dass da das BSI auf Wissen sitzt,dass es die Kenntnis davon hat, die wissen, auf welcher Haus befallen ist,die wissen auch, dass das ein riesiges Problem für das Unternehmen ist,bis hin zu, wenn so viele betroffen sind, sagen wir mal,signifikantes Problem der deutschen.Wirtschaft oder inneren Sicherheit, was auch immer du da verteidigen möchtest,choose your poison und dann kommen sie nicht, sie kriegen es nicht umgesetztund dann kommt der Dobrindt an und sagt so,jetzt machen wir hier Cyberdome, jetzt wollen wir aber hier mal richtig,das werden wir jetzt hier mal ganz anders aufziehen, Wir werden nämlich dann jetzt, was weiß ich,die E-Mails von Deutschen oder von Amerikanern, die blockieren wir jetzt.Wir wollen quasi irgendwie Netzabschneidungen haben.Wir wollen jetzt als Staat durchgreifen können auf die Systeme.Und ich denke, das ist, wenn man dann in diesem Kontext,einfach nur in den Meldungskontext mal diese Aktion der Polizeien da versuchtzu interpretieren, dann könnte ich mir auch vorstellen, dass die einfach gesagthaben, lasst uns doch mal zeigen,was wir für eine Initiative zeigen können.Die Polizei, hier am Wochenende klingeln wir die Leute raus, die müssen patchen.Da haben wir so einen richtigen Case, wo wir sagen können, schaut mal her.Liebe Bundesregierung, schaut mal her, liebes Innenministerium,was wir so hier für eine tolle Polizei haben, die richtig,und wie wäre es denn, wenn ihr uns mal noch mehr so Cyberbefugnisse gebt undwenn wir demnächst hier einfach die ganze Zeit die Leute rausklingeln,wenn sie Probleme haben, weil wir sind ja überall, wir fahren ja überall rum mit unseren Autos. und,Um dann hier quasi so langsam das ganze Ding so in die Richtung zu lenken.Ja, das ist ja vielleicht eine Aufgabe für die Polizei.Die Polizei passt halt einfach auf. Die Polizei soll dir auch Bescheid sagen,wenn du die Tür aufgelassen hast an deiner Tür.Und dann, wenn man das mal annehmen würde, dass sie das so dachten,komm, da zeigen wir mal was, dann wäre diese Schwachstelle nämlich eigentlich sehr geeignet.Sie hat, also eine Besonderheit ist, sie betrifft einen relativ geringen Kreis,das heißt, da kann man sich überhaupt, kann man einen Vorteil ausspielen, ja, wenn man sagt,keine Ahnung, du sagst jetzt ein paar hundert betroffene Unternehmen über einpaar Bundesländer verteilt, naja, dann kannst du halt vielleicht echt mal übersLKA ein paar Streifenwagen da vorbeifahren lassen und dann hast du das Ding geklärt.Das heißt aber bei jeder wirklich bedeutsamen, großen Schwachstelle nicht dieseMöglichkeit, weil es einfach viel mehr Betroffene gibt.Zweitens, du hast schon recht, es gab halt keinen Patch, es gibt immer noch nur einen Hotfix.Das heißt, durch automatisierte Updates hättest du nichts bekommen.Da konnte man nochmal sagen, oh, nochmal ein besonderer Notstand hier.Es ist eine spezifische Handlung erforderlich bei den Betroffenen.Und so könnte ich mir vorstellen, dass wenn man einfach mal vielleicht längereZeit schon mal der Öffentlichkeit zeigen wollte, wie unglaublich toll die Polizeiim Cyber Sicherheit sich hervortun kann,dass das eine sehr willkommene Gelegenheit war, das mal zu demonstrieren.Wie würdest du das sehen?
Christopher Kunz 1:07:44
Hätte man es dann nicht vielleicht auch einfach richtig machen sollen?
Linus Neumann 1:07:49
Ja klar, hinterher bist du immer schlauer. Man kann immer alles auch richtigmachen. Na sicher, aber doch nicht mit der deutschen Polizei.
Christopher Kunz 1:07:58
Also den Punkt sehe ich schon. Und ich glaube auch, dass es so ein eingegrenztesund vor allem auch nur auf unternehmenbezogenes Vorgehen attraktiver ist, als hinzugehen.Und in ganz Hamburg zu gucken, dass jeder seinen Chrome updatet.Aber es hätten sich auch schon seit Jahr und Tag, und ich habe jetzt geradenoch mal in meine Notizen und in die Dokumentation von BSI geguckt,andere Ziele angeboten, wo man wirklich mal hätte vorbeifahren müssen.Und zwar die über 30.000 veralteten Exchange-Server, die On-Prem in Deutschland,Stand Mitte Oktober letzten Jahres, noch liefen.Man muss das ja nicht alles an einem Tag in einer konzertierten Aktion machen.Das ist ja nicht so, dass man sich das nicht hätte aufteilen können.Aber das hätte man sich dann zum Beispiel mal anschauen können und da mal draufeinwirken können. Und man hätte vor allem...Einer Betroffenenliste oder einer Adressliste, Kundenproduktliste arbeiten können,die vollständig und korrekt ist und eben diese False Positives verhindern,dass Leute da aus dem Bett geklingelt werden,die überhaupt nichts mit den Produkten zu tun haben. und.Das wirkt schon wie so eine Aktion der Sorte, wir wollen jetzt einfach mal zeigen,wo der Frosch die Locken hat und wir wollen jetzt mal einfach so eine,wie sagt man, so einen Schmerzpunkt setzen oder mal eine Diskussion,einen Aufschlag in die Diskussion einbringen, um auch mal zu zeigen,nicht nur BSI kann Cyber, auch andere können Cyber, denn dieses ganze Cyber-Themaist ja, ich sag das Wort zu oft, ich muss es weniger sagen.Dieses ganze Thema ist ja auch noch in einem dritten Ministerium oder in einerdritten Stelle begehrt, nämlich beim Bundesministerium für Digitalisierung und,wie heißt das, Staatsmodernität oder Staatsmodernisierung oder so?
Linus Neumann 1:09:54
BDSM, ja.
Christopher Kunz 1:09:55
Genau, das BDSM vom Minister Wildberger, wenn ich mich richtig erinnere.Und die haben ja da auch schon Begehrlichkeiten angemerkt und dieses ganze,Security-Organigramm Bei deutschen Bundesbehörden ist ja auch nicht einfachergeworden seit der letzten Bundestagswahl.Und dass jetzt einer vorspricht und sagt, so jetzt machen wir mal Nägeln mitKöpfen und jetzt machen wir mal, dass der Sonntag zumindest ein paar Leutenin Erinnerung bleibt, das klingt schon nachvollziehbar.Ob das jetzt auch sein Ziel erreicht hat. Und das Ziel kann ja eigentlich nur sein,nicht politische Karma-Punkte zu sammeln und mal wieder auf Heise aufzutauchen,sondern den deutschen Abschnitt des Internets oder die deutsche IT-Landschaft sicherer zu machen.Und ob wir da jetzt netto eine deutliche Verbesserung erreicht haben in denletzten 72 Stunden durch diese Aktion.
Linus Neumann 1:10:47
Also ich fühle mich besser.
Christopher Kunz 1:10:49
Du fühlst dich sicherer?
Linus Neumann 1:10:50
Ja. Ich hatte schon immer Angst vor Lifecycle Menschen. Nämlich? Vielen Dank.Und in Secure Digitalization im internen Netz hatte ich jetzt auch.Also da schlafe ich jetzt einfach besser, muss ich echt sagen.Was ich sehr nett fände, welche CVE-Nummer ist das in diesem Jahr?
Christopher Kunz 1:11:14
CVE-Nummern-10. Das ist schwer zu sagen, die zählen ja nicht streng monotonhoch, sondern die werden blockweise vergeben.
Linus Neumann 1:11:21
Ja, aber es gibt schon eine grobe Indikation, wie viele Zehntausende Schwachstellenes gibt, wo demnächst die Polizei kommt.Ich freue mich auch, also so ein Polizeiausbesuch, wie du gerade schon sagst,das wäre auf jeden Fall echt eine, vielleicht ist das auch wirklich die Motivationzu patchen, dass du sagst so, ey,boah, mach bloß das scheiß Update, ey, sonst stehen die heute nachts um vierwieder vor der Tür, ja, und zehren den Papa aus dem Schlafzimmer,weil er das iPhone nicht upgedatet hat oder sowas, ne?
