LNP396 Hochsicherheit kommt vor dem Fall

Ein Logbuch:Spezial zur letzten dicken Sicherheitslücke in der Luca App

Ja, wir können es ja auch nicht mehr hören, aber um der Chronistenpflicht gerecht zu werden, müssen wir halt ein weiteres darstellen, warum die Luca App nicht nur aus prinzipiellen Gründen (hilft nicht bei der Bekämpfung der Pandemie) sondern auch wegen konkreter Sicherheitsmängel nicht die Karte ist, auf die wir setzen sollten. Wir sprechen heute mit Markus Mengs, der sich die "Integration" der Luca App mit den Gesundheitsämtern mal genauer angeschaut hat und ein paar schaurige Entdeckungen gemacht hat.

avatar
Linus Neumann
avatar
Tim Pritlove
avatar
Marcus Mengs

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Linus.
Linus Neumann
Guten Morgen Tim.
Tim Pritlove
Sag mal, jetzt müssen wir schon wieder über die Luca-App reden. Du hast gesagt, wir reden nicht mehr über die Luca-App.
Linus Neumann
Wo war ich letzte Nacht? Wieso bin ich jetzt noch wach? Ist jetzt eh egal. Das war das letzte Mal.
Tim Pritlove
Lokbuchnetzpolitik Nummer dreihundertsechsundneunzig, wir schießen in hochgeschwindigkeit hier die Sendungsnummer nach oben und ihr fragt euch schon, ist denn Bundespolitik jetzt ein Daily Podcast geworden. Ja, in dieser Woche ist es tatsächlich so, aber da hat sich jetzt irgendwie einiges aufgestaut und nachdem äh man den Stau abgearbeitet hat, dann schon wieder so Themen rein, die unbedingt auch noch behandelt äh werden mussten und was wollen wir denn machen? Das ist dann halt einfach so. Schlimmste, so ist es.
Linus Neumann
Ja, kann man ja nicht mit rechnen, dass äh die News von vor drei Wochen äh plötzlich siegend heiß auch bei Nexenia am ankommen.
Tim Pritlove
Genau, eine kleine äh Vorschau auf den äh Inhalt dieser Sendung und ähm ansonsten gehen wir nochmal ein bisschen durchs Feedback, bevor wir das aber tun, verraten wir euch auch noch, dass wir ein Gast dabei haben in dieser Sendung und wir begrüßen Markus. Markus, hallo Markus.
Marcus Mengs
Hallo Tim, hallo Linus.
Tim Pritlove
Herzlich willkommen bei Logbuch Netzpolitik. Du hast deine äh Hände ganz tief drin im äh im Luka-Motor und hast sie schmutzig gemacht.
Marcus Mengs
Ja
Tim Pritlove
Nicht wahr? Und äh deswegen haben wir dich eingeladen, wir quatschen auch gleich und stellen äh dich dann auch nochmal im Detail vor, aber ich glaube, wir schaffen jetzt erstmal hier noch das Feedback ähm weg, denn. Die Sache mit der Doktor arbeiten, ne? Das.
Linus Neumann
Wir haben ja, wir haben ja provoziert, wir haben ja, wir haben ja Kommentare von Doktor Würdenträgerinnen, ähm, provoziert und auch erbeten und da fand ich zwei besonders schön, die wollte ich jetzt mal ganz kurz äh noch vorlesen. Und zwar haben wir Feedback von Eckhard. Ich bin Biologe, Doktorte in meinem Fach belegen, dass eine Person eigenständig und erfolgreich geforscht hat. Wir arbeiten dafür so etwa vier bis fünf Jahre hochmotiviert in Vollzeit. Also Eckart, das mit dem hochmotiviert weiß ich nicht. In Vollzeit auf jeden Fall. Die Forschungsergebnisse werden in der Regel in internationalen Fachzeitschriften publiziert und müssen erfolgreich vor allem anerkannten Expertengremium vertreten. Und für Wert befunden werden. Der, Der Promotionsausschuss meiner Fakultät birgt für die Qualität der Promotionen. Der Wert des von uns verliehenen Titels ist in diesem Sinn international anerkannt. Der Titel zertifiziert also eine bestimmte, Qualifikation. Dieses System dient der Qualitätssicherung und funktioniert sehr gut. Man kann das auch mit einem Meisterbrief vergleichen. Ja, super äh sehr gutes Beispiel. Hochproblematisch ist die jahrelange große Abhängigkeit von der Betreuerin. Altbacken, sinnlos und dumm ist die Idee, dass ein Doktortitel eine Person generell aufwertet. Als Wähler Mensch und Bürger sind wir alle gleich. Dem Titel gebührt kein besonderer Respekt und er hat meiner Meinung nach im. Alltagsleben nichts zu suchen. Deswegen sind Doktorte für Politiker eigentlich vollkommen sinnlos, wenn es um Wissenschaft geht. Sollen sich diese auf den wissenschaftlichen Dienst verlassen. Sie brauchen selbst keine Forschungsqualifikation. Dann hat noch darauf kommentiert auf also der Gestalt hatten wir mehrere Kommentare. Da fand ich noch einen sehr schön von Doktor Ing Düsentrieb. Der hat uns mitgeteilt. Hallo, ich kann Jan und Eckhard oben nur beipflichten. Gilt so auch für meinen Fachbereich im Ingenieurswesen auch für meinen Titel waren circa fünf Jahre Vollzeitarbeit notwendig. Drei davon waren mit sehr großem Leidensdruck verbunden. Auch ich führe meinte nur, wenn's passt. Hausverwaltung und andere nervige Leute sind super Beispiele. Die gehen dann die gehen einem dann eventuell etwas weniger penetrant auf den Keks, meint ihr, liebe Doktor Würdenträgerinnen? Aber zu oben erwähnten großen Abhängigkeit vom Betreuer sind ja fast ausschließlich Männer, möchte ich doch noch was loswerden. Die Aussage. Wer bis dahin nie betrogen hat, wird's auch bei der Doktorarbeit nicht tun und danach dann sicher auch nicht mehr damit aufhören, wurde von euch ja für, kategorischen Unfug gehalten. Ähm das sehe ich anders. Die Doktorarbeit bringt unfassbar viele Menschen an, und etliche über ihr Limit. Die meisten davon eher spät in ihrem Leben. Schule ging mit links, Studium war noch nicht hart genug und davor abzuschrecken. Also startet man ein Doktorrat. An meiner Uni melden sich Statistiken zufolge fünfundzwanzig Prozent aller Promovierenden mindestens einmal bei der psychologischen Beratungsstelle. In meinem damaligen persönlichen Umfeld würde ich auf mehr als zehn Prozent schätzen, welche längerfristig mehrere Monate in Behandlung waren. Dunkelziffer potenziell riesig, da man sowas ja gern verschweigt. Der Druck ist immens, wenn man vier Jahre hinter sich hat und es dann heißt du brauchst noch ein Paper, sonst wirst du nicht fertig. Man hängt in den schönen flapzig beschriebenen prekären befristeten Verträgen und man hat hinterher am Arbeitsmarkt einen Antidoktor, wenn man's nicht schafft Die Arbeitgeberin sieht im Lebensdorf A, der hat's nicht gepackt, sondern kurz vorm Ziel hingeworfen. Den nehmen wir lieber nicht. Ich habe nie in meinem Leben ernsthaft betrogen, aber im letzten Jahr meines Doktor Rats mehrmals sehr ernsthaft darüber nachgedacht. Gedanken wie. Im Endeffekt schaut die Arbeit ja eh niemand so genau an. Dass man die subtilen Fehler findet. Es sei denn, ich kandidiere in zwanzig Jahren für ein hohes Amt und das komplette Internet dreht in einer koordinierten Aktion jeden Satz einzeln um. Reproduzieren wird das garantiert niemand. Meine Daten sind zwar neu für die Wissenschaft, aber interessieren eh keinen. Hier ein wenig Rauschen wegmachen, dort einen Datenpunkt leicht verschieben, dass er besser auf der erwarteten Trendlinie liegt oder die Fehlerbalken aus Versehen um Faktor fünf zu klein einzeichnen, tut ja keinem wirklich weh. Aber es verhindert dumme Fragen von meinem Chef und von den Reviewern und vereinfacht die Arbeit ungemein. Ich weiß zwar, dass diese Messungen Müll sind, weil ich das System falsch eingestellt habe, aber sie passen so gut zur Geschichte. Wenn ich diese Linie etwas extra poliere, dann sieht's noch besser aus. Also das waren die Gedanken, die äh Doktor In Düsentrieb da so schildert. Letztendlich habe ich nichts davon gemacht, mich auf dem Zahnfleisch und Antidepressiva durchs letzte Jahr geschleppt und mir geschworen, mich nie wieder in so eine Abhängigkeit zu begeben. Aber wenn ich's gemacht hätte, würde ich mir das heute als einen, Notfall in Ausnahmesituationen zurecht reden und ebenfalls nie wieder machen. Da ist eben der Punkt, wo ich ja gesagt habe, wenn man das wenn man damit einmal durchkommt, dann lernt man daraus, dass man's nochmal machen kann, Da widerspricht mir also Doktor In diesem Trieb, aber schön finde ich das Fazit. Longstory short, so schwarz weiß ist das alles nicht, vorausgesetzt wir reden von einer richtigen Dissertation. Da gibt es durchaus Fehlverhalten, welches ich nachvollziehen, aber nicht gutheißen kann, Wer allerdings eine Doktorarbeit in Anführungszeichen, Umfang eines Mickey Maus Hefts in den einschlägigen Disziplinen schreibt, wo das in wenigen Monaten auch ehrlich möglich wäre. Und da dann auch noch betrügt, dem ist wirklich nicht zu trauen. Interessanterweise sind das oft dann genau die, die dann ganz großen Wert darauf legen. Titel angesprochen zu werden. Den fand ich schön. Es gibt noch viele weitere Kommentare von Doktor Martens als Promoviker, promovierter Chemiker. Und äh ich hätte gar nicht damit gerechnet, dass so viele ähm. Ja, tatsächlich, promovierte Wissenschaftlerin im, ja, der These zustimmen, dass es eine besondere Leistung ist. Selbstverständlich die äh die die Disteltation. Aber eben, dass sie auch die Ansicht teilen, dass das Führen des jetzt, vielleicht äh zu viel des Guten ist und eben auch leider äh die Leute anzieht, die eben scharf auf den Titel sind und nicht, das Blut für die wissenschaftliche Forschung lecken. Ja, vielen Dank für die Kommentare. Immer viel mehr unter den unter der äh letzten Sendung und bisschen unfaire Situation, weil die haben ja erst kürzlich veröffentlicht und äh werden sicherlich noch viel mehr Kommentare kommen bis zu dem Zeitpunkt, wann wenn diese Sendung wiederum hier erscheint, deswegen äh kann ich euch nur empfehlen, da mal reinzuschauen in die Kommentare.
Tim Pritlove
Auf jeden Fall, ein ein Füllhorn.
Linus Neumann
Vom Umfang einer Doktorarbeit.
Tim Pritlove
Also manche Kommentare haben auch wirklich den Umfang einer einer Doktorarbeit. Könnt ihr euch eigentlich schon äh könnt ihr euch mit einem passenden Titel, äh vielleicht müsste man so aus Logbuch erst so ein LNB KM Titel oder so.
Linus Neumann
Aber das ah vielleicht sollten wir eine Sache noch kurz ergänzen. Da ist ja auch dieser, also in die Promotionsordnung oder die äh unterschiedlicher Fakultäten ähm, Also so eine Monografie, dass man jetzt eine, Doktorarbeit schreibt oder ein Buch, das ist tatsächlich in den ähm wissenschaftlichen oder empirischen Wissenschaften auch eher unüblich. Da wird halt dann tatsächlich gesagt, ähm. Was weiß ich, äh ein Themenbereich, drei Artikel in. High Impact Journals von mindestens Impact-Faktor soundso oder vier Artikel in äh Impact-Factor so und so. Das heißt, da ist die, da ist diese äh Promotion tatsächlich an äh eben Peer-Review wissenschaftliche Leistungen gebunden. Was ich im Übrigen ähm die äh die sehr viel sinnvollere Anforderungen finde. Dass man nicht da irgendwie so die habe ich. Döner hast du deine Doktorarbeit geschrieben? Am Ende musst du noch selber einen Verlag dafür finden, ja zurecht, weil die Scheiße ja auch keiner lesen will, muss nämlich am Ende den Druck selber bezahlen und da ist natürlich die Anforderung okay. Äh publiziere zu dem Thema in High Impac Journals ist natürlich ähm eine eine äh sinnvollere Anforderung, zumal, wie wir aus der Sendung mit Julia Reeder wissen, äh da hochkarätige Wissenschaftlerinnen, kostenlos das äh. Die Qualitätssicherung machen und dann deine Uni das zurückkaufen muss. Aber äh wir schweifen ab.
Tim Pritlove
Ja, also wenn man schon Doktortitel macht, dann sollte man sich zumindest irgendwie ein bisschen Mühe geben und äh Vroni fest sein.
Linus Neumann
Markus, wir wollten, wir wollten mit Markus sprechen, oder?
Tim Pritlove
Genau, wir wollten und werden das jetzt auch äh tun. Ähm.
Linus Neumann
Eigentlich kein Titel, Markus.
Tim Pritlove
Oder welchen hast du denn? Denk dir einen aus. Wir werden den einfach benutzen.
Marcus Mengs
Ich hätte ja, ich hätte ja Titel, aber Zertifikate und so, da wird man ja nicht damit. Das ist aber das ist nochmal eine anderes Thema.
Tim Pritlove
Genau. Sag uns doch jetzt erstmal, äh was du eigentlich so tust und ähm sozusagen warum du hier bist.
Marcus Mengs
Ich bin äh beruflich bin ich Infos. Das müsste ich lügen. Ich schätze mal so seit siebzehn Jahren in der gleichen Organisation, die ist groß.
Tim Pritlove
Das heißt, offiziell in der IT-Sicherheit äh äh betätigt. Ja, das ist das, was du meinst mit Infos.
Marcus Mengs
Ja, in äh in all ihren Facetten, genau. In all ihren Facetten. Vielleicht auch mal mit einem, naja, ich sage Info-Seck, weil es eben nicht nur IT-Sicherheit ist, sondern du hast ja auch Berührungspunkte, Datenschutz und ja.
Tim Pritlove
Okay, aber das ist ein Codewort für bist du so ein, so ein, so ein Keller-Nerd, der sich irgendwie mit allen Details äh der Maschinen auseinandergesetzt hat und das jetzt äh zu Geld macht.
Marcus Mengs
Ja, das ist eher die private Seite von mir, die muss ich eben immer ein bisschen trennen. Es freuen sich viele, dass ich auch ein großes, privates Interesse habe, dabei das wird dann auch bei dem Thema so, also bei Luca. Dass ich da eigentlich eher im privaten Umfeld. Drum rum getanzt bin und dann irgendwie tief rein. Wie hast du das vorhin gesagt? Ich habe nur gewartet bis braune Masse mit drin auftaucht, aber tief drin gewühlt, tief drin gewühlt war's glaube ich, habe ich am Ende aus privatem Interesse. Das paart sich natürlich mit den. Beruflichen Interesse, weil meine Hauptaufgabe ist äh Sensibilisierung durchzuführen, das heißt äh, Klientel der äh was so vor mir steht, vor Gefahren und Risiken zu warnen und dann hat da irgendwie ganz automatisch Luca mit reingespielt und da musste ich mich natürlich auch damit beschäftigen, weil ich nicht gerne irgendwas erzähle, ohne auch zu wissen, wodrüber ich rede.
Tim Pritlove
Hm. Wie lange beschäftigst dich jetzt schon damit?
Marcus Mengs
Das müsste ich jetzt meine Frau fragen, weil die wird wahrscheinlich ein sehr viel längeren Zeitraum nennen. Ich glaube, äh wenn. Ja, es ist ja mal die Frage, falls du eine Tastatur an, um dich mit was zu beschäftigen oder beschäftigst du dich mental damit?
Linus Neumann
Wie oft war's am äh Abends am Esstisch Thema?
Marcus Mengs
Das vermeide ich, aber wenn ich nicht mehr ansprechbar bin, dann merkt die das schon sich über was anderes sind ja. Also ich müsste ähm jetzt auch von der Chronologie oder Historie her ganz interessant ist. Ähm es war tatsächlich für mich ein Thema. Ich bin oft angefragt worden wegen Luca, aus verschiedenen Richtungen, weil ich äh. Glaube zu, dass gute letzte halbe Jahr mobile Applizes gemacht habe, also alles, was so Smartphone-Apps äh an. Was sie nicht machen sollen im Privacybereich. Da guckt man ja schwer dahinter abseits von dem, was man lesen kann. Da wurde ich auch immer mal wegen Luca gefragt. Das hat mich wenig interessiert das Thema. Äh ich habe auch verpasst, dass es relevant geworden ist, weil Geld dafür ausgegeben wurde, aber ich habe dann irgendwann bei Twitter, das ist das, So mein einziges soziales Medium gelesen, wie äh die, Theresa, das glaube ich. Die war beteiligt an einer Veröffentlichung. Äh, die ich für, ja, die für mich fachlich nachvollziehbar und fundiert war und die ist da so abgewatscht worden von einem Musiker, dass ich da doch mal ein bisschen tiefer in das Thema eingetaucht bin, weil mich das Kommunikationsverhalten so gestört hat, Und dann habe ich in meinem Urlaub, den ich da noch hatte, angefangen zu lesen, was gibt's denn da zu Luca? Und dann habe ich was gefunden, was Security-Konzept heißt, aber keins war, Bei mir viele Fragen aufgeworfen hat und dann habe ich schon gewartet, dass mein Urlaub zu Ende ist, dass ich eben eine Tastatur anfassen kann und kann's mir auch mal angucken. Hat sich viel bewahrheitet von den Unstimmigkeiten, die in diesem Konzepten schon aufgetaucht sind. So ungefähr war die Geschichte von mir zu Luca. Also länger als fünf Wochen bin ich da auf jeden Fall schon dran.
Tim Pritlove
Okay. So und was ähm können wir denn jetzt eigentlich neues äh berichten? Also ähm Luca ist ja ein komplexes System.
Linus Neumann
Bevor wir da jetzt direkt hinspringen zu den neuesten, Forschungen von Markus trotzdem nochmal so ein Kurzrekapitulieren, was es bisher schon so gab. Also es gab ja dieses Paper von Theresa Stadler und anderen, ja, Potential Harms. Auf die Luca-App, was eben einfach nun, also was wirklich sehr theoretisch war. Ähm es gab, die Veröffentlichung des CCC Luca-App CCC fordert die Bundesnotbremse. Es gab die Einlassung von Ulrich Kälber und es gab diesen offenen Brief von. Siebenundsiebzig Forscherinnen, dem der deutschen IT-Sicherheitsforschung und vierhundertsechsundsiebzig Leuten, die jetzt auch noch unterschrieben haben. Äh Zeitpunkt heute, das sind sicherlich schon wieder mehr geworden. Und da wurde immer wieder vor Risiken gewarnt und ich würde eigentlich sagen, bevor wir jetzt vor dem bevor wir zu dem. Großen neuen Dingen von Markus kommen. Ähm würde ich eigentlich auch noch gerne ein bisschen über diese YouTube-Video, Playlist sprechen, die du da angelegt hast. Das waren ursprünglich zehn Videos, ne?
Marcus Mengs
Ja tatsächlich äh muss, es sind mittlerweile ich habe ein paar gar nicht veröffentlicht, also ich müsste ich denke es sind zwölf, ähm mittlerweile.
Linus Neumann
Ja, es, ich, es sind jetzt im Moment zwölf, ne, wo du.
Marcus Mengs
Zwölf die sichtbar sind, ja.
Linus Neumann
Ich glaube aber, dass die irgendwie anfangen mit so eins von zehn, zwei von zehn, drei von zehn und so weiter, elf, zwölf.
Marcus Mengs
Das habe ich so gelassen. Seid ihr auch Scham und sagt was aus.
Linus Neumann
Und äh da hast du dich mit ähm ich sag mal ähm den. Den Risiken und den Schwachstellen des Systems auseinandergesetzt, die nicht. Keine Ahnung, Seite eins, Zeit online oder Spiegel DE oder äh heiße oder äh sonst was schaffen, weil sie ja, sogenannte, Schwachstellen in Anführungszeichen, theoretischer Natur sind. Und was ich daran so spannend fand ist, das ist ja auch immer das, dass sie das, was ja oft äh von Seiten Nexenio, den Entwicklern der Luka-App ähm immer so gesagt wird, ja das ist ja hier so ein Glaubenskrieg, ne, das sind äh die die, die finden hier einfach nur religiös einen dezentralen Ansatz besser und ähm meine Antwort und ich denke auch insbesondere deine Antwort darauf war ja immer, Nein, wir wissen einfach nur, was welche Risiken man sich alle mit einem zentralen Ansatz einkauft, die man Antworten braucht, die man eben in einem dezentralen Ansatz in der Form einfach nicht hat. Und ähm vielleicht magst du ja so ein bisschen was zu deinen. Zu den Videos deiner der letzten Wochen so sagen, was du da so alles schon gezeigt hast.
Marcus Mengs
Ja, gerne. Ähm man muss vielleicht auch dazu sagen, äh eigentlich, geht das von groß nach klein, ne? Die Veröffentlichung von äh die wissenschaftliche Veröffentlichung, ne? Ich glaube, das ist ja eine Universität in Luzern gewesen, wo die Theresa Stadler, veröffentlichen, da war äh die ist ja äh. Nicht wirklich theoretisch gewesen, sondern eher abstrakt, ja, ohne die Technik anzufassen und in der ähm Forderung vom CCC war von mir auch schon mal, ich will das jetzt nicht Paper nennen, es war einfach eine äh, des Netzwerkverkehrs, aus der sich Schlüsse ziehen lassen, die ist ja auch mit veröffentlicht worden und eigentlich decken die ersten zehn YouTube Videos, die ich da angedacht hatte, das Gleiche ab, weil ähm. Wenn du so eine Analyse schreibst, du hast ja, du willst ja jemanden damit adressieren, ne? Das ist zum einen äh ich sage mal die Leute, die mit den äh Risikobewertungen befasst sind und natürlich den Hersteller, dass der da was anfassen kann und ich hatte irgendwann das Gefühl, okay Dauer das war falsch adressiert weil da bewegt sich nichts also sollte man das vielleicht nochmal ein bisschen. Breiter streuen. Da ist dann Video geeigneter. Aber das sind natürlich harte, abstrakte, trockene Themen. Also es ist, ich würde nicht sagen, es ist theoretisch, weil die ersten zehn Videos davon handeln eigentlich was sehr konkretes ab. Ähm weil die auch auf der ähm Analyse vom Netzwerkverkehr der App basiert haben, eben das, was schon in dem Security-Konzept unstimmig aus, sah. Und das Interessanteste für die für die das äh zu trocken ist, ist eigentlich das zehnte Video, was das zusammenfasst, weil das kommt zu dem Ergebnis, dass du, da bist du bei dem zentralen Ansatz, aus der Position von dem Backend-System. Ähm, oder sagen wir mal von dem Betreiber verwalteten Anteilen des Gesamtsystems und das ist egal, ob du dann in der Rolle des Betreibers bist oder von einem Angreifer, der sich dem System bemächtigt hat, da kannst du, Rückschlüsse ziehen äh auf einzelne Geräte, komplette Bewegungsprofile für einzelne Geräte, die an dem, System partizipieren, erstellen, du weißt zu den Geräten am Ende die Telefonnummer und du weißt auch, ob das Gerät mit seiner kompletten Locationhistorie äh zur. Infizierten Person gehört oder zumindest zu einer Person, die mal vom Gesundheitsamt abgefragt wurde oder nicht. Und du weißt die Telefonnummer dazu, was ein schon sehr persönliches Datum ist, ohne überhaupt irgendwas von den Kryptosachen mal angefasst zu haben weil das einfach äh die Informationen sind, die an dem Backend auflaufen, wenn man das einfach nur lange genug beobachtet, Teilweise aus Metadaten, dann weiter wird immer Daten vorgeschoben. Hm und ähm während ich mir das angeguckt habe und habe die Videos produziert, es ist so Salamischeiben taktikmäßig, dann auch ein bisschen Quellkot aufgepoppt, der war mal unvollständig. Der App-Quell-Code war auch unvollständig, der zuerst released wurde, und ähm ja beim Schauen in dem Code, dann wenn man sowas manchmal macht, ein bisschen da ist ja kein notwendig, aber so Code-Reviews, dann machst du dir Notizen. Da ist dann Auffälligkeiten, da sind Auffälligkeiten und ich hatte ja schon viele Notizen und die sind nur immer mehr geworden, Und da habe ich mir die gravierendsten Sachen rausgegriffen, dann sind halt nochmal neue Videos, geworden, in Teilen. Das waren dann eben. Ich hätte gesagt, das sind Sicherheitslücken, das hätte ich jeden anderen gesagt. Wenn mir jemand sowas gemeldet hätte, hätte ich auch gesagt, das sind Sicherheitslücken. Man kann auch funktionale Fehler sagen. Also da ging's drum, dass du äh das System hat ja Schlüsselanhänger für die Leute, die kein Handy haben, beworbenes Feature. Es gab ja schon mal die Geschichte mit Luca Treck, wo man von Nutzern von Schlüsselanhängern von außen die kompletten Bewegungsprofile abfragen konnte, von innen, also aus Betreibersicht geht das sowieso ähm.
Linus Neumann
Also Du, du, du, du bist, glaube ich, grade ein bisschen zu schnell für die durchschnittliche Zuhörerin. Äh, Luca-Track war das, ähm Also, was war der Grundfehler bei Luca Track? Du hast also das eine hast du schon gesagt, wenn du wer diese Schlüsselanhänger benutzt, ohnehin für die für die für die Betreiber transparent, ne? Also da weiß man einfach aha, das war die Person, die wir jetzt an Location eins, die war jetzt an Location zwei zu dem Zeitpunkt. Das liegt einfach daran, dass es, Onlinesystem ist und die sich in die Datenbank schreiben. Die Person war jetzt hier, die Person war jetzt hier die Person, war jetzt hier. Jetzt mussten sie diese Daten aber eigentlich würde, würden wir jetzt erwarten, wenn sie die schon haben, wenigstens vor, fremden Zugriffen schützen, also wenigstens sollte nur das Gesundheitsamt oder die betroffene Person diese Daten einsehen können. Haben sie nicht gemacht? Sondern man konnte, wenn man den QR-Code von einer Person kannte, auch auf deren Bewegungsprofil zugreifen. Aber das ist so richtig zusammengefasst.
Marcus Mengs
Ja, wobei du da ein paar, ich denk mal, die sind auch für die breite Zuhörerschaft interessante Aspekte, die du da, versteckst, weil ähm. Wenn man von Verschlüsselungen redet oder wenn Luca von Verschlüsselung redet, dann verschlüsseln die nicht äh, dass sich jemand in irgendeine äh Location eingecheckt hat. Das ist da scheinbar kein sensitives Datum, also allein mit einem Snapshot, also einen kurzen Blick auf das Backend siehst du, in welche Location wie viele Leute eingecheckt sind. Du siehst die Daten der Locations, weil das sind alles keine verschlüsselten Komponenten. Du siehst nicht, wie der Nutzer heißt, der da eingecheckt ist. Das ist quasi der Anteil, der verschlüsselt ist auch zentral auf dem Silber vorgehalten wird und was Luca Trekke jetzt eben gemacht hat, ist ähm äh diese Daten abzufragen, denn es gibt eine Abi-Schnittstelle. Dafür, wo ähm man als berechtigter Besitzer von so einem Schlüsselanhänger natürlich abfragen kann, äh wann war ich wo eingecheckt. Weil diese ganzen Datenpunkte gespeichert sind und wenn man sich das als Datenbank vorstellen würde, die ID, also von einem einzelnen Eintrag irgendein Nutzer XY mal in irgendeiner Location XY eingecheckt, äh jeder dieser Einträge hat eine ID in der Datenbank, die nennt sich ID. Wenn du so einen Schlüsselanhänger hast oder die Seriennummer, dann kannst du diese TraceIDs, die da verwendet werden, errechnen und man konnte das von der AP alles von außen abfragen. Als Feature, weil die Nutzer ja ihre Locationhistorie abfragen können sollen. Kann halt jeder machen dieser IDs generieren kann und weiß, wie er abfragen muss. Äh das heißt nicht, dass das jetzt nicht mehr, Daten nicht mehr vorhanden sind und dass das jeder äh jeder, der auf das Becken Zugriff bekommt, äh der kann die gleichen Daten immer noch abfragen, also wenn, der Betreiber äh Schlüsselanhängern kennt, kann dir auch heute diese Daten noch genauso abfragen, weil die Pläne in der Datenbank liegen. Und das ist auch ein äh, ja eine Problemstellung, die zu Tage getreten ist. Es gab ja ein äh, dass das Thema ist ja auch mal in dem Ader, also im Ausschuss Digitale Agenda behandelt worden. Da ist die Frage gestellt worden, mehr diese äh Schlüsselanhänger herstellt, weil das sind alles Leute, die die Seriennummern kennen und damit auch Zugriff oder zumindest wüssten, wie fragt man diese Bewegungsprofile ab? Diese Frage ist gar nicht beantwortet worden. Es kam jetzt hinterher raus, dass Nexenio diese Schlüsselanhänger selber generiert die am Ende druckt, ist egal, also die Frage ist ja, wer hat die Seriennummern dafür, denn da schlägt das Schlüsselmaterial drin. Was gemacht wurde nach Luca Trecker ist einfach äh zu sagen, okay, wenn jetzt von außen die AP abgefragt wird und so ein Check-In gehört zu einem Schlüsselanhänger, dann senden wir das nicht mehr. Wenn der zu einem App-Nutzer gehört, senden wir das trotzdem noch, aber die Daten sind trotzdem unverschlüsselt da.
