LNP549 Schrödingers Katzenmusik

Guten Morgen, Linus.

Guten Morgen, Tim.

Du, da sind irgendwelche Uniformierten vor der Tür.

Hast du das Update nicht gemacht? Musik.

Logbuch-Netzpolitik Nummer 549 vom 25. März 2026. Was machen wir denn jetzt?

Patschen, patschen, patschen.

Oh Gott. Hilfe. Oh Mann. Ja, ja. Schneller Patschen als die Polizei. Ja, ja, ja, ja. Die ist jetzt Gewehr bei Fuß. Da werden wir heute noch ausführlich drüber sprechen. Ja. In unserer Sondersendung.

Sondersendung mit Gast.

Sondersendung mit Gast, genau. Und den stellen wir auch gleich mal vor. Nämlich den Christopher. Christopher Kunz. Hallo.

Ja, moin.

Hallo Christopher. Ja, schön, dass du bei uns bist.

Vielen Dank für die Einladung.

Ja, gerne. Müssen wir dich vielleicht mal kurz ein bisschen einleiten. Du bist Journalist, Security-Experte und schreibst unter anderem oder im Wesentlichen wahrscheinlich ausschließlich für Heise, richtig?

Genau. Ich bin angestellt bei Heise und mache da allerlei Security-Kram.

Wie bist du dazu gekommen?

Ich bin ein ganz altes Heise-Gewächs und bin eigentlich als studentische Aushilfe in der Netzwerkabteilung gewesen, in 2001 oder so, weil da war ein Aushang in der Uni im Rechnerpool. Und dann habe ich irgendwann angefangen, Artikel zu schreiben, habe dann noch ein paar Jahre mal was anderes gemacht und bin jetzt seit 2023 fest bei Heise, mache da Heise Security, also was man da so im News-Sticker liest, ab und zu mal ein Artikel in der CT, und so ein paar Produkte, die wir für Security-Leute machen, sowas wie Webinare, Community, Dienstleistungen und sowas.

Und war Security jetzt schon immer dein Ding oder warst du nur der einzige bei Heise, der wusste, wie man die Passwörter ändert?

Nee, das mache ich wirklich schon immer. Also ich habe auch meine Sachen im Studium, so wenn ich irgendwelche Bachelorarbeit, Masterarbeit und sowas geschrieben habe, das waren eigentlich immer irgendwie Security-Themen und auch so Netzwerk-Themen, das mache ich schon recht lange und bin dann irgendwann dabei geblieben, weil irgendwann kann man da ja auch nichts anderes mehr und dann bleibe ich halt dabei.

Also du bist ja auch richtig Doktor, ne? Informatik und so, also du hast alles gelernt sozusagen.

Alles durchgespielt.

Ja, kannst kein abgebrochenes Informatik-Studium vorweisen sozusagen. sagen.

Es war knapp, aber ich habe es dann durchgezogen.

Ja, schön, genau. Es klang ja schon an, du hast diesen Artikel für Heise geschrieben über diese wunderbare Meldung mit der Polizei, die nachts an die Tür klopft. Das werfen wir jetzt mal ans Ende der Sendung. Wollen wir noch ein paar Kurzmeldungen haben und die wollen wir erstmal beiseite legen, dass wir uns da schön drauf konzentrieren können. Linus.

Genau, die machen wir Machen wir schnell durch. Vielen von euch ist Ceci Leonard sicherlich noch bekannt, die war bei LNP 300 bei uns auf der Bühne und hat über Aktivismus gesprochen, ist seit mehreren Jahren in der NGO Radikale Töchter aktiv. Und die sind im weitesten Sinne so in der politischen Bildung tätig und haben seit März 2025, also seit etwas über einem Jahr oder knapp einem Jahr, ein Projekt mit der Bundeszentrale für politische Bildung. Und jetzt haben sie vom Innenministerium eine Ablehnung bekommen ohne Begründung. Sie kriegen also ihr Funding nicht weiter und sollen da nicht mehr drin weiterarbeiten. Es steht natürlich irgendwie in einem unschönen Kontext auf zwei Weisen. Erstens diese ganze Kulturstaatsminister Weimar Geschichte, der jetzt irgendwie da so die politische und kulturelle Bereinigung vornimmt und irgendwie in die Menge schießt. Und gleichzeitig hatten sich die radikalen Töchter auch zu Merz', Stadtbildkritik geäußert und da ist natürlich jetzt ein komischer Zufall, dass jetzt ausgerechnet ihr Funding zur politischen Bildung plötzlich gestrichen wird. Da sehen wir also eine ähnliche charakterliche Größe wie in den USA, wo das Führungspersonal ja auch von besonderer Weitsicht und Uneitelkeit Qualität auch geprägt ist. Qualität sowieso, ja. Weil ich nicht sicher bin, ob unser Führungspersonal in der Qualität auch an die USA heranreicht, aber zumindest in den anderen Dimensionen durchaus. Ja, sie gehen jetzt natürlich rechtlich dagegen vor mit dem Gegenrechtsschutz. Gegenrechtsschutz ist vielen Hörerinnen sicherlich auch bekannt. Arne Semsrott hatte öfter davon gesprochen ich glaube den Vortrag von Hanna Voss und Vivien Kube hatten wir auch hier besprochen und empfohlen und ja, jetzt haben wir, ich will nicht sagen amerikanische Verhältnisse, aber ähnliche. Entwicklungen hier in Deutschland auch war und war jetzt auch leider zu erwarten. Sie rufen natürlich auch zu Spenden auf, weil durch das Funding sie natürlich jetzt ein Funding-Loch haben. Mehr dazu in den Shownotes. Dann gibt es eine und das sind so die AI-News, die du so, die so ein bisschen, die scrollen vielleicht so ein bisschen vorbei, weil die Leute haben vielleicht auch nicht so eine Lobby, also Synchronsprecherinnen, das ist ein Job, den gibt es überall auf der Welt, außer in den USA, das sind die Menschen, die…. Das sind Menschen, die synchron sprechen zu Videos. Da gibt es ja dann auch in Deutschland einige große bekannte Leute, die dann eben, was weiß ich, die Stimme von Ben Stiller sind oder von Bruce Willis oder wer auch immer. Und natürlich hat eigentlich ein so ein Schauspieler oder eine Schauspielerin, die haben natürlich eine Stimme, die werden jetzt selten mit mehreren unterschiedlichen Stimmen in unterschiedlichen Ländern vertont. Und jetzt hat Netflix für seine Serien irgendwie oder für seine Synchronsprecherinnen einen neuen Vertrag, wo sie für 50 Jahre dann weitreichende Rechte an ihren Stimmaufnahmen abtreten, unter anderem das Recht, damit eine KI zu trainieren. Und das ist natürlich jetzt sehr klar, warum ja, dass sie nämlich sagen, pass auf wenn du hier genug reingesprochen hast wenn wir im Prinzip eine Serie mit dir vertont haben oder eine, Folge, dann können wir den Rest der Staffel mit einer AI machen, im Zweifelsfall also ohne Frage, natürlich billiger und natürlich, wahrscheinlich sogar schneller und in ähnlich guter Qualität oder du kannst dann natürlich auf einmal auch Stimmen oder Dinge sprechen, wie du, die du vielleicht sonst gar nicht aussprechen kannst.

Ja, noch in ganz anderen Sprachen sprechen zum Beispiel.

Das ist natürlich die andere Frage, weil unter Umständen natürlich auch, das könntest du natürlich auch mit der Originalstimme machen.

Ja, das könnte man machen. Aber wenn die Leute schon an die Synchronsprecher gewohnt sind, wie das ja in Deutschland oft der Fall ist, oder sagen wir mal auch eine besondere Affinität zu diesen Stimmen haben, Es gibt ja so bestimmte Sprecher, die vertonen ja, was weiß ich, X-V-Spieler und irgendwie hat man das so im Kopf. Das einzige Argument, was ich pro dieser Regelung sehe, weil das ja schon ein bisschen fishy ist, dass man das macht für, na was ist, wenn du jetzt vom Bus überfahren wirst.

Ja, dann könnte man, das kann man aber auch hinschreiben, wenn du vom Bus überfahren wirst. Also was ja hier glaube ich, ich denke es ist schon relativ klar, dass das zeitnah wird diese Technologie, die Stimmsynthese, das Sitzen oder Stehen in solchen Synchronisierungsstudios ersetzen. Das wird einfach nicht mehr gemacht werden. Und das kann man jetzt mal annehmen, aber vielleicht wird es auch weiterhin gemacht werden und am Ende auf eine Vinylscheibe gepresst, das kann auch sein, aber es ist naheliegend, dass einige versuchen werden, das jetzt einfach mit solchen Programmen zu machen. Und das ist erstmal eine technische Entwicklung, zu sagen naja, okay, das ist aber jetzt übrigens mal ein Recht, dass du uns einräumst, wenn du einmal mit uns arbeitest, das ist halt was anderes und solche Stimmen haben eben, wenn insbesondere, wenn sie, wenn das Publikum daran gewöhnt ist, an diesen Schauspieler, haben die eben einen Wert und den aus einem einfachen. Zusammenarbeitsvertrag mal eben so zu so underhanded, so, ey, ach so, deine Stimme gehört jetzt übrigens uns, so, ja scheiße, ne? Das ist, glaube ich, schon ein bisschen fies, ja? Also so macht man das nicht. Ich denke, wenn jetzt irgendwie, also einer der Synchronsprecher, die ich jetzt so kenne, wäre Oliver Rohrbeck, ne? Der seit so und so vielen Jahren Justus Jonas spricht und Ben Stiller und wir nicht alles, wenn man jetzt übrigens sagt, so, ach ja, hier, für die nächste Aufzeichnung übrigens einmal kurz hier unterschreiben, dass deine Stimme ab jetzt uns gehört. Ich denke, dass das, Sollte halt keine Standardklausel sein. Und ich könnte mir vorstellen, dass die großen Sprecher da durchaus auch eben auch einen, dass sie natürlich einen Wert haben und auch einen Preis aufrufen müssen für so etwas. Und natürlich wäre es sinnvoller, wenn das Recht zur Synthese ihrer eigenen Stimme bei ihnen liegt und dann eben Case für Case eingeräumt wird. Aber nicht Netflix sagt übrigens, deine Stimme gehört ab sofort für immer uns. Also es ist wirklich schon ein sehr, sehr fieses Vorgehen. Und ja, da muss halt Protest hin. Es gibt vielleicht irgendwie so ein paar hundert Synchronsprecherinnen überhaupt, die haben natürlich eine sehr schwache Lobby. Und da gibt es eine schöne Webseite, die heißt nicht-net-flix.de, wo man einfach mal seine Unzufriedenheit damit zum Ausdruck bringen kann, und ankündigen kann, dass man sollte Netflix an dieser Klause festhalten und die durchsetzen, dass man dann eben sein Abo kündigt und ein zu einem der anderen Streaming-Anbieter geht. Und ich glaube, das ist ein relativ wichtiges Signal, Weil es hier um eine kleine Gruppe Menschen geht, die vielleicht auch Glück hatten, in dieser Rolle oder mit ihrer Stimme überhaupt Geld zu verdienen. Aber das ist eine hohe Kunst, das Synchronsprechen. Und die jetzt mal eben kurz unter die Räder zu kippen mit einer Klausel auf Seite 3, das ist schon wirklich unfein. Sei damit verlinkt und es gibt auch noch eine Fun-Facts-Folge, wo das ein bisschen erklärt wird.

Was ich mich ein bisschen frage bei dieser ganzen Geschichte ist, was passiert denn eigentlich bei den Nicht-Netflix-Eigenproduktionen? Das kann ja eigentlich nur für Eigenproduktionen gelten, diese Geschichte. Oder also wenn die jetzt irgendeinen Film von Fox einkaufen oder so, der ist ja schon synchronisiert.

Klar, ich denke, ich würde auf jeden Fall sagen, dass es hier um die Eigenproduktion geht. Das ist ja bei Netflix auch nicht wenig. Aber klar, wenn die Filme, und ich würde auch denken, dass die Stimme halt dann für 50 Jahre für diese Rolle oder Serie dann gekauft ist und sie nicht sagen können, hier, wir setzen die Stimme jetzt ein, wo wir wollen. Da würde ich jetzt schon von ausgehen. Aber auch das ist natürlich schon ein bisschen heftig, weil du sagst im Prinzip, hallo, wir hätten hier gerne deine Stimme für eine Synchronisations-Session und dann willst du aber gleichzeitig sagen, aber die Bäckerei kriegen wir mit dazu. Das ist halt schon, erscheint mir ein bisschen großzügige rechte Einräumung.

Es gibt da ein langes Rechtsgutachten, das auch verlinkt ist auf der Nicht-Netflix-Seite, wo man sich dann durchwühlen kann und das liest sich so beim Brüberscrollen schon einigermaßen haarsträuben. Zum Beispiel auch so, dass sie eben Sachen sich einräumen in diesen Verträgen, die noch nicht in bisherigen Verträgen abgedeckt sind und also sprich nicht nur neue Folgen, vielleicht auch ganz andere Serien als ursprünglich beauftragt. Also das ist sehr vage da in dem Rechtsgutachten, aber ich glaube, das könnte auch eine sehr unschöne Präzedenz für andere Streaming-Anbieter liefern, die da natürlich sehr genau hinschauen, ob Netflix jetzt auf die Nase fliegt damit.

Und das ist so ein bisschen, das ist genau, ach guck mal, hier ist der Vertrag sogar auch auf der Seite des Sprecherverbandes, wo du dann irgendwie anklicken kannst. Gut, dann ist erstmal geschwärzt, um was es geht und dann…, Die Synchron-Schaffende erteilt Studio sowie dessen Rechtsnachfolgern, Abtretungsempfängern oder Lizenzen, die man hiermit die Erlaubnis, die Arbeitsergebnisse mittels analoger oder digitaler Medien einschließlich generativer oder anderer Formen kürzlicher Intelligenz zu bearbeiten, zu kürzen, zu verändern, zu arrangieren, umzugestalten. Soweit, das sind nur vorbehaltliche Erfüllung der Regelung. Anhang 1, Bearbeitung, Zustimmung. Meine Güte, ja. Okay, also, den geht's an den Kragen, da muss man mal ein bisschen solidarisch sein, da muss man mal Netflix kündigen, gerade jetzt im Frühjahr ist das ja gar nicht so, das geht ja leicht von der Hand. Wir kommen jetzt wieder vor die Tür, da könnt ihr mal Netflix kündigen und nicht Netflix ist natürlich nicht minus net, doppelt T minus Flix D.

