LNP551 Schöne Fotos vom Weltuntergang

Guten Morgen, Linus.

Guten Morgen, Tim.

Du, die Amis sind jetzt so weit weg von der Erde wie nie zuvor.

Alle?

Logbuch Netzpolitik Nummer 551 vom 8. April 2026. Direkt aus der Umlaufbahn berichten wir über alles, was diese Erde gerade so erregt. Bis auf ein paar Details, die lassen wir raus.

Mhm. Ja. Ein bisschen hinter dem Mond, ja.

Ja, den Eindruck hat man ja schon länger. Jetzt ist es ja auch bestätigt worden.

Ja.

Alle hinter dem Mond leben. Und man würde sich wünschen, da würden sie dann auch bleiben. Aber denen gefallen werden sie wahrscheinlich nicht tun. Das, ja.

Haben wir ein paar schöne Fotos. Haben wir eine schöne Karte geschickt?

Stimmt, einige schöne Fotos. Hast du das gesehen von der Sonnenfinsternis? Mit Mond?

Ja.

Sehr hübsch.

Und eins heißt ja auch, der englische Titel ist, glaube ich, nicht ganz so, also der englische Titel hat eine andere Konnotation, aber eines der Bilder ist ja auch Weltuntergang. Also Setting Earth, die untergehende Erde.

Wie passend. also die Amerikaner sind sozusagen in der Lage, die Welt untergehen zu lassen und sie dabei auch noch aus großer Distanz zu fotografieren, das ist doch wirklich eine Leistung das muss sich erstmal einer machen, immerhin.

Also schöne Fotos vom Weltuntergang das ist doch auch wenn schon Weltuntergang, dann noch wenigstens mit schönen Fotos ja genau.

Das können sie auf jeden Fall, in der Inszenierung Da macht ihnen einfach keiner was vor. Aber ansonsten machen ihnen eigentlich alle jetzt was vor.

Ich hatte gestern einen wunderschönen Internetmoment mal wieder. Hat man ja selten. Also schöne Momente sind ja im Internet selten geworden. Seltenär. Und da habe ich einfach eines dieser Bilder gesehen und habe mich gefragt, Es war so eine Halberde drauf zu sehen, so sichelförmige Halberde. Und da habe ich mich gefragt, nimmt die jetzt eigentlich gerade zu oder ab? Und was habe ich gemacht? Wenn man die Antwort auf eine Frage sucht im Internet?

Na, dann geht man zur Intelligenz des Vertrauens.

Nein, man gibt einfach die falsche Antwort. Wenn man eine Antwort sucht im Internet, der stelle nicht die Frage, sondern der gebe eine Antwort. Weil du sicher sein kannst, dass du sofort korrigiert wirst. Dafür ist das Internet gut. Und das hat natürlich dann auch stattgefunden. Bis zur vollständigen Verwirrung. Dann habe ich Claude gefragt, habe gesagt, guck das Bild an, nimmt die Erde dazu oder ab? Dann hat er völlig bestimmt, ja, völlig klar, Erde dreht sich ja, Mond andersrum, also genau gegenläufig, nimmt, nimmt ab. Und dann habe ich gesagt, na ja, hier im Internet sagt einer, die nimmt zu. Ja, scheiße, stimmt. Dann habe ich gesagt, okay, sag mir bitte, woran du es festmachst. Und dann hat er gesagt, also um ehrlich zu sein, ich weiß es nicht. Das fand ich sehr schön. Und ich wusste es nämlich auch nicht, weil nicht erkennbar war, also es war einfach auf dem Bild ja gar nicht erkennbar, in welcher Orientierung das Bild gemacht wurde. Also man konnte nicht, also ich zum Beispiel mit meinen geografischen Kenntnissen konnte nicht erkennen, welcher Teil der Erde gerade sichtbar ist und ob das vielleicht einfach auf dem Kopf ist.

Das siehst du mal, die künstliche Intelligenz ist jetzt der menschlichen Intelligenz schon einen Schritt voraus. Sie ist in der Lage, zuzugeben, dass sie was nicht verstanden hat.

Ja, aber Menschen ebenbürtig erstmal sowohl alles als auch sein Gegenteil voller Inbrunst zu behaupten, bevor sie an den Punkt kommen, zu sagen, okay, pass auf, was gibt's zu? Ich hab keine fucking Ahnung.

Das ist der Human Touch.

Auch nur Menschen.

Ja, genau. Ich sind auch nur Menschen. Ja, ja, so ist es.

Es gab auf jeden Fall schöne Witzchen und genau und das hat jetzt quasi so diese ganze, also Trump wurde ja dann also unflätig und wollte irgendwie den Iran weg nuken, bevor sich dann entschieden hat, ach wir machen einfach 14 Tage Waffenstillstand.

Ganze Zivilisationen von der Erde entfernen.

Morgen ist Kraftwerk und Brückentag im Iran. Ja, das ist schon wirklich beschämend.

Ja, in der Tat, das ist wirklich beschämend. Ja, der Typ ist halt einfach ein krasser Narzisst und gehört langsam mal entfernt.

Nein, das darf man nicht sagen, Tim. Das habe ich über der ersten Trump-Wahl gesagt. An dem Logbuch Netzpolitik nach der Trump-Wahl habe ich gesagt, das ist ein Narzisst und ein Faschist. Und dann wurde ich aber sowas von zurechtgewiesen, was mir denn einfiele, hier Ferndiagnosen ohne jede Kompetenz und jetzt da direkt jemanden zum Faschisten zu erklären, nur, naja.

Naja, ich kenne ja auch noch so ein paar Leute mit, das wird doch alles schon nicht so schlimm werden.

Leave Donald alone, ja.

Ja, genau so.

Zwischenzeitlich habe ich mir echt noch, habe ich echt gedacht, oh scheiße, nicht, dass wir den jetzt zu viel geärgert haben. Vielleicht muss die FIFA dem noch schnell irgendeinen Preis geben oder so, damit der sich beruhigt und nicht jetzt am Ende doch noch wirklich auf den Knopf drückt.

Die haben da noch was im Arsenal?

Weiß ich nicht, also irgendjemand muss sich, also ihr müsst uns, denkt euch neue Preise aus.

Bevor der irgendwann mal Wie wärs denn mit dem FIFA War Prize? Ja, einfach so, weißt du, da sind sie ja gut drin, die haben ja auch jetzt ein Department of War und so weiter und so.

FIFA ending a war prize. Ja, habt schon wieder Krieg beendet. Diesmal mit einem nuklearen Schlag. Mensch, neun Kriege beendet. Das hört ja gar nicht mehr auf.

Ja. Oh Mann, ey. Oh Mann, ey. Ja, aufregen tun sich Leute ja auch über Herrn Merz. Hast du ja auch gemacht, ne?

Achso, ja, es hat sich jemand beschwert, es hätte eine Schmähkritik gegeben und deswegen hat er nicht zu Ende gehört und da kann ich nur sagen, dass du das Lied am Ende dann verpasst. Tim hat so ein schönes Lied für euch rausgesucht, aus dem Internet.

Ja, das stimmt. Naja, aber ich wollte auf einen anderen Aspekt mal zu sprechen kommen, weil was mich ja an dieser ganzen Märzdiskussion stört ist, dass der eigentliche März dabei so in den Hintergrund tritt. Und ich finde, das muss gerade gerückt werden und das sollte man nochmal klar machen. Und ich möchte beginnen mit einer Geschichte aus meiner Jugend, wo ich in der Schule war und da hatte ich das faszinierende Schulfach Gartenbau. Hast du sowas auch gehabt in deiner Schule? Wahrscheinlich nicht, ne?

Nee, also ich bin auf ein Gymnasium gegangen. Ich glaube, Gartenbau wurde an anderen Schulen unterrichtet.

Also in dem Alter, wo ich Gartenbau hatte, warst du auch noch nicht auf dem Gymnasium.

Achso, ich verstehe, warum das an deiner Schule unterrichtet wurde.

Warum?

Naja, weil der Rudolf Steiner ja so ein Öko-Faschist ist.

Ja, genau.

Und deswegen musstest du lernen, hier so Demetan nachts, bei Vollmund ernten und so ein...

Oder?

Das ist doch, das ist die ganze Gartenbau-Esoterik.

Musstest du da rauf und runter tanzen. Ganz so schlimm ist es nicht. Also ich habe schon sehr handfestes Wissen erworben, das kann man jetzt nicht anders sagen, also ich war mit dem Kompost schon vertraut, da wussten andere noch nicht mal was das ist und es schafft auch einfach eine gewisse Nähe zur Realität und ich kann dir sagen, die hilft manchmal. Also so schlecht war das alles nicht.

Aber also sag mal, okay, dann wird dir erklärt, zum Beispiel Komposthaufen wurde uns in einem anderen Fach unterrichtet, das war Biologie.

Ja, ich habe den konkret einfach aus der Schulküche, habe ich halt den ganzen Abfall wirklich zum Komposthaufen auch hingetragen und gelernt, wo der hingekippt wird und dass der überhaupt da hingekippt wird und was daran damit geschieht und all das. Das war einfach eine sehr konkrete Geschichte mit mir und dem Kompost.

Da haben wir sich an der Waldorfschule gedacht, selbst aus der Scheiße können wir Unterrichtsmaterial machen.

Ja, ich finde das auch gut. Du lernst halt einfach Blumen zu pflanzen und Leben zu erschaffen. Das ist ja jetzt nicht das Schlechteste. Wenn man sich mal Herrn Trump anschaut, der macht halt genau das Gegenteil. Von daher war das schon mal ganz gut. Was aber eigentlich für mich der Aspekt war bei Gartenbau, war halt einfach meine Gartenbau-Lehrerin, die war nämlich eigentlich ganz putzig und die hat es auch immer sehr gut gemeint mit uns, ja.

Also war nicht gut, weil gut gemeint ist ja das Gegenteil von gut.

Die hat es schon gut mit uns gemeint, nicht, dass sie jetzt unbedingt immer hat erfüllen können, was wir so am dringendsten brauchten, aber weiß ich nicht, also Frau Brandes war auf jeden Fall immer sehr unterhaltsam für uns, weil sie auch immer so, leicht, naja, also sie hatte sozusagen so ihre lustigen Seiten und eines Tages kamen sie auf uns zu, also uns, wir waren so drei Freunde, die da mal zusammenhingen.

Und Gartenbaubetrieb haben.

Sie hätte was Schönes für euch. Sie hätte was Schönes für uns gefunden, das wollte sie uns jetzt irgendwie schenken, denn sie ging davon aus, dass wir uns darüber freuen würden. Und es handelte sich dabei um ein in der Mitte zerbrochenes Schild, was wohl mal an einem Auto hing, nämlich einem Auto von Peugeot. Aber da stand nicht mehr Peugeot vollständig drauf, sondern da stand einfach nur noch Poi. Das waren die ersten drei Buchstaben, P, E, U, Poi. Und das übergab sie uns, dieses Schild, und meinte, das würde uns doch wohl freuen. Hat uns auch sehr gefreut, wir hatten dann für die nächsten Monate...

Weil ihr die andere Hälfte schon hattet.

Nein, wir hatten einfach Humormaterial für Monate, weil dieses Wort Poi hat uns nie wieder verlassen, verstehst du? Das war einfach Poi, war für uns dann einfach so, dass der Begriff für alles, was so ein bisschen der Range daherkommt und irgendwie so kontextfrei einfach so in deine Welt gespürt wird, das war dann einfach Poi. Weil es dich freut. Poi war ein neues Wort, Das war in mein Leben getreten und es erstand einfach aus einem zerbrochenen Peugeot. Und Frau Brandes hat uns das in unser Leben gebracht und es hat uns große Freude gebracht und es war wirklich ein Wort, was ich auch heute immer noch schätze. Poi, wir mussten nicht viel sagen, wir mussten uns immer nur so anschauen, wenn wieder so eine Situation war, wo man sich dachte, haben die es überhaupt noch alle? Man sagte einfach nur Poi und alle wussten Bescheid. Du kennst das vielleicht.

