Feedback — AI Coding Backdoors — Koalitionsvertrag — CISA und MITRE vs. Trump
Heute mal ein kürzeres Update. Wir tauchen durchs Feedback und geben Updates zur elektronischen Patientenakte. Dann blicken wir auf neue pfiffige Tricks, wie man dem neuen Programmiertrend Vibe Coding Steine vor die Füße werfen kann. Dann gehen wir auf ein paar Punkte des Koalitionsvertrag ein, dessen netzpolitische Aspekte Linus gestern schon in der Parlamentsrevue diskutiert hat. In den USA macht Trump alles nieder, neueste Opfer sind die Sicherheitsbehörde CISA und die MITRE-Company, die u.a. für die Sicherheitslückendatenbank CVE zuständig ist.
Linus Neumann
Tim Pritlove
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Tim Pritlove 0:00:00
Guten Morgen Linus.
Linus Neumann 0:00:01
Guten Morgen Tim.
Tim Pritlove 0:00:03
Du, wusstest du, es gibt 2,8 Millionen Menschen in Deutschland,die noch nie das Internet genutzt haben?
Linus Neumann 0:00:09
Neid.
Tim Pritlove 0:00:32
Logbuch Netzpolitik Nummer 520 vom 17. April 2025.Euer Offline-Magazin für Leute, die noch nicht beschwert durch die Welt laufen,die die ganze Zeit nur das Elend im Netz verfolgen müssen.Es wäre doch vielleicht mal eine Variante, den Podcast auch offline herauszugeben.
Linus Neumann 0:00:56
Ja.
Tim Pritlove 0:00:56
Auf CD oder auf Kassette.
Linus Neumann 0:00:58
MC, MC. Ich glaube, eine CD hat ja nur 74 Minuten, das wird ein bisschen knapp.
Tim Pritlove 0:01:03
Das stimmt, aber eine MC hat auch nur 90. 120 gab es noch. Kriegen wir das drin?
Linus Neumann 0:01:10
Aber in der Mitte einmal umdrehen.
Tim Pritlove 0:01:12
In der Mitte einmal umdrehen, auf jeden Fall. Aber das Gute ist,wenn es dir nicht gefällt, kannst du einfach einen anderen Podcast drauf aufnehmen.
Linus Neumann 0:01:18
Wenn es dir nicht gefällt, kannst du vorspulen.
Tim Pritlove 0:01:20
Aber wenn es dir gefällt, kannst du auch kopieren. Hast du das früher auch gemachtnoch? Fällt Kassette noch in deinen Lebens...
Linus Neumann 0:01:27
Ja. Benjamin Blümchenkassetten.
Tim Pritlove 0:01:30
Oh.
Linus Neumann 0:01:32
Drei Fragezeichen. Komplette. Oder wir machen LPs.Das ist ja höchst nervig.Ich habe ja Schallplatten und Schallplattenspieler und alles.Aber wenn du jetzt irgendwie so Pink Floyd the Wall einfach mal durchhören auf dem Sofa.Das ist so richtig Sport. Weil ihr alle paar Minuten umdrehen,nächste Scheibe und so weiter.
Tim Pritlove 0:01:59
Fragt man sich, wie die Leute.
Linus Neumann 0:02:01
So zur Ruhe kommen konnten.
Tim Pritlove 0:02:04
Dafür sind sie nicht so verfettet gewesen heute sitzt du einfach da mit deinenAirpods und nimmst die ganze Zeit zu so ist es, 2,8 Millionen in Deutschland schlanke Menschen.
Linus Neumann 0:02:18
Die beschäftigen die klettern noch auf Bäume, Tim die spielen mit dem Ball ja.
Tim Pritlove 0:02:25
Absurd.Ja, also mal gucken. Wie erreichen wir die denn dann?Müssen wir dann die CDs mit dem Flugzeug irgendwo abwerfen?
Linus Neumann 0:02:39
Tja.
Tim Pritlove 0:02:41
Ihr könnt ja Vorschläge machen in den Kommentaren.
Linus Neumann 0:02:44
Ich wäre auf jeden Fall interessiert, wie das Statistische Bundesamt diese Zahl ermittelt hat.
Tim Pritlove 0:02:50
4% der Menschen in Deutschland zwischen 16 und 74 waren noch nie online.Das teilt das Statistische Bundesamt mit. Im EU-Vergleich zeigen sich deutlicheUnterschiede. Oh no shit Sherlock.
Linus Neumann 0:03:04
Ja, wenn du denen halt kein Internet trinkst, sollen die ihr Dorf verlassen.
Tim Pritlove 0:03:10
Glaubst du diese Zahl?
Linus Neumann 0:03:12
Nein, ich glaube die ist, also ich bin mir sicher, dass es eine Anzahl Menschen gibt,die wird sicherlich in Richtung einer höheren Altersgruppe durchaus.
Tim Pritlove 0:03:28
Ja, also die 65 bis 74 Jährigen, da sei es angeblich ein Achtel, also 12 Prozent.
Linus Neumann 0:03:36
Das halte ich für zu hoch, aber auch nicht völlig unglaubwürdig.Da hast du es vielleicht noch gerade geschafft, irgendwie beruflich an der Sache vorbeizukommen.Natürlich in noch höheren Alters, aber gar nicht. Also 12 Prozent halte ich.
Tim Pritlove 0:03:59
Gut, aber das bedeutet ja auch, die Leute haben keine Smartphones.
Linus Neumann 0:04:04
Ja, oder ein Smartphone ohne Daten. Die Digitalisierung, die ich dann feststelle,sag ich mal, in dieser Altersklasse 65 plus,die werden dann, da fällt dann, die Spätdigitalisierung findet dann statt,weil sie in die WhatsApp-Gruppe mit den Fotos von den Enkelkindern wollen.Das ist dann so der letzte, da packt sie dann, Der evolutionäre Trieb,die eigenen Gene beim lustig Aussehen zu beobachten, das ist quasi der letzteHebel der Spätdigitalisierung.Jetzt müsste man gucken, wie viele keine Enkelkinder haben.Ich denke ein einstelliger Prozentsatz, auf jeden Fall zweistellig finde ich üppig.Aber ja, sie leben in Frieden und das ist genauso, weißt du Tim,ich würde die behandeln wie alle anderen glücklichen, komplett isolierten Völker,die es noch auf diesem Planeten gibt. Lass sie.Die sind zufrieden mit ihren Steinen und Pfeil und Bogen auf ihrer Insel.Die haben da irgendwie, sind self-sustaining.Warum sollen wir denen unsere Krankheiten bringen?
Tim Pritlove 0:05:23
Aber immerhin, Deutschland ist nicht auf dem letzten Platz. Also Niederlandeund Schweden sind mit weniger als 1% ganz vorne, aber Kroatien bringt es angeblichauf 14%, Griechenland auf 11%.
Linus Neumann 0:05:36
Sagt das Statistische Bundesamt oder was?
Tim Pritlove 0:05:43
Statistikamt Eurostat.
Linus Neumann 0:05:45
Mal gucken.
Tim Pritlove 0:05:46
Aber das kann man ja auch verstehen, weil Kroatien und Griechenland ist ja auch warm und schön.
Linus Neumann 0:05:50
Die sind halt am Strand. Das ist ja auch völlig okay.
Tim Pritlove 0:05:54
Da muss man sich jetzt nicht mit dem Internet rumschlagen. Aber was ich sehrbemerkenswert finde, ist, dass dieser Artikel, den wir jetzt zitieren,auf Spiegel Netzwelt ist der erschienen.Ich habe gerade mal nach dem Wort Surf gesucht und es nicht gefunden.
Linus Neumann 0:06:06
Die surfen nicht?
Tim Pritlove 0:06:07
Das mit dem Surfen scheint jetzt durch zu sein. Das hat ja auch nun lang genug gedauert.Ist auch nicht komplett tot.