Ich kann mir ja nicht vorstellen, dass das irgendwie fliegt mit den Synchronisationen für Animationsfilme, wo sie ja bevorzugt auch richtige Stars sich ranholen, um ihre Animation-Filme besonders attraktiv zu machen. Und wenn du da jetzt Schauspiel-Superstars mit so einer Klausel kommst, ich glaube, da sagen die, dann, leck mich doch einfach mal am allerwertesten. Könnt ihr komplett vergessen. Das scheint ja jetzt auch eine deutsche Geschichte zu sein, wenn ich das hier richtig sehe. Es gab hier eine Verhandlung konkret mit dem Bundesverband Schauspiel e.V. Also bezieht sich das hier wahrscheinlich auf deutsche Verträge.

Ich stelle mir das auch ein bisschen so vor, weißt du, die, Wenn da jetzt irgendein Film mit irgendeinem Schauspieler oder irgendeiner Schauspielerin mal synchronisiert wird und du machst das da für ein paar hundert Euro und dann wird dieser Film aber erfolgreich oder diese Schauspielerin erfolgreich, dann kriegst du quasi nachher deinen, natürlich steigt damit dann eben auch der Wert deiner Stimme und dann kriegst du eben Nachfolgebeauftragung. Dann eventuell begleitest du diesen Schauspieler oder diese Schauspielerin über ihre Karriere und natürlich steigt dann damit auch dein Einkommen und dann redet man eben auch hier wie in der PM von einer Existenzgrundlage und ja, die hast du eben daher, dass du diese Stimme nun mal bist und dass die in der Zukunft dann eben auch für andere Preise lieferst als den ursprünglichen Boris Becker Spoiler. mit AOL, Den hat ja auch jemand anders synchronisiert.

Bin ich schon drin?

Das ist ja einfach. Traumhaft.

Also man muss natürlich auch sagen, Synchronisation ist natürlich auch nicht nur die Stimme, sondern da gehört dann auch deutlich mehr dazu. Habe ich übrigens mal einen Podcast zu gemacht. Werfe ich auch gleich nochmal mit rein. CAE 150 über Filmsynchronisation, wo man diese ganzen Aspekte mal raushören kann. Die noch dazugehören, um wirklich eine gute Synchronisation zu machen, was halt mehr ist nur als jetzt irgendeinen Text zu sprechen, sondern da muss ja auch dein, da gehört ja auch die Adaption in die Sprache mit dazu, da gehört auch Ausdrücke und Begeisterung, Gefühle und so weiter, all diese ganzen Sachen, ja.

All diese Dinge, die uns so fremd sind.

Ja, ich hab da viel gelernt, also ich mach das ja, Linus, du kannst ja nochmal den Podcast anhören.

Klappt das vielleicht auch bei dir. Habe ich ja schon gehört, ich habe alle zu dir eh gehört.

Warum ist das dein Ernst?

Ich hab dir auch synchronisiert.

Welchen Sprachen denn?

Deutsch.

Ich hab dir auswendig gelernt.

Ich hab dir nochmal mit ein bisschen mehr Ausdruck eingesprochen. Mit einer KI. Das kostet aber jetzt Geld. Wir hatten in der letzten Woche eine gute Nachricht. Kurz, außer nicht, Finger weg von dem Knopf.

Jaja.

Und die, Und zwar, dass die freiwillige Chatkontrolle nicht verlängert wurde und dann haben aber die Konservativen, also die EVP, für morgen, Donnerstag, den 26. März, sich angestrengt eine Wiederholungsabstimmung zu erzwingen, um diesen Grundsatzbeschluss nochmal zu kippen. Und dann wird aber davor am Mittwoch darüber abgestimmt, ob die Wiederholungsabstimmung überhaupt stattfinden kann. Dieser Mittwoch ist heute. Und damit hatten jetzt quasi die Grünen, FDP, Linken und AfD versucht, ihren Widerstand gegen diese Wiederholungsabstimmung, also es ist auch irgendwie, ist schon lustig, so Demokratie, oh, oh, oh, oh, scheiße, nee, dann machen wir Wiederholungsabstimmung, also das ist, wo kommen wir denn da hin? Dann könnten wir auch mal ein paar Wiederholungsabstimmungen gerade mal kurz machen übrigens, aber okay wurde versucht das zu stoppen, und es wird jetzt leider morgen noch einmal stattfinden also der, Versuch diese Wiederholungsabstimmung nicht zuzulassen ist gescheitert und deswegen wird morgen eine Wiederholungsabstimmung stattfinden. Haben wir uns zu früh gefreut.

Da bin ich ja mal gespannt.

Aber ich finde es auch wirklich, so Politikverdrossenheit oder so, das kann man natürlich gut bekämpfen, indem man, Abstimmungen, die nicht so gelaufen sind, wie man wollte, einfach nochmal neu macht. Jeder macht mal einen Fehler oder so. Also da hat man auch wirklich, da wird so richtig schön das Vertrauen in Demokratie, investiert von lieben Freundinnen und Freunden. Aber Christopher, was ich dich fragen wollte, was hast du eigentlich für einen Router?

Ich habe natürlich eine Fritzbox.

Deutsche Router für deutsche Netzwerkszugang.

Deutsche Router für deutsche Netzwerkszugang. Wie heißt die Firma nochmal? AVM Audiovisuelle Medien.

Nicht mehr.

Die haben sich kürzlich unbedingt schade eigentlich.

Die heißen jetzt auch Fritz.

Die sind ja auch irgendwie gekauft worden oder da ist irgendwie Private Equity eingestiegen, glaube ich, vor ein paar Jahren.

Ja, darfst du in den USA nicht benutzen, ne?

Gibt's da auch nicht.

Ja, würde in den USA ab morgen oder ab heute nicht mehr neu zugelassen werden, wenn jetzt die neue Super Fritzbox kommt, die kriegt keine Zulassung mehr von der Aufsichtsbehörde, von der FCC. Weil es aus dem Ausland ist ganz, ganz böse.

Und ist das ein Problem für die USA?

Das kommt drauf an, wie viel Vorräte die noch in ihren Lagern haben, bei ihren Mediamarkt-Derivaten, ihre Best Buy und wie das alles in den USA heißt, weil die Sachen, die ja, die Router, die jetzt zugelassen sind, die dürfen weiter verkauft werden, solange man keine Software-Updates rausgibt dafür, das ist also doch der nächste Bonus, aber es wird nichts Neues mehr zugelassen. Und außer es wird komplett in den USA nicht nur zusammengeschraubt, diesen Trick gibt es ja schon ewig, dass man dann einfach die Komponenten in das Land verschifft, wo es dieses Embargo gibt und dann da zusammenschraubt und sagt so made in Land X. Nein, sie müssen auch da designt sein und alle wichtigen Schritte der Kette müssen in den USA durchgeführt werden und auch alle Chips, die irgendwas senden und empfangen, müssen aus den USA kommen. Also alles andere, so Speicher und so darf aus China sein, Notfall sind Widerstände und der PCB oder so, aber das was sendet und empfängt, das muss aus den USA kommen.

Also das Ganze ist jetzt ein neuer Erlass der FCC, wo ja auch so ein Qualitätsmensch jetzt da von Trump in die Führung gesetzt wurde.

Federal Communications Commission, sowas in Deutschland wäre das dann die BNZ-A, oder?

Es würde wahrscheinlich sehr viel von dem, was die machen würde, in den Bereich reinfallen. Aber es sind halt auch so Lizenzen für Broadcaster. Das ist ja auch so ein Thema, hatten wir ja auch schon ein paar Mal. Und es ist noch ein bisschen unklar, was jetzt hier das Ziel ist. Also man könnte natürlich jetzt sagen, die USA, also was heißt, man könnte sagen, das ist die Argumentation. Wegen der Sicherheit müssen wir jetzt hier das böse Ausland raushalten. Eine ähnliche Verordnung gab es, glaube ich, auch schon in Bezug auf Drohnen tatsächlich in den USA.

Ja, Ende letzten Jahres.

Und man kann jetzt allerdings theoretisch für einzelne Modelle, nicht so generell für die Firma, sondern immer nur für einzelne Modelle einen Antrag stellen. Da muss man dann aber einen Nachweis machen über, was sind die Firmenstrukturen, was haben wir für Partner, was haben wir für Joint Ventures. Wir müssen hier jeden Eigentümer abklopfen, der irgendwie mehr als fünf Prozent am Unternehmen hält. Was ist hier für ein Management? Also unterliegt ja irgendeine Einflussnahme ausländischer Regierungen. Dann müssen sie ein Bill of Materials vorlegen, nachweisen, wo die Router gebaut werden, wo die Software herkommt, wo die Firmware herkommt etc. Und lustigerweise müssen diese Anträge auch nicht an die FCC gestellt werden, sondern entweder ans Department of Defense oder dieses Homeland Security Ministerium. Also da sieht man schon, wo der Hase langläuft bei denen. Ist ein bisschen unklar.

Aber qualifiziert denn irgendein Router aus den USA?

Naja, gibt ja ein paar amerikanische.

Welchen?

So Ubiquiti und Starlink zum Beispiel. Das ist ja alles amerikanische Ware.

Also ich glaube.

Cisco hat glaube ich noch ein paar Router im Angebot. Was ist das? Links gehört Cisco?

Ja, übrigens gilt das auch nur für Consumer-Router. Also die ganzen Business-Router.

Das ist alles exempt.

Es geht nur darum, was sich Peter Smith in seine Stadtwohnung in Manhattan stellt. Das ist wichtig und das ist jetzt verboten. Aber wenn ich so einen Enterprise-Router habe, der wer weiß, wie viel Terabit durchschiebt, dann ist es vollkommen egal, ob der aus China kommt oder nicht.

Genau, also Netgear ist noch ein amerikanischer Hersteller. dann gibt es noch so Eero, Google Nest, glaube ich, hat auch so einen WiFi-Router, also was.

Die Frage ist aber, werden die auch wirklich alle in den USA zusammengebaut? Das haben wir auch noch nicht so nachforschen können. Denn also Netgear zum Beispiel, da bin ich fast sicher, dass das meiste wirklich in Südostasien zusammen gelötet wird und nicht im Land der freien Routerwahl.

Das könnte sogar für fast alles gelten. Also, dass sie jetzt irgendwie die Starlink-Elektronik komplett in den USA bauen, kann ich mir auch nicht vorstellen.

Angeblich in Texas, aber...

Echt?

Wer weiß. Wer weiß.

Es gibt eine Liste, was man schon mal nicht darf. Aber die gibt es, die ist glaube ich auch schon länger, das ist dann so Huawei, ZTE und so, das wollen sie nicht. Kaspersky Lab, Router.

Im Heiser Artikel steht am Ende noch, Heiser Online hat die FCC gefragt, ob sie Open Source Software als im Inland hergestellt einstuft. Das ist eine schöne Frage. Ich vermute mal, es gab keine Antwort.

Ich bin nicht sicher. Ich habe mit dem Kollegen seitdem nicht mehr gesprochen, aber in der Regel ist es so, wenn wir eine Antwort kriegen, dann schreiben wir es dann ja auch in den Artikel. Beziehungsweise machen dann noch einen Nachklapp dazu und wenn es den nicht gibt, dann heißt das, dass die FCC uns noch nicht mit einer Antwort beehrt hat. Vielleicht ist es auch einfach, weil die E-Mail aus dem Ausland kam. Vielleicht sind ausländische E-Mails jetzt auch nicht mehr so genehm.

Ich könnte dir auch einfach vorstellen, dass sie auf sowas nicht vorbereitet sind.

Das ist nicht hundertprozentig witzig gemeint. Es gab mal eine Zeit, da hat, ich glaube, die CISA den Zugriff auf ihre Listen für Non-Exploited Vulnerabilities Geofenced. Und dann bist du da aus bestimmten Ländern unter anderem auch zwischenzeitlich mal aus Deutschland nicht mehr herangekommen, weil die dann Geofenster vorgeschnallt haben und dann musste man die irgendwie von GitHub ziehen oder von irgendeinem anderen Büro. Also so ganz ausgedacht ist das nicht.

Oh Mann.

Naja, mal schauen. Also auf jeden Fall igelt sich die USA technologisch da ein, Inwiefern jetzt hier nur Security-Argumente gelten oder sie einfach nur mehr Zugriff auf Zugangsüberwachung erhalten wollen, das sei mal dahingestellt.