Wir haben, Ich hörte ja, also Peugeot-Schilder wurden bei uns üblicherweise nicht abgebrochen Das war eher so ein Mercedes-Stern Ja.

Das war jetzt auch nicht vorsätzlich, das hat sie beim Kopf ausgefunden, keine Ahnung wo sie das her hatte, aber sie wollte sie dachte, sie macht uns eine Freude und am Ende hat sie uns auch wirklich eine Freude gemacht Naja, das Ganze fand ja in, Hannover statt Die Waldorfschule ist ja in der Nähe des Stadtteils Waldhausen und im Stadtteil Waldhausen ist auch, das Geburtshaus eines Künstlers namens Kurt Schwitters, hast du von dem schon mal gehört?

Ja.

Hast du.

Wahrscheinlich hier in der Sendung.

Meinst du? Kann mir nicht vorstellen, dass ich das hier schon mal angebracht habe. Naja, auf jeden Fall Kurt Schwitters.

Du kriegst den Bogen zu März, kriegst du noch, ne?

Ja, ja.

Weil wir waren jetzt so beim Komposthaufen.

Ja, ja, ja.

Okay, gut, ja.

Ich hab da schon eine Linie irgendwie in dem Spiel.

Okay, warum sollen wir den Kanzler nicht mal ausführlich würdigen? Wir fangen an mit einem abgebrochenen Peugeot-Schild.

Genau.

Schon mal so.

Also Kurt Schwitters ist ein Kind Hannovers, ja? Also ist in Hannover geboren, hat dort auch gewirkt und Kurt Schwitters ist halt sehr bekannt geworden, weil er als Teil dieser Dada-Kultur des Anfangs des 20. Jahrhunderts wahrgenommen wurde und da beigetragen hat. Also er hat einfach verrücktes Zeug gemacht, das war sozusagen Kunst, die es wirklich auch ihren eigenen Humor hat, schräges Zeug gemacht hat. Und Kurt Schwitters hat sich auch mit allerlei Dingen beschäftigt und bei ihm gab es auch mal so ein Schild, was auseinandergebrochen ist. Und auf diesem stand Kommerz. Und es ist natürlich auch nach drei Buchstaben abgebrochen. Und es blieb übrig, Merz. Und Merz hat er dann beschlossen, das ist sein Wort für die Kunst, die er macht. Und hat das dann sozusagen verwendet. Und Merz ist sein persönliches Wort für diese Dada-Bewegung. Unter dem Namen Dada gab es noch sehr viele andere Künstler, die da sozusagen verrücktes Zeug gemacht haben. Bei Kurt Schmitters war das dann halt Merz und so hat er unter anderem einen Merz Bau in seiner Wohnung gebaut, also hat er so angefangen so in seiner Wohnung so kubistische Skulpturen auszubauen, das meanderte dann, eine ganze Wohnung hindurch, so ähnlich wie das übrigens auch die, Seabase in Berlin entstanden ist, die ist ja auch mal in so einer WG, in so einem WG-Zimmer, was übrig war, entstanden, da haben sie dann angefangen da so Raumschiffzeug reinzubauen und dann war das ja quasi die Seabase, bis es dann irgendwann einfach nicht mehr in diese Wohnung gepasst hat.

Bis dann irgendwann einfach Kommerz wurde.

Das hast du jetzt gesagt. Auf jeden Fall, Merz ist dann auch so seine Vorsilbe. Es gibt Merz-Bilder und generell ist Merz einfach so das Ding und der Merz-Bau, den hat er dann auch noch zwei, drei Mal später verwendet. Also Merz ist ein wichtiges Wort, geprägt von Kurt Schwitters Das steht auch für den gepflegten Wahnsinn, den Dada. Und das ist die Bedeutung, von der ich möchte, dass diese Gesellschaft sie anerkennt als das, das ist das, was Merz ist. Das ist kein Kanzler. Merz ist da, da und Merz ist wichtig und Merz ist großartig. Ich empfehle sehr, falls du mal in Hannover bist, den Besuch des Kurt-Schwitters-Museums, beziehungsweise des, wie heißt das Museum, das heißt nicht Kurt-Schwitters-Museum, sondern es heißt.

März-Museum?

Nein, es heißt, oh Gott, jetzt bestimme ich leider.

Jetzt sagt nicht, das heißt nichts mit März.

Naja, das ist das Sprengel-Museum mit der Sammlung Kurt-Schwitters und dort gibt es natürlich auch einen nachgebildeten März-Bau und dort kannst du auch viel lesen zu März. Kurt Schwitters ist hervorragend, Kurt Schwitters ist auch so ein bisschen der Miterfinder der modernen Typografie und der modernen Werbung, das hat er alles irgendwie gebracht und ich kann allen Leuten nur empfehlen.

Ja, Werbung, Mensch, das hat toll, danke, das ist ja richtig schön, Werbung, Mensch, fein.

Und es gibt auch noch so ein bisschen so einen Bezug zu unserer Sendung, weil unter anderem eins seiner Werke heißt Sonate in Urlauten. Gemeinhin bekannt unter dem Titel Ursonate. Und es ist so im Wesentlichen das, was der Titel so sagt. Es ist eine Sonate in Urlauten. Und sie beginnt mit Schurz.

Und dann die Uhrz war das, ja.

Also die Uhrsonate beginnt mit Füms BWT CU Pugif Quier, Und das Fünf, das erinnert sich doch bestimmt an unser Fünf.

Fünf Blockchains.

Von Fünf bis Fünf ist es nicht weit. Insofern Kutschwitters Ruhl in Frieden auf seinem Grab steht, man kann ja nie wissen und das ist ja auch irgendwie unser Programm.

Okay.

So viel dazu.

Damit rechtfertigen wir, das Lied, was Tim gewählt hat als Outro der letzten Sendung.

Genau.

Der Kontext zu diesem Lied war mir tatsächlich nicht bekannt. Vielleicht willst du das noch ganz kurz, wir hatten es in den Shownotes bereits verlinkt.

Achso, mit dem Leck Eier. Ja, genau. Es gab ja auf so einer Demo, hat irgendjemand so ein Junge hat dann so ein Schild auf so einer Demo, so eine Anti-März-Demo, wo drauf stand irgendwie März-Leck Eier, was auch immer er da gemeint hat und dann hat aber die Polizei sich mal sofort darum gekümmert, dass so ein Schild da nichts zu suchen hat. Das sind wirklich die wichtigen Maßnahmen in Deutschland, weil kann ja nicht sein, dass da mal irgendwie der Name eines Künstlers verwendet wird, also bedeutendes Dada Künstlers, da muss dann die Polizei sofort einschreiten und naja, das Und.

Deswegen sagen das jetzt.

Alle und es wurde dann halt auch gleich dieses krasse Lied dazu gemacht und das hat ja wirklich Swag und insofern findet das hier als Bonustricks durchaus aus seinen berechtigten Platz, finde ich.

Okay. Weißt du, was wegheißt?

Habe ich das falsche Wort benutzt?

Weiß ich nicht. Warten wir mal die Kommentare ab. Ich glaube, das heißt was anderes, aber ich habe auch keine Ahnung.

Wir haben ja eh keine Ahnung. Aber wir sind total hip.

Wir waren gestern in der Seabase und da war ein netzpolitischer Abend.

Die ja so gebaut wurde wie der Märzbau, ne?

Ja, ja, ja Anne Roth hat da ein bisschen über den aktuellen, Stand oder das, was bekannt ist, über den Gesetzentwurf, zur Verringerung digitaler Gewalt vorgetragen wir haben einen Link zu der Aufzeichnung oder da, wo sie erscheinen wird in den Shownotes, und sie hatten vor allem davon berichtet, dass es eben, strafrechtliche. Anpassungen geben soll, also Strafbarkeitslücken werden geschlossen, die es, denke ich, ohne Zweifel gibt. Ich hatte, glaube ich, in der letzten Sendung auch davon gesprochen, dass es in dem Upskirting-Paragraf, also Upskirting ist ja auch so ein Thema, also dass das nicht konsensuelle Fotografieren bestimmter Bereiche, beispielsweise eben Upskirting, der Begriff erklärt das schon, dass es quasi nicht unter einem Straftatbestand fiel oder fällt, ein derartiges Foto ohne Konsens zu machen, weil der Gesetzestext eben auf eine Weise war, sodass dieses Verhalten nicht den Definitionstatbestand erfüllt hat. Und davon gibt es relativ viele Strafbarkeitslücke. Eine Strafbarkeitslücke ist deswegen doof, weil dann eben quasi gar keine, selbst wenn du das Verhalten nachweisen kannst, es eben straffrei ist. Man darf das. In diesem Bereich sollen da eben Anpassungen stattfinden, eine Sache, die Anne da aber betont hat war, wenn man Betroffene von, digitaler Gewalt ist, dann will man ja vor allem dass man eine Handhabe hat, dass das sofort aufhört und nicht, dass man drei Jahre später oder Monate später oder was auch immer irgendwie eventuell eine Strafanzeige erfolgreich war und in einer Strafe mündet. Sondern quasi die unmittelbare Abhilfe, dass der Angriff und das Verletzen der eigenen Rechte aufhört. Das fand ich erst mal einen wichtigen Aspekt, den sie da benannt hat. Und außerdem gibt es eben den Teil der Gesetzesänderungspläne, der sich nicht auf das Strafrecht bezieht und da kann man eben mit üblem Rechnen. Unter anderem natürlich Vorratsdatenspeicherung und anderen Dingen, die so die Idee der Zielsetzung, das Zivilverfahren vereinfachen sollen. Und da hatte ich glaube ich auch schon in der letzten Sendung ein bisschen drauf hingewiesen, da lauert erst recht der Rechtsmissbrauch im Zivilverfahren, vor allem wenn es da um Auskunftsrechte, Datenspeicherung und sonstiges geht. Man könnte sich natürlich auch Gedanken darüber machen, dass die Betreiber von solchen Plattformen, wo so etwas Verbreitung findet, den Betroffenen eine Möglichkeit bieten müssen, schnell dem ein Ende zu bereiten. Das wäre eine Lösung des Problems an der Wurzel, schnelles Abschalten der rechte Verletzung und ich glaube, was daran der Vorteil wäre, ist, dass halt quasi auch das Verhalten selber demotiviert wird. Also wenn ich weiß, okay, wenn ich jetzt etwas Bestimmtes tue, das ist strafbar. Ich weiß, es gibt irgendwelche Erfassungen. Und vor allem weiß ich aber, wenn ich das jetzt tue, dann wird das lange Zeit Bestand haben, was auch immer ich da gerade anrichte. Dann hat das natürlich psychologisch, ist es ein anderes Gefüge, als wenn ich weiß, wenn ich das jetzt tue, ist es sowieso sofort weg. Und ich kann quasi meine, den Schaden oder die Qual oder was auch immer ich da gerade anrichten möchte, nicht, Also, for lack of a better word, lange auskosten.

Ausleben.

Ausleben, genießen, was auch immer da das Ziel ist. Aber er ist auf jeden Fall nicht von Dauer. Und ich muss hohen Aufwand betreiben und ist immer wieder weg. Das ist natürlich stark demotivierend. Und das klingt nach einem sehr viel besseren Schutzkonzept, weil es eben auch die Betroffenen mit Handlungsoptionen versehen würde. Ich hoffe, dass ich das richtig zusammengefasst habe. Früher oder später werden wir Anne hoffentlich zu dem Thema E hier in der Sendung haben und den Vortrag, soweit die Aufzeichnung online ist, könnt ihr euch gerne anschauen.