Christopher Kunz 1:11:51
Also, was wir ja in diesem Kontext auch noch nicht betrachtet haben,ist auch wieder ein Teil dieser Risikoabwägung und du hast ja gerade gefragt, was ist der Notstand?Wir sind uns ja auch gar nicht klar, ob überhaupt irgendjemand außer denen,die es dem BKA erzählt haben, diese Sicherheitslücke gefunden hat,weil der Hersteller sagt, wir haben keine Anzeichen,dass ein erfolgreicher Exploit ausgeführt wurde.Das ist ja auch nochmal immer ganz wichtig, das sehen wir dann ja auch,wenn wir zum Beispiel in die USA gucken, die CISA pflegt so eine Liste dieserKnown Exploited Vulnerabilities,also der als ausgenutzt bekannten Schwachstellen, weil irgendeine Ransomware-Bandeoder irgendwelche Threat Actors die ausgenutzt haben und das irgendwo mal inso ein Threat Intelligence Feed reingefallen ist.Und da steht diese Lücke nicht drauf.Sie steht auch nicht auf irgendeine Weise wie der britischen Cybersicherheitsbehörde.Ich habe überhaupt noch nirgendwo anders, außer in Deutschland,was von dieser Sicherheitslücke und ihrem riesigen Gefahrenpotenzial gehörtund der Hersteller sagt, wir haben keine...Also wir haben da auch keinen Nachweis. Wir paraphrasieren das mal mit,es gibt keinen Indikator, dass da was kompromittiert würde über diese Sicherheitslücke.Und zwei Absätze weiter schreibt der gleiche Hersteller.Hier sind übrigens so Webshells, die haben wir gefunden und die sind auf denSystemen gewesen und das sind Anzeichen für eine Kompromittierung.Guckt mal lieber, ob die bei euch auf den Systemen auch drauf sind.Im gleichen Advisory, also es ist der gleiche Artikel.Das ist schon auch irgendwie ein bisschen seltsam. Das ist so ein bisschen wie Schrödingers IOC.Also es ist gleichzeitig ein Indikator, dass was kompromittiert wurde, möglicherweise.Und es gibt keinen Indikator, dass was kompromittiert wurde.Man darf halt nur nicht genau reingucken in das System.Ich weiß nicht genau, wie die sich das vorstellen. Aber das finde ich auch noch bemerkenswert.Und das lässt mich doch auch annehmen, dass da noch ein bisschen mehr hinterder Geschichte steckt, als wir erfahren haben vom Hersteller,vom BKA, von den LKAs, vom BSI und so weiter.Vielleicht gibt es da wirklich schon oder gab es eine groß angelegte Angriffskampagneund Und das ist nur aus ermittlungstaktischen Gründen bis jetzt noch nicht andie Öffentlichkeit gegeben worden.
Linus Neumann 1:14:02
Wir können ja nochmal ein bisschen auf das Gesamtbild schauen.Es mag ja durchaus sein, dass es hier einen Anlass auch gibt.Ja und ich glaube, wenn ein Anbieter sagt oder wenn derjenige,der verantwortlich ist für die Sicherheitslücke sagt, es gibt noch keinen Patch, wir wissen,wir glauben nicht, dass es Anzeichen für Exploits gibt, aber guck mal nach derWerbschelle auf dem System,da hätte ich vielleicht die Polizei eher zu denen geschickt als zu den Kunden.Aber lass uns dann trotzdem nochmal so schauen, wie würde man denn das,was wäre denn ein Modell?Das besser zu machen, also wenn man jetzt wirklich mal diesen Begriff Cyberdomenimmt und sagt, okay, wir wollen,der deutsche Staat will besser in der Abwehr werden oder damit in der Verteidigung,dass Hackbacks und so jetzt wirklich nichts Sinnvolles sind.Das haben wir, glaube ich, hier ausreichend erörtert.Aber was hättest du denn, wie könnte denn so ein staatliches Modell sein,dass man es schneller hinkriegt und vielleicht sogar ohne, oder von mir ausmit oder ohne Polizei, was denkst du denn, wäre ein sinnvolles Modell?
Christopher Kunz 1:15:16
Also ich habe das mit dem CyberDom auch mal beim BSI gefragt und die sind nochsehr deutlich in der Konzeptionsphase und da steht was von Lagebeobachtung,Threat Intelligence, Vorfallsbearbeitung und solchen Sachen drin.Da steht eine Sache nicht drin und zwar das, was wir jetzt eigentlich alle gebrauchthätten, um die Sicherheitslücke zu beseitigen und jede andere Sicherheitslückein Software, nämlich ein Update und ein zeitnah eingespieltes Update.Aber das ist halt nicht so sexy, da kann ich nicht sagen, ich habe hier einbuntes Dashboard und hier fliegen irgendwelche IP-Pakete von Russland oder ausChina nach Berlin und dann ziehen die so einen Bogen und alles leuchtet undblinkt und da kann man sich dann davor stellen und sich auch sehr medienwirksamdavor ablichten lassen,das geht ja alles mit Updates nicht, weil da drückst du auf den Knopf und dannändert sich irgendwo eine Versionsnummer, das ist ja...Weiß ich nicht, ist nicht sexy. Und das ist aber das, was als einziges wirklich nachhaltig hilft,dass dieser Cyberdom die Sicherheit in der deutschen IT-Landschaft dadurch stärkt,dass Mechanismen für Updates robuster,leichter zugänglich und möglicherweise sogar mit einem, weiß ich nicht,einem Ob-Aus-Mechanismus automatisch durchgeführt werden.Dass ich also sage, ich habe hier meine On-Premise-Installation von FlexPLMund das hat einen Auto-Updater und der ist per Default an.Und wenn ich irgendwas hoste, so als As-a-Service oder ich habe so ein WordPressirgendwo bei einem großen deutschen Hoster,dann gibt es da in der Web-Oberfläche einen Knopf aktuell halten und der istimmer aktiviert und ich muss dann aktiv sagen, ich will veraltete Software betreiben.Dann hätte das ja auch schon mal einen Vorteil, weil dann die Leute,die es einmal kaufen und die es einmal einrichten und dann einmal ihre Kochrezepteda veröffentlichen, die müssen sich dann nie wieder um Updates kümmern und dasist glaube ich das Gros der,Anwender, die noch immer glaubt, Software sei sowas wie ein Kühlschrank,das kaufst du einmal, dann treibst du es, bis es kaputt geht und dann kaufstdu dir einen neuen Kühlschrank, so funktioniert aber ja nun mal Software nicht.Die wären dann aber zumindest schon mal sicher.
Linus Neumann 1:17:21
Und ja, also ich denke genau das und ich habe auch den Eindruck,dass genau an so etwas scheitert,wenn wir nämlich jetzt hier dieses Outlook oder Exchange Server im Beispielnehmen, wenn ich ein E dazwischen mache, dann kann ich es aussprechen,dann kann ich es aussprechen.Die stehen ja im Zweifelsfall auch gar nicht bei diesen Kunden.Die haben die ja nicht zu Hause bei sich stehen, sondern die stehen in irgendeinemRechenzentrum von einem der Anbieter.Und ich fände es schon nicht, oder sagen wir mal nach, also ich fände es schon spannend,auf ein Modell hinzuwirken, wo man so eine, ja, ich hoste hier,keine Ahnung, ich hoste meinen Dedicated Server in, oder mein,was auch immer, mein Managed Server, mein V-Server, der wird gehostet da und da.Und ja, ich genieße da irgendwie den erweiterten Cyberdom, wo man wirklich sagt, ja okay,ich stimme zu, dass für den Fall, und das finde ich hier nämlich sehr wichtig,so eine Verantwortungstrennung zu haben.Für den Fall, dass das BSI sagt, folgende Sicherheitslücke ist von einer Kritikalität,dass wir sagen, ein Mensch, ein deutsches System sollte die nicht haben.Und das BSI ist aber dann nicht, sind nicht diejenigen, die am Ende die Serverpatchen und das ist auch nicht die Polizei, weil wenn mir jemand sagen würde,hey, was hältst du davon, wenn die Polizei an deinen Server geht,würde ich immer aus dem Bauch erstmal sagen, nix, Gar nichts.