Linus Neumann
Und das ist, das zeigt auch so ein bisschen, ne? Also. Ich fand das ja schon auch ein bisschen scharf, wie jetzt in den letzten Monaten mit den vielen Schwachstellen bei Luca. Ähm die, immer als so einen Glaubenskrieg dargestellt wird, ne. Ja die sind ja nur irgendwie, ne, die sind ja irgendwie fundamentalistische, die Zentralisten und da finden wir nicht in Ordnung so, da muss man ja auch mal hier muss man auch ein bisschen zentral denken und so, ne? Und.
Marcus Mengs
Ja bisher witzig.
Linus Neumann
Äh das sind natürlich genau die Probleme, die man sich einfängt, wenn alles aus einer Hand kommt, ne.
Marcus Mengs
Ja, ich glaube, was du sagst, sind auch fast schon äh Zitate, ne, weil wenn man äh jetzt mal einen Spiegel so von äh Aussagen aus der Lukamacher-Riege nimmt, da wirst du genau solche Schlagworte finden, wie fundamental Kritik das sind Verfechter vom zentralen System, die entwickeln selber zentral. Die spielen natürlich mit so was ist eher, ich glaube eher PR getrieben, als dass das, fachlich, inhaltlich wertvoll ist, oft was von da kommt, aber ja. Nee, das stimmt, ja.
Linus Neumann
Würdest du sagen, also wenn man jetzt, wenn man jetzt Luca-Track mal so anschauen, ne? Würdest du sagen, das Problem wäre geringer wenn Luca ein dezentrales System wäre und die Leute sich die Schlüsselanhänger beispielsweise hätten selber würfeln können. Oder es gäbe mehrere Leute, bei denen man die Schlüsselanhänger kaufen kann, was weiß ich.
Marcus Mengs
Ich halte es für äh schwierig so ein Feature wie äh. Softwarelose Partizipation, was ja die Schlüsselanhänger, die lassen dich an dem System ohne äh Software, ohne Komponenten teilnehmen, das dezentral zu implementieren, aber ja, das geht und dann wird er das das Problem nicht geben, nämlich dann, wenn ähm. Ich sage, ich äh lagere die Daten äh direkt beim Gesundheitsamt. Das wäre natürlich ein immenser Aufwand äh und den das ist ja auch ein Verkaufsargument von Luca, das abzunehmen, auch wenn sie das. Nicht an jeder Stelle sicherstellen, weil dezentral für Schlüsselanhänger würde heißen ja du hast nur eine Seriennummer, die ist im Pseudonym und das Gesundheitsamt hat die Daten schon, sonst kann man das nicht dezentral dezentral abbilden, ne, also. Wenn das Gesundheitsamt dich anruft, um von dir die Seriennummer von dem Schlüsselnummer, äh von dem Schlüsselanhänger zu erfragen, dann können die eigentlich auch gleich deine Kontaktdaten erfragen, ne? Und äh. Würde die Probleme nicht geben, äh wenn das kein zentrales System wäre, ja. Das muss man so sagen. Äh die Frage ist auch, ob man dann so einen Kunstgriff macht und so einen Schlüsselanhängerkonstrukt schafft oder dann sagt okay. Äh ich habe halt harte Voraussetzungen, um an so ein System zu partizipieren und das ist halt eine App. Äh und wenn ich keine App habe, muss ich die Papieralternative wählen, ne? Also man hat da schon einen Trade oft zwischen. Datensicherheit und ähm Informationssicherheit und Usability, wie das überall ist.
Linus Neumann
Ja. Jetzt ist also genau diese diese äh Schlüsselanhängernummer scheint für mich auch so ein. So ein Ding zu sein, das war immer Thema, ne? Also ich kann ich man sieht so ein bisschen, wie die gesehen haben. Jo, pass auf. Welche über welche Probleme klagt die Welt? Die lösen wir jetzt einfach alle auf einmal. Die klagen über äh, dass die Adressen nicht verschlüsselt sind, kein Problem, aber Verschlüsselung, ne. Die klagen darüber, dass irgendwie alte Handys nicht im Bild machen. Alles klar, machen wir mit einem mit einem QR-Code, wo man einen QR-Code hinein, Schlüsselanhänger drauf, Schlüssel hat man immer dabei, ne? Und ähm. Wie würdest du jetzt so grundsätzlich also ich kenne das aus der, aus der IT Security, in der ich ja auch tätig bin, dass man sich halt ein Fredmodel macht und eben gesagt, okay, was möchten wir erreichen, was möchten wir bauen? Was sind potentielle Bedrohungsszenarien und dann begegnet man denen? Was ist jetzt so dein Eindruck, nachdem du das Sicherheitskonzept gelesen hast und die Umsetzung gesehen hast, wo hapert's eigentlich? Liegt es daran, dass die kein ordentliches äh Fredmodel haben oder liegt es daran, dass sie ihrem Fred Model nicht, gewissenhaft begegnen, wie wir also als jemand, der sich das wirklich so äh in dieser Tiefe angeschaut hat, was glaubst du, ist da eigentlich schief gegangen?
Marcus Mengs
Also wenn man das mal strukturmäßig ohne die ganzen feinen Facetten durchmacht, muss ja ganz, ganz, ganz am Anfang musst du ja mal eine Zielvorstellung setzen, wenn du irgendein Produkt schaffen willst, das soll irgendein Ziel verfolgen, ne. Du hast ja irgendeine, Anforderungen. Ich denke, die war schon mal bei Luca nicht ganz klar äh definiert, sondern man hat versucht, äh ein Problem zu lösen, was noch nicht scharf umrissen ist. Und hat da erstmal eine Lösung drumrum gestrickt. Ähm wurde das schon mal vom normalen Make-up weicht. Woanders hast du ich sage mal eine eine funktionale Lücke, die gedeckt werden soll. Das kann man mit einem Software, machen und dann fängst du an, das zu designen, erstmal in der Architektur, dass da ist nun mal Pen und Paper, Theorie, aber da wird von Anfang an Security, von Anfang an äh Informationssicherheit und Datenschutz betrachtet, bei Design. Und dann kommst du irgendwann zu einer Architektur und dann kommst du irgendwann zu einer Realisierung und wenn man äh äh wo diese, Security, Datenschutz und so weiter natürlich immer weiter mit berücksichtigt werden. Und man dann auch sagen kann, okay, ich kann bestimmte Feinziele nicht mehr erreichen oder ich muss dafür äh Risiken in Kauf nehmen oder ich gebe Security auf. Und ich, bei Luca. Äh so ließ sich das auch an vielen Stellen, egal ob denen das Konzept, in der Security, es heißt ja nicht mehr Security-Konzept, Gott sei Dank, Sicherheitskonzept sieht deutlich anders aus, das siehst du so richtig oder es kommt beim Lesen so vor, auch beim Code als wurden immer nachträglich Sachen angepflanzt und äh geflickt schustert, was erstmal gar nicht so gedacht war. Ich meine, muss jetzt vorsichtig sein in dem äh äh, Security-Konzept oder in dem, was da veröffentlicht wurde, als Security-Konzept stand am äh am Anfang standen ja noch die äh, wissenschaftlichen Mitarbeiter drin, die sind, glaube ich, mal in einem Update schon mal rausgenommen worden. Ich denke, das ist auch ein Zeichen dafür, weil nicht alle Aspekte ähm. So anfangs geplant waren, dass nur jeder sagt, ja ich trage das so mit, Die Schlüsselanhänger sind, glaube ich, so ein richtig Überhangding, wo man gesagt hat, okay, das ist ein Feature, das wollen wir irgendwie haben und versuchen da äh da wollen wir irgendwie haben und versuchen, das jetzt in Architektur zu pressen, die schon da ist und da ist halt versucht worden, alles was logisch in der App existiert, auf Schlüsselanhänger abzubilden, das geht halt nicht. Na weil es sind, das sind nur feinere Funktionalitäten dahinter, du hast Scanner, du hast User, die haben alle eigene äh Schlüssel, eigene IDs und auf den Schlüsselanhänger wird das alles zusammengepresst und niemanden in die Hand gedrückt, von irgendjemandem. Da passt halt das ganze Trustmodell nicht mehr, ne, was da dahinter steht.
Linus Neumann
Ja, weil Markus, du musst ja verstehen, die CDU äh die leben ja hauptsächlich von Letztwählern, ne und die, die haben ja keine.
Marcus Mengs
Brauchen die Schlösser. Ja, ich sage, ich sage mal, den Angreifer freut das nur, weil man muss auch sagen, es ist eine lange äh ich war ja froh, dass man über diesen. Was falsch gemacht, strang wenigstens ein paar Informationen bekommen hat, wie viele Anhänger so im Umlauf sind. Es sind, glaube ich, ich müsste jetzt Lügen zuletzt dreißigtausend, vierzigtausend, ich weiß es nicht genau, gewesen, die da erstellt wurden. Ich glaube, zur Zeit von Luca Dreck waren's noch zwanzigtausend, also da wird auch kräftig nachproduziert. Und dann sagt man ja, ah, das ist so ein geringer Anteil, ne, das Risiko ist nicht hoch, aber alleine bei den Lücken gut, das passt jetzt zumindest bei den Sachen, die ich mir angeguckt habe, wenn ich ein äh die Nutzertaten von einem Schlüsselanhänger ändern kann, mal eine Seelennummer öffentlich geworden ist und kann diesen einen Schlüsselanhänger in beliebig viele Locations einchecken. Ähm und manipuliere die Daten davon, so dass sie vielleicht was auslösen oder auch nur das Gesundheitsamt, zusätzliche Arbeit kosten, äh dann je mehr ich den verwenden kann, um inso mehr Infektionsketten bringe ich den ein, Dafür reicht mir eine so eine Seriennummer an, dafür für solche Szenarien ist das unerheblich, ob das nur einen ganz kleinen Systemanteil ausmacht, ob ich da hundert Seriennummern habe oder eine oder vierzigtausend, das spielt dann keine Rolle mehr, weil ich schon mit einer beliebig viel. In dem System, ja, ich sage mal, äh Workload erzeugen kann. Und auch für das Gesundheitsamt Workload erzeugen kann. Das ist. Ist schön für halt die Leute, die die brauchen das nicht. Ich glaube die Leute, für die, die vorgesehen sind, brauchen das nicht.
Tim Pritlove
Äh ich habe auch so den Eindruck, meine klang ja schon an, ne, so dieses, Was war denn eigentlich das Ziel und was hat man sich denn eigentlich für ein Modell gemacht? Und das ist ja oft auch damit äh verbunden, so mit der Frage, okay, was will man eigentlich letzten Endes bewirken, was was ist sozusagen. Der eigentliche Zweck dieser App. Und ich werde immer so diesen Verdacht nicht los. Dass es eigentliche der eigentliche Zweck dieser App ist halt so minimal vor Stoß zu machen, der dazu führt, dass irgendwie Events. Und Gastronomie und sozusagen das kulturelle Leben wieder stattfinden kann. Was ich nicht sagen will, dass das jetzt ein illegitimes Ziel ist, ja? Nur ähm es ist natürlich schon so ein bisschen es ich habe jetzt nicht jedem Interview mit Smudo gefolgt. Das das könnte ich gar nicht ertragen, aber äh es war ja so eine so ein bisschen so dieses heilsversprechen ist hier, da gibt's was zum Scannen. Und das ist dann so ein bisschen so diese Absolution, die man dann erteilt mit, Ja und wenn das dann irgendwie gescannt ist, dann dann ist ja für alles gesorgt. Dann haben wir irgendwelche Vorgaben erfüllt, die auf dem Papier sind, aber eigentlich auch keinen Sinn machen. Und daraufhin hat man das Ding halt, optimiert. Also man hat halt äh eigentlich diese Kontaktlisten soweit digitalisiert. Und einfach nur nachgebildet, was ja sagen wir mal so ein klassischer Verlauf ist von, Development und äh oft auch legitim ist, ja, dass man einfach etwas nimmt, was so in der realen Welt stattfindet, aber dann eben digitalisiert, nur dass die Implikation natürlich jetzt in dieser Situation ähm vielfältiger sind weil's mit Gesundheitsdaten zu tun hat. Weil's ein aufgeladenes Thema ist. Weil hoher Zeitdruck existiert, weil wenn etwas nicht funktioniert, ist auf einmal eine große Aufmerksamkeit erzeugen kann und sich sehr viele Leute natürlich darüber zurecht auch aufregen und das ist so ein bisschen der Punkt, wo ich so den Eindruck habe, dass es ihnen auch so ein wenig entglitten ist. Dass sie äh am Anfang dieses Development gedacht haben, na ja Kontaktlisten, was kann da schon so schwer sein dem Ziel entwickelt haben und dann irgendwann durch die auch selbst herbeigerufene Relevanz Dieses aufblähen in der Öffentlichkeit so, ja was wollt ihr denn hier? Wenn wir unsere Zauber-App äh in die Welt streuen, dann dann können wir sofort wieder äh äh uns stundenlang äh kiffen, ins Hinterzimmer setzen. Das war ja so ein bisschen so dieses Versprechen, was im Raum war. Hä? Nur mit einem QR-Code und dann kamen eben diese ganzen Realword-Anforderungen die halt dann einfach in dem Moment greifen, wo es heißt, okay, jetzt bauen wir aber nicht nur eine kurze Digitalisierung von so einem Sicherheitssystem und wir machen das mal mit den Zetteln einfacher, sondern wir bauen jetzt quasi eine, Lösung, um wirklich so eine Pandemie zu entflechten. Und daran sind sie dann, glaube ich, als als System ein wenig gescheitert.
Marcus Mengs
Ja, man muss auch mal ähm ich glaube, das erfasst das ganz gut, aber es gibt eben auch so, Facetten äh ich glaube, das was du gerade beschrieben hast, Tim, das ist ähm das. Endergebnis, wo man sich jetzt hin entwickelt hat, was man eigentlich verkaufen will. Aber das Produkt war schon, das war schon lange im Einsatz, da ist noch äh dadrüber nachgedacht wurden, ob man das vielleicht mal für Ticketing verwendet. Es ist und so ist es ja jetzt auch gekommen ähm. Da impfnach eingepflegt wurden, ne? Also es ist die Zielsetzung und das Feature-Set, das ist gar nicht klar umrissen. Während noch an allen Ecken und Enden Probleme sind, weil diese, ich sage mal, die Basic Features, das, was du gerade gesagt hast, dass du Kontakt. Listen irgendwie. Erfassung im Gesundheitsamt bereitstellt, um im Endeffekt die Forderung vom Infektionsschutzgesetz oder auch von den Corona-Schutzverordnungen, so wie sie jetzt noch aussehen, abzu, abzudecken nicht mal die Funktionalität ist ja richtig gewährleistet, das ist aber das Core-Feature, was verkauft wird, das heißt aber nicht, dass da also für mich zumindest und ich, mich tatsächlich erst ein paar Wochen damit, dass das von Anfang an so aussah, als wäre das das ganz klare Ziel der App. Er war eigentlich eher. Des Systems, aber eigentlich viel. Also für mich ist das heute noch unscharf, ne? Wo will man hin damit? Was soll das künftig können?
Linus Neumann
Also was sie ja sehr gut hinbekommen haben, ist und das ist ja wirklich auch bärenstark, ne. Wenn du irgendwo dran schreibst, verschlüsselt, dann denken alle so, boah Hammer. Hammer! Ne? Also.
Marcus Mengs
Und der doppelt verschlüsselt.
Linus Neumann
Genau hier ist doppelt verschlüsselt so. Junge, Junge, Junge, so. Das ist äh unglaublich, was wir hier haben, ne.
Marcus Mengs
Frage, seit was und womit aber.
Linus Neumann
Genau, was ist verschlüsselt? Welche Daten fallen trotzdem an, ne? Wir also, was wir auch gerade sehr schön geschildert hast, was du einfach nur aus Metadaten dir rekonstruieren kannst, ist halt. Der größere Teil dessen, was relevant ist, es gibt diesen, ich glaub Netzpolitik Orkate inzwischen für sich auch so 'n bisschen reklamiert, wer hat uns verraten Meterdaten, ne? Wenn die Metadaten dich halt einmal deinen Schlüssel. Mit der Telefonnummer linken und deine IP-Adresse, mit den Schlüsseln, dann ist halt am Ende nix mehr übrig, in den verschlüsselten Werten, was da noch ähm rauszupulen wäre. Gleichzeitig ähm ist es natürlich als Werbedingende in einer Welt, wo überall die Daten rausgetragen werden, halt hinzugehen und zu sagen, so Leute, Bei uns ist es so verschlüsselt. Verschlüsselt doppelt. Doppel haste nicht gesehen, ne? Und äh dann alle sagen so, boah, endlich hat der Smudo das verschlüsselt. Endlich, und und dann ist auch irgendwie Feierabend, dann ähm.
Tim Pritlove
Smudo hat die Pandemie verschlüsselt.
Linus Neumann
Ne? Unabhängig davon, dass äh und das wäre der zweite Punkt, sich noch kurz anmerken würde, dass natürlich ohnehin die. Also contact tracing ist ein wichtiger Beitrag zur. Einhebung des ähm Infektionsgeschehen. Da sind wir uns sogar einig, das wissen wir. Es ist nun nicht so, als wäre contact tracing allein in der Lage, ähm. Dass äh dieses Problem der Pandemie für uns zu lösen, auch wenn äh das immer wieder äh dahergeredet wird. Und was ich glaube, hm um das so ein bisschen zusammenzufahren, was er gerade gesagt hat. Die haben, glaube ich, nicht unbedingt, als sie angefangen haben mit dem Ding, gedacht so. Boah Alter, das verkaufen wir an die Länder? Und dann dann kassieren wir da in Wartungsverträgen Millionen. Also, dass sie dachten, das ist eine Millionen Idee ist, ist schon klar, sonst hättest du nicht irgendwie diese Fantastic Capital äh Investoren, dazubekommen, na? Aber dass sie dachten, das ist eine Multimillionen Idee und wir verkaufen's ausrechnen an den Staat. Ich glaube, das war den Anfangs nicht klar. Die haben vielleicht gedacht, alles klar, vielleicht verkaufen wir das eine oder an das eine oder andere Land. Vielleicht verkaufen wir es einfach um massenhaft an die Gastronomie, vielleicht verkaufen wir's an äh Ticketanbieterin. Viertausend Leute, ne, oder fünftausend sogar. Und ähm. Aber dass die dachten, dass sie damit am Ende wirklich den Fiskus äh an die Nadel hängen und und um wirklich. Was sind da zweiundzwanzig, fünfundzwanzig Millionen Euro erleichtern? Äh ich glaube, das war den in dem Moment, wo es passiert ist, haben die sich halt denen wahrscheinlich ein Ei aus der Hose gehüpft und dann äh aber wirklich auch das äh. Das das Herz äh runtergerutscht, weil sie gemerkt haben, fuck, Alter, wenn die jetzt sehen wollen, dann dann stehen wir ein bisschen blöd da, oder?
Marcus Mengs
Ja, den Fehler kannst du aber in einem Start-up nicht alleine anrechnen, ne? Da musst du auch schon den Käufern. Das sind ja nicht die, die es am Ende haben wollen, die Käufer und die sagen mal, Verwalter, das sind ja alles öffentliche Mittel und die, die den Bedarf haben, der gedeckt werden muss, das sind ja leider auch nicht immer die gleichen. Und manchmal werden die, die den Bedarf artikulieren müssen, auch gar nicht angehört, Ja, ich weiß schon, du willst das schon abrunden, ich merke das schon, aber ich wollte nochmal was, ich muss nochmal. Ne, weil der Tim, der Tim hat das so schön versucht, auf was, greifbares zu reduzieren, was Luca eigentlich ist, ne? Und wenn du wenn du das wirklich mal versuchst und, Aus dem Werbeversprechungen, die Essenz rausziehst, ja, dann versprechen die ja, äh, Entlastung der Gesundheitsämter, Kontaktdatenerfassung, plausibel und verwertbar für die Gesundheitsämter und keine, ich sage mal, gar Bettaten die bei den Gesundheitsämtern auflaufen. Also die reine Digitalisierung der Kontaktlisten. Nur dass das Gesundheitsamt die eben im Bedarfsfall sehr viel schneller abgreifen kann. Wenn du aber anguckst, was von dem Versprechen tatsächlich üble äh übrig ist, ja. Wir wissen äh die die Nutzerkontaktdaten wären nicht, verifiziert, bis auf die Telefonnummer, was ich auch nach wie vor umgehen lässt, sie zu verifizieren, weil es wird auch teuer, denke ich mal, das nacherträglich einzuführen. Du hast keine Kontaktdaten. Okay, dann weißt du aber nur, du hast ein Kontaktdatum, das ist die Telefonnummer. Ja, aber du kennst das, überall einloggen, ja? Weil und nirgends, ja, du kannst mit trotzdem mit falschen Daten einloggen, also auch die Kontaktlisten sind falsch, ja? Und jetzt kommen die, jetzt gehen wir mal von aus, dass das alles nicht passiert. Jetzt kommen diese Kontaktlisten zum Gesundheitsamt. Ähm dann wird damit geworben, dann werden die Leute schnell gewarnt. Nein. Weil das Gesundheitsamt muss sie ja alle abfragen und die Relevanz prüfen, ja? Wird das System kann jetzt sagen, ja, eine Liste von der Location XY ist vom Gesundheitsamt abgefragt worden, kann jetzt dem Nutzer sagen, du bist abgefragt worden, Das ist ja aber nicht automatisch eine Warnung vom Gesundheitsanwalt. Das Arbeit, das Gesundheitsamt hat ja immer noch die Aufgabe nachzuvollziehen, ob jetzt diese Kontaktliste irgendeine jeder, der da drauf stand, irgendwie Infektionsrelevant war, ne? Und muss den Menschen dann anrufen, so er denn erreichbar ist unter der angegebenen Telefonnummer. Und den Befragten, also ich sage mal, der Aufwand ist dergleiche wie vorher. Die die Kontaktlisten werden nicht besser, also es bleibt von den von den Werbeversprechen bleibt nichts übrig, ohne dass du in die Sicherheitslücken guckst. Die Risiken, die diese Lösungen alle. Mit sich bringen. Die kommen eigentlich on top dazu, äh zu keiner Verbesserung aus meiner Sicht. So werde ich's mal versuchen versuchen, reduziert zu betrachten.
Linus Neumann
Das ist, glaube ich, sehr, sehr schön zusammengefasst an der, an der Stelle muss man immer nochmal sagen, das Einzige, was contact racing leisten kann, ist halt schneller, den Leuten Bescheid sagen, damit sie ihrerseits die Kontakte reduzieren, dann erst wirkt es, ja? Und diesen Wertbeitrag, den den sieht man auch ohne die ganzen Sicherheitslücken kaum. So, jetzt sind wir, glaube ich, an dem Punkt angelangt, dass wir uns mal langsam darüber Gedanken machen können. Schwachstelle du jetzt demonstriert hast, denn interessanterweise in deinem Video sagst du ja. Das wurde schon vor drei Wochen gemeldet und du hast es jetzt nur noch noch einmal demonstriert, was ist denn da passiert?
Marcus Mengs
Ja erstmal sind das alles keine Schwachstellen auch keine Sicherheitslücken. Das sind ja meistens, Es wird von Luca immer umtituliert. So wenn sogar wenn ich die Bitte, ja komm, ich habe nicht so Zeit, eine Advisory zu schreibe, mach doch mal selber ein Ischio auf, dann heißt das dann auch nicht mehr Security Echo oder so, da können zig Schutzziele IT-Sicherheit betroffen sein.
Linus Neumann
Immer nur ein Error, ne.
Marcus Mengs
Funktionaler Fehler hinterher, ja.
Linus Neumann
Also die haben die haben bis heute.
Marcus Mengs
Ne
Linus Neumann
Das ist Tim, der du kannst dir das nicht vorstellen, ne? Die haben bis heute nicht eine Eins, nicht ein einziges Mal gesagt, Es gab eine Sicherheitslücke, die ganz im Gegenteil, die leugnen das ja sogar aktiv, ne, also Luca Track und so, alles keine Sicherheitslücke.
Marcus Mengs
Ja, heute bei dem Ding war's sogar ganz konkret, das ist keine Sicherheitslücke.
Linus Neumann
Unglaublich. Aber okay, also es war keine Sicherheitslücke. Es war ähm es war ein völlig überraschendes Feature.
Marcus Mengs
Genau dieses Feature, was eigentlich vor drei Wochen aufkam. Ähm es geht um äh es ging um. In oder CSV im engeren Sinn. Und man hat ja auch gesehen in dem Video von mir, da stehen ziemliche viele Credits hinten drin, weil ich habe. Thema gar nicht selber aufgetan, denn ich habe an einer anderen nicht Sicherheitslücke von Luca gearbeitet äh und hatte quasi das Setup fertig, um das schnell noch zu testen und äh Idee, wie man, ansetzen kann. Also äh ganz klassisch. An sich adressiert erstmal Tabellenkalkulation. Klassisch Excel, ja, also Microsoft-Systeme mit Microsoft Office ausgestattet, klassisch ist das eigentlich immer Excel und zwar diese Funktionalität, dass man in Zellen Formeln eintragen kann. Nicht nicht Makros, das möchte ich nochmal betonen, weil wir reden nicht von Programmierungen oder VBH, so wie das jetzt in einigen Medien äh gekommen ist, formeln und dieses Formeln, äh je nach Excel oder Office-Version, die können halt nette Sachen, wie auch ähm, ich sage mal, ein Beispiel ist, dass du sagst, der jetzt in dieser Tabellenzelle sehen soll, der wird mit einer Formel generiert, die der mir den von irgendeiner Webseite runterlädt. Für einen Angreifer heißt das, ich kann in eine äh Zelle was eintragen, was mir dabei hilft auf einen externen Sover zuzugreifen.
Tim Pritlove
Markus da müssen wir mal kurz noch was anderes äh nochmal vielleicht zusammenfassen, ne? Also das wäre jetzt mal den Kontext verstehen. Also du hast diese, Sicherheitslücke in diesem Video dokumentiert. Das haben ja die Anna jetzt alle noch nicht gesehen. Ja, worum geht es? Es geht um die vorhin äh genannten Komponenten. Konkret die Anbindung von diesem Luka System, was ja aus der App besteht und aus deren Backend besteht, ja, sie Daten fließen jetzt ins Gesundheitsamt. Darum geht es, ne, diese sogenannte Anbindung ist ja eigentlich nichts anderes als so eine Art Exportgenerator, also das Gesundheitssystem kann sich quasi an dieses System ranpflanzen und sagen, jetzt gib mal her die Daten. Für diese für diesen Ort, ja, wo äh Aktivität stattgefunden hat, die von dieser Luka-App äh aufgezeichnet wurde. Und jetzt möchte gerne das Gesundheitsamt diese Daten haben und diese Daten erhält sie ganz klassisch in so einem Textbasierten Datenexport. Das heißt, man kriegt so eine CSV Datei oder man hat die Möglichkeit, verschiedene Formate äh zu wählen und das Beispiel, was du dort gibst, ist halt diese CSV-Datei So und dann liegen die Daten erstmal roh vor. Man könnte sagen, es ist eine Art Download. Ja, es ist ja auch nichts, nix anderes wirklich.
Marcus Mengs
Es ist alles ein Download. Also du kommst an die Daten aus dem Lukas-System, das Gesundheitsamt kommt an die Rohdaten, immer nur als Download dran, weil es gibt. Glücklicherweise würde ich jetzt sagen, noch keine automatisierte Schnittstelle zu anderen Verfahren. Noch nicht.
Tim Pritlove
Genau, ja okay, gibt's nicht, aber so ist es jetzt, nur dass man sich das vorstellen kann. Also wir reden jetzt hier über diesen Zeitpunkt wo das Gesundheitsamt sagt, so jetzt müssen wir uns aber wirklich mal diese Daten holen, man hat den entsprechenden Schlüssel, um diese Daten zu entschlüsseln und erhält unverschlüsselte Exportdaten auf das eigene System, also im Normalfall natürlich irgend so ein Windows-Computer, wo dann so eine ganz normale Datei rumliegt und diese wird dann geöffnet und sie wird dann halt dann doch sehr oft, das wissen wir in einer stinknormalen Tabellenkalkulation, also in Excel aufgemacht. So und das ist natürlich immer ein Problem, weil wenn die Daten halt in irgendeiner Form. Anders sind, als man das jetzt vielleicht so erwartet oder konkreter anders als die Software sie erwartet, dann kann halt auch schon mal was schief gehen. Und das ist im Prinzip ja hier der Angriffspunkt, wenn ich das richtig verstehe.