Ja, also ich erinnere mich immer noch an diese deutschen Diskussionen mit der Routerrichtlinie, das war ja so eine der letzten Male, dass ich mich an so etwas noch irgendwie beteiligt habe und das war ja einfach nur, Also einfach traurig, ne? Also Auslöser war diese TR064-Schnittstelle auf irgendeinem Telekom-Router von Arcadian, die, wenn man da eine TR069-Nachricht oder umgekehrt hingeschickt hat, dann stürzte der quasi ab und mit voll CPU, also mit hoher CPU-Last. Und wenn du drei, vier so Nachrichten da hingeschickt hast, dann sind halt genug Prozesse auf hoher CPU-Last gelaufen, dass dieser Router abgestürzt ist. Und dann musste ein Update eingespielt werden, das hat die Telekom dann auch gemacht, nachdem sie halt mal den Port gesperrt hat für diese Router. Was ja auch schon mal lustig ist, dass der Fernwartungsport dieser Router halt einfach, also den die Telekom für die Fernwartung nutzt, dass sie den auch ans echte Internet expost. Was mir dann ein bisschen erstaunlich schnell ging, war das Update von Arcadian und dass kein anderer Arcadian-Router da draußen betroffen zu sein schien. Was ein bisschen nahe legte, dass vielleicht die Telekom das Update einfach nicht eingespielt hatte. Und dann gab es danach die technische Richtlinie Router. Und dann hat das BSI da gesessen in Bonn und dann haben sie die Routerhersteller und die Netzbetreiber und dann waren sie alle da und dann wollten sie ein Logo haben und da musste, was man alles erfüllen muss. Und das sollte natürlich, natürlich waren die Hersteller da, um dafür zu sorgen, dass es möglichst irgendeine Form von Anforderung da drin steht, die es ihnen ermöglicht, einen exklusiven Vorteil gegenüber der Konkurrenz zu haben aus anderen Ländern. Ich bin da... Natürlich mit den politischen Entwicklungen inzwischen natürlich auch etwas gespaltenerer Meinung. Ich glaube, Arcadian ist aber auch nicht China, sondern Taiwan, müsste man mich jetzt korrigieren. Ich weiß jetzt nicht, ob ich mir einen russischen Router hinstellen würde oder überhaupt irgendein russisches Endgerät. Und wenn man sagt, man traut Russland nicht, dann kann man sich natürlich auch die Frage stellen, ob man sich chinesische Geräte irgendwo hinstellen will. Was man, ich weiß nur nicht um die Bedeutung des Routers so sehr weißt du, ja okay, klar könnte sein ein Router ist dazu geeignet, eine Backdoor ins interne Netz zu ermöglichen, aber dann würde ich ja gerade jetzt so diese Customer Premises Equipment, also diese Plastikrouter die halt in einer Wohnung stehen, wie du gerade schon sagtest Christopher, würde ich mich ja nicht unbedingt auf die konzentrieren, sondern vielleicht mal gucken naja, was ist denn mit den Enterprise Geräten, was ist mit den Routern, die wirklich auch mehr als drei, vier Routen so verwalten können. Also es macht irgendwie keinen, es macht nicht wirklich Sinn. Also aus einer Sicherheitsperspektive kann ich da jetzt nicht erkennen, dass das sich rechtfertigen ließe genau in dieser Priorisierung und Vorgehensweise.

Also das ist schon eine etwas seltsame Priorität, auch dieses in Bausch und Bogen alles aus dem Ausland zu verbieten und dann mal zu gucken, was machen wir dann danach, aber die Vorgehensweise haben wir ja bei dieser Regierung auch schon ein paar Mal gesehen, was ja sicherlich auch den Ausschlag gegeben hat, war nicht unbedingt nur so dieses Traffic abgreifen oder irgendwie man in the middle machen, sondern, dass diese Consumer-Router ja auch massiv in so Bot-Nets mitgespielt haben. Und das ist auch was, was sich in den letzten Jahren sehr stark rauskristallisiert hat in diesen Residential Proxy Netzwerken, wo dann teilweise auch mit Wissen der Anschlussinhaber, die dann dafür einen kleinen Obolus kriegen, die Geräte mitgenutzt wurden von Leuten, die sich da eingemietet haben. Und das ist ja zum einen dann zum Beispiel so, weiß ich nicht, irgendwie Web-Crawler oder so AI-Crawler, die möglichst so aussehen wollen, als kämen sie von so einem DSL-Anschluss, damit nicht Leute wie ihr und ich dann auf ihrem Web-Server da so eine Anubis oder irgendeinen anderen Crawler-Blocker deployen. Und dann gibt es aber auch diejenigen dieser Netze, die da ja unheimlich viel Malware drin haben und wo unheimlich auch dann diese berühmt-berüchtigten staatlichen Akteure sich dann als DSL-Anschluss irgendwo im mittleren Westen der USA tarnen. Und ich glaube, dass es da schon ein bisschen herkommt, also zumindest diese Herangehensweise, die kann ich auf eine Art nachvollziehen. Das Vorgehen, nun ja...

Ja, okay, da hast du auf jeden Fall einen richtigen und wichtigen Punkt. Die sind gerne mal geohnt. Dieser Telekom-Fall vor den vielen Jahren, das war auch, wie hieß das denn, Mirai oder sowas? Ich glaube, es war sogar Mirai.

Ja, das war Mirai. Die haben dann auch immer die Leute gewarnt. Du hast dann irgendwie eine E-Mail gekriegt oder ich glaube sogar einen Brief. Achtung, ihr Router ist Teil eines Botnetz und sie müssten dann mal aufs Knöpfchen drücken oder sowas. Ich erinnere mich dunkel.

Und das stimmt natürlich, dass du da, wenn es eine ausreichende Monokultur gibt, eine ganze Reihe Geräte unter deiner Kontrolle bekommen kannst und dann hast du natürlich auch eine entsprechende Feuerkraft für DDoS-Angriffe oder diese Crawler-Geschichten. Das ist auch eine interessante, also gibt es natürlich einerseits als wir own deinen Router, aber gibt es auch als hey, wir haben eine coole App für dich auf deinem Smart TV. Willst du nicht, dass dein Smart TV, wenn du gerade nicht Fernsehen guckst, dein Smart TV für uns ein paar Werbeanzeigen klickt und du kriegst dafür 5 Euro gutgeschrieben oder so. Da gibt es schon sehr absurde.

Aber ich meine, das Sicherheitsargument hat natürlich nichts damit zu tun, dass man jetzt hier sagt, nur US-amerikanische Router sind gut. Das mag ein Faktor sein, aber letzten Endes müsste man natürlich an alle Hersteller einfach klare Maßstäbe anlegen, die halt wirklich sicherheitsorientiert sind und nicht nur danach gehen, wer jetzt hier irgendwie welchen Pass hat.

Also ich glaube, dass sie sagen, naja, bei einem amerikanischen Hersteller, wenn da der Router irgendwie unsicher ist, dann können wir notfalls einfach nachts da hinfahren und den aus dem Bett klingeln.

Das würde doch keiner machen.

Und ich könnte mir vorstellen, dass das der Gedanke ist, oder?

Naja.

Ich bin mir nicht sicher. Also zwei der Hersteller von so Netz-Security-Appliances, die immer mal wieder lustige Löcher haben, die sitzen ja auch in den USA. Und da gibt es jetzt noch keine Verbote. Da gab es aber auch schon mal Abschaltandrohungen von der US-Cybersicherheitsbehörde, wie sie sich dann immer schön nennt in unseren Artikeln. Also das ist schon ein bisschen wild, was die da treiben. Und ich weiß nicht, wie zielführend das ist. Ich glaube, dass vielleicht auch noch eine weitere Dimension ist, diese Hersteller dazu zu zwingen, einfach Produktionskapazität in den USA aufzubauen und dann wieder dieses Arbeitsplatz-Argument anzuführen und zu sagen, schau mal, wie viele Arbeitsplätze jetzt durch die TP-Link-Router-Fabrik in San Fernando Valley oder wo auch immer entstehen. Du den Markt nicht komplett aufgeben willst, musst du ja irgendwas tun jetzt als Hersteller aus Taiwan oder China oder irgendwo anders her.

Naja, aber dann kommen wir doch mal zu unserem Hauptthema heute. Polizei, dein Freund und Patcher.

Hautfixer, dein Freund und Hautfixer. Ich muss schon korrigierend eingreifen. Es ist alles sehr wild.

Stimmt, es gab ja gar keinen Patch.

Wir können im Präsens bleiben. Also zum Zeitpunkt der Aufnahme, ich reloade die Seite nochmal. Man wird nämlich auf der Warnseite vom Hersteller gebeten, regelmäßig nachzuschauen. Ich schaue jetzt nochmal regelmäßig drauf.

Lass da doch irgendein Botnetz einfach kurz immer gucken für dich. Da musst du doch jetzt nicht immer F5 drücken.

Ich lasse das mal in den AI-Crawler machen über ein Transidential Proxy Network. Genau. Soll ich was erzählen oder wie wollen wir das machen? Ich weiß nicht, ob ich das unfallfrei hinkriege oder ob ich vielleicht ein bisschen lachen muss zwischendurch.

Das ist hier Standard.

Die Hörerinnen auch.

Es ist ein bisschen, es ist eine recht wilde Geschichte, die am Wochenende passiert ist und die fand ich sehr bemerkenswert, deswegen habe ich auch ein bisschen was drüber geschrieben. Also es begann am vergangenen Sonntag, so am späten Vormittag, da kriegte ich eine Nachricht von der Quelle, da gibt es eine Sicherheitslücke in dieser Software Windchill und in der Software FlexPLM und dann dachte ich mir, naja, das kann vielleicht bis Montag warten, das ist vielleicht jetzt nicht unbedingt dringend was fürs Wochenende, wir haben ja auch bei Heise so eine Wochenendschicht, aber manchmal kriegt man solche Tipps halt auch am Wochenende direkt. Und ich habe mir dann angeschaut, was das für Produkte sind. Das ist, Software zum Product Lifecycle Management und da hört es bei mir auch schon auf mit dem Fachwissen, ist also was eher branchenspezifisches, was nischiges, also nichts, wo ich jetzt sage, da gibt es auf der Welt 250 Millionen Installationen, das ist kein Chrome oder auch nur ein SharePoint. Und das Ding hatte eine Lücke, die wir allerdings aus SharePoint sehr gut kennen, weil da haben wir alle vier Wochen was in der Art, eine unsichere Deserialisierung in so einem Endpunkt, der irgendwie auf dem Web-Server irgendwo liegt und wo man dann ohne Authentifizierung potenziell eigenen Code hätte ausführen können. Und das ist dann in der nach oben geschlossenen CVSS-Skada halt so eine Zehn. Also das kriegt dann die volle Punktzahl und da dachte ich immer noch, naja gut, das ist eine schwere Sicherheitslücke, aber ist das jetzt wirklich so wichtig? Ich meine, wie viele Leute in Deutschland kennen dieses Produkt?

Kannst du kurz erläutern, was eine Deserialisierungslücke ist?

Also da bin ich auch nicht so firm drin, aber am Ende, wenn du Input in einer Web-Anwendung weiterverarbeitest, Dann serialisierst du den auf eine bestimmte Art und Weise. Also zum Beispiel JSON ist ja auch eine Art Serialisierung von Daten. Und dann hast du eine Deserialisierungsfunktion, die kriegt dann ja User-Input. Der kommt irgendwo aus irgendeinem Webformular oder aus irgendeiner Session-Variable oder sowas. Das ist also in der Regel vom User kontrolliert. Und wenn du dann deine Deserialisierung falsch anstellst, dann kann da Code mit durchrutschen, also dass dann zum Beispiel nach dem Ende des Arrays noch irgendeine, in diesem Fall Java-Methode, mit ausgeführt wird. Es gibt Generatoren online, da kann ich mir dann entsprechende Payloads, die heißen dann Gadget Chains, selber generieren und kann, wenn ich so eine Lücke irgendwo finde, die dann ausnutzen, um beispielsweise eine Webshell auszuführen oder CalcExe zu starten oder was auch immer man mit so einem Remote Code Execution Ding so macht. So, die sind bekannt durch eben sowas wie die Tool-Shell-Lücke, die es letztes Jahr im Sharepoint gab und die auch sehr weitlich ausgenutzt wurde, wo es auch größere Verwirrungen darum gab, wie viele Lücken das eigentlich sind und wie gefährlich die alle sind. Aber diese Deserialisierungslücken sind diese relativ alltägliche Geschichte, die wir so bei Heise Security recht häufig im Ticker sehen. Deswegen war ich jetzt nicht unheimlich panisch und aufgeregt, als ich das gelesen habe, weil das ist eigentlich so, was bei Microsoft heißt, das ist Mittwoch, wenn so eine Lücke rauskommt. Ich habe dann trotzdem eine Meldung dazu gemacht, weil meine Quelle sagte, das solltet ihr euch doch mal angucken, zumindest mal ein bisschen was dazu schreiben, weil das könnte irgendwie steil gehen. Und die Quelle hatte recht. Ich habe eine Meldung gemacht, habe die online gestellt und da hatte jemand echt einen guten Riecher, das hätte ich nämlich so nicht gesehen. Und die Meldung lief jetzt erstmal auch so, wie ich das erwartet hatte, also mehr oder weniger unter Ausschluss der Öffentlichkeit, weil dieses Produkt eben in Deutschland nur sehr, sehr wenige Unternehmen überhaupt einsetzen. Und dann ist auch so ein Security Alert an einem Sonntag im Grunde was, was nicht so viele Leute lesen. Und dann kam der Montagmorgen und dann guckte ich ins Forum, weil mir ein Kollege sagte, du musst mal kurz in das Forum zu der Meldung gucken, da passieren komische Dinge. Ich hatte auch schon eine E-Mail oder zwei bekommen, wo dann drin stand, hier, da hat die Polizei wohl vor der Tür gestanden bei Leuten, die diese Software einsetzen, am Sonntag in der Nacht. Und dann dachte ich, das jetzt kurz auf die Uhr geguckt, das hat man auch im Forum einige geschrieben, deswegen klaue ich den Witz, ist schon erster Vierter, das ist ja irgendwie nicht normal. Dann bin ich losmarschiert, hab dann im Forum geguckt und da sind ja, wie das so ist, wenn man zum Glück immer noch keine Klarnamenpflicht gesetzlich verankert hat, da sind dann natürlich viele Leute unter Pseudonym und dann habe ich gesagt, okay. Kann mir bitte jemand aus der Anonymität raustreten oder meinetwegen auch anonym, zumindest könntest mir mal irgendwie beweisen, was ihr da behauptet. Und dann kamen ein halbes Dutzend E-Mails am Sonntag und am Montag. Und diese Leute sagten, ja, da hat bei uns um halb drei jemand den Geschäftsführer aus dem Bett geklingelt. Und man möchte sich bitte sofort um diese Sicherheitslücke kümmern. Und ein weiterer Heise-Leser hat mir geschrieben, da stand jemand bei uns, Am Sonntag, wir machen Mehrschichtbetrieb und wir produzieren auch am Wochenende, stand jemand in der Produktionsstätte und hat Produktionsmitarbeiter angesprochen von der Polizei. Man möge doch mal bitte diese Sicherheitsinformation weitergeben. Und diese Sicherheitsinformation war eben im Wesentlichen das Advisory von PTC, das ist der Hersteller von Windschild und Flex PLM, das bereits am Freitagabend um etwa 23 Uhr westeuropäischer Zeit an alle Kunden gegangen war. Das wurde dann also, ich weiß nicht, ob ausgedruckt oder als Link, es wurde auf jeden Fall nochmal von der Polizei persönlich teilweise überreicht.

War das jetzt ganz normale Polizei? Oder war das irgendeine spezielle Abteilung?

Das war das Hotfix Spezialeinsatzkommando.

Datenverkehrspolizei oder was?