Christopher Kunz 1:19:04
Abstand, hauptsächlich Abstand.
Linus Neumann 1:19:06
Ja, Server, ja. Katze bleibt drin, Bullen bleiben draußen. Ganz klar,eine Wohnungstür verläuft die Linie.Und die, das, wenn man aber jetzt sagen würde,die Provider, die Hoster, die gehen dran und die sagen, wir gehen dran,wenn es eine Meldung vom BSI gibt, wenn ein Notstand erkannt wurde von dieserunabhängigen Behörde, dann,Und nur dann sind wir berechtigt, ermächtigt, an dein System zu gehen und das wegzumachen.Oder was weiß ich, dann machen wir das weg, wenn du nicht nach fünf Stunden reagiert hast oder so.Da kann man sich ja tausend Pfade vorstellen,die auf eine schnelle Behebung von Sicherheitslücken abzielen würden und dieauch so einen Standortvorteil dann wären.
Christopher Kunz 1:20:00
Wir haben ja im Grunde den letzten Teil dieser ganzen Mechanismen bei den deutschenHostern, Rechenzentrumsbetreibern und Netzbetreibern schon seit Jahrzehnten etabliert.Das ist nämlich das Abuse-Management. Also wenn das Kind in den Brunnen gefallen ist,wenn die Malware auf dem Router ist oder auf dem Server ist und wenn der anfängtzu spammen oder DDoS macht oder da irgendwelche,früher wurden dann da immer irgendwelche Filmraubkopien hochgeladen oder duhattest dann plötzlich sehr viel mehr Computerspiel-ISOs auf deinem Server alsdu eigentlich ursprünglich dir gewünscht hattest.Dann wird ja irgendwo ein Alarm ausgelöst und dann geht dieser Alarm an denHoster und der Hoster sagt, hör mal, du hast da Mirai Botnet auf deinem DedicatedServer, mach das bitte weg, in zwei Stunden null ruten wir die Büchse.Diese ganzen Mechanismen existieren ja schon, sie existieren aber erst für denFall eines Vorfalls, also wenn schon Schaden eingetreten ist und man müssteja eigentlich nur diesen einen Schritt zurückgehen und sagen,wir machen das nicht reaktiv, wenn es schon kaputt ist und wir null routen müssenund die Kiste sowieso neu aufgesetzt werden muss, weil wenn da erstmal ein Rout-Kit drauf ist,dann machst du die Büchse neu, das ist nicht sicher, die dann notdürftig sauberzu machen und weiter zu betreiben,sondern wir setzen in dem Moment an, in dem das BSI oder WPF.Eine andere, jetzt gerade nicht existierende Behörde, also im Moment für dieArbeitshypothese des BSI, uns gesagt hat, da ist eine Sicherheitslücke drin,das muss gefixt werden und dann machen wir das.Dann sparst du dir nämlich diese ganzen Aufräumarbeiten und du sparst dir ebenauch diese zwölf Stunden, in denen das Botnet schon ein Mitglied mehr hat,nämlich deinen Dedicated Server.
Linus Neumann 1:21:34
Ja, und du hast einen Schaden. Dann hast du halt was verhindert und nicht ersteinen Schaden eingegrenzt.Ich könnte mir da ein Modell vorstellen, was ich glaube ich aber sehr wichtigund sehr klar dabei fände, die Polizei sehe ich da nicht. Sehe ich wirklich nicht.
Christopher Kunz 1:21:54
Ist auch gar nicht notwendig aus meiner Sicht jetzt, wenn man sich dieses Themader Gefahrenabwehr anguckt, weil das,reicht ja, wenn der Provider sagt ich möchte, dass mir kein wirtschaftlicherSchaden entsteht durch Spam,durch DDoS, wir möchten verhindern, dass dem Kunden ein wirtschaftlicher Schadenentsteht und da muss man ja auch überhaupt nicht mit irgendeiner Ordnungsbehördekommen, sondern das kann dann ja im Grunde zwischen dem Provider und dem Kundensein und ist ja auch eine Vertragsverletzung, wenn ich unsichere Software in dem Netz betreibe,also Also auch das wäre eigentlich abgedeckt, ohne dass man da gleich mit dem Blaulicht kommen muss.
Linus Neumann 1:22:26
Ja, über dieses Thema, da muss ich wirklich sagen, da reicht meine juristische Kenntnis nicht aus.Also wenn du die Hoster fragst, dann sagen du, ja wir dürfen ja nicht an dieSysteme von den Kunden ran.Wenn die Kunden fragst, sagen du, ja ich habe den Server so gekauft,wusste ich ja nicht, dass der unsicher ist, was haben die mir da verkauft?Aber wenn du jetzt irgendwie das BSI fragst, dann sagen die ja, die...Im weitesten Sinne, wir dürfen da nicht dran oder die machen nicht,was wir denen sagen. Auf jeden Fall wollen die Hoster sich die Schuhe nicht anziehen.Und ich kann dich auch verstehen, weil es natürlich eine Menge Arbeit wäre,potenziell. Die aber einen Mehrwert schaffen würde und die man ja auch potenziell vergüten kann.Also dann hättest du mal deinen Standort Vorteil. Aber ich weiß auch wirklichnicht, ob da überhaupt so eine Kenntnis der…,der rechtlichen Situation einheitlich besteht.Ein Beispiel, ich rede seit vielen Jahren mit Leuten von der Telekom darüber,dass sie natürlich auch sehr viel im Traffic erkennen können. Hier, Thema Abuse.Redet mit einem C2-Server von irgendeinem bestimmten bekannten Botnet oder vonirgendeiner Store-Coware oder so. Da kannst du eine Menge machen.Und das wissen die auch. Und dann sagen die immer, ja, wir sehen das ja,weil wir haben das ja nun mal.Wir sehen ja die DNS-Requests. Oder, oder, oder.Und es tut uns natürlich auch leid, dass unsere Netze für so einen Scheiß benutztwerden und wir würden es eigentlich gerne in einen Schutz der Kundinnen ummünzen.So und dann denke ich mir immer, ja mach doch.Ja, wir dürfen ja nicht in den Traffic eingreifen.Dann frage ich mich so, hä? Natürlich könnt ihr das machen, alles was ihr braucht,wäre irgendwie eine Zustimmung. Diese Diskussion führe ich seit Jahren.Jetzt endlich kriege ich auf meinen Telekom Handy SMS, wo sie sagen,übrigens du willst hier nicht den Cyberschutz Basic haben.Und haben ein relativ einfaches Modell, wo du sagst, wo sie dir sagen,okay, du kannst den aktivieren, kannst du jederzeit aktivieren, ist auch kostenlos.Deaktivieren dauert 24 Stunden. Auch sinnvoll, damit der Angreifer das nichtsofort wieder deaktiviert.Und schon läuft das. Ja, und du hast ein Produkt, also du hast ein Produkt unddann haben sie natürlich noch irgendeine Premium.Dann krieg ich noch irgendwie mehr, dann muss ich ja mal einen Euro einwerfen. Ist doch sinnvoll.Also Also ich will jetzt hier nicht Produkte vermarkten, aber das ist doch,also dieses Modell, das so zu machen, irgendeinen Basisschutz und dann kannstdu noch irgendwelche Over-the-top-Services dazu machen.Funktioniert halt. Und ich sehe zumindest keine juristischen Schwierigkeitendabei, insbesondere nicht, wenn ich das freiwillig ein- und auch wieder ausschalten kann.Und da sehe ich zum Beispiel auch keine Schwierigkeit, wenn man sowas halt zum Opt-out macht.Wenn man sagt, okay, jetzt kommt das Cyberdome-Gesetz, ab jetzt,weiß ich nicht, ab 2027 muss wer irgendwie Hosting anbietet,in der Lage sein, auf BSI geheißen, bei besonders kritischen Dingen eben auchdiese Systeme in die Systeme einzugreifen.Ja, zack, bumm, kostet, also oder, und dann, und als Kunde würde ich mich,sagen wir mal, so weit geht mein Vertrauen, wenn es eine öffentlich,also eine öffentlich dokumentierte Anweisung des BSI Voraussetzung dafür ist,dass man in mein System eingreift, solange fühle ich mich wohl.Ich bin mir aber ganz sicher, dass wenn du jetzt nicht diese,wenn du diesen Dobrinds da nicht auf den Finger guckst, dann steht da nämlich auf Geheiß der Polizei,ohne dass der Kunde es merkt und vor allem aus ermittlungstaktischen Gründendürfen die in dein System eingreifen und das wäre dann, sag ich mal,da hätte ich, da wäre mein Vertrauen vielleicht nicht mehr so gegeben.