Marcus Mengs
Ja, das ist sogar ein äh verbreitetes Problem. Man muss ja auch sagen, ein Problem, was äh viele Hersteller äh sogar aus Backbountees ausschließen, bewusst ähm also erstens äh, Daten, wenn man speziell vom CSV spricht, auf einem normalen Büro, Arbeitsplatzsystem, was ein Office installiert hat, muss man erstmal sagen, äh eine CSV-Datei, die ist standardmäßig mit dem Office-Produkt verknüpft, also mit Excel die ablegt und doppelt anklebt und hat vielleicht auch keine Dateerweiterung angezeigt, dann sieht man nicht mal, dass das reine Excel-Tabelle ist, sondern ist Excel erstmal das äh die Software der Wahl, um die zu öffnen.
Tim Pritlove
Voreingestellte Tool einfach dafür, ne.
Marcus Mengs
Das ist da die Ford sozusagen genau, dass das in Excel geöffnet wird.
Tim Pritlove
Genau. Und CSV, wem das nicht sagt, heißt einfach nur Komma separierte Werte. Ja, das heißt, es ist einfach, wenn man das in normalen Texteditor aufmachen würde, sieht man einfach einen Datensatz pro Zeile. Die einzelnen äh Werte mit Komma getrennt. Das ist dann nicht unbedingt zwangsläufig immer ein Komma, ist auch manchmal ein Semikolon oder ein Tab, aber das finde ich jetzt auch ein bisschen zu weit. Es geht einfach um strukturierte Daten in Textform. So und das heißt, man äh öffnet die und dann geht halt in der Regel das voreingestellte Programm auf und das ist dann eben Excel, was ja auch Sinn macht, weil es handelt sich ja letzten Endes um tabellarische Daten und man will ja letzten Endes auch hier auch ein tabellarischen auf diese Daten gewinnen, um sie dann weiterverarbeiten zu können. So, alles kein Problem, oder? Was kann da schon schiefgehen?
Marcus Mengs
Ja, dann kommt eben diese ähm. Formel äh ins Spiel oder CSV wird das auch genannt. Ähm. Wenn du das jetzt isoliert auf Excel betrachtest, ist das wie wenn du in eine Zelle eine Formel einträgst. Die kann vor, zwei andere Zellen zusammenaddieren oder einen statischen Wert haben, die kann aber auch sagen, äh ich brauche ich muss ein anderes Programm starten, um da einen Wert reinzubringen.
Tim Pritlove
Gut, aber bei diesen Daten sind doch sind doch solche Formeln erstmal gar nicht drin. Ich meine, wir reden doch hier von Name, Vorname, Nachname, Anschrift, Postleitzahl, das ist doch das, was man eingegeben hat, ne.
Marcus Mengs
Genau da will ich hin. Wenn du jetzt ähm äh CSV-Datei in Excel lädst, dann interpretiert äh Excel natürlich diese strukturierten Daten so, äh dass das auch analysiert, ob jetzt eine Zelle mit einer Formel belegt werden soll, eine Tabellenzelle. Und wenn du die Daten in der CSV-Datei richtig gestaltest, dann kannst du das durchaus äh auslösen, dass Excel auch so eine Formel beim Öffnen anlegt und dann auch Aktionen auslöst.
Linus Neumann
Ich will jetzt, ich will, ich muss da ganz kurz einhaken. Ich weiß, dass wir jetzt hier als Nerd sofort sagen, in excellence Formel. Du hast es auch gerade im Nebensatz schon gesagt, ich will nur einfach sagen, was ist die die einfachste Formel in Excel, Also der eine einfache Formel in Excel in das erste Feld schreibst du die Zahl. Eins. In die zweite Zelle der Tabelle zeigt, schreibst du die Zahl zwei. Und in die dritte kommt jetzt eine Formel, da schreibst du einfach nur gleich die Summe der ersten und der zweiten Zelle. Und dann wird in diesem dritten Ding drei stehen. Wenn jetzt in das erste Feld aber. Fünf schreibst, dann wird in dem dritten Ding sieben stehen, weil dann nämlich die Summe von fünf und zwei berechnet wird, also ein dynamischer Inhalt ist eigentlich das, was 'ne was 'ne Excel-Formel abbildet, oder?
Marcus Mengs
Genau, der Begriff vor mir ist eigentlich irreführend, weil du hast natürlich dynamischer Inhalt ist sehr viel passender, weil du hast natürlich, Programmierer würde es vielleicht Funktionen oder Methoden nennen, du hast natürlich mathematische Formeln. Aber du hast, wie ich jetzt gerade auch als Beispiel erwähnt habe, natürlich auch Formeln, die sagen, zieh mir die Zahl von einer Webseite runter, die da angezeigt werden soll. Oder du hast auf Hummeln, die sagen starte mal das Programm X Y und wenn das Programm abgelaufen ist, zeigst du den Wert an. Von dem Programm ausgegeben wurde. Das heißt, du kannst damit fremde Programme starten, du kannst auf fremde Webseiten zugreifen und du kannst natürlich auch sagen, okay, äh wenn du auf einer den Wert für diese Zelle, wenn, äh dass wenn die von einer fremden Webseite geholt werden soll, dann musst du da auch noch äh den Inhalt der Zelle, wo der Name steht, wo die Zahl steht, wo eine Postleitzahl steht, das musst du da vorher alles hinschicken. Das kannst du mit Excel-Formeln machen.
Linus Neumann
Nehmen wir mal, nehmen wir mal ein Beispiel, wenn jetzt irgendwie hier der Tim macht ja den Podcast, äh den wöchentlichen Podcast mit Pavel über die Corona-Pandemie und die wirken da immer auf ganz vielen Zahlen, ne? Jetzt könnten die ja auch auf die Idee kommen, zu sagen, in unserem großen Excel-Ding, das machen die hoffentlich nicht. Das lädt sich. Von der EKI-Seite. Ihr die aktuellen Corona-Zeilen runter. Das wäre da so ein Anwendungsfall, ne?
Marcus Mengs
Genau. Das ist das ist das Entscheidende. Das ist kein Hack. Wir reden da über ein Feature von Excel und nicht nur von Excel, sondern auch von, ähnlich georteten äh Tabellenkalkulationsprodukten, weil es gibt ja einen Zweck davon, genau. Wenn du äh externe Daten runterlädst, was auch immer, wenn du das wünschst, ja, äh.
Tim Pritlove
Aktienkurse ist ein Klassiker.
Marcus Mengs
Was auch immer. Es gibt sicherlich auch Szenarien, wo man sagt, okay, damit die Tabellenzelle befüllt wird, muss ich ein externes Programm starten, was mir da das Ergebnis reinliefert, weil ich irgendein Skript geschrieben habe, was irgendwas abfragt Weißer Geier, da gibt's sicherlich viele legitime Anwendungsfelder, das ist also nicht ein Sicherheitsproblem von Excel. Ein Problem wird das, äh. Wenn ich Daten in Exce eröffnee und es ist gar nicht gewünscht, dass die solche Funktionalitäten implementieren. Das ist ein Sicherheitsproblem. Das liegt dann in der Regel aber nicht an Excel, sondern an der Datenquelle. Weil wenn ich nicht möchte, äh dass da solche Daten oder ähm. Daten, die ich in Excel öffne, irgendwelche Aktionen ausführen, dann muss ich das irgendwie sicherstellen, da gibt's zwei Methoden dafür. Das eine ist äh, dass sich der Quelle absolut vertraue, das kann ich natürlich auch technisch sicherstellen. Das andere ist, dass ich diese Datenfilter, bevor ich sie öffne, weil ich kann sie ja nicht anders in Augenschein nehmen, als sie, zu laden. Ähm wenn dann eben nicht gewünschte Funktionalitäten auftauchen, da kommen wir dann zu dem Bereich Injection Deswegen heißt das auch CSV-Injection, dass man eben in solche äh Datenquellen, die dann eben auch so kommerseparierten, strukturierten Daten kommen, eben Formeln einfügt, wovon gar nicht äh erwartet wird, dass sie da auftauchen. Eben irgendwelche Aktionen auslösen.
Tim Pritlove
Ja, aber Markus. Luca ist doch ein vertrauenswürdiges Unternehmen, was äh nur unsere nur die besten Intentionen hat. Warum sollten denn in diesen Daten, andere Daten äh drin landen, als die, die die User da äh irgendwann mal eingegeben haben.
Linus Neumann
Ja und außerdem Markus, das ist ja auch doppelt verschlüsselt, dass er doppelt verschlüsselt Markus.
Tim Pritlove
Das das kommt noch dazu, ja.
Marcus Mengs
Da haben wir ja die Kurve zu den drei Wochen gekriegt, da sind wir ja wieder da am Anfang bei den drei Wochen. Ja, vor drei Wochen war das ja noch so. Also Lukas stellt sicher, dass es nicht passiert, dass in den Datenexporten, solche Problemstellungen auftauchen. Das war das Statement vor drei Wochen. Und jetzt habt ihr ja die Aspekte schon angerissen, ich sage mal. Jemand der mit Kommunikation zu tun hat, wird von einer Datenhebung, einer Datensenkgeräten. Gesundheitsamt exportiert Daten aus Luca von infizierten, die gedrehst worden sind, das sind die Daten, die rauskommen. Und irgendwer gibt Daten rein, das sind die Nutzer, die an dem System teilnehmen. Sind nur diese zwei Punkte, Ähm und an diesen beiden Punkten muss man sicherstellen, dass da keine Manipulation an den Daten stattfindet, die später zu was führt, was ich nicht möchte. Das hat Luca garantiert vor drei Wochen. Ähm Und dann war es so, ähm da war eigentlich dieses sehr technische, technisch spezifische Szenario, dieser CSV Injektion, schon mal Thema und ich bin vom äh von der Eva Wolfgang von der Spiegel äh von der Autorin von dem Zeitartikel kontaktiert worden. Und äh mit dem, was sie eigentlich auch schon angerissen habt, äh die hat damit angefangen, dass der Luca, wenn sie das System äh alles richtig verstanden hat, eine Datenautobahn ins Gesundheitsamt abbildet, weil der Nutzer gibt ja vorne Daten rein dann ist alles verschlüsselt, die Betreiber können da nicht reingucken und erst beim Gesundheitsamt wird das dann entschlüsselt. Das kann man so stehen lassen, wenn das System funktioniert, ist das so. Ähm und dann kam die Frage auf, ob das Gesundheitsamt denn angreifbar sei, aber schon sehr konkret, ob das mittels CSV Intection geht und da habe ich gesagt, das ist für mich äh hypothetisch. Man kann diese Frage nicht äh belastbar beantworten. Ohne ähm, Nachweis zu erbringen oder das auszuprobieren. Also das war für zu dem Zeitpunkt für mich gar kein Thema und ich hätte mich da auch vage in meinen Aussagen erhalten und ich hätte es auch gar nicht zitiert gesehen haben wollen, bis mir die Eva Wolfe angelt dann gesagt hat, ja sie hat aber schon das Statement. Senior dazu ähm und das war äh in die Richtung des Mexingo gesagt hat, ja äh, Wir kennen dieses Problem und wir tragen dem Rechnung mit Projekt.
Linus Neumann
Das ist, dass ich technisch, dass es einfach nur Bullshit.
Marcus Mengs
Ja, da musste ich erstmal schlucken und überlegen und habe gesagt, okay, eben hätte ich noch gesagt, ich möchte nicht in dem Artikel zitiert werden, aber jetzt kann ich auch sagen, ohne mir das Problem anzugucken, heißt das ja, erstens. Man hat eingestanden, dass ein Risiko besteht, äh dass Daten so durchlaufen, dass damit eine CSV Injektion möglich ist, sonst könnte man, müsse man dem nicht Rechnungen tragen mit einer Maßnahme und die Maßnahme ist und äh, Ist ein Visualisierungsframe. Man kann es auch im Backend einsetzen, was auch immer Projekt alles kann, was es nicht, Macht es, dass es ein Sicherheitsprodukt ist, was äh eingegebene Daten gegen CSV Injections filtert und überhaupt gegen Code Injections. Wenn man vielleicht mal den Webanteil ausnimmt.
Linus Neumann
Ich übersetze mal die Qualität der Antwort ist ungefähr so ähm wir lösen das mit Windows. Ne, das ist irgendwie.
Marcus Mengs
Ich habe das, ich habe auch schon versucht, solche Vergleiche zu ziehen, nee, das ist besser hier auch gemacht. Ich hab's mal so gesagt, ähm. Auch für die, die mir solche Fragen gestellt haben. Ja, das ist jetzt wie wenn du für irgendeinen wahllos rausgegriffene Autohersteller äh behauptest, Die Bremsen können da kaputt gehen. Ja, bei jedem Auto können die Bremsen kaputt gehen, diese Behauptung muss erst wertvoll, wenn du belegt hast, da ist ein besonders hohes Risiko, weil Bremsschläuche zu dünn oder sowas, ne? Das wäre jetzt dieses Szenario, was, was hat mich äh was hat mich Eva Wolfangel da gefragt? Ja, bei jedem Auto können die Bremsen kaputt gehen, aber ich habe hier kein besonderes Risiko, Jetzt sagt sie mir aber dann quasi im nächsten Atemzug ja, aber der Hersteller hat gesagt. Wir wissen, dass wir zu dünne Bremsleitungen haben, nur wenn die kaputt gehen, ist ja noch die Scheiben Waschanlage da. So. So so ungefähr nur in Technik. Das war das und da habe ich natürlich gesagt, okay Also all das, was ich jetzt sage, ist zitierfähig und dann habe ich auch diesen Artikel gelesen und der war ja dermaßen detailliert, also noch die der war ja auf Zeichenebene, ne, was für Zeichen verwendet man, für eine CSV. Detaillierter als wir jetzt sprechen. Und das ist ja kein, ich sage mal Technik, Fachmagazin und. Es kommt halt diese angekündigte Antwort äh äh von dem. Hersteller eigentlich von dem CEO, muss man sagen, von Culture For Life oder von Nexenu, von dem Patrick Henning, von dem Gesicht, was ganz vorne ansteht und der sagt, nee, äh da haben wir alles für Sorge getragen, das kann nicht passieren, das Szenario tatsächlich Daten vom Nutzer laufen ins Gesundheitsamt durch. Die können nicht zwischendurch gefiltert werden und sind so manipuliert, dass sie da irgendwie. Und das ganz konkret für dieses Szenario CSV Injection. Und wer selbst wer das noch nie gehört hat und googelt mal oder sucht mal nach CSV Injection, das. Ist eine Tabellenkalkulation. Es geht um die Formeln. Das ist eigentlich Fummeler Intection, also das ist ein Excel, ne. Ich habe mir selber gar nicht angeguckt. Man kann natürlich auch mit diesen. Nutzerdaten, die da durchlaufen, auch mit angebundenen Verfahren wie oder äh, was auch immer noch alles so hinten dranhängt, wo die Daten hingehen, spielen. Oder wenn die automatisch verarbeitet werden, ja, automatischer E-Mailversand, ja, dann kann man auch zusätzliche E-Mail-Adressen einfügen, weiß der Geier was nicht. Also die Daten merken nicht validiert, wurden nicht.
Linus Neumann
An dieser Stelle lohnt sich wahrscheinlich nochmal so ein kurzer äh eine kurze Erdung, wie der Tim das glaube ich immer äh auf Clubhaus nennt. Also, wenn wir von Injection reden. Bedeutet, dass die Daten kommen aus dem einen Kontext in den anderen und haben in dem anderen eine neue Bedeutung. In diesem Fall, den Markus jetzt gerade beschreibt, exportieren wir aus Luka in eine CSV-Datei, dann in Excel und Excel sagt, oh, das ist eine Formel, ich greife mal aufs Internet zu. Der noch klassischere. Fall der Injection ist die äh SQL Injection, ne, der die in der in den Web-Anwendungen eine große Rolle spielt. Da ist es zum Beispiel so, dass äh quasi. Also, wenn diese Schwachstelle besteht, wenn mein Nutzername oder mein Name jetzt zum Beispiel lauten würde, äh Anführungszeichen oben, Semikolon, lösche alle Tabellen. Dann könnte ich so heißen. Und wenn ich das jetzt an die Webanwendung gebe, gibt sie das weiter an die Datenbank und sagt, hier ist grade ein Nutzer gekommen, der heißt so und so und in dem der Befehl, den die Webanwendung dann an die Datenbank schickt. Wäre wieder, würde von der Datenbank anders interpretiert werden, weil durch dieses Anführungszeichen oben und das Semi Colon äh und das lösche bitte alle Tabellen. Ähm dass es ein valider Befehl an diese Datenbank und dass, das äh das Eklige an solchen Injections ist, dass sich das, was jetzt eine kritische Bedeutung hat. Von Kontext zu Kontext ändert. Und deswegen ist es zum Beispiel so so dringend ähm in und in der Programmierung ist das ein riesiges Problem, immer und immer wieder, den Typ einer Variable zu bestimmen. Ja, wenn man anfängt zu programmieren, wundert man sich, warum ich eine Variable, zum Beispiel als äh, also als ganze Zahl oder als String. Ähm definieren muss Aber für den für den Computer bedeutet, dass die Welt, weil die ganzen Zahlen kann ich multiplizieren und wenn ich einen String mit einer Zahl multipliziere, muss ich wissen, was damit zu tun ist. Also, der eine Wert ist in dem einen Kontext komplett, ohne besondere Gefahr und in dem neuen Kontext ist er. Kritisch. Jetzt sind das zum Glück, ist das eine überschaubare Menge an ähm Zeichen, auf die man prüfen muss. Aber man muss halt das dann schon machen.
Marcus Mengs
Ja, da liegt gar net, ich weiß, wo du hin willst, aber das war gar nicht so das Problem. Nur ich möchte mal, ich finde das mit dem Kontextwechsel, das ist sehr super, aber ich glaube, ich habe noch ein einfaches Beispiel.
Linus Neumann
Super, wenn du eine bessere Erklärung hast, dann gibt's die.
Marcus Mengs
Kenn das noch von von ja von den von den Simpsons von den Simpsons. Früher kenne ich das noch, ne? Ähm du weißt äh du hast diese Bar, wo du anrufst. Fragst du noch irgendeinen Namen und jetzt rufst du an und sagst. Fragst nach ja? In in deinem Kontext oder in dem Kontext des Anrufes hat Reinsch keine Bedeutung, aber du weißt in dem neuen Kontext, was da draus wird, weil der Barkeeper fragt, dann kennst du jemanden, der reinscheißt. Genau, das ist. Eigentlich eine gute Analogie dazu, was du gerade sagst zu dem Kontextwechsel.
Linus Neumann
Die finde ich sehr viel besser als meine.
Marcus Mengs
Ja sie ist kurz aber die äh ja aber das ist äh das ist der Kern der Sache, klar. Weil äh für diese ganze jetzt gezeigte Video heißt das, wenn du ähm. Mit Nachnamen, Addierefeld eins plus mit Feld zwei heißt, ja, dann versteht da Excel was anderes drunter, als dass das dein Name ist, sondern das wird zwei Felder addieren. Und wenn da halt na also das ist der Kontextwechsel, den du beschreibst und ja ich habe ja vorhin schon mal gesagt, die Formeln können mehr.
Tim Pritlove
So Jungs, ihr äh habt bisher äh komplett äh vergessen, mal Big Picture nochmal äh zu berücksichtigen. Was passiert eigentlich? Also. Daten sollen übernommen werden vom Gesundheitsamt. Gesundheitsamt lädt Daten runter, System und normalerweise stehen Name. Vorname, Name, Adresse, Telefonnummer, E-Mail-Adresse. Das ist das eigentliche Ziel. Das ist das, was normalerweise passieren soll. Und das geht so lange gut, wie in diesen Daten, die da ankommen. Hoffentlich genau das drinsteht. Wenn es jetzt einen Weg gibt, dort böses Zeug reinzuschreiben, Wie zum Beispiel, dass nun hier in aller Bandbreite äh äh erläuterte äh Modell von Formeln, Anweisung quasi für Excel, die dazu führen, dass Daten auf einmal von einer ganz anderen Quelle aus dem Internet nämlich äh herangezogen und dann im schlimmsten Fall auch noch ausgeführt werden dann wäre das schlimm. Das kann aber nur dann schlimm sein, wenn diese Daten tatsächlich auch schlimmen Inhalt haben können. Dann stellt sich doch die Frage, Wie können denn diese Daten überhaupt schlimmen Inhalt haben? Wo kommt denn dieser schlimme Inhalt überhaupt her? Weil das sind doch alles Daten, die Leute auf ihren Apps eingeben. Sind doch gerade bösen Menschen. Die wollen doch nur, die wollen auch nur in die Außengastronomie.
Marcus Mengs
Ja, da da bist du ganz schnell bei der Tragweite, also für das Big Pactcher, wenn man sich ein Stück zurücklehnt, muss man natürlich erstmal sagen. Dass man sich in dem Video nicht gezeigt hat, ganz kurz mit erläutern, wie fragt das Gesundheitsamt ab, dass du Gesundheitsamt fragt, ja einen Einzelnutzer ab, und zwar einen mit dem schon im Kontakt steht, weil der wahrscheinlich infiziert ist, äh tauscht mit denen. Dann eine Tarn aus, um sei äh über Luca die Locationhistorie von diesem Nutzer wieder herzustellen. Das habe ich in dem Video alles unterschlagen, ne, weil äh dass der Prozess Das heißt, äh das Gesundheitsamt bekommt getan, guckt dann in sein Frontend und sieht jetzt die Daten dieses einen Nutzers und wo ist der gewesen? In meinem Beispiel hieß das ja glaube ich Bar Lounge oder so, es können natürlich mehrere Locations sein und jetzt kommt diese doppelt Verschlüsselung, die immer beworben wird. Jetzt muss das Gesundheitsamt jede Location anfragen Gibst du mir mal bitte äh ähm die Check-In-Daten der restlichen Gäste, die zum Zeitpunkt. Dem Zeitpunkt da waren, wo der Nutzer da war, den ich gerade trac. Und das sind dann quasi die Kontaktlisten, also das Gesundheitsamt geht von einem Nutzer aus, Ist auch für einen Angreifer nicht so interessant und holt sich dann von vielen Leuten die Kontaktdaten anhand von Gästelisten, also von Locations, wo die gerade eingecheckt waren, da müssen die Locations auch zustimmen. So und da bist du dann bei dem, äh wenn das Gesundheitsamt diese Daten einsehen will in dem Webfronten entziehen die nur ein Bruchteil, ja? Das sind zum Beispiel die Adressen nicht dabei, da müssen irgendwie die Daten exportiert werden, damit du zum Beispiel Straße, Hausnummer und so weiter siehst. In was für einem Format auch immer, wenn's dann CSV ist und da zwei von den drei Exportformaten sind CSV, dann kann man dann Chartcode, Ausführung auslösen und zwar genau, wenn einer ein einziger dieser Nutzer, die in dieser gesamten Datenlage auftauchen, die das Gesundheitsamt da erzeugt, in seine Kontaktdaten solchen Chartcode eingegeben hat, weil diese Entschlüsselung. Mit den in Zusammenarbeit mit der Location und in Zusammenarbeit mit dem Nutzer, der getracet wird, findet alles lokal auf der Seite des Gesundheitsamtes statt. Man sieht das zwar noch in äh der Webaplikation, aber das läuft lokal auf den Rechner.
Tim Pritlove
Also wenn ich dich richtig verstehe, ist es äh Angriffsszenario, was du jetzt beschrieben hast und wir müssen das äh auch jetzt, ich musste jetzt mal kurz mal von A bis Z mal äh vorstellen, weil ich glaube, wir sind irgendwie äh äh verfangen uns immer wieder in den Details. Der Angriff erfolgt auf diese Datenübergabe. Das ist sozusagen der Punkt, der jetzt hier äh, die eigentliche Schwachstelle im System darstellt. Und das Ganze ist in dem Moment äh kann es erfolgreich sein, wenn man die Möglichkeit hat, Eingabedaten gezielt zu verändern. Und das bedeutet ja, wenn ich das richtig verstehe, man hier sozusagen einen User irgendwo mit eincheckt und dessen Daten, die man dann letzten Endes verschlüsselt, ablegt, Lukas System sind irgendwie modifiziert, weil sie müssen ja diese Daten, da muss man ja irgendwie ran und die einzige Möglichkeit, da ranzugehen ist ja die App. So, Das, das ist sozusagen der Angriff, der hier äh erfolgt. Die Wirkung, die du in deinem Video gezeigt hast, die müssen wir auch noch erwähnen, ist die Daten werden modifiziert. Auf, nutzen eben dieses hier jetzt vorgestellte System mit diesen Formeln. Und bringen in dem Moment, wo der Mitarbeiter des Gesundheitsamt diese Daten exportiert und öffnet, und das muss man dazu sagen, auch nochmal zwei Wahndialoge einfach, na ja, übergeht Ja, einfach sagst du, ja, mir doch egal was, da jetzt in diesem Fenster steht, ich muss jetzt hier so lange Return drücken, bis bis die Tabelle hochkommt, so bin ich das gewohnt, ne? Das ist ja so das typische Nutzerverhalten. In dem Moment könnte ja äh das Böse auch noch aufgehalten werden. Wird es aber dann nicht Dass es durchaus ein realistisches Szenario, das wissen wir einfach, dass Leute das dann einfach tun, weil sie das normalerweise nie sehen. Ist natürlich auch nicht geschult bekommen haben und die wollen irgendwie an die Daten ran. Und sie sind vollkommen gewohnt, das Windowsprogramme immer irgendwelche komischen Dialoge aufpoppen lassen und noch irgendwelche haben wollen, bevor sie dann endlich mal was sinnvolles für einen tun. Und diese modifizierten Daten führen dann dazu, dass Excel die Daten einliest, interpretiert. Code drin steht, der äh das Herunterladen eines externen Programms, und das Ausführen dieses Programms auf dem Computer bewirkt und dein Beispiel, was du dann in dem Video genannt hast, ist das kommt also eine Software, die den Rechner verschlüsselt und Fenster aufmacht und sagt, ja, das war's dann jetzt hier mit den Daten jetzt mal her mit dem Bitcoin, sonst äh kriegt er die nie wieder.
Marcus Mengs