Linus Neumann 0:06:16
Surfen heißt ja jetzt einfach nur Doomscrolling. Das ist ja eigentlich Genau.
Tim Pritlove 0:06:21
Früher hat man noch geserft, heute wird nur noch gedoomscrollt.Tja. Was habt ihr jetzt davon? Oh Mann, ey.
Linus Neumann 0:06:32
Okay, dann fangen wir mal an hier zu doomscrollen. Wir haben Feedback bekommen.
Tim Pritlove 0:06:37
Wir haben ganz viel tolles Feedback bekommen. Vielen Dank dafür.Es geht los mit PC. Ja, erinnerst du dich vielleicht noch? Ich wollte ja soeinen Houtie-PC kaufen. Stellt sich raus.War gar nicht Personalkomputer damit gemeint.Sowohl Steffen als auch Jadeaffenjäger weisen uns darauf hin,dass das PC in Houthi PC Small Group steht für Principles Committee.Das sei ein fester Begriff der nationalen Sicherheit der USA und bezeichneteine Gruppe aus Kabinettsmitgliedern und hochrangigen Mitarbeiterinnen des Hauses,die halt in solchen Sicherheitsmomenten, sicherheitsrelevanten Momenten zusammenkommen.Da ist also Außenministerium und Treasury und Verteidigungsministerium und imPrinzip so Energie, Homeland Security, White House Stuff.Also die kommen da irgendwie alle zusammen und das machen die aber jetzt aufSingle, weil es ist ja einfacher als komplizierter Kram.Und was die Hermeneutik des Verdachts betrifft.Ja, oder die Hermeneutik des Misstrauens, wie sie ja von Herrn Amthor ins Spiel gebracht wurde.Dazu ein interessanter Hinweis von Siege Siege zur Hermeneutik des Misstrauens.Möglicherweise hat er das von Patrick Denen übernommen, postliberaler Ziehvater von J.D.Vance. Dazu ein sehr interessanter Artikel, verlinken wir dann auch nochmal in den Kommentaren,der sich mit dieser ganzen Thematik dieser neuen Ideologien,Postliberalismus in dem Fall ist der Begriff, der hier gecoint wird,auseinandersetzt. Sehr interessant, das zu lesen.Kann ich jetzt unmöglich gerade zusammenfassen und will jetzt mal nicht dieAI heranziehen, um das zu tun.Nur ein Zitat aus dem Text. Bei der Lektüre postliberaler Texte erschließt sichdie Selbstbezeichnung freilich rasch als Marketing-Gag.Die Postliberals richten sich fundamental gegen die Grundpfeiler des Liberalismusals politisches und normatives Projekt gegen die regulativen Ideen von Gleichfreiheitund historischem Fortschritt gegen Republik- und Gewaltenteilung.Genau, das ist so der ideologische Sumpf, in dem das so stattfindet.Nicht unbedingt ein Ort, wo manseine Begrifflichkeiten in der Debatte herausziehen sollte. Herr Amthor.Dann habe ich ja zugegeben, dass ich mich mit Propaganda und dessen etymologischerHerkunft ein wenig vertan habe.EDD 255 meint noch, vielleicht hat Tim das Wort Propaganda mit Pogrom verwechselt.Letzteres kommt tatsächlich aus dem Russischen und heißt so viel wie Zerstörungoder Verwüstung. Und das ist eine interessante Vermutung, das kann durchaussein, dass das so in meinem Kopf herum flog.So, was hast du von Thorsten rausgesucht, Linus?
Linus Neumann 0:09:39
Thorsten vom E-Government-Podcast hat getriggert.Zum Thema Altersverifikation könnte ich schon wieder ausrasten.Kann ich auch, Thorsten, als Recht.Dieses Problem ist schon seit gut 14 Jahren in Deutschland gelöst.Die EID des Deutschen Personalausweises hat seit Beginn die Funktion,dass eine Anwendung den Ausweis fragen kann, ob eine Person älter ist als 18oder 16 Jahre. Die Antwort ist immer nur Boolean, also ja, nein, sonst nichts.Auch die EIDAS 2.0, also die European Identity and Authorization Services Directive wahrscheinlich, ne?
Tim Pritlove 0:10:20
Authorization and Trust.
Linus Neumann 0:10:21
Authorization.
Tim Pritlove 0:10:23
Aber der Trust ist nicht so wichtig, dass er es in die Abkürzung geschaut hat.
Linus Neumann 0:10:27
Trust ist,so wie 2.0. EIDAS 2.0 hat es auch. Also 2.0 and Trust.Beinhaltet Regelungen, dassdie zukünftigen europäischen ID-Wallets diese Funktion anbieten müssen.Was macht die Telekom schon wieder?Brauchen wir aus Steuergeldern finanziert immer zehnmal die gleichen Lösungen?Wann nutzen wir endlich vorhandene und schon bezahlte Funktionen?Müssen wir die erst von allen großen Unternehmen in Deutschland einzeln entwickelnlassen? Ja, es ist richtig.Es wird in weiteren Kommentaren aber schon auch angemerkt.Also nur um das Problem nochmal zu benennen, die wenigsten Leute wollen vordem Betrachten eines Katzenvideos im Internet ihren Personalausweis zeigen,auch wenn technisch gesagt wird, wir gucken nur mal, wie alt du bist, lass mal gucken.
Tim Pritlove 0:11:19
Gar nicht bei Schaukelvideos.
Linus Neumann 0:11:21
Genau, Schaukelbideos erst recht nicht. Oder wenn da mehrere Katzen drin sind.Das ist alles schwierig. und.So und und so,Und nur eine Lösung kann eben auch nicht sein, dass man da einen dritten Servicemacht, der einmal deinen kompletten Ausweis nimmt und dann anderen gegenübereinzeln die Verifikationen nachführt und speichert, speichern kann.Und jedes Mal involviert ist, wenn du nachweisen musst, das ist also alles irgendwiewirklich eine schlechte Idee.Doch grundsätzlich hat Thorsten recht, die Funktionalität hat man jetzt erstmalgrundsätzlich und das wäre nicht so schlecht, die zumindest mal zu verwenden.Dann gab es noch Feedback zur Bezeichnung in seiner jetzigen Form.Da kommentiert der Mann mit Hut, weil es war ja so, dass Philipp Amthor,lass uns gar nicht, also er sagte, es wäre ein Unterschied,dass das Informationsfreiheitsgesetz abgeschafft wird oder in seiner jetzigenForm abgeschafft wird und meinte, das wäre ein großer Unterschied und hat sichda irgendwie aufgespult, Herr Lanz und so weiter, dazu kommentiert der Mann mit Hut.Unser guter Philipp irrt, wenn er sagt, dass die Abschaffung des Informationsfreiheitsgesetzesund die Abschaffung des Informationsfreiheitsgesetzes in seiner heutigen,jetzigen, bisherigen Form ein wichtiger Unterschied sei.Tatsächlich handelt es sich dabei um eine Tautologie. In welcher Form will eres denn sonst abschaffen? Total richtig.Und dann haben wir einen längeren Kommentar von STK zum Digitalministerium.Den darfst du vorlesen, Tim, um deinen Redeanteil hier ein bisschen zu erhöhen.