Ja, ich habe auch versucht mit irgendeinem Bildgenerator ein pseudowitziges KI-Bild zu machen, aber ich habe dann doch was bei Shutterstock gekauft. Nein, das war wohl normale Streifenpolizei. Also ich habe die Meldekette dann versucht nachzuvollziehen, weil ich dann auch wissen wollte, ich habe das noch nie gehört. Also ich mache das jetzt auch schon ein paar Jahre. Ich habe aber auch ja nicht alles gesehen, was so passiert ist. Und ich glaube, gerade bei großen Themen, also wenn für große Unternehmen zum Beispiel ein Cyberangriff bevorsteht, und es dann einen Tipp gegeben hat an irgendeine der Ermittlungsbehörden, dann fahren die natürlich auch mal da in das Unternehmen und sagen, Achtung, könnte sein, dass da morgen ein Ransomware-Angriff läuft oder dass ihr schon penetriert seid. Also das kann ich mir schon gut vorstellen, aber dass die jetzt wirklich in Mengen rausfahren, in Bayern zum Beispiel wurde, ich weiß nicht, ob persönlich oder persönlich per E-Mail und Telefon eine niedrige dreistellige Anzahl an Unternehmen informiert. Also das ist jetzt nicht so, dass da irgendwie zwei oder drei informiert wurden und da die Polizei teilweise vorgefahren ist, sondern da war richtig was los. Und das war also zu Zeiten, wo ich dann sagen würde, als jemand, der auch mit diesen ganzen Abmahngeschichten und Hausdurchsuchungen so ein bisschen sozialisiert wurde, da sollte ich mir vielleicht überlegen, ob ich mal ganz schnell den USB-Stick mit den kompromittierenden Informationen runterschlucke, weil wenn die um vier an der Tür klingeln, dann normalerweise ist das ja eher der Termin für eine Hausdurchsuchung. Und insofern ist das schon einigermaßen auch für die Leute, die davon betroffen waren, nicht nur ungewöhnlich, sondern auch vielleicht ein bisschen, ich will nicht sagen beängstigend, aber schon auch so ein kleiner Schock gewesen, zumal am Wochenende.

Und diese Software, wir kennen sie noch nicht mal? Sie ist sehr wenig verbreitet?

Ja, also sie ist nicht SharePoint. Ich nehme das immer als Beispiel her, weil wir da eben auch diese Desirialisierungslücken haben und weil wir da auch ziemlich gut sehen können, wie zum Beispiel Microsoft auf solche Sachen reagiert. Und das ist eine ganz andere Hausnummer. Es gibt wohl 1200 oder in der Region von zwischen 1000 und 1400 Betroffene, Also diese Software, eine dieser beiden Softwares, Winchill und FlexPLM sind zwei verschiedene Produkte vom gleichen Hersteller, die aber die gleichen Sicherheitslücken hatten. Also die gleiche Sicherheitslücke ist das eine, die diese 1200, 1300, was auch immer in der Größenordnung Betroffenen sind, zugegebenermaßen aber auch teilweise Unternehmen mit Namen. Also ich habe mal beim Hersteller selber nachgeschlagen, die haben dann ja immer diese tollen Case Studies und zeigen, was sie alles tolles mit ihren Kunden machen und da ist dann MAN dabei, die kennt man, Lufthansa Technik in Hamburg ist auch kein ganz kleiner Laden. ZF gibt es noch. Die sind auch nicht so winzig. Weiland. Und was ich originell fand, ich weiß nicht, wie groß das Unternehmen ist, aber ich kenne die aus dem Stadtbild. Street Scooter. Das sind nämlich die, die diese gelben Elektro-Post-Autos machen, soweit ich weiß, oder früher gemacht haben.

Ja, das sieht man ja.

Die sind ein Problem im Stadtbild, wollte ich nur sagen.

Das kommt drauf an, ob sie sich bewegen oder auf dem Fahrradweg stehen. Und was die Software macht, ich habe wirklich ich bin da total überfragt.

Aber sie macht nichts Unsicher.

Diese Realität.

Lifecycle Management heißt das ja und das ist halt jetzt hier Maschinenbau, Automotive Bereich, Luftraumfahrt, so Medizintechnik wird das halt einfach intern, verwendet und ist halt so eine dieser Standardlösungen im Markt und dieses Flex Das PLM ist wahrscheinlich was ähnliches, aber das ist glaube ich mehr so auf Bekleidungsindustrie, Konsumgüterkram, also etwas andere Branche als Target.

Aber das klingt für mich nach etwas, was man jetzt wahrscheinlich eher so in so einem internen Netz betreibt.

Ja.

Und vielleicht nicht draußen ans Internet hängt, also woher kommt genau jetzt der, also was genau, wo war jetzt der Notstand, dass am Wochenende die Polizei an der Tür steht?

Das ist eine ganz ausgezeichnete Frage, die ich auch allen, die sie nicht hören wollten, gestellt habe. Erst mal ist das, was du da sagst, auch grundsätzlich der Tenor dessen, was ich an Rückmeldungen von unseren Lesern, also von den Betroffenen, die sich bei mir zurückgemeldet haben, bekommen habe. Einer war dabei, der sagte, er wisse gar nicht, warum er da angesprochen und in aller Herrgottsfrühe in die Firma beordert worden sei, denn man hätte zwar darüber nachgedacht, dass eins der beiden Produkte zu nutzen, nutze es aber derzeit gar nicht. Also es sei nie eine Lizenz erworben worden.

Das ist die Gedankenpolizei.

So eine Art Precrime. Du musst auch Software updaten, die du in Zukunft zu kaufen gedenkst. Ein anderer oder mehrere andere sagten, wir haben das natürlich irgendwo im LAN vernagelt und das ist nicht übers Internet erreichbar. Man sollte das nicht zu sehr relativieren, weil natürlich ist irgendwie Lateral Movement ein Ding. Und wenn jemand erstmal im Netz drin ist und dann so eine Installation findet und dann noch einen weiteren Server hat, wo er Code ausführen kann, dann ist das natürlich auch alles andere als toll.

Genau, aber da kannst du montags um zwölf mal anrufen und nicht Samstag nachts kommen.

Ja, oder du kannst einfach abwarten, bis die Leute den Hotfix, der ihnen ja schon per E-Mail zugestellt wurde, Klammer auf, auch nicht immer unbedingt an die richtige Adresse, wie mir ein Beteiligter gesagt hat, abwarten und dann sagen, ich installiere dann den Hotfix bzw. Spiele erstmal den Hotfix ein. Das ist aber in diesem Fall auch nicht geschehen und das ist das eigentlich Interessante an dieser Geschichte, denn ich finde jetzt, man könnte schon drüber diskutieren, ob es nicht vielleicht sogar eine ganz gute Idee wäre, wenn mal ein bisschen mehr Druck darauf käme, dass die Leute ihre kaputten Exchange-Server oder ihre Sharepoints oder ihre, weiß ich nicht, WordPress von 2008 mal fixen, damit die nicht weiter eine Gefahr für den Rest des Internet darstellen, aber, ausgerechnet an dieser Stelle wirkt es irgendwie total. Komisch, ich fehle am Platz, eine sehr seltsame Risikoeinschätzung und ich bin dann losgegangen und habe da die sämtlichen deutschen Landeskriminalämter und das BKA und das BSI um eine Stellungnahme gebeten und dann sind mir irgendwie die drei Buchstabenagenturen ausgegangen, weil BND wollte ich nicht fragen und die haben dann also durchschnittlich vier oder fünf Zeilen lang geantwortet, und die Antworten der Landeskriminalämter lasen sich alle sehr, sehr ähnlich. Das Vorgehen unterschied sich, also sie haben teilweise nur angerufen, zum Beispiel in Niedersachsen, da wurden die Betroffenen angerufen oder haben E-Mails bekommen. In anderen Bundesländern, zum Beispiel in Thüringen, sind sie persönlich vorbeigefahren, in NRW hat es das auch gegeben. Das wurde mir dann auch entsprechend bestätigt und dann stand da immer drin, Für die übergeordneten Sachverhalte wird sich das BKA ihnen gegenüber äußern. Detailliert äußern stand schon gar nicht drin, die wussten wohl schon was kommt. Kam nämlich nicht so viel. Also ich habe dann vom BKA auch eine Rückmeldung bekommen und das BKA das schrieb, sie hätten Kenntnis von einer kritischen Schwachstelle erhalten und entsprechend den etablierten Prozessen die Landeskriminalämter informiert.

Also, vielleicht mal, also wir müssen das ja ein bisschen in so einen Kontext ziehen. Ich hatte dem Tim gerade, bevor wir mit der Sendung angefangen haben, einfach nur mal einen Screenshot von Heise Security gezeigt, wo ich glaube drei, also drei Meldungen sind über Schwachstellen, zwei Meldungen über Schwachstellen, knallrot, also ernsthafte Probleme und da hat eben niemand was gemacht. Das war jetzt irgendwie, also quasi aus der gleichen Zeit, kritische Sicherheitslücke in Citrix Gateway und Netscaler ADC, ja, das ist vom 23. Und genauso und vom 22. ist Zero Day erlaubt, das ist die Flex PLM, okay gut. Also wegen dieser einen war die Polizei da und bei Citrix Gateway und Netscaler gab es am gleichen Tag halt Schwachstellen, die jetzt, ich will jetzt mal sagen, wahrscheinlich in der deutschen Wirtschaft beraten. Den Fortbestand unserer Volkswirtschaft in ein größeres Risiko gebracht haben, als diese eine Schwachstelle in so einer Software, die eine Handvoll Leute nutzen, oder?

Zumal wir auch bei dieser Citrix-Lücke, da habe ich auch die Meldung zugeschrieben, deswegen habe ich sie mir kurz angeguckt, eine Präzedenz haben. Denn es gab schon genau diese Lücke, das liest sich fast genau wortgleich in den Advisories mehrfach, die hieß dann Citrix Bleed und Citrix Bleed 2. Und da konnte man dann direkt aus den Geräten über deren Webmanagement-Interface im Grunde die Session-Daten rausklauen von irgendwelchen Admins. Und das ist im großen Stil exploited worden von den üblichen Verdächtigen, also Cybercrime und staatlichen Akteuren. Und diese Netscaler, ADC und diese Citrix-Gateway-Geräte, die stehen ja nun mal auch irgendwo, wo sie aus dem Internet erreichbar sind. Das sind im Grunde Loadbalancer, WAV und VPN-Endpunkte. Und die müssen ja übers Web erreichbar sein oder übers Internet erreichbar sein, sonst können die ihre Aufgabe nicht erfüllen. Und da ergibt sich schon eine ganz andere Fallhöhe aus meiner Sicht als jetzt bei diesen Systemen, die dann doch vielleicht eher intern irgendwo in einem Netzwerksegment liegen, wo sie sich nicht so richtig mit Kriminellen aus Russland oder wo auch immer her verständigen können.

Also wir müssen jetzt irgendwie rätseln, wie kommt es, dass ausgerechnet bei dieser Schwachstelle auf einmal irgendwie so eine Polizeieskalation stattfindet und vielleicht so ein bisschen dem vorangestellt, das ist schon, also es ist nicht so, wie soll ich sagen, also es ist ja nicht so verkehrt. Wenn der Staat sagt, okay, wir achten mal ein bisschen darauf, was hier so in den heimischen Digitalgärten ist, da sagen wir mal, machen wir ein paar Regeln hier für den Schrebergarten und die Hecke darf halt nur 1,50 hoch sein und der Patchstand darf nicht größer als drei Major-Releases sein und nicht mehr als zehn CVSS 9,8 Lücken oder so, Dass man da mal ein paar Regeln für die Kleingartenanlage definiert. Und da gäbe es ja auch durchaus viel zu tun, wie du gerade schon sagst. Da fliegen überall irgendwelche outdated Server rum, die eigentlich nur darauf warten, dass sich jemand mal das alte WordPress oder was auch immer darauf anschaut und das aufmacht. Also eigentlich ist das nicht so verkehrt, dass vielleicht der Staat eine etwas aktivere Rolle spielt. Dabei wahrnehmen würde, Sicherheit herbeizuführen.

Ich würde da mal so ein bisschen Mut maßen, also wenn ich mir das so anschaue, dann riecht das so ein bisschen nach, man fängt jetzt an, Ursprung war ja quasi BKA, wenn ich das jetzt richtig deute. So, das heißt, die beobachten jetzt den Cyber und versuchen, Schlüsse zu ziehen mit, ist die deutsche Wirtschaft irgendwie jetzt besonders gefährdet. Müssen wir jetzt hier irgendwie alert sein. Und das ist ja auch eine gute Sache, würde ich jetzt erstmal sagen, dass sie generell jetzt dieses Bewusstsein auch für digitale Bedrohungen aufbauen. Und es macht auf mich so ein bisschen den Eindruck, als hätte man jetzt hier mal so ein Rollout einer. Anderen Alarmisierung der Wirtschaft ausprobiert, die jetzt in unterschiedlichen Ländern zu unterschiedlichen Ausprägungen geführt hat. Bis hin zu, oh, da müssen wir jetzt irgendwie an die Tür klopfen. Was vielleicht eher ein organisatorischer Unfall war, und nicht wirklich so gedacht war, aber so verstanden worden ist bei diesem stillen Postverfahren, das man jetzt von BKA zu LKA zu lokaler Polizei dann gemacht hat. Das kann ja auch durchaus auf Missverständnissen beruhen, kann man ja alles nicht ausschließen. Und grundsätzlich versuchen sie aber abzuwägen, ist jetzt hier sozusagen unsere Wirtschaft gefährdet. Ich meine, wenn es um so eine Lösung geht, wo Luft- und Raumfahrt betroffen ist oder auch große Maschinenbauhersteller, das ist ja schon so ein bisschen das Herz der deutschen Wirtschaft auch mit, beziehungsweise wo auch potenziell viel Sicherheitsrelevantes angefasst wird. Und kann ich das schon nachvollziehen, dass das jetzt so kommt, aber dieser Alarmierungsrollout war jetzt noch ein bisschen ruppig.

Also mein lieber Tim, ich glaube, das muss man etwas differenzierter noch drauf blicken. Diese Unternehmen, haben wahrscheinlich jeden Tag größere Sorgen als diese eine Schwarzstelle in dieser einen Software.