Ja, in einem realistischen Szenario würde da gar nichts passieren, weil ähm. Das ist ja eine Demo gewesen, um das ein bisschen plakativ zu machen. Die normalen Demos, da poppt der Taschenrechner auf, um zu wissen, man kann beliebig Sachen ausführen, in einem tatsächlichen Angriff für diesen einen Sweat Actor, der schnell Geld verdienen will, ist das realistisch, dass da eine Verschlüsselung stattfindet. Das würde nur so aussehen, dass nicht nach einer Sekunde diese Meldung hochpuppt, sondern erst, wenn die Daten auch alle verschlüsselt sind und es dann zu spät ist. Oder du hast halt einen also ein ein Angreifer sagt, ah, ich bin mir sehr bewusst, was ich für ein System da angreife, da möchte ich nicht schnell Geld rausquetschen, sondern viele Informationen, dann wirst du gar nichts sehen, weil das erste, was der macht, ist, der weiß Dieser Angriff über Excel wird früher oder später erkannt, wahrscheinlich eher früher, also wird er sich versuchen im System zu verstecken, einen zusätzlichen Zugang zu schaffen, dann auf andere Systeme überzugehen, damit er möglichst lange, möglichst unerkannt, viele Informationen daraus ziehen kann und gegebenenfalls auch manipulieren kann. Da wird in Excel nicht mehr als die Fehlermeldung erscheinen. Dann sieht man die der Daten und dann wird ganz langsam dieses Gesamtsystem infiziert. Das ist eigentlich eher das ist wahrscheinlich eher das was realistisch ist, was da passiert. Weil die Sachen, ich denke mal, äh da muss man auch realistisch bleiben, äh wenn man wenn man jetzt nicht davon aus, wenn man ausgeht davon, dass sie auf Profit ausgelegt sind, dann sind die auf Masse ausgelegt und dann nimmt man sich nicht so einen spezifischen Vektor wie für dieses Gesundheitsamt, Ist ein klassischer Vektor. Heißt nicht, dass das nicht geht. Und äh auch nicht, wenn wir reden ja immer nur über Cybercrime. Meistens im Hintergrund, die wollen schnell Geld verdienen und nicht. Äh viele Daten ausleiten, aber es gibt halt verschiedene Akteure und verschiedene Szenarien. Das muss man auf der. Auswirkungsseite sagen, bei dem Input muss man sagen, äh wir haben's jetzt sehr verkompliziert. Eigentlich ist es so einfach ähm, Du bist der Nutzer, du kannst als Name Schadcode in deinen Namen eintragen, Luca filtert das nicht und irgendwann ruft das Gesundheitsamt eine Kontaktliste ab, wo dein Name draufsteht. Aber wenn es den Namen liest, indem du eingefügt hast, wird das schon ausgeführt. Äh wollte ich schon fast sagen. Weil äh im Prinzip, ich hab's nicht so getestet, aber jeder Nutzer, ich habe nicht den, ich habe nur nicht den Namen mit Chart-Code hinterlegt aus einem ganz einfachen Grund, dann hätte ich im Video den Chartcode selber zeigen müssen. Deswegen habe ich ein anderes Nutzerdatum genommen. Bei mir lag der Schadcode in der äh Postleitzahl, wenn ich's jetzt richtig im Kopf habe äh was eigentlich eine fünfstellige Ziffer ist. Bei Luka kann's auch sein. Alleine das ist schon bemerkenswert, weil das könnte man sehr einfach filtern, ähm und jetzt hast du aber nicht das Risiko nur, dass ein Mensch das macht und sagt, ey ich bin der Böse, sondern äh du kannst, Beliebig viele Nutzer anlegen, weil die äh Telefonnummern, Zertifizierung noch nicht läuft, du kannst beliebig viele Nutzer mit viel Chartcode in beliebig vielen Kontaktdaten hinterlegen. Und die Wahrscheinlichkeit, ein Gesundheitsamt zu treffen. Äh steigerst du damit, dass du die in sehr, sehr, sehr viele Locations eincheckst. Weil du kannst auch einen Nutzer parallel in mehrere Locations einchecken. Und irgendwann wird ein Gesundheitsamt eine Location abfragen und dann taucht einer von deinen Schadcode behafteten Nutzern mit auf und das, steigert die Wahrscheinlichkeit, dass du so einen Angriff platzieren kannst, natürlich dramatisch. Und je mehr von diesen Angriffen du platzierst, umso höher ist die Wahrscheinlichkeit, dass ein Mitarbeiter in einem Gesundheitsamt so eine Warnmeldung wegklickt. Und dann muss man den Impakt hinten sehen, klickt die einer weg. Das ist wie bei Phishing. Es reicht einer, weil du hast dann Systemzugriff, Ob das dann noch einer macht, brauchte ich gar nicht mehr interessieren, weil du kannst dann schon mit dem System arbeiten. Ob du da jetzt die Daten aus dieser Excel Tabelle von dem einen kontaktracing abgreifst, das ist eigentlich auch egal, weil du kannst dich da einisten und äh auch auf Luca greifst du äh, von dem Gesundheitsamt Mitarbeiter zu und wir wissen auch, dass Luka äh es gibt auch keine Trennung mehr, nach Zuständigkeiten der Gesundheitsämter, weil alle Gesundheitsämter äh nutzen die gleichen Schlüssel, in dem System zum Datenzugriff. Und also alleine was diese Fachanwendung Luca betrifft hast du dann eigentlich Zugriff auf alles. Wenn dir ein so ein Angriff gelingt und du kannst den sehr, sehr, breit platzieren, um die Wahrscheinlichkeit zu erhöhen, dass du triffst. Und das ist das, äh, was da eigentlich dahinter steht.
Tim Pritlove
Okay, also halten wir fest, wenn erstmal böse Daten weit gestreut sind ist es äh eigentlich nur noch ähm durch ein besseres Filtern der Daten bei der Übergabe äh zu retten, Das ist etwas, was jetzt auch nachträglich von Luca noch gemacht werden kann. Das ist auch, sagen wir mal, von der Komplexität her jetzt nicht so, dass man sagen würde, das ist jetzt unmöglich, das zu verhindern. Es ist halt einfach nur so eine weitere Nachlässigkeit von so einem Ding, wo man sagen würde Heutzutage sichere Programmierung im Internet gehört einfach so ein Sanity-Check, so ein so ein so eine so eine so eine Gesundheitsüberprüfung von Daten und das äh sicherstellen, dass die Daten auch in der Form, und in der Art präsentiert werden, wie sie erwartet werden. Das gehört einfach dazu, ja. Früher gab's ja mal im Internet dieses. Etwas äh zu optimistische Idiom, man solle doch ähm bei Software immer sehr st, darin sein, was man sendet, aber man sollte sehr offen sein mit dem, was man äh empfängt. Das ist in gewisser Hinsicht gut gemeint, also nach dem Motto, naja, wenn's mal einer falsch macht und so, dann dann lassen wir es äh äh lassen wir auch Abweichungen zu. Das führt aber dann dazu, dass eben dann solche äh bösartigen Atta, nicht korrekt erkannt werden, ne. Tatsächlich äh sollte man extrem strikt sein in dem, was man äh akzeptiert, weil dann werden sich die Sender schon auch irgendwann danach äh richten. In diesem Fall aber liefert ja quasi Luca seine eigenen Daten aus und äh die Eingaben der User nicht ansatzweise zu überprüfen, dass sie auch in einer Form kommen, wie es gedacht ist Und dabei sogar noch zu erlauben, so den die Daten zu anzupassen, dass sie auf der anderen Seite so ein Excel in so einem Windowssystem springen. Das ist schon ziemlich äh harter Tobak, wenn sie wollen, können sie das Problem schnell lösen, aber das Problem ist einfach nur, dass dass man sogar sowas äh noch entdecken muss, obwohl schon wochenlang über Sicherheit dieses Systems diskutiert wird.
Linus Neumann
Spezifisch über dieses eine Angriffsszenario, ja, also äh ähm ich habe ich werde auch, glaube ich, in einem Zeit Onlineartikel damit zitiert, zu sagen, so das zu fixen. Dauert Minuten. Dauert eine Stunde. Insbesondere, wenn du jetzt weißt, was sind denn die gefährlichen. Zeichen im Zielsystem. Bei Excel in dem Fall ist das halt, ich meine, das müsste es müsste größtenteils erledigt sein, wenn du sagst, wir akzeptieren keine Gleichheitszeichen, in der Postleitzahl, keine Klammern und keine Anführungszeichen, ne? Das ist jetzt nicht irgendeine irgendeine irre Magie. Du musst natürlich wissen, Was sind die potenziell gefährlichen Zeichen äh in dem System, wo es nachher ausgespielt wird? Aber ne, die die sind, das ist eigentlich ganz lustig, das weißt du ja auch, Tim und äh für die Hörerin leuchtet's auch ein, in den Programmiersprachen und in den in den verschiedenen Kontexten sind es denn häufig Zeichen, die auf der amerikanischen Tastatur relativ einfach zu tippen sind, und vielleicht nicht ganz so häufig in normalen Kontexten. Ne? Und äh deswegen ist halt das Gleichheitszeichen bei Excel äh das naheliegende Ding, weil es irgendwie symbolisiert, in diesem Feld soll etwas anderes stehen, als was ich hier schreibe, nämlich gleich und, niemand rechnet mit dem Gleichheitszeichen als und damit ist es halt der der geeignete Escape Charakter. Und, den zu filtern, das ist eben jeder Programmiererin innerhalb von drei Wochen möglich. Hat äh in diesem Fall vor drei Wochen eben sehr viel mehr Zeit darauf verwendet, die Schwachstelle zu leugnen. Als sie einfach zu fixen und drei Wochen später war es dann soweit, dass Markus irgendwie in seiner Freizeit mal kurz einen Proof of Concept fertig hatte, der zeigte so, hier so schlägt das durch. Wenn man keinerlei. Äh macht. Und das ist denke ich auch das das Krasse hier und dass sie eben, ne, das wurde breit in der Öffentlichkeit diskutiert. Übrigens, kannst du reinschreiben, was du willst? Kommt raus, was du willst. Wird, du wirst keine Filter umgehen.
Marcus Mengs
Es war ja eigentlich sogar noch ein bisschen schlimmer, muss man ja sagen. Ich wüsste jetzt nicht auf das Zeichen dafür runterbrechen, aber es gab ja. Artikel ist vor drei Wochen veröffentlicht worden, der das Problem konkret behandelt hat, und in dem Artikel stand wie Nex Senior dieses Problem negiert hat mit der, ich sage mal mit der Aussage, ob die jetzt richtig oder falsch waren die Maßnahmen, die sie getroffen haben, aber wir haben Maßnahmen getroffen. Ähm, Maßnahmen, es gab einen Tag äh. Ich glaube, einen Tag bevor der Artikel veröffentlicht wurde, äh gab's einen Commit, also eine eine ein Update vom Code, in dem Repositor, wo ähm. Genau dafür Maßnahmen getroffen worden, für das, was dann in dem Artikel stand, weil die Presseanfrage war natürlich etwas vorher, die war ja nicht.
Linus Neumann
Sie haben's noch versucht.
Marcus Mengs
Eigentlich ist die Zeitlinie so gewesen, die Presse fragt was an, habt ihr das Problem? Äh nee, haben wir nicht. Ein Tag später kommt der Patch, um dieses diesem Problem zu begegnen und dann kommt der Artikel, in dem drinnen steht, nein, das Problem besteht nicht, weil wir haben die und die Maßnahmen umgesetzt, die erst kurz vorher nachgepatcht wurden. Und ähm das ist eigentlich für mich was ganz gravierendes gewesen. Ich habe mich gar nicht so an diesen wann ist, was passiert aufgehängt, sondern äh dadurch ist mir natürlich der genaue. Genaue Mechanismus aufgefallen, mit dem da gefiltert werden soll, so und jetzt hat Linus einzelne Zeichen erklärt, ja, das kann man auf dem Level denken. Ähm Man kann ja nur sagen, okay, ich habe ein Risiko, dass das passiert, da muss ich irgendeinen Filter einbauen und irgendwas machen. Wenn ich ein äh IT-System, oder betreiben will, äh wo ich sagen muss, äh die Verfügbarkeit, ja, die hat, die muss hoch sein, die Vertraulichkeit, die muss hoch sein, da habe ich ganz hohe Schutzziele, den ich mit Maßnahmen Rechnung tragen muss und da reicht es nicht, dass ich sage, ah, ich habe hier mal was hinprogrammiert, was das vielleicht filtert, sondern man muss das auch getestet werden. Das geht gar nicht an einem Tag, Also allein davon wie das mit die Presse fragt an und das führt zu einem Patch verlaufen ist, auch der Patch ist nicht nach einem Tag gegessen, ich habe ja ein Risikoszenario, nämlich diese CSV Injektion und irgendeine Instanz, muss mir auch unabhängig testen, dass ich mit diesem kleinen Patch. Dieses Risiko ausgemerzt habe. Was ist bei Luca passiert? Die sagen, nee, wir haben das Risiko nicht. Wir haben Maßnahmen getroffen und dann und bei mir war's so, für Wünsche war's so, ich habe eine Minute da drauf geguckt und habe gesehen, nee, das reicht nicht. Leute, weil ihr habt das Problem nicht durchtrunken. Ich habe nur noch nicht die Zeit gehabt, das auch programmiertechnisch, validieren, aber wenn man es beim Draufgucken sieht, dann ist schon ganz schlecht, ne? Also ich habe nur auf diesen Code geguckt und, Oh, ich denke, das stimmt so nicht. Und das zeigt, dass auch nicht getestet wird und das ist ganz wichtig, dass das hier fehlt. Es wird nicht getestet. Wir haben heute wieder ein Patch, Ich würde mich nie dazu hinreißen lassen, wie das Seng Senior heute gemacht hat, zu sagen, ja, wir haben jetzt auch das Problem gelöst, weil das kann nicht getestet sein in der Zeit, wenn heute, wenn in der Reaktion auf dem Video von heute Morgen kommt, äh wir haben da nachgebessert, Wenn es denn das getestet wurden.
Linus Neumann
Also nachgebessert haben sie ja gar nicht. Also erstmal ist das ja keine Schwachstelle, sondern sie haben nur einen Hinweis auf einen potentiellen Missbrauch des Lukas-Systems im Zusammenhang. Microsoft Excel Code Injection, ja?
Marcus Mengs
Es stimmt, Entschuldigung.
Linus Neumann
Dann haben sie nicht vor drei Wochen davon erfahren, sondern durch eine Medienanfrage und per Twitter, äh von einem möglichen Missbrauch, ja, der ab jetzt auch systemseitig verhindert wird, ja? Nicht eine Schwachstelle, nein, nein, das ist ein potentieller Missbrauch, der jetzt auch systemseitig verhindert wird. Und. Der nächste Satz ist sofort, das gilt für alle Excel-Dateien, die sie per E-Mail empfangen und hier ähm das BSI sagt, sie müssen Markus deaktivieren, wie du schon sagtest, um Markus geht's gar nicht, laut den auf Twitter erhobenen Vorwürfen wäre es unter Umständen möglich gewesen. Durch das Luka-System schadhaft. Code, an die Gesundheitsämter zu übertragen, Hintergrund ist eine sogenannte CSV Injection, ein in Excel bekanntes Problem, weshalb Excel auch generell Dateien auf solchen Chartcode bei Offnung prüft und die Nizzerinnen darauf hinweist, die Schwachstelle in Excel kann es theoretisch ermöglichen schadhaften Code in Excel auszuführen mit Hilfe von bestimmten Formeln können Angreiferinnen beispielsweise Daten auslesen oder andere schädliche Aktionen ausführen. Also Excel ist ja das Problem. Um den potenziellen Missbrauch, die Übertragung der Luca-Daten an Excel, Excel, Excel Excel. Über die dort implementierten Sicherheitsmaßnahmen hinaus zu verhindern, System verschiedene Filter einer hätte gereicht, angewendet, welche im Vorfeld die Excel und CSV Dateien, nach Zeichen und Formeln scannen. Da bin ich ja mal gespannt, welche Zeichen die so scannen. Ich kenne sie ja, die sieht man ja in dem Gitcom mit. Viele in Deutschland übliche Nachnamen sind inzwischen ausgeschlossen. Das Luka-System berücksichtigt die Empfehlung von OverSpe bezüglich CSV Injection, die hier aufgelistet sind. Nein, das tun sie nicht. Und spätestens da, ist es eben nicht mehr wahr. Entsprechende Zellen werden wie empfohlen. Es gibt heute Vormittag haben wir diesen Filter noch zusätzlich um eine sogenannte Anzeichen erweitert, damit böswillige Angreiferinnen, diese Excell-Lücke nicht mehr ausnutzen können. Und ich muss ganz ehrlich sagen, mir reicht es langsam, ne? Also wieder einmal ähm, sagen sie das Problem ist nicht bei uns, es geht noch es geht noch viel weiter, ja? Sie sagen, ich ich überspringe jetzt mal, weil es auch einfach nur noch eine Frechheit ist. Ähm spezifisch. Was bedeutet das für die Arbeit in Gesundheitsämtern, ja? Die Schwachstellen in Luca. Generell ist es ratsam, Makros in Excel nur mit Bedacht zu aktivieren. Öffnungsversuch entsprechender schadhafter Dateien erfolgt eine Warnung über ein Pop-up-Fenster, welches vor dem Öffnen der Dateien auf dem Bildschirm angezeigt wird. Es ist sehr wichtig diese Hinweise sorgsam zu lesen und nicht direkt wegzuklicken. Darüber hinaus ist es ratsam zu überprüfen, inwiefern die Empfehlung des BSI im jeweiligen Gesundheitsamt bereits umgesetzt werden, BSI-Empfehlung BSICS eins drei sechs. Es ist unwahrscheinlich der Schaden durch einen derartigen Angriff entstanden ist, wenn Mitarbeiterinnen nicht. Tief die Sicherheitswarnungen des Systems missachtet haben. Uns ist kein dementsprechender Sicherheitsvorfall in Zusammenhang mit. Lukas System bekannt. Durch weitere Maßnahmen, weitere Maßnahmen, die heute im Lukas-System umgesetzt worden sind, wird in Zukunft ein solcher Missbrauch, in Zusammenhang mit Makros in Excel verhindert. Und es ist genau diese Kommunikation, wo ich. Also und das habe ich auch dem Patrick Hennig schon persönlich gesagt, dass sie. Diese unaufrichtige Kommunikation sich echt mal langsam sparen können. Ja? Das ist eine Schwachstelle bei denen. Das ist, Verantwortungsbereich. Und sie können nicht sagen, äh Microsoft Excel ist das Problem. Ähm es gibt einen Vortrag von mir hier in der Haken beim CCC Kongress packen wir in die. Wo ich natürlich spezifisch auch, Excel und Microsoft dafür verantwortlich mache, dass sie in den Warnungen äh Nutzerverhalten einleiten. Dass äh ja die im Zweifelsfall die unsichere Variante bevorzugt. Ja? Das ist aber, Eine Situation, die war schon da. Und wenn ich davon ausgehe, dass es Postleitzahlen mit Gleichheitszeichen gibt, dann kann ich nicht Microsoft Excel den Vorwurf machen. So und das ist wie immer. Der das das klassische Umgehen von Nexen New Luca mit Schwachstellen, dass alle Schuld sind, außer sie selber Microsoft ist schuld, der Markus ist schuld, ähm hier Twitter ist Schuld, aber wir nein, So und die lassen sich ernsthaft zitieren und tragen heute noch vor, dieses System hätte keine Sicherheitslücken. Und das. Tatsächlich auch der Punkt wenn man eine Sicherheitslücke hat, dann sagt man, hier. Haben wir Scheiße gemacht? Haben wir Scheiße gebaut, haben wir gefixt, wir kennen das Problem an, tut uns leid, wer uns selber verifiziert, Scheiße, sorry. Und ist auch völlig in Ordnung, dass solche Fehler passieren. Nur die können nicht drei Wochen später nachgewiesen werden, nachdem es schon auf Zeit online stand und du irgendwie wie so ein Gorilla auf deiner Brust rumgeprügelt hast und gesagt hast, äh bei uns, nee, überhaupt nicht, ey. Wir machen das alles hier mit und so, ne? Das ist alles cool, während du gleichzeitig am Datum der Presseanfrage oder einen Tag vor dem Artikel so eindeutig und durchschaubar versuchst, noch irgendwelche komischen Fixes unterzubringen. Und. Irgendwann hast du dann eben auch alles Vertrauen verspielt. Es ist nicht so, dass ich ähm. Muss wirklich sagen, gerade ich als jemand den ganzen Tag nur mit Sicherheitslücken zu tun hat und ihrer Behebung und auch die Probleme kennt, ja, ich habe ja in meiner beruflichen Tätigkeit mit nicht trivialen Sicherheitslücken zu tun, wo du wirklich denkst, Scheiße, wie kriegen wir dieses Risiko eingehegt, ja? Und ähm da akzeptiere ich nur, den Umgang der lösungsorientiert ist. Und wenn die um. Betreiben und sagen im Zweifelsfall, also wir belehren jetzt mal hier erstmal, ja? Die Mitarbeiterinnen im Gesundheitsamt. Geben jetzt irgendwie Microsoft Excel die Schuld, ja? Dass wir keinerlei anwenden, bei hochkritischen Daten in einem sensiblen, zeitkritischen Kontext, ja? Mein, die Warnmeldung, wie lautet die Warnmeldung, Markus?
Marcus Mengs
Um vertrauenswürdige Quellen.
Linus Neumann
Nur wenn sie nur öffnen sie diese Datei nur wenn sie die aus einer vertrauenswürdigen Quelle haben. Wer soll denn bei wenn Luca, hör mal Luca, kannst du doch vertrauen, da hat der Smudo doch gesagt, das ist doppelt verschlüsselt. Was willst du denn noch. Ja, wenn die, wenn sie hier immer noch die Schuld bei anderen Leuten suchen, dann hast du's halt einfach mit Leuten zu tun, die nicht aufrichtig sind, das ist einfach, ne, die haben bis heute nicht zugegeben, dass sie eine einzige Schwachstelle haben. Reden hier potentieller Missbrauch unseres Systems, andere Schwachstellen, die Markus, denen äh gemeldet hat, haben sie gesagt, ja hier haben wir einen, hier haben wir einen Error. Und ich meine, man fragt sich wirklich, was sind das für Leute. Wenn du das, wenn du den Unternehmensnamen googelst, äh hat äh Torsten mich heute noch drauf aufmerksam gemacht, dann ähm. Kommt irgendwie so sie machen nur Hochsicherheitslösungen mit.
Tim Pritlove
Das ist ein guter Witz.
Linus Neumann
Jemand, jemand anders antwortet da äh, Berliner Startup, das für nutzerfreundliche und hochsichere IT-Lösungen steht. Easy collaboration security by Design. Ein äh weiterer Nutzer auf Twitter antwortete darauf, irgendwie so Hochsicherheit kommt vor dem Fall, Ja, was ich auch sehr.
Tim Pritlove
Oh Mann, das trifft's wirklich sehr gut, ja. Oh.
Linus Neumann
Und du du fragst dich dann, ne, äh wie wie kommt es, dass der Chaos-Computer-Club siebenundsiebzig äh hoch äh dekorierte Security-Vorstellungen an den Berliner Universitäten. Sie vierhundert noch was Menschen, äh die die auch was von dem Thema verstehen, da drunter schreiben. Und alle sagen, das ist hier Murks Das ist Morks, das willst du nicht haben, das möchtest du nicht, da sind deine Daten nicht in guter Hand und da sind deine zweiundzwanzigeinhalb Millionen Euro Steuergelder nicht in guter Hand werden dann irgendwie noch als Hater beschimpft, als würden wir nicht diesen Codehaufen. Erkennen, als das, was er ist, ein Kothaufen. Und das ist zum Durchdrehen. Musste dich noch dafür rechtfertigen und dann wirst du noch diskreditiert bei anderen Unternehmen, ja? Ähm. Meldest du eine Schwachstelle und die die kommen nachher zu dir und sagen, hör mal, du hast ja mit Aufwand gehabt, ne, äh wir danken dir, dass du äh einen Beitrag zu der Sicherheit unseres Systems geleistet hast. Ähm Wir dachten, wir überweisen dir mal folgenden Betrag.
Marcus Mengs
Man muss auch sagen, das sagen die auch, wenn's kein wertvoller Beitrag war, damit du wiederkommst und weiter für die Arbeit ist, weil das kostet ja nicht viel.
Linus Neumann
Richtig, das kostet dich. Sprichwörtliche, müde Arschrunzeln, da mal ein Tausender oder fünfzehn rauszuwerfen ähm oder zwanzig einfach nur, um dich mit der Community gut zu halten. Ich will jetzt nicht dafür werben, dass äh Nexenio Markus Geld geben sollte, dafür ist er auch glaube ich zu spät und ähm so wie ich Markus schätze, würde, im Zweifelsfall eh einem äh anderen Zweck äh zur Verfügung stellen. Aber das ist halt.
Marcus Mengs
Ich habe sogar vor der Backbound die muss man äh kurzer Einwurf, es wird eine Backbound hier angeboten. Ich habe da mal vorsichtig vorgewarnt. Weil das hat auch immer was mit auch einem Backbound, die hat was mit Vertrauen gegenüber den Herstellern zu tun, weil man steht auch ganz schnell mal unter einer NDA, und also dass man dann nicht mehr über das sprechen darf, was man da äh gemeldet hat Aber wir reden hier davon, dass das sehr, sehr viele Leute betrifft und wenn ich mir die Firma so angucke, hätte ich normale ich selbst in Persona gar keinen. Gar nicht die Tendenz in der Back Bounty zu reporten. Ich würde mich dann nicht unter die Regeln drunter drücken lassen, in dem Fall.
Linus Neumann
Ich will das Thema jetzt gar nicht aufmachen. Es gibt halt einen, also es gibt einen Unterschied in einer in einer gelebten IT-Sicherheitskultur und da dazu gehört eben auch das aufrichtige Anerkennen von Fehlern. Ja und, hier irgendwie dann noch am Ende die die Gesundheitsamtsmitarbeiterin zum zu belehren. Unten, unten trivialfehler, den sie gemacht haben, dann irgendwie noch Microsoft anhängen zu wollen. Dann will ich nicht wissen, äh wie das aussieht, wenn wenn mein Name demnächst den den äh den Header einer Excel, einer Excel-Datei hat.
Marcus Mengs
Das Statement, entschuldige lieben und das Statement, das das ist an Dreistigkeit, das ist echt nicht so zu übertreffen oder auch die alleine äh. Eine Aussage dadrüber zu treffen, was Behörden für BSI-Maßnahmen umsetzen, die brauchen alle keine IT-Sicherheitsbeauftragten mehr, weil Sagt denen, was für Maßnahmen schon umgesetzt sind. Die brauchen auch keine Konzepte mehr schreiben, weil Next Senior weiß auch, was für Maßnahmen umgesetzt sind und wie den riesigen Rechnungen betragen wird.
Linus Neumann
Unglaublich.
Marcus Mengs
Sicherheitsstrang brauchst du gar nicht mehr, du willst jetzt einen Dreistigkeit kaum noch zu übertreffen, ne? Oder oder alleine der Wunsch. Aus der Perspektive Nexenio feststellen zu können, ob's damit mal einen erfolgreichen Angriff gab oder eine Ausnutzung von solchen Schwachstellen, das ist ja auch, Ein sehr großes Wunschdenken, ja, dass man da überhaupt Aussagefähig ist von außen, äh ist schon. Schon sportlich, was sie da geschrieben haben, muss man so sagen.
Linus Neumann
Also mir fällt da nichts mehr zu ein.
Marcus Mengs
Investiert mehr nicht vier Millionen in SMS, sondern noch mehr in PR.
Linus Neumann
Vier Millionen in SMS, die sie nicht prüfen. Das ist einfach nur so. Hier vier Millionen ne weg.
Marcus Mengs
Vielleicht das, vielleicht äh ich habe auch schon mal überlegt, ob das nicht vielleicht der Grund ist, ähm, Warum ja diese SMS Verifizierung immer noch nicht stattfindet, weil die Frage ist ja dann auf die Nutzer, die sich da ja schon angemeldet haben, müssen die dann auch nochmal eine neue SMS bekommen oder nicht. Kostet das dann nochmal vier Millionen?
Linus Neumann
Also das ist ja wieder nur Quatsch, ne? Das ist ja wieder nur, dass sie morgens irgendein Quatsch geredet haben, die werden niemals äh mit ihren existierenden Nutzerinnen nochmal 'ne SMS verifikation durchführen. Das werden die einfach nicht tun, weil sie wissen, dass sie dabei dreiviertel der Nutzerinnen verlieren. Aber, Ich denke, wir haben jetzt auch langsam alles geschildert und es ist ja also. Es werden hier immer wieder Probleme geschildert, es sind immer Probleme aus dem ersten Semester oder dem ersten YouTube-Tutorial und die warum ich auch wirklich so fuchsig darauf reagiere und warum ich das hier auch nochmal in aller Breite mit dir. Markus, ich weiß, du hattest einen langen Tag, besprechen wollte, ist, weil diese Antwort so. Unverschämt ist, weil sie so gegen alles verstößt, was wir in der IT-Sicherheitskultur seit Jahrzehnten leben. Und was wir auch nicht tolerieren dürfen als Gesellschaft. Es gibt immer schwierigere Sicherheitslücken. Es gibt immer größere Hacks und so weiter. Aber gerade deswegen musst du als äh Unternehmen, dass Millionen an Steuergeldern kassiert, sagen, So und so, habt ihr recht, Hammerscheiße gebaut, müssen wir besser machen. Und das hätten sie vor drei Wochen machen können. Und sie machen's drei Wochen später immer noch nicht. Und solchen Leuten willst du nicht vertrauen, Und deswegen stelle ich jetzt hier ganz klar die Forderung, na ja, ein Spiegel äh Interview heute schon gestellt Verträge, rückabwickeln, Regress fordern, die haben nicht geliefert Luca Deh installieren und echt zusehen, ob er wenigstens noch ein paar von den Millionen irgendwie zurückfördern äh zurückfordern können, weil die ganz offensichtlich nicht das geliefert haben, was sie, versprechen und weil sie den Anforderungen, die sie an ihre eigene App stellen, nicht gerecht werden.
Tim Pritlove
So Leute, ich äh denke, jetzt ist äh alles ausführlich diskutiert äh worden. Wir stellen fest, dieses, ist äh nicht zu retten und unsere einzige Hoffnung besteht da drin, nicht nochmal drüber sprechen zu müssen. Vielen Dank, Markus für die äh Ausführung.
Marcus Mengs
Ja, danke für das entspannte Gespräch.
Linus Neumann
Und danke, dass du an der Nummer so drangeblieben bist.
Tim Pritlove
Genau. Ja und wir äh Linos haben jetzt ein bisschen viele Sendungen rausgegossen. Ähm.
Linus Neumann
Ja, jetzt hören wir auf.
Tim Pritlove
Aber das hat hat ja auch jetzt ist erstmal Ruhe. Wir melden uns dann wieder, wenn die Pandemie vorbei ist.
Linus Neumann
Und die Netzpolitik wieder in Ordnung.
Tim Pritlove
Ja genau und all diese Apps überhaupt nicht mehr erforderlich sind. Nee, Quatsch. Wird nicht so lange dauern, aber äh jetzt wünschen wir euch noch einen schönen Wochenausklang oder was auch immer gerade bei euch äh ansteht und sagen tschüss und bis bald.
Linus Neumann
Tschau, tschau.
Marcus Mengs
Tschüss.