Christopher Kunz 1:26:40
Ja, ich glaube, da gibt es eine ganze Menge Hürden und ich glaube,da wird es auch dann so allerlei,also ich hätte da bei meinen dedizierten Servern oder so VPSen,die ich betreibe, da auch schon Bauchschmerzen, wenn da plötzlich einer drauf rumturnt.Und in Managed Services gibt es das ja schon, also wenn du so ein WordPressgehostet hast bei einem Hoster, der hält dir das dann hoffentlich auch aktuell,aber das kann ja nicht anders funktionieren, als dass man diese ganzen Update-Geschichtenerleichtert und gleichzeitig so eine Semi-Verpflichtung einführt.Auf der anderen Seite ist es auch eine Sache, die kannst du auch leider nichtteuer machen, also du kannst da nicht viel Geld für nehmen, Weil dann sagendie Firmen und gerade auch die Privatkunden,ja wieso dadurch, dass man meine Software Sicherheitsupdates kriegt,da macht die ja nicht mehr für mich. Das ist ja, das bringt mir ja gar nichts.Also so Updates sind halt auch nicht so ein, leider in der Wahrnehmung nichtso ein Feature, mit dem man so richtig viel Geld verdienen kann.Weil die Leute sagen, ist mir doch egal, ob das aktuell ist oder nicht.Ich kriege den DDoS doch nicht rein.Ist mir doch egal, da zeige ich ja nichts für. Also zumindest das ist meineWahrnehmung, die man oft so liest, da wurde mir das WordPress gehackt.Jetzt muss ich das sauber machen, das nervt mich ein bisschen.Aber die Implikationen, dass da jemand anders vielleicht noch einen viel größerenSchaden erlitten hat durch diesen Hack, die scheinen oft verloren zu gehen.
Linus Neumann 1:28:05
Also du hast natürlich recht, dass es da sehr viele...Und auch ich hätte sicherlich nicht Lust, dass die Polizei auf meine Server geht.Aber ich habe genauso wenig Lust, das irgendwie als gegeben anzusehen,dass irgendwie sechs Monate,nachdem es irgendwie einen absoluten Critical auf diesen Exchange-Servern gab,immer noch tausende nicht gepatcht sind.Also irgendwo dazwischen läuft ja so dieser,sehe ich zumindest einen Pfad, wo man sagen kann,als Ultima Ratio wird in einem System von Checks and Balances jemand dein Systempatchen oder von mir aus eben auch vom Netz nehmen.Ja, also dass du, also was auch immer, da kann man ja, ich denke gerade nur so,also ich denke einmal aus, was kann der Staat tun, wenn er denn meint,er möchte sich das zur Aufgabe machen und offensichtlich hat er es ja getan,sonst hätten sie nicht gesagt, das heißt jetzt Cyberdom und wir wissen noch nicht, was es ist.Und wenn man sagt, was ist das Problem, Dinge werden nicht gepatcht.Ich könnte mir vorstellen, dass natürlich allein die.Und, achso, das auf jeden Fall auch und natürlich Opt-Out, ja,natürlich will ich ein Opt-Out haben, also das ist völlig klar und dieser Opt-Out kann eben,das muss ja hier auch relativ balanciert sein, ja,weil es kann ja nicht sein, dass es heißt, ich kriege jetzt hier den automatisiertenPatch-Service vom BSI, ja, und deswegen muss ich erst recht nichts mehr machen,weil wenn meine Systeme unsicher sind, dann kommt ja das BSI vorbei.Also es ist schon klar, dass man hier ein ausgewogenes System mit Augenmaß haben muss.Und genau deswegen zittere ich, seitdem der Dobrindt rumrennt,den ich nicht für ausgewogen und wohlüberlegt halte.Seitdem der da mit seinem Cyberdom rumrennt, weil da ehrlich gesagt schwandmir Übles, während ich zumindest so weit gehen würde, zu sagen,ja, wir haben auf jeden Fall einen Missstand und diesen Missstand kann man verbessern.Aber ob der Missstand verbessert wird, indem man nachts die Polizei klingelt,um irgendwie was zu zeigen, da bin ich nicht von überzeugt.Und natürlich gebe ich auch zu, habe ich das gerade verbunden mit den Gedanken der Whole Star,Ich hatte ja gerade schon gesagt hier in dem CPE-Router, Plasterrouter-Richtlinieund so, dass da natürlich denken die über Standortvorteile nach.Und vor allem in Deutschland musst du ja gerade im IT-Bereich,da musst du lange suchen, diese Standortvorteile. Ja, da gibt es nicht viele.Und naja, also ich bin mir auf jeden Fall sicher,dass es zwischen sechs Monate die komplett durchgehohnten Outlook-Server dastehen lassen und am Samstag klingelt die Polizei wegen irgendeiner dämlichenLücke in irgendeinem internen System bei den Leuten an der Tür,dass es dazwischen irgendwo noch so einen Pfad, der Ratio gibt.Weiß ich nicht. Ich hoffe es zumindest.
Christopher Kunz 1:31:44
Ich hoffe es auch.
Tim Pritlove 1:31:45
Man könnte es ja mit Katzenmusik probieren.
Linus Neumann 1:31:48
Katzenmusik?
Tim Pritlove 1:31:48
Ja, Katzenmusik. Charivari. Um sozialen Druck auszuüben, ist man ja früher beiden Leuten so vor die Gebäude und hat dann lärmende Musik gespielt,so lange bis sie ausreichend genervt waren und sich besser verhalten haben.
Linus Neumann 1:32:02
Und dann endlich gepatcht haben.
Tim Pritlove 1:32:05
Ja, genau. Schrödingers Katzenmusik sozusagen. Da hat man das Problem dann gelöst.
Linus Neumann 1:32:13
Alright, also es wird auf jeden Fall ein Thema bleiben.Und ich finde das sehr schön, auch Christopher, was du gerade sagtest,dass es halt die Liste der Known Exploited Vulnerabilities gibt.Und die ist auch nicht kurz, aber das ist natürlich nur ein Bruchstück der...Grundsätzlichen Vulnerabilities. Und es gibt natürlich Dinge,die sich sehr eignen für bestimmte Angriffe und es macht Sinn,danach zu priorisieren.Und sich, also anders werden wir mit unseren Schwachstellen,wird man der Schwachstellen auch nie her, man muss halt priorisieren.Du hast in einer ausreichend großen Infrastruktur zu viele und ich habe keineAhnung, wie groß die IT der Lufthansa ist, aber ich würde vermuten,eine Airline, die in, ich weiß nicht,weit über 100 Länder fliegt, hat eine relativ große IT und wenn da auf einmalirgendwie die Polizei vor der Tür steht und sagt, hier PLM, dann sagen die.
Christopher Kunz 1:33:06
Welches, welches der 20 PLM denn? Da müssen Sie ein bisschen präziser werden.
Linus Neumann 1:33:11
Herr Wachtmeister.
Christopher Kunz 1:33:13
Dann sagt der Moment, ich bin ja Oberwachtmeister, da müssen Sie präziser werden.