Tim Pritlove 0:13:09
Ja, das Digitalministerium, STK, teilt uns mit.Die Sache mit dem Digitalministerium hat sich seit Ausstrahlung ja nochmal gedreht.Also wir hatten ja zuletzt, also erst berichtet, das soll kommen,nach meiner letzten Sendung festgestellt, kommt doch nicht, weil so war dieMeldungslage und jetzt dreht sich das wieder um, jetzt kommt es doch.Genau, die Sache mit dem Digitalministerium hat sich seit Ausstrahlung ja nochmal gedreht.Da es ja nun doch kommt, habe ich noch eine Ergänzung zu eurer Feedbackergänzung.Beruflich habe ich viel mit Leuten zu tun, diemit der real existierenden Verwaltungsdigitalisierung konfrontiert sind.Also nicht die PowerPoint-Ebene, wo man sich Dinge wie die Registermodernisierungausdenkt, sondern auf der ausführenden Ebene, wo dann Gesetz auf Praxis trifftund wie sich das entwickelt.Nicht vereinbaren lässt. Die Begeisterung für ein eigenes Digitalministeriumwar da eher verhalten, denn da spielen nicht nur BMI, BMDV.BMWK und BMJ mit, die Abkürzung müsste natürlich jetzt auswendig runterbitten,sondern es gibt ja neben dem Bund auch noch die 16 Länder und knapp 11.000 Kommunen,wobei der Bund verfassungsrechtlich quasi gar nicht wissen darf,dass es die Kommunen gibt, weil die gehören als kommunale Selbstverwaltung zu den Ländern.Jetzt sagt ihr natürlich spontan, was haben denn die Kommunen mit einem Digitalministeriumzu tun? Wir reden doch vom Bund, was interessieren denn die Kommunen?In der Antwort liegt sehr viel von den alltäglichen Digitalisierungsproblemen begraben.Wenn jemand Wohngeld beantragt, einen Personalausweis verlängert,eine Personenstandsänderung vornehmen lässt oder zur Bundestagswahl geht,wird das in der Praxis alles vom Rathaus der örtlich zuständigen Kommune umgesetzt.Das Wohngeldgesetz ist das glaube ich, Meldegesetz, PSTG, keine Ahnung,Bundeswahlgesetz sind aber allesamt Bundesgesetze, deren Umsetzung durch dieKommunen als Weisungsaufgaben bzw.Aufgaben des übertragenen Wirkungskreises vollzogen wird.Daraus folgt in der Praxis, dass für die Abstimmung von Digitalisierungsvorhabeneine ganze Reihe weiterer Three-Letter-Konferenzen ins Spiel kommt.Die IMK, Innenministerkonferenz, CDS-Konferenz, die Chefinnen und Chefs derSenats- und Staatskanzleien.Manchmal mischt die MPK, also die Ministerpräsidentinnenkonferenz, noch mit.Theoretisch gibt es neuerdings auch die DMK, Digitalministerinnenkonferenz.Da streiten sich aber die Geister, wie weit die praktisch bei Digitalisierungüberhaupt mitspielen sollte oder darf.Eine Freundin von mir sagt immer schön, Geschäftsordnung schlägt alles.Wenn sich jetzt ein neues Ministerium bildet und reihenweise Leute umgetopftwerden, müssen die erst einmal die Evolution von, hoppla, wir sind da,bis zu einem funktionsfähigen Ministerium machen.Dann sind gegebenenfalls bestehende Kontakte in die Konferenzen erst einmalgebrochen und müssen wieder neu aufgebaut werden.Und das Verfahrensrecht wirdderweil vermutlich weiterhin im BMI gemacht werden und daran hängt viel.Zynische Stimmen sagen, dass das neue Ministerium sich voraussichtlich ersteinmal so zwei bis drei Jahre booten müssen wird.Im mittelschlimmen Fall passiert bis dahin eher wenig.Im schlimmsten Fall wird die Phase genutzt, um irgendwelchen Quatsch zu machen.Und im besten Fall kann anderer Quatsch wegen der Handlungsbeschränkungen inder Zeit dann eben nicht stattfinden.Ich bin sehr gespannt, welche Prognosen in welcher Form eintreffen werden.Ja, also das beschreibt natürlich das Gesamtproblem sehr gut.Es ist auf der einen Seite natürlich ein Zustandsproblem insofern,als dass wir jetzt natürlich erstmal anfangen müssen.Und klar, jedes Ministerium muss sich überhaupt erstmal etablieren und einrollen.Da habe ich jetzt auch nicht so viele Hoffnungen, dass das jetzt schnell geht.Aber wenn man halt nie anfängt, dann kommt halt auch nichts ins Rollen.Und auf der anderen Seite, und das stimmt natürlich auch, haben wir in der Bundesrepublikmit dem Föderalismus gesprochen,Ja, ich weiß nicht, wie ich das bewerten soll. Das hat ja auch seine guten Seiten,aber es hat halt definitiv, was so die schnelle Umsetzung radikaler Änderungenbetrifft, auch so seine Probleme.Das ist ja auch der Sinn der Sache gewesen. Man wollte eben so einen Blockermechanismusexplizit in das Staatsdesign einbauen nach dem Krieg durch den Föderalismus,damit eben eine Bundesregierung nicht mal eben alles komplett plattwalzen kann.Ja, wie gut sowas dann im Zweifelsfall funktioniert, das steht nochmal auf demanderen Blatt, das sehen wir ja gerade in den USA, wie schnell bestehende Gesetzeslageneinfach wegignoriert werden können.Und nichtsdestotrotz, solange wir uns halt hier noch auf den Grundmauern dieserGesetzgebung bewegen, ist es natürlich schwierig, hier was ins Rollen zu bringenund am Ende wird es glaube ich auch sehr viel vom Goodwill der Länder abhängen,inwiefern die sagen, okay, wir sind ja auch für eine Digitalisierung und wirmüssen das jetzt mal vereinheitlichen.Und Digitalisierung kann in dem Sinne eigentlich auch nur funktionieren,wenn man eben jetzt nicht in jeder Kommune alles komplett anders machen will.Die Bereitschaft muss da sein und diese Bereitschaft muss letzten Endes natürlichvon den Wählern und Wählerinnen eingeklagt werden, mittelfristig.Dass man einfach klar macht, Leute, es ist hin und her, geht so nicht weiter,wir müssen jetzt hier mal vorankommen, lass uns da mal Kompromisse schließen,die auch wirklich tragfähig sind.