Shownotes

Prolog

Feedback

Vorstellung Mame82

Vorgeschichte Luca

Umgang mit Theresa Stadler

Luca-Probleme

Video-Serie

Tracking

Schlüssel-Anhänger: LucaTrack II

Code Injection

Vorgeschichte

Wie genau funktioniert der Angriff?

Presseberichte

Reaktion von Luca

Reaktion Community

Empfehlungen

LNP395 Gute-Geheimdienste-Gesetz

Eine kleine Geschichte des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Ein LNP-Spezial mit Andre Meister.

Andre Meister und Linus Neumann wollten eigentlich nur über die letzten beiden Staatstrojaner-Gesetze der Legislaturperiode sprechen, die jetzt im Hau-Ruck-Verfahren den Bundestag passieren sollen.

avatar
Linus Neumann
avatar
Andre Meister

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Andre Meister
Guten Morgen Linus.
Linus Neumann
Morgen, Andre. Logbuch Netzpolitik mit einem weiteren kleinen Spezial. Lange nicht mehr hier als Gast, aber eigentlich äh immer noch gesehen, als äh schönes, tolles Mitglied des Lokbuchnetzpolitik Teams ist Andre Meister, mit dem, ich heute mal ein bisschen sprechen möchte über den Zustand, beim Staatstrianer. Wir zeichnen auf am einundzwanzigsten Mai. Ich weiß aber noch nicht genau, mit welcher Sendungsnummer diese Folge veröffentlicht wird, das seht ihr im Zweifelsfall. In eurem freien Podcast denn auf Plattformen wie Spotify veröffentlichen wir ja aus Gründen, nicht. Andre Meister ist den meisten von euch sicherlich bekannt als äh Redaktionsmitglied bei Netzpolitik org und aus äh als Landesverräter. Und als regelmäßiger Gast hier in der Sendung, aber es ist relativ lange her, Andre und äh von vielen Leuten wurde mir auch gesagt, ich soll dich bei dieser Gelegenheit dafür rügen.
Andre Meister
Ja, Corona ist schuld. Oder so.
Linus Neumann
Corona stimmt, da haben ja die meisten Leute stark am Output gelitten und konnten gar nicht mehr podcasten und auf YouTube irgendwelche Sachen veröffentlichen.
Andre Meister
Wir hatten ja grad schon Technikprobleme in die Metaebene, wer ich auch schon mal eher wieder gegangen.
Linus Neumann
Ja, das stimmt. Äh tatsächlich. Äh wir haben ähm. Eine lange gemeinsame Geschichte, die äh Staatstrojaner betrifft und ich glaube, dass was ich immer noch äh für eine der am wenigsten berichteten und trotzdem auch krassesten Geschichten halte, ist dieser, ja dann doch irgendwie ein bisschen äh gemeinsamer, aber primär auf dich und die GFF zurückgehende Erfolg. Hausdurchsuchung bei Filmfischer. Was war da los? Die GF hatte äh Strafanzeige erstattet. Thorsten und ich haben nach dieser Strafanzeige auch nochmal eine Bericht über den geschrieben, indem wir weitere. Beweise zusammengefügt haben zu den schon bestehenden, irgendwie eine eine weiterführende, tiefergehende Analyse nachgereicht haben. Ähm. Und es geht da ging bei dem Verfahren darum, dass das äh Unternehmen Gamma-Finfischer das Unternehmenskonglumrad Gamma Filmfischer in dem Verdacht steht, diese digitale Schadsoftware. An die Türkei geliefert zu haben, wo sie gegen die Opposition eingesetzt wurde. Und dann ist erstmal eine ganze Menge nichts passiert und dann.
Andre Meister
Äh ist das jetzt die galante Überleitung.
Linus Neumann
Galante Überleitung.
Andre Meister
Ja, ich ich muss mal noch einen kurzen Einschub machen, also äh Ulf, Burmaier und ich, wir hatten damals die Idee für diese Strafanzeige, aber das ist eine Gemeinschaftsaktion, auch zusammen mit Reporter ohne Grenzen und dem ECCHR. Ähm das ist tatsächlich, weil das ECCHR, das europäische Zentrum für Grund- und Menschenrechte, glaube ich, die machen sehr viel zu Exportkontrollen, da vor allem zu Waffenexporten. Äh und Reporter ohne Grenzen hat natürlich sehr viel zu Türkei gemacht und vor allem Pressefreiheit in der Türkei. Und zusammen mit GF und Netzpolitik das vier NGOs aber nach der Strafanzeige, die wir eingereicht haben. Ist erstmal lange nicht viel passiert, also das Einzige, was passiert ist, ist, dass ähm. Fischer, Mia und Netzpolitik, ORG, äh 'ne Abmahnung geschickt hat und ich glaube.
Linus Neumann
Stimmt.
Andre Meister
Gericht äh über unseren Artikel, der leider nicht mehr in Gänze online ist. Ähm aber irgendwann letztes Jahr, lass mich nach im Oktober genau zwanzig zwanzig gab's eine Razzia äh bei Finn Fischer wegen dieser Strafanzeige, also die Staatsanwaltschaft München, wo wir die äh die Strafanzeige eingereicht haben, Verdacht auf illegalem Export ohne Genehmigung. Ähm die hat, den Anfangsverdacht äh gesehen, dass sie gemeint haben, da ist was dran. Das gucken wir uns mal genauer an und haben anscheinend genug Verdacht gesehen um äh Hausdurchsuchungen zu machen und zwar nicht nur in der Firmenzentrale in München, sondern in insgesamt fünfzehn Objekten, wie die das nennen, also Geschäftsräumen und Privatwohnungen.
Linus Neumann
Und Briefkästen.
Andre Meister
Ja, ich die sagen leider nicht ganz genau, ähm was die konkreten, ob, ich würde mal davon ausgehen, äh dass höchstwahrscheinlich auch die Meldeadressen der äh einer oder mehrerer Mitarbeiter von einer oder mehrere Firmen. Ähm davon betroffen waren, also dass sie wahrscheinlich auch bei Geschäftsführern oder wem auch immer zu Hause standen, äh einer der Geschäftsführer der Fin Fisher GmbH, ist auch seit. Ungefähr dieser Razzia nicht mehr Geschäftsführer. Äh ich habe leider noch nicht bestätigen können, ob das Korrelation oder Karussellität ist. Ähm auf jeden Fall gab's eine Hausdurchsuchung bei fünfzehn äh Objekten und seitdem werte die Staatsanwaltschaft in München diese Daten wohl aus und äh überlegt, ob sie den Anfangsverdacht, ähm dass ein Export dieser höchstwahrscheinlich in München entwickelten Software, die irgendwie in der Türkei gelandet ist, wahrscheinlich äh auf illegalem Wege, dort gelandet ist und jetzt müssen wir die Staatsanwaltschaft die redet leider nicht viel ich mein es ist ja auch. Können sich jetzt auch nicht einfach so mit Thesen und Vermutungen äh aus dem Fenster lehnen. Ähm. Ist auch nicht direkt der Presse sagen, was sie jetzt machen und was sie als nächstes vorhaben, äh sonst würden sie ja auch eventuelle äh Täterinnen warnen und vorwarnen aber ich gehe davon aus, dass sie weiter diese Daten, die sie damals gesammelt haben bei der Hausdurchsuchung. Ich meine, es geht um jede Menge Akten und Computerfestplatten, halt das Übliche, was man so macht auswerten und dann irgendwann feststellen, ob jetzt genug Beweise zusammengekommen sind, um tatsächlich. 'ne Anklage zu formulieren die würde die Staatsanwaltschaft dann einreichen und dann käme es zu 'nem Gerichtsverfahren. Wann das ist, in welchem Stadium das ist, das ist leider aus der ähm Staatsanwaltschaft nicht so wirklich rauszukriegen.
Linus Neumann
Aber äh ich fand das ja mal spannend überhaupt, dass also in so vielen Objekten Durchsuchungen. Klar, man muss also zügelspalten. Einerseits ist jahrelang nichts passiert. Die Initiative für so einen äh so etwas überhaupt zu verfolgen, muss aus der Zivilgesellschaft kommen. Thorsten und ich haben, auch nochmal Monate da reingesteckt, andere Leute, noch viel mehr Zeit davor, äh um diese ganzen Beweise zusammenzutragen. Deswegen fand ich's eigentlich so ein bisschen, ja frustrierend zu sehen, dass da gar nichts passiert. Aber als es dann passiert ist bei so vielen ähm bei so vielen Objekten eine Durchsuchung anzustrengen. Ich sage mal, diese Durch den Durchsuchungsbefehl guckt sich selbst die Richterin noch zwei, drei Mal an, bevor sie den unterschreibt, ne? Beschluss, Beschluss.
Andre Meister
Ja, äh da kommt ja auch noch zusammen, also, Polizei und Staatsanwaltschaft, die haben das gemeinsam mit dem Zollkriminalamt gemacht, äh denn Verstoß gegen Außenwirtschaftsordnung und Exportrichtlinien. Ist beim Zoll angesiedelt und der Zoll, der darf auch schon seit Ewigkeiten den Staatsröhren einsetzen. Äh da wäre jetzt die lustige Frage, ob sie vielleicht Finfischer gegen Finfischer nutzen oder so. Wir haben ja schon vorher gesagt, wenn der Staat wissen will, ob die Samples, die da in der Türkei gelandet sind, ähm tatsächlich Fin Fischer sind, dann können sie sich ja mal ihr eigenes Exemplar, was sie ja gekauft haben, äh angucken. Wahrscheinlich wird's nicht ganz so äh gelaufen sein, aber schon es ist schon ich wüsste nicht, dass es ähm juristisch in der EU oder auch. Weltweit so einen unmittelbaren Erfolg, Herstellerfirmen gab, mal abgesehen von der Klage von WhatsApp gegen NSU, die ja auch auf diversen Ebenen läuft. Die Firmen. Es gibt ja auch wahrscheinlich viel mehr Firmen als nur äh Hacking Team, NSO und Finn Fischer. Ähm das ist ja ein internationaler Markt, der schwer zu durchdringen ist. Aber von denen was bekannt ist das schon ist das schon ein starkes Stück, dass der Staat da so dagegen vorgeht. Wenn sie sich denn wirklich äh schuldig gemacht haben, Gesetze verletzt haben, was halt die These unserer Strafanzeige ist.
Linus Neumann
Ja, das äh muss also ich denke, dass das diese Software ist und dass sie in der Türkei äh entsprechend eingesetzt wurde, steht außer Frage. Hm, der wahrscheinlichste Winkel kann ja hier eigentlich nur noch sein, dass sie, ein Weg, oder ein Schlupfloch gefunden haben erklären zu können, äh wie denn diese Software ähm in die Türkei gelangt ist nach diesem besagten. Datum des Inkrafttreten in Kraft tretens der Exportkontrollen. Wir konnten ja zumindest beweisen, dass diese Software, die da in der Türkei zum Einsatz kam nach dem Inkrafttreten kompiliert wurde und sehr große Ähnlichkeiten zu Softwareprodukten des Hauses findest bei aus der Zeit davor und danach hat. Ähm. Andererseits weiß man oder man weiß eben auch von Unternehmen, die unter Exportrestriktion leiden, dass die gerne mal ein paar Anwältinnen bereitstellen, um Wege zu finden, wie man das denn umgehen kann.
Andre Meister
Internationale äh. Nicht nur Tarnfirmen, aber internationale Firmen, Netzwerke, das sind auch komplizierte Geflechte, auch Finnfischer hat sich im Laufe der Zeit äh immer mal wieder, dass Firmen ähm, Konstrukt dahinter äh gewechselt. Lustig fand ich, dass einer der Geschäftsführer äh im, Zuge der Strafvermittlung per Eides stattliche Erklärung versichert hat, die fünf Fischer Lebs GmbH, die Software Finn Fischer entwickelt, ähm überspezifisch, weiß gar nicht, warum sie das äh so on the Record noch mal ähm. Juristisch quasi ungelogen äh bestätigt haben. Aber das geht dann gleich weiter mit die fünf Fischer GmbH, also keinen Zeitpunkt, die Software äh in die Türkei verkauft oder vertrieben. Ist halt wirklich die Frage, die These ist, das wird in München entwickelt. Und es ist relativ belegt, dass es in der Türkei gelandet ist. Die Frage ist, wie kommt das von Ursprung.
Linus Neumann
Ja. Da blicken wir beide auf jeden Fall sehr gespannt hin. Und wo wir beide auch sehr gespannt hinschauen, ist wie. Ähm das rechtliche Gefüge staatstrojaner sich irgendwie insbesondere in Deutschland ähm weiterentwickelt. Wir haben darüber in Lokbuch Netzpolitik schon sehr viel gesprochen. Ich will, glaube ich, eingangs nochmal ganz, ganz, ganz kurz erklären, worum es da geht. Ähm. Als Staatsreaner bezeichnet man Schadsoftware, die auf den Geräten. Der Zielperson läuft, also eine direkte Schadsoftware auf eurem Gerät oder auf dem Gerät der Verdächtigten. Ähm. Die dort natürlich wie jede andere Schadsoftware potenziell schalten und walten kann, wie sie möchte. Es werden aber zwei unterschiedliche theoretische ähm Einsatzzwecke unterschieden, nämlich einmal. Die ähm Telekommunikationsüberwachung, wo also gesagt wird, okay, wir infizieren dieses Gerät jetzt, weil es es kommuniziert Ende zu Ende verschlüsselt, das heißt die Kommunikationsinhalte bekommen wir nur noch auf den Geräten der Kommunikationsteilnehmerinnen und nicht mehr, wie wir es sonst machen bei den Telefonieanbietern, Und dann gibt es noch den Fall der Onlinedurchsuchung, wo man also quasi sagt, okay, wir machen eine Schadsoftware auf dieses Gerät und wir schauen uns alles an, was sich da so, drauf befindet. So die beiden theoretischen äh diese beiden theoretischen, rechtlichen Unterscheidungen in der Befugnis.
Andre Meister
Kleine Ergänzung, du hast gesagt, äh Telekommunikationsüberwachung, Telekommunikationsüberwachung ist das klassische Handy oder Internet abhören. Sie meinen Quellentelekommunikationsüberwachung ist ihrer Wortneuschöpfung. Und die Onlineuntersuchung, die kann natürlich alles, alles zugreifen, was ich auf dem Gerät befindet, aber auch alles wohl zu dieses Gerät Zugriff hat. Äh also nicht nur, was auf dem Gerät selber gespeichert ist, sondern auch alle Dinge, wo man von diesem Gerät aus eingeloggt ist.
Linus Neumann
Oh, wichtiger Punkt, ja, also nicht nur das Gerät, sondern auch die äh wenn das Gerät äh zwanzig Gig hat und noch vierhundert in der Dropbox liegen, äh darf man auch dorthin. Was sich um die Problematik dieser theoretischen Konstrukteur ein bisschen zu illustrieren. Gibt's jetzt zum Beispiel so eine theoretische Frage. Wenn angeordnet wird ab heute wird das, wird die wird die Kommunikation von Linus Neumann abgehört. Und. Ich habe gestern bestimmte Nachrichten erhalten, stellt sich die Frage, ne, die Schadsoftware, mit der mein Gerät potentiell infiziert wurde, die kann sowieso im Zweifelsfall an alles dran. Stellt sich jetzt also nur noch die Frage, äh liest die, meine Inhalte nur bis zum Datum des Beschlusses aus? Oder vielleicht doch Retrograd noch ein bisschen mehr? Für die, für die Software ein, Also eine Abitäre Beschränkung, die sie haben kann oder nicht haben kann, die aber eben auch zeigt, dass es wirklich ein theoretisches Konstrukt ist, dass es so etwas wie eine Quellen-TKÖ in dem Sinne gäbe, wie es sich hier äh wie man es sich hier vorstellt. Also, ähm wir beide, glaube ich, kann man ganz klar sagen, vertreten die. Ansicht, dass die Störung der Integrität eines Gerätes äh ein absolut inakzeptabler Eingriff ist, auch im zum Zwecke. Der Quellen-TKÖ. Da würde ich jetzt Zustimmung von dir erwarten.
Andre Meister
Ja ist äh du du hast jetzt äh einen Punkt angesprochen ähm mit der laufenden Kommunikation oder der gespeicherten Kommunikation, wo ich nochmal drauf eingehen würde. Ähm es gab ja schon diverse Klagen gegen Staatstrojaner und im Grundsatzurteil äh ging es BKA-Gesetz damals, hat das Bundesverfassungsgericht ja überhaupt erst das IT-Grundrecht geschaffen, das Grundrecht auf Vertraulichkeiten, Integrität, informationstechnische Systeme. Und in dem Urteil wurde so ein bisschen die Weiche gestellt für diese Abiturunterscheidung zwischen dem kleinen Trojaner, der nur laufende Kommunikation abhört und dem großen Trojaner, der alles äh abhört, was auf so einem Gerät ist. Und tatsächlich heißt's in dem Bundesverfassungsgericht Entscheidungen relativ klar, diese sogenannte Quellen-Ticker Ü, die muss sich auf laufende Kommunikation beschränken, laufender und diese Beschränkungen müssen nicht nur rechtlich, sondern auch technisch sichergestellt sein. Nun gibt's viele große Debatten und wir haben 'ne Meinung dazu, ob das möglich ist, dass so technisch sicherzustellen. Tatsächlich geben sich die Juristen in den Sicherheitsbehörden und die Politiker die diese Gesetze voranbringen. Oft große Mühe, das genauso zu definieren, zu sagen, nein, unsere Software für einen Quellen-Ticker Ü, die kann gar nichts anderes als laufende Kommunikation. Dann gab's da eine standardisierende Leistungsbeschreibung von BKA, die wir erst irgendwie frei ähm, ja, befreien mussten und veröffentlichen mussten. Aber tatsächlich ist es nicht nur so, dass die, die Software so entwickeln sollten, sondern die haben klare Vorgaben vom Bundesverfassungsgericht, so eine Quellenticket muss sich auf laufende Kommunikation beschränken. Das ist schon schwer genug in der Theorie, jeder, der irgendwie schon mal was mit Softwareentwicklung und Abhören von Kommunikation zu tun hat, fragt sich wirklich, Wie viele Zeilen, Code, äh Unterschied ist zwischen äh gespeicherter Kommunikation äh und laufender Kommunikation äh abzufischen und auszuleiten. Aber das ist auch noch ein rechtlicher Unterschied, denn den Gesetzen, die seitdem gemacht wurden, äh zum erstens die krasse Ausweitung des Staates am Ende der letzten Legislaturperiode ähm auf die sogenannte Alltagskriminalität und auch jetzt in den beiden Gesetzentwürfen, die zurzeit kurz vor der Verabschiedung sind, ist immer kurz vor Ende der Legislaturperiode macht die GroKo nochmal sowas.
Linus Neumann
Das ist genau die Chefin. Mir fällt nämlich ein, ich habe das, glaube ich, hier im Podcast auch schon gesagt. Ich fühlte mich ja inzwischen schon ungeliebt weil ich äh mehrere Jahre nicht mehr als Sachverständiger in Ausschüssen des Deutschen Bundestags war, nämlich das letzte Mal zu genau dieser Ausweitung der des Staatstrojaners auf Alltagskriminalität. Und das ist ja ein paar Jahre her Und es war aber.
Andre Meister
Juni zwanzig siebzehn eine der letzten Sitzungswochenende der letzten Legislatur.
Linus Neumann
Richtig und dieses Jahr äh zwanzig einundzwanzig, exakt vier Jahre später, innerhalb von zwei Monaten dreimal als Sachverständiger in Ausschüssen des Deutschen Bundestags, weil wir gerade wieder, ne, im Endspurt sind und alle vier Jahre kommt dann so eine Art Dedos der Regierung auf die Opposition, da siehst du auch schon immer die Mitarbeiterinnen und so der der MDBs, die laufen alle nur noch auf ihren Augenringen, ne? Und äh dann werden die da alle zugebombt und dann kannst du auf einmal jeden Tag dahin rennen. Und das war genau vor vier Jahren mit dieser Ausweitung ähm des Staatstrojaners.
Andre Meister
Hm, der so am Anfang der Legislatur muss ich ja erstmal alles setzen und man muss die großen Rahmen äh schaffen und die Stellen und sich einpendeln in den. Ja auch. Kontinuitätsprinzip in Deutschland, dass alles, was in einer Legislatur nicht fertig wird, dann nicht einfach ähm von diesem Stand aus übernommen wird in der nächsten äh und am Anfang wäre natürlich die großen Prestige, gemacht, die im Koalitionsvertrag ganz oben sind und die Unstrittigen, alles andere lagert man ja erstmal eine Weile lang aus in irgendwelche Arbeitsgruppen und Gremien und Enquetekommissionen und so. Ähm, kurz vor Schluss kommt dann das ganze Zeug auf was man sich vier Jahre lang nicht einigen konnte aber irgendwie muss man sich jetzt nochmal zusammenraffen vor allem eh vielleicht sogar die Regierung irgendwann mal wechselt und da manche Dinge gar nicht mehr möglich sind. Aber jetzt eben haben sie sowohl in dem ähm der Strafprozessordnung für die Polizei, als auch in den beiden Gesetzen über die wir jetzt reden nicht nur die Quellen TKÜs, sondern so 'ne Art Quellenticker Ü Plus. Ihr Restkonstrukt ist jetzt nicht mehr nur, dass sie laufende Kommunikation abhören wollen, sondern laufende Kommunikation, Abzeitpunkt der richterlichen Anordnung, unabhängig davon, wann sie es irgendwann mal schaffen, diese Schadsoftware dann auch auf dem Zielgerät zu installieren. Definieren quasi das so wie früher beim äh Telefongespräch. Was man hätte abhören können, wenn man denn äh sofort den Zugriff gehabt hätte, was natürlich aber beim Staatstrainer. Oft ungleich schwieriger. Aufwendiger und auch nicht immer erfolgsversprechender ist. Jedenfalls ist das ein der großen Punkte sowohl in dem alten Gesetz, gegen das ja die Gesellschaft für Freiheitsrechte auch wieder Verfassungsbeschwerde eingerechnet vor vier Jahren. Aber das dauert ja immer ein bisschen. Äh diese Urteile dann auch irgendwann kommen, als auch äh in den ähm. Glaube auch im Bundespolizeigesetz, können wir aber gleich nochmal äh gucken, da geht's eigentlich schon mal was anderes als auch jetzt um das Gesetz für die Geheimdienste. Die bekommen eine Quellenticker Ü plus, die dürfen zwar nur Kommunikation abhören und in der Theorie auch nur laufende Kommunikation, weil das das Bundesverfassungsgericht erlaubt hat, aber sie sagen jetzt, die laufende Kommunikation kann auch schon mal vor zwei Monaten gewesen sein. Oder so keine Ahnung wie sich das denn verhält mit irgendwelchen weiß ich nicht verschlüsselten E-Mails, oder auch die modernen Messenger, die haben ja mittlerweile alle Frids äh also. Teilweise kann das ja ganz schön eine Weile zurück äh reichen, diese Kommunikation. Am Montag meiner Sachverständigenanhörung im Bundestag zur Verfassungsschutznovelle, wo das geregelt werden soll und da haben eigentlich alle Sachverständigen, die sich dazu geäußert haben, gesagt, also. Die nicht läuft, sondern die gespeichert ist, die abzugreifen, das könnt ihr nicht einfach als Quellenticker Ü definieren, weil das ist kein Quellen TKÜ, das ist eine Onlinedurchsuchung. Und dementsprechend müsst ihr euch auch an die Voraussetzungen. Bundesverfassungsgericht für die Onlinedurchsuchung äh geknüpft hat, äh richten und könnte es nicht einfach äh so definieren, wie ihr das versucht, also das ist öfters mal sowas wie offensichtlich verfassungswidrig. Gefallen, was ja so ein starker Worte von ist.
Linus Neumann
Ist es halt auch, ne? Und trotzdem muss man ja, also was man genau daran sieht, ist es ist im Zweifelsfall schwieriger ein ein System zu bauen, was nach ab erst ab einem bestimmten Datum abgreift, als ein System zu bauen, was einfach alles abgreift, ne? Und das ist ja auch, glaube ich, so ein bisschen das, was die, was die Juristinnen halt nicht ja, nicht verstehen, ne dass das äh also ja, wie sich dachte, man kann in Software alles machen. Ja, ist richtig, ne? Es geht auch, aber hm, das äh von der Eingriffstiefe in das System ist es eben eine nicht unterscheidbar.
Andre Meister
Da kommt noch dazu Eingriff äh ist ein gutes äh Stichwort, denn wie gesagt, in der ersten Staatsurteil gab's ja dieses IT-Grundrecht. Ähm und da wird ja eben definiert, dass Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen ähm und wenn man in dieses Grundrecht eingreifen will, muss man mindestens äh als Erfahrungsjurist mittlerweile solche Dinge auch gelernt. Im Gesetz sagen, dass man daran jetzt eingreift. Aber wenn man das einfach ignoriert und gar nicht erwähnt, äh das geht halt rechtstheoretisch nicht. Ähm wenn man in ein Grundrecht eingreifen will, dann muss man auch sagen, im Gesetz, wir greifen jetzt in dieses Grundrecht ein. Ist ja auch in Grundrechen, die werden ja definiert in äh den ersten Grundgesetzartikeln. Der steht ja immer Grundrechte auf Brief, Post und Fernmeldegeheimnis, Eingriffe gehen nur mit einem Bundesgesetz oder so und dann, in dem Bundesgesetz, aber eben auch gesagt werden, wenn wir jetzt äh in Quellenticker üben würden, dann greifen wir halt in das IT-Grundrecht ein, aber in den Gesetzentwurf, die jetzt da liegen. Wird das noch nicht mal erwähnt. Sie geben nicht zu, dass sie in das Grundrecht eingreifen, weil sie halt irgendwie aus dieser komischen Welt kommt und sie die ganze Zeit irgendjemand eingetrichtert, haben, die Quellenticker Ü ist doch eigentlich nichts anderes als unsere normale äh Telefonüberwachung nur mit anderen Mitteln. Das das ist dort wirklich die gängige, Praxis die Herleitung, die Rechtfertigung für alles, jede Bundestagsrede, jeder Befürworter dieser Gesetze sagt, wir können, Kunden früher SMS und Telefongespräche mitnehmen, lesen, die sind jetzt verschlüsselt bei WhatsApp, Also müssen wir das jetzt irgendwie magisch äh auch mitlesen. Das ist quasi eine moderne Form der äh Telefonüberwachung. Ähm mit den technischen Details setzen sie sich nicht auseinander, definieren eben nicht, dass das ein Eingriff in das IT-Grundrecht ist und das ist halt äh da ist dann halt schon mal einer der vielen Kernprobleme aus rechtlicher Perspektive, weswegen, dieses Gesetz halt höchstwahrscheinlich auch wieder vor Bundesverfassungsgericht angegriffen werden wird.
Linus Neumann
Jetzt muss man ja zumindest mal sagen, dass ähm. Naiv gedacht, dieser Anspruch ja durchaus ja, sagen wir mal, formuliert werden kann, ne, dass sie sagen, okay, äh also. Er geht mit einer Ausweitung einher, aber es ist ein eine übliche Argumentation zu sagen, hier pass auf, seid so und so viel Jahren haben wir, dass äh äh dass das Recht, oder das äh Strafverfolgungsmittel ähm X Y und jetzt verstößt aber auf einmal die Neuerungen der Technik, machen die Ausübung dieses Ermittlungsinstrumentes unmöglich, für uns. Aus diesem Grunde, muss jetzt hier was Neues eingeführt werden, damit wir diese Möglichkeiten behalten können. Ja, also ich würde sagen, gewissermaßen ist diese Argumentation bis dahin auch durchaus zu. Zu vertreten, ne? Ähm dumm ist, was sie im weiteren Verlauf daraus machen, nämlich dass sie dann sagen, alles klar, alles hacken und äh alles mit einreißen und äh wirklich halt eine Eingriffstiefe da vornehmen, die in keinem Verhältnis mehr steht zur äh Telekommunikationsüberwachung. Oder?
Andre Meister