Oh, mit Sicherheit.

Ja. Und die haben IBM und Microsoft im Haus. Die haben wirklich andere Kopfschmerzen als das. Das heißt, Es gäbe auf jeden Fall eine ganze Reihe anderer Probleme, die sie haben, die sie mit höherer Dringlichkeit hätten beseitigen müssen und die sie jeden Tag haben. Insofern, wenn die Polizei hier wenigstens eine Korrelation zur tatsächlichen Kritikalität auch im Ökosystem gezeigt hätte, dann hätte sie auch hier eine Kompetenz unter Beweis gestellt. Und das ist nämlich genau das Problem, die Polizei hat da überhaupt gar keine Kompetenz.

Es wäre ja schon schön, wenn wir sagen wir mal auf Bundesebene so ein Amt hätten, was sich um Sicherheit in der Informationstechnik kümmert. Ich habe aber keine Idee, wie man das nennen könnte. Aber das könnte dann ja auch diese Risikoeinschätzung machen und dann sagen, okay, hier für SharePoint, da schicken wir die Kavallerie, aber bei FlexPLM oder bei Christophers Kühlschranksoftware muss das vielleicht nicht unbedingt sein.

So ein Bundesamt für Sicherheit in der Informationstechnik.

Ja, das nehmen wir.

Das ist ein guter Name. Das könnte man zum Beispiel auch mit der Zuständigkeit dann versehen.

Wir hängen das direkt unter dem Innenministerium auf. Das ist doch vielleicht auch eine Idee. Und dann hat das ja auch eigentlich...

Direkt ein Interessenskonflikt leider dann auch mit der Polizei und den...

Die hängen da ja auch, ne?

Ja, ne.

Leute, Leute, ich hab mal nachgeschaut.

Die hätten einen kurzen Dienstweg gehabt, ne?

Das gibt's schon.

Lino, das gibt es.

Nein. Ja, ein Wunder.

Ja. Ist ja irre.

Das gibt es schon. Also, deswegen habe ich die ja auch schon direkt mit in meine große Fragerunde mit reingenommen und ich war da tatsächlich auch ganz ehrlich und das wirklich, ich versuche das jetzt so ironiefrei wie möglich zu sagen, ich war da auch wirklich verwundert, wie das gelaufen ist. Und, ähm, Und dass da das BKA offensichtlich tatsächlich so eine Risikobewertung gemacht hat und gesagt hat, so jetzt, das ist uns jetzt zu heikel, jetzt müssen wir da was tun. Und auch hier Ironie beiseite, das ist natürlich ein seltsamer Vorgang und für uns, die wir das jetzt so ein bisschen von außen betrachten, sieht das auch komisch aus, aber vielleicht wissen die ja wirklich irgendwas Großes, was wir nicht wissen. Und sagen es uns nicht, weil sie es uns nicht sagen können. Eine der Rückmeldungen aus einem LKA enthielt auch diesen magischen Passus aus ermittlungstaktischen Gründen und das setzt ja auch immer irgendwie ein bisschen voraus, dass es eine Ermittlung gibt. Aber ich hätte erwartet, dass da was vom BSI, also dass das BSI so eine Risikoentschätzung macht und sagt, so jetzt hier kommt, die schicken ja auch solche Bulletin raus, wo das dann heißt, schaltet mal euer Exchange 2019 ab, das ist jetzt mal fällig und sowas macht das BSI ja und das zerrt bunt schickt, auch automatisiert Warnmeldungen, wenn du, deinen NetBios-Port zum Internet öffnest oder einen offenen Resolver betreibst. Das gibt es seit Jahrzehnten, also literally seit Jahrzehnten, diese Warndienste. Das machen die ja alles schon. In diesem Fall hat das BSI aber geantwortet, ja, wir unterziehen auch, Sicherheitslücken immer einer Risikobetrachtung, die unter anderem beinhaltet, wie verbreitet das Produkt ist, die unter anderem auch beinhaltet, wie kritisch die Sicherheitslücke ist und die beinhaltet, ob die Kunden und Nutzer bereits durch den Hersteller informiert wurden und dann passen wir beim BSI unser Verhalten und unser Vorgehen an dieses Ergebnis dieser Betrachtung an. Und das war das ganze, oder paraphrasiert das Statement, das ich bekommen habe zu diesem Vorgang vom BSI und das war das ganze, das war das ganze Statement. Da muss man dann, glaube ich, so ein kleines bisschen versuchen, sich das zusammenzupuzzeln, weil das ja erstmal sehr nichts sagen, das ist ja eine Verfahrensbeschreibung und ich kenne das Verfahren, das muss man mir jetzt nicht nochmal extra beschreiben und ich glaube auch den meisten unserer Leser und euren Hörern auch nicht.

An der Stelle kann man aber durchaus vielleicht mal sagen, und das BSI macht das, ja, aber schauen wir uns mal einen Fall der Vergangenheit an, wie hieß denn diese Gruppe, die da die ganzen Exchange-On-Prems-Server aufgemacht hatten? Weißt du das noch? Also es gab eine Conti? Nein, nein, nein, dieser, Ich suche das gleich noch.

Ich würde den Nachrichtendienst kennen, der da vielleicht was drüber geschrieben hat.

Es gab eine Schwachstelle in, Exchange-Servern. Das ist zum Beispiel so ein Begriff, da muss man für mich einen Synchronsprecher finden, um Exchange aussprechen. Also Exchange kann ich, was ich nicht sagen kann ist Exchange-Server.

Da sträubt es sich in mir aber auch so ein bisschen, aber vielleicht ist es auch nicht gewonnen.

Aber genau, da kriegt man auch direkt immer so ein Exchange will man eigentlich nicht auf seinem Server haben, das kann ich sagen, also gab es eine Schwachstelle in Outlook Web Access, die es mehr oder weniger ermöglicht hat da eine Web Shell drauf zu knallen, dann hast du halt ein Exchange übernommen und ähm, Und das war ein Zero-Day, was Microsoft noch nicht gepatcht hatte und insbesondere nicht für seine On-Prem, also für die Server bei den Leuten da draußen. Und die wurden in der Wildnis ausgenutzt und als dann Microsoft davon Wind bekommen hat und einen Patch ausgerollt hat, hat die Angreifergruppe, die diese Angriffe gemacht hat, gesagt, okay, jetzt wird schnell gepatcht, also rollen wir jetzt automatisiert. Aus und wir knallen einfach überall in der Webstelle hin und dann kommen wir später zum Ernten. Haben es sehr dreckig gemacht, haben die Webstelles nicht ordentlich geschützt und so waren einfach zu detektieren. Und dann hatte das BSI irgendwie Wochen später noch Zehntausende solcher Server im deutschen IP-Bereich. Und dann haben sie Monate später haben sie noch Briefe geschrieben. Und jetzt muss man natürlich faszinierend feststellen, erstens, das BSI hat keine andere Möglichkeit, zu wirken, als irgendwie Briefe zu schreiben.

Hatte. Ich glaube, das sollten wir mindestens in den Perfekt setzen.

Wieso? Welche Möglichkeit haben sie jetzt?

Es gibt doch jetzt das schöne neue Meldeportal und da kann man auch Kontaktdaten eintragen. Dann können sie dir eine E-Mail schreiben und ich glaube sogar anrufen oder so.

Genau, aber wenn jetzt wenn du nicht reagierst, dann haben sie, okay, sorry, ich wollte Briefe schreiben, weil es so ein bisschen paraphrasiert ist. Achso, okay, ich dachte.

Du warst buchstäbliche Briefe, okay.

Nein, nein, die können natürlich auch, die können dann potenziell, hätten auch eine E-Mail, können jetzt auch E-Mail schreiben, weil können dich auch anrufen oder so, Richtig. Aber sie haben keine Bemächtigungsgrundlage mehr zu machen, als zu sagen, wir möchten dich gerne darauf hinweisen. Und dann hast du die ganzen deutschen EDV-Dieters, die dann sagen, oh, da ist schon wieder ein Brief vom BSI, ich hab doch draußen dran stehen, ich will keine Werbung von der Regierung oder so. Und die sowas dann ignorieren oder denen das nicht zustellbar ist oder die sagen, den Server, den warte ich nächste Woche und dabei hängt da seit eigentlich seit kürzester Zeit, seit Monaten hängen da halt irgendwie die Angreifer drauf und also das BSI hat keine, Ermächtigung, irgendwo durchzugreifen und die haben auch nicht die Kapazitäten bei den Leuten zu Hause so vorbeizufahren. Und jetzt hat unser Innenminister ja, und ich denke, dass dieses Outlook-Exchange-Ding ist ein sehr schönes Beispiel dafür, dass da das BSI auf Wissen sitzt, dass es die Kenntnis davon hat, die wissen, auf welcher Haus befallen ist, die wissen auch, dass das ein riesiges Problem für das Unternehmen ist, bis hin zu, wenn so viele betroffen sind, sagen wir mal, signifikantes Problem der deutschen. Wirtschaft oder inneren Sicherheit, was auch immer du da verteidigen möchtest, choose your poison und dann kommen sie nicht, sie kriegen es nicht umgesetzt und dann kommt der Dobrindt an und sagt so, jetzt machen wir hier Cyberdome, jetzt wollen wir aber hier mal richtig, das werden wir jetzt hier mal ganz anders aufziehen, Wir werden nämlich dann jetzt, was weiß ich, die E-Mails von Deutschen oder von Amerikanern, die blockieren wir jetzt. Wir wollen quasi irgendwie Netzabschneidungen haben. Wir wollen jetzt als Staat durchgreifen können auf die Systeme. Und ich denke, das ist, wenn man dann in diesem Kontext, einfach nur in den Meldungskontext mal diese Aktion der Polizeien da versucht zu interpretieren, dann könnte ich mir auch vorstellen, dass die einfach gesagt haben, lasst uns doch mal zeigen, was wir für eine Initiative zeigen können. Die Polizei, hier am Wochenende klingeln wir die Leute raus, die müssen patchen. Da haben wir so einen richtigen Case, wo wir sagen können, schaut mal her. Liebe Bundesregierung, schaut mal her, liebes Innenministerium, was wir so hier für eine tolle Polizei haben, die richtig, und wie wäre es denn, wenn ihr uns mal noch mehr so Cyberbefugnisse gebt und wenn wir demnächst hier einfach die ganze Zeit die Leute rausklingeln, wenn sie Probleme haben, weil wir sind ja überall, wir fahren ja überall rum mit unseren Autos. und, Um dann hier quasi so langsam das ganze Ding so in die Richtung zu lenken. Ja, das ist ja vielleicht eine Aufgabe für die Polizei. Die Polizei passt halt einfach auf. Die Polizei soll dir auch Bescheid sagen, wenn du die Tür aufgelassen hast an deiner Tür. Und dann, wenn man das mal annehmen würde, dass sie das so dachten, komm, da zeigen wir mal was, dann wäre diese Schwachstelle nämlich eigentlich sehr geeignet. Sie hat, also eine Besonderheit ist, sie betrifft einen relativ geringen Kreis, das heißt, da kann man sich überhaupt, kann man einen Vorteil ausspielen, ja, wenn man sagt, keine Ahnung, du sagst jetzt ein paar hundert betroffene Unternehmen über ein paar Bundesländer verteilt, naja, dann kannst du halt vielleicht echt mal übers LKA ein paar Streifenwagen da vorbeifahren lassen und dann hast du das Ding geklärt. Das heißt aber bei jeder wirklich bedeutsamen, großen Schwachstelle nicht diese Möglichkeit, weil es einfach viel mehr Betroffene gibt. Zweitens, du hast schon recht, es gab halt keinen Patch, es gibt immer noch nur einen Hotfix. Das heißt, durch automatisierte Updates hättest du nichts bekommen. Da konnte man nochmal sagen, oh, nochmal ein besonderer Notstand hier. Es ist eine spezifische Handlung erforderlich bei den Betroffenen. Und so könnte ich mir vorstellen, dass wenn man einfach mal vielleicht längere Zeit schon mal der Öffentlichkeit zeigen wollte, wie unglaublich toll die Polizei im Cyber Sicherheit sich hervortun kann, dass das eine sehr willkommene Gelegenheit war, das mal zu demonstrieren. Wie würdest du das sehen?

Hätte man es dann nicht vielleicht auch einfach richtig machen sollen?

Ja klar, hinterher bist du immer schlauer. Man kann immer alles auch richtig machen. Na sicher, aber doch nicht mit der deutschen Polizei.

Also den Punkt sehe ich schon. Und ich glaube auch, dass es so ein eingegrenztes und vor allem auch nur auf unternehmenbezogenes Vorgehen attraktiver ist, als hinzugehen. Und in ganz Hamburg zu gucken, dass jeder seinen Chrome updatet. Aber es hätten sich auch schon seit Jahr und Tag, und ich habe jetzt gerade noch mal in meine Notizen und in die Dokumentation von BSI geguckt, andere Ziele angeboten, wo man wirklich mal hätte vorbeifahren müssen. Und zwar die über 30.000 veralteten Exchange-Server, die On-Prem in Deutschland, Stand Mitte Oktober letzten Jahres, noch liefen. Man muss das ja nicht alles an einem Tag in einer konzertierten Aktion machen. Das ist ja nicht so, dass man sich das nicht hätte aufteilen können. Aber das hätte man sich dann zum Beispiel mal anschauen können und da mal drauf einwirken können. Und man hätte vor allem... Einer Betroffenenliste oder einer Adressliste, Kundenproduktliste arbeiten können, die vollständig und korrekt ist und eben diese False Positives verhindern, dass Leute da aus dem Bett geklingelt werden, die überhaupt nichts mit den Produkten zu tun haben. und. Das wirkt schon wie so eine Aktion der Sorte, wir wollen jetzt einfach mal zeigen, wo der Frosch die Locken hat und wir wollen jetzt mal einfach so eine, wie sagt man, so einen Schmerzpunkt setzen oder mal eine Diskussion, einen Aufschlag in die Diskussion einbringen, um auch mal zu zeigen, nicht nur BSI kann Cyber, auch andere können Cyber, denn dieses ganze Cyber-Thema ist ja, ich sag das Wort zu oft, ich muss es weniger sagen. Dieses ganze Thema ist ja auch noch in einem dritten Ministerium oder in einer dritten Stelle begehrt, nämlich beim Bundesministerium für Digitalisierung und, wie heißt das, Staatsmodernität oder Staatsmodernisierung oder so?