Linus Neumann 0:18:46
Damit sind wir, glaube ich, mit dem Feedback durch.Die elektronische Patientenakte kommt.Also es wird ein bisschen verschoben, aber jetzt soll eine Hochlauffase folgen.Lauterbach ist mit der Testphase zufrieden gewesen und.Sicherheitsprobleme werden schließlich behoben und wirhaben die Sicherheitsprobleme ja hier ausführlich besprochen daskannst du nicht beheben das kannst du versuchen einzuschränken aber es ist halteinfach Quatsch du brauchst einen vernünftigen Nachweis dass die Karte präsentwar den kannst du nur kryptografisch erzeugen entsprechend kommentiert BiancaKastel auch gegenüber Netzpolitik.org.Die bisher angekündigten Updates sind grundsätzlich ungeeignet,um die aufgedeckten Mängel in der Sicherheitsarchitektur auszugleichen.Bei den versprochenen Updates handelt es sich lediglich um den Versuch der Schadensbegrenzungbei einem der vielen von uns demonstrierten Angriffe.Es ist wirklich zum Heulen. Und wenn du dir den aktuellen Koalitionsvertraganschaust, da wird die Gematik auch noch für dieses Vollversagen belohnt.Und das ist ja nicht das einzige Versagen der Gematik.Das ist wirklich katastrophal. Da müssten eigentlich mal so Organisationspsychologinnenund Organisationssoziologinnen mal untersuchen,was in dieser Gematik, in diesem ganzen Digitalisierung des Gesundheitssystems,was da falsch gelaufen ist.Leute nach, also es gibt da ja, er wird jetzt keine neuen bahnbrechenden Erkenntnissegeben, aber du hast so dieses typische throwing good money after bad,ja, und dann sitzen sie alle da und alle haben finanzielles Interesse,die Scheiße weiterzumachen und rollt dieses Ding und alle wissen,das rollt ins Nichts, aber keiner kann jetzt mehr sagen, stopp,vernünftig machen, ehrlich jetzt, aufhören, ja, das ist alles sehr beängstigendund im Koalitionsvertrag werden die Zuständigkeiten der Gematik jetzt irgendwieausgeweitet und soll besser werden.Also soll sich noch um mehr kümmern. Das Erfolgsmodell, das wird damit habenwir gute Erfahrungen gemacht.Können wir direkt noch weitermachen. Können wir überlegen, was wir als nächstes damit ruinieren.So, dann hat sich eine Diskussion entfaltet über,IT-Security-Risiken, die wirklich, jetzt sage ich mal, genuin von,LLMs.Neu beigebracht wurden. Und zwar die herbeihalluzinierten Code-Dependencies.Und das ist mir tatsächlich auch schon mal passiert, dass ich mir irgendwieso ein kleines Python-Skript von ChatGPT schreiben lassen wollte.Und es ging dann los mit Import XY.Irgendeine Dependency, also eine andere Software-Library, die es schon gibt,auf deren Funktionen in dem Code dann zugegriffen werden sollen.Das ist also eine Dependency. Beispielsweise, wenn du jetzt in Python einenHTTP-Request machen möchtest, dann wirst du nicht selber schreiben,okay, dann öffnen wir jetzt mal einen TCP-Socket,dann erstmal handeln wir hier HTTPS aus, dann öffnen wir mal den SSL-Tunnelaus und dann sagen wir mal irgendwie get slash und was wir zurückkriegen oderso, sondern du holst dir dann, du links quasi,was weiß ich, Requests heißt glaube ich das Paket, wo du sagst,okay, ich möchte einen HTTP-Request machen.Und dann schreibst du einfach nur hin, den folgenden HTTP-Request schicke ich jetzt da und da hin.Und das wird sehr häufig gemacht, oder wenn jetzt, was weiß ich,irgendwie für alle möglichen häufig genutzten Funktionalitäten,die nicht Teil der Basis Software, Python sind, nutzt du halt häufig Pakete.Und jetzt haben diese neuronalen Modelle die Angewohnheit, öfters mal so einPaket zu linken, was es einfach gar nicht gibt.Oder beziehungsweise noch nicht gab. Und hier wird jetzt quasi postuliert,naja, wenn du diese Libraries dann bereitstellst,In Python oder in JavaScript wurde das ja auch erforscht, dann kannst du natürlichda eine Backdoor bereitstellen und deine AI-hörigen Coder werden die bereitwillig linken.Ganz schöne Studie eigentlich.
Tim Pritlove 0:23:46
Ja, also das Ganze ist ja jetzt sozusagen dieses Feld, was man jetzt auf NeudeutschVibe Coding nennt, das heißt Programmieren mit AI.Das ist dann Unterstützung und das ist ja auch ein sehr mächtiges Werkzeug.Und aus meiner Erfahrung kann ich sagen, im professionellen Programmiererumfelderhält das eine sehr hohe Adoptionsrate.Also die Pros nutzen das, weil es halt einfach eine ganze Menge von Schritten beschleunigt,wo es eigentlich im Wesentlichen immer so repetitive Tätigkeiten sind.Also was weiß ich, man spricht ja auch so von Boilerplating,wenn man also sozusagen immer wieder so ein Grundgerüst hinschreiben muss,was irgendwie immer das Gleiche ist, aber wenn das da halt nicht steht,macht das Programm das halt erstmal nicht.Sowas lässt sich halt sehr leicht mit diesen Systemen machen,so baue mir mal ein Grundgerüst für und so.Und das kann man aber natürlich beliebig weit treiben, bis hin eben zu diesemLevel von Vibe-Coding, wo man eben hingeht und sagt, okay, jetzt schreib mir mal das ganze Programm.Und natürlich hast du jetzt so dieses Problem, dass wir so einen Übergang haben von Leuten,die dann quasi sich mehr programmieren lassen, als sie selber vielleicht verstehenund die dann eben nicht mehr die Gabe haben, diesen erzeugten Code auch wirklich zu verifizieren.Oder Leute sind einfach nur faul und obwohl sie das könnten,tun sie es nicht wirklich.Die LLMs auf der anderen Seite, das kennen wir ja nun schon,wissen halt auch nicht alles.Die arbeiten nicht aus einer Datenbank heraus, sondern die arbeiten halt ausso einem Training-Modell heraus und dieses Training-Modell ist ja im Prinzipso eine Art komprimiertes Internet.Das Wissen ist halt einfach zusammengestaucht und man inferiert eben diesesWissen aus diesen Daten heraus, eben durch diese Machine-Learning-Technologienund während eben oft was Richtiges dabei rauskommt,geht es halt manchmal einfach in die falsche Richtung.Und das, was du eben angesprochen hast mit diesen Bibliotheken, ist ja normal.Also man nimmt halt für alles immer so Bibliotheken. Wenn ich ein MP3-File inseinen Bestandteilen mit Text und Kapitelmarken auslesen möchte,dann fange ich jetzt meistens nicht an,einen komplett eigenen Parser dafür zu schreiben, sondern ich nehme halt irgendeinefertige MP3-Bibliothek, die das schon mal gelöst hat und benutze eben derenexponierte Funktionen dafür. Das ist ein vollkommen normaler Vorgang.Wenn man aber jetzt das vielleicht in irgendeiner seltenen Programmiersprachemacht oder eben jetzt vielleicht einen Fall anspricht, der eben nicht ganz sogängig ist wie MP3-Lesen, naja, dann….Und geraten diese Assistants, diese LLMs dann schnell mal in die falsche Spurund nehmen irgendwie an, dass das, was hier für die eine Sprache gilt,auch für die andere Sprache gilt und dass diese Bibliothek einfach existiert,weil sie nicht wirklich in einem Regal nachschaut, gibt es die wirklich und dann berichte ich das,sondern das steckt halt einfach alles in diesen komprimierten Daten mit drin.Naja und diese Slop Squatter nutzen eben das jetzt aus, indem sie dann einfachdiese herbeihalluzinierten Libraries, auf die versucht wird zuzugreifen,dann einfach bereitstellen und das mit MyWare Code zu machen.Es gibt auch noch andere Angriffsvektoren, die sich jetzt abbilden.Es gibt auch noch so diese Angriffe auf Rules Files.Das ist halt in dieser Vibe-Coding-Programmierung kann man quasi vorher schonmal so Text-Files anlegen, wo man dem System sagt so, wie möchte ich jetzt hiervorgehen, wofür ist dieses Projekt, welche Vorgehensweise ist hier empfohlen etc.Und auch da gibt es halt mittlerweile Versuche, Angriffe zu machen mit,was weiß ich, versteckten Unicode-Charakteren in Text-Files,die aus irgendwelchen Files im Internet heraus kopiert werden.Ich glaube, das Problem ist nicht wirklich groß.Es zeigt nur wieder, alles kann angegriffen werden.Viel davon kann auch mitigiert werden. So versteckte Unico-Zeichen und so weiter.Da werden einfach die Systeme angepasst werden, dass sie sowas dann auch ignorieren bzw.Detektieren können.Und von daher erwarte ich da jetzt kein großes Problem, aber wie bei allem mussman immer drauf schauen und sagen, okay,alles was irgendwie super funktioniert, kann auch kaputt gemacht werden undwird im Zweifelsfall auch kaputt gemacht werden, wenn man damit irgendwie Geld.Verdienen kann und das geht ja leider im Internet viel zu leicht.
Linus Neumann 0:28:18
Ja, es wird lustig.
Tim Pritlove 0:28:21
So, und du warst in einem anderen Fremdpodcast, warst du Fremdpodcasten.Kannst du mal berichten?