Ja, also ähm man kann schon verstehen, äh das ist dieses Going Dark auf diese auf die sie sich da beziehen, Früher war alles unverschlüsselt in den herkömmlichen Telefonnetzen und am Anfang auch im Internet. Und jetzt wird aber immer mehr verschlüsselt, vor allem Salznoten und das ist ja auch gut, dann kommen sie mit ihren Wort-Akrobatik von Sicherheit durch und Sicherheit trotz Verschlüsselung. Ähm aus Sicht eines normalen Polizeibeamten, äh der aus einer normalen Telefonüberwachung nicht mehr so viel Inhalt bekommt, ist das auch irgendwie verständlich, Das Problem ist nur, diese Argumentation krankt an extrem vielen verschiedenen Punkten, denn, man vielleicht ein bisschen weniger Kommunikationsinhalt über Sprach und nach ähm Nachrichteninhalte bekommt über eine Telefonüberwachung. Es ist ja nicht so, dass mit der fortlaufenden Digitalisierung all unserer Lebensbereiche auf einmal den Ermittlungsbehörden. Signifikant weniger Informationen und Daten zur Verfügung stehen. Das Gegenteil ist doch der Fall. Wir hinterlassen doch noch nie so viele. Überall wie jemals zuvor. Ähm es ist noch nie so ähm noch nie wahr, sämtliche nicht nur Kommunikation, sondern eben auch Lebensentfaltung, Arbeit, Familie, alles, sämtliche Lebensbereiche bis hin zu irgendwann, wir reden ja von nicht, nur abstrakt von Smartphones und WhatsApp, sondern IT-Systemen bis hin zu Autos, Smart Homes, ähm Personal Assistance bis hin zu irgendwie. Computern, die wir am Körper haben, irgendwelche Hörgeräte, äh medizinische Geräte und so weiter und so fort, Gibt ja noch nie so viele Daten wie vorher. Was haben wir grad wieder? Bestandsdatenabfrage. Siebzehn Millionen Abfragen pro Jahr, nur für Telefonie. Keiner weiß, wie viel das für Internetanschlüsse ist. Wir reden von Dingen wie Vorratsdatenspeicherung, von. Die irgendwie die ganze Zeit unsere Location tracken. Das gab's doch alle vor zwanzig Jahren noch gar nicht. Ist doch nicht so, dass die Behörden. Die ersticken doch teilweise in Daten. Nach jeder Hausdurchsuchung heißt's, äh wir haben schon wieder zwanzig Terabyte Festplatten und nachdem wir die ganze irgendwie wir Filme rausgefiltert haben, ist es immer noch zu viel Inhalt, dass wir da Sinn machen können. Also es ist doch nicht so die mögen ein paar Dinge weniger haben. Auf der anderen Seite haben sie aber doch viel mehr. Dann kommt noch dazu, dass äh vor allem die FDP äh hat das relativ treffend argumentiert in den äh Bundestagsdebatten. Im Bundestag argumentiert ja niemand dafür, dass äh Polizei und Geheimdienste nicht verschlüsselte Inhalte mitlesen sollen. Die Frage ist doch, wie und wie ist das geregelt sowohl technisch als auch rechtlich. Äh und gerade letzte Woche haben wir auch wieder ein Papier von BKA veröffentlicht. Die können sehr wohl WhatsApp mitlesen und die können auch Telegram mitlesen das habt ihr vor ein paar Jahren schon mal besprochen indem sie einfach ein weiteres Gerät in die Kommunikation hinzufügen. Bei diesen ganzen Messengern gibt's doch die Option, kannst du die auch in einem Desktop entweder als irgendwie Desktop klein oder im Browser oder so ein weiteres Endgerät hinzufügen. Und das BKA kann sehr wohl einfach ein Handy in die Hand nehmen und ein weiteres Gerät hinzufügen, und dann mitlesen das haben die internen Papier genauso gesagt und das haben wir veröffentlicht davor haben sie hier mit Telegram sogar irgendwie auf Telekommunikationsanbieter ebene diese Verifizierungs-SMS, die du dafür brauchst, ein neues Gerät hinzuzufügen, abgefischt. Äh und der Telekom gesagt, die bitte mal gar nicht zustellen. Es gibt ja durchaus Möglichkeiten, Dinge mitzulesen, auch Retro gehört, wenn ich meine, wenn irgendein Richter ein Staatstrojaner absegnet. Dann muss doch da schon so viel Fleisch Butter bei die Fische sein, äh dass dieser Richter auch eine Hausdurchsuchung absegnet, dass dieses Handy beschlagnahmt wird und da wird das an den Celebrate angeschlossen und dann wird da alles ausgelesen, was da drin ist. Das passiert doch auch täglich.
Linus Neumann
Willst du mal kurz sagen, ist dieses System, was äh die forensische, Datensicherung von ähm Geräten macht, was wir in einer der letzten Folgen von Doktor Netzkritik auch drüber gesprochen haben, was ein paar Sicherheitslücken hat, die unglücklicherweise ausgerechnet maximal äh analysiert hat. Oder wahrscheinlich Leute aus dem Team von Signal, nicht nur alleine. Ähm also dem Messenger, der sich äh der jetzt ab jetzt so ein paar Dateien immer mit auf die Platte legt, die potenziell äh kaputt machen. Ähm Ich finde einen sehr wichtigen äh Punkt, den du nennst quasi sich in in diese Messenger-Kommunikation mit ähm einzubinden, weil das Einbringen eines weiteren Gerätes in diese Kommunikation mit der, mit der Messenger-Plattform. Zweifelsfall bis auf dass da wahrscheinlich auch noch Retrograde Daten mit zugegriffen werden können. Äh das ist quasi so nah wie es geht an. Einer Quellentühe. Noch interessanter wird's eigentlich, wenn du in dem Bereich gehen würdest zu sagen, aha, okay, wir möchten jetzt von. Äh vom Linus, das WhatsApp abhören. Könnt ihr vergessen, ich benutze das nicht, aber ähm, und jetzt würde man sagen, okay, eigentlich bräuchte man doch jetzt nur ein manipuliertes WhatsApp, was alle Daten ab Stichdatum, noch einmal mitspeichert und ausleitet und dann hätte man tatsächlich ein dem. Dem technischen Anspruch quellen TKÜ so nahe kommendes System wie nur irgendwie möglich ist. Ja, weil es ist nur WhatsApp, es ist nicht E-Mail, es kommt nicht an meine Bilder ran, die äh Sicherheitssysteme auf modernen ähm Mobiltelefon. Mobiltelefoniebetriebssystem ähm stellen sicher, dass eine App nicht in den Kontext einer anderen kommt. Klingt ja eigentlich wie die eleganteste Lösung. Dem steht aber was ganz Entscheidendes im Wege. Das war jetzt eigentlich eine Herausforderung an dich, das zu erklären.
Andre Meister
Grad gemerkt, es war eine Überleitung an mich. Äh ich bin äh du hast diesen Punkt aber auch im Podcast schon mal ausgeführt, oder?
Linus Neumann
Das alles schon mal im Podcast ausgeführt.
Andre Meister
Nee, glaube ich nicht und ich ergänze das dann mit was aber in den aktuellen Gesetzesentwürfen noch darüber hinaus äh ist.
Linus Neumann
Alles klar, die die Idee an dieser Stelle wäre einfach nur zu sagen, lieber Apple oder lieber Google. Wenn der Nutzer Linus das nächste Mal sein Update abholt für WhatsApp dann kriegt er bitte diese minimal veränderte Version von WhatsApp, die so eine kleine Zusatzfunktion hat, nämlich äh alle Nachrichten, die getippt und empfangen werden, irgendwie noch mitzuspeichern und an uns zu schicken. Klingt klingt elegant, hat aber leider das Problem, dass du das jetzt die Nutzerin Apple und Google nicht mehr vertrauen kann weil die quasi im Zweifelsfall gezwungen sind, gegen deine Interessen zu agieren. Und quasi dein. Hersteller des Betriebssystemes oder sogar des Gerätes, dem du ähm großes Vertrauen und große Geldsummen entgegenbringst, plötzlich auf der Behörden, die Sicherheit deines Gerätes kompromittiert, also im Prinzip der Eingriff in das fundamentale Vertrauensverhältnis hier zwischen Kundinnen, und ähm Plattformanbieterin, was auch ganz, ganz fürchterliche Konsequenzen hätte für die meisten, unbescholtenen Bürgerinnen und für die wenigen, die dann eben wirklich kriminell sind, eigentlich nur dafür sorgt, dass sie sagen, alles klar, aus dem App Store hole ich mir schon mal keine Updates mehr, sondern ich nutze jetzt, was weiß ich, ne, irgendwelche, geprüften ähm raubkopierten oder sonst was. Also wir Es ist tatsächlich ein Problem, weil bei bei jedem dieser Wege, alles, was da irgendwie versucht wird, viel mehr kaputt gemacht wird. Als gewonnen werden kann.
Andre Meister
Ähm wir haben jetzt noch gar nicht das Grundproblem staatstrojaner IT-Sicherheit angesprochen. Das können wir dann gleich nochmal machen. Ich gehe auf diesen Punkt ähm, gefälschten Updates oder personalisierten Zielgruppen Updates mal ganz kurz ein. Äh wir haben ja die ganze Zeit auf allen Ebenen diese Debatte. Man erinnert sich an. Vorstoß auf EU-Ebene vor ein paar Monaten, dieses mit Sicherheit durch und Sicherheit trotz Verschlüsselung, ähm die äh Polizei und Geheimnis. Sagen ja die ganze Zeit die Verschlüsselung ist ganz schlimm. Wir müssen da irgendwie ran und zwar auf allen Ebenen. Äh erstens wir wollen Trojaner. Zweitens, wir wollen aber auch, ähm dass die Anbieter von, Und helfen müssen, jetzt entweder über eine Hintertür oder vor der Tür oder Seitentür oder wie auch immer. Sie ist äh definieren oder über Generalschlüssel, die hinterlegt werden. Die ganzen Debatten kennen mir ja eigentlich seit den ersten ähm. Die ja aber äh ein bisschen weiter gedreht und weiterentwickelt werden. Es ist ja nicht so, dass es die Debatte und die Forderungen äh nicht gibt. Krass ist, ähm in einen der beiden Staatsvereinegesetze, die gerade im Bundestag und kurz vor der Verabschiedung sind, ist tatsächlich eine Mitwirkungspflicht, für Anbieter. Also zum ersten Mal hat nicht irgendwie der Staat nur das Problem wie installiert er den Staatsthroner. Sondern der Staat schreib Anbietern und jetzt auch noch Telekommunikationsanbietern, das ist ein interessanter Parallelentwicklung, die Definition wurde nämlich auch gerade massiv ausgeweitet Er schreibt Anbietern von Telekommunikation vor, dass die bei werden müssen. Die müssen die Installation von Staatströdern, Zitat durch die Unterstützung bei der Umleitung von Telekommunikation ermöglichen. Ähm also die müssen nicht mehr nur eine passive Datenkopie ausleiten, wie bei einer Telefonüberwachung, sondern aktiv verschiedene Mittelangriffe, Angriffe ausführen äh und in die Integrität, der Datenströme eingreifen und mit der Ausweitung der Anbieterdefinition betrifft das so ziemlich jeden Anbieter, von Internetanbieter, die ganze Palette an Diensten, ist egal, ob das Zugang ist, also irgendwie der heimische Internet oder äh Mobilfunkanbieter oder auch Betreiber von WLANs oder Internetknoten, wie der DCX oder Back Bohnen, irgendwelche Glasfaserbetreiber, wenn wir denn Glasfaser hätten, äh aber auch hier Anbieter, also wenn irgendwo ein Server steht bei Hetzner oder so, bis hin zu E-Mail-Anbietern, wie Posteo, oder eben auch diese ganzen Messenger. Äh tatsächlich dieses Deutsche Gesetz will auch WhatsApp und Co verpflichten bei der Trojaner-Installation zu helfen bis hin eben zu Appstores und Betriebssystemen, da kommt dann eben also die komplette Bandbreite an Diensten was man so an Technologie vor sich hat und nutzt der komplette Stack. Soll jetzt quasi gesetzlich verpflichtet werden, dem deutschen Staat bei der Installation der äh Trojaner zu helfen. Und da ist eben nicht nur das grundsätzliche Problem, dass die Userinnen anfangen werden, den Anbietern zu misstrauen, sondern dass also das eine Problem wäre, wenn Usern den Anbietern äh nicht mehr trauen, dann fangen die an, keine Updates mehr runterzuladen und wir schaden der ganzen IT-Landschaft, da können wir dann gleich nochmal überhaupt zu IT-Sicherheitslücken und im Verhältnis der. Einen Sicherheit gegenüber der anderen Sicherheit. Aber unser gemeinsamer Freund hat das mal gut ausgedrückt, dass eigentlich diese Anbieter, so eine Art Rotes Kreuz oder rote Halbmond sein sollten und jetzt nicht anfangen können verpflichtet zu werden für den einen Staat oder den einen Geheimdienst in einem anderen Bundesland von irgendeinem anderen Staat äh jetzt anfangen, irgendwelche. Ähm was auch immer, Betriebssystem-Updates, psst äh Versionen oder Internetpakete oder WLAN-Pakete oder was auch immer, auszuliefern, dann haben wir nicht nur ein Problem, dass wir die IT-Sicherheit insgesamt schwächen, sondern äh das ist irgendwie äh so funktioniert, das Netz nicht, dann machen wir doch komplett ähm den kompletten Steck kaputt äh im bei der Anhörung hat er, Sachverständiger am Montag gesagt, das würde das komplette Vertrauen in die IT-Sicherheit an sich erschüttern und wenn wir doch an einem nicht. Haben, dann ist es IT-Sicherheit, jeder, sich alle naselang über irgendeinen Angriff oder irgendeine andere falsch angeklickte Echse oder makro oder so was auf. Der Russe kommt und heckt unsere Wahl, ist ja nicht so, dass wir zu viel hätten, die wir aufs Spiel setzen können, nee, die IT-Sicherheit ist ohnehin schon überall kaputt. Anfangen grundsätzliche Prämissen dieser ganzen Welt noch weiter kaputt zu machen.
Linus Neumann
Und ich finde wirklich diesen Vergleich von Chris halt wirklich entscheidend. Also stell dir also wenn du den, den ähm dem Roten Kreuz, dem Roten Halbmond nicht mehr vertrauen kannst in einer äh in einer, kämpferischen Auseinandersetzung, ne? Wer sind diejenigen, die darunter leiden? Die Verletzten, ne, die äh die die Zivilgesellschaft, die mit dem ganzen Scheiß Krieg eigentlich nichts zu tun haben will, kann jetzt am Ende noch nicht mal mehr trauen, dass wenn der Krankenwagen kommt, dass der nicht auf einmal äh eine Maschinenpistole. Geiseln nimmt, ne? Das ist der eine Punkt, der zweite ist, ähm. Diese Internationalität, all das, was was hier in Deutschland irgendwelche ähm grauhaarigen, Leute fordern ja? Wenn das Gleiche werfen sie China vor, da werden sie nicht müde. Zu sagen, ja China, ganz fürchterlich hier, ne? Dürfen wir jetzt mal aufpassen, der Chinese? Von dem dürfen wir kein kaufen. Weil der bestimmt dem können wir nicht vertrauen, so so ein schlimmer Finger ist das, ne? Aber quasi genau das, genau das, was sie, was sie denen ähm vorwerfen Ist ja das, was sie selber äh beanspruchen und beanspruchen zu tun. Das hatte ich übrigens auch äh kleiner äh self plug hier in der äh Auskunft zum IT-Sicherheitsgesetz zwei Punkt null, mal ausgeführt, um einfach mal zu sagen, aha, okay. Nehmen wir doch mal wirklich eure gesamte angebliche Huawei-Problematik hier auseinander und zeigen euch mal das Huawei eigentlich nur das kleinste Problem wäre vor dem Hintergrund, was ihr selber ja quasi die ganzen Funktionen, die ihr verlangt oder die ihr fürchtet. Die sollen an anderer Hand äh an an anderer Stelle aufgrund eures Verlangens überhaupt eingebaut werden, also das ist äh wirklich sehr ähm sehr widersprüchlich, diese diese Argumentation.
Andre Meister
Nationale Perspektive äh auf irgendwie der globale Kommunikationstechnologie ist wirklich oft sehr, sehr beschämend. Vielleicht kann ich jetzt kurz einen Einschub machen, weil wir so ewig nicht ein Podcast geredet haben hier zu emoted. Da war ja auch das Ding. Schadsoftware vom BKA, das BKA hat mal eben Software auf dreiundfünfzigtausend Rechnern in der ganzen Welt installiert, um äh zu deinstallieren. Jetzt mag man sagen, äh der Deutsche Reststaat und das BKA, die sind vielleicht noch ganz lieb und die meinen es noch net, übrigens ein paar Wochen mit dem Exchange hat das FBI genau das nicht in der ganzen Welt gemacht, sondern nur auf Rechnern, in den USA. Aber jetzt stellen wir uns doch mal vor, was an was passieren würde, wenn irgendwie Südafrika oder Brasilien oder Bangladesh oder wer auch immer anfangen würde, dreiundfünfzigtausend ähm Rechner, Windowsrechner in der ganzen Welt, inklusive in Deutschland zu updaten. Ähm.
Linus Neumann
Skandal, jetzt können wir uns nicht gefallen lassen, da müssen wir deutsche Bürgerinnen vor schützen.
Andre Meister
Eben äh und ähnlich ist es eben mit so einem Zugriffs äh Rechten, wenn man irgendwie jetzt den Facebook in Deutschland verpflichtet. Gepatchte WhatsApp-Version an irgendeine Zielperson auszuliefern hindert Russland und Türkei oder wen auch immer Marokko äh daran, genau das selber zu fordern. Das war ja genau das Problem hier mit Apple versus FBI. Dass eben Technologie so gebaut wird, dass jeder unbefugte draußen gehalten wird. Oder nur äh oder nur die ganz Dummen. Also das ist halt das Problem von Technologie. Entweder sie ist richtig sicher oder richtig kaputt, und dann kann man halt auch keine Ausnahme machen und sagen, nee, die hundert anderen hundertneunzig Staaten, die sollen dadrauf nicht zugreifen können, aber das Bundeskriminalamt, so funktioniert das halt international nicht.
Linus Neumann
Das ist äh wirklich das ist sehr schön zum zum Ausdruck gebracht. Jetzt müssen wir langsam, jetzt haben wir, glaube ich, nochmal und ich finde das auch gut, dass wir jetzt mal wirklich im Schnelldurchlauf, fünf fünfundvierzig Minuten ungefähr, äh vierzig, fünfundvierzig Minuten. Die Problematik, Staatstrojaner geschildert haben. Und jetzt, und damit eben den Eingriff in die Integrität von Systemen, ja, dass davon hier niemals vergessen. Und das ist der Schwerwiegendste Eingriff. Ähm der äh im Bereich der IT-Sicherheit, möglich ist in der man könnte noch in die Vertraulichkeit bei der Übertragung eingreifen, kann in die Verfügbarkeit eingreifen aber in der wenn man bei der Integrität ist dann heißt es immer man kann schalten und walten wie man möchte. Und hier wird, unter dem ähm unter der Schilderung des Bedarfs einer Vertraulichkeitsverletzung eben die Integritätsverletzung, vorangetrieben. Die letzte Änderung, gesetzlich haben wir gerade schon gesagt, zwanzig siebzehn, die Ausweitung dieser Befugnis auf. Alltagskriminalität. Ähm. Auch das ein üblicher Vorgang, ne, eine Befugnis wird irgendwie für für schwerste, für schwerste äh Bedrohung von Leib und Leben äh im im Ausnahmefall.
Andre Meister
Anfang waren nur das BKA nur zur Prävention, zur Verhinderung und nur von internationalen Terroranschlägen. Das war, das war die Beschränkung ganz am Anfang zwotausendneun. Und dann schwupps eine GroKo später. Acht Jahre später. Ähm für den kompletten Katalog an schweren Straftaten irgendwie über vierzig, ich glaub bis an die fünfzig oder so und in der Praxis wie zu erwarten vor allen Dingen Drogen und Eigentumsdelikten oder so eingewendet.
Linus Neumann
Und jetzt geht's in den dachte man eigentlich schon fast so ja vielleicht haben sie es ja jetzt auch einfach durch, aber jetzt gibt es zwei weitere Gesetzesvorhaben, die noch vor Ende der Legislaturperiode, werden sollen. Und das ist ähm einmal. Die äh das Gesetz zur äh zur Erleichterung der Arbeit der Geheimdienste, ne, so ungefähr heißt das.
Andre Meister
Ja, äh so heißen gute Geheimdienstegesetz. Äh nee, das ist tatsächlich äh die Verfassungsschutzrechtnovelle. Das ist mal wieder so ein Artikelgesetz, was irgendwie sieb äh zehn Gesetze auf einmal anfasst, also das Verfassungsschutz äh Bundesverfassungsschutzgesetz, das Artikel zehn Gesetz in den Grundrechtseingriffe, äh Sicherheitsüberprüfungsgesetz und so ein paar andere, ähm, Genau, aber es wird gemeinhin als die Verfassungsschutz-Novelle bezeichnet, was ein bisschen irreführend ist, weil das äh dann im Endeffekt für alle Geheimdienste gibt und wir haben in Deutschland übrigens neunzehn, auf Bundesebene äh BND MAD und Bundesamt für Verfassungsschutz. Das gilt aber dann eben auch für alle sechzehn Landesämter für Verfassungsschutz.
Linus Neumann
Muss man vielleicht nochmal kurz äh erklären. Also die also es wird nicht es kommt nicht also wenn bei solchen Gesetzesänderungen kommen nicht immer nur neue Gesetze, ne? Da wird jetzt nicht ein neues Buch gedruckt, steht drauf, ähm Verfassungsrecht, sondern viele Gesetze sind im Prinzip der deutsche Bundestag hat beschlossen, in Paragraph Y äh in Paragraph drei des Gesetzes XY in seiner Fassung vom so und zur vierten Sohn, wird folgender äh Buchstabe Z hinzugefügt. Z äh. Bei Gefahr für Leib und Leben. So und das ist tatsächlich der Gesetzestext und da muss man sich muss man sich quasi die alte Fassung holen. Muss gucken, in welchem Kontext wird da jetzt überhaupt etwas geändert? Und dann kann man irgendwie die ne die juristische und gesellschaftliche Bedeutung ähm erfassen. In der Regel sind diese Gesetze begleitet durch eine ganze Reihe an äh Erläuterungen, wo also gesagt wird, was soll damit gerade passieren, aber als jemand, der jetzt schon mehrere Male solche Gesetze auch als Sachverständiger, vor äh im Deutschen Bundestag beurteilen musste und, Andre, der diese Dinger immer alle lesen muss, weil er sie schon vorher als Journalist aufarbeiten muss. Das ist nicht immer sehr einfach. Und die Änderungen sind potentiell von von sehr hoher Tragweite und man kann da wunderschön Sachen drin verstecken, ne.
Andre Meister
Nicht nur die Änderungen, also die Gesetze, die beschlossen werden ähm sind nicht immer sehr einfach, wie du das jetzt ausgedrückt hast mit diesen Änderungen in Paragraph X und Y, sondern selbst die fertigen Gesetze, die ihr dann eigentlich nicht mehr nur in Diff sind, äh sondern das, was auf Gesetze im Internet DE und im Bundesgesetzblatt steht. B sind extrem kompliziert und verschachtelt. Erst am Montag bei der Anhörung äh haben irgendwie Jura-Professoren, also die, mehrere und Matthias Becker, der schon mehrere Verfassungsbeschwerden gewonnen hat. Selbst der hat gesagt, die Geheimdienst Gesetzgebung in Deutschland ist in einem beklagenswerten Zustand. Die Gesetze sind nicht lesbar, in sich zersplittert, eigentlich selbst von ausgebildeten Juristen kaum äh Verstehbar, kaum bewältigbar, weil das eben alles so. Da gibt's die Telekommunikationsüberwachungsverordnung und das Artikel zehn Gesetz äh und, einzelnen Geheimdienste verweisen dann jeweils in Befugnisse auf das andere, über die Jahre hinweg, wurde dann aber etwas Neues da eingefügt, was mit dem ursprünglichen gar nichts mehr zu tun hat. Also selbst Juristen. Verstehen diese ganzen Kreuzfahrweise nicht nur in den Änderungen, sondern auch in den fertigen Gesetzen gar nicht mehr so einfach und der endgültige Polizist oder Geheimdienstmitarbeiter, der dann so eine Maßnahmen anordnet, übrigens auch nicht. Auch in äh verschiedenen Anhörungen in den letzten Wochen und Monaten, Bundestag haben die alle gesagt, ja also die müssen dann selber von ihren Juraabteilungen äh so arbeiten lassen, was das denn jetzt eigentlich bedeutet.
Linus Neumann
Ähm vielleicht also wie kommt es zu diesen Verwirrungen, ne, die Texte sind komplex und die haben verweise aufeinander. Ja, da ist du weißt zum Beispiel nicht, wenn irgendwo, in dem einen Absatz steht schwere Straftat ist, ja, dann steht halt in fünfundzwanzig anderen Gesetzen was weiß ich, das darf die Polizei bei schweren Straftaten, ne? Und diese diese das wäre jetzt ein einfaches Beispiel für, wenn du, wenn man jetzt ins Gesetz schreibt, äh das und das ist jetzt auch eine schwere Straftat, dann denkt man, das ist eine kleine Änderung, die. Bedeutung für was das bedeutet, für unterschiedliche Polizeibehörden und so weiter, ist aber eben von besonderer, weiter. Und das ist jetzt nur mal um eine Ecke gedacht und wenn jetzt äh Juraprofessorinnen und Juraprofessoren sagen, hier das das versteht ihr sowieso gar keiner mehr, dann heißt das letztendlich, dass wir ähm ja im, im, dass wir unsere eigenen Rechte und äh unsere eigene Gesetze halt so kompliziert gemacht haben und so unklar, dass in der Realität so viele Graubereiche entstehen, dass. Ne, dass dass du dann eben, ja, was hast du dann? Dann kommt irgendwann AdWord Snowden, und da musste so und so viele Jahre Untersuchungsausschuss machen und dann werden die Fehler an den Gesetzen gefixt, weil wir wissen ja, das Gesetz hat ja gegen die Geheimdienste verstoßen.
Andre Meister
Und das ist jetzt irgendwie nur historisch gewachsener Ballast der Bundesrepublik. In wie viel haben wir jetzt? Zweiundsiebzig Jahre. Äh wenn Pi mal Daumen. Ähm ganz so schlimm wie UK wurde irgendwie dann nur historisch gewachsenes Recht aus einem äh aus einer. Aus einer so rechts, die haben ja so ein ganz anderes Rechts Theorie, mir fällt es der passende Begriff nicht ein, aber da ist es ja möglich, dass sie dann irgendjemand in irgendeinem Prozess mal noch einen Erlass vom dreizehnten Jahrhundert äh hervorzieht, der dann irgendwie jetzt noch argumentier und anwendbar ist. Also ganz so schlimm ist es hier nicht aber trotzdem, Ähm es ist tatsächlich oft über mehrere, nicht nur eins, zwei, drei Hobs und Ecken äh gedacht. Äh und selbst wenn man die Möglichkeit hat, alle Gesetze zu lesen, zu verstehen und sich dran zu erinnern, ist es nicht einfacher sich auszumalen, was das jetzt tatsächlich in der Gänze bedeutet. Zum Beispiel ähm gab's ja den Streit zwischen SPD und Union, ähm dass der Staatstrojaner jetzt an die Geheimdienste, nicht an alle Geheimnisse gehen sollte, sondern angeblich nur an das Bundesamt für Verfassungsschutz und auch nur bei Hinweisen äh von ausländischen Geheimdiensten auf schwere Staatsgefährdende Straftaten. Aber dann haben sie diese Befugnis eben ins Artikel zehn Gesetz geschrieben, Artikel zehn, Grundgesetz ist, Post im Fernmeldegeheimnis, Artikel zehn Gesetz ist das Gesetz, was in das Briefpost und Fernmeldegeheimnis eingreift, Und wenn man in darin eingreift und irgendjemand die Befugnis ähm drin regelt, aber dann in den ganzen Geheimdienst, eigenen Gesetzen von Bund und Ländern steht, die dürfen das, was im Artikel zehn Gesetz steht, ähm dann dürfen das halt auch gleich alle. Und das ist jetzt nur ein relativ einfaches äh Ba, Bier, was aber schon verdeutlicht, in welche Richtung das da auch noch kompliziert.
Linus Neumann
So, jetzt haben wir also die Idee, ein wir möchten, dass äh des Verfassungsschutzrecht anpassen. Man denkt also, es geht nur um den Verfassungsschutz, geht aber um noch viel mehr.
Andre Meister
Genau, äh du in der Verfassungsschutz-Novelle soll im Artikel zehn Gesetz eben die Möglichkeit für die kleinen Trojanerquellen TKÜ. Im Artikel zehn Gesetz geregelt werden und das gilt halt sowohl für den Bundesamt für Verfassungsschutz, das ist auch der, der immer in den Debatten genannt wird, der das kriegen soll, aber eben auch für den BND. Der ja bis vor einem, wann war das? Ein halben Jahr oder einem Jahr ist das BND-Gesetz verabschiedet wurde. Explizit die Befugnis hatte zu hacken, sondern die haben das immer nur implizit gemacht mit ja wir unsere gesetzliche Auftrag ist Informationen zu heben, also dürfen wir ja wohl auch hacken, jetzt ist zum ersten Mal geregelt, dass sie hacken dürfen, aber die können auch gleich ganze Netze hecken, wurde damals ja genug. Der andere Bundesgeheimnis ist der MAD, der soll das jetzt auch dürfen, aber eben auch alle sechzehn Landesämter für Verfassungsschutz, also bis hin zu, Verfassungsschutz Saarland, Verfassungsschutz, Bremen und den äh vor zehn Jahren besonders bekannt gewordenen Verfassungsschutz Thüringen. Die sollen jetzt Geräte hacken dürfen von Leuten, die sie beobachten und bei den Geheimdiensten geht's ja darum, Leute beobachten, keine Straftäter sind, äh weil sonst wär's ja die Polizei, die die äh Überwachen und dann irgendwann auch mal vor Gericht stellen würde, äh sondern die verfolgen halt alle, die so im Geheimdienst äh im Verfassungsschutzbericht stehen, fallen dann halt auch schon mal irgendwie Klimaaktivistinnen oder äh Verfolgte des Nazi-Regimes drunter. Den Staatstrojaner bekommen, wobei. Die Herleitung ist dann immer, dann wird viel gesprochen von äh Hanau und Halle äh und Walter Lübcke und so. Aber wenn man mal zurückdenkt bis zum NSU, das Problem war ja nie, dass die Geheimdienste nie genug konnten, Es war ja nicht so äh dass die Datenerhebung irgendwie das Problem gewesen wäre. Das Problem ist doch einfach, dass sie nicht, dass sie auf dem rechten Auge blind waren und nicht genau hingeguckt. Das Problem von einem Verfassungsschutz unter Maaßen war doch nicht, dass die kein Trojaner hatten, sondern dass sie die fucking NSU-Akten geschreddert haben. Also da gibt's ja auch äh jede Menge Erfolgsgeschichten, Oldschool Society und so so eine sächsische ähm, Neonazi gegen die vor Gericht, Stand, wahrscheinlich so verurteilt wurde, äh wenn man Polizeiarbeit ordentlich macht in den Gerichtsakten steht dann halt auch, Telegram-Chats ist ja nicht so, dass man das dann mit ordentlicher Polizeiarbeit, wenn man die aufm Kicker hat, beobachten will und aus dem Verkehr ziehen will, wenn sie vielleicht sogar schon Straftaten begangen haben, dass es dann keine Möglichkeiten, aber das ja die Herleitung ist halt. Hanau, Halle, Lübcke, der Verfassungsschutz muss jetzt irgendwie uns vor diesen Anschlägen auch mit dem Trojaner schützen. Auch wenn das bei diesen Beispielen überhaupt nicht geholfen hätte.
Linus Neumann