Linus Neumann 1:33:21
Ja, die Polizei der Freund und Petscher. Okay, wir machen noch,ich glaube, wir haben ja noch ein Thema,haben wir noch eins, und zwar der CCC hat mal wieder einen Datenlag gemeldet.Das wäre auch zum Beispiel sowas, was mal, also das wäre auch so ein Fall für,könnte man mal was machen.Die Plattform Advocado, jetzt weiß man immer nicht, das ist jetzt ein Advokat.Oder Avocado, das ist ein Wortspiel,die hatten eine, betreiben irgendwie so Web-Services, Und hatten da ein Debug-Tool laufen,also das Symfony-Framework, das ist ein PHP-Framework, wo du debuggen kannstund das ist auch ein Gift that keeps on giving,denn das kann man installieren ohne Zugriffsschutz.Dann hast du halt ein offenes Debug-Werkzeug, kannst du in dem Fall interneServer-Parameter sehen, darunter dann eben gültigen Zugang zu einem Git-Repository,in dem Quellcode steht und in dem Quellcode stehen dann auch die hartgecodetenZugangsdaten, unter anderem in dem Fall für einen Faxdienst,ist ja ein Anwaltstool, Anwälte schreiben ja Faxe.Zahlungsdienstleister und ein Amazon S3 Bucket und auf dem S3 Bucket lagen dannzahlreiche hochgeladene Dokumente, Ausweiskopien, Inkasso schreiben,Rechnungen von Kanzleien undden Dokumenten von Gerichten, Bild- und Tonaufzeichnungen von Gesprächen,was halt so Anwaltskanzleien über ihre unterschiedlichen Plattformen hochladen.Ähm...So ein Symfony findet man schnell, kann man gut nutzen.Entsprechend schließt die Meldung auch, dass Framework Symfony könnte auch mehrdafür tun, das versehentliche Exponieren des Profilers zu erschweren.Etwa durch eine verpflichtende Authentifizierung. Also dass das Ding sogar überhauptohne Authentifizierung gibt und dass es dann am Ende da irgendwo landet,ist natürlich sehr bitter.Das ist echt halt ein Standardteil. Ich meine, wenn du einfach nur über Web-Servergehst und guckst nach .git, das meinst du, wie oft du da dann ein exponiertesGit-Repository findest, wo der Quellcode drinsteht.Das ist halt, also das ist echt, brauchst du nicht lange für.Und das wären zum Beispiel auch so Dinge, ich meine, die gehören in jede Nginx-Config,in jede HT-Access rein, dass du halt nicht die Folder, die mit einem Dot anfangen,surfst, das machen sie aber,oder macht so ein Server halt by default und auch das wären so Sachen,da könnte ich mir doch durchaus vorstellen, dass man da halt mal ein bisschenmehr irgendwo so ein bisschen Standards einzieht, ja, Sei es ...Ach man, da ist einfach alles so eine traurige Welt.
Christopher Kunz 1:36:42
Also es gibt ja auch, das nutzt ja auch das BSI und andere, diesen Begriff desStands der Technik, der dann auch immer mal wieder genutzt werden kann,wenn es dann mal einen Schaden gegeben hat.Dass dann deine Cyberversicherung sagt, nee, zahlen wir nicht,deine Zugriffsmaßnahmen entsprachen nicht dem Stand der Technik.Aber da läufst du halt auch immer wieder, das muss irgendjemand standardisierenund dann läufst du halt denen hinterher, die es standardisieren müssen und es ändert sich halt viel.Also so diese Good Practices für solche Sachen, die liegen eben nirgendwo inso einer gesammelten Form vor, wo man sagen kann, das musst du mindestens implementieren,sonst machst du eben Kappes.
Linus Neumann 1:37:22
Ich finde halt so, also in Unternehmen machst du halt dann, machst du zum Beispielsowas wie ein Golden Image oder ein Golden Container, wo du halt sagst, pass auf, jeder Server,jeder Web-Server, den wir haben, der hat schon mal folgende Regeln,die sind da einfach drin.Und der surft keine .git-Files und der lässt auf einen Symfony-Profiler nichtzugreifen ohne Authentisierung und so.Also man kann das ja machen. Das sind ja so die Systeme des IT-Security-Management,die in größeren Unternehmen dann doch schon Anwendung finden.Und wo man dann sagt, okay, wenn du davon abweichen möchtest,dann musst du halt das begründen und fragen und Request stellen und so weiter.Irgendetwas. Aber es ist natürlich schon leider so, dass IT halt für die meistenLeute einfach wirklich als Footgun geliefert wird.Und dass du, das wäre schon eigentlich ganz nett, mal so ein paar besser gehärteteStandards irgendwie auch so,In der Breite zu etablieren. Haben schon viele versucht, ich weiß.Aber auch das fände ich zum Beispiel nicht uninteressant, dass man sagt, okay,ich, sagen wir mal beispielsweise das BSI stellt sichere Configs in einem Git-Repo bereit.Und wenn es jetzt irgendwie beispielsweise einen Hotfix geben soll,wo man sagt, einfach eine bestimmte Art von Request wird jetzt geblockt oder so,dass ich dann schnell und auch souverän, ja, wir wollen ja auch souverän sein,wir wollen nicht nur Cyberdom, wir sollen auch souverän sein,dass ich souverän sagen kann, okay, ich pulle das jetzt, ich gucke mir die Diffsan und ich merge oder ich update automatisch die,von BSI als sicher anerkannten Konfigurationen und sehe beispielsweise,ah, guck mal hier, die empfehlen gerade,was weiß ich, folgende Blockregel auf einem Webserver, wo.Dieses und jenes Tool draufläuft, einfach nur, um so ein bisschen diese diese,Meldekette zu verschnellern, weißt du?Also von, hier ist ein PDF, was fünfmal Rechtschreib korrigiert wurde und jetztist es TLP, hast du nicht gesehen und,ist jetzt auf den Seiten des BSI hinter der Pressemeldung hin zu,das hier jetzt, guck's dir an, es ist mundgerecht vorbereitet,du musst es natürlich noch im Rahmen deiner Kompetenz anpassen, aber du könntest hier,du hättest hier jetzt was, ja.Ich glaube, da gibt's halt viel und ich glaube, dass es.Dass man da einfach insgesamt an vielen Methoden und Angeboten arbeiten könnte,wo man schneller von der Meldung zur Lösung kommt oder zum Lösungsangebot undgleichzeitig trotzdem die Souveränität bei den Leuten hält und nicht irgendwie sagt,wir rennen jetzt mit der Polizei dir die Tür ein.Und ich glaube es wäre, also wenn ich mir so eine Welt vorstelle,in der das BSI sagt, ey pass auf,von einem Profiler haben wir übrigens HTTP Basic Authentication und fertig undalso damit wären auf jeden Fall eine Reihe an Daten-Lags inzwischen verhindert worden.
Christopher Kunz 1:41:07
Und tatsächlich gibt es so eine Dokumentation vom BSI und die gibt es sogar auch auf GitHub.Das ist der sogenannte Stand der Technikbibliothek.Da gibt es zu Grundschutz++ so Kataloge,wo dann solche Sachen, leider nicht deine spezifischen Beispiele,aber andere drinstehen im Grunde in dieser Nomenklatur, dieser IT-Grundschutzkataloge.Maschinen lesbar in einem im Wesentlichen in JSON für einen Unterverband namensOSCAL und da stehen dann so Sachen drin, die du auch sehen würdest,wenn du so ein ISO Audit vorbereitest oder sowas.Also ich suche jetzt hier mal nach Webserver, mal sehen was sie da zu Webservernalso demilitarisierte Zone sehe ich hier und,Architektur für Anwendungen sollte Serverdienste ausschließlich für die Anwendungdedizierten Hostsystemen platzieren,automatische Lastverteilung also da sind schon Aber.
Linus Neumann 1:42:07
Ist das auch irgendwie direkt implementiert, also wäre das jetzt für einen Hotfix implementierbar?
Christopher Kunz 1:42:16
Das ist ja, das ist erstmal nurso eine Definition das sollte sein und die konkrete technische Ausprägung,wie wird das in Engings gemacht oder was bedeutet das für Flex-PLM-Installationen,die findest du da natürlich nicht drin.Das ist dann wieder ein weiterer Schritt und den.
Linus Neumann 1:42:36
Hätte ich gemeint.
Christopher Kunz 1:42:39
Im Studium hieß es dann immer, das wird dem Hörer als untergeordnete Übungsaufgabe überlassen.Da endet es dann meist. Die bleiben dann doch natürlich zwar konkret in dem,was sie sich wünschen, aber abstrakt in dem, wie es dann umgesetzt werden soll.