BDSM, ja.

Genau, das BDSM vom Minister Wildberger, wenn ich mich richtig erinnere. Und die haben ja da auch schon Begehrlichkeiten angemerkt und dieses ganze, Security-Organigramm Bei deutschen Bundesbehörden ist ja auch nicht einfacher geworden seit der letzten Bundestagswahl. Und dass jetzt einer vorspricht und sagt, so jetzt machen wir mal Nägeln mit Köpfen und jetzt machen wir mal, dass der Sonntag zumindest ein paar Leuten in Erinnerung bleibt, das klingt schon nachvollziehbar. Ob das jetzt auch sein Ziel erreicht hat. Und das Ziel kann ja eigentlich nur sein, nicht politische Karma-Punkte zu sammeln und mal wieder auf Heise aufzutauchen, sondern den deutschen Abschnitt des Internets oder die deutsche IT-Landschaft sicherer zu machen. Und ob wir da jetzt netto eine deutliche Verbesserung erreicht haben in den letzten 72 Stunden durch diese Aktion.

Also ich fühle mich besser.

Du fühlst dich sicherer?

Ja. Ich hatte schon immer Angst vor Lifecycle Menschen. Nämlich? Vielen Dank. Und in Secure Digitalization im internen Netz hatte ich jetzt auch. Also da schlafe ich jetzt einfach besser, muss ich echt sagen. Was ich sehr nett fände, welche CVE-Nummer ist das in diesem Jahr?

CVE-Nummern-10. Das ist schwer zu sagen, die zählen ja nicht streng monoton hoch, sondern die werden blockweise vergeben.

Ja, aber es gibt schon eine grobe Indikation, wie viele Zehntausende Schwachstellen es gibt, wo demnächst die Polizei kommt. Ich freue mich auch, also so ein Polizeiausbesuch, wie du gerade schon sagst, das wäre auf jeden Fall echt eine, vielleicht ist das auch wirklich die Motivation zu patchen, dass du sagst so, ey, boah, mach bloß das scheiß Update, ey, sonst stehen die heute nachts um vier wieder vor der Tür, ja, und zehren den Papa aus dem Schlafzimmer, weil er das iPhone nicht upgedatet hat oder sowas, ne?

Also, was wir ja in diesem Kontext auch noch nicht betrachtet haben, ist auch wieder ein Teil dieser Risikoabwägung und du hast ja gerade gefragt, was ist der Notstand? Wir sind uns ja auch gar nicht klar, ob überhaupt irgendjemand außer denen, die es dem BKA erzählt haben, diese Sicherheitslücke gefunden hat, weil der Hersteller sagt, wir haben keine Anzeichen, dass ein erfolgreicher Exploit ausgeführt wurde. Das ist ja auch nochmal immer ganz wichtig, das sehen wir dann ja auch, wenn wir zum Beispiel in die USA gucken, die CISA pflegt so eine Liste dieser Known Exploited Vulnerabilities, also der als ausgenutzt bekannten Schwachstellen, weil irgendeine Ransomware-Bande oder irgendwelche Threat Actors die ausgenutzt haben und das irgendwo mal in so ein Threat Intelligence Feed reingefallen ist. Und da steht diese Lücke nicht drauf. Sie steht auch nicht auf irgendeine Weise wie der britischen Cybersicherheitsbehörde. Ich habe überhaupt noch nirgendwo anders, außer in Deutschland, was von dieser Sicherheitslücke und ihrem riesigen Gefahrenpotenzial gehört und der Hersteller sagt, wir haben keine... Also wir haben da auch keinen Nachweis. Wir paraphrasieren das mal mit, es gibt keinen Indikator, dass da was kompromittiert würde über diese Sicherheitslücke. Und zwei Absätze weiter schreibt der gleiche Hersteller. Hier sind übrigens so Webshells, die haben wir gefunden und die sind auf den Systemen gewesen und das sind Anzeichen für eine Kompromittierung. Guckt mal lieber, ob die bei euch auf den Systemen auch drauf sind. Im gleichen Advisory, also es ist der gleiche Artikel. Das ist schon auch irgendwie ein bisschen seltsam. Das ist so ein bisschen wie Schrödingers IOC. Also es ist gleichzeitig ein Indikator, dass was kompromittiert wurde, möglicherweise. Und es gibt keinen Indikator, dass was kompromittiert wurde. Man darf halt nur nicht genau reingucken in das System. Ich weiß nicht genau, wie die sich das vorstellen. Aber das finde ich auch noch bemerkenswert. Und das lässt mich doch auch annehmen, dass da noch ein bisschen mehr hinter der Geschichte steckt, als wir erfahren haben vom Hersteller, vom BKA, von den LKAs, vom BSI und so weiter. Vielleicht gibt es da wirklich schon oder gab es eine groß angelegte Angriffskampagne und Und das ist nur aus ermittlungstaktischen Gründen bis jetzt noch nicht an die Öffentlichkeit gegeben worden.

Wir können ja nochmal ein bisschen auf das Gesamtbild schauen. Es mag ja durchaus sein, dass es hier einen Anlass auch gibt. Ja und ich glaube, wenn ein Anbieter sagt oder wenn derjenige, der verantwortlich ist für die Sicherheitslücke sagt, es gibt noch keinen Patch, wir wissen, wir glauben nicht, dass es Anzeichen für Exploits gibt, aber guck mal nach der Werbschelle auf dem System, da hätte ich vielleicht die Polizei eher zu denen geschickt als zu den Kunden. Aber lass uns dann trotzdem nochmal so schauen, wie würde man denn das, was wäre denn ein Modell? Das besser zu machen, also wenn man jetzt wirklich mal diesen Begriff Cyberdome nimmt und sagt, okay, wir wollen, der deutsche Staat will besser in der Abwehr werden oder damit in der Verteidigung, dass Hackbacks und so jetzt wirklich nichts Sinnvolles sind. Das haben wir, glaube ich, hier ausreichend erörtert. Aber was hättest du denn, wie könnte denn so ein staatliches Modell sein, dass man es schneller hinkriegt und vielleicht sogar ohne, oder von mir aus mit oder ohne Polizei, was denkst du denn, wäre ein sinnvolles Modell?

Also ich habe das mit dem CyberDom auch mal beim BSI gefragt und die sind noch sehr deutlich in der Konzeptionsphase und da steht was von Lagebeobachtung, Threat Intelligence, Vorfallsbearbeitung und solchen Sachen drin. Da steht eine Sache nicht drin und zwar das, was wir jetzt eigentlich alle gebraucht hätten, um die Sicherheitslücke zu beseitigen und jede andere Sicherheitslücke in Software, nämlich ein Update und ein zeitnah eingespieltes Update. Aber das ist halt nicht so sexy, da kann ich nicht sagen, ich habe hier ein buntes Dashboard und hier fliegen irgendwelche IP-Pakete von Russland oder aus China nach Berlin und dann ziehen die so einen Bogen und alles leuchtet und blinkt und da kann man sich dann davor stellen und sich auch sehr medienwirksam davor ablichten lassen, das geht ja alles mit Updates nicht, weil da drückst du auf den Knopf und dann ändert sich irgendwo eine Versionsnummer, das ist ja... Weiß ich nicht, ist nicht sexy. Und das ist aber das, was als einziges wirklich nachhaltig hilft, dass dieser Cyberdom die Sicherheit in der deutschen IT-Landschaft dadurch stärkt, dass Mechanismen für Updates robuster, leichter zugänglich und möglicherweise sogar mit einem, weiß ich nicht, einem Ob-Aus-Mechanismus automatisch durchgeführt werden. Dass ich also sage, ich habe hier meine On-Premise-Installation von FlexPLM und das hat einen Auto-Updater und der ist per Default an. Und wenn ich irgendwas hoste, so als As-a-Service oder ich habe so ein WordPress irgendwo bei einem großen deutschen Hoster, dann gibt es da in der Web-Oberfläche einen Knopf aktuell halten und der ist immer aktiviert und ich muss dann aktiv sagen, ich will veraltete Software betreiben. Dann hätte das ja auch schon mal einen Vorteil, weil dann die Leute, die es einmal kaufen und die es einmal einrichten und dann einmal ihre Kochrezepte da veröffentlichen, die müssen sich dann nie wieder um Updates kümmern und das ist glaube ich das Gros der, Anwender, die noch immer glaubt, Software sei sowas wie ein Kühlschrank, das kaufst du einmal, dann treibst du es, bis es kaputt geht und dann kaufst du dir einen neuen Kühlschrank, so funktioniert aber ja nun mal Software nicht. Die wären dann aber zumindest schon mal sicher.

Und ja, also ich denke genau das und ich habe auch den Eindruck, dass genau an so etwas scheitert, wenn wir nämlich jetzt hier dieses Outlook oder Exchange Server im Beispiel nehmen, wenn ich ein E dazwischen mache, dann kann ich es aussprechen, dann kann ich es aussprechen. Die stehen ja im Zweifelsfall auch gar nicht bei diesen Kunden. Die haben die ja nicht zu Hause bei sich stehen, sondern die stehen in irgendeinem Rechenzentrum von einem der Anbieter. Und ich fände es schon nicht, oder sagen wir mal nach, also ich fände es schon spannend, auf ein Modell hinzuwirken, wo man so eine, ja, ich hoste hier, keine Ahnung, ich hoste meinen Dedicated Server in, oder mein, was auch immer, mein Managed Server, mein V-Server, der wird gehostet da und da. Und ja, ich genieße da irgendwie den erweiterten Cyberdom, wo man wirklich sagt, ja okay, ich stimme zu, dass für den Fall, und das finde ich hier nämlich sehr wichtig, so eine Verantwortungstrennung zu haben. Für den Fall, dass das BSI sagt, folgende Sicherheitslücke ist von einer Kritikalität, dass wir sagen, ein Mensch, ein deutsches System sollte die nicht haben. Und das BSI ist aber dann nicht, sind nicht diejenigen, die am Ende die Server patchen und das ist auch nicht die Polizei, weil wenn mir jemand sagen würde, hey, was hältst du davon, wenn die Polizei an deinen Server geht, würde ich immer aus dem Bauch erstmal sagen, nix, Gar nichts.

Abstand, hauptsächlich Abstand.

Ja, Server, ja. Katze bleibt drin, Bullen bleiben draußen. Ganz klar, eine Wohnungstür verläuft die Linie. Und die, das, wenn man aber jetzt sagen würde, die Provider, die Hoster, die gehen dran und die sagen, wir gehen dran, wenn es eine Meldung vom BSI gibt, wenn ein Notstand erkannt wurde von dieser unabhängigen Behörde, dann, Und nur dann sind wir berechtigt, ermächtigt, an dein System zu gehen und das wegzumachen. Oder was weiß ich, dann machen wir das weg, wenn du nicht nach fünf Stunden reagiert hast oder so. Da kann man sich ja tausend Pfade vorstellen, die auf eine schnelle Behebung von Sicherheitslücken abzielen würden und die auch so einen Standortvorteil dann wären.

Wir haben ja im Grunde den letzten Teil dieser ganzen Mechanismen bei den deutschen Hostern, Rechenzentrumsbetreibern und Netzbetreibern schon seit Jahrzehnten etabliert. Das ist nämlich das Abuse-Management. Also wenn das Kind in den Brunnen gefallen ist, wenn die Malware auf dem Router ist oder auf dem Server ist und wenn der anfängt zu spammen oder DDoS macht oder da irgendwelche, früher wurden dann da immer irgendwelche Filmraubkopien hochgeladen oder du hattest dann plötzlich sehr viel mehr Computerspiel-ISOs auf deinem Server als du eigentlich ursprünglich dir gewünscht hattest. Dann wird ja irgendwo ein Alarm ausgelöst und dann geht dieser Alarm an den Hoster und der Hoster sagt, hör mal, du hast da Mirai Botnet auf deinem Dedicated Server, mach das bitte weg, in zwei Stunden null ruten wir die Büchse. Diese ganzen Mechanismen existieren ja schon, sie existieren aber erst für den Fall eines Vorfalls, also wenn schon Schaden eingetreten ist und man müsste ja eigentlich nur diesen einen Schritt zurückgehen und sagen, wir machen das nicht reaktiv, wenn es schon kaputt ist und wir null routen müssen und die Kiste sowieso neu aufgesetzt werden muss, weil wenn da erstmal ein Rout-Kit drauf ist, dann machst du die Büchse neu, das ist nicht sicher, die dann notdürftig sauber zu machen und weiter zu betreiben, sondern wir setzen in dem Moment an, in dem das BSI oder WPF. Eine andere, jetzt gerade nicht existierende Behörde, also im Moment für die Arbeitshypothese des BSI, uns gesagt hat, da ist eine Sicherheitslücke drin, das muss gefixt werden und dann machen wir das. Dann sparst du dir nämlich diese ganzen Aufräumarbeiten und du sparst dir eben auch diese zwölf Stunden, in denen das Botnet schon ein Mitglied mehr hat, nämlich deinen Dedicated Server.

Ja, und du hast einen Schaden. Dann hast du halt was verhindert und nicht erst einen Schaden eingegrenzt. Ich könnte mir da ein Modell vorstellen, was ich glaube ich aber sehr wichtig und sehr klar dabei fände, die Polizei sehe ich da nicht. Sehe ich wirklich nicht.

Ist auch gar nicht notwendig aus meiner Sicht jetzt, wenn man sich dieses Thema der Gefahrenabwehr anguckt, weil das, reicht ja, wenn der Provider sagt ich möchte, dass mir kein wirtschaftlicher Schaden entsteht durch Spam, durch DDoS, wir möchten verhindern, dass dem Kunden ein wirtschaftlicher Schaden entsteht und da muss man ja auch überhaupt nicht mit irgendeiner Ordnungsbehörde kommen, sondern das kann dann ja im Grunde zwischen dem Provider und dem Kunden sein und ist ja auch eine Vertragsverletzung, wenn ich unsichere Software in dem Netz betreibe, also Also auch das wäre eigentlich abgedeckt, ohne dass man da gleich mit dem Blaulicht kommen muss.