Ja die die angebrachten Beispiele, das das war noch ein letzter Punkt, den ich zu diesem Going Dark halt sehr interessant finde. Er wird ja auch ein ein klassischer Fehlschluss gemacht, indem man sagt, die alles, was wir nicht aufklären konnten. Und keine hatten wo ja einfach die postuliert wird, gebt uns diese Werkzeuge und dann ist gut. Ne? Und wenn man dann aber schaut, was haben die was haben die gebracht in den Ländern, wo sie zum Einsatz kommen, stellt man auch wieder fest, ja nix, ne, hat man man kriegt die Leute mit klassischer und ordentlicher Polizeiarbeit. Ähm sodass hier ja diese Going Dark-Debatte wirklich der es ist halt einfach nicht. Äh sauber argumentiert leider, ne, oder zum.
Andre Meister
Ja doch oft wirklich nur eine Frage von. Wie guckt man hin? Dann war jetzt glaube ich in der sachverständigen Anhörung auch noch das Beispiel Die äh Querdenker da, die die Reichstagstreppe gestürmt haben, da hilft doch kein Staatstrüger, ne? Die haben das doch öffentlich auf Facebook angekündigt. Klar nahmen. Das Problem war doch nicht, dass die Informationen nicht da waren, sondern dass sie nicht ernst genommen wurden. Genauso wie jetzt am sechsten Januar vorm Capitol in Washington. Da haben doch davor schon Leute gewarnt. Könnte sich irgendwie äh jetzt.
Linus Neumann
T-Shirts an, wo draufstand äh.
Andre Meister
Genau äh und da da ist das Problem doch nicht, dass man nicht. Befugnisse hat, zumal wir doch auch schon seit vielen Jahren äh berichten, was die äh die Polizei und die Geheimdienste im Internet dürfen, zu Landesverrat, ein ähm zu dem Artikel damals, da ging's ja auch darum, was wir veröffentlicht hatten über die Fähigkeiten des Bundesamts für Verfassungsschutz um eben soziale Medien auszuwerten und zu beobachten und wenn sie das einfach mal gemacht, vor dem Rechtstagstreppenstürmung, dann hätten sie auch vorher von Jana aus Kassel und äh wie heißt der hier? Ja. Jetzt abgehauen ist, na diese ganzen Lumis. Äh die hätten ja genau, ja.
Linus Neumann
Der ist ja von den der ist ja von den Schergen des Merkel Regimes in die Türkei geflohen. Oh man.
Andre Meister
Und dann, also hier, Geheimdienste, ne? Die wollen angeblich ähm ich weiß auch nicht so ganz genau, was sie machen. Sie beschreiben sich als Frühwarnsystem, gab's vor kurzem hier diesen öffentlich rechtlichen Film Verfassungsschutz, ist es ein Frühwarnsystem wo ich mich echt frage, was machen die denn die ganze Zeit? Jetzt hatten die Verfassungsschutz in Sachsen äh Pegida, als potentiell rechtsextrem eingestuft. Was ist denn da das Frühwarnsystem? Das sagen die Leute seit Anfang an. Das Problem ist doch dann, da nicht hinzugucken aber die Geheimdienste tun dann so, als ob sie den ganzen Tag Terroranschläge verhindern, wobei das Verhindern von Terroranschlägen, das ist gar nicht Aufgabe der Geheimdienste, das ist Aufgabe der Polizei. Das BKA darf seit zwotausendneun Staatsröhren einzusetzen, um Terroranschläge zu verhindern. Das ist doch genau das, warum das damals ganz eng begrenzt ähm eingeführt wurde. Es kann doch jetzt schon absehen, dass wenn die das ähm das Mittel einmal haben, dass dann eben nicht nur, der nächste NSU, sondern eben auch die Ende Geländegruppe XY davon betroffen ist. So viel zu den Geheimdiensten. Das andere Gesetz, was ja gerade in der Pipeline ist, ist das Bundespolizeigesetz, auch alle Polizeien dürfen ja Staatsverhältner einsetzen, seit der letzten Neuregelung in der Strafprozessordnung. Aber jetzt soll die Bundespolizei den Staatsmann erkriegen Personen, die gegen die noch gar keinen Tatverdacht begründet ist. Das war jetzt ein Zitat aus der Gesetzesbegründung, also schon präventiv schon irgendetwas passiert ist. Gegen Leute, die noch gar keine Straftat begangen haben Saskia Essen und die SPD auf keinen Fall mitmachen, auf keinen Fall präventiv, aber ich würd ehrlich gesagt nicht darauf wetten, also erst heißt es nur Verhinderung, Terror, dann nur zur Verfolgung schwerster Straftaten und jetzt ist es vor Straftaten und für die Geheimdienste. Das ist doch die klassische Salami Taktik auf, auf der ganzen Ebene.
Linus Neumann
Also das wird den hat noch gar keine Straftaten begangen. Das müssen wir jetzt nochmal genauer erklären. Ähm ich habe mir mal vor einiger Zeit von Lea Beckmann äh erklären lassen, die Aufgaben der Polizei sind, Strafverfolgung und Gefahrenabwehr, ne?
Andre Meister
Äh also in der Rechtstheorie bin ich da jetzt nicht ganz sicher, ob Prävention und Abwehr ähm ähnlich sind, aber die sollen teilweise auch Straftaten verhindern. Ja, kann sein, dass Prävention, Untergefahren, Abwehr subsummiert ist, aber ich bin tatsächlich genauso wenig Jurist wie du.
Linus Neumann
Genau, wir sind beide keine Juristinnen und deswegen äh verweisen wir auf diese Folge Lokbuchfreiheit. Da ist das drin erklärt und da hat die äh Lea mir das super erklärt. Ich mache mir kurz eine Notiz, dass das in die Shownotes kommt. Ähm. Und äh jetzt haben wir auf jeden Fall diese diese, also worum wir uns so, glaube ich, einig sind, ist das der Staatstrojaner hauptsächlich im Rahmen der Strafverfolgung zum Einsatz kommen.
Andre Meister
Ja, das ist derzeit ähm die einzige Form wir äh also neben dem äh Verhinderung, also der Prävention von internationalen Terror, das ist BKA seit zwotausendneun durfte. Aber was höchstwahrscheinlich noch nie angewendet hat, weiß sowohl technisch als auch rechtlich heiß ist. Äh die Fälle, die wir in den letzten Jahren haben, waren zur Strafverfolgung von Drogendelikten und so. Also wie eine klassische Telefonüberwachung auch.
Linus Neumann
Und Strafverfolgung heißt, es hat auf jeden Fall schon mal eine Straftat stattgefunden.
Andre Meister
Äh es es besteht genug Verdacht, dass die Polizei und Staatsanwälte einen Richter überzeugen können, dass eine Straftat stattgefunden hat. Das heißt ja nicht, dass es in jedem Fall auch zur Anklage kommt und dass es nach einer Anklage auch zur Verurteilung kommt. Aber es hat zum, es besteht genug Anfangsverdacht, dass eine Straftat äh stattgefunden hat.
Linus Neumann
Also es es wurde ein eine eine äh illegalisierte Substanz wurde gehandelt äh äh gehen wir von aus, irgendjemand hat sie und wir ne, nehmen wir das Beispiel aus dem Leben, wir gehen davon aus, X Y hat das getan. Ja, aber ist ein eine Händlerin dieser verbotenen Substanz. So und. Jetzt aber quasi zu, du, wenn du noch nicht einmal mehr das brauchst, was brauchst du denn dann?
Andre Meister
Geil, ne? Aber ich habe hier den Gesetzentwurf, den die GroKo beschließen würde vor mir und ich kann gerne aus der Gesetzbegründung zitieren. Präventive Telekommunikationsüberwachung solcher Kenntnislücke der Bundespolizei schließen und sich gegen Personen richten. Die noch keinen Tatverdacht begründet ist und daher noch keine strafprozessualen Maßnahmen nach Paragraph hundert A Strafprozessordnung angeordnet werden kann. Diese hundert A SDPO ist die normale Telekommunikationsüberwachung und eben auch die Quellenticket Kommunikationsüberwachung zur Verfolgung von Straftaten und die meinen, Ja, das dürfen wir zwar, um Strafverfolgung zu machen Wir wollen das jetzt auch, dürfen, wenn wir das da noch gar nicht dürfen. Äh wir wollen das jetzt machen können, wenn wir das nicht dürfen um eine Straftat zu verfolgen, sondern gegen Personen, gegen die noch kein Tatverdacht begründet ist. Um eben, weiß ich nicht, Straftaten abzuwehren, zu verhindern im Vorfeld schon.
Linus Neumann
Das ist schon eine also das ist irgendwie.
Andre Meister
Die argumentieren ähm äh vor allem die Bundespolizei mit Schleuserkriminalität und so. Da kommt dann in der Debatte auch äh immer gleich das, piel mit den ähm Schleusen, Leuten in irgendeinem LKW, die dann da drinnen erstickt sind oder so, ist ja immer die ganz grauenhaft Fälle, die man äh sich wünschen würde, die tatsächlich gar nicht erst passieren. Aber wenn aber trotzdem, wenn man einen Richter davon überzeugen kann, so eine Maßnahme anzuordnen, gerade in den äh Staatstrojanern, also eine extrem invasiven Maßnahmen, dann muss man doch schon genug Verdacht haben, dass die Leute einen konkreten Straftat ähm, verdächtig sind. Und das ist hier halt nicht der Fall. Und wie immer. Natürlich soll es erst nur die Bundespolizei und das nur gegen ganz böse Schleusungskriminalität kriegen, wobei Schleusungskriminalität äh könnte man auch innerlich diskutieren, weil das wird ja auch Sea-Watch und Co vorgeworfen. Ähm. Aber wenn das einmal da ist, wird das natürlich auf die anderen Polizeibehörden und auch auf andere Straftaten äh Deliktsbereiche ausgeweitet werden. Das ist doch ganz klar, ist doch immer so.
Linus Neumann
Klar, die haben da ja eine Lücke. Also dieser Begriff Lücke ist sowieso sehr äh äh sehr, sehr schön, ja? Sehr, sehr elegant gewählt. Ähm die die Lücke nennt man äh Grundrechte in der Regel, ne?
Andre Meister
Ja, ich meine, die Polizei in einem Rechtsstaat darf nicht alles. Ja, äh das Grundrechte sind Abwehrrechte auch gegen den Staat.
Linus Neumann
Die Lücke nennt sich Rechtsstaat.
Andre Meister
Es gibt selbst in nicht Rechtsstaaten. Äh selbst in Diktaturen, mit umfassender Überwachung und keinerlei Bürgerrechten und ähm absoluter Vollüberwachung und Befugnisse selbst dort passieren Straftaten. Äh also es ist. Tatsächlich eine konzeptfrage, eine Aushandlung, wie viel es notwendig, wie viel ist sinnvoll? Ähm und genau diese Einschränkungen äh von angemessen und notwendig. Äh die muss halt immer wieder neu verhandelt werden. Und man könnte hier argumentieren, dass es weder angemessen noch notwendig, zumal wir haben jetzt extrem viele Probleme von Staatsrödern angesprochen, aber das Hauptproblem haben wir elegant umschifft, weil wir denken, dass es sowieso alle Innen- und auswendig können Hauptproblem ist natürlich auch noch dieses Sicherheitsdilemmer, ja? Ähm man nimmt hier, man schwächt hier die IT-Sicherheit, nicht nur durch die ähm Verpflichtung der Anbieter, sondern eben um auch wegen der Ausnutzung äh von Schwachstellen. Man lässt quasi. Als Beispiel Schwachstellen in irgendeinem Messenger von allen sieben Milliarden Menschen in allen hundertzweiundneunzig Staaten auf der Welt offen, inklusive die eigenen. Um dann irgendeinen Drogendealer, irgendeinen, Querdenker, Nazi oder auch irgendeinen Mensch, der Leute über eine Grenze schmuggelt zu fangen. Und da muss man sich doch wirklich mal fragen, ist das verhältnismäßig. Professor Matthias Becker hat am Montag in der Anhörung gesagt, also die Gefahren sind so groß, wenn der Staatssicherheitsnutz äh. Ausnutzt, statt sie zu schließen, was das BKA übrigens auch schon mal getan hat. Die Gefahren sind so groß, es kann gar kein relevantes Anliegen eines Staates geben, diese Gefahren hinzunehmen, ähm das IT-Grundrecht vom Bundesverfassungsgericht ist ja auch nicht nur ein Abwehrrecht der Einzelnen, ähm dass wir einen IT-Grundrecht haben gegen das der Staat nicht einfach so eingreifen kann, sondern es ist auch ein Grundrecht, dass der Staat gewährleisten muss. Ähm der Staat muss. Äh Vertraulichkeit und Integrität aller IT-Systeme gewährleisten.
Linus Neumann
Sehr schön formuliert oder sehr oder also sehr wichtig äh darauf hinzuweisen, weißt du, überhaupt nicht wahrgenommen wird, ne?
Andre Meister
Genau, dieses Grundrecht ist äh nicht nur in der juristischen, auch in der politischen und auch in der fachöffentlichen äh erst recht in der breiten öffentlichen Debatte äh immer bisschen so unter ferner liefen. Aber das ist tatsächlich ein ziemlich krasses Ding, das ist halt relativ neu, jetzt mit zwotausendachtzehn oder so wann das war, ich weiß auch nicht mehr ganz genau, Pie mal Daumen. In den nächsten Verfassungsbeschwerden eben gegen den Staatstrojaner in der Strafprozessordnung, aber auch gegen die Verfassungsbeschwerden, gegen, gegen diese Gesetze kommen werden, wenn sie denn beschlossen werden, äh wird dann das Bundesverfassungsgericht eben zum ersten Mal ausdefinieren, wie es denn das jetzt genau gemeint hat äh mit dieser Gewährleistung äh von Vertraulichkeit und Integrität von IT-Systemen. Ob es eben irgendwelche äh Fälle geben kann, in der Aushandlung von Sicherheitslücken, wo der Staat das eventuell doch geheim halten darf. Die meisten Juristen in der Anhörung sagen, nee, das geht nicht, ähm. Der Verfassungsschutzpräsident Haldenwang hat sogar der hat irgendwie gesagt, ich weiß auch nicht genau, ob der sich mit den allen technischen Details äh der Oberexperte ist. Aber der hat eine Anhörung gemeint, also irgendwelche Schwachstellen und das spielt überhaupt keine Rolle beim Staatstroher, ne. Ich verstehe nicht, was er damit meint. Er meint, es gäbe da irgendwelche geheime Volume-Technologie, die aber natürlich nicht erklären kann, weil wenn er, klären würde, dann würde es wieder nicht funktionieren. Ähm ich halte das äh für weit hergeholt, der wusste aber auch nicht, dass das BKA äh WhatsApp mitlesen kann, wenn sie einfach mal ganz kurz das Handy in die Hand nehmen. Ähm. Aber wenn sie wirklich keine äh Waschstellen ausnutzen sollten, frage ich mich erstens, was macht die Zitist den ganzen Tag? Die wurde ja dafür gegründet, äh genau sowas zu anzukaufen und zu entwickeln, auf dem Markt zu finden und zweitens, wenn sie das wirklich nicht brauchen, wie äh der Verfassungsschutz selber behauptet, dann sollen sie ins Gesetz schreiben, dass die Sicherheitslücken nicht außen äh nicht ausnutzen und nicht ausnutzen werden und nicht ausnutzen dürfen. Aber das schreiben sie nicht ins Gesetz und das ist ein Problem.
Linus Neumann
Ich finde, ich möchte noch kurz hier ein bisschen mich selber loben, weil meine Stellungnahme zweitausend äh siebzehn äh bei der Staatstrainer Ausweitung, die hier äh Ausweitung hatte den Titel Risiken für die innere Sicherheit beim Einsatz von Schadsoftware in der Strafverfolgung. Finde ich nach wie vor sehr, sehr wichtigen Punkt, weil nämlich genau der weiß genau das betrifft, was du gerade auch sagst, was Matthias Becker nochmal angesprochen hat. Wir schneiden uns hier am Ende ins eigene Fleisch. Und diese das ein sehr schönes Beispiel dafür ist ja die ähm oder ein sehr trauriges Beispiel ist ja hier die äh Hackerangriffe oder die Schaden, die in Schäden, die weltweit entstanden sind durch ähm zwei beziehungsweise deine Dateien doch nicht wiederbekommen, die eine Schwachstelle. Die NSA gehortet hat, genutzt haben, bei äh bei ihrer Ausbreitung. Und das war eine Schwachstelle, die die NSA, mindestens fünf Jahre zu diesem Zeitpunkt hatte oder acht. Die Schwachstelle selber war noch viel älter und sie ist dann in die falschen Hände gekommen. Und was ich dazu immer sagen möchte, Dieser Schaden, diese diese Milliardenschäden, die wir da gesehen haben, die sich da manifestiert haben, sind nur ein Bruchteil des Risikos, was die NSA für die gesamte Welt. Jeden Tag eingegangen ist, den die ruhig geschlafen haben, mit dieser Schwachstelle in ihrem Arsenal. Und dem Explode für diese Schwachstelle, die haben jeden Tag mussten die mit damit einschlafen, zu sagen, hoffentlich äh findet niemand raus, dass es diese Schwachstätte gibt, weil dann können wir sie weiter ausnutzen und. Dann bricht nicht die Welt zusammen, ja? Und man kann eigentlich vom Glück sagen, dass sie irgendwann Not gefixt wurde von Microsoft. Tatsächlichen Schäden hier waren einen Monat nachdem es die Updates gab, das heißt, was da gebissen wurde waren die Leute, die einen Monat lang, obwohl rauf und runter in den Nachrichten kamen, hochkritische Sicherheitslücke, äh bitte unbedingt fixen. Das war nur der Teil, die die die Updates nicht hatten. Und ähm. Diese Risiken einzugehen, ist, denke ich, genau das, was du meinst, mit da verletzt der Staat gezielt das Grundrecht auf die Gewährleistung, der Vertraulichkeit und Interität, Informationstechnischer Systeme und zwar aller. Und ich denke tatsächlich, dass man dass man wirklich damit Aussicht hat zu sagen, ey, das kann nicht sein, dass der Staat Kenntnis einer Sicherheitslücke hat, die ein ein Risiko für die Wirtschaft, ein Risiko für die Bürgerinnen ist und ähm. Dieses Risiko einfach mal eingeht, weil diese Abwägung, zwischen, ja, ja, aber komm, ein bisschen, bisschen Heckmeck müssen wir ja auch noch machen. Äh und äh die die Bürgerinnen sollen geschützt sein, die kann eigentlich nur immer schiefgehen.
Andre Meister
Ja, eine der. Laut dessen Kritik war nicht nur die Wirtschaft und die anderen Staaten, sondern auch innerhalb der USA war nach das Verteidigungsministerium, man hat zur NSA gesagt, sag mal wollt ihr uns verarschen? Unsere Systeme laufen mit genau dieser selben Schwachstelle. Die National Security Agency. Euer Auftrag ist es eigentlich für unsere IT-Sicherheit zu sorgen. Und ihr habt uns nicht Bescheid gesagt. Und dann regt man sich auf wenn irgendwie staatliche Stellen gehackt werden. Das ist ein großes großes Problem, sowohl international, also ich kann nicht verstehen, wie, man denken kann, der deutsche Staat darf das, aber alle hunderteinundneunzig anderen Staaten nicht oder auch nur das BKA wird das schon geheim halten können oder das Landesamt für Verfassungsschutz Thüringen, wenn die NSE das nicht schafft. Wir haben Beitrag auf Netzpolitik von zwanzig achtzehn mit dem Titel sind ein Risiko für die innere Sicherheit also die Befürworter sagen immer wir tun was für die innere Sicherheit weil wir eins, zwei, drei Bad Guys schnappen, aber das, dass sie die innere Sicherheit schwächen, indem sie die IT-Sicherheit aller offen halten, das will irgendwie nicht in die Gehirne. Warum auch immer. Weil sie denken, so hat's schon immer funktioniert. Wir sind aber der Staat und wir müssen das, dürfen und außerdem. So viel über, ja, weiß ich nicht. Ähm ein Angriff von China, damit hat doch die nichts zu tun oder so. Oder auch nur Kriminelle. Ist ja gerade hochaktuell. Also die ist eigentlich ist die Perspektive von vielen Leuten, die sich mit dem Thema auseinandersetzen, wenn der Staat. Von einer Sicherheitslücke erfährt, muss er alles in Bewegung setzen, dass die geschlossen wird und darf die auf keinen Fall offen halten, denn sonst kommen wir in Teufelskirche sowohl äh innerhalb einzelner Staaten als vor allem auch international.
Linus Neumann
Amen, was wird der Bundestag jetzt aus dieser Erkenntnis machen? Die werden also jetzt dieses Gesetz zur Anpassung des Verfassungsschutzrechts, da war die Anhörung am Montag. Eine Nummer, Nothabene wie man so schön sagt. Am Montag waren wieder zwei Vertreter des äh CCC im äh in Ausschüssen des Deutschen Bundestags, nämlich einmal zum Thema ähm. Impfpass und zum zum Thema mobile EID. Ähm sprechen wir in äh sprechen wir an anderer Stelle noch drüber. Zu dieser äh Staatsojane Anhörung war aber keiner von von uns geladen. Bin ich ein bisschen beleidigt, hätte gerne nochmal die gleiche Stellungnahme eingereicht, äh nach Giffey, nach Giffey-Schamanier. Ähm.
Andre Meister
Da waren übrigens auch keine Vertreter der Internetwirtschaft, also der Eco, grade Klaus oder auch der Bitcom und so, die sind ja normalerweise zu solchen Gesetzen, die sie betreffen, gerne mal da und auch äh kundige und gern gehörte Experten, waren auch nicht da, obwohl dieses ganze riesen Fass der Provider mitwirkungen da drin ist. Da waren eigentlich nur Juristen, aber weißt du, wer damit drin war? Herr Kurt Kraulich, das ist dieser ehemalige Bundesverwaltung äh Gerichtsrichter der damals im NSA Untersuchungsausschuss als Sonderermittler eingesetzt wurde, der die Selektoren teilweise angucken konnte, weil der Ausschuss das selber ja nicht angucken konnte äh und der irgendwie nicht durch übermäßige, und Distanz zu Geheimdiensten aufgefallen ist, sondern der sogar Teile seines Berichts direkt vom BND übernommen hatte. Und sogar den hat die SPD ernannt und der hat gesagt liebe Leute, dieses Gesetz das darf so nicht kommen. Die SPD, die Fraktionen laden sich ja normalerweise Sachverständige ein, die so Pi mal Daumen ihrer Meinung entsprechen, aber die SPD hat da den eingeladen und der sagt, Dieses Gesetz geht so nicht.
Linus Neumann
Und der ist jetzt echt äh unverdächtig. Äh übermäßig äh übermäßiger Grundrechtsschützer zu sein, ne.
Andre Meister
Aber die SPD hat ja in dieser ganzen Legislatur und in diesem ganzen Themenbereich immer mal wieder rote Linien eingezogen, äh was denn mit ihnen nicht so machen sei. Ähm. Kann sich jeder selbst ausmalen, äh was passieren wird. Es gibt nur noch zwei Sitzungswochen des Bundestags in diesem, in dieser Legislaturperiode. Der Bundestag kommt nur noch zweimal im Juni zusammen. Und alle Gesetze, die irgendwie angefangen wurde, wie gesagt, Discotinitätsprinzip, die noch fertig wollen sollen, die müssen jetzt im Juni beschlossen werden, des Bundespolizeigesetzes stand eigentlich gestern, Donnerstag schon mal auf der Tagesordnung, sollte verabschiedet werden, dann gab's aber doch nochmal Streit kurz vor Schluss. Ähm ich gehe davon aus, dass bis zum Schluss Verhandlungen passieren zwischen Union und SPD. Und sowohl das Bundespolizeigesetz als auch das äh Geheimdienst äh Gesetz höchstwahrscheinlich äh beschlossen werden kurz vor Schluss.
Linus Neumann
Das ist jetzt keine gute Nachricht.
Andre Meister
Ja, danke SPD.
Linus Neumann
Aber es gibt keine äh brauchbare Aussicht denkste, dass sich da noch irgendwas dran ändert.
Andre Meister
Beim, ich glaube, es ist ein bisschen schwer reinzugucken. Sie reden auch nicht ganz so gerne sehr detailliert äh mit mir. Ähm. Geheimdienstgesetz, erwarte ich, dass sie versuchen, noch ein bisschen rumzuschrauben, aber ich hälte es für unwahrscheinlich, dass sie das nicht in irgendeiner Form verabschieden. Beim Bundespolizeigesetz ist mir tatsächlich nicht ganz klar, wie viele Kröten ähm die SPD bereit ist zu schlucken und wo sie tatsächlich vielleicht doch nochmal versuchen zu ihrem Wort zu stehen, ähm und bestimmte rote Linien äh nicht überschreiben zu lassen, eben gerade die präventive äh Trojanereinsatz. Ähm wetten würde ich darauf nicht, äh ganz ehrlich, mit Wetten auf die SPD wird schon das Richtige tun, habe ich keine guten Erfahrung. Wir werden sehen, vielleicht geschieht ein Wunder, aber es liegt in wie immer in der GroKo an den Silben. Selbst mit der mächtigsten Netzpolitikerin äh des Landes als Vorsitzende dieser Partei. Es steht und fällt alles mit der SPD.
Linus Neumann
Also äh hilft es jetzt auch irgendwie, was sich bei der SPD zu melden?
Andre Meister
Auch Abgeordnete kontaktieren äh und Kandidaten schaden tut das nie. Äh kann man schon mal machen? Inwieweit das jetzt tatsächlich noch effektiv ist? Äh also abhalten will ich niemanden. Probiert's. Ähm vielleicht gibt's ja auch Leute in den Parteien oder Wahlkreis Termine mit Abgeordneten, die klassische E-Mail ist halt doof und auch irgendwie das Konzept von Ruf deinen Abgeordneten an, also ich frage mich wie oft, ich weiß nicht wie oft ich das schon gehört habe und ich weiß nicht, wie viele Leute das jemals überhaupt schon mal gemacht haben. Schaden tut das nicht. Kann man gerne machen, aber eigentlich ist die Abwägung 'ne andere. Das Gesetz ist das Geheimdienst Gesetz das liegt auch schon seit Oktober auf Eis. Das wurde damals schon von der Bundesregierung äh zwischen den SPD-Ministerien ähm geeinigt. Das lag dann aber erstmal fünf Monate flach, weil die Sozen eigentlich im Gegenzug dazu auch noch ein Unternehmensstrafrecht wollten. Also ein anderer großer Deal, was übrigens auch nicht kam, ähm aber die Abwägung. Quellen TKÖ jetzt in der Plusform kommt oder nicht oder ob das jetzt alle neunzehn oder nur, drei Geheimdienste kriegen da eigentlich könnte man versuchen daran noch etwas zu drehen genau jetzt nach der Sachverständigenanhörung am Montag laufen ja auch noch die finalen stimmung im Innenausschuss zwischen der großen Koalition, inwieweit die Paar Abgeordneten der SPD-Fraktion im Innenausschuss davon zu überzeugen sind, also ich will niemand abhalten, go for it. Auf mich hören sie nicht mehr.
Linus Neumann
Oh Mann, Andre, ich äh jetzt weiß ich wieder, warum ich äh.
Andre Meister
Mir nicht Podcast, ja?
Linus Neumann
Oh Mann.
Andre Meister
Lass mal ein Bier trinken muss.
Linus Neumann
Schnaps äh bevor die Spätis hier zumachen und ich keine kein äh keinen Flachmann mehr für die für die Jeans Jeansweste äh bekomme. Danke ich dir, dass du diese Themen trotzdem ähm weiter so genau beackerst. Es gibt auch glaube ich tatsächlich wenige, die das auf dem Niveau tun wie du und deswegen ist es ja so wichtig unsere Freundinnen und Freunde bei Netzpolitik org zu unterstützen, genauso wie es auch wichtig ist ähm. Uns bei Lokbuch Netzpolitik zu unterstützen. Und ich wünsche uns dann, würde ich sagen, einfach eine schöne, einen schönen Sommer, weil wenigstens eins ist sicher, wenigstens, ist äh ist dieser äh äh diese Dedosangriff mit äh Grundrechtsverletzenden und hochkritischen äh auf die letzte Sekunde durchgepeitschten Gesetzesvorhaben bald vorbei. Dann haben wir allerdings einen Wahlkampf und das wird bestimmt auch richtig schön.
Andre Meister
Genau, hier, es hört ja nicht vollständig auf, erstens gibt's noch andere Ebenen, wie äh Länder und auch die EU-Ebene und zweitens genau Wahlkampf, Koalitionsverhandlungen. Immer weiter. Bin gespannt, ob die Grünen aus ihrem Parteiprogramm den Staatsfreund noch streichen. Die haben ja jahrelang immer gesagt, Staatstrojaner geht nie unter keinen Umständen, auf gar keinen Fall, weil aus all den richtigen Argumenten. Aber im Entwurf für ihr Wahlprogramm steht drin, ja, also Quellenticker Ü, die Kröte müssen wir halt schlucken. Bin gespannt, ob das noch mal rauskommt.
Linus Neumann
Ich habe gedacht, wir hätten jetzt ein erklärtes äh erklärtes Feindbild hier und äh und jetzt kommen die Grünen auch noch mit dazu.
Andre Meister
Dann reden wir jetzt nicht von Hessen und den NSU-Akten, diese diese Woche nicht freigegeben haben.
Linus Neumann
Die Grünen haben sich auch bei der bei der Urheberrechtsreform enthalten, da hätten sie hätte sie doch auch nichts gekostet, dagegen zu stimmen, äh. Man merkt die, die sehen, die riechen die Möglichkeit auf Regierungsbeteiligung, ne. Da werden sie sofort da werden sie sofort äh handzahm. Schade eigentlich.
Andre Meister
Ulberich ist sowieso nochmal ein eigenes Thema, aber du hast ja gerade einen eigenen Podcast dazu gemacht. Eigentlich wolltest du mit mir eine Viertelstunde übern Trojaner reden, aber ist jetzt doch ein bisschen länger geworden.
Linus Neumann
So ist das. Äh Andre, ich danke dir. Ich wünsche dir ein schönes Wochenende. Und ich mache mich an die zeitnahe Veröffentlichung dieser Episode.
Andre Meister
Alles klar, danke bei dir.
Linus Neumann
Hoffen wir jetzt, ich hab's gerade auch zu Julia schon gesagt, ich weiß gar nicht, ob ich mich, ob ich sagen soll, ich ich freue mich, dich bald wieder im Podcast zu haben.
Andre Meister
He.
Linus Neumann
Ciao Andre.
Andre Meister
Ciao, ciao.