Linus Neumann 1:42:57
Ja und da glaube ich halt, also,Ich glaube, da werde ich jetzt viel für geflamed werden, hier deutsche Bundessoftwareoder was auch immer, aber ich denke,also da geht auf jeden Fall mehr noch als bisher und nochmal, ich will nicht,dass am Ende die Polizei vor der Tür steht und ich würde tatsächlich sagen,dass ich wirklich eher Befürchtungen habe, dass sich das nämlich in diese Richtung entwickelt.Weil wenn man sich so ein bisschen auch anhört, es stimmt ja,dass die Leute keinen Bock haben, ihre Systeme zu patchen, dass sie dann sichund andere damit in Gefahr bringen, das stimmt alles, das ist alles richtig.Aber ich bin trotzdem, sag ich mal, widerstrebt es mir zu sagen,na gut, da muss halt jetzt die Polizei dahin.Ja, weil das, also, ich glaube,da kann man noch einiges optimieren und wirklich an Schnelligkeit und ja,auch ein bisschen Vereinheitlichung ist ja schon auch so, dass IT,also die Arten, wie IT-Infrastrukturen gebaut werden, immer einfacher und gleichförmigerwerden, was dazu führt, dass sie immer komplexer werden.Aber so, wenn du jetzt so modernere Infrastrukturen anschaust und Architekturen,die dann so mit Container basiert und so,die sind ja dann zum Beispiel auch relativ fault tolerant, ja,weil die Container jedes Mal neu gebaut werden und wenn der irgendwie,wenn die Änderung jetzt Mist war, dann nimmst du halt wieder den alten.Also da gibt es ja schon auch so, da gibt es schon einige Technologien,die sich durchaus eignen für auch, naja, schnelleres Propagieren von Patchesund so und da geht noch was.Dann müssen wir nur diese ganzen Exchange-Server von den EDV-Dietern irgendwiemal aus den Kellern beschlagnahmen lassen von der Polizei und dann können wirauch schöne Sachen machen.
Christopher Kunz 1:45:04
Ich habe ja Hoffnung, dass wir die Exchange-Server auf anderem Wege irgendwannlos sind, wenn Microsoft dann so wie Atlassian das auch gemacht hat,irgendwann sagt, so gibt jetzt nichts mehr mit On-Premises, ihr macht das jetztalles nur noch über die Cloud und wir schalten euch die Dinge ab.
Linus Neumann 1:45:21
Das stimmt, da haben wir noch gar nicht dran gedacht, dass da einfach Microsoftkommt dann und sagt, wir machen den jetzt äh dürfte er jetzt nicht mehr.
Tim Pritlove 1:45:30
Zur Sicherheit verlegen wir das jetzt alles wieder in die USA.Läuft besser. What could possibly go wrong?
Linus Neumann 1:45:38
So, ich habe letzte Woche in den Terminen natürlich eine Ankündigung wahrscheinlich vergessen.Und zwar die Datenspuren. Die Datenspuren vom 18. bis 20.September wieder in Dresden zum 22.Mal wieder im Zentralwerk. Die Datenspuren sind kostenlos und was ich jetztmitteilen möchte ist, der CFP ist geöffnet. Das ist mein früher CFP.Der ist noch einige Zeit offen.Das habt ihr jetzt nicht gehört, weil ihr müsst ja jetzt einreichen und es gibteinen Call for Design, ne Moment, Call for Arts.Moment, was kann man denn alles da machen? So, nee, hier kann ich sehen.Artists, sorry, genau. Also für,könnt Kunstinstallation und so weiter einrechnen. Und wenn ich das schon malgesagt habe, dann habe ich es jetzt einfach nochmal gesagt. Also Datenspuren, 18. bis 20.September in Dresden im Zentralwerk und ihr sollt bitte was einreichen.
Tim Pritlove 1:46:48
Gut, ich denke, damit können wir dann die Sendung beenden. nicht ohne uns zubedanken bei Christopher.
Christopher Kunz 1:46:56
Oh, ich bedanke mich für die Einladung. Das hat sehr viel Spaß gemacht.
Linus Neumann 1:47:00
Warten wir mal, bis die Polizei bei euch vor der Tür steht. Gucken,ob du das dann immer noch witzig findest.
Tim Pritlove 1:47:05
Gab sie schon mal?
Linus Neumann 1:47:07
Bei Heiser? Ich vermute, ihr hattet doch diesen Ransomware-Fall vor vielen Jahren.Ich würde vermuten, da werdet ihr die Polizei auch mal...
Christopher Kunz 1:47:16
Ja, ich hab den Namen vergessen, welche Ransomware es war, aber also wir habenauch immer mal wieder...
Linus Neumann 1:47:23
Emotet war das, glaube ich.
Christopher Kunz 1:47:23
Ja genau, Emotet, das stimmt. Wir haben auch immer mal wieder bei Veranstaltungendie Polizei da, aber dass die jetzt am Wochenende vor der Tür gestanden hätten,um zu fragen, ob unser Dovecut oder Postfix auf dem neuesten Stand ist,das ist mir nicht überliefert worden, aber was nicht ist, kann ja noch kommen.Die wissen ja, wo wir wohnen.
Linus Neumann 1:47:43
Wir sind die Zeugen von Neumanns und wir möchten mit Ihnen über Ihren Patch-Level sprechen.
Tim Pritlove 1:47:49
Aber was heißt denn, die Polizei taucht auf euren Veranstaltungen auf? Also in welcher Form?
Christopher Kunz 1:47:56
Naja, dass die mal irgendwie, wenn wir zum Beispiel was machen,was in Hannover, ich hatte so einen Online-Sicherheitsabend letztes Jahr imNovember, ich weiß nicht, ob da jemand von der Polizei da war,aber wir machen ja auch Veranstaltungen wie Konferenzen.Wir hatten jetzt die SEC-IT letzte Woche in Hannover und da war ein Stand vomLKA Niedersachsen. Also die Polizei schaucht durch.Also die tauchen nicht auf, um die Veranstaltungen zu schließen.
Tim Pritlove 1:48:23
Weil da verfassungsfeindliches propagiert wird.
Christopher Kunz 1:48:25
Sondern als Gäste.
Tim Pritlove 1:48:26
Von so Security-Konferenzen, da können ja auch mal so Hackerangriffe von ausgehen.Oh ja. Im CCC haben wir da so einige Erfahrungen gemacht.
Christopher Kunz 1:48:34
Ich erinnere mich noch gut an verwaiste Wäscheklammern an Tischen im Hackcenter,wo dann plötzlich der Inhaber der Wäscheklammer Klammer weg war,weil da Leute in Uniform standen und gerne mal mit dem reden wollten.Da kann ich mich noch dran erinnern.
Tim Pritlove 1:48:48
Damals in Berlin im Haus am Kölnischen Park. Oh Mann, ja, okay, verstehe.Zum Hintergrund, wer das nicht versteht. Auf den Wäscheklammern waren damalsdie IP-Adressen abgelegt. BCC hatten wir noch Wäscheklammern?
Christopher Kunz 1:49:02
Mein letzter Kongress in Berlin war noch im Haus am Kölnischen Park und da gabes noch Wäscheklammern.
Tim Pritlove 1:49:07
Da hatten wir auf jeden Fall Wäscheklammern. Oh man, geil.
Linus Neumann 1:49:11
DHCP.
Tim Pritlove 1:49:13
PEG DHCP hieß das.
Christopher Kunz 1:49:14
Da gibt es auch ein RFC zu, glaube ich.
Tim Pritlove 1:49:16
Gibt es, ja, ja. Ursprünglich ist das mal auf dem ersten Camp genutzt worden.
Christopher Kunz 1:49:22
Das ist RFC 2322, ist vielleicht auch was für die Shownotes.Management of IP Numbers by PEG.
Tim Pritlove 1:49:30
Der packt DHCP, genau. Das ist ein Klassiker. Ist in den Shownotes, selbstverständlich.Das hat sogar ganz gut funktioniert. Tatsächlich.
Linus Neumann 1:49:42
Wenn er das jetzt noch mit V6 macht, dann könnte er die Wäscheklammern Industrie retten.
Tim Pritlove 1:49:47
Ich glaube, wir erst mal Aktien von Wäscheklammern herstellen.
Christopher Kunz 1:49:50
Da müssen die Wäscheklammern aber auch erst mal größer werden vorher,damit man die Adresse lesbar draufschreiben kann.
Tim Pritlove 1:49:55
Wir haben ja eh nur den Schluss hinten drauf aufgeschrieben, letzten zwei Ziffern.
Christopher Kunz 1:49:58
Man muss dir vielleicht auch diese Leute anstellen, die dir deinen Namen aufden Reiskorn schreiben. Und dann schreiben die dir deine IPv6 auf die Wäscheklammer.
Linus Neumann 1:50:06
Deine IPv6-Adresse auf einem Reiskorn.
Christopher Kunz 1:50:12
Das wäre doch eine schöne Aktion für den nächsten Kongress.