Linus Neumann 0:28:28
Ja, ich war bei der Parlamentsrevue. Wir haben uns eine kleine Lesung des Koalitionsvertrags,größtenteils unvorbereitet, alsovon mir unvorbereitet. Sabrina hat das natürlich sehr gut vorbereitet.Gleichzeitig muss ich auch echtsagen, dass ich verstehe, warum ich solche Koalitionsverträge selten lese.
Tim Pritlove 0:28:53
Wer noch nicht die Parlamentsrevue kennt, sollte das schleunigst mal ändern, diesen Zustand.Sabrina war ja hier auch schon mal zu Gast.Logbuch Netzpolitik 489 mit dem treffenden Titel Das Kabinett ist nicht maschinenlesbar.Was Sabrina ja durch ihre eigenen Tools quasi versucht zu beheben.Und nicht nur diesen Podcast bereitstellt, sondern auch den Bundestagszusammenfasser.Und worüber habt ihr euch denn unterhalten?
Linus Neumann 0:29:24
Also sie macht jetzt eine längere Serie über alle möglichen Teile des Koalitionsvertrages,was das denn bedeutet und hat alles, was irgendwie Digital-KI-Überwachung ist,so ein bisschen mit mir besprochen.Und wie gesagt, ich habe mich jetzt nicht enorm darauf vorbereitet,inhaltlich war aber in meiner Wahrnehmung auch nicht unbedingt notwendig,weil so Koalitionsverträge ja wirklich sehr...Also sehr, ja wie soll man das sagen, also sehr high level sind,um das mal so zu bezeichnen.Da finden sich dann sehr schöne Formulierungen und Zielsetzungen drin,aber eben noch keine wirklich konkreten.Also wenn, dann lässt es immer noch sehr viel Spielraum für die Interpretation,aber es sind eben allgemeine Zielsetzungen drin.Wie zum Beispiel, was wir ja in der letzten Sendung besprochen haben,dass das Informationsfreiheitsgesetz in seiner jetzigen Form wollen wir abschaffen.Der Satz wurde übrigens jetzt geändert in, und das ist auch ein wunderschönesBeispiel, das Informationsfreiheitsgesetz in der bisherigen Form wollen wirmit einem Mehrwert für Bürgerinnen und Bürger und Verwaltung reformieren.Also dann siehst du schon die haben halt irgendwie hundert noch was Seiten sowasgeschrieben, das ist schon schwer,da gibt es da gibt es halt natürlich alle politische Ziele, die dann alle diesePolitikerinnen und Politiker irgendwie so haben,und ihren Wählern versprochen haben müssen da drin sein ja,Das ist schon, also das ist teilweise wirklich, da kriegst du irgendwie Augenbluten,aber zum Beispiel auch sehr schön,ein interoperabler und europäisch anschlussfähiger, souveräner Deutschland-Stackintegriert KI, Cloud-Dienste sowie Basiskomponenten.Also ja, ich bin ja gespannt, ob das was wird, ja, also da bin ich ja sehr gespannt,also da steht sehr viel sehr viel Komisches drin, aber dann auch zum Beispiel so Sätze wie.Die Bundesbeauftragte für Datenschutz wird jetzt umbenannt in Bundesbeauftragtefür Datennutzung, Datenschutz und Informationsfreiheit Das ist ja schon,da kannst du dir schon vorstellen, welche Weichenstellungen sich wohl dahinter verbergen.Oder auch, was mir auch sehr gefallen hat, die Mobilfunkinfrastrukturgesellschaftwird mindestens so lange weitergeführt, bis die bewilligten Förderprojekte abgeschlossen sind.Also die Mobilfunk-Infrastruktur-Gesellschaft ist das Ding da von Jens Spahn,wo sie irgendwie am Ende bisher, glaube ich, zwei Masten oder sowas gebaut haben und 500 bauen wollten.Also nicht Jens Spahn, Andi Scheuer, der andere Vogel da. Aber,Andi Scheuer, Wahnsinn, das wollen die weitermachen, Erfolg, Erfolg.Dann wollen sie Oudi-Wallet überall einführen, ein bisschen DSA,DMA umsetzen, aber wie gesagt, das ist alles enorm, enorm wenig konkret,Bis es dann so in Richtung Befugnisse von Sicherheitsbehörden und Überwachung geht.Da werden sie auf einmal sehr konkret.Wir führen eine verhältnismäßige und europa- und verfassungsrechtskonforme dreimonatigeSpeicherungspflicht für IP-Adressenund Portnummern ein, um diese einem Anschlussinhaber zuordnen zu können.Das ist also Vorratsdatenspeicherung.Dann das ist wirklich das sind irre Sätze drin also erstmal die ganze Zeit soHigh-Level-Kram aber dann,so einleitend erstmal wir werden die Europa- und verfassungsrechtlichen Spielräumeausschöpfen also wir werden an die Grenze des verfassungsrechtlich zu überhaupt noch möglichen gehen.Wir wollen nicht irgendwie sagen, mal gucken, wie wir irgendwie so das hiersinnvoll gestalten, sondern nee, wir wollen an die Grenze des Verfassungsbruchs,also an die Grenze der Verfassungswidrigkeit.Genau dort werden wir uns positionieren.Das Spannungsverhältnis zwischen sicherheitspolitischen Erfordernissen und datenschutzrechtlichenVorgaben muss deshalb neu austariert werden.Ist ja auch lustig, datenschutzrechtliche Vorgaben, die sind ja nun mal da.Also eine datenschutzrechtliche Vorgabe ist etwas sehr Konkretes.Da steht, das darfst du, das darfst du nicht. Ein sicherheitspolitisches Erfordernisist etwas nicht Konkretes, weil du nämlich das Erfordernis ist sehr schwer belegbar.Also das Erfordernis einer Vorratsdatenspeicherung wird seit langem diskutiert,herbeifabuliert und ist nicht wirklich nachweisbar.Ja, also Sorry, bevor der Satz jetzt wieder falsch verstanden wird Also,wenn ich sage Was weiß ich Im Deliktbereich XY Habe ich so und so viele Taten nicht aufklären können,Und deswegen brauche ich jetzt eine Vorratsdatenspeicherung Dann fehlt Einfachinhaltlich Der Beleg, dass es denn mit Vorratsdatenspeicherung Eine Täteraufklärungmöglich gewesen wäre Der.
Tim Pritlove 0:35:46
Beleg oder zumindest eine glaubhafte Untersuchung.
Linus Neumann 0:35:51
Eine glaubhafte Untersuchung. Es gibt viele Alternativen dazu,aber ich denke, ich habe das Beispiel kurz gegeben.Ein sicherheitspolitisches Erfordernis,Und das Recht, eine datenschutzrechtliche Vorgabe, die muss jetzt neu austariertwerden mit einem sicherheitspolitischen Erfordernis.Das heißt einfach nur, wir werden Datenschutz aufweichen für irgendwelche Überwachungsfantasien,die an der Grenze der Verfassungswidrigkeit sind.Das ist an der Grenze der Verfassungswidrigkeit. Das ist das, was hier steht.Und dann, das verlangt auch Sensibilität bei den Sicherheitsbehörden.Genau die gibt es ja nicht.Die wirst du ja auch nicht. Genau deswegen setzt du denen ja Grenzen,weil du nicht davon ausgehen kannst, dass die Sensibilität haben.Ich meine, die haben irgendwelche Fascho-WhatsApp-Gruppen, verkloppen bei jederGelegenheit Demonstranten und haben irgendwie eine zweifelhafte Schulbildungin größten Teilen aus Sozialisation.Also das ist auch wie überall sonst. Und deswegen musst du Menschen Grenzen setzen.Und nicht sagen, ja, du, da brauchenwir Sensibilität. Da brauchen wir Sensibilität. Das geht eben nicht.Das geht auch in allen anderen Bereichen nicht.Deswegen setzt man Grenzen und Regeln. Und dann kommt mein Lieblingssatz im Koalitionsvertrag.Also Sicherheitsbehörden. Diese verdienen die Unterstützung und das Vertrauenvon Politik und Gesellschaft.Da hätte ich jetzt gerne mal so eine Fußnote, wo das festgestellt wurde.Also an welcher Stelle haben die Sicherheitsbehörden sich das grundsätzlichirgendwie verdient oder erarbeitet?Ja, wo ist das? War das letzte Woche?Also war das, könnten wir nochmal hier mit Idil Beida in dem Podcast hören unddie vielen Leute, die von Rechtsradikalen bedroht werden in Folge von Datenabfragen bei der Polizei.War das an der Stelle, wo die sich das verdient haben, das Vertrauen?