Ja, über dieses Thema, da muss ich wirklich sagen, da reicht meine juristische Kenntnis nicht aus. Also wenn du die Hoster fragst, dann sagen du, ja wir dürfen ja nicht an die Systeme von den Kunden ran. Wenn die Kunden fragst, sagen du, ja ich habe den Server so gekauft, wusste ich ja nicht, dass der unsicher ist, was haben die mir da verkauft? Aber wenn du jetzt irgendwie das BSI fragst, dann sagen die ja, die... Im weitesten Sinne, wir dürfen da nicht dran oder die machen nicht, was wir denen sagen. Auf jeden Fall wollen die Hoster sich die Schuhe nicht anziehen. Und ich kann dich auch verstehen, weil es natürlich eine Menge Arbeit wäre, potenziell. Die aber einen Mehrwert schaffen würde und die man ja auch potenziell vergüten kann. Also dann hättest du mal deinen Standort Vorteil. Aber ich weiß auch wirklich nicht, ob da überhaupt so eine Kenntnis der…, der rechtlichen Situation einheitlich besteht. Ein Beispiel, ich rede seit vielen Jahren mit Leuten von der Telekom darüber, dass sie natürlich auch sehr viel im Traffic erkennen können. Hier, Thema Abuse. Redet mit einem C2-Server von irgendeinem bestimmten bekannten Botnet oder von irgendeiner Store-Coware oder so. Da kannst du eine Menge machen. Und das wissen die auch. Und dann sagen die immer, ja, wir sehen das ja, weil wir haben das ja nun mal. Wir sehen ja die DNS-Requests. Oder, oder, oder. Und es tut uns natürlich auch leid, dass unsere Netze für so einen Scheiß benutzt werden und wir würden es eigentlich gerne in einen Schutz der Kundinnen ummünzen. So und dann denke ich mir immer, ja mach doch. Ja, wir dürfen ja nicht in den Traffic eingreifen. Dann frage ich mich so, hä? Natürlich könnt ihr das machen, alles was ihr braucht, wäre irgendwie eine Zustimmung. Diese Diskussion führe ich seit Jahren. Jetzt endlich kriege ich auf meinen Telekom Handy SMS, wo sie sagen, übrigens du willst hier nicht den Cyberschutz Basic haben. Und haben ein relativ einfaches Modell, wo du sagst, wo sie dir sagen, okay, du kannst den aktivieren, kannst du jederzeit aktivieren, ist auch kostenlos. Deaktivieren dauert 24 Stunden. Auch sinnvoll, damit der Angreifer das nicht sofort wieder deaktiviert. Und schon läuft das. Ja, und du hast ein Produkt, also du hast ein Produkt und dann haben sie natürlich noch irgendeine Premium. Dann krieg ich noch irgendwie mehr, dann muss ich ja mal einen Euro einwerfen. Ist doch sinnvoll. Also Also ich will jetzt hier nicht Produkte vermarkten, aber das ist doch, also dieses Modell, das so zu machen, irgendeinen Basisschutz und dann kannst du noch irgendwelche Over-the-top-Services dazu machen. Funktioniert halt. Und ich sehe zumindest keine juristischen Schwierigkeiten dabei, insbesondere nicht, wenn ich das freiwillig ein- und auch wieder ausschalten kann. Und da sehe ich zum Beispiel auch keine Schwierigkeit, wenn man sowas halt zum Opt-out macht. Wenn man sagt, okay, jetzt kommt das Cyberdome-Gesetz, ab jetzt, weiß ich nicht, ab 2027 muss wer irgendwie Hosting anbietet, in der Lage sein, auf BSI geheißen, bei besonders kritischen Dingen eben auch diese Systeme in die Systeme einzugreifen. Ja, zack, bumm, kostet, also oder, und dann, und als Kunde würde ich mich, sagen wir mal, so weit geht mein Vertrauen, wenn es eine öffentlich, also eine öffentlich dokumentierte Anweisung des BSI Voraussetzung dafür ist, dass man in mein System eingreift, solange fühle ich mich wohl. Ich bin mir aber ganz sicher, dass wenn du jetzt nicht diese, wenn du diesen Dobrinds da nicht auf den Finger guckst, dann steht da nämlich auf Geheiß der Polizei, ohne dass der Kunde es merkt und vor allem aus ermittlungstaktischen Gründen dürfen die in dein System eingreifen und das wäre dann, sag ich mal, da hätte ich, da wäre mein Vertrauen vielleicht nicht mehr so gegeben.

Ja, ich glaube, da gibt es eine ganze Menge Hürden und ich glaube, da wird es auch dann so allerlei, also ich hätte da bei meinen dedizierten Servern oder so VPSen, die ich betreibe, da auch schon Bauchschmerzen, wenn da plötzlich einer drauf rumturnt. Und in Managed Services gibt es das ja schon, also wenn du so ein WordPress gehostet hast bei einem Hoster, der hält dir das dann hoffentlich auch aktuell, aber das kann ja nicht anders funktionieren, als dass man diese ganzen Update-Geschichten erleichtert und gleichzeitig so eine Semi-Verpflichtung einführt. Auf der anderen Seite ist es auch eine Sache, die kannst du auch leider nicht teuer machen, also du kannst da nicht viel Geld für nehmen, Weil dann sagen die Firmen und gerade auch die Privatkunden, ja wieso dadurch, dass man meine Software Sicherheitsupdates kriegt, da macht die ja nicht mehr für mich. Das ist ja, das bringt mir ja gar nichts. Also so Updates sind halt auch nicht so ein, leider in der Wahrnehmung nicht so ein Feature, mit dem man so richtig viel Geld verdienen kann. Weil die Leute sagen, ist mir doch egal, ob das aktuell ist oder nicht. Ich kriege den DDoS doch nicht rein. Ist mir doch egal, da zeige ich ja nichts für. Also zumindest das ist meine Wahrnehmung, die man oft so liest, da wurde mir das WordPress gehackt. Jetzt muss ich das sauber machen, das nervt mich ein bisschen. Aber die Implikationen, dass da jemand anders vielleicht noch einen viel größeren Schaden erlitten hat durch diesen Hack, die scheinen oft verloren zu gehen.

Also du hast natürlich recht, dass es da sehr viele... Und auch ich hätte sicherlich nicht Lust, dass die Polizei auf meine Server geht. Aber ich habe genauso wenig Lust, das irgendwie als gegeben anzusehen, dass irgendwie sechs Monate, nachdem es irgendwie einen absoluten Critical auf diesen Exchange-Servern gab, immer noch tausende nicht gepatcht sind. Also irgendwo dazwischen läuft ja so dieser, sehe ich zumindest einen Pfad, wo man sagen kann, als Ultima Ratio wird in einem System von Checks and Balances jemand dein System patchen oder von mir aus eben auch vom Netz nehmen. Ja, also dass du, also was auch immer, da kann man ja, ich denke gerade nur so, also ich denke einmal aus, was kann der Staat tun, wenn er denn meint, er möchte sich das zur Aufgabe machen und offensichtlich hat er es ja getan, sonst hätten sie nicht gesagt, das heißt jetzt Cyberdom und wir wissen noch nicht, was es ist. Und wenn man sagt, was ist das Problem, Dinge werden nicht gepatcht. Ich könnte mir vorstellen, dass natürlich allein die. Und, achso, das auf jeden Fall auch und natürlich Opt-Out, ja, natürlich will ich ein Opt-Out haben, also das ist völlig klar und dieser Opt-Out kann eben, das muss ja hier auch relativ balanciert sein, ja, weil es kann ja nicht sein, dass es heißt, ich kriege jetzt hier den automatisierten Patch-Service vom BSI, ja, und deswegen muss ich erst recht nichts mehr machen, weil wenn meine Systeme unsicher sind, dann kommt ja das BSI vorbei. Also es ist schon klar, dass man hier ein ausgewogenes System mit Augenmaß haben muss. Und genau deswegen zittere ich, seitdem der Dobrindt rumrennt, den ich nicht für ausgewogen und wohlüberlegt halte. Seitdem der da mit seinem Cyberdom rumrennt, weil da ehrlich gesagt schwand mir Übles, während ich zumindest so weit gehen würde, zu sagen, ja, wir haben auf jeden Fall einen Missstand und diesen Missstand kann man verbessern. Aber ob der Missstand verbessert wird, indem man nachts die Polizei klingelt, um irgendwie was zu zeigen, da bin ich nicht von überzeugt. Und natürlich gebe ich auch zu, habe ich das gerade verbunden mit den Gedanken der Whole Star, Ich hatte ja gerade schon gesagt hier in dem CPE-Router, Plasterrouter-Richtlinie und so, dass da natürlich denken die über Standortvorteile nach. Und vor allem in Deutschland musst du ja gerade im IT-Bereich, da musst du lange suchen, diese Standortvorteile. Ja, da gibt es nicht viele. Und naja, also ich bin mir auf jeden Fall sicher, dass es zwischen sechs Monate die komplett durchgehohnten Outlook-Server da stehen lassen und am Samstag klingelt die Polizei wegen irgendeiner dämlichen Lücke in irgendeinem internen System bei den Leuten an der Tür, dass es dazwischen irgendwo noch so einen Pfad, der Ratio gibt. Weiß ich nicht. Ich hoffe es zumindest.

Ich hoffe es auch.

Man könnte es ja mit Katzenmusik probieren.

Katzenmusik?

Ja, Katzenmusik. Charivari. Um sozialen Druck auszuüben, ist man ja früher bei den Leuten so vor die Gebäude und hat dann lärmende Musik gespielt, so lange bis sie ausreichend genervt waren und sich besser verhalten haben.

Und dann endlich gepatcht haben.

Ja, genau. Schrödingers Katzenmusik sozusagen. Da hat man das Problem dann gelöst.

Alright, also es wird auf jeden Fall ein Thema bleiben. Und ich finde das sehr schön, auch Christopher, was du gerade sagtest, dass es halt die Liste der Known Exploited Vulnerabilities gibt. Und die ist auch nicht kurz, aber das ist natürlich nur ein Bruchstück der... Grundsätzlichen Vulnerabilities. Und es gibt natürlich Dinge, die sich sehr eignen für bestimmte Angriffe und es macht Sinn, danach zu priorisieren. Und sich, also anders werden wir mit unseren Schwachstellen, wird man der Schwachstellen auch nie her, man muss halt priorisieren. Du hast in einer ausreichend großen Infrastruktur zu viele und ich habe keine Ahnung, wie groß die IT der Lufthansa ist, aber ich würde vermuten, eine Airline, die in, ich weiß nicht, weit über 100 Länder fliegt, hat eine relativ große IT und wenn da auf einmal irgendwie die Polizei vor der Tür steht und sagt, hier PLM, dann sagen die.

Welches, welches der 20 PLM denn? Da müssen Sie ein bisschen präziser werden.

Herr Wachtmeister.

Dann sagt der Moment, ich bin ja Oberwachtmeister, da müssen Sie präziser werden.

Ja, die Polizei der Freund und Petscher. Okay, wir machen noch, ich glaube, wir haben ja noch ein Thema, haben wir noch eins, und zwar der CCC hat mal wieder einen Datenlag gemeldet. Das wäre auch zum Beispiel sowas, was mal, also das wäre auch so ein Fall für, könnte man mal was machen. Die Plattform Advocado, jetzt weiß man immer nicht, das ist jetzt ein Advokat. Oder Avocado, das ist ein Wortspiel, die hatten eine, betreiben irgendwie so Web-Services, Und hatten da ein Debug-Tool laufen, also das Symfony-Framework, das ist ein PHP-Framework, wo du debuggen kannst und das ist auch ein Gift that keeps on giving, denn das kann man installieren ohne Zugriffsschutz. Dann hast du halt ein offenes Debug-Werkzeug, kannst du in dem Fall interne Server-Parameter sehen, darunter dann eben gültigen Zugang zu einem Git-Repository, in dem Quellcode steht und in dem Quellcode stehen dann auch die hartgecodeten Zugangsdaten, unter anderem in dem Fall für einen Faxdienst, ist ja ein Anwaltstool, Anwälte schreiben ja Faxe. Zahlungsdienstleister und ein Amazon S3 Bucket und auf dem S3 Bucket lagen dann zahlreiche hochgeladene Dokumente, Ausweiskopien, Inkasso schreiben, Rechnungen von Kanzleien und den Dokumenten von Gerichten, Bild- und Tonaufzeichnungen von Gesprächen, was halt so Anwaltskanzleien über ihre unterschiedlichen Plattformen hochladen. Ähm... So ein Symfony findet man schnell, kann man gut nutzen. Entsprechend schließt die Meldung auch, dass Framework Symfony könnte auch mehr dafür tun, das versehentliche Exponieren des Profilers zu erschweren. Etwa durch eine verpflichtende Authentifizierung. Also dass das Ding sogar überhaupt ohne Authentifizierung gibt und dass es dann am Ende da irgendwo landet, ist natürlich sehr bitter. Das ist echt halt ein Standardteil. Ich meine, wenn du einfach nur über Web-Server gehst und guckst nach .git, das meinst du, wie oft du da dann ein exponiertes Git-Repository findest, wo der Quellcode drinsteht. Das ist halt, also das ist echt, brauchst du nicht lange für. Und das wären zum Beispiel auch so Dinge, ich meine, die gehören in jede Nginx-Config, in jede HT-Access rein, dass du halt nicht die Folder, die mit einem Dot anfangen, surfst, das machen sie aber, oder macht so ein Server halt by default und auch das wären so Sachen, da könnte ich mir doch durchaus vorstellen, dass man da halt mal ein bisschen mehr irgendwo so ein bisschen Standards einzieht, ja, Sei es ... Ach man, da ist einfach alles so eine traurige Welt.

Also es gibt ja auch, das nutzt ja auch das BSI und andere, diesen Begriff des Stands der Technik, der dann auch immer mal wieder genutzt werden kann, wenn es dann mal einen Schaden gegeben hat. Dass dann deine Cyberversicherung sagt, nee, zahlen wir nicht, deine Zugriffsmaßnahmen entsprachen nicht dem Stand der Technik. Aber da läufst du halt auch immer wieder, das muss irgendjemand standardisieren und dann läufst du halt denen hinterher, die es standardisieren müssen und es ändert sich halt viel. Also so diese Good Practices für solche Sachen, die liegen eben nirgendwo in so einer gesammelten Form vor, wo man sagen kann, das musst du mindestens implementieren, sonst machst du eben Kappes.

