LNP398 Unbefriedigender Vorgang mit befriedigendem Ausgang

Impfpass in Deutschland und EU — Staatstrojaner, Bundespolizeigesetz & Verfassungsschutznovelle — AN0M — Telegram Kanal Hildmann — Jobs

Diese Woche gibt es eine eher nachdenkliche Sendung mit viel sowohl als auch in der wir einerseits ein paar Probleme rund um den Impfpass besprechen und uns dann über den erschreckenden Abschluss der Legislaturperiode ärgern, in der wieder wie gewohnt auf den letzten Metern eine ganze Reihe von Überwachungsgesetzen durchgewunken werden. Hier hat die Umfallerpartei wieder ganze Arbeit geleistet und der CDU und den Behörden ihre Wünsche erfüllt. Im Nachgang diskutieren wir ethisch-moralisch schwierig zu bewertende Methoden der Polizeiarbeit mit vorgetäuschten Kommunikationssystemen und den ebenfalls schwierig zu bewertenden inhaltlichen Sperrungen durch Plattformen.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove 0:00:00
Guten Morgen Linus.
Linus Neumann 0:00:00
Guten Morgen Tim.
Tim Pritlove 0:00:02
Hast du schon gehört? Am Montag kommt der digitale Impfpass, dann ist die Pandemie endlich vorbei.
Linus Neumann 0:00:07
Ja, du musst dich aber noch impfen lassen vorher, ne?
Tim Pritlove 0:00:11
AhLokbuchnetzpolitik Nummer dreihundertachtundneunzig vom neunten Juni zwanzig einundzwanzig und wir rollen hart auf die Vierhundert zu,Aber noch ist es nicht so weit, Leute. Noch ist es nicht so weit. Noch ist es nicht so weit. Ihr müsst eure Begeisterung noch ein wenig im Griff haltenso ist es. Ach ja und dann im Fass. Yes. Dann.
Linus Neumann 0:01:01
Es ist so. Äh die Corona-Warn-App sei denn auch bekommen.
Tim Pritlove 0:01:05
Hat ihnen, glaube ich, sogar mit dem Update von gestern schon auch äh released genau. Also das Feature ist am Ausrollen. Also es gibt da schon eine gewisse äh Bereitschaft. Wir haben das ja hier schon ausführlich diskutiert. Kernproblem ist halt,abgesehen davon, dass noch nicht alle geimpft sind, dass eben auch die, die jetzt ihre zweite Impfung bereits erhalten haben, dass dann erstmal nachweisen,können sie theoretisch praktisch auch äh mit dem,gelben Papier, Impfpass, ganz klar, aber um auf den digitalen Impfpass zu gehen. Ja, da muss das dann halt noch nachgereicht werden und da wollen dann die Apotheken einschreiten. Wir werden äh gespannt schauen,wie sich das so entwickelt. Aber im Fass haben wir ja eigentlich später in der Sendung.
Linus Neumann 0:01:50
Ja, dann nehmen wir es jetzt mal ganz kurz nach vorne. Ich glaube, dass das mit dem mit dem Upgrade der Impfpässe ist ja sehr äh sehr schönes Problem. Das wird in der bei den Apotheken in sehr guter Hand sein. Ähm ich findeäh finde einen sehr schönen Artikel gerade vonLeaks, also die sind ja wirklich in letzter Zeit äh enorm aktiv wieder. Äh deutsches äh Nonnungsgrüppchen, ähm die jetzt äh,einen schönen Artikel geschrieben haben. Manche Käufer von gefälschten Impfpässen haben nun drei Probleme.Weniger Geld und immer noch keinen ImpfpassSie haben sich nämlich äh angeschaut, dass es ja auf Telegram ein sehr lebhaften, einem Schwarzmarkt für äh Impfpässe gibt.Und haben dort auch äh sich in den entsprechenden Gruppen als Anbieter äh dargestellt und haben dann von,zumindest einem Käufer gesagt, ja, um dir den ausstellen zu lassen, brauchen wir halt einen Scan von deiner äh Gesundheitskarte und deinem Personalausweis,und äh irgendwie hundertfünfzig Euro, fünfzig, damit's eine Woche schneller geht. Und ja, haben dem natürlich dann keinen geschickt, aber haben hier anonymisiert dann den äh.Den Ausweis und die äh Krankenkassenkarte äh veröffentlicht. Und auch sehr genau beschrieben, wie man,anonyme falsch Angebote auf Telegram machen kann und Impfpassfälschungsinteressentinnen,ziehen kann.
Tim Pritlove 0:03:25
Ja, ist gar nicht so einfach, illegal vorzugehen, wenn man's eigentlich nicht so richtig drauf hat. Das äh fällt mir immer wieder auf, so.
Linus Neumann 0:03:34
Das ist wirklich also diese Seite ist sehr interessant. Also erstes schreiben die sehr schön, so dass sie,das wirklich so einfach haben, sich enormes Aktivisten gefragt, sind diese Menschen wirklich so naiv, dass sie einhundert Euro oder mehr an ihnen völlig unbekannte Zahlen nur, weil sie die Hoffnung hegen, Impfpässe zu bekommen, ohne geimpft worden zu sein?JaSie sind so naiv. Sie sind mehrmals eine na ja, wer das alles glaubt, was die glauben, dann ist natürlich auch nicht äh überraschend, dass die das glauben,wir reden. Na ja, sehr schön. Genau und dann haben sie äh.Streuen sie. Und das finde ich insofern, also ist eine ganz interessante ähm Vorgehensweise, weil sie dadurch natürlich auch ähm Unsicherheit in diesem Markt sehenne? Und das versaut oder gefährdet natürlich auch potentiell das Geschäft der echten Betrügerinnen, die dort ähm ja,handeln mit gefälschten Impfpässen, was wirklich eine äh eine echt äh unschöne Sache ist, ne.
Tim Pritlove 0:04:40
Ja, insofern ist das wirklich eine echte Dienstleistung wiederum an der Gesellschaft, sowas äh da da so eine Unsicherheit rein zu äh speisen, was vielleicht die Polizei alleine gar nicht schaffen könntewenn die da sicherlich auch hinterher sind, da habe ich gar nicht so viel Zweifel. Also,Ja, das wird noch spannend sein zu sehen, wie viel Erfolg äh die Leute dann am Ende wirklich haben oder ob sie dann nicht sozusagen ein doppeltes Problem haben, immer noch nicht geimpft und auch noch irgendwie,Auch noch eine Anzeige an der Backe. Der da könnte der Sommer nicht so gut laufen.
Linus Neumann 0:05:12
Ja, das ist ähm.Hat natürlich zwei Seiten. Also es kann natürlich auch sehr gut sein, dass es hier im Prinzip sich um Verzweiflungstäterinnen handelt, die sich irgendwie Sorgen, weil sie.Impfausweis haben hier in eine äh stärkere gesellschaftliche Benachteiligung zu geraten und diese gesellschaftliche Benachteiligung ist ja abzulehnen.Deswegen lehnen wir ja auch aus grundsätzlichen Erwägungen diese Impfpasskontrollen und Infrastrukturen ab, solange nichtdie alle Menschen ein Impfangebot hatten, ja, sie diskriminieren ja immer noch hier über fünfzig Prozent der Bevölkerung, die bisher einfach nichtdie Möglichkeit hatten. Äh und gleichzeitig, wenn die alle einmal die Möglichkeit hatten,wird man hoffentlich potenziell nicht mehr äh eine Impfpasskontrolle,brauchen. Insofern äh so eine,ein allgemein Ding, was grundsätzlich abzulehnen ist und was ich habe mich ja letztens nochmal bisschen über dieses Thema unterhalten, dass.Also sich einen Impfpass zu fälschen, ähm kann auch echt nachhaltig zu Problemen führen,dann vielleicht, wenn man es sich anders überlegt, geimpft zu werden. Ne, ist eine Sache, dir so ein.Gelbes Heftchen auf Telegramm zu ordern, beim dritten, vierten Versuch,und äh damit vielleicht irgendwo rumzurennen, aber nochmal eine ganz andere Nummer, damit in der Apotheke zu stiefeln und dir einen digitalenPass geben zu lassen. Weil wenn du dannirgendwie, ne? Offiziell registrierter im Fling bist, dann nochmal ein Arzt zu finden, der dir der dir quasi eine Impfung verpasst und dann irgendwie feststellt, hm, du hast ja schon,Impf was oder was auch immer.Ähm das heißt, du hast dann keinen Weg mehr zur richtigen Impfung, wenn sie dir dann endlich geboten wird ohne dich potenziell,der Urkundenfälschung und des Verstoßes gegen gegen alle möglichen Infektionsschutzauflagen zu ähm beschuldigen oder zu belasten. Äh das sollte man sich also wahrscheinlich sehr gut überlegenwie weit man da mit diesen gefälschten Dingern umgehen möchte.Alles eine sehr unschöne Situation. Der einzige Weg daraus ist ähm impfen impfen impfen sage ich ja immer wieder.Und hoffen, dass wir irgendwann eine Impfquote haben, äh dass wir uns die paar Spinner einfach leisten könnendiese Dinger fälschen oder die die ähm sich nicht schippen lassen wollen und äh was es da nicht alles gibt.
Tim Pritlove 0:08:04
Verstehe ich eh nicht, dass sie sich nicht chippen lassen wollen. Ah, ist doch geil, irgendwie immer online und so, also äh ist schon so ein Punkt, ne. Also ich will's mal noch etwas nuancieren.Ich bin ja nicht grundsätzlich jetzt gegen diesen Nachweis und in dem in dem Sinne auch nicht gegen den.Auch nicht in der konkreten Form ja jetzt technisch realisiert ist in digitaler Form. DasProblem und das ist ja das, was du mit deiner Kritik primär meinst, ist, zu welchem Zeitpunkt ist das Ding dann äh zwingend und bindend?Ne? Und von wem wird es äh wo, in welcher Situation getestet? Man kann ja jetzt durchaus äh das Ding einführen, die Frage ist nur, ab wann äh kann man damit eben auch wirklich sagen, soDu hättest ja jetzt die Gelegenheit gehabt, warum hast du's nicht gemacht, jetzt müssen wir das halt irgendwie einschränken, ne? Andererseits gibt's natürlich den Druck äh ausTourismus und vielen anderen Branchen sicherlich hier in irgendeiner Form eine unterscheidbarkeit zu haben, ne? Veranstaltungen im Allgemeinen, die äh einfach unbedingt äh nach vorne wollen und sich ja im Prinzip damit ja auchKosten sparen können, ne? Also diese Differenzierung mit okay, wenn du nachweisen kannst, hast du geimpft bist und das dann vielleicht auch schnell und äh automatisierbar durchführen kannst, so, dann sparst du halt unter Umständen nochmal eine größere Teilmenge an PCR-Tests oder äh anderen Tests, die in dem Moment dann gemacht werden müssten. Das ist da eigentlich so ein bisschen die Idee dahinter.
Linus Neumann 0:09:30
Ähm da zwei Anmerkungen A ähm du sparst dir nicht nur potenziell diese Tests, sondern du sparst natürlich auch äh also die sind nämlich nicht,so teuer, wenn man sie mal macht. Ich habe jetzt gerade äh eine mir mal äh in Ruhe ein PCR Labor,zeigen lassen, den gesamten Ablauf, wir haben eine PCR gemacht, ja? Und äh,dann auch mir bei jedem einzelnen Ding mal sagen lassen, was kostet das. Ähm das kriegst du gerade in diesen Festival-Kontexten schon zu vertretbaren Preisen hin, die jetzt, ne, also da musst du schon eine ganze Mengeähm Impfpass ausgestattete haben, um ökonomisch sagen zu können, jetzt ist das sinnvoll. Es gibt aber einen anderen Faktor.Und der ist ähm,die Leute, wenn du jetzt diese Geimpften nicht mehr PCR testest, dann stehen die auch wenigstens vor den Ungeimpften nicht mehr mit in der Schlange. Und dasschlagt die Situation natürlich ein bisschen auch für die Ungeimpften, die noch getestet werden müssenGleichzeitig gerade das irgendwie als erstes aufs Gelände dürfen in der langen Schlange stehen, nicht in der langen Schlange stehen,insbesondere in diesen Festivalkontexten, insbesondere in den Partykontexten, weißt du? Schlange am Berghain, irgend so eine irgendjemand läuft dran vorbei, äh hat Gästeliste.Das sind die Geimpften, ne? Die müssen nicht mehr hier äh lange anstehen. Das sind ähm Garanten für Unmut in in solchen. Gerade in solchen Partysituationen da wäre ich also irgendwie äh vorsichtig.Zweiter Punkt, den man noch anmerken muss, ist immer als Impfpass diskutiert.Aber es ist natürlich auch ein ähm genauso gedacht für Schnelltest und PCR-Testnachweise. PCR-Test ist immerhin, glaube ich, was gibt der wann das zweiundsiebzig Stunden oder so.Test vierundzwanzig, PCR zweiundsiebzig oder so, ne? Ähm um die um an dem gleichen Check quasi vorbeizukommen.
Tim Pritlove 0:11:39
Oder halt auch genesenen Status, ne? Auch das soll ja darin abgebildet werden.
Linus Neumann 0:11:43
Dinge gibt's ja auch noch,Ich halte es trotzdem insgesamt für eine für ein Spiel mit dem Feuer, was da äh gemacht wird und hoffe, dass wir als Gesellschaft das nicht,äh beibehalten, ja? Das also da da kommen ja eine ganze Menge Sachen noch mit äh Personal,Kontrolle am Einlass und äh ne und jetzt irgendwelche Luca, Check-Ins und was nicht alles. Also ich hoffe wirklich, dass wir äh einfach durchdiese Pandemie bald hinter uns haben und sich solche ähm,Zugangserfassungssysteme, Zugangskontrollsysteme gar nicht erst einschleifen. Das ist, denke ich, muss man hier einfach sagen, dass das,Wirklich gut ist, wenn so etwas hm schnell wieder weg vom Fenster ist und sich nicht irgendwie ähm nicht so nicht so einschleift, wie.Beispielsweise ähm teilweise vielleicht auch positive Dinge wie Masken tragen.
Tim Pritlove 0:12:44
Impfen gegen den Überwachungsstaat.
Linus Neumann 0:12:47
Impfen gegen den Überwachungsstaat. Das ist wirklich, macht es jetzt bitte schnell. Ich höre übrigens auch ähm aus äh vertrauten Quellen, dass äh,die ähm Impfung mit Astracekaja wirklich jetzt wirklich sehr einfach zu bekommen ist,ja? Ähm weil sie von allengeschmäht wird so ungefähr. Der Hintergrund scheint, glaube ich, hm einmal die negative Berichterstattung zu sein und andererseits ähm dieser längere Impfabstand.Der natürlich zu einem zusätzlichen Nachteil äh dieses Impfstoffes wird, weil das ja, ich glaube, zwölf Wochen sind.
Tim Pritlove 0:13:30
Ist aber nicht mehr so. Das ist ja jetzt schon aufgehoben worden.
Linus Neumann 0:13:33
Ja, herzlichen Glückwunsch, aber das ist ja zu lasten der Wirksamkeit der Impfung.
Tim Pritlove 0:13:37
Ja, richtig, also ich will jetzt hier keine UKW-äh Folge aufmachen, aber äh,eigentlich jetzt ansteht, wäre zu sagen, Asra Sindika als Erstimpfung,MRNA als Zweitimpfung hat nachgewiesenermaßen weder das Abstandsproblem noch äh außerdem noch eine höhere äh Wirksamkeit. Da muss sicherlich noch ein bisschen nachgeforscht werden, aber das ist so das, was sich abzeichnet.
Linus Neumann 0:14:01
Das sollte jetzt das sollte auch das Versprechen sein, damit am Ende dieses Astra nicht weggeworfen wird. Und dann ist es natürlich so, ne, je früher man sich erst impft, umso schneller genießt man dendurchaus nennenswerten Schutz der Erstimpfung, wenn man dann sagt, okay, dem Astra kann noch MRNA nachgegossen werden, das wird auch ordentlich anerkannt und so. Dann hat man den kürzeren Impfabstand und das erscheint mir eineEntscheidungen und Maßgabe zu sein, die schon längst äh in der Form äh versprochen werden sollte. Es ist die Empfehlung der STIKO, aber ich habe irgendwie nicht den Eindruck, dass das ähm,sich für die Arztpraxen logistisch auch umsetzen lässt, dass die dir nämlich heute sagen, alles klar,wir wir vereinbaren nun mit dir Erstimpfung MRNA und zwar zu folgenden Daten und wir können sicherstellen, dass wir die Pampe dann auch haben. Da scheint es dann irgendwie doch zu viel Konkurrenz um die MRN Impfstoffe zu geben.
Tim Pritlove 0:15:00
Ja, das wird sich halt erst im Juni dann so auflösen in Deutschland. Äh rein theoretisch ist es grundsätzlich so, wenn du Zweidimpfbedarf anmeldest, dann kriegst du das eh zugeteilt, weil da gibt's Priorisierung für.Wie fern man das an den Erstimpfungen offiziell belegen muss, kann ich nicht sagen. Das ist es sicherlich etwas, was es jetzt in der nächsten Zeit auszukäsen gilt.
Linus Neumann 0:15:22
So, dann haben wir äh also jetzt haben wir äh Impfpast Deutschland, Impfpastetegramm, EU-Impfass äh soll jetzt auch oder wird jetzt kommen, ähm.Und dazu gebe ich jetzt mal, wir haben ja jetzt ja gesagt, welche grundsätzlichen Probleme wir dabei sehen, ähm aber Patrick Breyer hat heute.Kommentiert, was äh passieren wird, das EU-Parlament hat jetzt also dem Vorschlag der Kommission zugestimmt,Ähm und damit wird ist die Verordnung für digitale Covid-Zertifikate auf EU-Ebene verabschiedet.Und damit soll ja die Reisefreiheit in der EU während der Pandemie,erreicht werden. Ähm da dort, wir hatten es schon gesagt, diese Dinger können nicht nur Impfungen, sondern auch Schnelltest, PCR und Genesung zertifizieren und,all das kann man natürlich auch auf Papier.Und diese digitale Erfassung dient halt der Beschleunigung dieses Prozesses, von von Einlasssituationen hauptsächlich, ja?Auch daran die Kritik haben wir jetzt schon vorgetragen, deswegen mache ich jetzt weiter, äh was Patrick noch so schreibt, die nun datenschutzfreundlichen Covid neunzehn Zertifikate,sollen EU-weit einheitliche QR-Codes beinhalten, damit nachweisen können, negative Tests, Impfung, Antikörperschutz nach Infektion. Die Verordnung tritt am ersten Juli in Kraft.Und jetzt kommt schon und wird dann für ein Jahr gültig sein. Das ist schon mal gar nicht soschlecht, dass es hier eine Sunset Closed gibt, ne, also einen Satz, wo gesagt wird, das Ding läuft aus. Das ist schon mal gar nicht so schlechtähm die Piraten haben sich da stark engagiert, ist ja auch klar, dass Patrick Breyer als Datenschützer das macht und er kommentiert.Wir konnten durchsetzen, dass das Zertifikat hohen Ansprüchen an den Datenschutz genügt,Daten auf dem Zertifikat dürfen nicht gespeichert werden, wenn es gescannt wird. Und Reisebewegungen können nicht nachverfolgt werden. Reisebewegungen können nicht nachverfolgt werden, heißt der Check ähm findet.Offline statt und nicht online, ne? Wenn du eine eine zentrale online Instanz hättest, dann wüsste die ja, wo du jeweils diesen Check gemacht hast.Es gibt ein Wahlrecht zwischen digitalem und Papierzertifikat. Es wird kein Sammelpass angelegt, sondern jeder Test.Und jede Impfung wird separat bescheinigt. Leider können die Mitgliedsstaaten nach ihrer Wahl weiterhin nationale zentrale Impfregister betreiben.Obwohl diese der Zweckentfremdung Vorschub leistenund dem Recht auf informationelle Selbstbestimmung widersprechen. Was er damit aussagt, ist, ne, wir müssen jetzt auf auf der nationalen, auf der Bundesebene schauen, dass wir,Impfdatenbanken weiterhin verhindern, wenn sie aus anderen Gründen oder in anderen Kontexten entstehen. Und wir haben ja schon die Forderung auch von äh diesen Polizei äh Hardlinern gehabt, dass sie sagen, äh hier die ähdie fälscht nämlich hier die Impfausweise. Wir brauchen jetzt eine zentrale Impfdatenbank, damit wir einen gefälschten Impfausweis ruckizucki erkennen können.Und das ist ja quasi so eine Parallelanforderung parallel Infrastruktur zu diesen Digitalnachweisen.Und läuft natürlich komplett dem ganzen Ding.Entgegen, dass man sagt, wir machen das mit Signaturen, wir machen das mit äh Zertifikaten, wir ermöglichen eine ähm eine Offline Verifikation und so weiter und so fort,Wir möchten also der einzelne Check-In-Vorgang findet nur zwischen der verifizierenden Person und der die Impfung nachweisenden oder den den äh Immunstatus nachweisenden Personen statt. Und am Ende wissen die Ausgebenden nicht,wie oft,oder ob du überhaupt deinen Impfpass jemals benutzt hast oder wo. Und diejenigen, die jeweils wissen, dass du ihn irgendwo vorgezeigt hast, die dürfen ihn noch nicht mal speichern. Das sind schon äh nennenswerte Vorgaben, muss man einfach mal auch anerkennen, ne. Es gibt äh.Offenbar so teilweise richtige kleine Schritte im universal falschen. Ähm aber wenn man jetzt trotzdem zulässt, dass ein EU-Mitgliedstaat sich eine Impfdatenbank anlegt, dann sind natürlich all diese Bemühungen auf EU-Ebene,umsonst, weil du halt irgendein,Rainer Wendt, in Deutschland hast, der dann hier groß rumtrommelt oder irgendwelche anderen tatsächlichen Diktatoren in anderen Ländern,die dann eben doch wieder alles abschaffen, was hier ähm auf EU-Ebene versucht wurde, um dieses Tool irgendwie,weniger schlimm zu machen.
Tim Pritlove 0:20:14
Es gibt ja noch ein anderes Argument für diese Impfregister, muss man ja auch sehen, ne? Und da gilt es natürlich jetzt auch mal eine gute Lösung zu finden. Geht ja gar nicht nur jetzt um eine Schattendatenbank, um eine Impfung nachzuweisen,sondern äh es wäre ja auch mal ganz sinnvoll, aus Staatsperspektive, da haben wir wieder diesen alten,Disput und diesen diesen Konflikt, diesen generellen Konflikt mit, wenn ich so einen Staat.Ordentlich führen möchte, ja und richtige Entscheidungen fällen musste, dann muss ich, brauche ich ja auch.Grundlage dafür. Brauche ich auch eine eine Datengrundlage im zunehmendem Maße dafür, ne? Und hatten das, glaube ich, ja auch schon mal diese Diskussion, wenn wir äh Bundeskanzlerin werden.Hätten wir einen enormen Datenbedarf. Weil wir würden ja gerne unsere Entscheidungen auf,Grundlage, wahrer Informationen äh fällen.So geil wie wir sind. Und wenn's halt ums Regime geht und dieses,Dosen müssen wir eigentlich planen? Was müssen wir eigentlich für eine Aktion fahren, um Leute dazu zu bringen, zu impfen? Wie ist denn so die durch Impfung mit Masern eigentlich wirklich in Deutschland und was könnte man denn da mal unternehmen und wie viel Impfdosen für Grippe müssen wir denn bestellen? Und so weiter und so fort.Selbstverständlich hilft ein,Register, wenn man's denn hätte bei solchen Entscheidungen. Wenn das jetzt sozusagen aus grundlegenden Datenschutzinteressen,problematisch ist, das ist sicherlich problematisch, ja? Heißt ja nicht unmöglich, dann muss man sich da auch ein Konzept überlegenwie man äh diesen Bedarf irgendwas anbieten kann. Das finde ich auch eine Debatte, die meiner Auffassung nachgenerell zu Datenschutzdebatten gehört, gehören muss, allein schon, weil es natürlich auch immer so dieses Standard-Gegenargument ist mit so, ja, der Datenschutz verhindert ja Punkt, Punkt, Punkt.Im Laufe der Pandemie äh auch permanent und ich finde, da da muss dann die,allgemeine Diskussion sich auch mal hin entwickeln und und und Konzepte anbieten.
Linus Neumann 0:22:17
Ja, wobei ich jetzt nicht den Eindruck habe, dass es diese Daten überhaupt nicht gibt. Ja, also dass das das alles gerade im Dunklen.Navigiert, ne? Und man kann sich ja über einen Informations- und Datenbedarf durchaus auch Gedanken machen, ohne irgendwelche riesigen Zentralregister anzulegen.
Tim Pritlove 0:22:38