Ja generell hat sie ja auch unterstrichen, dass es einfach sehr viel wichtiger ist, hier Betroffenen aktive Hilfe beizustellen, sozusagen im Management dieser Sache, als das jetzt mit irgendwelchen Paragrafen zu machen. Aber diese Flucht ins Strafgesetzbuch, das ist halt einfach erkauft, also es kostet nicht viel ein Gesetz zu machen, aber es kostet halt viel wirkliche Hilfe zu orchestrieren, da Strukturen zu schaffen, die also wirklich unterstützend greifen können und das dann auch finanziert zu bekommen. Und deswegen ist es eigentlich auch immer so ein bisschen so eine faule Antwort mit, ja, ach, jetzt ist mal was passiert, wo alle drauf schauen, dann lassen wir doch mal ein Gesetz und dann ist das Thema schon irgendwie durch, aber das hat dann halt einfach nicht wirklich einen helfenden Charakter für das eigentliche Problem.

Ähnliche Aussagen trifft die Isar Schaller von der Initiative Ein Team gegen digitale Gewalt im Interview mit Netzpolitik.org. Die schildert jetzt, also die setzt sich spezifisch in Frauenhäusern mit dem Thema auseinander und da sind eben vor allem Bluetooth-Tracker oder gemeinsame Cloud-Konten mit Ortungsfunktionen, Kinderschutzfunktionen auf Geräten, etwas, was häufig in dem Kontext missbraucht wird. Ja, auch sind da sehr viele Kinder, wo dann die Täter Schul-Ipads, Smartwatches und ähnliche Dinge verwenden. Es gibt hier ein strukturelles Problem, was da dargestellt wird, dass häufiger mal der Partner, der Partnerin das Gerät einrichtet als umgekehrt, was eben auch hier das... Machtgefälle und die Möglichkeiten, derartiges zu tun, entsprechend verteilt und sagen, ja, auch hier fehlen die Ressourcen, ist ein erheblicher Mehraufwand in der Beratung, technische, pädagogische, rechtliche Kompetenzen sind da erforderlich und das überfordert halt viele. Es gibt, kann ich an der Stelle mal darauf hinweisen, von den Hexen, also dem virtuellen Flinta-Airfahrt im CCC. Virtuell, weil er eben nicht an einen Ort gebunden ist, sondern da versammeln sich eben die Hexen im CCC und tauschen sich aus. Sie haben eine ganz gute Online-Ressource geschaffen, antistalking.hexen.org, Hexen mit AE. Und ein bisschen über, ich sag mal, digitale Selbstverteidigung und so Inhalte, Schulungsmaterialien, Beratung und so weiter, Ressourcen zur Verfügung stellen. Aber die Forderung von Isa Schaller ist, und klar, die Hersteller müssen stärker in die Verantwortung genommen werden, bessere Warnsysteme gegen beispielsweise Bluetooth-Tracker. Wenn du jetzt irgendwelche Smart Home-Geräte und Location-Freigaben hast, dass das quasi das Gerät dir das sagt und einfach mehr... Den Nutzenden in die Hand gibt. Weil wenn Betroffene aus dem Digitalen gedrängt werden und sagen, ich traue mich jetzt nicht, mein Gerät zu verwenden oder so, das ist mitunter ja, also das kann man ja nicht erwarten. Also ist das okay. Ja, tut mir leid, du hast heute einen digitalen Stalker. Der kontrolliert alle deine Cloud-Konten und so. Und ja, musst du dich halt im Café treffen mit den Leuten und über die Telefonzelle vom Frauenhaus versuchen zu kommunizieren. Und das ist ja das, wohin dann Menschen flüchten, die von so etwas betroffen sind. Ja, also ich finde das sehr positiv, dass diese Stimmen jetzt eben auch in der Breite gehört werden, Plattformen geboten bekommen. Und hoffe, dass da auch etwas Positives dann bei rauskommt. Ja, wir haben auch darüber berichtet, dass ja die Chat-Kontrolle, also die freiwillige Chat-Kontrolle, die Erlaubnis, dass Anbieter Inhalte scannen dürfen, ausgelaufen ist. Und das ist auch irgendwie echt absurd. Sie haben es ja dann nicht akzeptiert. Abstimmung nochmal, ist auch wieder gescheitert. Also hört sich das jetzt auf. Und dann, diese Ausnahme gibt es dann nicht mehr. Und jetzt haben am 4. April Google, Meta, Microsoft und Snap so gesagt, ja, während ihr jetzt da eure unmittelbare Interim-Lösung diskutiert, werden wir weiter alles tun. Und zum Beispiel and we'll continue to take voluntary action on our relevant interpersonal communication services was bedeutet das was jetzt wieder verboten ist machen wir einfach weiter.

Das ist geil.

Das ist schon.

Die Frage ist kann Ihnen das jetzt noch verboten werden.

Naja ähm, Keine Ahnung, ich finde es auf jeden Fall immer wieder wirklich überraschend, wie sehr die, also welchen Blick so die auf Gesetze haben und rechtsraben, dass sie sagen so, ja, ja, während ihr das mal auskäst, während diese, was sind das, 27 Mitgliedstaaten auskäsen, uns wieder zu erlauben, dass wir die Inhalte scannen, machen wir einfach mal so lange weiter. Wollen wir jetzt mal hier nicht verrückt werden, nur weil sich der Gesetzrahmen geändert hat. Da sind wir uns ja einig, dass der sich in unserem Sinne weiterentwickeln wird.

Sie bezeichnen das ja als European Union in Action. So nach dem Motto, ihr tut ja nix. Völlig egal, so Rechtsrahmen.

Also in Action. Also nicht in action, sondern in action. Untätigkeit.

Also sie werfen sozusagen der Europäischen Union Untätigkeit vor und weil ihr ja nichts macht, machen wir halt, weil irgendjemand muss ja was machen. So, Rechtsrahmen ist uns egal, haben wir uns eh jetzt noch nie wirklich um groß gekümmert, von daher machen wir einfach weiter und dann werden wir schon mal sehen, was kommt. Theoretisch müsste halt jetzt die EU das Verhalten dann entsprechend sanktionieren.

Genau. Ich bin mir nicht ganz sicher, ob die da wirklich sagen, ey, wir wollen unbedingt weiter Inhalte scannen. Oder ob die vielleicht sagen, naja, okay, der Rechtsrahmen hat sich geändert, wir müssen das jetzt ausschalten. Was kostet das, das alles wieder rauszupatchen? naja, das ist schon viel Arbeit, habe ich eigentlich keinen Bock jetzt. Und naja, in drei Wochen haben die sich eh ausgecast, dann können wir es wieder anmachen. Wie erklären wir es jetzt? Ja, lass uns einfach sagen, dass wir trotz der gesetzgeberischen Untätigkeit weiter die Kinder schützen. Dann machen wir eine schöne PM. Jawohl, alles klar, dann kann ich jetzt Feierabend machen und muss hier nicht den Quatsch rauspatchen.

Also man muss natürlich dazu sagen, dass jetzt diese Dienste, die jetzt hier in Diskussion sind, also Google, Meta, Microsoft und Snap.

Die sind nicht dafür bekannt, dass sie besonders viel dagegen erfolgreich tun.

Einerseits, andererseits sind sie jetzt auch nicht unbedingt dafür bekannt, jetzt hier von Diensten zu sprechen, die so Ende zu Ende verschlüsselt sind.

Natürlich, also es geht ja auch um die Ausnahme, also die inzwischen sogenannte Chat-Kontrolle 1.0, dass frei, dass sie überhaupt dürfen. Es war so, der ursprüngliche Rechtsrahmen ist und der jetzt auch wieder gültige Rechtsrahmen ist, die haben nicht in die Inhalte zu gucken. Punkt. Dann gab es die Ausnahme, die immer verlängert werden musste, in deren, Von dieser Ausnahme gedeckt haben sie dann eben angefangen zu scannen, aber ja, wie du schon sagst, zentral an den Kommunikationsknotenpunkten auf in der Regel eben nicht Ende-zu-Ende verschlüsselten Inhalten, ja, absolut. Aber trotzdem, das dürfen die nicht. Wir haben Gesetze. This isn't a name, Donny. There are rules.

Ich kann nicht zu jeder Sendung so ein Lebowski-Bild machen.

So, Satoshi Nakamoto. Es wurde mal wieder Satoshi Nakamoto enttarnt.

Ja. Wer ist denn das, fragen sich jetzt alle.

Satoshi Nakamoto ist das Pseudonym des Autors, des White Papers, in dem das Währungskonzept Bitcoin postuliert wird. Also mithin, der Erfinder und, Von Bitcoin. Oder die Autoren.

Genau, man weiß nicht, ob es eine Person oder mehrere sind, ist alles unklar.

Das ist, und unter diesem Namen wurde dieses Paper veröffentlicht und die unter dem Namen haben, also dieses Pseudonym wurde eben auch von, wurde auch in Online-Diskussionen und so im Weiteren auch verwendet. Also es gibt Äußerungen und Diskussionsbeiträge von Satoshi Nakamoto und seit jeher wildes Rätsel raten, wer denn diese Person ist, weil erstens das ja dann doch eine Erfindung von weitreichender Konsequenz war, technische Innovation für, die ja jetzt wirklich Milliarden Märkte eröffnet hat, geschaffen hat, bis hin zu Impfpässen, die man mit fünf Blockchains absichern muss. Also das ist so wirklich, das war eine weit, eine consequential Erfindung. Und unter anderem hat Satoshi Nakamoto eine relativ große Menge Bitcoins zu Beginn geschürft. Und das ist quasi der Anfang oder am Anfang der Bitcoin-Blockchain gibt es eben ein Wallet, was relativ viele Bitcoins hat und das ist offenbar das oder offensichtlich das von Satoshi Nakamoto und. Dieses Wallet hat bisher nie irgendwelche Funds bewegt oder so. Es hat aber einen relativ hohen Wert. Ich glaube, in dem Times-Artikel jetzt steht 118 Milliarden US-Dollar oder so. Also angenommen, wenn man das Geld ausgeben würde, würde es nicht sofort der Bitcoin. Aber das wäre jetzt der Face-Value ungefähr. Das heißt, es ist ein Mensch oder eine Gruppe mit relativ großen Ressourcen. Und das weckt natürlich allerhand Begehrlichkeiten. Ja, Gelüste, diese Person, ja ähnlich wie jetzt bei Banksy oder so, wird ja auch immer wieder, wir haben ja jetzt Banksy, meine Güte, lass den Arm, Mann doch mal in Ruhe, oder Frau, oder genau. Warum ist das bei uns erwähnenswert? Weil, also der Artikel ist wirklich enorm interessant, ist auch in den Show Notes verlinkt. Und der Autor schildert da seine Recherche und seine Indizien, wie er jetzt irgendwie auf den Adam Beck kommt. Und das hat er gemacht, auch unter Zuhilfenahme von AI. Und Satoshi Nakamoto ist auf jeden Fall, wer ein dezentrales, quasi anonymes Zahlungssystem erfindet, unter kluger, neuartiger Anwendung von Kryptografie oder neuer Kombination der Anwendungen von Kryptografie, Das ist jemand, der oder die oder eine Gruppe, die sich auf jeden Fall sehr mit ... Mit Anonymität, Privatsphäre und eben auch mit Finanzsystemen auseinandergesetzt hat und eine Expertise in diesem Fachbereich hat, die natürlich ziemlich gut sein muss und entsprechend hat sich Satoshi Nakamoto eben auch sehr gut, das wird auf jeden Fall jemand sein, der oder die weiß, wie man sich anonym halten kann. Und ja, was hat jetzt dieser Autor des New York Times Artikels gemacht? Also Cypherpunk-Mailing-Liste gelesen. Also das ist so die... Ja Tim, das kannst du besser erklären. Was sind die Cypherpunks?