Tim Pritlove 0:38:03
Nee, als sie den Adenauer-Bus ordentlich kontrolliert haben.
Linus Neumann 0:38:08
Als sie den Adenauer-Bus die Scheibe eingeschlagen haben, da muss das gewesen sein.
Tim Pritlove 0:38:12
Da bin ich also richtig wieder eingerastet mit.
Linus Neumann 0:38:15
Da habe ich auch wieder gedacht, meine Güte, die können wirklich mein Vertrauen genießen.Und nochmal,die verdienen genau nicht das Vertrauen, die verdienen die Kontrolle.Und durch diese Kontrolle würden sie ein Vertrauen schaffen,was hier als Leitlinie herausgegeben wird, ist das exakte Gegenteil. Ja.Okay, dann, also genau, deswegen erstmal, die verdienen das Vertrauen,da gehen wir jetzt erstmal, das ist sicherheitspolitisch, das ist erforderlich,jetzt gibt es erstmal Vorratsdatenspeicherung,dann Quellen-TKÜ brauchen wir natürlich auch, also Staatstrojaner auf deinen,auf unseren Endgeräten zum Abhören unserer Kommunikation,das soll die Bundespolizei bekommen und außerdem sollen sie natürlich automatisierteDatenrecherche und Analyse und nachträglichen biometrischen Abgleich,also letztendlich biometrische Erfassung und Suche soll ihnen erstattet werden.Das ist auch natürlich auch so, wenn man an den Beispielfall denkt,so, ah, okay, hier Daniela Klette dingfest gemacht mit einer Abfrage in einerGesichtersuchdatenbank.Da würden ja wenige Leute sagen, dass die Tätigkeit dieser Abfrage in irgendeinerWeise limitiert sein soll.Also das ist intuitiv nicht unbedingt kritikwürdig.Unmittelbar. Das eigentliche Problem ist, dass es eine Gesichterdatenbank gibt oder geben darf,in der nämlich nicht nur Daniela Klette drin ist, sondern alle Bürgerinnen derBundesrepublik Deutschland und darüber hinaus,alle Nutzerinnen von Facebook und so weiter, sodass du dann demnächst in deröffentlichen Umgebung allein anhand deines Gesichtes vollständig identifizierbar bist.Also es geht nicht, es ist nicht, dass die so etwas nutzen dürfen.Es ist das Problem, dass so etwas ermöglicht wird, dass eine solche Datenbankvon uns allen angelegt wird.Es ist auch nicht das Problem, dassKriminelle, dass bei Straftaten die Anschlussinhaberin festgestellt wird.Es ist das Problem, dass das für alle erfasst wird. Ja,während Kriminelle mit Masken Straftaten begehen und Kriminelle unter Nutzungvon VPN-Diensten oder Tor-Netzwerken Straftaten begehen, während dann eine Vollüberwachungder Bevölkerung stattfindet.Es geht darum, dass eine Gesichterdatenbank von uns allen angelegt werden sollund eine Vorratsdatenspeicherung von uns allen stattfinden soll.Die automatisierten Kennzeichenlesesysteme dürfen jetzt aufzeichnen,das heißt, die dürfen speichern, dann wird also dauerhaft gespeichert,wann dann dein Auto da irgendwo wo lang gefahren ist oder dein Moped oder womitauch immer du an dem Kennzeichenlesesystem vorbeigefahren bist.Also das sind schon sehr, das ist schon sehr übel, was da passiert, ne ähm,Was haben wir noch? Register für psychisch Kranke, auch natürlich eine Bombenidee,eine zentrale Datenbank mit psychisch Kranken zu führen. Viel Spaß.Dann finden sich so schöne Sätze in dem Open Source übrigens.Wir wollen eine Kultur der Datennutzung und des Datenteilens,die Datenökonomie etabliert.Jetzt frage ich mich, also Open Source oder Open Data ist natürlich so ein bisschenein Gegenteil von Datenökonomie.Videoüberwachung soll natürlich ausgeweitet werden, sehr schön natürlich inKombination mit biometrischen Datenbanken, geheimdienstlicher Datenaustausch.Natürlich sollen auch die offensiven Cybermöglichkeiten der Sicherheitsbehördenausgebaut werden. Das heißt, die sollen hacken dürfen.Im Rahmen des verfassungsrechtlich Möglichen bauen wir unsere Fähigkeiten zuraktiven Cyberabwehr aus.Hier wird ja immer dieser Begriff des Hackbacks ventiliert, der den Eindruckvermittelt, es würde auf einen Hack mit einem Gegenhack reagiert.In Wirklichkeit geht es ja darum, dass sie überhaupt erstmal alles möglichehacken dürfen, wie sie es für richtig halten.Und diese Idee des Hackbacks ist natürlich auch, also es ist sowieso so bescheuert,ja, es wird ja schon hundertmal,als wenn du jetzt einen Hack durch einen Hackback bremsen würdest,ja, das ist ja einfach überhaupt nicht das, was passiert und selbst wenn mandann mal in die realistische Perspektive geht und sagt, naja,okay, du hackst Cyberakteure, ja.Was ja Dominik Kantorkel und ich auch schon gemacht haben und präsentiert haben,die haben doch danach nachher auch nicht aufgehört.Das ist ja nicht so, als würden Hacker sagen, oh scheiße, wir wurden gehackt,jetzt lass uns mal was anderes machen.Lass uns mal, das ist ein kompletter Quatsch, der am Ende sich auch wieder nurgegen die Bevölkerung richten wird.Ich habe gerade schon erzählt, Gematik GmbH wird zu einer modernen Agentur weiterentwickelt,um im Bereich der Digitalisierung Akteure besser zu vernetzen.Alle Anbieter von Software und IT-Lösungen im Bereich Gesundheit und Pflegemüssen bis 2027 einen verlustfreien, unkomplizierten digitalen Datenaustauschauf Basis einheitlicher, einheitlich definierter Standards sicherstellen.Also als Danke für die Konnektorennummer und für die vollständige Breitbandverkackung der EPA du.
Tim Pritlove 0:44:29
Hast du befördert.
Linus Neumann 0:44:30
Wir kriegen jetzt weiteren Zuständigkeitsbereich.
Tim Pritlove 0:44:35
Wie das in Unternehmen so ist. Und auch in der Bundesregierung.
Linus Neumann 0:44:40
Wie können wir die irgendwie wegloben?
Tim Pritlove 0:44:42
Du wirst da einfach nach oben befördert, solange bis du irgendwie nichts mehr ausrichten kannst.