Ja gut, ich meine, wir hatten das schon mal dieser Terminvergabe, als sie noch zentral erfolgt ist äh in Berlin zumindest, ne? Ähm mit wer kriegt denn jetzt einen Brief? Und wer wer ist denn hier irgendwie vorerkrankt? Also äh es gibt einen Bedarf und,kann auch in Zukunft,wieder einen etwas anders gelagerten Bedarf geben und für dieses grundsätzliche Problem von der Staat müsste mal genau Bescheid wissen, um schnell richtige Entscheidungen fällen zu können. Äh dafür muss man halt auch mal eine Lösung,sicher erarbeiten, die eben durchaus konform ist mit den anderen Bedenken, mit das darf äh keinen,Diskriminierungsfähige Datensammlung sein. So, was natürlich bei Daten immer das Problem ist, dass das kriegen wir nie aus der Welt.Eine Abwägung, wie man so schön sagt. Ein Spannungsfeld.
Linus Neumann 0:23:28
Ja, plus, wenn du dann erstmal die Daten hast, dann kommen natürlich auch wieder alle und sagen, hör mal, der ist ja praktische Daten, die könnten wir auch noch hierfür verwenden. Äh, da so da.
Tim Pritlove 0:23:36
Die Kiffer finden und so. Ja, es ist schwierig. Es ist schwierig halt. Ich habe nicht gesagt, es ist nicht schwierig. Nur gesagt, man muss diese Diskussion führen. Okay, let's go.
Linus Neumann 0:23:48
Okay, dann haben wir in der letzten äh Sendung und in der Sendung davor ausführlich über die Pläne zur Ausweitung des Staatstrojanereinsatzes.Gesprochen. Wir haben uns als Chaos-Computer-Club dagegen positioniert, Facebook und Google haben sich dagegen positioniert. Und ähm gestern haben sich dann, hat sich dann die große Koalition,geeinigt und zwar sowohl beim Bundespolizeigesetz. Als auch beim.Verfassungsschutz rechts.Und ähm ja, das ist natürlich eine schwere Enttäuschung, denn wenn man jetzt auf das also nochmal zur Erinnerung, dass Bundespolizeigesetz ist, dass in dem gesagt wird, ja, hier äh wir machen präventive,Telekommunikationsüberwachung mit anderen Worten,von Leuten, die noch gar keine ähm Straftaten begangen haben. Und also die werden nicht einer Straftat verdächtig. Die haben noch gar keine Bilkan. Wir dürfen trotzdem ähm mit dem Staatstrojaner äh infizieren.Ähm und zwar Formulierung ist auch, wenn noch kein Tatverdacht begründet ist und keineStrafprozessuale Telekommunikationsüberwachung angeordnet werden kann. Das heißt, ne, es es ist,notwendig, dass du einer Straftat äh verdächtig wirst nach STPO, die den Einsatz äh nach STPO einhundert eines Staatstrojaners gegen dich überhaupt mandatiertEinfach so geht's. Saskia Esken hat dazu im Februar gesagt, dass auf gar keinen Fall präventiv, also nicht unterhalb der Schwelle derStaatstrojaner geben soll.Dieses Versprechen hält die SPD völlig überraschend nicht ein. Es wurde noch ein bisschen darüber diskutiert, ähm.Der auch darüber hatte ich mit Andre gesprochen, ob die jetzt ähm.Quasi wenn die diesen Quellentheker Ü Trojaner haben, der ja zur Kommunikationsüberwachung.Dienen soll, also der kleine Staatstrojaner, ob der quasi auch gespeicherte Nachrichten.Aus der Vergangenheit, also vor Infektion oder vor Anordnung. Ähm ausleiten darf.Ähm das nennen wird genannt Quellenticker Ü Plus, also quasi ab jetzt und noch ein bisschen mit Zeitreise in die Vergangenheit. Äh das wird äh von den Sachverständigen bezeichnet als offensichtlich verfassungswidrig.Und äh das wollten sie ursprünglich in das Bundespolizeigesetz schreiben, das haben sie aber gestrichen.Und zwar sagt dann äh Uli Grütsch äh von der SPD, uns ist wichtig, dass die Bundespolizei im Rahmen ihrer Befugnisse nicht aufgespeicherte Inhalte, sondern nur auf laufende Kommunikation zugreifen kann.Ähm.In der in der ähm Veränderung der SDPO vor vier Jahren, ist das aber drin, ne? Also bei der Strafprozessordnung,geht das? Ist es drin? Das ist quasi schon geltendes Recht und äh Andre ähm,schreibt auf Netzpolitik org Beobachter, könnten das als Eingeständnis sehen, dass die Quellenticker Ü plus, die in der Strafprozessordnung verankert ist, rechtswidrig ist. Da gibt's auch schon eine Verfassungsbeschwerde der Gesellschaft für Freiheitsrechte.Ähm außerdem.Haben sie sich jetzt geeinigt ähm die auf die Verfassungsschutznovelle und damit sollen beide Gesetze.Ähm veröffentlicht äh am Donnerstag verabschiedet werden. In der Verfassungsschutznovelle, also dem Recht für,Geheimdienste, Staatsrainer einzusetzen, ist dann auch die äh QuellentKI Plus drin. Also,alle, also im Rahmen der STPO, als Strafverfolgung und im Rahmen der geheimnützlichen Tätigkeit gibt es die ähm Quellenticker Ü plus, also nicht nur zukünftige, sondern auch vergangene Kommunikation,die als offensichtlich verfassungswidrig ist, gegen dies schon eine äh Verfassungsbeschwerde gibt, nur im Bundespolizeigesetz gibt es die jetzt nicht. Also.Du fragst dich wirklich, wer da wer da die Verhandlungen führt und ob da ob die überhaupt nachdenken, was sie da machen. Ähm ja, das ist übel.Und das ist natürlich auch wieder frustrierend, weil wir seit über einem Jahrzehnt gegen dieses Mittel kämpfen, weil wir ähm.Hier überhaupt nichts sehen, wie die Probleme äh die.In irgendeiner Form überhaupt mal gewürdigt werden und es hier halt.Inklusive der Entscheidung. Übrigens ist, dass die Provider und Plattformanbieter den den Geheimdiensten dabei helfen müssen, dein Handy zu hacken. Und das ist ein also ein ja, ein absoluter.Skandal und eine Überschreitung von ja von allem. Völliger völliger Irrsinn. Kann ich nicht anders sagen.Total heftig.
Tim Pritlove 0:29:21
Verfassungsschutz, die jetzt irgendwie grade äh wieder in den Nachrichten aufgetaucht sind, weil sie mal eben in Sachsen irgendwie den,den Vizeministerpräsidenten irgendwie Daten äh Protokolle aufgebaut haben, weil er ja sich gegen Nazis geäußert hat. Und weiß ja, das ist ja in Sachsen wirklich ein schwieriges Thema,was ich dagegen Nazis äh wendet, so und das das geht dann einfach gegen die Mehrheit, ne? Und was gegen die Mehrheit ist, das äh landet dann im Minderheitenbericht,Und das ist halt äh ne?Eine Story von Philip Kig irgendwie von neunzehnhundertsechsundfünfzig, der Manori Manorita Report, falls irgendjemand von euch den Film mal neu Report aus dem Jahr zwanzig,äh zweitausendzwei noch nicht gesehen hat, das wäre jetzt sozusagen äh der passende Filmabend zu diesem Kapitel, in diesem Podcast.
Linus Neumann 0:30:11
Die haben einen Wirtschaftsminister, einen SPD-Vorsitzenden überwacht. Ja, Daten gesammelt, was da geäußert hat,und durften dann darauf angesprochen, haben sie gesagt, ja, also wir müssen zugeben, von der illegalen Datensammlung sind eigentlich alle Abgeordneten des Landtags betroffen. Das ist so,Es ist so absoluter Wahnsinn.Nicht nur den, nicht nur den Wirtschaftsminister. Ja, nein. Wir haben also, wir haben nicht nur den Wirtschaftsminister beobachtet, wir haben einen kompletten, äh, Landtag, äh, beobachtet.
Tim Pritlove 0:30:53
Könnte ja sein, dass dass da dass da was Illegales passiert.
Linus Neumann 0:30:57
Nicht, dass sie sich da nachher Antifaschisten sammeln. Äh.
Tim Pritlove 0:31:01
Zustände, ja?
Linus Neumann 0:31:05
Äh Facebook-Einträge ausgewertet, ungeheuerlich, also es ist.
Tim Pritlove 0:31:13
Läuft nicht gut.
Linus Neumann 0:31:16
Martin Duligs sagte MDR Sachsen, er habe das Auskunftsersuchen, also es hatte bereits vor Monaten gestellt und eine sechsseitige Antwort des Amtes erhalten mit lauter belanglosem Zeug,irgendwie so. Hier, da hat er gesagt, Nazis sind Scheiße auf Facebook.Da muss man nicht lange drüber nachdenken um zu checken, dass das halt ein absoluter Wahnsinn ist, was diese was wir die da machen lassen, ne.Sich darum kümmern müsste diese.Institutionen wirklich zu reformieren und äh oder still zu legen oder überhaupt zu schauen, was wir da alles uns für für Verfassungsfeinde in den Verfassungsschutz geholt haben. Stattdessen sagen wirEy, voll geile Idee. Wir haben eine, wir haben eine Idee. Ihr könnt einfach alle hacken und äh wer euch im Weg steht, muss dabei helfen.
Tim Pritlove 0:32:07
Also das ist halt generell einfach noch ein Problem in unserer Gesellschaft, dass wir.Vorstellung aus dem bei den Leuten nicht rauskriegen, dass das an sich eine notwendige und tolle und wichtige Funktion ist.Ja, der Name Verfassungsschutz ist natürlich dann an der Stelle auch klug gewählt. So ja, irgendjemand muss ja die Verfassung schützen, dass das unser aller Aufgabe ist.Macht sich an der Stelle irgendwie nicht so richtig breit.Und äh vor allem, wenn man sich halt das Gebaren derdes Verfassungsschutzes in den letzten Jahrzehnten, wir hatten das ja, glaube ich, auch schon äh mehrere Male und wir hatten auch dieses wunderbare äh Gespräch auf LNP äh dreihundert,ähm äh Martina Renner, genau, genau das und ähmist da ja auch klar geäußert, äh hat das auch weiterhin tut und die einfach diesen Blick gewonnen hat, wie viele dass er auch gewonnen haben, was aber einfachkaum mehrheitsfähig ist. Also diese Vorstellung man sieht das ja auch schon bei der Polizei, diese Abwehrschlachten, die da äh schnell geführt werden. So, ja, man darf ja nicht die Polizei unter Generalverdacht stellen. Das sind ja, die beschützen uns ja.
Linus Neumann 0:33:19
Doch.
Tim Pritlove 0:33:21
Ja und dann na ja, was heißt Generalverdacht, alsomuss ja kein Generalverdacht sein, reicht ja schon Verdacht und dafür gibt's ja genug äh Anhaltspunkte. Und das ist natürlich so, dass man das grundsätzlich verhindern muss, weil jedes einzelne übertreibt, treten äh dieser roten Linienderer ist ja einiger wichtiger gibt, ist an sich schon ein Problem. Und man sieht aber eben auch ähm zunehmenden Maßedas ja, so aus Polizeikreisen und natürlich auch aus Geheimdienstkreisen immer wiederalles ausgenutzt wird, was irgendwie ausgenutzt werden kann, weil es eben keine richtige Kontrolle gibt.Weil wir zwar aufm Papier eine Kontrolle haben, aber die ist halt äh geknebelt und mit den Händen auf dem Rücken gebunden unterwegs und kann dementsprechend eigentlich nicht sehr viel mehr tunals äh die Unwilligkeit über sich selbst Auskunft zu geben im kleinen, privaten Kreise, ohne die Möglichkeit, das auch nur weiterzuleiten an der Öffentlichkeit, zur Kenntnis zu nehmen. Das ist im Wesentlichen alles, was wir an Kontrollmechanismen haben.Das ist natürlich dann auch ein ganz normales Ding.Kann man den dann wahrscheinlich noch nicht mal einen Vorwurf machen, weil die leben natürlich auch in so einer Bubble, in der sie die ganze Zeit erzählt bekommen, wie wichtig das ja ist, was ihr da gerade tut,und macht doch mal. Ja, aber wir hauen euch dafür nicht auf den Finger,Wir müssen euch ja beschützen, dass irgendwelche anderen daherkommen und können mir sogar durchaus vorstellen, dass da viele Leute gibt, die sehr wohl vorkommen überzeugt davon sind, dass sie da das Richtige tun,aber einfach den Kontakt zur Außenwelt äh an der Stelle schon vollständig verloren haben,Themen muss halt einfach Einhalt geboten werden. Es kann nicht sein, dass ein Verfassungsschutz äh so kontrollfrei ist, immer wieder mit diesen Pauschalargument, dass wir das nicht geheim abläuft, dass es ja dann nicht funktionieren würde. Das Gegenteil ist richtig.Nur etwas, was wirklich auch öffentlich kontrolliert wird, kriegt die entsprechenden Korrekturmechanismen,anheim gestellt um sich auch selber gesund und wirklich sinnvoll für 'ne Gesellschaft zu entwickeln und die Frage ob es den Verfassungsschutz an sich braucht.Die muss auch gestellt werden dürfen. Weil da natürlich immer wiederklar drin formuliert wird, so, guck mal, euer Dreckrekord ist einfach mal scheiße. Auf der einen Seite kriegt ihr nichts verhindert, auf der anderen Seite äh,braucht ihr permanent eure äh Energie und ihr zieht auch noch so dermaßen viel Kohle an, also wo es wo es hier irgendwie die Kostennutzenrechnung liegt, dass auf den Tisch. Wir sehen das einfach als Gesellschaft nicht. Und ganz im Gegenteil, in dem Moment, wo es wirklich mal bedrohlicheTendenzen gibt, kriegt ihr irgendwie euren Arsch nicht hoch. Das dauert jetzt irgendwie wat? Jetzt haben sie irgendwie gesagt, so Pegida wäre ja irgendwie problematisch und das müsste man sich mal anschauen.Zweitausendeinundzwanzig.Was tut ihr eigentlich da den ganzen Tag?Das das ist doch einfach unglaubwürdig, also wirklich.
Linus Neumann 0:36:07
Ja, es ist äh.Sehr schön. Wir waren beim Thema Staatstrojaner. Wir haben uns jetzt in den letzten Sendungen sehr viel damit auseinandergesetzt. Ähm.Was das für ähm technischewie wie was die technischen Probleme sind bei der Schwere des Eingriffs. Wir haben uns damit auseinandergesetzt. Welchen Institutionen das Recht dazu gegeben werden soll, mit wie wenig Kontrolle die gesegnet sind undvor allem aber, dass sich diese Angriffe ja nun mal primär am Ende gegen diejenigen gerichten werden.Die ähm ja, zum Beispiel Google und Apple vertrauen und ähm also damit äh Unternehmen, die jetzt in Zukunft verpflichtet sein sollen.Eure Geräte im Auftrag des Staates,zu kompromittieren. Wir haben uns auch darüber auseinandergesetzt, damit auseinandergesetzt, dass sie eigentlich viel zu viele Daten haben, die Strafverfolgungsbehörden und regelmäßig in der Flut der Metadaten.Ja ersticken und kaum noch arbeiten können. Und jetzt gibt es aber einen viel äh.Beachteten Fall, wo die mal ganz anders an die Sache rangegangen sind. Und ich sage von vorne herein, dass ich nicht ganz sicher bin.Ob ich das jetzt gut oder schlecht finde, das würden wir gerne erstmal hier unter uns so ein bisschen versuchen, zu erörtern und würden uns da auch freuen, ähm äh wenn wir das im.Ähm in den Kommentaren bei uns unter der Sendung von euch mal hören würden, wie ihr auf den Fall blickt. Es gab ja unterschiedliche.Messenger, Apps, die sich auf die eine oder andere Weise spezifisch auf ähm.Ja für kriminelle ähm.Angeboten haben, also äh Phantom secure, Anchrotchat, ja? Waren eigene Geräte mit äh so einer Geheimbotti und äh einem,ja angeblich sicheren Messenger und wurde kompromittiert,da haben sie also quasi direkt die ganze Infrastruktur gehackt und in Folge dessen sehr viele.Kriminelle hochgenommen und ja die Aussage getätigt, dass eigentlich äh kaum äh nicht Kriminelle äh genutzt haben. Ähm was sehr viele Fragen aufwieft. Erstens, der,Plattform, Betreiberhaftung, ähm zweitens,der äh ne des des Hackings von Infrastrukturen, alles sehr zweifelhafte Fälle. Darum soll's aber in diesem Fall jetzt gar nicht mehr gehen. Das haben wir damals schon behandelt. Hier geht es darum, dass sie offenbar.Begonnen haben.Und zwar ist das hier eine internationale Zusammenarbeit von australischen Behörden und dem FBI.Nachdem eine eine solche Software hochgegangen ist, hat das FBI im Prinzip mit einem Informanten.Selber so eine ähm App ja lanciert. Und die hatte Verschlüsselung.Aber auch ähm eine geheimfunktionalität, dass sie immer alles auch noch mit einem zweiten Schlüssel verschlüsselt hat und das war der ähm.Der Betreiber. Ja, also du hatte um sie einfach zu machen. Die Leute dachten, sie hätten eine verschlüsselte App in Wirklichkeit ähm haben konnte aber das FBI jede Nachricht mitlesen.Ähm und äh das haben sie von zwanzig achtzehn an hochgezogen, wenn ich das richtig sehe.Und das war so ein Invite Only-Ding, ähm wodurch sie ja quasi oder die Oktober zwanzig neunzehn haben sie's hochgezogen ähm und.Diese App, da brauchte man einen Invite. Jetzt könnte man sagen, diesen Invide haben sie wahrscheinlich durch diese Invite-Regelung konnten sie vielleicht so ein bisschen sicherstellen, dass ihnen nicht allzu viele normale nicht kriminelle Nutzer da ähm,Neues rein generieren, ja, oder sie irgendwie,nicht wirklich kriminelle äh überwachen, weil sie denen quasi einfach den Zugang zu dem System ähm durch so ein Bürgensystem,verwehren konnten. Und haben also seit Oktober zwanzig neunzehn zwanzig Millionen Nachrichten.Gesammelt und abgehört und jetzt ähm geerntet, also unendlich viele oder sehr viele Ermittlungsverfahren daraus ähm abgeleitet und ähm in Australien allein wurden.Von tausenden Polizeibeamtinnen ungefähr fünfhundert Durchsuchungsbeschlüsse,durchgeführt. Zweihundertvierundzwanzig Personen verhaftet und mehr als fünfhundert fünfundzwanzig.Ja Strafanzeigen ausgestellt, einhundertvier Pistolen oder Schusswaffen beschlagnahmt und fünfundvierzig Millionen australische Dollar in Cash sowie Tonnen von Drogen. Ähm.Beschlagnahmt. Das ist nur Australien. In der äh in Europa und den USA wurden in insgesamt sechzehn Ländern achthundert Menschen verhaftet.Zweiunddreißig Tonnen Drogen.Zweihundertfünfzig Schusswaffen, fünfundfünfzig Luxuskarren und mehr als hundertachtundvierzig Millionen.Dollar in Bargeld und Kryptowährungen. Ähm.
Tim Pritlove 0:42:14
Nicht mehr so viel wert. Grad. Ja.
Linus Neumann 0:42:17
Was die Kryptowährung ja die Frage ist ob sie die wirklich beschlagnahmt haben oder oder wieder nur irgendwie ein Wallet haben und sagen das ist aber jetzt, das darfst du jetzt nicht mehr benutzen.
Tim Pritlove 0:42:28
Deswegen gehen die Preise runter. Na toll. Danke.
Linus Neumann 0:42:32
Also ich habe also ne, das ist ähm ach so und genau, zwanzig Millionen Nachrichten von elftausendachthundert Geräten.Verdächtiger Krimineller. Das ist schon eine ziemlich krasse Nummer und ähm.Ich, also ich, mir fällt's gerade echt schwer, äh ob ich das jetzt gut finden soll oder nicht.
Tim Pritlove 0:42:58
Ja, so ein bisschen wie mit dem Impfpass, ne? So.Die haben, die haben, na ja, die haben sowieso an und liegst, die haben halt so so Impfpässe zum Verkauf angeboten und alle so, ja, her damit. Und dann so, ja, nee, war alles nur äh Spaß, wir sacken euch jetzt hier mal ein.
Linus Neumann 0:43:14
Ja, die haben also sie haben, das ist eine riesige Operation, weil äh sie.Also sie hatten einen Informanten oder einen Informanten, die.Vorher quasi auch mit den Geräten einer anderen Anbieterin gedealt hat. Und ähm auf diese Weise haben sie es geschafft, diese App oder diese Plattform gezielt unter Kriminellen zu etablierenund waren dann irgendwann soweit, dass sie, ja, bestimmte, besonders ähm.Einflussreiche, kriminelle zu der Nutzung gebracht haben und die waren natürlich dann, sagen wir mal, ihre, ihre Influencer, ne? Und haben gesagt, hör mal, wenn du mit mir schreiben willst, nicht mehr Telegram, sondern jetzt äh annorm.Und ähm.
Tim Pritlove 0:43:58
Das lief nicht so gut.
Linus Neumann 0:44:00
Det lief eine Zeit lang offenbar sehr gut, ne? Und ähm äh ist.Also ich eines, man kann, also eine Perspektive ist zu sagen, okay, war ein Hannipot, die sind drauf reingefallen. Deswegen nutzt man eine quelloffende Apps, deswegen ähm.Ne, deswegen, ja, nutzt man so etwas nicht, ja? Hm.Die andere Perspektive ist, dieses Unternehmen hat ja einen Eindruck erwecktauch ähm rechtlich, die haben irgendwie so geschrieben, ja, also wenn bei uns eine Anfrage nach Daten eingeht,dann informieren wir die Betroffenen sofortund verzögern unsere Antwort um zwei Wochen und außerdem müssen die Behörden dafür zahlen, damit wir das irgendwie verzögern. Also sie haben im Prinzip gesagt, sobald jemand fragt, sagen wir dir Bescheid, damit du alles löschen kannst.Und ähm.Außerdem verlangen wir Geld von denen und verzögern das so, damit du halt Gelegenheit hast, alles zu löschen. Also so ein, so ein, ja, so ein fake Angebot an an Kriminelle, ne?
Tim Pritlove 0:45:13
Ja
Linus Neumann 0:45:16
Genau und jetzt ist halt die Sache, können diese Kriminellen jetzt sagen, hier wir wurden betrogen. Könnten dir sagen.
Tim Pritlove 0:45:28
Ja, könnten sie sagen. Und du meinst, wird dann alles als ungültig äh markiert.
Linus Neumann 0:45:35
Also sie sagen ähm fünfzehn ungefähr fünfzehn nutzt bei fünfzehn Nutzern haben sie sie nicht in die Inhalte geschaut, weil sie davon, weil sie keinen Anhaltspunkt hatten, dass das Kriminelle waren.Ne, ich also unter dem gegebenen.Umständen und wenn die Alternative halt ist, dass sie Google und Apple zwingen, ähm.Unsere Geräte zu hacken und äh Staatstrojaner auf unsere Geräte auszurollen, scheint mir eine solche Operation dann doch, weil sie sich gezielt.Gegen Kriminelle äh gewendet hat und ja, letztendlich war's halt eine eine App mit einer Vektor, die beworben wurde.Äh und zwar gezielt an diese Kreise, also ich habe davon nie gehört, erscheint mir das ähm könnte man fast als Fairgame bezeichnen, ne.
Tim Pritlove 0:46:38
Ich habe so ein bisschen gezuckt, als du vorhin äh gesagt hast, ja, selber Schuld irgendwie, für sowas benutzt man ja dann Open Sourceweißt du? Also selber Schuld äh hochkriminelle äh unter wirklich kriminellen Kreisen weiß man, dass man irgendwie umbenutzen soll, die ihr irgendwie dafür gedacht sind, irgendwie die Welt einen besseren Ort zu machen. Das ist halt äh schwierig, ne. Eine Argumentation,Ja, ich bin da auch ein bisschen gespalten, kann aber deinen Punkt,auch verstehen, dass man das quasi wirklich so als Polizeiaktion sieht so in sich. Ne, also ist quasi die App.Hier tatsächlich so einen ähm,in Software gegossene polizeiliche Maßnahme ist, die man so generell als taktischen Hinterhalt bezeichnen könnte. Es ist schwierigne, dass das sozusagen Software hier wirklich zu einem Werkzeug wird, aber immerhin ähm wenn der Skop so sich wirklichAlso wenn das für dich sich so zugetragen hatman sagen kann, naja, dir ist ja dann zumindest nicht die Privatsphäre von Leuten in dem Sinne verletzt worden. Das ist so für die Allgemeinheit gilt, ne? Wobei sicherlich hier auch.Privates äh nicht ermittlungsrelevantes passiert ist,Ne? Es sind ja auch immer Leute in in solche Kreise mit reingezogen, die jetzt sagen wir mal nicht aktiv so am, am, am, am, am Geschehen, am Betrugsgeschehen teilhaben. Schwierig.
Linus Neumann 0:48:20