Und die Cypherpunks, das ist so eine frühe Hackergruppe, die sich so in den Ende der... 80er, Anfang der 90er Jahre glaube ich so im Wesentlichen gegründet hat, das waren halt einfach irgendwelche Freaks, die generell sich für Kryptografie interessiert haben und dieses Feld einfach beforscht haben, einfach so Hacker gestalten, die da einfach teilweise aus so libertären Gedanken, teilweise aus so rein Privatsphäre Gedanken und so weiter mit Kryptografie beschäftigt haben. Und das sagen wir mal so auch mental in etwa so diese Ursuppe, wo ich auch so diese Bitcoin-Community, zumindest aus der Zeit, bevor sie dann von diesen ganzen Glücksrittern dann auch überlaufen wurde, verorte. Genau. Cypherpunks war immer ganz lustig, weil lange, lange Zeit konnte man immer super, cypherpunks.org war immer so bei allen öffentlichen, du musst hier deine E-Mail-Adresse eingeben, um irgendwie Internet zu bekommen, Portalen, war das immer so der Default-Login. Also man hat immer so cypherpunks.org und Passwort irgendwie, cypherpunks oder cypherpunks nochmal die E-Mail-Adresse reingegeben und dann hat man immer so, Und kam wirklich erstaunlich oft überall rein, weil das natürlich alle überall immer repliziert haben. Funktioniert mittlerweile nicht mehr so gut, aber war eine Zeit lang echt eine gute Quelle für Netz.

Die haben dann, also geht zurück auf John Gilmore, den habe ich beim Camp.

Ja, der war beim ersten Camp und ich glaube auch beim zweiten Camp war der auch noch dabei.

Ja, der war, der muss auch beim, Moment, wann war das denn? Das war das.

Das erste Camp war 99.

Nee, der war ich nicht, dieser Flughafen... Wo diese Flugzeuge rumstanden?

Finofort.

Finofort, ja, da habe ich den glaube ich auch getroffen.

Ah, da war er da auch noch dabei, ja genau. Das ist so einer, der auch EFF mitgegründet hat und ja, genau. Die Mailing-Liste glaube ich gestartet hat.

Genau, die 1992, ja, also die viel über, PGP-Diskussionen, so dieser ganze, dieser ganze Kontext. Cypherpunks Manifesto 1993. Privacy is necessary for an open society in the electronic age. We cannot expect governments, corporations or other large faceless organizations to grant us privacy. We must defend our own privacy if we expect to have any. We know that somebody has to write software to defend privacy and we're going to write it yeah this is a, Und ich denke, eine relativ einflussreiche Gruppe und auch Philosophie, die daraus entsprungen ist. So, jetzt gibt es also diesen New York Times Autor, der anfängt zu analysieren unter Zuhilfenahme von künstlicher Intelligenz und findet dann eben, also er hat eine Anfangshypothese, dass der Adam Beck diese Person sein könnte und recherchiert dann, was der so geäußert hat. Und jetzt skizziert die irgendwie Ende der 90er Jahre schon nahezu alle Kernkonzepte, die halt am Ende in Bitcoin zusammengeführt wurden. Dezentrales Cash, am Ende, dass es limitiert sein muss, Lösungen für das Double Spending, Problem, unveränderliche Zeitstempel, Hash-Trees. Ich will da jetzt gar nicht so in das, Detail gehen, was Bitcoin ausmacht. Das haben wir in einer anderen Sendung, glaube ich, relativ ausführlich erklärt. Und hat 1998. Vorgeschlagen, zwei andere Konzepte zu kombinieren, was dann eben Satoshi Nakamoto in dem Paper auch getan hat. Und er hat ähnliche Argumentationen wie Satoshi Nakamoto vorher schon vorgetragen. Jetzt haben die mit einer KI 34.000 Autoren analysiert, mit so einer Computational-Analyse über Stilmerkmale in der Kommunikation, also quasi nach bestimmten Auffälligkeiten in Satoshi Nakamoto's Art, sich auszudrücken, Orthographie und sonstigen in 34.000 Autorinnen auf Mailinglisten und so weiter. Am Ende blieb nur er über. 67 identische Bindestrich-Fehler, also dass bestimmte Dinge getrennt mit Bindestrich oder ohne geschrieben werden, das war halt eine besondere Auffälligkeit. Der Zweitplatzierte allein in der Analyse hat nur 38 Übereinstimmungen mit Satoshi Nakamoto. Spezialbegriffe, Partial, Pre-Image, Burning the Money, Proof of Work, die auch nur er und Satoshi Nakamoto so schreiben. Gleichermaßen Inkonsistenzen, E-Mail mal mit Binnenstrich mal ohne, Check mal mit Q mal mit CK und so weiter. Und dann aber auch Verhaltensauffälligkeiten, wie das auf einer Kryptografieliste, auf der sehr viel mit Satoshi Nakamoto diskutiert wurde. Da war er genau zu der Zeit, war er halt still. Und nachdem dann... Satoshis Coinstack publik gemacht wurde, war er dann auf einmal im Bitcoin-Talk und hat gesagt, ja, man sollte irgendwann mal aufhören, diesen Mann nachzustellen.

Leave Satoshi alone.

Leave Satoshi alone, hat aber gleichzeitig, dann gab es irgendwie so Situationen, dass es dann irgendwann ernsthafte, Diskussionen, ich glaube um die Blockgrößen oder sowas gab, ja, in diesem ganzen Bitcoin-Universum, hat er dann vehement etwas verfochten und als es dann drohte zu kippen, meldete sich auf einmal Satoshi Nakamoto mit genau seiner Argumentation. Aber das Interessante an, also wenn man das jetzt so liest, ist es schon wirklich eine sehr auffällige Häufung von, Zufällen. Indizien, die vermutet werden oder Analysen, die durchgeführt werden, die dann genau diese Person zum Ergebnis haben und die auch, wenn man, so sag ich mal, methodisch dann schlüssig sind, wenn du mit 34.000 Leuten anfängst und du narrerst das runter auf genau eine Person, das klingt erstmal schlüssig, jetzt könnte es aber natürlich auch sein, dass es noch sehr viel weitere inhaltliche, orthografische Auffälligkeiten und Besonderheiten gibt und wenn du nach denen geprüft hättest, wärst du zu einem anderen Ergebnis gekommen oder so. Das muss man immer nochmal die Methode in. Ja, sagen wir mal, in Frage stellen und insbesondere, das ist halt vor allem eben mit AI durchgeführt worden. Und eine der, sagen wir mal, spannenden Lehren könnte sein, dass, wenn es stimmt, Adam Beck sagt, stimmt nicht, dass hier einer der auf jeden Fall erkennbar ausgewiesensten Privacy-Experten am Ende mit dieser Analyse und Zusammenhangs finde Technologie AI ja, wie soll man das sagen, die Klette gemacht hat.

Aufgespürt wurde, ja.

Ja, hieß doch Daniela Klette, die dann da irgendwie die Raft-Terroristin. Werden jetzt alle am Ende mit AI überführt, ja liest sich auf jeden Fall spannend und gibt es halt dann irgendwie am Ende also er leugnet das nach wie vor hat aber jetzt auch keine besonders guten Argumente vorbringen können und ja dann schildert der Autor noch so ein bisschen ja er hat dann, also der Autor konfrontiert ihn mit einem Zitat von Satoshi Nakamoto und der Adam Beck sagt, ja, ja, das habe ich aber, das habe ich so und so gemeint. Und das sagt er dann, ja, Mensch, hat er sich doch jetzt hier verraten oder so. Naja.

Ist ja eigentlich am Ende auch egal.

Es ist völlig egal, aber ich finde es wirklich, die Methode oder die Erkenntnis, wenn das jetzt am Ende stimmen sollte, dann wäre es auf jeden Fall natürlich auch eine weitere Demonstration, der Möglichkeiten, der Datenauswertungsmöglichkeiten dieser neuen Technologien. Zusammenhänge in Massen von Daten finden kannst, die unstrukturiert vorliegen und die trotzdem damit analysieren kannst. Es könnte aber auch einfach am Ende als eine der fatalsten AI-Halluzinationen, in die Geschichte eingehen, an der am Ende Adam Beck irgendwie um drei Finger ärmer ist, weil irgendwelche, durchgeknallten Kriminellen ihn um seine Bitcoins bringen wollten, weil natürlich musst du bei einer derartigen Menge, Bitcoins, wenn bekannt ist, dass du über die verfügst, sehr fürchten um deine persönliche Sicherheit. Und zwar anders, als du das bei Geld tun müsstest, was du schön in Unternehmen investierst und sonst was.

Wie viel ist da drauf auf der Wallet? Nach heutigem Geld?

Also auf jeden Fall Milliarden. Bitcoin ist jetzt auch gerade wieder ein bisschen runtergegangen. Ein bisschen. Ja. 1,1 Millionen Bitcoin.

Und wo ist der Preis gerade? Ich weiß es nicht.

Es ist eigentlich völlig egal, solange er über 10 Dollar ist, ist es relativ viel. 1,1 Millionen BTC in Euro. Ein Bitcoin sind 61.221 Euro aktuell. Das heißt, wir hätten hier, warte mal, ich muss mal gucken, 1000 Millionen, 67 Milliarden wären das dann jetzt.

Das ist ja Euro. Kommt der Mensch überhaupt noch dazu, sich was zu essen zu kaufen?

Naja, er hat ja offenbar keine Satoshis für gebraucht, ja bisher. Satoshis sind die kleinsten, sind gewisse Urteile von einem Bitcoin. Ist es die kleinste? Nee.

Kann man nicht kleiner machen es gibt keine halben Satoshis wir machen hier keine halben Satoshis.

Bist du sicher, dass man nicht einfach trotzdem machen könnte? Ist das Feld nur so und so viel Byte oder was?

Das ist halt einfach die kleinste Einheit, Da ist dann halt Schluss. Da habe ich jetzt schon genug Quizze mit gewonnen. Also diese 67 Milliarden würde er natürlich jetzt nicht bekommen, wenn diese Menge in den Apparat zum Umtausch hineingegeben würde, weil das Geld würde ja dann dazu führen, dass dann alles zusammenbricht. Aber nichtsdestotrotz ist das auf jeden Fall eine ordentliche Reserve, falls man mal auf irgendwas zurückgreifen muss. Warum dieses Geld nie angetastet wurde, nobody knows. Offensichtlich ist es wertvoller, in der Anonymität zu bleiben, als davon zu profitieren.

Also wenn du weniger als ein Satoshi ausgeben willst, musst du das über Lightning machen, da kannst du Milli-Satoshis ausgeben. Aber in der richtigen schönen Bitcoin-Blockchain ist Freve nicht möglich.

Ich denke, wenn der Typ das wirklich ist, der ist ja auch noch in dem Krypto-Business unterwegs, er hat da wahrscheinlich noch genug andere Bitcoins und von daher, ich meine, wenn er jetzt wirklich mal ein Bitcoin ausgeben würde, angenommen, das würde jetzt passieren, ja, das Wallet.

Zum Beispiel, um sich gegen die New York Times zu wehren. Ich kaufe euren Scheißladen.

Wenn da irgendwie Bewegung ist, das würde ja Schockwellen aussenden in diesem System. Naja, egal, müssen wir uns da nicht drum kümmern. Lass mal lieber über KI reden. da gibt es ja genug zu reden, denn ja, es gibt eine, es gibt ja am laufenden Meter neue Ankündigungen von neuen Modellen. Also das nimmt ja überhaupt gar kein Ende. Jeder hat wieder irgendeine neue Version und jedes Modell, was vorgestellt wird, ist immer das Geilste, was es je gab und noch toller und sowohl intelligent und alle Benchmarks explodieren.

Wie beim iPhone.

Wie beim iPhone und, Anthropic als einer der ich würde mal sagen, einer der wie viele große Player haben wir? Drei? Ich würde mal sagen, drei.

Marktanteilsmäßig ist Anthropic irre klein.

Ja, aber es ist vollkommen unbestritten, dass die Teil der Avantgarde der KI-Modelle sind.