Shownotes

Landesverrat

FinSpy

Begriffe

Ausweitung 2017

Abhören ohne Trojaner

Gesetz zur Anpassung des Verfassungsschutzrechts

Bundespolizeigesetz

Sicherheitsdilemma

LNP394 Da war ein Hacker drin

Doktorarbeiten — Feedback — e-ID-Gesetz — CDU Wahlkampf-App — Pipeline-Erpressung

Trotz dünner Themenlage arbeiten wir uns trotzdem an dem einen und anderen ab und es kommt aus gegebenem Anlass vor allem der Sinn und Unsinn von Doktortiteln und -arbeiten zur Sprache. Außerdem blicken wir auf das e-ID-Gesetz und die von der CDU, CSU und ÖVP eingesetzten App zur Unterstützung von Wahlkämpfern, die einige fundamentale Sicherheitslücken aufweist. Abgerundet wird die kompakte Folge durch eine Betrachtung der Erpressung der texanischen Pipeline durch Ransomware.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Linus.
Linus Neumann
Guten Morgen Tim.
Tim Pritlove
Schon gehört, es gibt Probleme mit Giffeys, Doktorarbeit.
Linus Neumann
Da spricht man aus.
Tim Pritlove
Netzpolitik nur dreihundertvierundneunzig für euch frisch und pünktlich aufgenommen. Schon am zweiundzwanzigsten Mai zweitausendeinundzwanzig.
Linus Neumann
Ja. Ja, äh Quelle zu diesem äh zu dieser das ist das ist ein Nerd Humor. Eine schwierige also das spaltet die die die Menschen ja mehr als die Wahl des Textediters ist, wie man Gift richtig ausspricht.
Tim Pritlove
Ja, es steigt überhaupt alle Probleme, die wir wirklich haben. Also man kann lange über den Klimawandel äh diskutieren, aber es wird nie so hitzig, als wenn man darüber diskutiert, wie Gif ausgesprochen wird. Oder heißt es.
Linus Neumann
Neunzehnhundertsiebenundachtzig hat Steve Willight äh das Format erfunden oder veröffentlicht und hat gesagt, es heißt Schiff.
Tim Pritlove
Und das äh nur also ich meine, nur weil er das erfunden hat.
Linus Neumann
Kann er ja nicht einfach entscheiden, wie man's ausspricht.
Tim Pritlove
Und deswegen ist dieses Its-Product Gif auch schon so für sich zu so einem Mehm geworden Du was man eigentlich auch auf alles andere anwenden kann. So auch so komplett so nach dem Motto ja weißt du irgendwie, ist das Problem da und damit ist, Ist das ein guter Witz, den mussten wir jetzt einfach mal machen.
Linus Neumann
Den mussten wir klauen.
Tim Pritlove
Weil es scheint ja Probleme mit der Doktorarbeit zu geben. Dabei hast du ja auch äh so deine Erfahrungen mit gesammelt mit Doktorarbeit.
Linus Neumann
Ja, da möchte ich mal nicht drüber reden über also das ist ja eine.
Tim Pritlove
Du hast vor zehn Jahren auf einer öffentlichen Veranstaltung angekündigt, dass du das, dass du da deine Gerade schreibst, ne.
Linus Neumann
Ja, aber unter falschem Namen.
Tim Pritlove
Sage ich immer was ist da was draus geworden eigentlich jemals?
Linus Neumann
Die hat die die hat ja dann zu Ende geschrieben, ja. Also der Ghostwriter.
Tim Pritlove
Ist ja auch veröffentlicht worden, können wir die verlinken.
Linus Neumann
Ja die habe ich auf achtzig Disketten habe ich die. Ach ja, das ist ja so, inzwischen steht's ja, glaube ich, sogar schon in der Wikipedia, dass ich das war. Insofern kann ich das langsam nicht mehr leugnen.
Tim Pritlove
Nicht schwierig.
Linus Neumann
Es war damals bei äh zu Gutenberg äh hatten äh nachdem der der, sage ja, es ist mehrfachen Plagiats ja überführt wurde und zurücktreten musste, gab es eine Massen scheinbare Massenbewegung auf Facebook die aber sehr, ja, sehr verdächtig, schnell wuchs und irgendwie nicht so ganz ernst zu nehmen war. Und die kündigten dann äh eine Großdemonstration in Berlin an. Und dann haben wir die einfach also da haben wir die einfach angemeldet und äh damit war ich dann quasi deren Anmelder dieser äh Demonstration. Und am Brandenburger Tor und äh die Presse macht natürlich die Interviews mit dem Anmelder. Und dann konnte ich äh quasi die die besten Argumente der Gutenberg Fans, vortragen und das wurde jetzt ein YouTube-Video, wo das jemand gefilmt hat.
Tim Pritlove
Grandios, wirklich, das ist echt das, also ein wirklich zeithistorisches Dokument, das ist auch äh es hat auch eine Lustigkeit in den letzten zehn Jahren, ist ja wirklich zehn Jahre her jetzt, ne? Ziemlich genau, ja.
Linus Neumann
Ungefähr zehn Jahre, ja. Zweitausendelf war das irgendwann im Mai oder so.
Tim Pritlove
Wirklich an Lustigkeit überhaupt nicht verloren.
Linus Neumann
Ich find's inzwischen immer weniger lustig, weil diese dumme Argumentation ähm die begegnet einem ja wirklich inzwischen alltäglich, ne.
Tim Pritlove
Genau, das ist mir nämlich auch aufgefallen, dass eigentlich diese Gutenberg-Demo. Also ich wäre überhaupt nicht überrascht, wenn dieselben Fressen, die da einfach auf diese Demo gelaufen sind, um ihn wirklich zu unterstützen. Im Prinzip genau dieselben Vögel sind die jetzt irgendwie auch diese ganze Corona-Schwabelei irgendwie nach vorne getragen haben. Wenn sie's persönlich nicht sind.
Linus Neumann
Du, das, das ist ja auch so.
Tim Pritlove
Ja, ja.
Linus Neumann
Ist ja auch so. In dem in dem Video gibt's ja auch so eine schöne so eine schöne ähm da da ist auch so eine schöne Stelle, da ähm. Da werde ich irgendwie gefragt äh so ja hier sechshunderttausend Leute angemeldet. Hier sind jetzt irgendwie hundert Äh wie sieht das, ne? Wer jetzt optisch enttäuscht wäre mit der Anzahl der Teilnehmenden. Und dann sage ich halt irgendwie sowas wie ähm, Ja, irgendwie, so das ist ja einfach auch hier ein Verfall der Werte. Pünktlichkeit ist keine Tugend mehr, wenn die Demo um dreizehn Uhr angemeldet ist, dann ist sie um dreizehn Uhr und hier kommt jeder, wann er will, ne? Und äh regt mich dann so ein bisschen über den über den allgemeinen Verfall der Werte auf. Und in in dem Hintergrund hinter mir siehst du halt irgendwie so alte Leute stehen, die dann so bekräftigend nicken, ne, also.
Tim Pritlove
Ja, ja. Oh, das war echt crinch, ey. Ey, ich sag's mal einer. Der junge Mann hier hört auf den jungen Mann.
Linus Neumann
Genau, endlich wieder Zucht und Ordnung.
Tim Pritlove
Ja, so als Agitator hättest du durchaus auch eine Zukunft gehabt. Stattdessen bist du Aktivist geworden, was.
Linus Neumann
Ich bin kein Aktivist, Mann. Extra aus der Wikipedia rausstreichen lassen.
Tim Pritlove
Ja die also das war das das ja das das fatale ist wenn man jetzt irgendwie versucht mit einiger Eleganz diesen diese ganze Sinnlosigkeit, zur Schau zu stellen und das ist ja durchaus auch gelungen, weil wir haben ja alle herzlich lachen können über die Tumpemasse, die dann irgendwie da ihren ihren guten, wieder haben wollte und du hast es ja dann einfach in diesem Interview auch einfach finde ich perfekt auf den Punkt gebracht. So, warum wollen sie den wieder haben? Ja, weil weil der gut ist.
Linus Neumann
Ja, finde gut.
Tim Pritlove
Ja, weil weil der ist ja ein guter Politiker, ich finde den gut so, ne? Und äh auch so dieses ganze Argumente zählen eigentlich gar nicht. Es zählt einfach das Gefühl, dass das jetzt nicht so gesagt, aber das, kam im Prinzip wunderbar raus und insofern muss ich äh zugeben, was du da drinne zeigst echt voraus irgendwie, das ist äh ein Blick in die Glaskugel gewesen. Ah, so was Lustiges irgendwie, also echt.
Linus Neumann
Also das wir verlinken das äh YouTube-Video und ähm es gab da auch einen Vortrag ähm auf dem