Wie sie das eingefädelt haben, ne? Die haben zwanzig achtzehn Vincent Rames,verhaftet, der eine der quasi der Geschäftsführer war von Phantom Secure. Und Phantom Secure hat war ein einer dieser Dienstleister für das für die organisierte Kriminalität. Und.In diesem Zusammenhang haben sie ein Phantom secured,der auch ein anderes Produkt namens verkauft hat. Also es gab,zwei, wie gesagt, gibt mehrere solche äh Dinger, ne, Angrojet, Phantom, Secure, Sky Global und äh der dieser Mensch hat gesagt, ja ich entwickle jetzt übrigens neben denen, die ich verkaufe, auch noch ein eigenes.Und hat dann gesagt, das würde er jetzt, sehr hätte das dem FBI angeboten. Jetzt frage ich mich.Unter welchen Bedingungen dieser Mensch das angeboten hat. Ja, wenn er nämlich, wenn,grade der CEO verhaftet wurde und du bist einer der Händler gewesen, ja? Frage ich mich halt schon, wie wie,wie du dann mit dem äh bei welcher Gelegenheit du mit dem F wie ein hör mal Jungs, ich hätte ein Angebot, ja? Ich kann mir eher vorstellen, dass äh,dass die dieser Mensch unter ähm in einer sehr schwierigen Situation sich befunden hat, weil er javermutlich offenbar in den Fängt des FBI war und äh hier potenziell beschuldigt war eben dieses mit der organisierten Kriminalität in Halle zu treten. Man könnte alsodurchaus sich nochmal nachfragen wollen, wie freiwillig diese Person jetzt dieses Angebot dem äh dem FBI gemacht hat und wie viele andere Handlungsoptionen die Person hatte, die noch besser gewesen wären in ihrem eigenen Interesse.Sache. Also man man muss sagen, eigentlich machen die schlimmere Dinge. Also zu hacken war der schwerwiegendere Eingriff. Ähm Staatstrojanervon Apple und Google auf deinenGerät installieren zu wollen, ist der die schwerere Grundrechtseinschränkungen und das und das sehr viel schlechtere Gesetz,ja, wären eine Honeypot ähm App spezifisch für für die organisierte Kriminalität zu bauen, denen zu vermarkten und die nach ein paar Jahren alle hochgehen zu lassen, eben wahrscheinlich sogar etwas ist, was die ja dürfen.Das ist nämlich auch noch die Frage, durften die das überhaupt? Ne, also es ist irgendwie.Ja, also würde mich freuen, da in euren ähm hm da mal in den Kommentaren eure Meinung zuzuhören, wie ihr denn diese Operation behandelt äh äh bewertet.
Tim Pritlove 0:51:10
Genommen. Damit winden wir uns aus dem Thema heraus.
Linus Neumann 0:51:14
Dann schaffen wir das in der nächsten Folge vielleicht mal genauer einzuordnen. Die Nachricht ist auch zum Zeitpunkt der Aufzeichnung noch relativ neu.Ebenfalls relativ neu ist die Nachricht, dass äh Attila Hildmann.
Tim Pritlove 0:51:31
Dein Freund.
Linus Neumann 0:51:32
Sein Telegram-Kanal auf iOS und auf Android gesperrt ist.
Tim Pritlove 0:51:41
Was oder nicht, Subscriber.
Linus Neumann 0:51:43
Ich war der Subscriber, ja. Mit meinem Android-Telefon und ja.
Tim Pritlove 0:51:47
Wieso mit dem Endorität.
Linus Neumann 0:51:51
Mein iPhone äh habe ich gewisse andere äh Hygienevorschriften für.
Tim Pritlove 0:51:59
Verstehe. Wird schon stilsicher, dann auch äh durchgehend. Mhm.
Linus Neumann 0:52:02
Ja, ich habe, also ich habe ja natürlich äh einmal ein Privatgerät und dann mehrereTestgeräte und Spielgeräte und Laborgeräte und auf einem meiner Android-Telefone war ich,Telegram Hildmann Follower so hab ich 'ne Zeit lang mir angeguckt aber irgendwie auch zuletzt immer nur noch so alle paar Wochen mal reingeguckt.Ähm das war ja dann doch schon eine ein rapide eine rapide äh sich entwickelte.Psychose, die sich bei dem Typen davon äh anfangs ein bisschen Coronakritik bis hin zu ja zuletzt irgendwie offenem.Antisemitismus offener äh Staats äh offener, verfassungsfeindlicher Bestrebungen und so entwickelt hat.Ähm was hier passiert ist. Mir war das schon vorher bekannt, dass es.Offenbar die Möglichkeit gibt für Telegramm bestimmte Kanäle für iOS, für Android,zu sperren. Und zwar ist mir das bekannt, dass das der andere Grund, dass ich das auf Android hatte. Es gibt einige ähm ja, sagen wir mal so,Hacking-Kanäle,Ja, wo die äh organisierte Cyberkriminalität äh in Austausch steht oder vorgibt in Austausch zu stehen.Und diese Kanäle lassen sich auf iOS nicht.Darstellen. Du kannst also, wenn du unter dem gleichen Telegram-Account, du kannst dich ja,zum Beispiel mit einem Telegram-Account bei, unter einem iOS-Gerät und einem Android-Gerät anmelden. Du musst ja nur in der Lage sein, ne, das Passwort einzugeben oder eine SMS zu empfangen. Ähm,Und du bist quasi mit dem gleichen äh Telegram-Kanal angemeldet und dann sagt dir das iOS diesen Kanal zeigt, kann ich dir leider nicht anzeigen.Und das Android zeigt dir den Kanal an. Und Telegram Desktop auch. Meine Vermutung ist.Oder es eigentlich nahe die einzig naheliegende Erklärung dafür ist, dass Apple in diesem Fall ähm,das Hacking Systems da gesagt hat, pass auf, äh ähm Hacking äh äh ist not a love in äh the in the App Store und ähm gesagt hat,Wir schmeißen Telegramm raus, solange diese Inhalte dort zu sehen sind. Und dann hat Telegram gesagt, okay, bevor wir unsere iOS-User-Basis äh verlieren,äh pflegen wir den Kanal als bitte unter iOS nicht mehr anzeigen. Auf Telegram siehst Telegramm äh auf ähm.Android siehst du den aber noch und auf Telegram Desktop siehst du den auch noch. Bei ähm beim Hildmännchen,scheint das jetzt so gelaufen zu sein, dass Google und Apple gleichzeitig die Entscheidung getroffen haben zu sagen, den werfen wir den möchten wir nicht mehr sehen. Telegram das mitgeteilt haben und Telegram den Kanal gefleckt hat alszeigen wir nicht mehr auf Android an, zeigen wir nicht mehr unter iOS an. Aber wenn du jetzt Telegram Desktop benutzt, also die App, die unter deren eigener Kontrolle ist.Dann kannst du den Kanal noch sehen.So, mit anderen Worten, also sehr eindeutig, da der Typ auf Telegram selber nicht gesperrt ist, aber auf iOS und auf Android ist diese Sperre sehr eindeutig,auf durch Apple und Google verfügt. Und es ist sogar so, dass ähm Telegramm äh durchaus äh ja schon längerplant oder Absichten bekundet oder bereitsteht, ein quasi nicht zensiertes Telegramm, das du dir dann beispielsweise äh ne, auf einem selbstverwalteten, freien Android aus einer dubiosen Quelle installieren könntest.Und jetzt ist wieder die Frage, ist das jetzt gut oder schlecht, dass Apple und Google letztendlich eine Macht ausüben,auf die Anzeige von Telegram-Gruppen auf ihren Geräten. Oderist es, ne? Also es gibt ja auch wieder zwei Sachen, jetzt könnte man sagen, ist es ist es gut oder schlecht, dass die diese Macht ausüben. Man könnte aber natürlich auch sagen, ist esgut oder schlecht das Telegramm den Typen nichtäh einfach mal seine seine Nutzerbasis entzieht. Und wir sind da wieder bei dieser ganzen dei Plattforming-Geschichte, die man mit dem die wir mit dem Trump und dem YouTube und dem äh Twitter schon schon haben.
Tim Pritlove 0:56:42
Und davor auch schon die ganzen anderen äh Rechtsschreier, die halt auf YouTube und Instagram ihre Kanäle verloren haben.
Linus Neumann 0:56:49
Ja, die genau, die natürlich auch noch. Also es ist irgendwie ein ein unbefriedigender äh Vorgang mit befriedigendem Ergebnis, so.
Tim Pritlove 0:56:59
JaDas ist das ist in der Tat wirklich schwierig. Also diese ganze Sendung ist voll mit so schwierigen wo man.Jetzt mal nachdenken, muss, wo es äh eigentlich schon nach einer philosophischen Diskussion schreit, äh um hier mal äh eine neue Linie auch draus ableiten zu können.Was auch gut ist, weil ich denke, das ist auch erforderlich, dass man da so ein bisschen seine seine eigenen Linien mal überprüft.
Linus Neumann 0:57:30
Ja, also ne, es ist irgendwie hm.Ich bin ja insgesamt die.Man müsste sich, also äh es erfordert irgendwann übrigens auch mal tatsächlich eine empirische Untersuchung.Ob man, dadurch, dass man diese Leute verbannt, sie tatsächlich schwächt oder.Potenziell stärkt. Ne, also dieses ah auf YouTube kann's ja kein Schurbeler Video sehen, ohne dass sie sagen, verteilt mein Video schnell,wer weiß, wann sie's wieder löschen. Der Staat klopft bald an meine Tür, weil die unangenehmen Wahrheiten, die ich ausspreche, äh äh ne, die werden hier äh von der Merkel-Diktatur zensiert,Und viele Leute, die das dann, die das dann irgendwie glauben und ähm ich,tendiere potenziell dazu, dass ich's schon besser finde, wenn man denen nicht den Punkt gibt, sie würden irgendwie zensiert oder es gäbe keine Meinungsfreiheit mehr. Gleichzeitig ähm wenn sie,die Algorithmen der großen Plattform nicht mehr zur Verfügung haben und die Bühnen der großen Plattform.Dann hat das natürlich auch zur Folge, dass sie nicht mehr so viele Leute mit ihren Spinnereien erreichen,auch sind, also es ist schwierig. Ich glaube auf jeden Fall, dass das so jetzt nicht besonders toll ist, weil es schon ein ähm,eine Eingriffstiefe ist die Apple da in Telegramm vornimmt und die Google da in Telegram vornimmt, die äh.
Tim Pritlove 0:59:16
Die Frage ist, wessen Entscheidungen war das jetzt wiederum? Also ist das eine Entscheidung, die Google und Apple selbst aus eigenem Antrieb heraus äh äh gemacht haben.
Linus Neumann 0:59:27
Ganz sicher war das so.
Tim Pritlove 0:59:28
Okay, dann kann man halt auch so argumentieren, ähnlich wie bei YouTube auch. Ihr habt auch eine Verantwortung für diese Gesellschaft. So und ähm.Dass es dann äh bald, kann man ja auch sagen, ne, also warum, ich meine, wenn wenn wir jetzt eine App rausgeben würden,wo Leute kommunizieren dürfen. Kann ja sein, wir schreiben irgendwas Geiles, wir haben eine eine coole Idee, hier irgendwie das das geile LNP Social äh äh Network, wo man sich irgendwie so charmant austauschen kann, wie schon lange nicht mehr. Dann trittst du dir so einen Vogel ein.In irgendeiner Form diesen gewählten Kommunikationsweg,Nutzt irgendwie andere Leute zu betrügen, aufzuhetzen oder sonst irgendwie zu beleidigen. Was tun wir dann? Sagen wir dann so, na ja, also hm.
Linus Neumann 1:00:14
In diesem Fall übrigens äh äh Verherrlichung des Nationalsozialismus, ne? Weil der irgendwie auch Hakenkreuze gepostet hat. Das ist ja, da ist natürlich müssen wir jetzt auch noch die Komponente darf man nicht verschweigen, dass es hier natürlich auch an den Grenzen an den an den verständlichen und guten Grenzen der Meinungsfreiheit in der Bundesrepublik Deutschlandsich befindet, ne? Weil er das äh die Veröffentlichung von die Inhalte, die der da veröffentlicht hat, eben auch äh strafbewehrt sind. Also sie haben mit Sicherheit nicht nur gegen die App Store Richtlinien verstoßen, sondern auch gegen.Gegen das Gesetz. Entsprechend wird der auch verfolgt.
Tim Pritlove 1:00:50
Genau, aber was was würden wir denn dann machen, selbst wenn's noch nicht mal äh äh solche Gesetze tangiert?So, da hätten wir doch sicherlich auch irgend so ein ethisches, wo wir sagen, so, ja, nee, also deswegen da fehlt's eigentlich nicht.Natürlich gibt es Apps und Plattformen Provider, die diese diese ethischen Maßstäbe jetzt nicht haben, ne, also Pala irgendwie äh,sicherlich überhaupt gar keine Probleme, ganz im Gegenteil, diese Netzwerke existieren ja nur darumdafür, um so was zu machen. Da hast du dann eben auch verschiedene Ebenen, ne. Da hast du so wer ist jetzt eigentlich der Provider? Also ist es dann irgendwie Apple, die dann Pala verbieten müssen, weil Pala irgendwie nicht durch äh schreitet soähm weil er immer so so ein bisschen die Frage im Raum steht, was ist, wenn jetzt so ein so ein so ein großer Plattformanbieter auf einmal ethischkomplett abschwenkt. So einen Verdacht, den man bei Facebook.Ja auch immer so ein bisschen in der Hinterhand hält, so dieses so, was ist eigentlich hier mit diesem komischen Androiden, der diesen Laden führt? So, wowas hat der eigentlich für ein Menschenbild, was hat der eigentlich für ein Gesellschaftsbild, was was ja, von wem ist der eigentlich gesteuert? Und äh äh in dem Moment, wo Facebook geht und und äh sagt so, ach ja, nee, hier einfach mit Trump, das war jetzt eigentlich auch ganz geil,nicht getan haben durch ein gesellschaftlichen Druck letzten Endes, ja, vielleicht auch aus der eigenen MitarbeiterschaftÄhm aber es gibt ja keine Garantie dafür, dass es nicht irgendwie anders abgeht und es gibt vor allem auch keine Garantie dafür, dass nicht eben so ein Staat dann auch mal durchregiert, wie wir das in Russland und China und so weiter sehen, wo solche Plattformen überhaupt gar keine ethische äh Entscheidungsfreiheit haben, wenn da ähPlatz des himmlischen Friedens irgendwie äh abgefeiert wird in so einem Social Network, dann ist der Laden einfach schneller geschlossen und die äh Vorstände schneller ähm äh im Knast als irgendwie bis drei zählen können.
Linus Neumann 1:02:41
Also bei Pala haben sie's ja gemacht.
Tim Pritlove 1:02:44
Pala ist jetzt auch wieder im App Store, ne? Muss man ja mal dazu sagen.
Linus Neumann 1:02:48
Ja, weil die äh nachgeliefert haben, was ihre.
Tim Pritlove 1:02:51
Weil die, ja, weil die da irgendwie Kontrollmechanismen eingezogen haben, inwiefern die jetzt greifen und Schlimmeres verhindern, kann ich nicht beurteilen.
Linus Neumann 1:02:58
Aber was was hier ja der Fall ist, ist, dass irgendwie Telegram im Prinzip gesagt hat, also Telegramm hat gewissermaßen gesagt, okay, wir machen das äh mindestens.So, wenn ihr sagt, das darf auf iOS nicht mehr erscheinen in Ordnung, dann machen wir halt eine Eiweiß, darf das nicht mehr erscheinen, Fleck.
Tim Pritlove 1:03:16
Aber sie haben da keine ethische Regel, die da sagt, so, ach, ach wirklich, na ja, das ist ja doof. Na, dann müssen wir das mal überall sperren. Also die dieagieren nicht ethisch, gar keine Frage, die äh agieren einfach rein. Firmenpolitisch und finde es irgendwie gut und sehen, aber also ich weiß nicht, ob sie's gut finden, also ob das etwas ist, was in ihrem Sinne ist oder ob sie das deshalb tun,weil sie da möglichst viel Nutzungsfreiheit erlauben wollen, weil's ihnen am Ende nur darum geht, äh Kohle zu verdienen. Kann auch seinja? Kann natürlich auch sein, dass das irgendwie auch alles reptuliden sind und die böse ähMächte von bösen Mächten gesteuert werden und es ihnen eigentlich darum geht, irgendwie maximalen Unbild über diese Welt auszugießen, kann ich nicht einschätzen. Ähmnur, dass sie dann eben keinen Weg sehen dann durch diese äh ethisch verbremden Unternehmen wie Google und Apple durchzukommen und dann müssen sie halt klein beigeben.
Linus Neumann 1:04:08
Ähm auf jeden Fall finde ich's irgendwie äh also ich man muss mal in anderer Sicht sagen, dass es schon relativ.Krass ist, wenn Google und Apple halt ein Kommunikationskanal Anbieter zwingen einen spezifischen Kanal,zumachen. Gleichzeitig, wenn dieser spezifische Kanal hier irgendwie Nazi-Inhalte postet, die, ja, strafrechtlich und so weiter nicht akzeptabel sind. Ähm dann,ist es irgendwie vielleicht auch nachvollziehbar und man müsste eher sagen Telegram, was eigentlich mit euch Spinnern los,dass ihr den immer noch überhaupt duldet und sogar, wenn Apple und Google euch sagen, passt mal auf, sagt, ach nee, da finden wir eigentlich ganz in Ordnung hier mit den Hakenkreuzen, ne? Das ist ja die andere Perspektive, die man darauf haben kann.
Tim Pritlove 1:05:01
Jaam Ende kommt's natürlich drauf an, wie transparent sind diese Entscheidungen, ne? Ich erinnere mich noch, wir hatten mal vor ewigen Zeiten diesen Fall, dass ihr aus CCC-Kreisen jemand für Apple TV äh die Apple TV Plattform so diese diese App,gebaut hat, die auf Media CCC DE einfach die Videos irgendwie auf den Bildschirm bringt und Apple gesagt hatte, aber da ist ja Hacking drin, irgendwie äh da kann ja hier irgendwie unsere Geräte ähkönnen ja hier irgendwie aufgemacht werden, wenn man sich den Vortrag vom Kongress anschaut. Und das geht ja gar nicht, ne? Ging ja auch hin und her. Am Ende ist die App dann doch glaube ich im äh Store verblieben.Mich richtig im Sinne.
Linus Neumann 1:05:35
Ich meine, wenn ich mich recht entsinne, dass da tatsächlich dann die Entwickler die Entscheidung getroffen haben, okay, hier werden.
Tim Pritlove 1:05:43
Wir sperren den einen Kanal sozusagen.
Linus Neumann 1:05:45
Nee, nee, wir sperren diese Sechs von Apple bemängelten Videos.
Tim Pritlove 1:05:50
Das Äquivalent dann zu Hiltmann ist sozusagen. Mhm. Aber ich glaube, das ist aber nicht so geblieben, oder? So.
Linus Neumann 1:05:58
Also wenn ich mich recht entsinne, haben sich die ähm die Entwickler dieser App äh entschieden, zu sagen, okay, wirdiese fünf Videos raus und schreiben dann anstelle dieser Videos hin diese Videos dürfen bei Apple nicht gezeigt werden, bitte geh auf äh Media CTC D Eja? Und dann gab es natürlich auch, muss man eben sagen, gab's natürlich eine Diskussion zu sagen, okay,Ist das jetzt äh beugt man sich hier dem zensurregime? Ja oder ist es ähm.Ja legitim zu sagen, okay, wir machen das, Waisen auf diese Zensur transparent hin, weisen darauf hin, äh wo sie nicht stattfindet,ja und ähm werben quasi anstelle der Zensur für äh die.Für die Zensur freien Inhalteja? Und äh natürlich auch im Nacken dann, dass die Leute, die diese Apple TV App gebaut haben, da ja auch signifikant Zeit reingestellt haben und es dann eben die Entscheidung war, ich weiß gar nicht, wie viele tausend Videos auf Media CCC DE sindtausende dort gar nicht verfügbar zu machen, weil sechs mehr oder weniger,zufällig ausgewählte äh beanstandet werden. Und das war natürlich die schwierige Abwägung. Ich konnte, ich war in der Entscheidung nicht beteiligt, kann auch beide Perspektiven gut verstehen. Ähm.Potenziell würde ich dazu tendieren zu sagen, na komm lieber die anderen tausend zugänglich machen.Anderen tausend D zugänglich machen und äh den Fall,öffentlich diskutieren, sagen Zensur, Scheiße, wollen wir nicht. Das sind die beanstandeten Videos, also Streisandeffekt nutzen und so weiter. Und sich dann in einer Situation wiederfinden, wo du eine Apple TV TV App hast,wo tausende Videos geguckt werden können und quasi die die Wahrscheinlichkeit, dass jemand überhaupt an diese Zensur stößt.Enorm gering ist. Ja, weil das ja auch irgendwelche Videos von vor ein paar Jahren waren, wo jetzt nicht unbedingt davon auszugehen ist, dass sie das ausgerechnet die jetzt geschaut werden.Perspektiven kann ich nachvollziehen. Ähm.Aber es ist also ja, man kann natürlich auch sagen, es ist eigentlich nett, äh dass Apple äh an der Stelle wenigstens Sachpass auf, wenn die sechs Videos nicht mit,zugänglich sind, dann darf eure App wieder auf das Apple TV, ne? Natürlich gibt's dann auch die Grundsatzkritik zu sagen, ey, was,Ne, ihr habt hier so eine World Garden, ihr macht da den die Inhaltswächter und so weiter. Und gerade bei den Hacking-Videos hast du das sehr viel bessere Beispiel als ähm bei jetzt irgendwelchen Hakenkreuzen.Und das meine ich eben mit diesem unbefriedigenden Vorgang mit befriedigendem Ergebnis, weil das sie es überhaupt machen, ist zutiefst fragwürdig, weil sie es natürlich nicht wirklich auf Basis äh.Demokratische Prinzipien und der Gerechtigkeit äh machen und es viele Inhalte gibt, die nicht gesperrt werden.Und so weiter und so fort. Das ist irgendwie alles so ein ein riesiges äh Dilemma-Fraktal.
Tim Pritlove 1:09:11
Lustigerweise äh haben wir das Thema CCC TV versus Apple TV äh ausgerechnet in der ähmwo so wunderbar benannten und oft referenzierten Sendung LNP einhundertneunundfünfzig das Gesetz verstößt gegen die Geheimdienste behandelt,die Gelegenheit gibt, noch mal auf diese Sendung hinzuweisen. Habe ich übrigens mit Hilfe unserer Transkripte gefunden eben. Fand ich jetzt mal ganz äh sportlich. Aber hätte ich wahrscheinlich auch so gefunden. Ja,Können wir da zu unserer fortwährenden Gespaltenheit jetzt nicht beitragen, also das äh wie ihr seht schon, wir sind hier in einem Konflikt.
Linus Neumann 1:09:50
Gut, dann kommen wir zu den äh Jobangeboten.
Tim Pritlove 1:09:56
Tja, gibt's wieder welche. Genau genommen ein.
Linus Neumann 1:10:02
Von frag den Staat, denn die suchen eine Softwareentwicklerin, Frontend-Back-End für frag den Staat.Mitte Juli zwanzig einundzwanzig und zwar mit sechzig bis einhundert Prozent. Ähm.Die Plattform fragt den Staat, gibt es seit fast zehn Jahren in der Zeit ist viel Code entstanden, wir haben es aber geschafft, alle Komponentenimmer auf einem relativ aktuellen Stand zu halten. Als kleine Organisation haben wir nicht die Kapazitäten, die neuesten technischen Trends zu verfolgen. Stattdessen versuchen wir auf moderne,aber bewerte Technologien zu setzen, die uns langfristig gute Dienste leisten. Unser Text,breit aufgestellt, aber nicht außergewöhnlich. Wir möchten möglichst langweilige Standardkomponenten verbauen und nur dort selbst Kurden, wo es den Kern,unseres Projektes betrifft.Äh eine Sammlung von Jango Apps, die zusammen eine Informationsfreiheitsplattform ergeben. Ähm ja, also Django.
Tim Pritlove 1:11:05
Genau.
Linus Neumann 1:11:06
In der Richtung SCSS V, also gar nicht so außergewöhnlich oder gar nicht so äh.
Tim Pritlove 1:11:16
Unmodern. Na gut, abge.
Linus Neumann 1:11:18
Webserver.Postgress Elastic Search. Meine Tochter ist einiges zu tun. Ähm.Die äh Kernkomponente hat den Namen Freude mit Oi Freedom of Information.Freude mit Oi äh ist an von einigen vielleicht auch schwer äh leicht misszuverstehen, aber ja. Freedom of Information DE steht es offenbar.
Tim Pritlove 1:11:52
Oh, Freude, Freude schöner Gitterfunken.
Linus Neumann 1:11:59
Ja, okay. Also, da könnt ihr euch ähm bewerben, wenn ihr da in diesem Team mitarbeiten möchtet in der LMP dreihundert, äh über die wir ja schon sprachen, war Arne Semsrott auch bei uns.Zu Gast könnt ihr euch nochmal anhören Vergütung angelehnt an TVLE1.Stufe eins, zwei, drei, abhängig von Erfahrung, achtundzwanzig Urlaubstage im Jahr, Bewerbung bitte bis zum siebenundzwanzigsten Juni,unter Jobs at okay,Punkt DE. Link dazu in den ich denke, das ist eine Plattform, äh wo man im äh durchaus begabten Team mit sehr netten Leuten äh coole Software schreiben kann. Würde ich, würde ich empfehlen,den Job.
Tim Pritlove 1:12:46
Mhm. Gut. Ich denke, das war's, oder?
Linus Neumann 1:12:54
Ja, damit haben wir es durch. Wir sind gespannt äh auf tatsächlich mal eure Kommentare zu dem Thema Telegram, zu dem Thema.Anorm äh das äh wäre mal spannend hier so die die Meinung zu bilden.
Tim Pritlove 1:13:12
Genau. Viel Spaß beim Kommentieren und wir sind dann nächste Woche wieder für euch da.
Linus Neumann 1:13:18
So machen wir das. Bis dahin. Ciao, ciao.