Linus Neumann 1:50:18
Das war wunderschön. Jetzt haben wir einen Sendungstil auch.Und können Schluss machen.Christopher, danke dir. Achso, ich glaube, du hast gar nicht erwähnt,dass du auch einen Podcast hast.
Christopher Kunz 1:50:31
Ich habe auch einen Podcast, der heißt Passwort. Gibt es alle zwei Wochen mittwochs.Überall, wo es Podcast gibt, zusammen mit dem Kollegen Sylvester Tremmel,nerde ich da über Security-Kram.Wir reden sehr gerne über PKI, aberauch über alle möglichen anderen Sicherheitsthemen, die uns so anfallen.Wir haben ein bisschen weniger netzpolitische Themen.Wir konzentrieren uns tendenziell ein bisschen mehr auf die technische Seite von IT-Security.Hört da gerne mal rein, wenn ihr möchtet. Ansonsten hat es mich sehr gefreut, hier gewesen zu sein.
Linus Neumann 1:51:03
Und Silvester und du waren natürlich auch im Sendezentrum dieses und letztes Jahr mindestens.Und und ihr hattet einen Talk.
Christopher Kunz 1:51:13
Wir hatten auch einen Talk letztes Jahr über,absurde Sicherheitsthemen in Südkorea, denn auch wenn man glaubt,dass das hier wild ist, wenn die Polizei nachts um zwei vor der Tür steht,Südkorea kann das alles toppen.Südkorea sieht deinen Polizeieinsatz und erhöht ihn um ein brennendes Rechenzentrum.
Linus Neumann 1:51:32
So, da können wir uns glücklich schätzen in Deutschland, dass die wenigstens klingeln.
Tim Pritlove 1:51:37
Ja.
Linus Neumann 1:51:39
APT Down and the Mystery of the Burning Data Centers, ich hab ihn gerade schon verlinkt.
Tim Pritlove 1:51:43
Ah ja, okay.Ja, alles klar. Dann machen wir hier mal den Laden zu für heute.Danke nochmal an Christopher. Vielen Dank fürs Zuhören. Wir hören uns bald wieder.Sagen Tschüss und bis bald.
Linus Neumann 1:51:59
Ciao, ciao.
Shownotes
Gast: Christopher Kunz
- Si vis pacem, para bellum.: Si vis pacem, para bellum.
- heise online: Dr. Christopher Kunz | heise online
- Security: “Passwort” Folge 48: Digitale Unabhängigkeit, kranke Akten, behämmerter Speicher
- media.ccc.de: “Passwort” – der heise security Podcast live vom 39C3
- media.ccc.de: APT Down and the mystery of the burning data centers
Radikale Töchter
- LinkedIn: Ohne jede Begründung streicht uns das Innenministerium fast 300.000€ Radikale Töchter arbeiten seit März 2025 auf einem Projekt der Bundeszentrale für politische Bildung. Im Februar kommt dann durch… | Cesy Leonard | 114 comments
- Radikale Töchter: Radikale Töchter: MUT spenden
netflix will Stimmen klauen
- Fun Facts: Deepfakes eskalieren: Warum Frauen im Netz nicht mehr sicher sind | Fun Facts mit Pheline Roggan
- nicht-nett-flix.de: Nicht Nett Flix: Stoppt den Stimmen-Klau bei Netflix!
- www.sprecherverband.de: Rechtsgutachten: Netflix AI Training [PDF]
- www.sprecherverband.de: Rechtsgutachten Netflix AI Training [PDF]
- CRE: Technik, Kultur, Gesellschaft: CRE150 Filmsynchronisation
Chatkontrolle-Konterrevolution
- mepwatch.eu: Mit den Stimmen von Union und Teilen der SPD
- www.europarl.europa.eu: Agenda – Thursday, 26 March 2026
Routerverbot in den USA
- heise online: USA verbieten alle neuen Router für Verbraucher
Die Polizei, dein Freund und Hotfixer
- Security: WTF: Polizei rückte Samstagnacht wegen Zero-Day aus
- Security: Zero-Day erlaubt Codeausführung in WindChill und FlexPLM
- Security: Kritische Sicherheitslücke in Citrix Gateway und Netscaler ADC
Leak bei advocado
- www.ccc.de: CCC | Debug-Modus bei Legal-Tech-Plattform advocado legt sensible Daten offen
- GitHub: BSI-Bund/Stand-der-Technik-Bibliothek: Stand-der-Technik-Bibliothek (200 ★)
Termine
Datenspuren
- datenspuren.de: Datenspuren 2026
- talks.datenspuren.de: Datenspuren 2026
Epilog
- IETF Datatracker: RFC 2322: Management of IP numbers by peg-dhcp
Und dann sitzt du morgens beim Frühstück und hörst von Sicherheitslücken eines Tools, bei dessen Einführung du seinerzeit beim ehemaligen Arbeitgeber mitgewirkt hast.
Und dann wird der ehemalige Arbeitgeber auch noch genannt. Upsi.
Sehr spannende Story. Danke für die Sendung!
Katzenmusik: Schrödingers Katze gab es nie. Die Wellen-Teilchen-Gleichung ist falsch. Schrödinger hat das mit einer Katze verglichen; ist sie da, oder ist sie nicht da? Das lustige ist, es geht um die Box und nicht um die Katze. Die Katze gab es nie, aber denken Sie dochmal über die Katze nach.
Wollen Sie Privatsphäre, oder haben Sie verstanden, dass wir Ihre Privatsphäre verletzten und Sie nach Erlaubnis fragen, wenn Ihre Antwort „ja“ lautet?
Das verlustfreie kopieren von Daten dubliziert eben auch Stimmen. Klauen würde behaupten, dass die Person dann plötzlich gar keine Stimme mehr hätte.
Mundtot machen wäre Mord, das wäre ja die Reaktion vom Rufmord.
Es wäre die Chefkontrolle, wenn die Chatkontrolle wirklich für alle gleiche Sanktionen hervorbringen würde – und das wäre tatsächliche Anarchie.
Ich rechne fest mit dem Machtmissbrauch, enttäuscht mich nicht.
Zum Routerverbot in den U.S.A. – ihr schaut da von draußen noch mit „demokratischen“ Maßstäben drauf: Wenn die Router in den Staaten produziert werden müssen, dann gelten für Hardware und Software Amerikanische Gesetze: Damit kann der DNS festgenagelt werden (keine ausländische Propaganda) und ein Wortfilter (antifa, diversity, gender, etc.) fest eingebaut werden: Das ist die Vorbereitung für die Great Freedom Firewall nach chinesischem Vorbild. Der Demokratiezug ist abgefahren.
Ich habe noch mehr Musikw[nsche weiter unten
David Hasselhoff>
I’ve been looking for freedom
I’ve been looking so looooong
Ich verstehe die Position der Synchronsprecherinnen. Doof, erinnert an die Einführung des Tonfilms. Die Klavierspieler haben damals in den Kinos ihre Jobs verloren.
Richtig. Außerdem will ich mal darauf hinweisen, dass es nicht, wie von Linus behauptet, ein Thema von globaler Relevanz ist. Ich dachte sogar, nach meiner Erfahrung mit internationalen Kollegen in den Niederlanden, dass es vor allem Deutschland und eventuell Frankreich beträfe. Gut, laut Wikipedia (Synchronisation_(Film)#Europa) sind auch noch (neben den deutsch-/französischsprachigen Nachbarländern) Italien, Tschechien und Ungarn „Synchron-Länder“… dennoch, es ist eher die Ausnahme und seit ich Ende der 1990er die Mehrsprachigkeit und optionale Untertitel mit DVDs kennenlernte, mag ich keine synchronisierten Filme mehr sehen! Auch japanische Filme, bei denen ich kein Wort verstehe, schaue ich lieber im Original. Ich kann gut lesen. Verstehe ich Sprachen teilweise, ist das eine tolle Gelegenheit, nebenbei zu lernen!
Heeee LNP, ich wollte mal kurz einen Outro-Track für die nächste Episode vorschlagen:
Afroman – Lemon Pound Cake
https://www.youtube.com/watch?v=9xxK5yyecRo
Warum? Der armen Mann hatte eine Hausdurchsuchung, bei der nichts gefunden wurde. Und die Polizei hat dabei ein paar Sachen kaputt gemacht, die sie dann nicht bezahlen wollte, also „musste“ er leider lustige Lieder über die Durchsuchung machen.