Linus Neumann 0:44:48
Naja, also das ist das. Ich denke für digitale Freiheitsrechte,für Freiheitsrechte im öffentlichen Raum, für generell Freiheitsrechte wirddas wirklich eine Hardcore-Koalition.Das war zu erwarten mit jemandem wie Friedrich Merz,jemand der sagt, wir gehen an die Grenzen der Verfassungswidrigkeit,wird sich natürlich dann auch vor dem Bundesverfassungsgericht und dem EuropäischenGerichtshof wiederfinden.Wahrscheinlich habe ich jetzt wieder den Falschen genannt, das ist ja RunningGag bei uns, insofern spiele ich da jetzt drüber hinweg.Ja, das ist ungefähr so, wie man es erwarten konnte und natürlich übel.Vor allem, wenn man sich überlegt, dass in der nächsten Koalition potenzielldie SPD auf jeden Fall nicht mehr mitspielt und die CDU-Junior-Partner einer AfD ist,da wird die AfD sich freuen, die ganze Scheiße schlüsselfertig übergeben bekommen zu haben.So, dann gab es noch ein, also es gab ja wieder von Trump,bemerkenswerte Vorfälle unter anderem also dieses ganze Insider-Trading-Dingwill ich ja gar nicht haben wir glaube ich schon in der letzten Sendung,dass er eine halbe Stunde bevor er irgendwelche Zolllockerungen bekannt gibtauf truth.social postet, jetzt ist ein guter Moment zu kaufen weil er weiß,dass gerade der Tiefpunkt der Aktienkurse ist,das dann bekannt gibt und dann geht alles hoch. Also es ist,unfucking vorstellbar, was der Mann da tut.
Tim Pritlove 0:46:26
Ich weiß gar nicht, ob wir das betont haben. Es gab ja auch Berichte,dass tatsächlich so vorher entsprechende Daily-Optionen platziert wurden.Ich kann leider diese Finanzsprache nicht richtig sprechen. Also es gibt definitivBelege dafür, dass da in größerem Stil vorher schon Informationen durchgeflossensind, dass so eine Entscheidung kommt, wo dann,entsprechende Order platziert wurden, die dann eben keine Ahnung,2000% irgendwie nach oben geschossen sind.
Linus Neumann 0:46:55
Halbe Stunde vor der Verkündung ist der Trade hochgegangen, das Handelsvolumen.Das ist völlig offensichtlich.
Tim Pritlove 0:47:02
Ja, klar, man ist halt auch einfach eine mafiöse Konstruktion, die da jetzt am Werk ist.Das hat mit Regierung alles nichts zu tun und das ganze Chaos ist halt einfachwunderbar, um den Staat an allen stellen und das ganze System für Insider plünderbar zu machen.
Linus Neumann 0:47:22
In das gleiche Muster der mafiösen Strukturen fällt ein Presidential Memorandum, was am 9.April veröffentlicht wurde, unter dem Titel Addressing Risks from Chris Krebsand Government Censorship.So, der Chris Krebs war der, wie nennt man das denn, der Head,der Führer, nein, der Leitende, naja, der Head halt so, der CISA.Das ist die Cyber Security and Infrastructure Security Agency,sowas wie das BSI der USA.Und dem wird zur Last gelegt,dass es die Wahl gab, als Donald Trump abgewählt wurde und Trump gesagt hat,hier die Wahl wurde gehackt.Hat er dann gesagt, naja, hier, nee, ich kann nicht feststellen,dass es hier Beeinträchtigungen gab.Wird jetzt also zur Last gelegt,er hätte die Zensur von Wahlinformationen vorangetrieben und bekannte Risikenmit bestimmten Voting Practices verhindert,dass sie bekannt werden.Weit verbreitetes Wissen über Voting Machines verhindert.Und sich auch irgendwie in der Covid-19-Pandemie.Nicht im Sinne von Donald Trump unterhalten. Und deswegen wird ihm jetzt seineSecurity Clearance entzogen und allen Mitarbeitern des Unternehmens Sentinel One, wo er jetzt ist.Also er wird jetzt also der übt namentlich im Titel Rache an seinem IT-Security-Leiter. Und der Firma, für die er jetzt arbeitet.
Tim Pritlove 0:49:39
Ja, ist nicht die erste Attacke dieser Art. Sogar Biden wurde irgendwie nicht,Zugriff auf die Ex-Präsidenten zustehenden Sicherheits-Updates entzogen etc.
Linus Neumann 0:49:54
Das ist so. Biden war jetzt aber nie ein Freund von Donald Trump.Chris Krebs wurde von Donald Trump an die CISA gesetzt.Wenn ich das richtig erinnere. Ansonsten wird das in den Kommentaren korrigiert.So, dann gab es außerdem, auch das ist natürlich so, das wurde jetzt gestern dann diskutiert,dass die CISA, also das BSI der USA, die Förderung der Mietre einstellt unddadurch damit auch die Pflege der CVE-Datenbank.Was also auch eine irrsinnige Idee ist.
Tim Pritlove 0:50:41
Die Organisation muss erst mal erklären.
Linus Neumann 0:50:43
Also es gibt die, ich weiß gar nicht genau, wofür Mitre steht,das finde ich jetzt noch schnell raus. Die,Mitre Corporation heißt es einfach mal so, es geht ja auch jetzt eher um die CVE-Datenbank.Die CVE, also wenn die CVE, also CVE steht für Common Vulnerabilities and Exposures, also CVE.Übliche Schwachstellen und Exposures, ich weiß gar nicht, wie man das Deutschgut übersetzen würde, also im Prinzip Schwächen von IT-Systemen,wo du irgendwas exposest, was du nicht möchtest.Und die pflegen eine Datenbank, in der CVEs, also Nummern zugeordnet werden.Und du kannst also für eine Schwachstelle eine CVE-Nummer beantragen und dannwird diese Schwachstelle in einer zentralen Datenbank unter diesem Unique Identifier.Eindeutig identifizierbar.Aktuell sind wir so bei der CVE-Nummer 2025, also ich fange jedes Jahr neu an, Strich 43.700.Das ist ungefähr die Region, wo man aktuell ist.Also 43.700 bekannte Schwachstellen sind jetzt hier in dieser Datenbank.
Tim Pritlove 0:52:28
Also die in diesem Jahr dazugekommen sind?
Linus Neumann 0:52:30
In diesem Jahr, ja.
Tim Pritlove 0:52:31
Nur in diesem Jahr, muss ich auch mal klar machen.
Linus Neumann 0:52:34
Oder warte mal, ich meine schon, dass die einfach durchzählen.
Tim Pritlove 0:52:40
Aber die beginnen immer wieder bei 1.
Linus Neumann 0:52:44
Ich meine ja.
Tim Pritlove 0:52:45
Also,du bist der Security-Experte.
Linus Neumann 0:52:52
400 CVEs created,935 CVEs updated since yesterday. 4.800 CVEs in den letzten 30 Tagen.Dann kommt das doch ungefähr hin.Und diese CVEs sind außerdem immer mit einem CVSS-Score versehen,dem Common Vulnerability Scoring System,das quasi die Kritikalität einer Schwachstelle durchführt.Nach formalisierten Kriterien einstuft.Also ist das eine Schwachstelle, die unmittelbar ohne Nutzerinteraktion durcheinen einfachen Ping an das System sofort einen Kompromise ermöglicht.Also was ist das Ausmaß dieser Schwachstelle?Da gibt es natürlich Unterschiede. Einige sind in sehr hohen Regionen.Ich glaube, der Maximalwert von CVSS ist 10.Und andere sind halt weniger kritisch. Da stehen die so alle drin.Naja, dieses System wollte die CISA jetzt nicht mehr finanzieren.Das gab natürlich einen massiven Aufschrei, weil das im Prinzip die zentrale Datenbank ist.Wenn du jetzt irgendwie ein Softwareprodukt hast und möchtest wissen,gibt es darin Schwächen, dann ist die CVE-Datenbank die Common Source of Truth.Dieses Projekt einzustellen hat katastrophale Konsequenzen für alle.Entsprechend haben sich auch sofort NGOs gegründet, Foundations gegründet, um das weiterzuführen.Europa wollte das tun und dann klassisch, jetzt wurde er doch verlängert,der Vertrag zwischen CISA und Mitre für die Pflege dieser Datenbank und allesist wieder gut. Das ist ja, also,Tja.