Shownotes

Impfpass in Deutschland

EU-Impfpass

Staatstrojaner: Bundespolizeigesetz & Verfassungsschutznovelle

AN0M

Telegram Kanal Hildmann

Jobs

LNP397 Schrödingers Geheimdienst

Feedback — LucaFail++ — Debattenkultur — Geheimdienstskandal in Dänemark — Amazon Sidewalk — netzpolitik.org verklagt ZITiS

Nach der Serie an Spezialausgaben setzen wir das Programm fort mit dem üblichen Abarbeiten des Feedbacks und der Nachrichten der Woche. Leider ist Luca noch nicht ganz von der Speisekarte, aber dafür gibt es wieder was zu schmunzeln. Wir freuen uns auf den Film über Wau Holland, der im Juli dann doch endlich in die Kinos kommen wird und schauen uns Amazons Pläne an, ihre IoT-Devices zu Internetzugängen für sich zu machen. Und wir applaudieren netzpolitik.org, die sich vorgenommen haben, die ZITiS zu verklagen, damit wir endlich mal wissen, was diese Behörde eigentlich tun soll.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove 0:00:00
Guten Morgen Linus.
Linus Neumann 0:00:02
Guten Morgen Tim.
Tim Pritlove 0:00:03
Dinos, es läuft super, wenn es so weitergeht, kann ich die Meterebene bald wegen Reichtums schließen.
Linus Neumann 0:00:09
Hast Recht, dass mit dem Testzentrum war echt eine super Idee.
Tim Pritlove 0:00:34
Netzpolitik Nummer dreihundertsiebenundneunzig und äh wir gucken auf den Kalender und da steht dritter Juni zwanzig einundzwanzig. Direkt aus der,aus dem Geldspeicher live zu euch ausgespielt tja,Hier werden, wir sind ja, wir sind ja eigentlich in gewisser Hinsicht auch schon immer irgendwie ein Testzentrum gewesen, nicht, weil wir hier so die Ideen der Leute, die so alle so draußen so sind, dann doch dem einen oder anderen Test äh unterziehen.
Linus Neumann 0:01:12
Ja und da müssen wir auch manchmal wirken und manchmal tut's hinten ein bisschen weh.
Tim Pritlove 0:01:16
Nur mit der Abrechnung war es dann doch ein bisschen schwierig, also irgendwie wollten die dann immer nicht bezahlen.
Linus Neumann 0:01:22
Es war seit es war seit Monaten das offene Geheimnis,dass dass diese, dass dieser Testzentrums betrug so einfach möglich ist. Es ist wirklich,Eine Katastrophe. Ich habe das ja auch Leuten gesagt, hier pass auf, die machst du ganz einfach folgendes, ne? Du hattest eine gastronomische Einrichtung, die geschlossen war, ne? Jetzt hast du.Corona helfen dafür kassiert, dann gründest du die Testzentrums UG,hat natürlich mit deiner äh oder GmbH oder was auch immer, ne? Die hat natürlich mit deiner gastronomischen Einreichung Einrichtung nichts zu tun, mietet,marktüblichen, also sehr niedrigen Preis diese Location, die du da hast, ne? Damit du deine Corona-Hilfen nicht großartig verfeuerst. Und diese Testzentrums UG.Da sitzen dann Leute, die hat die das Gesundheitsamt ausgebildet, ja, die kriegen kostenlosen wie teilweise sind das ja offenbar auch nur Videokursewie das läuft, ja? Und dann setzt du die da hin und dann werfen die einfach einen Schnelltest nach dem anderen weg und schreiben Abrechnungen.Und dann kriegst du die Kohle. Das ist it's free money. Ja wer wer es ist so und.
Tim Pritlove 0:02:37
Es läuft aber nicht überall so.
Linus Neumann 0:02:39
Nein, es ich war auch, ich war gebe ich zu, ich war gestern in einem ähm in einem Testzentrum.Kann ich auch sagen wo das war, weil ich da gleich eh nochmal drauf eingehe. In der Kultur Brauerei in Berlin.Und ähm wurde mir dann übrigens gesagt, äh ich soll ins Kulturzentrum in der Corona-Brauerei gehen, an sich,genau und das war wirklich höchstprofessionell,somit reingehen, scannen, QR-Code, zack, bumm, äh Abstrich, nächste, zack und die Person, die die Abstriche genommen hat, hat das nur nach hinten durch den Fenster weitergereicht, wo dann die äh Testdurchführungen waren. Das war wirklich ähm.Eisern schnell, war beeindruckend optimiert und so. Aber ja, das das diese einfache Abrechnung zu Betrügen führt, ist ja klar. Gleichzeitig übrigens hier gestern auch noch gelesen,In Berlin gab es ja ähm letztes Jahr war das diese ähm Soforthilfen, Corona-Soforthilfen. Da konntest du dir relativ unbürokratisch durchausfüllen einer Webseite fünftausend Euro aufs Konto überweisen lassen und dann ungefähr einen,Monat oder zwei später hast du dann die Drohbriefe bekommen, in denen dir gesagt wurde, na, wenn du hier übrigens falsche Angaben gemacht hast und so, ne, dann hast dubetrogen und da kennen wir keine Gnade. Und das können die natürlich auch sehr einfach äh prüfen, weil die ja dann irgendwann deine Steuererklärung sehen, ja? Ähm.Woraufhin äh verschiedene Leute dieses Geld natürlich auch zurück überwiesen haben, beispielsweise weil sich ihre, weil sie ihre finanzielleSituation gelöst hatten, ja? Ich gehöre zum Beispiel zu den Leuten dazu, die das ursprünglich beantragt hatten, weil ich da in diesem ersten,sind natürlich alle möglichen. Alles wurde erstmal eingefroren, ne? Alle möglichenAufträge, Projekte, Pipapo konnten nicht stattfinden, eine nach der anderen. Und dann habe ich auch gedacht, okay, krass, ne, hier, jetzt muss ich eine äh Strecke überbrücken.Nehme ich hier dieses äh Helikoptergeld in Anspruch. Habe ich auch gemacht und dann hat sich diese Situation aber relativ schnell bereinigt, weil ich ja eben sehr gut remote arbeiten kann, sodass sich dann eben meine Einkommenssituation sehr schnellkorrigiert hat. Außerdem gab's eh nichts, wofür ich das Geld hätte ausgeben dürfen, weil Durst das ja nur für Miete und sonstige Dinge ausgeben, aber nicht um,dein Einkommen zu kompensieren. Also habe auch ich dieses Geld dann halt, ne, nach ähm.Nachdem quasi der Kontostand sich korrigiert hatte, einfach zurück überwiesen. Jetzt liest du, dass ausgerechnet die Leute, die es zurückgegeben haben,Die kriegen jetzt die Strafverfahren an die Backe. Geht's irgendwie Holm Friebe, ist ein prominenter Fall, den sie jetzt da irgendwie äh äh deswegen, weil er es zurück überwiesen hat, ein ähm Ermittlungsverfahren wegen irgendwiesubventionsbetrug an ja weiß ich nicht keine Ahnung.Zurück überwiesen, also hat er das ja offenbar unberechtigt beantragt. Während ich genug Leute kenne, ja, die ähm.Wo ich Zweifel habe.Die jetzt in die Privatinsolvenz gestlittert wären, wenn sie mal einen Monat äh keine fünftausend Euro auf dem Konto haben, ne? Oder zwei oder drei. Äh ich will da, ne, also ich.Ich persönlich habe mich äh erstens berechtigt gesehen, das in Anspruch zu nehmen, aber zweitens auch äh gesehen, dass sich die Situation so geklärt habe, dass ich darauf nicht angewiesen bin, also habe ich's äh zurückgegeben.Und äh denke, das ist äh gehört sich natürlich auch so, dass man eben schaut, dass solches Geld bei denen auch ankommt, wo es ähwird, ne? Und äh ich finde das auch total richtig übrigens, stehe ich total dahinter,dass man das jetzt Eisen hat kontrolliert und schaut, wer sich da äh das Geld erschlichen hat, ne? Gab's ja auch diese betrügerischen Seiten und Hasse alles nicht gesehen, ne.Das finde ich äh bin ich also total äh dabei. Ich würde nur jetzt mal so schätzen, dass diejenigen, die es zurückgezahlt haben, wahrscheinlich der falsche Ermittlungsansatz sind. Ich würde eher mir die anschauen, die das Geld noch haben, aber,Meine ich.
Tim Pritlove 0:07:04
Du mit deiner einfachen Logik immer.
Linus Neumann 0:07:06
Ich immer mit diesen einfachen Lösungen, ne.
Tim Pritlove 0:07:07
JaAber nochmal zu den Testzentren äh bist du da jetzt ein bisschen gesprungen. Also es gibt auch Gegenbeispiele. Es gibt auch äh Gemeinden, die das schlicht anders organisieren, sodass die BeauftragAlso es gibt ja den Unterschied zwischen diesen freiarbeitenden Schnelltest-Zentren, die man vor allem in denin den äh dicht besiedelten Gebieten, also in den Großstädten natürlich vor allem hat, ne, da macht dann einfach irgendjemand äh auf und ist ja auch für viele Lädensagen wir mal, auch eine eine legitime und schöne Geschichte, ja, also Läden, die einfach nicht haben, öffnen dürfen, die die Räumlichkeiten aber ohnehin haben und die dann eben so nutzen können, also es wird das nicht generellso verteufeln. Ähm viele haben da sicherlich auch zu knappsen und durchaus auch vor, das richtig abzurechnen. Ich habe auch so den Eindruck in dieser ganzen Debatte. Da werden jetzt halt manche Fälle,großgezogen und äh man tendiert schnell dann dazualle dabei einen Kamm zu scheren. Es gibt aber dann auch die Situation in den kleineren, ländlichen Gemeinden, die unter Umständen gar nicht so dieses äh Heilsversprechen von viel Umsatz äh haben, weil da einfach nicht so viele Leute wohnen oder es nicht so oft inAnspruch nehmen würdenÄh da ist es dann teilweise so, dass die äh dass bestimmte Betreiber mehr oder weniger von der Gemeinde beauftragt werden, das zu machen. Und zumindest in.Ich kenne jetzt auch nicht alle Fälle. Ich habe das nicht durchrecherchiert, aber ich so anekdotisch gibt's halt ähm dann die Situation, dass die dann eben diese Schnelltests auch bei der Gemeinde einkaufen.Das heißt,die ganze Zulieferung äh und damit dann auch die Abrechnung, wie viele äh äh Tests da jetzt äh geliefert werden et cetera, läuft da schon mal in anderen Bahnen und äh gibt da sehr viel mehr Kontrollmöglichkeiten.
Linus Neumann 0:08:54
Also wir haben, ich habe ich kann das, glaube ich, erzählen, ich war an der, also ich ich weiß, von welchem Fall du gerade sprichst. Wir äh beschäftigen uns ja beide so ein bisschen mit dem Festival-Kontext und ähm,Es ist ja, glaube ich, auch bekannt, dass das äh Fusion Festival eine PCR Labor jetzt da stehen hat. Geiles Teil in äh auf dem Gelände. Und äh,natürlich weil sie dort PCR-Tests anbieten, natürlich auch sich als Bürgertestzentrumfür die Region anbieten und da ist es tatsächlich so, ne, dass es äh dünn besiedeltes Mecklenburg-VorpommernLand, äh ne, da kommen dann mal die paar Leute aus der äh aus den angrenzenden Dörfern vorbei, da machst du ein paar Stunden am Tag auf und hast ein paar wenige Kundinnen.Das ist absolut richtig. Ähm allerdings, als ich da gesehen habe, wie die.Abrechnungsmodalitäten sind, habe ich mir auch gedacht, wenn du das jetzt halt irgendwo anders hin überträgst, ähm ist das sehr,kannst du das sehr lukrativ machen, ne? Und ich kann eigentlich nur sagen, wenn ihr in irgendwelchendünn besiedelten Regionen seid und ihr seht, dass da irgendwie Leute, denen ihr grundsätzlich positiv ähgesinnt seid ein Testzentrum betreiben, dann könnt ihr da ruhig hingehen, weil die Kompensation protest, die ist schon relativ großzügig. Ja, das heißt nicht, dass man damit einen Anfangsinvestsofort wieder hinkriegt und auch wenn man monatliche Miete hat und so, ne? Aber ich würde vorsichtig sagen, wenn ihrzum Beispiel jetzt in die Außengastronomie geht, die er geöffnet hat und dafür einen Schnelltest macht, dann hat das Schnelltestzentrum an eurem Besuch am Ende mehr Profit als die Gastronomin, die ihr besucht.Das ist, glaube ich, unstrittig.
Tim Pritlove 0:10:45
Ja, gut. Lässt sich im Einzelnen immer, immer schwierig einschätzen, ne, äh weiß ja auch nicht, was da für Personalkosten noch dazukommen.
Linus Neumann 0:10:54
Er kommt darauf an, welche Restaurants man geht, ne? Aber so fünfzehn Euro Profit äh lässt du äh selten im Restaurant, weil du meistens vielleicht sogar unter fünfzehn Euro überhaupt da isst.Das ist schon äh es ist auch, also ich ich bin ja selber zwiegespalten, weil ich find's auch ganz gut, dass es jetzt niedrigschwerig diese Angebote gibt, aber ich ich so wähle meine Testzentren auch mit Bedacht,So, weil was sich an einigen sehe, also ganz abgesehen davon, was sie alle für eine, für eine Software da betreiben, äh habe ich dann schon den den Eindruck, also es es ist einfach sehr, sehr,naheliegend und verlockend für diese Testzentren in Zeiten der Langeweile einfach die äh alle paar Minuten,wegzuwerfen und zu hinzuschreiben, sie hätten Micky Maus getestet, ne? Das ist einfach in in vielen Regionen zu zu einfach und deswegen gibt's da jetzt auch diese,in Millionenhöhe. Das war schon klar.
Tim Pritlove 0:11:52
Gut, aber eigentlich wollten wir ja über Netzpolitik reden, oder? War das nicht der Titel der Sendung, an dem wir uns immer ganz streng äh zu halten haben? Und sonst gibt's Klopper äh in den Kommentaren.
Linus Neumann 0:12:00
Stimmt, Entschuldigung. Feedback, wir hatten Feedback von Enno, wir hatten über die Colonia Pipeline gesprochen, also diesePipeline in den USA, die einige Tage den Betrieb eingestellt hat. Enno schrieb mir, hallo Linus, jetzt gehe ich mal unter die Leserbriefschreiber, höre gerade NLP, deine Bemerkungen.Zum Colonia Pipeline Angriff und muss an einer Stelle widersprechen. Sie haben nicht die Pipeline ausgeschaltet, weil sie kein BILING mehr machen konnten.Das ist eine Unterstellung. Der, soweit ich recherchieren konnte von Zielen. Äh die.Soweit ich äh sehen, recherchieren konnte von CNN in die Welt gesetzt wurde und sich von dort weiterverbreitet hat. Es stimmtsoweit bekannt geworden, nur die Rechner im Rechnungswesen betroffenwaren, die verantwortlichen standen vor der Situation, dass einige Systeme von mywere befallen waren und man nicht weiß, wie viele noch. Um die Daten potenziell befallener Rechner vor Verschlüsselung zu retten.Werden dann haltalle Systeme heruntergefahren. Diese Strategie scheint Standardreaktion auf Rancunway-Angriffe zu sein. Kürzlich ist zum Beispiel die TU Berlin genauso verfahren alle Systeme beinhaltet in diesem Fall das Abschalten der Pipelines, die mit viel digitaler Mess- und Regelungstechnik bestückt,ist. Normalerweise sind solche Systeme von anderen Systemen wie der Buchhaltung getrennt, aber ich vermute, dass die Verantwortlichen,lichen sich dessen nicht sicher waren. Wäre es zu einem Spil mit entsprechender Umweltkatastrophe gekommen, hätten die Betreiber sich vorhalten lassen müssen, dass ihr System nichtsicher vor solchen Angriffen geschützt worden ist. So können sie einfach sagen, ihnen sei passiert, was vielen anderen auch gerade passiert und sie haben ihr Bestes getan, um Schlimmeres zu verhindern. Liebe Grüße, Eno. JaAlso hat er, hat, hast du Recht, ähm die,in dem Moment, wo du, also sowieso sind solche Systeme nicht getrennt. Ja, wenn die getrennt wären.Dann hieße, dass er irgendwie, dass den ganzen Tag Leute an dem einen Computer gucken müssen, wie viel Öl wohin geliefert wurde und das irgendwie noch einmal abtippen müssen woanders hin. Es,es wird immer grob gesagt, ja, wir haben eine tolle Firewall, die trennt diese Systeme. Ähm also Operation Technology und Information Technology, aber das.Ist natürlich nicht so. Die müssen ja irgendwie miteinander reden. Man hat ja eben eine vernetzte Produktion. Dazwischen sind von mir aus irgendwie groß angelegte Firewalls, aber es ist ähm.Klar und richtig und deswegen danke ich auch für die Korrektur, dass man natürlich in einem solchen Fall sichergehen muss, dass der Schaden nicht noch größer wird und ähm.Den ganzen Krempel neu aufzusetzen nach einem breiten ist,in der Regel unumgänglich. Jetzt ist das natürlich auch so, üblicherweise wird bei solchen Angriff eben erst die Rechnerflotte übernommen, also man verschafft sich irgendwie.Active Directory Rechte und rollt dann die auf verschiedene äh auf auf alle Systeme aus und muss eben auch das Ziel haben, allesPlatz zu reißen, was man in die Finger kriegt und da sich hinzustellen und zu sagen, die Pipeline ist aber hinter einer Firewall, wäre äh sicherlich ein ein großes äh Risiko gewesen. Insofern.Ähm danke für die Korrektur. Wir haben über schon mal viel gesprochen, da mache ich auch nochmal den Link rein, wo wir äh über.Hier, wie heißen sie? Gesprochen haben.
Tim Pritlove 0:15:31
Genau, also das ist halt ein wiederkehrendes Ding und meine die Abhängigkeiten solcher Systeme sind einfach,vielfältig. Und selbst wenn man eine Architektur plant, die möglichst tiefe Gräben zieht, müssen sie an irgendeiner Stelle ja dann doch übersprungen werden. Und äh insofern kann ich das sehr gut nachvollziehen in diesem Fall, dass die erstmal gesagt haben, allealles äh alles ausschalten, weil wir halt potenziell,in diesem Moment so schnell überhaupt nicht einschätzen können, wie groß das Problem noch noch wird und weiß der Geier, vielleicht haben sie ja auch ein sehr viel größeres Problem auch noch verhindert und dannist das halt so. Man muss halt dafür sorgen, dass man im Prinzip so resiliente Systemedie vielleicht auch regelmäßig äh dahingehend getestet werden, dass sie quasi so jederzeit,ähm wenn man sagt, okay, zu diesem Zeitpunkt wussten wir, da war noch alles okay, wir machen jetzt einen Rollback dahin und äh die Daten, die äh potenziell dann verloren gehen, die sind irgendwie auf eine andere Art und Weise ausgeleitet worden vorher, dass man die wieder reinsinken kannwo sicher ist, dass da kein Code äh dabei ist.Das ist, glaube ich, so ein bisschen der Auftrag für Software und Sicherheitsarchitektur so für die nächste Dekade, solche Systeme äh so zu bauen, dass man das mehr oder weniger vom Reißbrett äh mit einbringen kann.
Linus Neumann 0:16:54
Also das ist tatsächlich das äh der Fehler, den die meisten machen. Ich bin ja auch beruflich regelmäßig mit solchen Fällen.Betraut, hm, dass die, also für die Feder zusammenfassen mit, du hast zwar ein Backup, aber kein Wiederanlaufkonzept.Sehr schlecht, weil du hast ja eine sehr komplexe Infrastruktur, häufig fehlt den Leuten auch wirklich einfach einen ad hoc Überblick über die gegenseitigen Abhängigkeiten.Das heißt, sie können nicht sagen, welche Möglichkeiten hast du von Bereich A im Bereich B zu kommen? Oder wo läuft da vielleicht doch noch was zusammenHacks gehen ja immer um die Ecke, das heißt ne, es ist nie der direkte Zugriff, sondern was weiß ich. Dann hat eben dieser.Ade Admin auch Möglichkeiten, den anderen Bereich zu administrieren und schon sind deine ganzen Firewalls äh obsolet. Und,was du gerade ansprichst, ist nämlich, also bei dem Wiederanlaufkonzept, die Basis davon ist eben eigentlich, sagen wir mal, Systeme.Und nutzt Daten getrennt wieder herzustellen.Also in in einem Unique-System oder Linuxen und so ist das schon relativ.Gut so vorgesehen, ne? Du du installierst halt dieses Paket.Dass äh die Software hat ihre Nutzdaten dann an dieser Stelle, sodass du,eigentlich, wenn du dich kurz mit der Software auseinandergesetzt hast, relativ zielsicherso 'n Backup machen kannst, dass du sagst OK die Nutzdaten sind hier und alles was ich brauche ist was weiß ich in mit diesen Paketen und dann kannst du dir mit halt 'n Playbook machen, was sagt setz mir bitte den Servermal aus einem Backup neu auf und das läuft durch. Aber diesen.Automatisierungsgrad ähm erreichen viele Unternehmen erst dann, wenn sie einmal,von einer betroffen waren, dann alles neu bauen müssen und dabei dann anfangen zum Beispiel mit oder anderen äh Systemen, die diese playbooks anzulegen,und äh äh die entsprechenden Backups zu machen.
Tim Pritlove 0:19:05
Ja und es hat nicht nur eine Frage von solchen Systemen äh Werkzeugen, sondern ist halt auch,eine Frage der Software, Kultur, also Software muss natürlich dann auch so gebaut sein, dass sie.Dass sie mit solchen Prinzipien klarkommt und ja, das ist, glaube ich, ein Lernprozess, wie.Security an sich ein Lernprozess war, wenn man sich anschaut wie vor zwanzig Jahren, noch Systeme ausgeliefert und ans Netz gehängt worden.
Linus Neumann 0:19:29
Ja oder auch heute, Luca.
Tim Pritlove 0:19:31
Ja. Jetzt hast du das Wort gesagt. Ähm.Ja klar, ne, also selbstverständlich kommt das auch nicht bei jedem sofort an und äh und das ist eigentlich auch so eine Erkenntnis, dass bestimmte Fehler,wenn sie denn generell möglich sind, auch immer wieder gemacht werden und dass das ebentechnisch auch eine Frage des richtigen Fortschritts ist in der Informatik im zunehmendem Maße dafür zu sorgen, dass bestimmte Fehler gar nicht erst gemacht werden können. Also nur mal so,einfaches Beispiel früher war so Programmabstürze durch falsche Speicherzugriffe so einfach,der Klassiker schlechthin, ja? Und äh jetzt geht's in zunehmendem Maße natürlich in Richtung Programmiersprachen benutzen, wo so ein Fehler gar nicht mehr auftreten kann,natürlich noch viele andere, die auftreten können und die treten ja dann auchschiebt sich immer wieder so ein bisschen nach vorne so, aber im Prinzip muss man das eben auch systemweit denken, ne, so wie setze ich eine Anwendung auf. Und dann ist der erste Schritt ist, okay und jetzt sorgen wir als allererstes sorgen wir erst mal dafür, dass dieTour ausgerollt wird, damit wir jederzeit zu jedem Zeitpunkt irgendwie gehen können und den Datenstand,dem Moment äh uns wieder reinsünken et cetera und dass die Software auf jeden Fall da ist und dasdass die aktuellen Daten auch nicht verloren gehen. So und das ist sozusagen der erste Schritt in dem Moment, wo du überhaupt erstmal sagst, ich baue jetzt hier eine neue App. Und das, das ist irgendwas, was wir in zehn Jahren einfach haben werden und was heutzutage einfach noch nicht da ist.Darfst du was zu Luca-App sagen.
Linus Neumann 0:21:03
Christian hat uns geschrieben. Neulich war ich beruflich in Hamburg unterwegs, wo die Inzedenz derzeit unter dreißig liegt. Natürlich habe ich gleich die Gelegenheit genutzt und nach über vierzehn Monaten mal wieder offline geshopptetwas wonach ich überhaupt gar keinen Drang verspüre lieber Christian, aber äh wenn es für dich äh wichtig ist, vor Galeria Kaufhof Karstadt,ist zwei Schlangen. Eine Schlange mit Luca-App, eine Schlange ohne Luca-App. Natürlich habe ich michin die letztere eingereiht. Als ich an der Reihe war, wurde nach meinem Ausweis gefragt und Name, Anschrift, Telefonnummer notiert. Der Mitarbeiter tippte diese Daten in sein Tablet ein.Beiläufig viel mehr auf, dass er meine Daten in die Luca-App einspeiste.Nach dem Check-In ging ich dann recht schnell in die vierte Etage, kaufte zwei neue Jeans und verließ das Geschäft wieder ein Checkout, erfolgte nicht. Ich denke, dieses Beispiel zeigt,die Nutzlosigkeit der,Luca App auf. Hier muss nicht mehr das viel zitierte Beispiel des Zoos herhalten. Was würde nun also passieren, wenn jemand tatsächlich positiv getestet und angeben würde, er wäre am gleichen Tag wie ich bei Galeria einkaufen gewesen,Möglicherweise war diese Person im ersten, zweiten Stock unterwegs und ist mir nie begegnet, möglicherweise kam diese Person erst im Geschäft an, als ich schon lange weg war.Einen Check-Out gab es für mich ja nicht. Würde man auf Grundlage dieser wackeligen Datenbasis nun Quarantäne oder selbst Isolation für mich anordnen?Sicherer fühle ich mich durch den Einsatz der Luka-App nun nicht gerade. In meinen Augen ist das alles sehr viel Bürokratie und sehr wenig Zusatznutzen. Über die Verwendung meiner Daten wurde ich natürlich auch nicht aufgeklärt,Weder hat man mir eine Datenschutzerklärung ausgehändigt,mich durch Aushang der oder mündlichen Hinweis auf eine Fundstelle verwiesen. Hätte ich nicht genauer hingesehen, wüsste ich nicht einmal, dass meine Daten nun auf dem Lukaser gelandet sind. Ja.Und zu so einem Scheiß ermutigen diese Leute ja auch äh die Locations. Es ist.Es ist sowieso also in Galeria Kaufhof ist so ein schönes Beispiel für einen riesen Laden.Wo und wo niemand jemals sagen wird, diese Daten interessieren uns. Das kannste,einfach sein lasse. Ich habe hier auch heute ist nachher eigentlich zitieren, nochmal die Aussage von einem äh GesundheitsamtLeiter, der sagte so, also ist ja schön und gut mit den ganzenSchwachstellen in Luca, ne? Aber ich sehe unser Gesundheitsamt nicht bedroht, weil die Daten rufen wir eh nicht ab. So, das äh scheint dann doch sehr.Ehrlich zu sein. Dann haben wir noch einen eine Mail bekommen, die sich so ein bisschen mit Sommers und Luca auseinandersetzt. Sommers wissen wir, dieses äh System, das.Ostdeutschland oder mit deutschen Mitteln auch entwickelt wurde und bei der Ebola äh Epidemiebekämpfung.Sehr erfolgreich zum Einsatz gekommen ist und dass in Deutschland aber bei weitem nicht alleGesundheitsämter nutzen. Jetzt sollen sie da sollen sie dazu gezwungen werden und da gibt es aber dann natürlich auch eine Arbeitskultur, die sich dem ein wenig versperrt. Von diesenund gleichzeitig ist, wir haben aber eine direkte Sommermassanbindung ja das Hauptargument von Luca.Uns wird also geschrieben. Ich arbeite in der IT einer Kommunalverwaltung. Ich bin zuständig für verschiedene Projekte, unter anderem der Betreuung der Gesundheitsamt-Software,und in diesen Zusammenhang komme ich auch mit dem mit den Themen Sommers, surf net und Luca in Berührung.Zunächst vorweg, die Medienberichte nach den Sommers flächendeckend seit Monaten installiert und im Einsatz sei, sind allesamt.Gelogen. Steht hier. Ich würde sagen unwahr. Ich weiß, mindestens von unserem Landkreis.Als auch noch von mehreren anderen Kolleginnen in anderen Kreisen, dass die Installation und Umsetzung oftmals in einem weiten Spektrum zwischen kurz vor der Installation und ja, wir planen das auch irgendwann steckt.Hintergrund der Medienberichte ist vermutlich eine Aussage,zum Beispiel der Landesregierung auf eine Anfrage der Landkreise nach der Förder an die Installation und Umsetzung geknöpft wurden.Und hier haben einfach mehrere Landkreise, inklusive meinem gesagt,Sommers als alleinige Software zur Verfügung einzusetzen entgegen der Faktenlage. Die Situation mit der mit der Arbeit mit Surf Net sieht ebenso desaströs aus. Obgleich dies die Grundlage für die Umsetzung der Integration,Luca-App darstellt. Zu Luca. Es gab unzählige Beratungen mit den Verantwortlichen bei uns im Hause. Die Situation stellt sich bei uns wie vermutlich auch bei vielen anderen.Kommunen wie folgt da. Seit Wochen. Die Hausleitung macht Druck, weil es politischen Druck aus der Wirtschaft gibt,zu öffnen und Luca ja bekanntlich der Heilsbringer sei. Das Gesundheitsamt sieht keine Probleme.Und will Luca, weil dann ist ja alles leichter ohne Papier. Unbequeme Bedenkenträgerin.Wurden innerhalb weniger Beratung immer weniger in die Gespräche und Prozesse eingebunden und sind dann angewiesen die Voraussetzungen für die Integration entgegen aller vorgebrachten Bedenkungen zu schaffen.An dieser Stelle vielen Dank für eure großartige Arbeit, sowohl im CCC als auch im Podcast. Aktuell geht ein Schriftverkehr zwischen,Land und Hausleitung herum.Bei der der Landesdatenschützer mit der äh Landesregierung clash.Bislang konnten wir die Einführung bremsen, allerdings wird es zunehmend schwerer. Und ich finde das, das sehr bezeichnend, ne? Also je, je weniger die Leute tatsächlich mit den Daten arbeiten müssen, umso mehr,singen die dir äh stolz das Lied von Luca, ne? Und wenn du dann mal jemanden fragst, so, habt ihr euch die Daten mal angeschaut, sind die brauchbar? Nein,würdet ihr die abrufen? Nein. Ne? Total, totaler äh totaler Quatsch, der da stattfindet. Und es ist wirklich äh sehr, sehr ärgerlich, dass dass diese dass es.Denen gelingt.Entgegen aller Kompetenz in den Gesundheitsämtern entgegen aller Kompetenz im Bereich der IT, im Bereich der IT-Sicherheitdiesen Mist den Leuten aufs Auge zu drücken. Es ist wirklich eine Katastrophe und noch mal dabei daran erinnertDas ist ein privatwirtschaftliches Unternehmen, das ein Jahreslizenzen an die Länder verkauft und damit Millionen verdient und irgendwie einsatzbereit ist der Mist nirgendwo zu sehen.