Ja, also Marktanteil klein, aber wenn man jetzt sagen würde, Google, Gemini, OpenAI mit ChatGPT und dann… Genau.

Die drei würde ich sagen sind so in der Pole Position. Man kann da jetzt drüber diskutieren, ob da noch einer mit rein muss oder was jetzt alles die zweite Reihe ausmacht. Ist jetzt auch erstmal eigentlich egal. Wir haben Anthropic hier schon mehrfach erwähnt. Unter anderem, weil sie auch immer sehr schöne Erläuterungen bringen, wenn sie mal was Neues herausgefunden haben und auch diese Security-Abschätzungen machen etc. Naja, jetzt ist es auf jeden Fall wieder soweit und sie haben ein neues Modell angekündigt unter dem schönen Namen Mythos und auch hier handelt es sich um ein sogenanntes General Purpose Modell, also was quasi so für alles mögliche herangezogen werden kann. Aber sie meinen festgestellt zu haben, dass es extrem fähig ist im Bereich der Computer Security Aufgaben und in dem Zusammenhang haben sie dieses Modell auch mal dafür benutzt, um solche Fehler in kritischer Software zu finden, also in Software, die weltweit viel zur Anwendung kommt und meint dort einiges gefunden zu haben und kündigt halt an, dass das so earth shattering sei, dass sie also der Industrie jetzt quasi auch ein bisschen Vorlaufzeit gibt, auch eng da schon mit bestimmten Unternehmen zusammenarbeitet in einem Projekt namens Glaswing. Und das Ziel dieser Veröffentlichung jetzt ist auch hier zu sagen, Leute, unsere Modelle werden jetzt super intelligent, es muss etwas geschehen und zwar müsst ihr die Art und Weise, wie ihr mit Sicherheit umgeht, ändern, weil sonst seid ihr zukünftig potenziellen Angreifern ausgeliefert. Das Ganze sei also ein Wendepunkt im Punkto Security.

Weil du dich gerade leicht missverständlich ausgedrückt hast. Das Modell selber wird noch nicht mal veröffentlicht. Die Veröffentlichung ist jetzt nur ihre Ergebnisse mit diesem Modell und die Konsequenz aus diesen Ergebnissen ist, das geben wir jetzt nicht der Öffentlichkeit. Wir veröffentlichen diese Ergebnisse, wir gehen in die direkte Zusammenarbeit mit der Industry von Microsoft über, hast du nicht gesehen, und das geben wir jetzt erstmal nicht in die Hände der Öffentlichkeit, das halten wir zurück, weil die Welt dafür noch nicht bereit ist.

Genau, also sie werden es irgendwann veröffentlichen, nur haben sie es jetzt zu diesem Zeitpunkt noch nicht veröffentlicht, sondern reden jetzt erstmal darüber und stellen auch so ein bisschen vor, was sie jetzt getan haben und meinen, dass sie also eine Menge Sicherheitslücken gefunden haben, von denen 99 Prozent, von denen die sie gefunden haben und dokumentiert haben, derzeit einfach noch nicht gefixt sind. Ein Prozent sei aber schon gefixt und darüber können Sie auch reden und das tun Sie dann auch sehr ausführlich und Sie meinen halt, Sie hätten sogenannte Zero-Day-Lücken, also bisher unbekannte Sicherheitslücken in allen wichtigen Betriebssystemen gefunden und in jedem relevanten Webbrowser, der derzeit im Einsatz ist. Also sprich in Chrome, in Safari und so weiter, wie sie alle heißen. Viele dieser Fehler, die sie gefunden haben, existieren teilweise seit 10 oder 20 Jahren, in einem Fall sogar seit 27 Jahren in einem Betriebssystem. Das haben sie auch benannt, nämlich OpenBSD. Was lustig ist, weil ja OpenBSD immer so, also sozusagen ja das Betriebssystem ist, was immer so Security sich auf die Fahnen geschrieben hat, ja, zu Recht auch, ja, da kam ja auch SSH und solche Entwicklungen, das kommt halt alles von da, ne. Genau. Und das Interessante ist, dass also dieses Mythos-Modell jetzt nicht einfach nur so alles auf alles draufhaut und dann irgendwelche Fehler dabei gefunden hat, wie man das ja so generell auch aus der Security kennt, sondern also richtig Verkettung von Fehlern, Ausnutzung da zusammengebaut hat und gezielte Strategien entwickelt hat, um also diesen Lücken da auf die Spuren zu kommen. Genau, also das geht dann also richtig weit. Sie finden da nicht nur Sicherheitslücken, sondern sie bauen dann auch gleich richtige Exploits, um das also auch gleich auszunutzen. Und das Besondere an diesem Mythos-Modell ist, dass das eben jetzt so eine neue Funktionalität ist, die sie entdeckt haben in dem Modell, was zum Beispiel in dem zuletzt und vor allem auch erst vor kurzem veröffentlichten Opus 4.6 Modell so bestenfalls ansatzweise nur drin war. Also eine ähnliche Funktionalität haben sie so nur in 1% der Fälle gefunden und bei dem Mythos-Modell irgendwie in 72% der Fälle. Ja genau und das heißt es handelt sich hier um eine emergente Fähigkeit. Also sie haben jetzt dieses Modell nicht speziell daraufhin trainiert, sondern sie haben einfach nur die nächste Variante ihres Modells entwickelt und festgestellt so, oh holla das ist jetzt so intelligent, das kann jetzt auch das machen. Und das hat halt große Implikationen. Deswegen haben sie jetzt dieses Projekt gestartet, um Unternehmen jetzt auch Vorlaufzeit zu geben, da was zu machen. Und zwar nicht nur, um jetzt gezielt einzelne Lücken zu finden, sondern um vielleicht auch generell ihre Strategie umzustellen.

Also wir müssen, glaube ich, zur Bewertung noch ein bisschen mehr dazu sagen, was war wirklich das Setup, was die hier gemacht haben. Und zwar haben wir das Ding halt Code lesen lassen. Ja, das ist schon nochmal ein sehr entscheidender Aspekt. Du hast ja gerade gesagt, wie das sonst in der Security üblich ist, einfach überall drauf zu kloppen. Ja, wir rüben uns ja auch teilweise des planvollen Handelns, aber hier ist eine spezifische Form der Security-Analyse zur Anwendung gekommen und das ist im Prinzip das Lesen von Quellcode. Keine, und nochmal, wenn du in OpenBSD, und zwar in der TCP Implementierung von OpenBSD, also das TCP aus TCP IP, das Transmission Control Protocol. Wo das im Prinzip für so Sachen auch da ist, dass du quasi die Sequenznummern von Paketen zählst und Bescheid sagst, hier hat eins gefehlt. Und da gab es dann einen Update am TCP. Du kriegst zehn sequenzielle TCP-Pakete und das fünfte wurde unterwegs verschluckt. Wenn du jetzt dann in der ursprünglichen Variante von TCP hättest du gesagt, ich brauche nochmal alles ab 5 Uhr. Weil du eben nur sagen konntest, das habe ich nicht bekommen. Und dann gab es ein Update von TCP, wo man gesagt hat, wir führen jetzt ein, das selektive Act oder nicht Act, dass du sagst, übrigens mir hat die 5 gefehlt. Und dann kriegst du nur die 5 nochmal und nicht alles ab der 5 nochmal. Dass also die Effizienz von TCP sehr stark optimiert hat. Und in dieser Implementierung haben die Leute bei OpenBSD vor 27 Jahren einen Fehler gemacht.

Keiner hat es gemerkt.

Und Keiner hat es gemerkt, ja. Lange gut gegangen. Und das ist der andere Aspekt, der sich jetzt hier bei dieser Forschung zeigt. Sie haben einen Fehler in der Speicherverwaltung gemacht. Ich will das, ich sage es schon vorher, ich erkläre das jetzt sehr, sehr, sehr high level, weil das sonst einfach zu kompliziert wird. In Programmiersprachen wird Speicher verwaltet. Computer hat Arbeitsspeicher. Und wenn er sagt, ich speichere, ich muss mir jetzt etwas merken, dann muss das Programm ja selber zum Beispiel wissen, wo es sich was gemerkt hat. Oder auch wie viel Speicher es reserviert, um da etwas reinzuschreiben. Und sehr klassische Fehler in Programmiersprachen, insbesondere wie C, entstehen dadurch, dass du entweder... Oder dass du Fehler in der Speicherverwaltung machst, beispielsweise zu wenig Speicher reservierst und dann darüber hinweg schreibst, was eben in dieser Sprache möglich ist. Du sagst, ich bräuchte mal bitte, reserviere mir mal bitte Platz für 10 Byte und dann schreibst du aber 11 hin. Dann schreibst du das 11. Byte in irgendeinen anderen Speicherbereich, den du potenziell an anderer Stelle ausliest. Ja, weil du an dem Punkt eigentlich etwas anderes erwartest. Also Fehler dabei oder du sagst, ich brauche diesen Speicher nicht mehr, ich brauche das nicht mehr, ich überschreibe das jetzt, ich gebe das jetzt frei, da kann das Programm jetzt andere Dinge hinschreiben und dann liest du aber nochmal an der Stelle. Weil du sagst, quasi der Programmfluss dich in seiner Komplexität überfordert hat, sodass du irgendwann etwas liest, obwohl das Programm das quasi schon wieder gesagt hat, diesen Speicherding, da dürfen jetzt andere hinschreiben. Und dadurch so etwas passieren dann so Sachen wie Hardbleed, war auch so ein klassischer Speicherverwaltungsfehler, wo du Sachen gelesen hast oder ausgeben konntest, die halt schon wieder freigegeben, also quasi free waren und so weiter und so fort. Und diese spezifische Art von Fehler ist leicht zu machen und teilweise auch leicht zu finden. Es sei denn, die Bedingungen und die Verästelung im Code, um an diese Stelle zu kommen, dass du dort diesen Speicher, dass der sich nicht so verhält, wie du als programmierende Person unter allen Bedingungen, in denen sich das Betriebszustände, in denen sich das Programm befinden kann, ausgegangen bist. Und dass du immer denkst, okay, es kann nur so groß sein, ich reserviere jetzt hier so viel Sprecher. Diese Art von Fehler zu finden und zu vermeiden, ist eine sehr häufige Tätigkeit des Code Audits, wo also jemand oder ein Programm oder ein Mensch den Code liest und guckt, ob alle Annahmen, die zu einem gewissen Zeitpunkt über den Speicherzustand, seine Reservierungen, seine Größen usw. Getroffen wurden, auch zu jedem Zeitpunkt noch gelten. Und diese spezifische Fähigkeit haben Sie jetzt hier geprüft mit eben sehr beeindruckenden Ergebnissen. Und was ich glaube, was an den Ergebnissen beeindruckend ist, ist A, wenn 27 Jahre lang diesen Fehler in der Speicherverwaltung niemand gefunden hat. Heißt das nicht, dass 27 Jahre lang Menschen danach gesucht haben, aber es heißt auf jeden Fall, dass er nicht besonders trivial zu finden war. Weil wenn er trivial zu finden gewesen wäre, hätte ihn zwischendurch irgendwann mal jemand gefunden. Ähnlich ist es mit diesen ganzen Browser-Geschichten. Browser sind inzwischen so unglaublich komplexe.

Betriebssysteme eigentlich schon.