Ich finde halt so, also in Unternehmen machst du halt dann, machst du zum Beispiel sowas wie ein Golden Image oder ein Golden Container, wo du halt sagst, pass auf, jeder Server, jeder Web-Server, den wir haben, der hat schon mal folgende Regeln, die sind da einfach drin. Und der surft keine .git-Files und der lässt auf einen Symfony-Profiler nicht zugreifen ohne Authentisierung und so. Also man kann das ja machen. Das sind ja so die Systeme des IT-Security-Management, die in größeren Unternehmen dann doch schon Anwendung finden. Und wo man dann sagt, okay, wenn du davon abweichen möchtest, dann musst du halt das begründen und fragen und Request stellen und so weiter. Irgendetwas. Aber es ist natürlich schon leider so, dass IT halt für die meisten Leute einfach wirklich als Footgun geliefert wird. Und dass du, das wäre schon eigentlich ganz nett, mal so ein paar besser gehärtete Standards irgendwie auch so, In der Breite zu etablieren. Haben schon viele versucht, ich weiß. Aber auch das fände ich zum Beispiel nicht uninteressant, dass man sagt, okay, ich, sagen wir mal beispielsweise das BSI stellt sichere Configs in einem Git-Repo bereit. Und wenn es jetzt irgendwie beispielsweise einen Hotfix geben soll, wo man sagt, einfach eine bestimmte Art von Request wird jetzt geblockt oder so, dass ich dann schnell und auch souverän, ja, wir wollen ja auch souverän sein, wir wollen nicht nur Cyberdom, wir sollen auch souverän sein, dass ich souverän sagen kann, okay, ich pulle das jetzt, ich gucke mir die Diffs an und ich merge oder ich update automatisch die, von BSI als sicher anerkannten Konfigurationen und sehe beispielsweise, ah, guck mal hier, die empfehlen gerade, was weiß ich, folgende Blockregel auf einem Webserver, wo. Dieses und jenes Tool draufläuft, einfach nur, um so ein bisschen diese diese, Meldekette zu verschnellern, weißt du? Also von, hier ist ein PDF, was fünfmal Rechtschreib korrigiert wurde und jetzt ist es TLP, hast du nicht gesehen und, ist jetzt auf den Seiten des BSI hinter der Pressemeldung hin zu, das hier jetzt, guck's dir an, es ist mundgerecht vorbereitet, du musst es natürlich noch im Rahmen deiner Kompetenz anpassen, aber du könntest hier, du hättest hier jetzt was, ja. Ich glaube, da gibt's halt viel und ich glaube, dass es. Dass man da einfach insgesamt an vielen Methoden und Angeboten arbeiten könnte, wo man schneller von der Meldung zur Lösung kommt oder zum Lösungsangebot und gleichzeitig trotzdem die Souveränität bei den Leuten hält und nicht irgendwie sagt, wir rennen jetzt mit der Polizei dir die Tür ein. Und ich glaube es wäre, also wenn ich mir so eine Welt vorstelle, in der das BSI sagt, ey pass auf, von einem Profiler haben wir übrigens HTTP Basic Authentication und fertig und also damit wären auf jeden Fall eine Reihe an Daten-Lags inzwischen verhindert worden.

Und tatsächlich gibt es so eine Dokumentation vom BSI und die gibt es sogar auch auf GitHub. Das ist der sogenannte Stand der Technikbibliothek. Da gibt es zu Grundschutz++ so Kataloge, wo dann solche Sachen, leider nicht deine spezifischen Beispiele, aber andere drinstehen im Grunde in dieser Nomenklatur, dieser IT-Grundschutzkataloge. Maschinen lesbar in einem im Wesentlichen in JSON für einen Unterverband namens OSCAL und da stehen dann so Sachen drin, die du auch sehen würdest, wenn du so ein ISO Audit vorbereitest oder sowas. Also ich suche jetzt hier mal nach Webserver, mal sehen was sie da zu Webservern also demilitarisierte Zone sehe ich hier und, Architektur für Anwendungen sollte Serverdienste ausschließlich für die Anwendung dedizierten Hostsystemen platzieren, automatische Lastverteilung also da sind schon Aber.

Ist das auch irgendwie direkt implementiert, also wäre das jetzt für einen Hotfix implementierbar?

Das ist ja, das ist erstmal nur so eine Definition das sollte sein und die konkrete technische Ausprägung, wie wird das in Engings gemacht oder was bedeutet das für Flex-PLM-Installationen, die findest du da natürlich nicht drin. Das ist dann wieder ein weiterer Schritt und den.

Hätte ich gemeint.

Im Studium hieß es dann immer, das wird dem Hörer als untergeordnete Übungsaufgabe überlassen. Da endet es dann meist. Die bleiben dann doch natürlich zwar konkret in dem, was sie sich wünschen, aber abstrakt in dem, wie es dann umgesetzt werden soll.

Ja und da glaube ich halt, also, Ich glaube, da werde ich jetzt viel für geflamed werden, hier deutsche Bundessoftware oder was auch immer, aber ich denke, also da geht auf jeden Fall mehr noch als bisher und nochmal, ich will nicht, dass am Ende die Polizei vor der Tür steht und ich würde tatsächlich sagen, dass ich wirklich eher Befürchtungen habe, dass sich das nämlich in diese Richtung entwickelt. Weil wenn man sich so ein bisschen auch anhört, es stimmt ja, dass die Leute keinen Bock haben, ihre Systeme zu patchen, dass sie dann sich und andere damit in Gefahr bringen, das stimmt alles, das ist alles richtig. Aber ich bin trotzdem, sag ich mal, widerstrebt es mir zu sagen, na gut, da muss halt jetzt die Polizei dahin. Ja, weil das, also, ich glaube, da kann man noch einiges optimieren und wirklich an Schnelligkeit und ja, auch ein bisschen Vereinheitlichung ist ja schon auch so, dass IT, also die Arten, wie IT-Infrastrukturen gebaut werden, immer einfacher und gleichförmiger werden, was dazu führt, dass sie immer komplexer werden. Aber so, wenn du jetzt so modernere Infrastrukturen anschaust und Architekturen, die dann so mit Container basiert und so, die sind ja dann zum Beispiel auch relativ fault tolerant, ja, weil die Container jedes Mal neu gebaut werden und wenn der irgendwie, wenn die Änderung jetzt Mist war, dann nimmst du halt wieder den alten. Also da gibt es ja schon auch so, da gibt es schon einige Technologien, die sich durchaus eignen für auch, naja, schnelleres Propagieren von Patches und so und da geht noch was. Dann müssen wir nur diese ganzen Exchange-Server von den EDV-Dietern irgendwie mal aus den Kellern beschlagnahmen lassen von der Polizei und dann können wir auch schöne Sachen machen.

Ich habe ja Hoffnung, dass wir die Exchange-Server auf anderem Wege irgendwann los sind, wenn Microsoft dann so wie Atlassian das auch gemacht hat, irgendwann sagt, so gibt jetzt nichts mehr mit On-Premises, ihr macht das jetzt alles nur noch über die Cloud und wir schalten euch die Dinge ab.

Das stimmt, da haben wir noch gar nicht dran gedacht, dass da einfach Microsoft kommt dann und sagt, wir machen den jetzt äh dürfte er jetzt nicht mehr.

Zur Sicherheit verlegen wir das jetzt alles wieder in die USA. Läuft besser. What could possibly go wrong?

So, ich habe letzte Woche in den Terminen natürlich eine Ankündigung wahrscheinlich vergessen. Und zwar die Datenspuren. Die Datenspuren vom 18. bis 20. September wieder in Dresden zum 22. Mal wieder im Zentralwerk. Die Datenspuren sind kostenlos und was ich jetzt mitteilen möchte ist, der CFP ist geöffnet. Das ist mein früher CFP. Der ist noch einige Zeit offen. Das habt ihr jetzt nicht gehört, weil ihr müsst ja jetzt einreichen und es gibt einen Call for Design, ne Moment, Call for Arts. Moment, was kann man denn alles da machen? So, nee, hier kann ich sehen. Artists, sorry, genau. Also für, könnt Kunstinstallation und so weiter einrechnen. Und wenn ich das schon mal gesagt habe, dann habe ich es jetzt einfach nochmal gesagt. Also Datenspuren, 18. bis 20. September in Dresden im Zentralwerk und ihr sollt bitte was einreichen.

Gut, ich denke, damit können wir dann die Sendung beenden. nicht ohne uns zu bedanken bei Christopher.

Oh, ich bedanke mich für die Einladung. Das hat sehr viel Spaß gemacht.

Warten wir mal, bis die Polizei bei euch vor der Tür steht. Gucken, ob du das dann immer noch witzig findest.

Gab sie schon mal?

Bei Heiser? Ich vermute, ihr hattet doch diesen Ransomware-Fall vor vielen Jahren. Ich würde vermuten, da werdet ihr die Polizei auch mal...

Ja, ich hab den Namen vergessen, welche Ransomware es war, aber also wir haben auch immer mal wieder...

Emotet war das, glaube ich.

Ja genau, Emotet, das stimmt. Wir haben auch immer mal wieder bei Veranstaltungen die Polizei da, aber dass die jetzt am Wochenende vor der Tür gestanden hätten, um zu fragen, ob unser Dovecut oder Postfix auf dem neuesten Stand ist, das ist mir nicht überliefert worden, aber was nicht ist, kann ja noch kommen. Die wissen ja, wo wir wohnen.

Wir sind die Zeugen von Neumanns und wir möchten mit Ihnen über Ihren Patch-Level sprechen.

Aber was heißt denn, die Polizei taucht auf euren Veranstaltungen auf? Also in welcher Form?

Naja, dass die mal irgendwie, wenn wir zum Beispiel was machen, was in Hannover, ich hatte so einen Online-Sicherheitsabend letztes Jahr im November, ich weiß nicht, ob da jemand von der Polizei da war, aber wir machen ja auch Veranstaltungen wie Konferenzen. Wir hatten jetzt die SEC-IT letzte Woche in Hannover und da war ein Stand vom LKA Niedersachsen. Also die Polizei schaucht durch. Also die tauchen nicht auf, um die Veranstaltungen zu schließen.

Weil da verfassungsfeindliches propagiert wird.

Sondern als Gäste.

Von so Security-Konferenzen, da können ja auch mal so Hackerangriffe von ausgehen. Oh ja. Im CCC haben wir da so einige Erfahrungen gemacht.

Ich erinnere mich noch gut an verwaiste Wäscheklammern an Tischen im Hackcenter, wo dann plötzlich der Inhaber der Wäscheklammer Klammer weg war, weil da Leute in Uniform standen und gerne mal mit dem reden wollten. Da kann ich mich noch dran erinnern.

Damals in Berlin im Haus am Kölnischen Park. Oh Mann, ja, okay, verstehe. Zum Hintergrund, wer das nicht versteht. Auf den Wäscheklammern waren damals die IP-Adressen abgelegt. BCC hatten wir noch Wäscheklammern?

Mein letzter Kongress in Berlin war noch im Haus am Kölnischen Park und da gab es noch Wäscheklammern.

Da hatten wir auf jeden Fall Wäscheklammern. Oh man, geil.

DHCP.

PEG DHCP hieß das.

Da gibt es auch ein RFC zu, glaube ich.

Gibt es, ja, ja. Ursprünglich ist das mal auf dem ersten Camp genutzt worden.

Das ist RFC 2322, ist vielleicht auch was für die Shownotes. Management of IP Numbers by PEG.

Der packt DHCP, genau. Das ist ein Klassiker. Ist in den Shownotes, selbstverständlich. Das hat sogar ganz gut funktioniert. Tatsächlich.

Wenn er das jetzt noch mit V6 macht, dann könnte er die Wäscheklammern Industrie retten.

Ich glaube, wir erst mal Aktien von Wäscheklammern herstellen.

Da müssen die Wäscheklammern aber auch erst mal größer werden vorher, damit man die Adresse lesbar draufschreiben kann.

Wir haben ja eh nur den Schluss hinten drauf aufgeschrieben, letzten zwei Ziffern.

Man muss dir vielleicht auch diese Leute anstellen, die dir deinen Namen auf den Reiskorn schreiben. Und dann schreiben die dir deine IPv6 auf die Wäscheklammer.

Deine IPv6-Adresse auf einem Reiskorn.

Das wäre doch eine schöne Aktion für den nächsten Kongress.

Das war wunderschön. Jetzt haben wir einen Sendungstil auch. Und können Schluss machen. Christopher, danke dir. Achso, ich glaube, du hast gar nicht erwähnt, dass du auch einen Podcast hast.

Ich habe auch einen Podcast, der heißt Passwort. Gibt es alle zwei Wochen mittwochs. Überall, wo es Podcast gibt, zusammen mit dem Kollegen Sylvester Tremmel, nerde ich da über Security-Kram. Wir reden sehr gerne über PKI, aber auch über alle möglichen anderen Sicherheitsthemen, die uns so anfallen. Wir haben ein bisschen weniger netzpolitische Themen. Wir konzentrieren uns tendenziell ein bisschen mehr auf die technische Seite von IT-Security. Hört da gerne mal rein, wenn ihr möchtet. Ansonsten hat es mich sehr gefreut, hier gewesen zu sein.

Und Silvester und du waren natürlich auch im Sendezentrum dieses und letztes Jahr mindestens. Und und ihr hattet einen Talk.

Wir hatten auch einen Talk letztes Jahr über, absurde Sicherheitsthemen in Südkorea, denn auch wenn man glaubt, dass das hier wild ist, wenn die Polizei nachts um zwei vor der Tür steht, Südkorea kann das alles toppen. Südkorea sieht deinen Polizeieinsatz und erhöht ihn um ein brennendes Rechenzentrum.

So, da können wir uns glücklich schätzen in Deutschland, dass die wenigstens klingeln.

Ja.

APT Down and the Mystery of the Burning Data Centers, ich hab ihn gerade schon verlinkt.

Ah ja, okay. Ja, alles klar. Dann machen wir hier mal den Laden zu für heute. Danke nochmal an Christopher. Vielen Dank fürs Zuhören. Wir hören uns bald wieder. Sagen Tschüss und bis bald.

Ciao, ciao.