Tim Pritlove 0:28:02
Und selbst wenn er's wäre, würde er äh nicht nicht viel bringen, wie wir an diesem Galerie Kaufhof äh Ding ja auch schon gesehen haben.Ja, das ist das ist so das Grundproblem und ich meine, dastauchte jetzt hier in diesem Kommentar auch schon auf, ne? Das Wort in anderer Form auch schon öfter gebracht. Es ist so dieser Heilsbringer, ne? Es ist so dieses gucke mal hier, ne, das können wir schön in die Kamera haltenund alle haben das Gefühl, das was getan wird,Und das ist natürlich äh oft in der Politik und in der Gesellschaft so, dass sich alle so an so etwas klammern, so nach dem Motto ja, aber Luca. SoAls als ob da mit irgendwas gelöst wäre und führt auch zu den Absurdesten Situationen in diesen Restaurants und es wird vor allem ohnehin weitgehend ignoriert.
Linus Neumann 0:28:48
Absolut, also ja genau, es wird glücklicherweise äh agiert dann eben auch die Gastronomieähnlich und sagt komm ey lass den Scheiß sein. Es ist was,irgendwie auch auch in dieser Mail, dachte ich mir so, ich habe mich jetzt nicht sicherer gefühlt wegen Luca, ne? Ja, natürlich fühlst du dich nicht sicher wegen Luca, weil Luca,ändert auch nichts daran, dass du dich in dem Moment infizierst oder nicht, ne. Maske aufziehen, geimpft sein, ist tausendmal geiler als irgendeine bescheuerte App zu äh na ja okay, lassen wir das. Ähm.Ich wollte mal was Positives erzählen, Tim.
Tim Pritlove 0:29:29
Kommt jetzt einfach das Konzept hier brechen.
Linus Neumann 0:29:33
Nee, ich würde, ich würde sogar sagen, es also ähm,Ja, vielleicht, also ich weiß nicht, ob's für eine gute Nachricht reicht, aber ich war gestern in einer, bei einer TV-Aufzeichnungja? Einer äh eines relativ neuen Sendeformates, das im im ZDF und auf ZDF Neo und im.Im YouTube kommt. Und ich beklage ja durchaus die.Debattenkultur, die wir so in diesem Land äh und in den sozialen Netzwerken haben.Weil es hier den wenigsten Leuten noch irgendwie darum geht,ne, ein Thema zu ergründen oder zu erörtern, sondern vielen Menschen einfach nur noch darum geht, halt möglichst einfache äh Wahrheiten rauszuhauen und wir haben riesige Probleme, was,die also was Angriffe und Diskriminierung angeht, was die Verbreitung von Unwahrheiten angeht und wir.Dass wir spalten unsere ganze Gesellschaft, ja? Obwohl wir mit dem Internet ein Tool haben, dass.Auf jeden Fall eine Grundvoraussetzung dafür ist, das zu überkommen. Ja, jetzt gibt's also eine Reihe an unschönen Phänomenen. Wir müssen uns irgendwie darüber hinaus,entwickeln und ich äh es liegt auch nicht nur am Internet, ne? Also ich finde besonders tragisches Phänomen sind ja echt diese Talkshows, in die du.In der Regel hingehst mit deinen paar Talking Points und wie besonders geil bei Anne Will oder Maischberger oder wie diese ganzen Sendungen heißen. Ich ihr redet jetzt auch wieder jemand der keine Ahnung hat von diesen Sendungen, weil ich die seitJahren schon nicht mehr gucke, ne. Wer gesagt, dass ich bei Markus Lanzner aus,mache, der macht auch eine Ausnahme bei mir, weil das ist ja die einzige Sendung, in die ich ab und zu mal eingeladen werde. Ähm und da finde ich auch äh sage ich mal, die Gesprächskultur halbwegs noch,ansprechend. Ich habe aber jetzt bei dieser Sendung, wo ich jetzt war, die hat den Titel dreizehn Fragen und die hat,die machen das so, du hast also quasi sechs Gäste waren wir.Eine äh prominente Dragqueen, Maja el wat äh von.Diana zur Löwen, eine ähm Influencerin.Einen Model und äh Influencerin und Hans Block, das ist einer der Regisseure von,Ja, auch übrigens ein Film, den ich bei dieser Gelegenheit nochmal empfehlen möchte. Und der Hans hat mir gestern erzählt, dass man den jetzt in der Mediathek der Bundeszentrale für politische Bildung auch schauen kann. Deswegen haben wir den Link nochmal,auch in den sehr, sehr zu empfehlen.
Tim Pritlove 0:32:29
Was ist das für ein Film?
Linus Neumann 0:32:30
Der handelt von den Menschen, die die Content-Moderation bei Facebook machen.
Tim Pritlove 0:32:37
Okay, oh je.
Linus Neumann 0:32:38
Also wo der Teil, sage ich mal, der, wo Sache, wo Inhalte gemeldet werden oder einen Algorithmus, die als verdächtig gefiltert hat und dann müssen Menschen draufschauen und das ähm ja, verifizieren, wegmachen,und ähm dass der der der Staat dieser ganzen,Recherche die da war eben da gab's einen Fall vor mehreren Jahren wo in ich glaube das war Kanada ein Missbrauchsvideo auf Facebook gepostet wurde und viral gegangen ist.Ja, also quasi diese diese Content Moderation versagt hat. Und dadurch sind die beiden Regisseure auf die Frage gekommen, hör mal, wie funktioniert das eigentlich? Und haben dann festgestellt, dass das eben.Menschen gibt, die da äh sitzen,und äh das äh machen müssen. Und die sitzen in äh in diesem Fall,Manila, an dem weltweit größten Outsourcing Standort für Content Moderation. Das sind quasi, was die herausgefunden haben, Hans Block und Moritz Riesewiek äh ist auch tatsächlich neu gewesen,Ja, also das war einfach nicht bekannt. Und die haben's dann geschafft, mit den,diesen Content-Moderatorinnen zu sprechen über ihre Arbeit und das, was sie da sehen. Ähm sehr zu empfehlen.Mit denen waren mit diesen sechs Leuten und ich war also diese fünf Leute und ich waren jetzt da und die Sendung funktioniert folgendermaßen. Ähm die haben irgendwie so eine grobe Hauptfrage. In diesem Fall war das, brauchen die sozialen Netzwerke mehr Regulierung.Zur ähm um Hate Speech entgegen zu treten. Und das Spielfeld ist jetzt so aufgebaut, dass du.Sagen wir mal, äh zur Vereinfachung, sage ich jetzt mal, man steht sich gegenüber und es gibt mehrere FelderJa und es waren jetzt drei Personen, die sagten, wir denken, dass es notwendig ist, hier mehr staatlich einzugreifen. Und es waren drei Personen, die sagen, wir denken, es ist nicht nötig, hier noch mehr.Staatlich einzugreifen. Und.Die einen stehen quasi in der gelben Ecke, die anderen in der äh grünen Ecke und jetzt kommen verschiedene Fragen,die dann der Moderator in unserem Fall auch ein,denke ich, äh inzwischen sehr bekannter Moderator, so ZDF, Aspekte und so. Da kennt man den Herr ähm immer mit ja, ein bisschen,anspruchsvolleren oder hochqualitativeren Formaten stellt dann eben unterschiedliche Fragen,und die werden dann so in der Gruppe diskutiert, ne? Also spricht dann jetzt, was weiß ich, einzelne Personen an, dann können andere entgegnen. Und du kannst als Teilnehmerin eben, wenn die Gegenseite jetzt etwas sagt, halt einen Schritt auf sie zugehen.Und ähm sowerden dann verschiedene Ideen erört hat, ne? Und ähm dann kommst du am Ende zur zu einem Kompromiss. Und diese oderDas Ziel der Sendung ist ein Kompromiss zu erlangen, ja, wie auch immer der aussehen sollte. Und ich habe eigentlich auch gedacht, naja, also ehrlich gesagt glaube ich nicht, dass man,mich hier zu irgendeinem Kompromiss hinkriegt, so, ne?Aber was ich an dieser Sendung so toll fand, ist, sie befördert ist, das Ziel der Sendung, einfach die Sendungsmechanik ist nichtdass du da hingehst und die anderen irgendwie fertigmachst. Und ähm sehr bemerkenswert die äh Journelle hat in dem,hat in der Sendung dann gesagt so, sie würde eine sie fänden es nicht schlecht, wenn man sich in sozialen Netzwerken mit Ausweis registrieren müsste.Und dann haben wir eine haben wir Gegenargumente angebracht und sie hat von ihrer Position Abstand genommen und hat gesagt,Das äh habe ich nicht. Ähm bedacht und insofern diese Forderung äh,vor der distanziere ich mich jetzt wieder, ne? Stell dir mal vor, so etwas würde bei bei Anne Will passieren.Da würden Pauken und Trompeten würden alle sagen, watt, Alter, wer bist du denn? Du kommst hier in die Sendung und du du lässt dich auf einmal von einem, von einem anderen Argument überzeugen, du hast verloren, du bist die Loserin, geh nach Hause, dann wirst du am nächsten Tag auf Spiegel Online verarscht oder so, ne?Und in diesem Format wird das aber befördert, ja? Das ähm und und es gab's natürlich, ich habe jetzt das als ein Extrembeispiel genommen, weil das äh,weil sie das auch sehr offensiv äh gesagt hat. So, okay, ich bin, ich bin überzeugt, ich äh von eurem Argument diese Forderung äh stelle ich nicht mehr auf. Und das fand ich ähm das ist in sehe ich in diesen Fernsehformaten nicht.Ja? Und das finde ich wirklich sehr zielführend. Ich ich wünsche dieser Sendung viel Erfolg und ähm.Einfluss, dass wir mal wegkommen von diesen Talkshow Arenen, in denen irgendwie die Gladiatoren immer wieder die gleichen reingekippt werden, äh um um um sich um sich gegenseitig irgendwas an den Kopf zu werfenUnd das äh hat mich dann doch sehr beeindruckt dieses Format. Deswegen wollte ich dafür werben.
Tim Pritlove 0:37:50
Ist ja auch vor allem mal wirklich was, wo man eine Kamera braucht. Oder wo die Kamera sinnvoll ist.
Linus Neumann 0:37:57
Ja, genau, genau, also das auch noch, ne? Ähm und äh weil du eben dieses Spielfeld hast, das also ich mich interessierte daran jetzt eher so diese die die dass die Mechanik der Sendung.Einfach nur dir sagt so, übrigens, du kannst hier, ne,die anderen zugehen und es gibt erst die Fragen runter und dann gibt's die Kompromissrunde und dann äh na, müsst ihr mal irgendwie,aufeinander klar kommen. Und was hier natürlich noch ganz spannend war, war, dass natürlich alle sich darüber einig waren, dass irgendwie dieser ganze Hate im Internet nicht wünschenswert ist.Und das man dann halt Meinungsverschiedenheiten darüber gab, wie ähm,Problemen zu begegnen ist. Und das ist überhaupt schon mal der, der das war schon mal der erste Punkt, dass man das in der Sendung überhaupt hingekriegt hatweil wenn ich jetzt äh sagen wir mal in eine der bekannten TV-Sendungen gehen würde, ne, dann dann müsste ich mich ja,mit einer solchen Position die ganze Zeit rechtfertigen, ob ich denn den Hate in Ordnung finde, der ähm,anderen Menschen da im Internet äh insbesondere natürlich äh ne, sind ja immer die gleichen, ne? Irgendwie von dem Schmalen,Bereich der Sexualität abweichende oder von dem schmalen,deutsch definierten Bereich abweichende äh Mitglieder unserer Gesellschaft, die sich dann allen Scheiß anhören müssen, ne. Und mit denen willst du dich natürlich nicht gemein machen und dieses in die Ecke gedrängt zu werden, hat da halt nicht stattgefunden. Und fand ich wirklich beeindruckend.Ja, das das durch eine einfache Mechanik in dieser Talkshow, die es ja nicht ist, sondern die Show,das hinzukriegen, so 'ne Kultur herbeizuführen, fand ich super. Ich weiß nicht, ob das bei allen Themen so gut funktioniert, ich weiß auch nicht, ob man das wöchentlich machen könnte mit den Themen, die irgendwie was weiß ich, bei,den typischen äh Politarenen stattfinden, aber überhaupt mal zu sagen, hier bei uns geht's darum, sich näher zu kommen und nicht äh sich gegenseitig mitm äh Holzhammer auf den Kopf zu hauen und daraus ein funktionierendes Format äh wachsen zu lassen,finde ich beeindruckend.Wollte ich mal loswerden. Kann man irgendwann gucken. Weiß noch nicht genau, wann die Sendung kommt, aber ähm gibt natürlich auch andere und äh bin mal gespannt, ob wir vielleicht das doch noch schaffen, äh die Kurve zu kriegen, was die Debattenkultur in Deutschland angeht.
Tim Pritlove 0:40:26
Wann kommt denn die Sendung raus?
Linus Neumann 0:40:29
Weiß ich nicht ganz genau, die haben so, also die haben jetzt mehrere Sendetermine mir gesagt äh und aber wann diese spezifische kommt, äh es ist noch nicht äh genau gesichert.
Tim Pritlove 0:40:40
Mhm. Ja, bin ichBin ich gespannt, wie das funktioniert. Ich äh kannte das auch noch nicht, werde mir das mal angucken. Ähm ist auf jeden Fall mal eine interessante Einsatz von von Fernsehen. Und äh das ist ja auch was äh auch was wert. Fandst du die also die Auswahl der Personen.War gut.
Linus Neumann 0:41:00
Ja selbstverständlich, ne? Die haben ja alle, also ähm die haben ja alle ihre Erfahrungen und ihre Kompetenzen gehabt. Ja, die Redaktion hat da denke ich, eine sehr äh gute Arbeit geleistet, ne, also hm äh wenn jetzt mal schaust, die,Also äh.Elektra Pain ist 'ne Dragqueen, kannst du dir natürlich vorstellen, was die an Kommentaren sich angucken kann, na? Dann.Ist ein türkisches Model mit äh teilweise ja auch äh.Ja, Aktionen oder so, die eben offenbar Menschen provozieren, ja? Äh also völlig lächerlich, dass sie sie provozieren, obwohl sie dann natürlich auch entsprechende äh,durchaus ihre Erfahrung hat mit mit irgendwelchen Kommentaren und Leuten, die sich da Fake-Accounts betreiben und so weiter.Hans eben als der äh Regisseur dieses Films und der Recherche äh ne, mit einem Einblick in die Content-Moderation wie niemand anders. Die,Diana zur Löwen ist äh wie gesagt irgendwie auf ich glaube Instagram und ähm primär glaube ich Instagram aktiv, sehr jung,Frau, na? Große Reichweite ähm und äh hat hauptsächlich keine politischen oder wenig politische Themen, aber wenn sie in dem Bereich geht, spitzt sie natürlich auch die Veränderung.Gerade wenn's in in den feministischen Bereich geht und äh die Maja als äh Juristin bei ist ja auch die Kompetenz unbestritten und äh insofern denke ich, dass das ähm.Auch von der Redaktion eine gelungene Auswahl war, um das Thema.Gezielt zu erörtern. Ich weiß jetzt natürlich auch nicht, wenn das jetzt um Überwachung gegangen wäre und auf der anderen Seite hätte, äh was weiß ich, ähHorst Seehofer gestanden, dann weiß ich auch nicht, wie gutdas noch funktioniert hätte, ne. Ähm aber dem Format sollte also überhaupt diese die Spielmechanik einer politischen Diskussionsschau überhaupt mal anzugehen.Halte ich für den den schon den genialen Schachzug hier.
Tim Pritlove 0:43:21
Gut. Kommen wir zum nächsten Thema. Ich bin ja so froh, dass wir das Luca-Thema schon durch.
Linus Neumann 0:43:26
Bin auch froh, dass er echt nicht mehr über Luca reden müssen. Ähm ganz kurz, also nur, es ist, also du wir haben ja die die Sendung mit Markus rausgehauen, dann hatte er direkt noch gefunden, dass quasi in dem Versuch.CSV zu fixen. Luca einen neuen,eingeführt hat, der dazu führt, dass dass dieses Backend-System quasi abstürzt. Also jetzt konntest du dein neuer Check-In hat jetzt nicht dafür gesorgt, dass du deren Excel gehackt hast.Sondern dass einfach den Server abschmiert.
Tim Pritlove 0:44:04
Vielleicht kurz so ein bisschen Kontext mit irgendwie berichtete. Es ging dadrumDatenübernahme im Gesundheitsamt über so einen äh Datei-Import, wo wir halt gesagt haben, okay Leute, ihr äh schaut nicht, was ihr für Daten rausgebt und es ist möglich, da äh Daten reinzubringen, die dann das äh Excel ausm Tritt bringen.Beim Import und dann haben sie reagiert, indem sie jetzt versucht haben, das zu filtern und dadurch, dass sie jetzt versucht haben, etwas zu filtern, haben sie sich wieder das nächste Problem eingetreten.
Linus Neumann 0:44:32
Also erstmal haben sie sich das Problem eingetreten, dass es eine ganze Reihe Buchstaben, die im deutschen dann doch auch gebräuchlich sind, nicht mehr zulassen. Ähm und dann haben sie sich eben einen.Ein eingehandelt, wo ähm ein Check auf ein auf eine variable des falschen Typs stattfindet und dann schwirrt die ganze Applikation ab. Das heißt, du kannst Gottes jetzt quasi bei dem Export.Dafür sorgen, dass der, dass diese Luca-App abschmiert mit einem mit einem Fehler und dann kommt halt gar nix mehr, ne? Was die Sache natürlich noch schlimmer macht, weil dann kommen da gar keine Daten mehr raus. Ähm,dann haben sie, was auch, also wirklich an der du weißt wirklich nicht, ob die wirklich so dermaßen inkompetent sind oder ähm,Und ich ich fürchte fast eine Kombination aus beiden. Und zwar.Haben wir ja auch in Lok im Logbuch darüber gesprochen, dass der Fehler unter anderem darin bestand, dass sie in dem Feld für die Postleitzahl.Alles Mögliche zugelassen haben, also alle Zeichen und auch beliebige Länge, während wir ja wissen, durch Rolf, dass die Postleitzahl in Deutschland fünf,Ziffern sind. Punkt. Die zu heißen, ist ähm enorm einfach. Du guckst einfach an allen fünf Stellen, ob's eine Ziffer ist, schneidest den Rest ab und bist durch, ja? Ähm,und die CSV Injection wird primär eingeleitet durch das,Gleichheitszeichen. In diesem Falle. Es gibt von Oversp eine ähm dem Open Web Application Security.Ich weiß, vergesse immer, wofür das P steht. Aber im Prinzip diese diese standardisierten Empfehlungen zur Sicherheit einer ähm einer Applikation.Anweisungen, wie man eine CSV injektion verhindert. Da sind eben verschiedene böse Zeichen drin geschildert. Und der Vorwurf war immer, ihr setzt diese Ohrwaspempfehlung,Empfehlungen nicht um. Und es ist ja nun mal auch richtig, dass sie die nicht umgesetzt haben. Dann haben sie aber jetzt irgendwie der, der Patrick Hennig, der CEO dieses Unternehmens und der,Heißt der. Äh Markus Bublitz, der.Begnadete, also ein begnadeter PR-Sprecher. Kannst du wirklich einen einzeln, also wirklich,wirklich Herz ein besonders gutes schlechtes Beispiel haben dann den Markus vorgeworfen.Er hätte nicht,er hätte ihn ja nicht wirklich den Fehler gemeldet, weil jetzt behalte ich fest, Sinn. Der Fehler war nicht nur, dass sie das Gleichheitszeichen zugelassen haben, sondern auch.Dass sie das Komma zugelassen haben. Und.In einer CSV, also wenn also um das nochmal zu erklären, dass Dateiformat heißt,Und das heißt, das Komma separiert Werte.Und wenn du natürlich dann in ein Feld, ein Komma schreibst, dann muss dieses Komma werden in dem CSV-Format. Ähm.Genauso wie, wenn du in einem String ein Anführungszeichen setzt. Ja, also da, das ist das, das ist die Tücken des CSV-Formates ist, das Komma und nur das Komma hat den CSV eine echt besondere Bedeutung und deswegen darfst du nicht einfach einen Komma zulassen.
Tim Pritlove 0:48:10
Anführungsstrich hat auch eine besondere Bedeutung, weil damit macht man das dann.
Linus Neumann 0:48:13
Genau und und in Anführungs und in Anführungsstrichen, weil der äh eben, also ne, der der die.Und dann haben die sich ernsthaft beschwert.Bei äh bei Markus Mengengs, dass er ihnen nur gesagt hat, dass sie die Overs-Regel nicht einhalten, während sie ja auch noch die CSV-Regeln nicht einhalten,und und das haben die denen zum Vorwurf gemacht. Ja, also.
Tim Pritlove 0:48:44
Was heißt denn sie? Escape nicht das Komma. Also, ich meine, sie trennen doch dann, also sie, ach so, sie schreiben einfach die Komma, wenn ein Komma wenn ein Komma im Wert ist, schreiben sie es einfach rein.Gott und und sie es generell nicht mit Anführungsstrich.
Linus Neumann 0:49:00
Gar nichts. Und sie haben gesagt, so und und und das, was sie immer meint, wir haben ja einen Overs-FilterWenn sie den hatten, was sie immer wieder behaupten, dann hat der halt nur zu Beginn der Zelle geguckt, ob da ein Gleichheitszeichen ist,Und wenn du aber jetzt in der in der zu Beginn der Zelle in Anführungszeichen Komma hattest und dann gleich als Zeichen oder so, ne, dann hat dieser Filter nicht mehr funktioniertAlso was sie gesagt haben, okay, okay, okay, wir haben das Gleichheitszeichen nicht ordentlich, aber ist ja nur die halbe Geschichte, Markus. Du hast uns ja nur die halbe Geschichte erzählt. Du hast uns ja nicht gesagt, dass wir bei CSV,Kummer, die ich es gebt haben. So und jetzt kommt's.
Tim Pritlove 0:49:32
Alter, also.
Linus Neumann 0:49:38
Mehr auszuhalten.
Tim Pritlove 0:49:41
Wie bekloppt sind die denn eigentlich? Das geht doch überhaupt nicht.
Linus Neumann 0:49:43
Es ist es ist wirklich es ist wirklich nicht wahr. Es ist.
Tim Pritlove 0:49:49
Mann! Das ist doch das habe ich mir doch auf aufm Schulhof seiner Zeit irgendwie reingetrimmt. Mann, das ist doch Sepp, och Gott! Ich fasse es überhaupt nicht!
Linus Neumann 0:50:01
Es ist wirklich, es ist gar nicht auszuhalten, ja.
Tim Pritlove 0:50:03
Wissen die überhaupt, die wissen überhaupt nicht, was Pasing ist oder so? Also das ist der Begriff, den kennen die gar nicht.
Linus Neumann 0:50:08
Hochsicherheit, Tim, Hochsicherheit.
Tim Pritlove 0:50:11
Hochsicherheitslösung.
Linus Neumann 0:50:13
So und das, das und die entblöten sich nicht, weißt du so.
Tim Pritlove 0:50:17
Auch noch auf Twitter zu diskutieren.
Linus Neumann 0:50:19
Also was sie, was sie hier machen, neDie hätten ja sagen können, ah, Scheiße, wir haben umgesetzt, danke für den Hinweis. Jo, äh, haben wir vor vor drei Wochen, als uns das gemeldet wurde, große Fresse gehabt, war falsch, danke schön, Credit, Markus Mengengs, Thema erledigt. Nein, diedie beschuldigen den dann noch auf Twitter, dass sie ja noch viel mehr Fehler gemacht haben. Es ist es ist nicht.Äh es ist nicht äh vorstellbar. Es geht auf keine Kuhhaut mehr und du fragst dich, gibt's eigentlich niemanden in dem Laden, der zum Beispiel mal diesen feuert, weil der also der schadet dem Laden ja und der CEO,Patrick Hennig ja auch, ja. Also sie müssten ja wenigstens mal kompetenten Leuten das Reden überlassen. Das ist wirklich aber weißt du, das Schlimme ist, dass diese Strategie ja aufgeht, weil ne.Um das jetzt hier noch zu erläutern, brauche ich fünf Minuten,warum das dumm ist, ne. Es gibt natürlich jede, die jemals mit CSV gearbeitet hat, weiß sofort, na ja äh und.Dass, dass dass man den Fehler machen könnte, ein theoretisches Konstrukt ist, ne, aber dass das ja jede weiß,wird diese Dateiformat arbeitet. Aber viele Leute verstehen eben gar nichts von dem, was da diskutiert wird und sehen einfach nur, oh krass, äh die haben Vorwürfe äh gegen den Sicherheitsforscher Markus Mengengs,Unverschämtheit, was was man sich, was der sich bieten lassen muss. Ist wirklich, ist einfach nur eine Frechheit.Währenddessen weiterhin auf staatliche Kosten riesige Werbekampagnen für diese, für diese App, ja? Und das Schlimme ist ja,Das Geld, was die damit ja jetzt verdienen, weil das System am Ende nicht wirklich genutzt wird, ne? Ähm das haben die ja, um damit das nächste Projekt zu pitchen irgendwo.Und zu sagen, kennt er noch Luca? Äh super geil, ey. Da haben wir auch gut hinbekommen. Hier haben wir den nächsten Pitch für zwanzig Millionen. Jetzt scannen wir was weiß ich, äh euch mit dem nächsten Scheiß.Das ist wirklich deswegen, darf man solchen Leuten kein Geld geben. Spaß übrigens, wenn ich das richtig verstehe, vermuten einige Länder, dass sie vom Bund das Geld zurückkriegen, was sie für diese Luca ausgegeben haben. Und ich kann nur noch mal die Empfehlung wiederholen, zu sagen, ey, geht dahin.Euch an, was euch da für ein Murks geliefert wurde äh und geht in Regress. Unglaublich.
Tim Pritlove 0:52:42
Ja, aber Herr Müller wollte das ja bestehen und äh hat sich das ja auch technisch vorher nicht angeschaut, das hat ihn auch nicht interessiert.
Linus Neumann 0:52:47
Wie gesagt, von einem äh Gesundheitsministerium,habe ich äh so kolportiert bekommen. Wir müssen uns um die Integrität der IT der Gesundheitsämter wegen Luca keine Sorgen machen. Die Daten benutzt bei uns ohnehin kein Gesundheitsamt. Ich glaube, das isttatsächlich die beste Security-Einschätzung zu dieser CSV Injection aus kompetentem Munde.
Tim Pritlove 0:53:12
Wirklich echt. Komm mal nicht ins Kipp. Also,wirklich echt, also ich meine, da ist jetzt bei mir auch jedes Verständnis jetzt ans Ende gekommen. Also das das geht einfach, das sind das sind keine Anfängerfehler. Das ist irgendwie, ich habe grundsätzlich relativ wenigAhnung von Programmieren und von Daten. Das ist so probiert doch mal, macht doch mal was mit Holz.
Linus Neumann 0:53:37
Es gibt jetzt eine, es gibt jetzt sogar einen ähm einen Fest, in dem äh die quasi in den ähm in diesem äh Fall.
Tim Pritlove 0:53:51
Müsste es vielleicht mal kurz sagen, was dieses ist, weil das.
Linus Neumann 0:53:55
Haben wir das nicht in der letzten Sendung schon erzählt.
Tim Pritlove 0:53:58
Aber nicht in dieser Sendung. Also ich glaube, in der letzten haben wir es auch nicht gesagt, aber das ist generell so ein Security-Fremwork für Webanwendung, was man berücksichtigen äh sollte.
Linus Neumann 0:54:07