Ja, eigentlich Betriebssysteme. Die haben so viele Funktionen, Sprachen, die sie interpretieren müssen, dass es jetzt nicht überraschend ist, dass du dort derartige Fehler findest. Nur, dass sie dann auch noch ausnutzen kannst. Was du sehr häufig. Oder was du recht einfach findest, ist, dass du sagst, pass mal auf, hier wird, Speicher schlecht verwaltet. Oder hier wird unvorsichtig irgendwo hingeschrieben und nicht sauber sichergestellt, dass man genug Speicher reserviert hat. Wenn du eine solche Stelle im Code findest, heißt das noch lange nicht, dass du auch einen Pfad unter Realwertbedingungen durch den Code findest, um an einen Zustand zu kommen, dass du mit deinem Wert, der da nicht hingehört, an diese Stelle kommst, dass du hier tatsächlich eine Speicherverletzung begehen kannst. Das ist dieser andere Teil, den du gerade nanntest, das ist das Ding nämlich im Vergleich zu Opus, Opus hat in 1% der Fälle gesagt, hier pass auf, so kannst du, das musst du mit dem Programm machen, damit du diesen Fehler in der Speicherverwaltung auch tatsächlich ausnutzen kannst. Ja, hier sind die 180 Bedingungen und Edge-Cases und so weiter, damit du hier, da und noch dazu erfolgreich das Programm dann in seiner Integrität manipulierst, ja. Das ist die andere Kunst, die ist, ähm... Also wenn du erstmal die Schwachstelle hast, ist es natürlich ungleich einfacher, dich dahin zu hangeln, insbesondere für ein LLM, aber es zeugt eben bei, wenn die Schwachstelle oder dieser Fehler in der Speicherverwaltung so komplex ist, dass er niemandem erstmal aufgefallen ist, dann ist im Zweifelsfall auch der Weg, ihn zu triggern, sehr kompliziert und erfordert ein sehr hohes Verständnis des Codes. Da kommt das, was du gerade meintest. In der Security gehst du dann gerne hin und klopfst einfach drauf. Wir nennen es Fuzzing. Dass du nämlich Teile des Codes nimmst. Und den ganzen Code oder Teile des Codes mit invalidem Input bombardierst, einfach nur zu gucken, ob es irgendwann crasht. Ob es irgendwann in einen Zustand kommt, den du nicht haben willst. Oder der nicht definiert ist oder nicht wünschenswert wäre. Eine sehr hohe Kunst, weil. Nur drauf zu kloppen eben nicht ausreicht, wenn du den Code verstehst als einen verästelten Pfad von Möglichkeiten, und du willst alle Pfade dieser Möglichkeiten, alle Verzweigungen irgendwie abdecken, dann schaffst du das nicht, wenn du einfach nur Zufall drauf wirst, weil es ja zum Beispiel sein könnte, dass die am Anfang eine 50-Prozent-Wahrscheinlichkeit 1-0 oder so ist, die aber eine Komplexität oder eine Entropie von 1 MB hat oder so und dass du die Hälfte deines Inputs scheitert schon an der ersten Schranke. Das heißt, du musst sehr gezielt bei dem Fuzzing dir auch darüber Gedanken machen, dass du möglichst viel von deinem Input auch wirklich dazu führt, dass es unterschiedliche Pfade des Codes ergründet. Insofern würden insbesondere meine Kollegen, die sich mit Fuzzing auseinandersetzen, vehement widersprechen, dass es einfach nur draufkloppen ist.

Klar.

Aber selbst damit wurden offen, und ich bin mir sehr sicher, dass der TCP-Stack aus OpenBSD durchaus auch mal durch den Fasser gescheucht wurde, weil TCP eignet sich auch ganz gut zum Fassen. Auch damit wurde es in 27 Jahren nicht gefunden. Und das Beeindruckende ist also jetzt hier, dass es. Diese Sachen findet. Allerdings ist es jetzt auch nicht so, dass du sagst, hey, yo, Claude, hier ist mal übrigens dein, hier ist mal so ein Repo, findet man eben die Criticals, ja? Vor allem die, die 27 Jahre alt sind. Nein, sondern die brauchten, und das finde ich hier sehr spannend, vom Setup haben sie immer und immer wieder das Modell hochgezogen und immer und immer wieder die Aufgabe gegeben und haben quasi gleiche Aufgabe hunderte bis tausende Male gestellt. Hunderte Male auf jeden Fall. Mit natürlich auch immer unterschiedlichen Ergebnissen. Und dann kamen eben teilweise ... Solche Critical Spy raus. Das finde ich zum Beispiel auch spannend zu ergründen, woran das liegt und warum sie das mehrmals machen mussten, weil eben dieser Raum, der durch den Quellcode abgedeckt wird, also der Möglichkeitenraum, wie man sich in diesen Wirrungen, dieser logischen Bedingungen, die hintereinander geknüpft werden und unabhängig voneinander sind, wie man sich dadurch bewegen kann, der wird sehr schnell einfach enorm groß und der Speicherbedarf, der Arbeitsspeicherbedarf, um das zu repräsentieren für so ein Modell, wird auch sehr schnell sehr hoch. Das heißt, wenn du große Mengen Code analysieren willst, musst du den im Prinzip abstrahieren und quasi über die Menge der Funktionen und was dieser Code tut. Quasi Abkürzungen und Vereinfachungen bilden, um dann Hypothesen zu haben, wo Fehler passieren können und dann diese spezifischen Sachen dir noch einmal genauer anschauen. Das ist so ein Abstraktionsproblem, weil du nicht den gesamten Code in seinem kompletten Kontext einfach in dieses Modell packen kannst. Deswegen also dieses hier, sie haben es mehrmals gemacht und haben im Prinzip so eine probabilistische Wahrscheinlichkeit, dass das Ding, dass das Modell A einen Fehler findet und genauso eine probabilistische Angabe mit wie großer Wahrscheinlichkeit es dem Ding sofort gelingt oder überhaupt gelingt. Einen funktionierenden Exploit dafür zu machen. Im Vergleich Opus 4.6 kriegt das zuverlässig in weniger als 1% hin und hier hast du eins, was es in 72% der Fälle hinkriegt. Diesen zweiten Teil quasi Exploits zu bekannten Schwachstellen zu schreiben, den finde ich gewissermaßen ungleich beunruhigender. Weil wenn du jetzt überlegst, was bedeutet diese Entwicklung? Okay, Angreifer können ausreichend Tokens vorausgesetzt, jetzt in Quellcode, den sie haben, laut diesem Beispiel, das wird ja für andere Anwendungen eine ähnliche Entwicklung sich dann zeigen, aber bei Quellcode ist es jetzt noch relativ naheliegend. Angreifer können also jetzt sagen, alles klar, wir nehmen jetzt hier so einen Cloud-Mythos und eine Kreditkarte und geben ein paar tausend Euro aus und gucken mal, ob wir ein Critical in der und der Software-Library finden. So, gut. Was bedeutet das für Angriff und Verteidigung? Okay, wer ein bisschen Geld ausgibt, kann ein sehr mächtiges Code-Auditing-Tool zur Anwendung bringen. Das heißt aber, das können auch Verteidiger. Und am Ende haben Verteidiger wahrscheinlich in Summe mehr Geld, was sie dafür ausgeben, Code zu auditieren, als Angreifer. Es gibt einfach mehr Menschen, Firmen, Organisationen und Ressourcen, die an der Sicherheit von Code interessiert sind, als es Kapital gibt, das an der spezifischen Unsicherheit von Code interessiert ist. Also ich als Angreifer, was weiß ich, wenn ich eine Million habe, und ich will einen Critical irgendwo finden, dann hat meine Konkurrenz, zehn oder hunderte Millionen an jeder Stelle potenziell investiert, wo ich suche. Das heißt, da würde ich dann am Ende doch einen strukturellen Nachteil für Angreifer sehen. Immer long term. Aber wenn eine Schwachstelle gefunden wurde, Wie auch immer, sei es durch eine KI, sei es durch eine Sicherheitsforscherin, die sie gemeldet hat, dann gibt es ja einen Patch. Und eines der Risiken des Patching ist, wenn du den Patch bereitstellst, dann musst du natürlich auch inhärent, klärst du darüber auf, dass es eine Sicherheitslücke gab, die durch diesen Patch nun behoben ist. Das heißt, du verrätst implizit auf jeden Fall, wo die Sicherheitslücke war und worin sie bestand. Und das führt schon seit langem dazu, dass bei den besonders kritischen Schwachstellen, die irgendwo mitgeteilt werden, unmittelbar Leute sich hinsetzen und sagen, okay, ich will sofort wissen, wie die Schwachstelle funktioniert und ich bastle dazu jetzt einen Exploit. Und genau das war früher vielleicht eine Arbeit von Tagen, wenn es ein komplexer Exploit war, Wochen und wird jetzt halt eine automatisierbare Tätigkeit. Und dafür brauchst du dann auch nicht mehr zehntausende Dollar, sondern wahrscheinlich nur noch hunderte. Je nachdem, wie viel Wissen du bereits über die Schwachstelle hast oder wenn es jetzt im Open-Source-Tool ist und den Quellcode eh sehen kannst, dann sparst du sehr viel Zeit und Geld, einen funktionierenden Exploit zu bekommen. Fassen wir zusammen, die Fähigkeit, diese Schwachstellen zu finden, wird am Ende langzeitlich eher den Verteidigeren helfen. Die Fähigkeit, Exploits zu bauen, die wird sehr kurzfristig und unmittelbar Angreifern helfen. Und hier kommt jetzt die Realität zum Tragen, dass in größeren Organisationen, sag ich mal, das Einspielen von Sicherheitsupdates, das ist eine Abteilung, das ist ein Prozess, damit werden Familien ernährt. Ja, dass ganz viele Menschen sich darüber Gedanken machen, wann man jetzt das Update einspielt, welchen Patch-Gap man sich erlauben kann und so weiter und so fort, ja. Und wir patchen aber, ah, was haben wir denn diesmal? Es ist ja Patch-Tuesday. Was schreibt Microsoft diesmal? Ja, okay, alles klar, können wir erstmal so stehen lassen, ist jetzt nichts unmittelbar Wildes dabei. Da warten wir mal noch bis zum Wochenende und lassen das Werk jetzt hier weiter, produzieren oder arbeiten oder sonst was. Sodass du. Im Prinzip mit den ganzen Patches und so weiter aktuell in jeder größeren Organisation im Prinzip Triage betreibst. Machen wir das über den normalen Patch-Zyklus einmal im Monat? Oder ist hier jetzt etwas gekommen, was so dramatisch ist, dass wir von unseren normalen Abläufen abweichen und vielleicht tatsächlich mal was patchen? Kleiner, sarkastischer Kommentar. Auf jeden Fall schiebt jede ausreichend komplexe Infrastruktur und da könnt ihr einfach nur euer Heimnetz anschauen, eine nicht zu verachtende Menge an Patchgap vor sich her. Und das ist das, was sie jetzt eben sagen, also wenn wir das jetzt in die Hand der Öffentlichkeit geben, Dann wird jede Sicherheit, wenn erstens sehr viele gefunden werden und zweitens sehr schnell Exploits dafür da sein und dafür ist einfach die Art, wie IT heutzutage betrieben wird, in keiner Weise vorbereitet.

Und wahrscheinlich auch die Open-Source-Welt ist noch nicht unbedingt darauf vorbereitet, weil das ist ja nur der Attack-Vektor, ist ja quasi Software, die im Source-Code vorliegt, das betrifft vor allem natürlich die Open-Source-Welt und wenn jetzt ja also massenhaft solche Fehler gefunden werden, dann ist es ja auch nicht so schnell, das alles zu fixen. Da müssen sich da Leute erstmal drum kümmern. Das sind halt meistens Freiwillige, ja Leute, Hobbyisten. Gut, manche werden auch bezahlt von ihren Unternehmen und so weiter, aber das ist nochmal eine ganz andere Dimension. Firmen können sich da vielleicht mit dem Einsatz von Geld und Vorgaben schneller darauf einstellen, vielleicht, je nachdem wie gut die funktioniert diese Firma, aber in der Open Source Welt, das ist natürlich jetzt eine Attacke auf breiter Front und auch da muss man sich wahrscheinlich was einfallen lassen.