Tim Pritlove 0:54:49
Wird alles erstmal abgeschossen. Und wer am lautesten schreit,hat vielleicht eine Chance zu überleben, wenn der richtige schreit.
Linus Neumann 0:54:59
So und Mitre,kommt auf jeden Fall, ist eine Non-Profit-Organisation Und das MIT in Mitresteht für Massachusetts Institute of Technology.Das ist nämlich eine Ausgründung oder Abspaltung vom MIT.
Tim Pritlove 0:55:26
Da ist ein bisschen unklar, was es genau bedeutet. Es ist keine offizielle Abkürzungfür irgendetwas, sondern heißt irgendwie einfach so und ist mal als MilitaryThink Tank gestaust worden.
Linus Neumann 0:55:40
Ja, schön. Also wenn das ist alles so,unglaublich. Unglaublich.
Tim Pritlove 0:55:51
Ja, wieder gute Gelegenheiten für Europa doch mal vielleicht ein paar von diesenProjekten selber zu initiieren, zu führen, zu übernehmen, was auch immer.
Linus Neumann 0:56:00
Da gibt es auf jeden Fall viel Fingerzeig. Also Souveränität und so kommt natürlichin diesem Koalitionsvertrag auch an vielen Stellen vor.Mit KI machen wir jetzt sowieso alles. KI alles, 100.000 GPUs kaufen wir jetzt und machen alles mit KI.Wäre schön, wenn es da irgendwie eine halbwegs strategische Ausrichtung gebenwürde, die am Ende auch Früchte trägt.Ich wäre auch dafür übrigens, dass wir uns die Harvard University holen,die wird ja jetzt auch defunded.Ist auch so geil, ne? Die Harvard University ist älter als die USA selber.
Tim Pritlove 0:56:42
Nicht?
Linus Neumann 0:56:43
Ja.Das Gründungsdatum liegt quasi vor der Gründungsdatum, habe ich gelesen.Und Und es gibt jetzt diese wirklich irre Idee oder diesen irren Angriff,den die Trump-Regierung ja also nicht nur gegen ihre eigenen Institutionen fährt,sondern natürlich auch irgendwie im Rahmen dieser Sanktionierungen gegen Unternehmen.Und die möchten also jetzt irgendwie Harvard angreifen, weil es linksradikal wäre.Weil sie bestimmte, weil sie im Auswahlverfahren weiße Bewerber benachteiligthaben. Deswegen sind sie jetzt rassistisch.Das ist diese ganzen Ivory-League-Universitäten.Du musst ja bescheuert sein, die Dinge anzugreifen.Aber das ist das, was Trump jetzt macht. der greift die Presse an,die Universitäten und die Gerichte.
Tim Pritlove 0:57:57
Ja, das ist weiterhin das faschistische Playbook.Wenn du halt irgendwie deine Ideologie langfristig verankern willst,dann musst du natürlich erstmal versuchen, die Zentren der gegnerischen Gedankenweltunter Kontrolle zu bekommen.Das haben die Nazis auch nicht anders gemacht. Wenn du dann halt alle liberalenProfessoren verscheucht hast und durch konservative Ja-Sager ersetzt hast,dann bewirkst du dann halt auch eine entsprechende Umwandlung der Gesellschaft.Das gab es ja auch schon in Florida.Das ist ja in Florida auch schon passiert. Ich habe jetzt gerade den Namen derUniversität nicht im Kopf, die da betroffen war.Und das werden wir wahrscheinlich noch eine Weile so sehen. Die große Frage ist,gewinnen sie das Rennen mit der Zeit sozusagen, also können sie sich das gesamteSystem untertan machen,bevor es in der Lage ist, entsprechend zurückzuschlagen und die wirtschaftlicheSituation gerade sicherlich nicht förderlich.Also das ganze Chaos und die Verluste, die viele, die ihr Geld in Aktien angelegthaben, vielleicht auch als langfristige Alterssicherung,die werden nicht besonders erfreut sein und ich denke, dass auch viele von denWählern Trumps mittlerweile ihre Wahl bereuen, ob das dann ausreicht,dann eine entsprechende machtpolitische Gegenbewegung zu unterstützen,da habe ich noch so ein bisschen meine Zweifel, halte es aber auch nicht für ausgeschlossen.
Linus Neumann 0:59:32
Gut, dann wissen wir ja ungefähr, wie es weitergeht und können uns den Osterferien widmen.
Tim Pritlove 0:59:40
Ja, genau.
Linus Neumann 0:59:41
Ich verstecke jetzt ein Ei.
Tim Pritlove 0:59:44
Echt? Jetzt erst? Okay.Na gut. Wir haben auch irgendwo, ein Easter Egg haben wir bestimmt auch irgendwoin dieser Sendung versteckt.Da könnt ihr nochmal gucken, ob ihr es findet.Vielleicht, vielleicht auch nicht. Wer weiß.Und wünschen euch auf jeden Fall frohe Eier.Sonst gibt es nicht viel hinzuzufügen. Und dann sehen wir uns um die nächsteWoche irgendwann wieder.
Linus Neumann 1:00:10
Genau so machen wir das.
Tim Pritlove 1:00:12
Unregelmäßig, aber Hauptsache lustig. Tschüss Leute, bis bald.
Linus Neumann 1:00:19
Ciao, ciao.
Verwandte Episoden
Shownotes
Intro
- www.spiegel.de: Statistisches Bundesamt: 2,8 Millionen Menschen in Deutschland haben noch nie das Internet genutzt
Feedback
PC
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von Steffen
Hermeneutik des Verdachts
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von Sigue Sigue
- www.blaetter.de: Für Gott und gegen das Böse | Blätter für deutsche und internationale Politik
Propaganda
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von edd255
Altersverifikation
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von Torsten
- eGovernment Podcast: ID und Wallets
“In seiner jetzigen Form”
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von Der Mann mit Hut
Digitalministerium
- Logbuch:Netzpolitik: LNP519 Die Hermeneutik des Misstrauens – Kommentar von stk
Elektronische Patientenakte
- netzpolitik.org: Elektronische Patientenakte: Fachleute zweifeln weiterhin an Sicherheitsversprechen
AI Coding Backdoors
- arXiv.org: We Have a Package for You! A Comprehensive Analysis of Package Hallucinations by Code Generating LLMs
- BleepingComputer: AI-hallucinated code dependencies become new supply chain risk
- www.pillar.security: New Vulnerability in GitHub Copilot and Cursor: How Hackers Can Weaponize Code Agents
Koalitionsvertrag
- Parlamentsrevue: KoaV: Digital- und Netzpolitik mit Linus Neumann
- www.ccc.de: CCC | CCC fordert Notbremse für den Überwachungskatalog im Koalitionsvertrag
- Logbuch:Netzpolitik: LNP489 Das Kabinett ist nicht maschinenlesbar
- bundestagszusammenfasser.de: Bundestagszusammenfasser – Denn irgendjemand muss es ja machen.
- Managed Nextcloud powered by IONOS: KoaV Passagen.odt
- netzpolitik.org: Auf den Punkt: Ein europäisches Palantir macht es auch nicht besser.
- netzpolitik.org: Polizeidatenbanken: Keine Palantir-Konkurrenz in Sicht
CISA und MITRE trump’ed
- The White House: Addressing Risks from Chris Krebs and Government Censorship
- www.theregister.com: Homeland Security funding for CVE program expires
- GitHub: GitHub User: CVE Program (CVEProject)
- Security: CVE-Aus abgewendet, Schwachstellendatenbank der EU geht an den Start
- www.thecvefoundation.org: CVE Foundation