Also was ist das Open Web Application Security Project. Eine non-profit-organisation, die im Prinzip versucht.Die häufigsten Fehler in der Programmierung, insbesondere von Webanwendungen.Ähm zu erläutern und Handreichungen zu geben. Sehr bekannt sind die Overs Top Ten, wo einfach die Top zehn Fehler drinstehen, die Menschen machen.Ja? Ähm irgendwie und der erste ist Injection, der zweite ist Broken authentication, der dritte ist Sensitive Data Exposur, ne? Und wenn du dir das anschaust, kannst du eigentlich.Den größeren Teil der Sicherheitslücken, die du da draußen so findest, einfach in diese sagen, ja, das ist irgendwie A äh unsichere Desireli, deserealisierung oder, oder, oder.Und die geben natürlich auch jeweils die Empfehlungen.Wo drin steht, wie man den also wie der Fehler zustande kommt und wie man ihn vermeidet. Und bei diesen Overs zur CSV Injection.Gibt es jetzt ein ähm Fest, wo jemand sagt, übrigens hier steht ähm.In dem in dem Fall zur CSV Injection stehen nur die bösen Felder in der Zelle. Vielleicht sollte man noch einen Satz hinzuschreiben, dass man sich selbstverständlich auch überlegen muss, was die Zelle ist,ja? Und also da hat jetzt noch jemand einen.Quasi hier, es gibt Leute, denen muss man auch das noch erklären. Äh schreibt das mal noch da rein. So ist natürlich dann auch die äh die Community, dass sie natürlich stets bemüht ist, äh sicherzustellen,dass ähm dass ihre Empfehlung auch verstanden werden.Tja, sehr unterhaltsam.
Tim Pritlove 0:56:17
Ja, lass uns das Thema beenden.
Linus Neumann 0:56:21
Ja, kommen wir zum schönen Thema. Ein Kinofilm.Den wir hier schon mehrmals beworben haben, dessen Filmstart äh glaube ich auch schon relativ,mehrmals verschoben wurde, so ein bisschen der äh Corona-Pandemie natürlich zum Opfer gefallen.Und zwar geht es da um den Film Alles ist eins außer der Null. Äh Doktor Computer.Film, ein Film, über Holland, den Gründer des äh Chaos, Computerclubs, die Anfänge des Chaos, Computerclubs äh spezifisch abdeckend äh mit Schwerpunkt auf ja Perspektiven leben von wow.Und ähm mündet irgendwann auch in dem in dem,Chaos, Computerclub der heutigen Zeit, also ne, was ist aus den diesen kleinen Hacker-Treffen-Kongress mit ein paar hundert Leuten heute geworden und auch die politischen ähm Perspektiven und Botschaften, die ich ja auch so besonders ähm.Ja weitsichtig finde, werde ich ja nicht müde zu betonen, dass halt in der Tuver TXT und,auch in der Hacker-Ethik eben eine besondere Weitsicht bewiesen wurde, welche Bedeutung, Informatik und Vernetzung in unserer Gesellschaft haben würde und welche.Sequenzen ähm das haben wird. Ähm.Ich komme auch ganz kurz in dem Film vor ähm und habe deshalb die große Freude gehabt, schon mal vor längerer Zeit einen Rohschnitt davon zu sehen und bin äh äußerst äh angetan von diesem Film und ähm.Denke, dass dass man sich freuen kann, denen zu schauen. Jetzt wurde der Kinostart äh auf den neunundzwanzigsten.Angelegt. Das ist, glaube ich, ein vielversprechendes äh Datum,Kino-Launch, weil da wird's schön heiß seinDas heißt, die Inzidenzen werden wahrscheinlich noch schön weit unten sein oder noch weiter unten, als sie jetzt sind und man wird vielleicht in ein Kino gehen dürfen. Die Frage ist, wird man noch in ein Kino gehen wollen bei den Temperaturen, aber soweit ich weiß, sind Kinos ja auchinzwischen klimatisiert.Ähm deswegen möchten wir euch darauf aufmerksam machen, dass es diesen Film gibt und dass ihr den sehen wollt.
Tim Pritlove 0:58:51
Ja, das äh kann ich auch empfehlen. Muss ja nicht unbedingt am allerersten Tag sein.
Linus Neumann 0:58:54
In der ersten Woche hilft dem Film natürlich, ne?
Tim Pritlove 0:58:57
Dem Film und hilft euch unter Umständen auch noch. Dann gibt's doch nicht so eine Begleitaktion.
Linus Neumann 0:59:03
Ja genau, also wir sind da gerade von Chaos Computerclub in den Planungen.Für beispielsweise die Premieren und Erstaufführungen ähm.Begleitung zu schaffen, also beispielsweise ist ganz kurz in meinen Kalender gucken, wo ist das denn?Am zweiundzwanzigsten Juli 'ne Premiere in Hamburg, im Schanzenpark.Ach so, übrigens fällt mir ein Tim, es gibt ja auch Open Air Kinos, ne, habe ich ganz vergessen. Das ist nämlich hier Chancenpack ist nämlich, glaube ich, ein Open Air Kino.
Tim Pritlove 0:59:37
Und noch mal eine Woche vorher.
Linus Neumann 0:59:38
Ja ja genau, das ist irgendwie Premiere oder so, ne? Und es muss ja gar nicht darum gehen, dass du in äh in eine in eine kalte Bude gehst. Es ist ja Zeit, der der. Das heißt, sorry, ganz ganz vergessen. Ist so lange her, dass äh dass ich irgendwo hingehen durfte, ne. Und ähm.Da gibt es also mehrere Premieren und im Vorführung, wo dann auch Leute aus dem Chaos ähm an Ort und Stelle sind und dannbeispielsweise nach dem Film noch ein bisschen darüber sprechen oder vor dem Film, neoder vielleicht noch, je nachdem wie das ist, der lokale Chaos, Computerclub, noch ein Schunk äh serviert. Äh was ich, was ich eben, ne, ermöglichen lässt. Da wird sind wir grade.In der Planung und da glaube ich kann man, kann man sicherlich erstens 'n guten Film sehen, zweitens mit guten Leuten in Kontakt kommen und das sollte gefeiert werden.
Tim Pritlove 1:00:34
Ja, kann ich auch nur empfehlen.
Linus Neumann 1:00:36
Ja, ansonsten ist noch zu sagen, Chaos, Computerclub wird hier dieses Jahr vierzig.Das ist äh co inzidiert natürlich dann hier auch nochmal und ähm das ist alles sehr.Spannend. Und wenn ich mich nicht täusche das musst du mir sagen Tim, jetzt sich doch in diesem Jahr auch der Todestag, oder?Also der jährt sich in jedem Jahr, aber.
Tim Pritlove 1:01:05
Von wow. Ja, äh das äh fällt aufs was war das? Das war der ah der neunundzwanzigste Juli.
Linus Neumann 1:01:18
Ja. Ist genau zwanzig Jahre später.
Tim Pritlove 1:01:22
Von daher dürfte dieser Termin ähm ganz strategisch gewählt äh äh worden sein, genau. Oh Mann, nicht schlecht. Mhm.
Linus Neumann 1:01:31
Das ist ein Ding, ne? Wollte ja nur mal gucken, ob du das äh Datum aus dem Kopf hast.
Tim Pritlove 1:01:39
Nee, hatte ich nicht, äh, im, im, im Kopf, allerdings, äh, ist es bei mir halt sehr viel mehr dann mit dem äh,elften September zweitausendeins verbunden, weil dann äh am zwölften September war ja dann zwanzig JahreJahre CCC damals und es war eigentlich immer so bisschen Ziel und Erwartung mit V zusammen. Dieses Event zu begehen, damit wir irgendwie auch mal richtig erfahren, wie es eigentlich war in den ersten zwanzig Jahren. Und dann ist er einfach ganz frech äh so weggestorben und hat uns erstmal so etwas leer dagelassenund in gewisser Hinsicht war das dann aber auch so der Ansporn, es nochmal richtig krachen zu lassen unddas ist ja dann auch total durch die Decke gegangen mit Blinken Lights und äh unserer Zwanzig-Jahres-CCC-Party, die ja auch relativ äh fett war, die dann aber wiederum,nochmal überschattet wurde natürlich von diesem Terroranschlägen in den USA und das äh wurde dann wirklich zu einer der verrücktesten Wochen meines Lebensdas werde ich äh nicht vergessen.
Linus Neumann 1:02:48
Hoffen wir, dass wir dieses Jahr äh irgendwie eine bessere Zeit haben mit vierzig Jahre CCC.
Tim Pritlove 1:02:58
Ja, wir halten auf jeden Fall noch so lange durch bis zur Party, oder?
Linus Neumann 1:03:02
Ja, da wollen wir mal drauf hoffen.
Tim Pritlove 1:03:04
Ist der böse Corona nicht schnappt vorher.
Linus Neumann 1:03:06
In den Shownotes, die ähm die Filmseite, alles ist eins außer der Null. Äh neunundzwanzigster siebter ist das äh,Datum des Film-Lounges. Ihr könnt euch jetzt schon mal rausschauen, in welches geile Open Air Kino ihr vielleicht dann gehen könnt, um diesen Film zu schauen und ob es nicht in eurem lokalen Chaos auch deineEin Begleitprogramm gibt, ähm,wie gesagt, da gibt's keine Form, in die das gepresst wird. Das ist einfach dann eine Initiative der lokalen Gruppen, die das machen, was sie können und worauf sie Lust haben. Vielleicht gehört ihr ja selber zu so einer Gruppe, habt da Bock was zu machen.Oder seid an der lokalen Gruppe interessiert, dann könnt ihr da mal fragen vielleicht wann die mit euch den Film gucken gehen oder ob sie irgendwas vorhaben, wie auch immer, ja? Äh,kann ich ähm empfehlen.
Tim Pritlove 1:04:00
Genau.Und dann gab's noch was äh mit offenen Briefen und äh neuen Allianzen. Was ist denn da los?
Linus Neumann 1:04:11
Ja.Viele Leute haben's auch äh genau erkannt, äh die die Hölle ist zugefroren,Es gibt einen ähm offenen Brief, der sich an die Bundesregierung und die mit dem Staatstrianer-Thematiken befassten,Ausschüsse des Bundestag gerichtet hat und da geht es genau um das Thema mit über das ich ja hier mit Andre auch kürzlich so ein kleines äh Logbuch Netzpolitik Spezial hatte, nämlich,die Staatstrojaner Ausweitungsgesetze, die jetzt zum Ende der Legislaturperiode,nochmal äh kommen sollen und zwar das Gesetz zur Anpassung des Verfassungsschutzrechts, dass eben,allen deutschen Geheimdiensten die Befugnis zum Hacken geben soll und dem Bundespolizeigesetz.Dass der Bundespolizei das Recht geben soll, äh Leute zu hacken.Die noch gar keine Straftat begangen haben oder einer Straftat verdächtigt werden. Und mit dieser.Ausweitung einhergehen soll ja ähm die Pflicht kommen, dass Anbieter von Internetdiensten.Aktiv bei der Infektion der Geräte ihrer Kundinnen mitwirken müssen,Ähm und das ist ja, also wir haben's in der Sendung äh besprochen, wenn ihr die Sendung mit Andre noch nicht gehört habt, kann ich die enorm empfehlen. Die war wirklich sehr gut, weil Andre dieses Thema wirklich wie kein anderer,durchdrungen hat, das ist die LNP drei neun fünf gute Geheimdienstegesetz und ich sag muss ja wirklich sagen, mit Staatswehren setze ich mich ja auch auseinander, ne, so ist das ja nicht. Ich habe ja auch ähm.Ein oder zwei Stellungen nahmen zu dem Thema an äh an den Deutschen Bundestag geschrieben. Aber der Andre.Ist da einfach noch viel fitter in dem Ding, als äh ich das bin und ich glaube, er ist wahrscheinlich auch der Fitteste in dem Thema, den man überhaupt finden kann.Deswegen die LMP drei neun fünf nochmal empfohlen, um damit.Worum es da geht und wogegen wir uns da aussprechen. So, das Spannende an diesem Sachverhalt war jetzt, weil ja die Anbieterinnen verpflichtet werden sollen, ihre eigenen Kundinnen zu hacken im Auftrag der GeheimdiensteÄhm haben selbst Facebook und Google gesagt, äh da geht uns jetzt irgendwie ein bisschen zu weit, ja? Und es gibt einen,einen offenen Brief ähm zu den Unterzeichnerinnen gehören äh.Eco Verband der Internetwirtschaft, ne? Wir wissen, Klaus Landefeld, äh der ja auch bei uns schon zu Gast war. Der Bundesverband IT-Mittelstand, ähm die Stiftung Neue Verantwortung, beziehungsweise hier steht, es wäre nur Sven Herpig, ich weiß nicht genau, warum da nur sein Name steht, wird seine Gründe haben. Mailbox dot org, ähmäh der JP Berlin, der politische Provider, der Verband, der Anbieter von Telekommunikations und,Telekommunikations- und Mehrwertdiensten der VATM, Mail DEBundesverband IT-Sicherheit äh so Boxcript, so ein äh Cloud-Verschlüsselungsdienst. Jetzt kommen die äh unterhaltsam, ne, Tutanotha haben wir ja hier auch öfter behandelt, ne? Ebenfalls ein E-MailProvider, der sich gegen die äh Überwachungsanordnungen, gegen seine.Nutzerinnen wert. Und jetzt kommt die äh die, sage ich mal, der Teil der Unterzeichnerin, die äh die Aufmerksamkeit, glaube ich, äh geholt haben, mega,Chaos, ComputerklubGoogle und Facebook. So und äh das hat würde ich sagen, seine Wirkung nicht verfehlt. Mein Lieblings,Tweet äh zu dem Thema kam von hier Isotop äh Informatiker ähm,der schrieb, du weißt, dass du als Regierung komplett unrettbar verkackt hast, wenn ein Statement Sätze wie diesen enthält. Der CCC wendet sich in dem gemeinsamen, offenen Brief zusammen mit Facebook, Komma Google.Der CCC zusammen mit Facebook und Google.Der CCC. Und ja, die haben alle recht. Ja, habe ich mich sehr drüber gefreut. Natürlich ist das ähm.Auch nicht ohne Kritik geblieben, dass der Chaos-Computer-Club die gleiche Meinung wie Facebook und Google hat, wenn es darum geht, ob Facebook und Google ihre eigenen Nutzerinnen hacken sollen. Ähm.Ja, diese Perspektive ist sicherlich auch wertvoll. Ähm ich denke, wichtig ist an dieser Stelle die Aufmerksamkeit für dieses Thema zu generieren.Und das ist äh sehr eindeutig gelungen. Und ähm das Thema war sehr unterbelichtet und ich hoffe, hoffe, hoffe, hoffe, die Legislaturperiode ist ja bald vorbei. Es gibt irgendwie nur noch,anderthalb quasi Sitzungswochen und ähm bis dahin muss das Ding entweder,Also muss das Ding vom Tisch sein, damit es beerdigt wird. Und deswegen brauchen wir jetzt alle Aufmerksamkeit und allen Druck auf diesem Thema.Und ich habe auch äh auf Frage von Netzpolitik Org auch geantwortet, weißt du, wenn wenn ein eine Idee so gefährlich ist.Dass alle davor waren. Andre hat ja auch in der letzten Sendung schon gesagt, Kurt Graulich hat davor gewarnt.Facebook, Google, niemand sagt, dass es eine gute Idee, dann frage ich mich, äh warum man das verheimlichen sollte und sagt, nee, ähm wir sind ähm,Wir sind zwar dagegen, aber wenn Facebook und Google dagegen sind, dann dann äh sind wir nicht dagegen oder was? Oder dann beteiligen wir uns nicht an deman dem Protest, ja? Und wenn es einfach mal darum geht zu zeigen, so die Idee ist so scheiße, dass selbst FacebookGoogle und CC gemeinsam an einem Strang ziehen, das kriegst du halt selten und äh entsprechend habe ich mich auch sehr,über das Echo gefreut. Auch von denjenigen, die dann meinen, wir hätten das nicht machen sollen, das fand ich äh auch sehr äh reizvoll dieses.
Tim Pritlove 1:10:26
Ja gut, ich meine Facebook und Google ist ja klar, ne, warum die dagegen sind, ne, weil die sich natürlich nicht äh instrumentalisieren lassen wollen und äh dadurch natürlich vor allem befürchten, massiv bei ihrenäh Kunden zu verkacken, absolut nachvollziehbar und das ist ja auch so ein Grundproblem dabei, wie äh alle Entschlüsselungsdebatten auch,und das ist äh glaube ich auch so ein Fight, den die Politik äh äh demnächst noch härter führen wird mit der äh Wirtschaft, weil die halt einfach keinen Bock haben, sichsozusagen ihr Kundenverhältnis vollständig zerstören zu lassen.
Linus Neumann 1:10:59
Ja, absolut, also ne, dass äh natürlich ist das deren äh Motivation, ja, aber äh die also diese Motivation, man muss ja mal, also.In dieser dreizehn Fragen Sendung gestern, ne, habe ich ja auch natürlich das Verbotdas Geschäftsmodell von Facebook gefordert und die Zerschlagung, ja. Es ist ja nicht so, als wäre ich ein Facebook-Freund. Äh Facebook Feind und äh nutze das nicht.Und äh hoffe, dass wir das irgendwann überkommen in unserer Gesellschaft. Ähm.Man darf sich aber auch echt nicht vergessen, das sind supernationale Konzerne, die also die sehr viel mehr.Einfluss haben, als was weiß ich, die Bundesrepublik. Und ähm die sich auch gegen sehr viel mehr Einfluss überall auf dieser Welt wehren müssen.Ähm wo nämlich Staaten versuchen, diesen Laden und irgendwie unter ihre Kontrolle zu bringen,So und da bist du in Ländern wie Deutschland noch relativ gut aufgehoben, wenn du nämlich mal schaust, was irgendwie in anderen Staaten so los ist. Und diese, also während Google und Facebook,hier äh zurecht sehr stark äh kritisiert werden.Sind sie in anderen Ländern tatsächlich noch sehr viel stärker ähm ja, wie soll man das sagen.Dabei Meinungsfreiheit gegen staatliche Eingriffe zu stärken. Ja, das sind aber eben auch andere Staaten, äh die auch im weitesten Sinne nicht demokratisch sind. Ich will jetzt gar nicht deren Rolle dort loben, ich will nur sagen,die ganze Zeit irgendwie ich weiß nicht, wie viele Staaten gibt's? Hundertsechzig oder so? Hundertsechzig.
Tim Pritlove 1:12:48
Zweihundert.
Linus Neumann 1:12:50
Okay, ich wollte da jetzt keinen Start vergessen, alle Staaten sind schön. Ähm diese ganzen Staaten kläffen denen die ganze Zeit ans Bein und wollen sich derer bemächtigen und die sind natürlich,befasst sich dagegen zu wehren. Und wenn sie in Deutschland die Auflage bekommen.Mal bitte eure Nutzer, dann kommt selbstverständlich als nächstes Schiener und sagt übrigens, ihr habt da was Schönes gebaut. Das könnt ihr bei uns auch mal direkt ausrollen, ne? Und,insofern natürlich ist jegliche ähm.Motivation, bei denen am Ende, also jedes Mal, wenn sie im Interesse ihrer Nutzerinnen für irgendwas kämpfen, ist das, weil sie diese Nutzerinnen behalten wollen, weil sie weiter monetarisieren wollen. Das ändert aber nichts daran, dass sie hier an dieser Stelle für eine wichtige,ähm Sache kämpfen, die ja nicht nur sie betrifft, sondern auch hier eben so kleinere Unternehmen wie unter den Unterzeichnenden Mail DE, Mailbox dot org oder Tutanota.So und wer ja auch lustig, wenn die jetzt ohne die Macht von Facebook und Google dagegen kämpfen sollen,Ja, also das ist äh ich denke, das Argument, äh ihr seid einer Meinung, aber ihr dürft nicht gemeinsam äh diese Meinung vertreten, trägt dann nicht weit. Genauso wenig wie das Argument, äh dass äh der Chaos Computerclub jetzt ähm.Facebook segnen würde oder dass Facebook jetzt in der mehr Nutzerin kriegt, weil weil alle sich denken, oh krass, boah Facebook, alles klar, dann kann ja doch auf Facebook gehen.
Tim Pritlove 1:14:23
Genau, bevor äh die passenden Kommentare dazukommen, korrigiere ich's gleich mal nach, also offiziell gibt es hundertdreiundneunzig,die äh unumstritten sind und damit Mitglieder der Vereinten Nationen. Außerdem gibt's aber dann noch äh ungefähr äh dann gibt's noch sowas wie Vatikan statt und irgendwie zwölf andere Staaten, die sagen wir mal, äh,Zumindest von anderen Ländern äh eingeschränkt anerkannt werden,oder sich in freier Assoziierung zu anderen Staaten befinden. Sowas soll's ja auch geben.
Linus Neumann 1:14:55
Welche sind äh welche sind das?
Tim Pritlove 1:14:57
Die in freier Asoziierung sind na ja ich würde so sagen ist wahrscheinlich sowas wie Transnistrien und so die,Südostsees hier in wo Russland sozusagen anerkennt, aber andere Staaten nicht und dann diese Taiwan, China-Situation, all so eine Sachen Macau. Alsoda ähm ist auf jeden Fall zweihundert ist jetzt nicht,nicht schlecht geraten gewesen von mir, obwohl ich ehrlich gesagt wenigstens hätte hinschreiben sollen, wahrscheinlich zweihundertdreißig gesagt hätte, aber egal. Also wir haben ungefähr zweihundert Staaten äh auf dieser.Erde und das reicht ja dann auch.
Linus Neumann 1:15:30
Hoffen wir mal, dass dass wir da jetzt nicht in irgendeinen Wespennest getreten sind. Sehen wir bestimmt.
Tim Pritlove 1:15:35
Bestimmt, bestimmt.
Linus Neumann 1:15:38
Okay.Ja, also das ist und entscheidend ist hier die Aufmerksamkeit auf das Thema und die haben wir glaube ich relativ erfolgreich generiert und hoffen jetzt, dass es natürlich auch bei den.Verantwortlichen, Politikerinnen ein Prozess des Umdenkens anregt, wenn sie sich mal denken, äh okay krass, da sind jetzt irgendwie so wirklich alle dagegen.Ähm vom Eco über diekleine, zarte Pflanze der mittelständischen Wirtschaft, die wir hier noch nicht kaputtgetreten haben, über die NGOs, über oder über einige NGOs und über äh die großen Konzerne. Vielleicht sollten wir uns überlegen, ob wir da gerade,äh wirklich etwas machen, das niemand möchte. Ja.
Tim Pritlove 1:16:34
Gut, schauen wir mal, ähm nach Dänemark. Sag mal, Linus, erinnerst du dich noch? Wie war das eigentlich mit dem Ausspähen unter Freunden?
Linus Neumann 1:16:43
Das geht gar nicht.
Tim Pritlove 1:16:45
Geht gar nicht, oder?
Linus Neumann 1:16:46
Nee. Ja, kannst du nicht machen.
Tim Pritlove 1:16:48
Das ist einfach, das ist nicht okay und ähm aber das Überraschende ist, findet statt. Hatten,und äh das war wer das äh Zitat jetzt so nicht mehr erinnert, das war ja so das Statement von äh Angela Merkel, nachdem die ganzen Snowden Enthüllung aufgekommen sind und sich in Deutschland der NSA Untersuchungsausschuss,herausbildete und all diese ganzen Wehen und was haben wir gesehen? Überall wurde irgendwie überwacht, überall wurde,kooperiert mit der NSA, der äh BND war ganz fleißig dabei, dem NSA,Zugriff zu geben zur deutschen InfrastrukturJa, da waren dann Überwachungsstationen, wo dann die Amerikaner fleißig selektoren eingespeist haben, so nach dem Motto hier, das sind hier sind unsere Suchrequests, hier sind unsere SuchstrinksInklusion, unsere Exklusion und gibt uns doch mal ein bisschen was ab von dem, was ihr da irgendwie aus dem Äther kratzt oder aus euren Datenleitungen saugt, was da inäh ja beim beim Dezix in den Knoten hin und her fliegt. All das haben wir hier, eine Milliarde mal besprochen.Und stellt sich raus ähnliche Dinge passieren auch in Dänemark und da gab es schon vor einiger Zeit ein Geheimdienstskandal, der tatsächlich von den ganzen NSA Enthüllungenausgelöst wurde, weil es gab dann nämlich tatsächlich eine interneUntersuchung der Geheimdienstaktivitäten in Dänemark, weil man sich gedacht hat, na ja so, also wenn das da so in Deutschland so läuft, so.Gucken wir auch mal lieber, ob bei uns dann irgendwie auch noch was äh falsch läuft undgibt dann tatsächlich auch eine passende Aufsichtsbehörde. Ähm immerhin gibt's sowas, eine Überwachung der Nachrichtendienste, TET, wie ich versuche das jetzt mal nicht auf dänisch auszusprechen, weil ich habe keine Ahnung von dänischund ich freue mich gerade, so etwas wie eine Aufsichtsbehörde, über.Geheimdienste, den Level hat es ja in Deutschland noch nicht mal, ne. Wir haben eigentlich ja nur so diesen parlamentarischen äh.Das hätte ich fast wieder PKK gesagt, wie heißt das jetzt?
Linus Neumann 1:19:05
PKGR.
Tim Pritlove 1:19:06
Kommission hat sich ja umbenennt, genau, hat sich ja jetzt umbenannt, genau. Und ähm das war's dann eigentlich. Den darf ab und zu mal ein bisschen was erzählt werden, aber die dürfen's auch keinem weiter erzählen, aber dass wir das so wirklich so auf dem Level einer Behörde haben, das äh wäre mir jetzt neu.Also dazu geben. Was die Sache nicht unbedingt transparenter macht, weil das Ganze ist dann zwanzig fünfzehn schon angeleiert worden und tatsächlich gab es wohl auch Ergebnisse, die wurden aber dann nicht weitergereicht.So, weil na ja, also wenn das jetzt auch noch einer erfahren würde,Wäre ja nicht so gut, weil stellt sich dann raus und es wurde dann eben von neun Monaten über Whistleblower an die Presse gelegt.Dass sehr wohl äh eine ähnliche Praxis in Dänemark auch stattgefunden hat.Da betrifft das Ganze betrifft ähm quasi so das BND Äquivalent in äh Dänemark, der militärische Geheimdienst, abgekürztFE, auch hier verzichte ich jetzt mal auf dänische Aussprache, auch wenn sich diese Worte so interessant lesen,Heißt aber letzten Endes auch nicht sehr viel anderes. Und als es dann eben in die Presse ging, dann ist es irgendwie ordentlich, hat's ordentlich geklackert und äh unter anderem musste dann erstmal der Chef äh zu,und am Ende ist eigentlich auch die komplette gesamte Führung von diesem FE äh gegangen worden.Ja, insofern alles wunderbar.Also auch dort ähm sind halt Abholstationen von Dänemark mitgenutzt worden über solche Selektoren und ähm wenig überraschend wurde unter anderem auch Angela Merkel und Frank-Walter Steinmeierdamals äh Außenminister in Deutschland äh überwacht. Das war wohl auch schon bekannt.Habe ich jetzt diesen Berichten entnommen. Mir war's ehrlich gesagt noch nicht bekannt, dass es irgendwie nicht so richtig durchgedrungen und die eigentliche, wirkliche Neuigkeit ist wohl, dass auch per Steinbrück davonbetroffen war, der damals ja Finanzminister warAußerdem lagen wohl noch diverse andere Politiker in diesen Selektoren aus Schweden, Norwegen und äh Frankreich und jetzt regen sich natürlich alle auf jetzt, wo das irgendwie in der Presse ist,da. Per Steinbrück meinte dazu, er sei aber nicht sauer.
Linus Neumann 1:21:23
Nur enttäuscht.
Tim Pritlove 1:21:24
Hätte nur äh äh Spott Spott. Ja, er würde es grotesk finden, was dort abgelaufen ist.
Linus Neumann 1:21:33
Okay. Protest.
Tim Pritlove 1:21:35
Grotesk.Ja, mehr als Sport äh gibt's nicht. Weiß ich nicht ganz genau, wen er da jetzt verspotten äh möchte, also die Dänen oder so, das weiß ich nicht so ganz genau.Eigentlich heißt es ja immer, den Lügen nicht, aber da scheint wohl auch nicht so viel dran zu sein.
Linus Neumann 1:21:52
Ich habe nur Spott. Okay.
Tim Pritlove 1:21:59
Finde das Statement, ehrlich gesagt, ein bisschen grotesk.
Linus Neumann 1:22:01
Das ist wirklich getestet, siehst du? Ah, die haben mich ausspioniert. Das ist so gut teste. Das ist ja Spott, Alter. Ich habe doch gar nichts zu verbergen. Also.
Tim Pritlove 1:22:10
Ich erzähle eh nur so belangloses Zeug.
Linus Neumann 1:22:11
Vergeudet, hätte wenigstens einen Mittelfinger zeigen können.
Tim Pritlove 1:22:19
Ja, da ist Deutschland doch total äh super drin, ne? Hast du gesehen, Eurovision Song Contest? Da hat's Deutschland mal richtig einen gezeigt.Und den Mittelfinger so breit ausgeklappt. Hast du wahrscheinlich gar nicht mitbekommen, ne?Dich, dass er dich. Ich habe das äh tatsächlich äh kurz mit ansehen müssen und es war wirklich äh furchtbar. In der Hüfte wirklich so ein so ein so ein so ein Rolf auf der Bühne mit rum.Ernsthaft, also so eine Person in so einem in so einem Rollkostüm, so mit fünf Fingern,die ganze Zeit um diesen äh äh Sänger mit seinem lächerlichen Song irgendwie, dass ich angeblich gegen Hass im Netz richten sollte.Hüpfte die ganze Zeit irgendwie diese Figur rum und war eigentlich die ganze Zeit so mitm Fuckfinger nach oben und äh,bin mir nicht so sicher, was was sie damit bezwecken wollten und ob sie sozusagen so dem Hass im Netz den Fuck Finger entgegen zeigen wollten. Ich habe einfach nur gesehen, Deutschland hüpft irgendwie mit fünfmit mit Rolf und fünf irgendwie auf der Bühne rum und sagt einfach, fuckDa gab's dann auch drei Punkte für am Ende irgendwie. Von ein paar hundert, paar hundert.