Also genau, du hast natürlich recht, die Sachen müssen alle auch gefixt werden es ist nicht lange her dass wir über unseren Claudebot gesprochen haben der sehr gerne, eine Sicherheitslücke fixen wollte, einen Bug in einem Stück Code und dann gesagt hat, okay wenn der nicht gefixt wird dann mache ich jetzt einen Blog und schreibe einen Hitpiece über den Maintainer das ist irgendwie LNP von vor einem Monat oder so. Ich glaube, wir haben auch darüber gesprochen, dass der, wie heißt der, Daniel Stenberg, glaube ich, der Curl-Maintainer?

Daniel Stenberg, ja genau, der also keinen Bock mehr hat, jetzt hier seine Bounties da zu unterstützen.

Er hat keinen Bock mehr, dass da die ganze Zeit irgendwelche AI-Bucks eben gefeilt werden. Bin ich jetzt mal gespannt, wie lange das noch hält. Also da kommt auf jeden Fall jetzt richtig was auf uns zu. und, es also die, ich vermute dass, mittelfristig halt die Lösung sein wird so, okay, pass auf, finde den Bug und statt einen Exploit zu bauen, sei doch so lieb und entwickle mal den Fix kannst du ja auch machen machst du mal Pull-Request, dann ist es trotzdem natürlich für die Maintenance von Open Source Software, eine Herausforderung da aufzupassen, was da alles gefeilt und gefixt und so weiter wird, dann musst du irgendwie vielleicht sehr, sehr viel mehr Testing haben, um sicherzustellen, dass dir da nicht irgendwas kaputt gemacht wird mit derartigen Patches, dass eine Funktionalität auf einmal abgesägt wird oder so, das Risiko halte ich übrigens für nicht so gering weil, genauso wie es kompliziert ist, den Pfad zu finden um es zu exploiten, kann es auch kompliziert sein. Quasi den Auslöser, den Teil, den du wirklich fixen musst, zu finden und nicht ungünstigerweise einen Teil des Codes auf einmal kaputt zu machen, den du gerade nicht in deinem Kontext hast, ja. Ja, also werden sicherlich auch Fehlfixes kommen. So, und dann bleibt aber das Problem, wie finden die jetzt ihren Weg in die Breite und zwar zügig. Das heißt, wir müssen im Prinzip in unseren Infrastrukturen das Patch-Problem lösen. Ja, wo dann so Konzepte wie selbstheilender Code eine Rolle spielen. Natürlich auch es gibt quasi diese Containerisierung und sowas kann da natürlich sehr viel helfen kann wichtiger, ein wichtiges Mittel auf dem Weg zu schneller heilenden. Infrastrukturen Systemen weniger komplex und so weiter sein also ich meine, Finde ich selber sehr schön, dass ich inzwischen den größeren Teil von dem, was ich irgendwie an Verantwortung nicht loswerde, kontainerisiert habe und das macht wirklich solche Prozesse wirklich angenehmer und schöner. Aber das kann jetzt halt auch kurzfristig dazu führen, dass du gar nicht mehr aus dem Container-Updaten herauskommst. Und da sind halt wirklich riesige IT-Infrastrukturen, die betrieben werden in der Industrie, in der Produktion, im Steuerbüro, sind einfach in keiner Form darauf ausgelegt, sagen wir mal, dass man jetzt eine Schwachstelle nur noch 24 Stunden tolerieren kann, statt, 27 Jahre. Und da kommt schon echt, also da wird die Art wie IT, betrieben wird, die Art, wie Code geschrieben wird, da werden sich wirklich Paradigmen fundamental ändern.

Ich meine auch diese Modelle, wenn dieses Mythos-Modell im Bereich der Code-Analyse so eklatante Fortschritte macht, wir hatten hier die Zahl 1%, 72%, Diese Analysefähigkeiten, die steckt sich ja nicht nur auf das Fehlen, das Finden von Sicherheitslücken, sondern das ist ja erwachsen aus einem noch umfangreicheren Verständnis durch dieses KI-Modell von Code und was der Code tut und worauf er Einfluss hat. Das heißt, es ist ja jetzt schon erschreckend, atemberaubend, wie gut Code erzeugt werden kann mit diesen KI-Modellen und es wird am laufenden Meter besser und jetzt immer, wenn man denkt, jetzt kann ja kaum noch was dazukommen, sehen wir dann wieder solche Fortschritte. Und deswegen werden wir uns schon auch an den Gedanken gewöhnen müssen, dass unter Umständen KI-Modelle so ein bisschen die Programmiersprache der Zukunft sind.

Also ich finde es kein angenehmer Gedanke, aber es ist auf jeden Fall so. Und das liegt auch daran, dass wir darüber, wie Quellcode geschrieben wird und verwaltet wird, natürlich unglaublich gute Lernmaterialien für Modelle geschaffen haben. Also, Quellcode wird versionsverwaltet, commits in Git-Repositories, in Subversion, you name it. Da wird die ganze Zeit gesagt, folgendes wird am Code geändert, damit folgendes Problem gelöst wird, beziehungsweise folgendes Code zur Funktionalität hinzukommt oder folgender Bug gefixt wird. Und wenn man jetzt große Open-Source-Projekte nimmt, die funktionieren ja nur deshalb, weil die Menschen, die Code zu diesen Repositories beitragen, teilweise hunderte Menschen gleichzeitig an unterschiedlichen Stellen an einem Tag beitragen. Weil die in einer strukturierten Art und Weise das tun, kommentieren und erklären, was sie da machen. Also nur so funktioniert ja ein Open-Source-Projekt, wenn es für andere Menschen lesbar verständlich ist, sie die Änderungen erkennen, nachvollziehen können, sagen, ah, alles klar, pass mal auf, hier an der Stelle in dem Code, da möchte ich eine Verschlimmbesserung jetzt hier anbringen und ich erläutere die in meinem Commit- und meinem Pull-Request. Und der Code selber ist auch noch kommentiert. Und wenn du darauf Modelle trainierst und dann durch die Historie von Code durchgehen lässt, dann sehen sie ja dem Code beim Reifen und Verrotten zu und erkennen ja auch so, ah, jetzt ist der Moment, jetzt ist das Ding über den Hai gesprungen, jetzt muss man eigentlich was Besseres machen, jetzt fängt man lieber wieder von vorne. Ach, guck mal, hier haben sie auch gemacht. Und da finde ich es jetzt zum Beispiel noch nicht so wahnsinnig irre, dass es auf dem Weg der Lektüre von einem Vierteljahrhundert Open Source Code oder mehr ist es ja, irgendwann verstanden hat, was Memory. Corruption und Memory Management Fehler sind in diesen antiken Sprachen, die dir diese Fußpistole zu jedem Zeitpunkt in die Hand geben. Muss man ja auch sagen, diese Art von Klasse, diese spezifische Art von Fehler ist eine, die. Deren Abschaffung schon lange gefordert wird und das wäre halt, indem man modernere Programmiersprachen verwendet, die, Es quasi sehr schwer machen, solche Fehler zu machen, statt es sehr leicht machen, solche Fehler zu machen.

Oder sogar unmöglich machen, sowas gibt es ja auch. Genau.

Abwarten, warte mal nächste Woche, Claude Research. Rust isn't memory safe after all.

Ich meine damit auch nicht Rust. Aber das würde mich auch fast schon nicht wundern. Weil du es gerade angesprochen hast, Du hast zwar jetzt einen anderen Aspekt dabei abgedeckt, aber fand ich auch nochmal ganz interessant, weil sie ja da auch in diesem Text, also Anthropik da in dem Text drauf auch hingewiesen hat, diese Fähigkeit Zero-Day-Exploits, also bisher vollständig unbekannte Sicherheitslücken zu finden, die sich ja hier in diesem Mythos-Modell gezeigt hat, sagen sie, weist halt auch darauf hin, Das Modell hat nicht solche Fehler aus bestehendem Code direkt gelernt. Es ist nicht etwas, das irgendwo in einem anderen Code schon war und dadurch gefunden wurde, sondern diese Modelle entwickeln durch dieses moderne Training, was ihnen zugeführt wird, in zunehmendem Maße einfach so eine emergente Fähigkeit. Und ich finde das. Absolut, wie sagt man so schön, awe-inspiring. Also es ist wirklich irre, wie dieser Zweig der Software oder der Informatik, der man eigentlich als Linguistik begonnen hat, jetzt in den letzten Jahren von, oh es fängt an langsam zu funktionieren zu, es entwickelt Fähigkeiten, die keiner auch nur vorhergesehen hat. So einen Weg genommen hat und irgendwie crazy. Da müssen wir uns, glaube ich, ein bisschen auch mit abfinden, dass das jetzt auch wirklich stattfindet, weil ja oft auch gezweifelt wird, zu Recht auch, an Fähigkeiten von KI, weil man muss schon unterscheiden zwischen was wird da informatisch eigentlich gerade wirklich getan und wie wird es dann zur Anwendung gebracht von uns minderen Wesen mit einfacher, Humanintelligenz.

Ja, die einfach auch mal 27 Jahre lang mit dem TCP-Stick von OpenSD.

Scheißegal war uns das. Scheißegal.

YOLO, Alter. Funktioniert doch.

Mir doch egal. Kein da drauf.

Das finden die nie. Ja, ja, ja, ja. Aber. Ich möchte es nur noch mal in den Kontext begeben, dass es jetzt nicht so ist, dass das eine, Also, dass diese Ergebnisse jetzt irgendwie mit wenig Rechenaufwand oder so gefunden wurden. Es handelt sich schon eben um eine Menge von Durchläufen und man könnte auf eine Weise sagen, da hat jemand einfach nur drauf gekloppt und halt oft genug. Und sie schreiben, ich glaube, bei dem einen Beispiel sagen sie halt auch so, naja, der einzelne Lauf, der einzelne Code-Audit hat ein Fofi gekostet, der zum Ergebnis geführt hat, aber wir mussten halt relativ viele davon machen, sodass das Gesamtinvest, dieses Ergebnis zu bekommen, halt 20.000 war. Nochmal, bei einem richtigen Auditor hast du, also es wurde offen, es wurde wahrscheinlich mehr Geld für Audits bis zu diesem Zeitpunkt durch Menschen ausgegeben und die haben das eben nicht gefunden. Und da ist dann 20.000 Euro für, find mal bitte ein Critical in Open BSD, ist halt unglaublich wenig. Es ist nur nochmal 20.000 Euro davon entfernt, dass du das findest. Das heißt, das wird dir dann erst irgendwie im November vergönnt sein, lieber Tim. Ja, also da sind wirklich ähm, Ja, also beeindruckende Entwicklungen, deren Konsequenzen auf jeden Fall in Frage stellen oder in eine komplett andere Realität hieven, wie IT betrieben wird. Es gibt da eine vor einiger, ich weiß nicht, ob ich das hier erwähnt hatte, vor, weiß nicht, vor einem Monat oder zwei, die Seite Zero Day Clock, wo so ein bisschen mal das Ganze, die Entwicklung so ein bisschen dargestellt wird, so, welche Zeit vergeht eigentlich, also die Time to Exploit, also die Zeit, die vergeht zwischen, es gibt eine Schwachstelle, die mitgeteilt wird und, dass sie ausgenutzt wird, wird bestätigt. Das ist natürlich bei einem Zero-Day, also einer Schwachstelle, die der Öffentlichkeit nicht bekannt war und durch ihre Ausnutzung der Öffentlichkeit überhaupt bekannt wird, da ist das dann eben Null oder kleiner Null. Und bei dem größeren Teil der Schwachstellen halt so im Bereich von Tagen und jetzt wandert es halt von Tagen in Richtung Stunden und wenn man die Kurve so weitermalt, dann ist es halt irgendwann in ein, zwei Jahren so bei einer Minute. Und gleichermaßen nimmt der Anteil an Schwachstellen zu, die zum Zeitpunkt ihres Bekanntwerdens eben schon ausgenutzt wurden, also die durchaus nur zum Bekanntwerden. Das ist ja quasi der schlechteste Fall. Deren Anteil nimmt zu. Es gibt relativ viele Schwachstellen, die man jetzt nicht unbedingt in the wild exploited sieht. Vor allem, also primär einfach, weil es keinen interessiert oder weil sie nicht massenhaft genug sind. Da gibt es relativ schöne Kurven, wo, sagen wir mal, nach bestem Wissen und Gehwissen Daten zusammengefasst wurden. Und dann extrapoliert werden. Da ist natürlich auch relativ viel... Also Extrapolation und Annahme mit dabei, aber kann schon eben erwarten, dass jetzt das industrialisiert wird, Schwachstellen zu finden und Exploits zu machen.