Wird hier gut zusammengefasst:
https://www.youtube.com/watch?v=rIEGz9LtF3I
Und hier juristisch bewertet. Sehr lustig!
https://www.youtube.com/watch?v=0pvJmxe7LdE
PS: Ja, ist eher OT, I know.
Zu Windchill/FlexPLM: Für mich hört sich das so an, als wenn der Einsatz der Polizei nicht einen Server daran hindern will irgendeinem Botnetzwerk beizutreten, sondern schützen die Informationen die in der PLM-Software verwaltet werden (und kritische Informationen die sonst so in diesen Unternehmensnetzwerken zu holen sind). Und damit sind wir beim Thema Wirtschaftsspionage; was dann in Deutschland auch den ganzen buzz erklärt.
Genau das hatte ich auch als Erklärung für das „Warum“ im Sinn. Ein PLM-System beinhaltet oft den „digitalen Zwilling“ einer Maschine mit allem Entwicklungs-Knowhow (3D-Konstruktionsdaten, Datenblätter, Stücklisten, Schaltpläne, Prüf- und Messergebnisse, uvm.). Die Angst, „wenn DIE unsere Daten haben, bauen DIE alles nach“, ist meiner Erfahrung nach im Maschinenbau recht groß.
yepp – mein erster Gedanke war auch: die genannten Firmen (EADS, MAN, ZF) sind doch Hersteller/Zulieferer für die Rüstung, oder?
Vielen Dank für die spannende Diskussion!
Zum Ende hin hatte Linus ja Überlegungen angestellt, ob nicht das BSI/eine staatliche Stelle fertige Hotfixes, Patches oder Container zur Verfügung stellen könnte, die dann einfach alle nutzen können.
Dazu wollte ich kurz dieses Projekt von ZenDiS (das „Zentrum für Digitale Souveränität der Öffentlichen Verwaltung“) und OpenCode einwerfen:
https://container.gov.de/
Das Projekt befindet sich derzeit wohl noch im Aufbau aber die Grundidee laut ihrer Website ist
„Mit der Secure Government Container Initiative (SGCI) stellt openCode […] geprüfte und gehärtete Container-Images für die öffentliche Verwaltung bereit.“
Das ist zwar primär wohl „nur“ für deutsche Behördern etc. gedacht aber da das Projekt offen ist und alle Container auf deren Gitlab-Instanz liegen (https://gitlab.opencode.de/open-code/oci) könnte das ja schon ein guter Schritt in Richtung der Wunschvorstellung von Linus sein.
Mh, das BSI ist dem Innenministerium unterstellt. Ob man von denen wirklich Patches beziehen möchte weiß ich nicht so recht…
Bevor noch jemand nachsieht: Telekom Secure Basic ist nur für Geschäftskunden und da kostenlos. Für Privatkunden kann man ein Sicherheitspaket kostenpflichtig buchen und bekommt eine bis fünf Norton Virenscannerlizenzen. Ob und welche netzseitigen Maßnahmen dabei sind, erfährt man in der wolkigen Beschreibung nicht. Finde ich nicht überzeugend.
Ich mahne die Auflösung des Cliffhangers (Elfen) in der nächsten Folge an!
Wir haben am Montagmorgen auch eine aufgeregte Anfrage von einem unserer Kunden (großer deutscher Konzern, der nicht im Podcast genannt wurde ;-) ) bekommen mit Hinweis die Warnung des Herstellers und den Zusatz „Heise hat auch schon darüber berichtet!“…. die Software haben wir bei denen nicht eingeführt und ich weiß auch gar nicht, welches der beiden Produkte die nutzen, aber man wollte unbedingt wissen, ob unsere Software eventuell auch diese Lücke hat… also eine gewisse „Unruhe“ in dem Unternehmen gab es da auf jeden Fall… :-D
Im PLM liegen alle Konstruktionsdaten. Hab selbst das bei einem Mittelständler mit eingeführt. Daneben parkt ein Unternehmen da auch gern alle digitalen Dokumente drin. Insofern ist die Software erheblich wichtiger als die Mailserver. Wer das PLM hat, hat das Unternehmensknowhow. Manche haben auch offene Schnittstellen für Lieferanten. Da und wo geheime Produkte (Militär) hergestellt werden macht ein Patch am Sonntag durchaus Sinn.
Das denke ich auch. Ich habe Jahre lang mit einer (anderen) PLM Software in einem Automobilkonzern zu tun gehabt – da ist einfach alles drin. Konstruktionsdaten, Fertigungsprozesse, Forschung etc.
Das ist auch gar nicht auf Maschinenbau etc begrenzt.. auch in der Lebensmittelindustrie, Pharma etc. kommen spezielle PLM-Lösungen zum Einsatz… mit allen Rezepturen/Formeln, Zertifikaten, rechtlichen Prüfungen, Lieferantendaten usw.. also auch hier das gesamte Unternehmenswissen… für „Mitbewerber“ auf jeden Fall ein sehr interessanter Datenschatz..
Ich fände es super wichtig, dass ihr nochmal über diesen „age verification at the OS level“ komplex sprecht, sowie den Umgang verschiedener Open-Source-Projekte (systemd) damit.
Danke für die spannende und informative Folge. Zu der Windchill/FlexPLM Sicherheitslücke und der anschließenden Diskussion, welche Rolle (deutsche) Behörden wie das BSI haben können oder sollten, drägte sich mir eine Frage auf.
Geht der Cyber Resilience Act nicht genau in diese Richtung? Soweit ich es verstanden habe, soll der die Security von Software-Produkten erhöhen und Hersteller zu „secure by design“ und „secure by default“ verpflichten. Also nicht nur beim Entwurf, sondern über den gesamten Lifecycle hinweg: Schwachstellenmanagement, Meldeprozesse, Update-Pflicht und der ganze Bums. Mit ggf. Strafen bei Nichteinhaltung oder Verletzung der Richtlinien.
Mich würde interessieren, ob ihr euch schon damit beschäftigt habt und was ihr dazu denkt. Wird das die Cyber Sicherheit in Europa merklich erhöhen oder wird das nur in einem Dokumentationswahn für Hersteller enden?
Hallo,
zum Thema FlexPLM:
Aktuell beschäftigt sich ein guter Teil der Industrie, dank NIS2 und CRA erstmalig mit Cybersicherheit, Meldeketten und den jeweiligen Folgen bei Nichtbeachtung. Also folgendes Szenario:
– Der Softwarehersteller wird über einen Pentest oder eine Kundenrückmeldung auf die Sicherheitslücke am Freitagnachmittag aufmerksam gemacht.
– Daraufhin wird der frisch vom IHK-Lehrgang gekommene NIS2-Verantwortliche in Kenntnis gesetzt und muss jetzt über das weitere Vorgehen entscheiden.
– Nach dem Motto: Bloß nichts verkehrt machen, wird in alle Richtungen informiert. Also BSI, aber auch Anzeige gegen unbekannt beim BKA.
Die Anzeige enthält dabei mehrfach das Wort „cyber“ und ein Verzeichnis der Kunden, welches direkt aus dem Firmen CRM exportiert wurde (leider ohne Filter, also alle bisherigen Vertriebskontakte). Die zuständigen SAP-Experten sind ja bereits im Wochenende.
– Beim BKA landet die Anzeige, bei dem am Wochenende diensthabenden Cyber-Sicherheitsbeamten, der unverzüglich und ohne weitere weitere Prüfung eskaliert (bloß nichts verkehrt machen!). Durch zögern verdient man sich keine 3 goldenen Sterne auf dem Rangabzeichen :-)
– Da alles ganz wichtig und gefährlich klingt, kommt die Meldekette in Gang und das BKA verpflichtet die LKAs, umgehend alle genannten Kunden zu kontaktieren. Ab hier lässt sich nichts mehr stoppen und jedes Polizeirevier löst die Angelegenheit nach eigenem ermessen.
Moin, ihr hattet vor ca einem halben Jahr ja mal über den Fall modern solutions geredet und ja betont wie wichtig der für die digitale Sicherheit ist. Habt ihr eigentlich inzwischen das Update gegeben, dass die Verfassungsbeschwerde abgelehnt wurde? Kann mich nicht dran erinnern, aber kann auch sein, dass ich das verpasst habe