Linus Neumann 1:23:31
Fußballpunkte.
Tim Pritlove 1:23:32
Nee, Vorletzter, nee, Vorletzter Platz und nur erkannt war so schlecht, dass es noch nicht mal für den letzten Platz gereicht hat. An der Stelle auch wieder total enttäuscht.
Linus Neumann 1:23:42
Deutschland und der ESC ist ja auch äh ja eine Geschichte voller äh Höhepunkte.
Tim Pritlove 1:23:47
Ja, Missverständnisse. Ja, aber der Rolf äh Rolf kommt wieder, ja, also Rolf Forever.
Linus Neumann 1:23:56
Na ja, okay, fünf.
Tim Pritlove 1:24:00
Fünf.
Linus Neumann 1:24:01
Dann haben wir noch.
Tim Pritlove 1:24:03
Amazon hat auch eine geile Idee. Ähm.Und äh stellt auch seine Nutzer jetzt fristgerecht eine Woche vorher, vor die vor die einfache Wahl da vielleicht nicht mitzuspielen,Und zwar hat ja Amazon zu diverses Gerät am Markt. Äh manches haben sie selber entwickelt, wie diese ganzen Echo Devices mit ihrem Alexa drauf,Das ist ja auch relativ erfolgreich. Und dann haben sie auch noch die ein oder andereAkquisition im IoT-Bereich gemacht, ähm meisten kennt man, glaube ich, diese Ring-Devices, die so Kameras, Türklingeln und so weiter sind, die auch schon ihren Share an Sicherheitslücken äh hatten.Aber nichtsdestotrotz weit verbreitet sind undja dazu führen, dass irgendwie überall alles rausliegt. Äh da ist ja niemand so richtig vor verschont auch jetzt hier gerade auch im ähHomekit, Apple, äh Universum gab's ja auch so einen relativ populären Kameraüberwacher, der irgendwie so seine Security-Kredenz ein bisschen durcheinander bekommen hat und haben die Leute einfach.Nicht die Bilder von ihrer eigenen Sicherheitskamera bekommen, sondern von irgendwelchen anderen. So, auch super. Einfach mal andere Gesichter sehen, so.
Linus Neumann 1:25:17
Warum nicht mal eine andere Perspektive, ja? Immer gleiche Ecke hängen.
Tim Pritlove 1:25:23
Haben wir alle gesagt bekommen, wenn wir das mal einfach auch mal einen anderen Blickwinkel einnehmen muss. Ja. Äh und wenn's dann mal so ist, schweren sich gleich wieder alle dadrüber. Ja.
Linus Neumann 1:25:33
Das sind die Scheuklappen, Tim. Das sind die Scheuklappen. Immer nur, weißt du, das sind die Nimbis, ne. Die denen geht's dann aufn Sack, wenn sie mal einen anderen äh Vorgarten schauen müssen, ja, das ist äh.
Tim Pritlove 1:25:47
Na ja, auf jeden Fall war's das zeigt, ist diese ganze IOT,Sache, diese kleinen, intelligenten, die weiß ist, ja, die ja nicht nur schon uns die ganze Zeit zuhören und versuchen, sich da einen Reim drauf zu machen,Manche nehmen sie das alles ohnehin zentral prozessieren, wie es halt bei Amazon üblich ist und äh andere so wie Apple das macht, die zumindest versuchen, irgendwie den Kram noch so in den eigenen vier Wänden zu verstehen, mit ein bisschen Hilfe aus dem Netzsind natürlich vor allem auch so aktive,Teilnehmer des eigenen Netzwerks und da man natürlich auf diese Software keinen Zugriff hat und die sich ja auch permanent aktualisieren können.Liegt es dann doch schon sehr in der Hand des Herstellers? Wie sehr einen das jetzt irgendwie gefährdet oder nicht. Also wenn's wenn's morgen bei Alexa eine eine generelle Sicherheitslücke äh gibt, die du vielleicht eine Woche lang nicht gefixt wird.Ja, dann sind halt einfach Millionen von Haushalten unmittelbar sofort davon betroffen.Und das sollte man immer im Kopf haben. Und äh jetzt hat Amazon äh etwas angekündigt mit dem schönen Namen Sidewalk.So der digitale Bürgersteig, den sie da äh aufbauen wollen, wobei sie da eigentlich auch sich erstmal selbst im Sinn haben. Die Idee ist, dass sie mit all ihren Internetconnected Devices, die bei den Kunden rumstehendas jeweilige Netzwerk an dem sie angeschlossen sind auch.Anderen Geräten aus ihrer Familie bereitstellen, selbst wenn die eben nicht,ins selbe Netzwerk gehören. Also sagen wir mal, du wohnst irgendwo und dann äh hat die Person über dirund dann sehen die sich natürlich über das WLAN und ähm die Vorstellung von Amazon ist, dass sie dann quasi so einen zweiten Kanal aufmachen und sagenliebes Nachbargerät falls dein Internet ausfällt, kein Problem, hier oben läuft's ja vielleicht noch, kannst du dann einfachüber mich laufen lassen. Wobei sich das jetzt eben nur auf so sagen wir mal Normaltrefficbezieht, da geht's jetzt nicht dadrum, gleich Videoströme durch die Gegend zu leiten, aber zumindest diese und sie versprechen sich halt äh einerseits eine gewisse Ausfallsicherheitsie damit sicherlich auch ähm generieren könnten und natürlich auch Hilfe beim Setupweil es ja immer so ein bisschen tricky ist, solche Geräte äh überhaupt erstmal aufsetzen zu können, bevor sie Netz haben und wofür sie dann aber meistens irgendwie Netz brauchen und dann gib hier ein und so weiter. Und ich glaube, ihre Vorstellung ist so ein bisschen, du hältst halt irgendwo so einen Alexa äh Würfel hin, der sieht so, ah ja, guck mal hier, beim Nachbarn gibt's ja mal kurz Netz.Lass mich mal kurz hier äh zum Zwecke des Setups ein paar Daten austauschen, dann dann geht es irgendwie einfacher.
Linus Neumann 1:28:41
Also es gibt ja schon immer wieder Ideen.Die Internetanschlüsse, die die Leute haben, in irgendeiner Weise, ja, zu scheren, so.
Tim Pritlove 1:28:57
Pfoten war die erste Idee.
Linus Neumann 1:28:58
Genau. Vorhin waren die ersten. Die haben gesagt, wir wir haben einen äh WiFi Access-Point, den haust du bei dir rein. Der macht ein Wifi für dich und einen offenes für Leute, die auch so ein Fon.Die die keinen haben, können Geld bezahlen.Und dann haben die im Zweifelsfall, na, also es war im Prinzip die Idee frei Funk auf eine ja im weitesten Sinne kommerzielle,zu setzen. Und die Idee war gar nicht so enorm unsympathisch, weil es halt dieses, ne, gibt's jetzt du teilst zu Hause, dann kriegst du woanders. Ähm ich habe in,Frankreich glaube ich, hat SFR das auch gemacht. Ich weiß gar nicht, ob die das immer noch machen. Die haben im Prinzip auch gesagt, pass auf, unser.Du wir haben, wir stellen dir einen Router hin.Dirk, du kannst das an- und ausmachen und je nachdem, ob du es an, ob du es an und aus machst, kannst du es auch woanders verwenden, ne? Denn haben einfach alle Router, die das angeschaltet haben und irgendwo rumstanden haben, eben auch ihr WLAN geteilt. Unddas kann natürlich potentiell totale ähm Vorteile haben. Ähm,für dich selber auch, ne? Weil du äh,vielleicht ja nicht so viel Bandbreite zu Hause teilst und diese Dinger immer noch deine private Bandbreite gegenüber der geteilten priorisieren und so und du dafür irgendwo anders Fehlern hast, die ich fand diese Grundidee immer gar nichtso verkehrt. Ähm.Man fragt sich aber natürlich, na ja, bei diesem Fondingern und so, spalt ja den anderen Kram denn jetzt auch wirklich durch irgendein anderes VPN, damit das nicht, wenn da irgendjemand Mist macht mit meiner IP im Internet steht und so.Ein anderer bei, ein anderes Beispiel ist dieses Feind-Main-Netzwerk, was Apple jetzt macht, das ist ja auch eigentlich ein Mesh Network, was Sie aufbauen, aber wenn irgend so ein Airtag nach Hause funkt, dann tut es das durch dein iPhone auf deine Kosten,ne? Und also.Ein verlorenes Attack, an dem du vorbeiläufst, das sich irgendwie mit deinem iPhone oder mittelst, deinem iPhone sagt übrigens, ich bin hier und dann sagt dein iPhone, Apple Bescheid. Das ist etwas, was dein iPhone tut.Auf deine, ja, paar Daten kosten. Ähm das eventuell nicht in deinem Interesse ist.
Tim Pritlove 1:31:37
Ja, das kann man natürlich argumentieren, wobeider Aufwand nur wirklich so dermaßen minimal ist, dass dass das, glaube ich, die Diskussion gar nicht so richtig äh äh wert ist, insbesondere, wenn man sich anschaut, wie sich Datentarife generell soäh verhalten, ne. Schon auch ist schon ein bisschen was anderes, aber das steckt natürlich hier auch mit drin. Weil dieses Sidewalk,potentiell natürlich auch versucht, für Amazon so eine,Deckung der Gegend zu sicherzustellen. Also angenommen Amazon wollte jetzt auch so etwas wie diese Airtex rausgeben. Muss ja so durchaus,in ihre DNA passen würde. Ja, solche, solche Tracker äh äh Dinger. Grade im Hinblick auf Paket äh Lieferung und so, also.Könnte könnte in jeder Hinsicht ganz interessant sein. Und da wollen die natürlich auch mit relativ geringen technischen Aufwand,diese Dinger finden, ne? Diese ATEX, die haben ja außer Bluetooth und diesen neuen,Frequenzen und NFC ist da ja nichtdrin, die WLAN, die haben ja keinen GPS-Empfänger oder sowas. Die müssen von anderen gesehen und berichtet werden, damit das irgendwie funktioniert. Und Amazon hat halt kein vergleichbares Netzwerk, weil sie eben keine Mobilfunkplattform aufgebaut,bekommen, ne? Haben's ja mal probiert, eigene Telefone zu machen, das ist komplett in die Hose gegangen und da haben sie, glaube ich, auch nicht mehr viel zu melden,nur Google und Apple haben überhaupt derzeit die Möglichkeit, solche Tracking-Netzwerke aufzubauen.
Linus Neumann 1:33:10
Deswegen wollen die auf ihr wollen die jetzt ihre Geräte nehmen.
Tim Pritlove 1:33:16
Das jetzt so der Hauptgrund ist oder nur so ein Nebeneffekt, je nachdem wie gut's dann läuft, weiß man nicht, aber ist auf jeden Fall erstmal besser äh das zu haben als nicht zu haben.Und äh ja. Wie sieht das jetzt eigentlich aus? Also sie haben es angekündigt, dass sie das einfach mal einschalten.Ahnt, wenn man das nicht möchte, dann gibt's irgendwie einen Opt-Out und das äh binnen einer Woche. Die Meldung ist jetzt von vom ersten Juni, alsoam achten Juni wäre dann sozusagen der Stichtag und dann werden alle äh Amazon Devices quasi in sogenanntes Sidewalk Bridges,umgebaut, ne? Gut, ich glaube Ihnen jetzt mal, dass dann der Zugriff schon ähm ich sage jetzt mal nicht verschlüsselt, aber zumindest so kanalisiert ist, dass dass man eben keinen Zugriff auf das Heimnetz bekommt und ähmAustauschen von so ein bisschen Metadaten ist sicherlich jetzt auch nicht,Datentarif äh relevant ist, eher eine grundsätzliche Frage, wie ähm man so was findet.
Linus Neumann 1:34:14
Ja, es ist.Also ich finde, es ist halt das das wie sie es machen ist natürlich wieder total daneben, ne? Wir wir schieben das rein und du musst,sagen, du willst es nicht, äh wenn und hm.Das ist schön. Und vor allem, wenn sie's, sie wollen's ja offenbar auch mit ihren Eco Devices machen, ne? Und von denen steht natürlich schon eine ganze Menge rum, weil das sind doch diese diese äh Smart Speaker oder nicht?
Tim Pritlove 1:34:41
Alexa Teile, genau.
Linus Neumann 1:34:43
Ja, also ich.Und vor allem, was ich daran halt so erstaunlich finde oder was da natürlich auffällig ist, sie machen's ja nur für zu ihrem eigenen ähm.Für ihr eigenes Interesse, ne? Unsere Geräte funktionieren gemashed mit unseren Geräten und wir nennen das.Sidewalk, ich, also ich würd's wahrscheinlich auch ausschalten, wenn ich 'n Amazon-Gerät hätte.
Tim Pritlove 1:35:13
Ja, aber die Situation bisher gar nicht erst gekommen.
Linus Neumann 1:35:17
In die Situation bin ich nicht gekommen. Wir müssen wichtig noch dazu sagen, das ist jetzt nur in den USA, ne? Also in.Deutschland ist das nicht der Fall. Also ihr müsst jetzt nicht diesen, ihr könnt euch nur darauf auf, ihr könnt euch darauf vorbereiten, dass dieses Thema früher oder später bei euch aufkommt.Und ähm ihr müsst aber jetzt nicht bei Amazon äh anrufen, euren äh irgendwo widersprechen oder irgendein Häkchen wegmachen.
Tim Pritlove 1:35:47
Es sei denn, euer Gerät ist irgendwie magisch als ich stehe in den USA geteckt, aber ja, keine Ahnung. Wovon das äh abhängt. Also wie sie das erkennen, dass ein Gerät in USA ist? Wahrscheinlich eine IP-Adresse und so.
Linus Neumann 1:35:59
Ja, das wahrscheinlich einfach daran, in welchem Amazon-Account der äh angebunden ist, oder?
Tim Pritlove 1:36:04
Oder oder das. Also es kann halt auch amerikanische Accounts sein, also was jetzt US Customers genau heißt, ist halt die Frage, ne, wird das äh geographisch äh ermittelt.Fällt man da schon rein, wenn man irgendwie ein VPN noch an seinem Netz hat, was in den USA rauskommt oder hängt es eben davon ab, wo dieser Account registriert ist? Keine Ahnung.
Linus Neumann 1:36:24
Aber es ist spannend und ich erinnere mich, dass wir da nach der letzten Apple Keynote auch mit Sascha Lobo ja ein bisschen drüber gequatscht hatten in auf Clubhaus. Ähm dass diese Unternehmen jetzt so ihre eigenen.Netzwerke so bauen, ne,Also Apple mit Feind, Mei, außen nichts heraus sagen, wir haben so und so viele Dinger da draußen, die sind jetzt unsere Sensoren fürn weltumspannendes äh Tracking, ein Netzwerk für Kleinstgeräte. Hm und,die.Google und Apple ja auch schon seit, das ist ja schon sehr lange her, dass äh interessiert ja heute schon gar keinen mehr, dass die ja die Lokalisierungsdienste so gut gemacht haben, indem sie inzwischen die Telefone, die ähmorten sich ja nur noch notfalls über GPS.Sondern orten sich in der Regel darüber, welche WLANs sie gerade hören, ne? Und dass sie diese ganzen Geräte, die sie ja draußen haben im im Feld,immer auch oder immer mehr auch als Sensoren.Für sich selber ausgebaut haben. Und jetzt sogar zu, ja, Meternetzwerken. Das ist schon.Oha, ich will nicht wissen, was die äh äh auf der Fünf- und Zehnjahres Roadmap stehen haben, ne. Das ist dann schon spannend.
Tim Pritlove 1:37:49
Also es wird eh noch also spannend ist das richtige Wort. Ich meine, stell dir mal vor, was man damit, also man,ich will's jetzt auch gar nicht mal so verteufeln, ja, es kann auch eine ganze Menge interessantes, nützliches Zeug dabei rausfallen.Also allein die Tatsache, dass jetzt wirklich Milliarden an Smartphones durch die Gegend getragen werden, die, wenn man sie zu einem Sensor-Netzwerk zusammenschaltet.Ja? Im Prinzip ja auch Erdbeben messen können.Also wenn du wenn du wirklich über die Daten aller Telefone rüber gehst und dann die äh Erschütterungssensoren auswertestmit Sicherheit kannst du solche Erdbebensituationen feststellen und vielleicht sogar auch schon,als Vorwarnungsding, ne? Dasselbe natürlich auch mit Mikrofonen oder äh,Feuchtigkeitshöhensensensoren, keine Ahnung, also habe ich jetzt nicht wirklich bis zu Ende gedacht, aber ist einfach klar, dass wenn man.All diese ganzen Sensoren äh sinnvoll auswertet und das ist ja äh zunehmende Maße möglich, dadurch dass die Hardwarediese ganzen Machine Learning, Hardwarebeschleunigung mit drin hat, das heißt, alles, worauf man mal trainiert hat, das lässt sich sehr äh batteriesparsam, einfach mal so parallel mit ähm abwickelnTelefon zählt heute,die Schritte, mit die man den Tag über macht, ja? Und Schritt ist jetzt nix, was irgendwie eindeutig von dem Körper signalisiert wird, sondern wie das so für so ein Telefon aussieht, hängt sehr davon ab, hältst das Ding in einer äh in der Taschehältst du das Ding in der Hand, hast du das Ding in der Tasche? Äh ja, wie bewegst du dich äh geradetrotzdem sind die Geräte offensichtlich in der Lage, verhältnismäßig zuverlässig einen Schritt oder eben auch einen Laufen oder auch ein Fahrradfahren zu erkennen und das ist eben darüber möglich. Und dasbietet noch eine ganze Menge Potenzial. Es ist auf jeden Fall etwas, was man,beobachten muss, inwiefern sich dann auch die Hersteller in Zukunft da Freiheiten herausnehmen, sich dieser Infrastrukturin Form von ausgehändigten Geräten daherkommt, äh für sich nutzbar zu machen.
Linus Neumann 1:40:07
Ich äh verlinke in dem Kontext nochmal einen Artikel, einen Buchkapitel, was ich zwanzig fünfzehn geschrieben habe mit dem Titel Sensoren der Cloud in einem Buch mit dem Titel Internet der Dinge.Und da äh habe ich gerade nochmal rausgesucht, müsst ihr nochmal lesen, wie wir gucken, wie gut der gealtert ist. Ich glaube, der es scheint mir noch ganz gut gealtert zu sein. Der endet mit äh frei nach Berthold Brecht. Was ist ein Einbruch in eine Bank gegen die Gründung einer Bankdaher die Frage, was ist ein Einbruch in ein Fitnessarmband gegen die Gründung einer Fitness-Cloud? Das äh.Glaube ich, da habe ich so ein bisschen schon äh in diese Richtung auch geblickt. Artikel findet ihr oder Kapitel findet ihr in den Shownotes.
Tim Pritlove 1:40:51
Fähigkeiten an Tag gelegt.
Linus Neumann 1:40:55
Habe ich versucht, habe ich versucht. Man muss sich ja, ne, so ein paar Dinger mal hinlegen und wenn man dann recht hatte, dann sagt man, habe ich damals schon gesagt und wenn nicht, sagst du äh.Scrollt das halt weiter, ne? Aber bisher äh glaube ich, war das mit diesem schon auch sehr äh noch sehr vorhersehbar, was da die kommerziellen Interessen der Unternehmen sind.Sind wir beim letzten Thema heute.Netzpolitik Org verklagt die Zitis. Dicitis, boah man ey jedes Mal die Zentralstelle für.Informationstechnik im Sicherheitsbereich ist ja die Hackerbehörde die Deutschland sich gegönnt hat.Die für Geheimdienste und Strafverfolgungsbehörden ähm Kräfte in der Entschlüsselung.Ähm und dem der IT-Sicherheit und der Schwächung von IT-Sicherheit bündeln soll. Und.Rechtliche Grundlage dieser Behörde ist äh insofern.Ungewöhnlich, weil es kein Gesetz gibt, was sagt, es gibt eine Zitis und das sind ihre Aufgaben. Also weder die Bundesregierung,noch der Bundestag haben beschlossen,dass es diese Behörde geben soll. Das ist bei den anderen Behörden in der Regel der Fall. Da steht, wir haben eine, was weiß ich, ein Bundeskriminalamt, das regelt das BKA-Gesetz und das BKA hat folgende Aufgaben, folgende nicht. Ähm.Die Zitis wurde aber einfach per Ministerrialerlass ins Leben gerufen. Und zur Gründung, kurz darauf gab's dann eben ein, gab es ein Rechtsgutachten zur Aufgabenerfüllung.Von dem Professor Doktor Heinrich Amadeus Wolf, der an der Universität Bayreuth einen Lehrstuhl innehat. Und die,Netz für Tick Org hätten halt ganz gerne dieses Rechtsgutachten, in dem erklärt wird, was die für Aufgaben haben, wie sie die erfüllen sollen. Und,Die Bundesregierung sagt einfach nur, dass Rechtsgutachten zur Aufgabenerfüllung der Zithes führt dazu aus, welche Rechtsnatür die Zites aufweist, welche konkreten Aufgaben der ministerielleErrichtungserlass für die Zitis vorsieht. Wer die Zithes wie beauftragen kann.Und wer nicht? Und wie sich die Fachaufsicht im Einzelnen darstellt, insbesondere in Ausprägung des Jahres Arbeitsprogramms. Also das steht da drin. Diese Informationen.Hätte äh Netzkritik auch gerne gehabt, um diese neue Behörde, für die es ja gar keine Rechtsgrundlage gibt, mal äh.Sich anzuschauen. Und dieses Gutachten, diesen Antrag, haben sie natürlich nach äh äh guter Manier über Frag den Staat äh angefragt. Und die Citis hat gesagt, das geben wir euch nicht. Denn.Ähm.Da steht ja auch was drin, weil über Geheimdienste und äh Geheimdienste fallen aber nicht unter das Informationsfreiheitsgesetz und deswegen fällt auch die Zites nicht unter das äh Informationsfreiheitsgesetz. Jetzt hat äh ähm,gegen diese Ablehnung, Widerspruch eingelegt.Weil die zieht es auf ihrer Webseite selber schreibt. Zitis ist weder eine polizeiliche noch eine nach indinstliche Stelle und hat folglich keine derartigen Befugnisse.Ist immer schön, wenn du auf der ersten Seite schon den Widerspruch findest zur zur Kernthese.Ähm und äh dann das Bundeskanzleramt arbeitet ja auch mit Geheimdiensten zusammen und fällt trotzdem unter das Informationsfreiheitsgesetz und,außernehmen nimmt, die zieht es keine gesetzlich definierten Sicherheitsaufgaben wahr, äh sondern sie unterstützen und berät ja nur. Insofern sagen äh Netzpolitik Orgin fragt den Staat, natürlich fahrt ihr und das das Informations,Freiheitsgesetz. Ähm ja, die Zitis hat diesen Widerspruch abgelehnt.Ähm mit der gleichen Argumentation. Äh wir arbeiten mit Geheimdiensten, dass Rechtsgutachten analysiert diese zusammen Arbeit, also darf das Rechtsgutachten nicht bekannt werden. Äh und,Außerdemhaben wir jetzt dieses Gutachten als Verschlusssache eingestuft. Das ist geil. Das Rechtsgutachten zu unserer Arbeitsgrundlage und unseren Aufgaben haben wir jetzt zur Verschlusssache gemacht. Ähm und deswegen.Haben jetzt äh die Anwälte von Netzpolitik ORG mit frag den Staat,Klage gegen die Zitis eingereicht, tschuldigung, die Anwältin, nicht die Anwälte. Anna äh Gilsbach von,DKA Rechtsanwälte unterstützt, werden äh dabei von Frag den Staat, die das Verfahren bezahlen. Und das geht dann eben vor das Verwaltungsgericht,München ist nicht die erste IFG-Klage, ganz im Gegenteil, das machen die ja regelmäßig und entsprechend hat ja den äh der juristische,der juristische Arm zur Durchsetzung des Informationsfreiheitsgesetzes seit Längerem auch schon einfach ein eigenes Budget bei äh frag den Staat.Ich find's echt äh bärenstark, was das, also was das für ein.Also das zeigt halt diese Arbeit auf, ne,Wir haben jetzt, wir erlassen hier mal eine neue Behörde, die äh als Bundesinnenministerium so, das soll jetzt mal hier stattfinden. Äh Thomas de Maizire war das übrigens noch, ne? Nicht, nicht Seehofer.Und äh was die macht und auf welcher rechtlichen Grundlage und so, da machen wir schon mal eine ein machen wir ein Gutachten, aber das Gutachten halten wir unter Verschluss. Sind wir denn?Wo sind wir denn hier?
Tim Pritlove 1:46:50
Ich finde die für diese Überzwischenüberschrift hier in dem Artikel von der Politik. Schrödinger ist Geheimdienst. Ja, also irgendwie so ein bisschen, ja wir sind es, aber wir sind es auch irgendwie nicht.
Linus Neumann 1:47:02
Wir sind keiner. Es sei denn, du willst was von uns wissen, dann sind wir einer.
Tim Pritlove 1:47:05
Genau.
Linus Neumann 1:47:07
Weiß nicht, ob wir einer sind, aber wenn du fragst, kommt's drauf an. Es ist äh ja und ich finde es nur.
Tim Pritlove 1:47:14
Aber erst, wenn du fragst, wird es klar und deswegen ist es gut, dass man da jetzt reinbohrt, finde ich eine super Aktion.
Linus Neumann 1:47:20
Ne, das ist jetzt irgendwie wieder mal ein Beispiel von der soliden, politischen Arbeit,Thema dranbleibt, dass man dann 'ne IFG-Anfrage stellt, ne?Viele andere, inklusive würde ich sagen, mir und dir, haben Sie sich längst daran gewöhnt, es gibt diese CT jetzt, mal gucken, wann wir das nächste Mal von denen hörenja? Aber irgendjemand muss ja auch dafür sorgen, dass man nochmal was von denen hört. Also Bohrt Andre da jetzt nach zusammen.Ahne, beziehungsweise, ne, bei Andre das Team von, bei Arne das Team von frag den Start. Ähm die hier mit den Organisationen eben seit Jahren so eine krasse Arbeit leisten.Und ähm bin ja nie müde ja, darauf zu achten, bei seinen Spenden, wie viel Ertrag die denn auch tatsächlich bringen.Und äh gerade bei Netzpolitik Org und fragt den Staat, sieht man ja eine ganze Menge, was die machen mit einer ganz wenigen geringen Anzahl,von Menschen und auch echt immer knappen Budgets. Da kann ich nur nochmal,wiederholen, die brauchen jederzeit jede finanzielle Unterstützung, die sie brauchen können und die setzen das halt auch um in effiziente,zielgerichtete wirksame journalistische und politische Arbeit vor den Gerichten.Auch in den Details und auch in den, in den großen Themen. Ja, auch diese Sache mit den äh Staatstürianern hier in Bundespolizeigesetz und.Verfassungsschutzgesetz Reform. Irgendjemand muss immer hingehen und diese ganzen Sachen recherchieren,Irgendjemand muss immer hingehen und euch das erzählen und irgendjemand muss die Grundlage für den Widerstand gegen diese Dinge schaffen und ähm ja, in diesen Gruppen, also insbesondere bei Netzpolitik Org und bei.Ähm fragt den Staat, also der Open Night Foundation, ist euer Geld da sehr gut aufgehoben.
Tim Pritlove 1:49:26
Sehr effizient für wenig Geld, viel Output.
Linus Neumann 1:49:29
Gibt's auch umgekehrt.
Tim Pritlove 1:49:33
Umgekehrt. Ich hoffe, dass wir da auch ganz gut abschneiden.
Linus Neumann 1:49:36
Wir wir ich würde sagen, wir haben auch für wenig Geld äh viel Output.
Tim Pritlove 1:49:43
Genau.
Linus Neumann 1:49:50
Super. Damit haben wir's.
Tim Pritlove 1:49:52
Ende der Sendung.
Linus Neumann 1:49:54
Ja, die Sonne scheint. Ich habe Hitzewellen, Scheißwetter, die Hitze.
Tim Pritlove 1:50:03
Gehen runter.Dann würde ich vorschlagen, machen wir einfach kurzen Prozess hier mit der Sendung. Das war's von uns für euch und ähm wir hören uns sicherlich bald wieder. Ich würde vorschlagen, die nächste Woche.Und wir sind auch so ein bisschen auf dem Weg äh in sicherlich irgendwelche, irgendwie gearteten Sommerpausen. Aber wir werden auf jeden Fall noch dafür sorgen, dass wir die vierhundert noch vollkriegen.
Linus Neumann 1:50:36
Ja, die vierhundert machen wir noch vor den Sommerpausen,und ähm dann ist übrigens auch ja gewissermaßen einigermaßen Sommerpause, ne, zumindest die politische Arbeit ist ja dann zum Erliegen gekommenäh Ende der Legislaturperiode, dann beginnt das sogenannte Sommerloch und der Wahlkampf.Das heißt, ich vermute, dass wir so ab Juli eine äh geringeres äh,Output haben werden, aber mal schauen, was uns da noch so in das Sommerloch gekippt wird an Jauche.
Tim Pritlove 1:51:12
Ja, irgendwas ist ja immer und das ein oder andere Spezial muss man dann eh nochmal nachziehen, was man schon seit Ewigkeiten äh drauf hat, aber äh da könnt ihr uns mal nicht ganz so am Schlafitchen züppeln äh was so den Wochentakt betrifft. Wir haben jetzt eh auch geradenoch ein bisschen vorgelegt, aber wie.Auch immer wir äh freuen uns aber auf jeden Fall, wenn ihr auch das nächste Mal wieder zuhört, wenn's heißt, hallo hier, wir sind's. Wir beiden.
Linus Neumann 1:51:38
So fängt unser Podcast ja immer an. Hallo, wir sind's.
Tim Pritlove 1:51:42
Die beiden Heinis aus der Netzpolitik. Leute, macht's gut, bis bald.
Linus Neumann 1:51:48
Bis dahin, ciao, ciao.