Ja, also wenn ich mir das hier angucke auf Zero Day Clock, dann ist es ja einfach mal krass. Also innerhalb von einer Dekade geht sozusagen die durchschnittliche Zeit, bis irgendwas ausgenutzt wird von Jahren bis zu unter einem Tag und das zeigt schon, wohin die Reise geht.

So, dann gibt es jetzt in diesen, also dieses Zero-Day-Clock zeigt eben nur mal ein bisschen Daten, dann gibt es einen Call-to-Action, der also sagt, was folgt denn daraus? Erstens, hold the makers accountable, also wer den Code geschrieben hat, muss eben jetzt die Möglichkeiten zur Anwendung bringen, dass er erstens möglichst wenige Schwachstellen shippt, aber natürlich auch, das Tooling bereitstellt, um sie schnell zu beheben. Das ist das, was ich anfangs meinte, mit langfristig werden hoffentlich die Verteidiger die Nase vorn behalten in der Anwendung von AI, Augmented Code Audit, weil es einfach auf der Seite mehr Interessen gibt, aber das ist eben auch eine Aufgabe, der Softwareindustrie, dass sie eben nicht sagt, wir schicken die ganze Zeit irgendwelchen Murks und ach guck mal hier, da hat jemand eine Schwachstelle gefunden, mach mal jemand am Freitag, nee mach mal am Montag irgendwie ein Patch oder so, schreib mal eine E-Mail, ach scheiße, da kommen schon die Bullen, ja. Dann build Security into the Platform. Also. Die immer mehr Security-Kontrollen in Frameworks, in der Infrastruktur generell zu haben, damit du in den höher abstrahierten Applikationen nicht mehr so folgenschwere Fehler machen kannst. Ja, dann Forderung 3, hört mal auf zu patchen, fangt mal an, Sachen neu zu bauen. Ja, weil ich glaube wirklich, dass wir, dass diese Idee langlebige nicht, weißt du, ich behandle das öfter in Vorträgen, das ist das so, die deutsche Mentalität geht immer irgendwie so ein bisschen davon aus, dass etwas irgendwann fertig ist. Aber Software wird nicht fertig das heißt du also ich bin mir noch nicht mal sicher, ob jemand bis heute wirklich geschafft hat ein ausgereiftes, sicheres, wohlformuliertes Hello World zu schreiben. Also ob man da wirklich sagen könnte, das ist jetzt mein Hello World und das ist jetzt fertig.

Naja.

Weiß ich nicht. Aber Software wird nicht fertig. Diese Welt ist, Software ist ein Prozess. Ewig änderliches Konstrukt. Und wir werden uns daran gewöhnen müssen, dass es die ganze Zeit Updates braucht und wir werden damit irgendwie anders umgehen müssen. Der aktuelle Zustand so, ey, übrigens, es gibt ein Update, spiel mal ein, wenn du meinst, das ist einfach nicht angemessen für das, was wir, also da muss das neue Paradigma her. Dann natürlich, jetzt ist ja schon etwas ausführlich gerade behandelt, eine der häufigsten Quelle von Software, Fehlern ist schlechtes Memory Management und C und C++ sind eben diese Fehler, die Menschen machen, weil sie eben überhaupt Speicher unsicher verwalten können, wäre sicherlich klug, sich von diesen Sprachen vollständig zu verabschieden. Wenn du damit, das könnte man mal machen, Tim nickt nur.

Ja, mal Erwachsenenprogrammiersprachen benutzen. Das ist ja auch alles schon erfunden worden. Aber es ist einfach ein Drama. Es ist auch verständlich, Software Engineering heißt auch nicht ohne Grund so, das sind so auch erlernte Berufe, wo die Leute aber vor allem dann zu irgendeinem Zeitpunkt in ihrem Leben mit einer Programmiersprache ins Bett gehen und dann wollen sie da auch nicht wieder weg. Es gibt relativ wenig Anreiz, dann noch zu wechseln. Der ewige Java-Programmierer und das haben wir schon immer so in C gemacht und jetzt nochmal eine andere Programmiersprache lernen, das ist ja alles so anstrengend, so ein bisschen wie mit ich lerne eine neue richtige Sprache, kann doch schon Englisch, warum muss ich jetzt noch Französisch lernen. Und es hat sich aber sehr viel getan im Bereich der Programmiersprachen Welt, es gibt modernere Konzepte und mit C ist es halt so, naja, das ist halt, wenn man es mal ernst nimmt, ist es irgendwie, es ist in den 70er Jahren so richtig entwickelt worden, aber, eigentlich ist es auch so 50er Jahre Technologie, da ist nicht so richtig viel dazugekommen und damit wird dann halt immer noch was gebaut und alle großen Betriebssysteme sind damit gebaut, das ist wirklich ein Problem. Und das muss einfach mal vorangehen.

Da muss jetzt mal einfach einer sagen, Claude übersetzt das mal bitte kurz in Rust. Oder Go, ist ja egal.

Oder eine richtige Programmiersprache, wie Elixir.

Da würde ich Claude nochmal fragen, ob das im OTT ist.

Kannst du mal machen. Das ist die Sprache, die Claude am besten kann.

Dann haben wir die Forderung. Was schon ein bisschen absurd ist, ist, dass Verteidigung immer so, das musst du extra kaufen, das Wissen wird nicht so geteilt. Wäre eigentlich schon sinnvoll, weil der eine Vorsprung, den die Verteidigung hat, ist die Kenntnis, der Wissensvorsprung, gegenüber dem Angreifer über die eigene Infrastruktur, das interne Netz, wo man hin will oder sonst was. Das heißt, da gibt es eigentlich relativ viel Wissen. Wenn man das klüger teilen würde, könnte man da mehr draus machen. Ja. Wenn wir das tun, dann kann durch AI, und das wäre schon meine These langfristig, Verteidigung den Vorsprung haben. Threat Intelligence, Teilen, zur Anwendung bringen. Anomalien feststellen kannst du vor allem, wenn du weißt, was normal ist, und das weißt du von deiner eigenen Infrastruktur und deinem eigenen Netz, schneller reagieren zu können, ohne menschliche Fehler oder menschliche Analysen. Da gibt es viele Möglichkeiten, mit AI zu arbeiten. Das müsste man sich halt überlegen, wie man das auch regulatorisch abdecken möchte. oder wann der Moment ist, so etwas zu erlauben. Und naja, dann gibt es noch so ein bisschen, fragt mal lieber die Hacker in eurer Politik, was jetzt sinnvoll ist. Das sage ich auch schon länger als Sprecher des CCC. Zero Trust Prinzipien zur Anwendung bringen. Also Zero Trust ein Paradigma, wo du im Prinzip an keiner Stelle implizit vertraust, sondern alles immer durchverifizierst, ob dieser Schritt, den du gerade machen darfst, der Zugang, den du gerade gewährst, wirklich legitimiert ist. Und dass nicht irgendwie dieses Vertrauen transitiv ist, somit auch, der ist ja hier im Internet, dann darf der ja wohl alles verschlüsseln. Also sehr auch wirklich, ich versuche diese Konzepte so zu erklären, dass sie hier für viele tausend Leute verständlich sind. Die Idee zu sagen, naja, okay, was an Angriffen passiert und welche technischen Schwachstellen oder Fixes notwendig sind, das ist halt nicht ein individuelles Problem, sondern eben auch ein Ökosystem oder ein Staaten- oder ein geopolitisches Problem. Ja. Für das du potenziell eben auch geopolitische Lösungen brauchst. Ich würde das mal so ein bisschen damit übersetzen, dass, also wie Angreifer angreifen, was sie für Motivationen haben, was sie verfolgen und wie sie zu ihrem Ziel geraten. Das ist ein relativ kleiner Ausschnitt von dem, was theoretisch alles möglich wäre. Das heißt, da, wo sich die Motivation, Angriffe zu machen, mit ausreichend verbreiteten Möglichkeiten dafür trifft, da entsteht so etwas wie eine Ransomware-Gang, die das über ein Jahrzehnt problemlos macht, weil sich keiner bewegt und das Problem irgendwie mal an der Wurzel überhaupt versucht anzugehen. Sondern Unternehmen gehen hin und sagen, achso, du willst ein Backup, was man nicht löschen kann, hier ist mein Angebot. Was auch in Ordnung ist, gibt ja auch eine Nachfrage danach, aber sie lösen halt nicht das Problem, sondern sie profitieren von dem Problem. Und dann natürlich werft man ein bisschen mehr Geld in, die Verteidigung, statt wie wir dann immer wieder von Staaten hören, zu sagen, in den Angriff zu investieren. Wer im Glashaus hackt, sollte das nicht in C machen. Wer im Glashaus hackt, sollte nicht in C coden. Das wäre jetzt so mein Fazit. Ja. Ich hoffe, dass wir das Thema breitenkompatibel ein bisschen näher gebracht haben. Und ich muss schon sagen, dass ich diese Art der Forschung, Aufbereitung, Umgang mit den Ergebnissen, von Anthropic schon immer wieder... Ja, wirklich, ja, also auf eine Weise sehr beeindruckend finde. Für diejenigen, die uns regelmäßig hören, ist es nicht lange her, dass wir uns über diesen, C-more-Cash und das ist das Ding, dass sie dann irgendwie, ihre Modelle dann den Snack-Automaten haben betreiben lassen und dann aber auch darüber reden und sagen so, hör mal, hat komplette Scheiße gemacht, hat Playstation gekauft und und philosophiert wie so ein Teenager. Also das ist schon ganz, aber es zeugt eben von einer wirklich forscherischen Auseinandersetzung mit dieser Technologie und eben einem. Natürlich profitieren die auch davon, dass jetzt die ganze Welt sagt, oh mein Gott, Claude kann alles hacken. Und dass diese Releases jetzt eben nicht in der Tiefe besprochen werden und gesagt wird, naja, es hat jetzt nicht Blackbox eine Infrastruktur gehackt, es hat halt in der Code-Basis in so und so wie tausende Anläufen Dinge gefunden, die nie jemand zuvor gefunden hat. Und das ist enorm beeindruckend, aber es gehört eben auch dazu, dass man versteht, dass es eine spezifische Art von Problem ist, die auf eine sehr spezifische Art und Weise gefunden wurde und trotzdem wurde noch erstaunlich viel Geld draufgeworfen. Nochmal, auch das hilft uns nur ein halbes Jahr, aber immerhin. So, das halbe Jahr haben wir noch. So, und bis dahin starte ich jetzt hier ein neues Projekt in C und das ist Vibe-Coding.

Das könnte ja sogar noch funktionieren, aber wenn du es von Hand machst, dann ist es bestimmt dem Untergang geweiht.

Footgun.c Ja, nenne ich das.

Sehr schön. Mach ein Betriebssystem draus oder ein Webbrowser.

Alles schlechte Ideen gewesen.

So, jetzt gibt es keine weiteren schlechten Ideen mehr, sondern Sendung ist jetzt vorbei. Sag ich jetzt mal so. Beim Jugendlichen leicht sind.

Ja.

Siehst du auch so? Ja, war schade. War schön, solange es lief. War super. Und jetzt ist so, jetzt ist das Ende. Und dann, genau. Jetzt nicht mehr so lustig. Dann können wir das auch beenden. Leute, vielen Dank fürs Zuhören. Wir hören uns nächste Woche wieder. Okay, bis bald.

Ciao, ciao.