Shownotes

Prolog

Feedback

Colonial Pipeline

Luca ohne App und Schlüsselanhänger

Sormas/Luca

Debattenkultur

LucaFail++

Alles ist eins

Offener Brief gegen Staatstrojaner

NSA Denmark

Amazon Sidewalk

netzpolitik.org verklagt ZITiS

Bonus Track

LNP396 Hochsicherheit kommt vor dem Fall

Ein Logbuch:Spezial zur letzten dicken Sicherheitslücke in der Luca App

Ja, wir können es ja auch nicht mehr hören, aber um der Chronistenpflicht gerecht zu werden, müssen wir halt ein weiteres darstellen, warum die Luca App nicht nur aus prinzipiellen Gründen (hilft nicht bei der Bekämpfung der Pandemie) sondern auch wegen konkreter Sicherheitsmängel nicht die Karte ist, auf die wir setzen sollten. Wir sprechen heute mit Markus Mengs, der sich die "Integration" der Luca App mit den Gesundheitsämtern mal genauer angeschaut hat und ein paar schaurige Entdeckungen gemacht hat.

avatar
Linus Neumann
avatar
Tim Pritlove
avatar
Marcus Mengs

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove 0:00:00
Guten Morgen Linus.
Linus Neumann 0:00:00
Guten Morgen Tim.
Tim Pritlove 0:00:03
Sag mal, jetzt müssen wir schon wieder über die Luca-App reden. Du hast gesagt, wir reden nicht mehr über die Luca-App.
Linus Neumann 0:00:08
Wo war ich letzte Nacht? Wieso bin ich jetzt noch wach? Ist jetzt eh egal. Das war das letzte Mal.
Tim Pritlove 0:00:38
Lokbuchnetzpolitik Nummer dreihundertsechsundneunzig, wir schießen in hochgeschwindigkeit hier die Sendungsnummer nach oben und ihr fragt euch schon, ist dennBundespolitik jetzt ein Daily Podcast geworden. Ja, in dieser Woche ist es tatsächlich so, aber da hat sich jetzt irgendwie einiges aufgestaut und nachdem äh man den Stau abgearbeitet hat,dann schon wieder so Themen rein, die unbedingt auch noch behandelt äh werden mussten und was wollen wir denn machen? Das ist dann halt einfach so. Schlimmste, so ist es.
Linus Neumann 0:01:10
Ja, kann man ja nicht mit rechnen, dass äh die News von vor drei Wochen äh plötzlich siegend heiß auch bei Nexenia am ankommen.
Tim Pritlove 0:01:19
Genau, eine kleine äh Vorschau auf den äh Inhalt dieser Sendung und ähm ansonsten gehen wir nochmal ein bisschen durchs Feedback, bevor wir das aber tun, verraten wir euch auch noch, dass wirein Gast dabei haben in dieser Sendung und wir begrüßen Markus. Markus, hallo Markus.
Marcus Mengs 0:01:38
Hallo Tim, hallo Linus.
Tim Pritlove 0:01:40
Herzlich willkommen bei Logbuch Netzpolitik. Du hast deine äh Hände ganz tief drin im äh im Luka-Motor und hast sie schmutzig gemacht.
Marcus Mengs 0:01:51
Ja
Tim Pritlove 0:01:52
Nicht wahr?Und äh deswegen haben wir dich eingeladen, wir quatschen auch gleich und stellen äh dich dann auch nochmal im Detail vor, aber ich glaube, wir schaffen jetzt erstmal hier noch das Feedback ähm weg, denn.Die Sache mit der Doktor arbeiten, ne? Das.
Linus Neumann 0:02:10
Wir haben ja, wir haben ja provoziert, wir haben ja, wir haben ja Kommentare von Doktor Würdenträgerinnen, ähm,provoziert und auch erbeten und da fand ich zwei besonders schön, die wollte ich jetzt mal ganz kurz äh noch vorlesen.Und zwar haben wir Feedback von Eckhard.Ich bin Biologe, Doktorte in meinem Fach belegen, dass eine Person eigenständig und erfolgreich geforscht hat. Wir arbeiten dafür so etwa vier bis fünf Jahre hochmotiviert in Vollzeit. Also Eckart, das mit dem hochmotiviert weiß ich nicht. In Vollzeit auf jeden Fall.Die Forschungsergebnisse werden in der Regel in internationalen Fachzeitschriften publiziert und müssen erfolgreich vor allem anerkannten Expertengremium vertreten.Und für Wert befunden werden. Der,Der Promotionsausschuss meiner Fakultät birgt für die Qualität der Promotionen. Der Wert des von uns verliehenen Titels ist in diesem Sinn international anerkannt. Der Titel zertifiziert also eine bestimmte,Qualifikation. Dieses System dient der Qualitätssicherung und funktioniert sehr gut. Man kann das auch mit einem Meisterbrief vergleichen. Ja, super äh sehr gutes Beispiel. Hochproblematisch ist die jahrelange große Abhängigkeit von der Betreuerin.Altbacken, sinnlos und dumm ist die Idee, dass ein Doktortitel eine Person generell aufwertet. Als Wähler Mensch und Bürger sind wir alle gleich. Dem Titel gebührt kein besonderer Respekt und er hat meiner Meinung nach im.Alltagsleben nichts zu suchen. Deswegen sind Doktorte für Politiker eigentlich vollkommen sinnlos, wenn es um Wissenschaft geht.Sollen sich diese auf den wissenschaftlichen Dienst verlassen. Sie brauchen selbst keine Forschungsqualifikation.Dann hat noch darauf kommentiert auf also der Gestalt hatten wir mehrere Kommentare. Da fand ich noch einen sehr schön von Doktor Ing Düsentrieb.Der hat uns mitgeteilt. Hallo, ich kann Jan und Eckhard oben nur beipflichten. Gilt so auch für meinen Fachbereich im Ingenieurswesenauch für meinen Titel waren circa fünf Jahre Vollzeitarbeit notwendig. Drei davon waren mit sehr großem Leidensdruck verbunden. Auch ich führe meinte nur, wenn's passt.Hausverwaltung und andere nervige Leute sind super Beispiele. Die gehen dann die gehen einem dann eventuell etwas weniger penetrant auf den Keks,meint ihr, liebe Doktor Würdenträgerinnen? Aber zu oben erwähnten großen Abhängigkeit vom Betreuer sind ja fast ausschließlich Männer, möchte ich doch noch was loswerden. Die Aussage.Wer bis dahin nie betrogen hat, wird's auch bei der Doktorarbeit nicht tun und danach dann sicher auch nicht mehr damit aufhören, wurde von euch ja für,kategorischen Unfug gehalten. Ähm das sehe ich anders. Die Doktorarbeit bringt unfassbar viele Menschen an,und etliche über ihr Limit. Die meisten davon eher spät in ihrem Leben. Schule ging mit links, Studium war noch nicht hart genug und davor abzuschrecken.Also startet man ein Doktorrat. An meiner Uni melden sich Statistiken zufolge fünfundzwanzig Prozent aller Promovierenden mindestens einmal bei der psychologischen Beratungsstelle.In meinem damaligen persönlichen Umfeld würde ich auf mehr als zehn Prozent schätzen, welche längerfristig mehrere Monate in Behandlung waren. Dunkelziffer potenziell riesig, da man sowas ja gern verschweigt. Der Druck ist immens, wenn man vier Jahre hinter sich hat und es dann heißtdu brauchst noch ein Paper, sonst wirst du nicht fertig. Man hängt in den schönen flapzig beschriebenen prekären befristetenVerträgen und man hat hinterher am Arbeitsmarkt einen Antidoktor, wenn man's nicht schafftDie Arbeitgeberin sieht im Lebensdorf A, der hat's nicht gepackt, sondern kurz vorm Ziel hingeworfen. Den nehmen wir lieber nicht.Ich habe nie in meinem Leben ernsthaft betrogen, aber im letzten Jahr meines Doktor Rats mehrmals sehr ernsthaft darüber nachgedacht. Gedanken wie.Im Endeffekt schaut die Arbeit ja eh niemand so genau an.Dass man die subtilen Fehler findet. Es sei denn, ich kandidiere in zwanzig Jahren für ein hohes Amt und das komplette Internet dreht in einer koordinierten Aktion jeden Satz einzeln um.Reproduzieren wird das garantiert niemand. Meine Daten sind zwar neu für die Wissenschaft, aber interessieren eh keinen.Hier ein wenig Rauschen wegmachen, dort einen Datenpunkt leicht verschieben, dass er besser auf der erwarteten Trendlinie liegt oder die Fehlerbalken aus Versehen um Faktor fünf zu klein einzeichnen, tut ja keinem wirklich weh.Aber es verhindert dumme Fragen von meinem Chef und von den Reviewern und vereinfacht die Arbeit ungemein.Ich weiß zwar, dass diese Messungen Müll sind, weil ich das System falsch eingestellt habe, aber sie passen so gut zur Geschichte.Wenn ich diese Linie etwas extra poliere, dann sieht's noch besser aus. Also das waren die Gedanken, die äh Doktor In Düsentrieb da so schildert.Letztendlich habe ich nichts davon gemacht,mich auf dem Zahnfleisch und Antidepressiva durchs letzte Jahr geschleppt und mir geschworen, mich nie wieder in so eine Abhängigkeit zu begeben. Aber wenn ich's gemacht hätte, würde ich mir das heute als einen,Notfall in Ausnahmesituationen zurecht reden und ebenfalls nie wieder machen.Da ist eben der Punkt, wo ich ja gesagt habe, wenn man das wenn man damit einmal durchkommt, dann lernt man daraus, dass man's nochmal machen kann,Da widerspricht mir also Doktor In diesem Trieb, aber schön finde ich das Fazit.Longstory short, so schwarz weiß ist das alles nicht, vorausgesetzt wir reden von einer richtigen Dissertation. Da gibt es durchaus Fehlverhalten, welches ich nachvollziehen, aber nicht gutheißen kann,Wer allerdings eine Doktorarbeit in Anführungszeichen,Umfang eines Mickey Maus Hefts in den einschlägigen Disziplinen schreibt, wo das in wenigen Monaten auch ehrlich möglich wäre. Und da dann auch noch betrügt,dem ist wirklich nicht zu trauen. Interessanterweise sind das oft dann genau die, die dann ganz großen Wert darauf legen.Titel angesprochen zu werden.Den fand ich schön. Es gibt noch viele weitere Kommentare von Doktor Martens als Promoviker, promovierter Chemiker. Und äh ich hätte gar nicht damit gerechnet, dass so viele ähm.Ja, tatsächlich, promovierte Wissenschaftlerin im, ja, der These zustimmen, dass es eine besondere Leistung ist. Selbstverständlich die äh die die Disteltation. Aber eben, dass sie auch die Ansicht teilen, dass das Führen des jetzt,vielleicht äh zu viel des Guten ist und eben auch leider äh die Leute anzieht, die eben scharf auf den Titel sind und nicht,das Blut für die wissenschaftliche Forschung lecken. Ja, vielen Dank für die Kommentare.Immer viel mehr unter den unter der äh letzten Sendung und bisschen unfaire Situation, weil die haben ja erst kürzlich veröffentlicht und äh werden sicherlich noch viel mehr Kommentare kommenbis zu dem Zeitpunkt, wann wenn diese Sendung wiederum hier erscheint, deswegen äh kann ich euch nur empfehlen, da mal reinzuschauen in die Kommentare.
Tim Pritlove 0:09:47
Auf jeden Fall, ein ein Füllhorn.
Linus Neumann 0:09:52
Vom Umfang einer Doktorarbeit.
Tim Pritlove 0:09:53
Also manche Kommentare haben auch wirklich den Umfang einer einer Doktorarbeit.Könnt ihr euch eigentlich schon äh könnt ihr euch mit einem passenden Titel, äh vielleicht müsste man so aus Logbuch erst so ein LNB KM Titel oder so.
Linus Neumann 0:10:11
Aber das ah vielleicht sollten wir eine Sache noch kurz ergänzen. Da ist ja auch dieser, also in die Promotionsordnung oder die äh unterschiedlicher Fakultäten ähm,Also so eine Monografie, dass man jetzt eine,Doktorarbeit schreibt oder ein Buch, das ist tatsächlich in den ähm wissenschaftlichen oder empirischen Wissenschaften auch eher unüblich. Da wird halt dann tatsächlich gesagt, ähm.Was weiß ich, äh ein Themenbereich, drei Artikel in.High Impact Journals von mindestens Impact-Faktor soundso oder vier Artikel in äh Impact-Factor so und so.Das heißt, da ist die, da ist diese äh Promotion tatsächlich an äh eben Peer-Review wissenschaftliche Leistungen gebunden. Was ich im Übrigen ähm die äh die sehr viel sinnvollere Anforderungen finde.Dass man nicht da irgendwie so die habe ich. Döner hast du deine Doktorarbeit geschrieben? Am Ende musst du noch selber einen Verlag dafür finden, ja zurecht, weil die Scheiße ja auch keinerlesen will, muss nämlich am Ende den Druck selber bezahlen und da ist natürlich die Anforderung okay. Äh publiziere zu dem Thema in High Impac Journals ist natürlich ähmeine eine äh sinnvollere Anforderung, zumal,wie wir aus der Sendung mit Julia Reeder wissen, äh da hochkarätige Wissenschaftlerinnen, kostenlos das äh.Die Qualitätssicherung machen und dann deine Uni das zurückkaufen muss. Aber äh wir schweifen ab.
Tim Pritlove 0:11:42
Ja, also wenn man schon Doktortitel macht, dann sollte man sich zumindest irgendwie ein bisschen Mühe geben und äh Vroni fest sein.
Linus Neumann 0:11:52
Markus, wir wollten, wir wollten mit Markus sprechen, oder?
Tim Pritlove 0:11:54
Genau, wir wollten und werden das jetzt auch äh tun. Ähm.
Linus Neumann 0:11:59
Eigentlich kein Titel, Markus.
Tim Pritlove 0:12:00
Oder welchen hast du denn? Denk dir einen aus. Wir werden den einfach benutzen.
Marcus Mengs 0:12:05
Ich hätte ja, ich hätte ja Titel, aber Zertifikate und so, da wird man ja nicht damit.Das ist aber das ist nochmal eine anderes Thema.
Tim Pritlove 0:12:14
Genau. Sag uns doch jetzt erstmal, äh was du eigentlich so tust und ähm sozusagen warum du hier bist.
Marcus Mengs 0:12:24
Ich bin äh beruflich bin ich Infos. Das müsste ich lügen. Ich schätze mal so seit siebzehn Jahren in der gleichen Organisation, die ist groß.
Tim Pritlove 0:12:35
Das heißt, offiziell in der IT-Sicherheit äh äh betätigt. Ja, das ist das, was du meinst mit Infos.
Marcus Mengs 0:12:42
Ja, in äh in all ihren Facetten, genau. In all ihren Facetten. Vielleicht auch mal mit einem, naja, ich sage Info-Seck, weil es eben nicht nur IT-Sicherheit ist, sondern du hast ja auch Berührungspunkte, Datenschutz und ja.
Tim Pritlove 0:12:56
Okay, aber das ist ein Codewort für bist du so ein, so ein, so ein Keller-Nerd, der sich irgendwie mit allen Details äh der Maschinen auseinandergesetzt hat und das jetzt äh zu Geld macht.
Marcus Mengs 0:13:06
Ja, das ist eher die private Seite von mir, die muss ich eben immer ein bisschen trennen. Es freuen sich viele, dass ich auch ein großes, privates Interesse habe, dabei das wird dann auch bei dem Thema so, also bei Luca.Dass ich da eigentlich eher im privaten Umfeld.Drum rum getanzt bin und dann irgendwie tief rein. Wie hast du das vorhin gesagt? Ich habe nur gewartet bis braune Masse mit drin auftaucht, aber tief drin gewühlt, tief drin gewühlt war's glaube ich,habe ich am Ende aus privatem Interesse. Das paart sich natürlich mit den.Beruflichen Interesse, weil meine Hauptaufgabe ist äh Sensibilisierung durchzuführen, das heißt äh,Klientel der äh was so vor mir steht, vor Gefahren und Risiken zu warnen und dann hat da irgendwie ganz automatisch Luca mit reingespielt und da musste ich mich natürlich auch damit beschäftigen, weil ich nicht gerne irgendwas erzähle, ohne auch zu wissen, wodrüber ich rede.
Tim Pritlove 0:13:57
Hm. Wie lange beschäftigst dich jetzt schon damit?
Marcus Mengs 0:14:02
Das müsste ich jetzt meine Frau fragen, weil die wird wahrscheinlich ein sehr viel längeren Zeitraum nennen. Ich glaube, äh wenn.Ja, es ist ja mal die Frage, falls du eine Tastatur an, um dich mit was zu beschäftigen oder beschäftigst du dich mental damit?
Linus Neumann 0:14:20
Wie oft war's am äh Abends am Esstisch Thema?
Marcus Mengs 0:14:23
Das vermeide ich, aber wenn ich nicht mehr ansprechbar bin, dann merkt die das schonsich über was anderes sind ja. Also ich müsste ähm jetzt auch von der Chronologie oder Historie her ganz interessant ist. Ähm es war tatsächlich für mich ein Thema. Ich bin oft angefragt worden wegen Luca, aus verschiedenen Richtungen, weil ich äh.Glaube zu, dass gute letzte halbe Jahr mobile Applizes gemacht habe, also alles, was so Smartphone-Apps äh an.Was sie nicht machen sollen im Privacybereich. Da guckt man ja schwer dahinter abseits von dem, was man lesen kann.Da wurde ich auch immer mal wegen Luca gefragt. Das hat mich wenig interessiert das Thema. Äh ich habe auch verpasst, dass es relevant geworden ist, weil Geld dafür ausgegeben wurde, aber ich habe dann irgendwann bei Twitter, das ist das,So mein einziges soziales Medium gelesen, wie äh die,Theresa, das glaube ich. Die war beteiligt an einer Veröffentlichung. Äh,die ich für, ja, die für mich fachlich nachvollziehbar und fundiert war und die ist da so abgewatscht worden von einem Musiker, dass ich da doch mal ein bisschen tiefer in das Thema eingetaucht bin, weil mich dasKommunikationsverhalten so gestört hat,Und dann habe ich in meinem Urlaub, den ich da noch hatte, angefangen zu lesen, was gibt's denn da zu Luca? Und dann habe ich was gefunden, was Security-Konzept heißt, aber keins war,Bei mir viele Fragen aufgeworfen hat und dann habe ich schon gewartet, dass mein Urlaub zu Ende ist, dass ich eben eine Tastatur anfassen kann und kann's mir auch mal angucken.Hat sich viel bewahrheitet von den Unstimmigkeiten, die in diesem Konzepten schon aufgetaucht sind. So ungefähr war die Geschichte von mir zu Luca.Also länger als fünf Wochen bin ich da auf jeden Fall schon dran.
Tim Pritlove 0:16:06
Okay. So und was ähm können wir denn jetzt eigentlich neues äh berichten? Also ähm Luca ist ja ein komplexes System.
Linus Neumann 0:16:20
Bevor wir da jetzt direkt hinspringen zu den neuesten,Forschungen von Markus trotzdem nochmal so ein Kurzrekapitulieren, was es bisher schon so gab. Also es gab ja dieses Paper von Theresa Stadler und anderen, ja, Potential Harms.Auf die Luca-App, was eben einfach nun, also was wirklich sehr theoretisch war. Ähm es gab,die Veröffentlichung des CCC Luca-App CCC fordert die Bundesnotbremse. Es gab die Einlassung von Ulrich Kälber und es gab diesen offenen Brief von.Siebenundsiebzig Forscherinnen, dem der deutschen IT-Sicherheitsforschung und vierhundertsechsundsiebzig Leuten, die jetzt auch noch unterschrieben haben.Äh Zeitpunkt heute, das sind sicherlich schon wieder mehr geworden. Und da wurde immer wieder vor Risiken gewarnt und ich würde eigentlich sagen, bevor wir jetzt vor dem bevor wir zu dem.Großen neuen Dingen von Markus kommen. Ähm würde ich eigentlich auch noch gerne ein bisschen über diese YouTube-Video,Playlist sprechen, die du da angelegt hast. Das waren ursprünglich zehn Videos, ne?
Marcus Mengs 0:17:31
Ja tatsächlich äh muss, es sind mittlerweile ich habe ein paar gar nicht veröffentlicht, also ich müsste ich denke es sind zwölf, ähm mittlerweile.
Linus Neumann 0:17:40
Ja, es, ich, es sind jetzt im Moment zwölf, ne, wo du.
Marcus Mengs 0:17:44
Zwölf die sichtbar sind, ja.
Linus Neumann 0:17:45
Ich glaube aber, dass die irgendwie anfangen mit so eins von zehn, zwei von zehn, drei von zehn und so weiter, elf, zwölf.
Marcus Mengs 0:17:51
Das habe ich so gelassen. Seid ihr auch Scham und sagt was aus.
Linus Neumann 0:17:58
Und äh da hast du dich mit ähm ich sag mal ähm den.Den Risiken und den Schwachstellen des Systems auseinandergesetzt, die nicht.Keine Ahnung, Seite eins, Zeit online oder Spiegel DE oder äh heiße oder äh sonst was schaffen, weil sie ja, sogenannte,Schwachstellen in Anführungszeichen, theoretischer Natur sind. Undwas ich daran so spannend fand ist, das ist ja auch immer das, dass sie das, was ja oft äh von Seiten Nexenio, den Entwicklern der Luka-App ähm immer so gesagt wird, ja das ist ja hier so ein Glaubenskrieg, ne, das sind äh die die,die finden hier einfach nur religiös einen dezentralen Ansatz besser und ähm meine Antwort und ich denke auch insbesondere deine Antwort darauf war ja immer,Nein, wir wissen einfach nur, was welche Risiken man sich alle mit einem zentralen Ansatz einkauft,die man Antworten braucht, die man eben in einem dezentralen Ansatz in der Form einfach nicht hat. Und ähm vielleicht magst du ja so ein bisschen was zu deinen.Zu den Videos deiner der letzten Wochen so sagen, was du da so alles schon gezeigt hast.
Marcus Mengs 0:19:14
Ja, gerne. Ähm man muss vielleicht auch dazu sagen, äh eigentlich,geht das von groß nach klein, ne? Die Veröffentlichung von äh die wissenschaftliche Veröffentlichung, ne? Ich glaube, das ist ja eine Universität in Luzern gewesen, wo die Theresa Stadler,veröffentlichen, da war äh die ist ja äh.Nicht wirklich theoretisch gewesen, sondern eher abstrakt, ja, ohne die Technik anzufassen und in der ähm Forderung vom CCC war von mir auch schon mal, ich will das jetzt nicht Paper nennen, es war einfach eine äh,des Netzwerkverkehrs, aus der sich Schlüsse ziehen lassen, die ist ja auch mit veröffentlicht worden und eigentlich decken die ersten zehn YouTube Videos, die ich da angedacht hatte, das Gleiche ab, weil ähm.Wenn du so eine Analyse schreibst, du hast ja, du willst ja jemanden damit adressieren, ne? Das ist zum einen äh ich sage mal die Leute, die mit den äh Risikobewertungen befasst sind und natürlich den Hersteller, dass der da was anfassen kann und ich hatte irgendwann das Gefühl, okayDauer das war falsch adressiert weil da bewegt sich nichts also sollte man das vielleicht nochmal ein bisschen.Breiter streuen. Da ist dann Video geeigneter. Aber das sind natürlich harte, abstrakte, trockene Themen. Also es ist, ich würde nicht sagen, es ist theoretisch, weil die ersten zehn Videos davon handeln eigentlich was sehr konkretes ab.Ähm weil die auch auf der ähm Analyse vom Netzwerkverkehr der App basiert haben, eben das, was schon in dem Security-Konzept unstimmig aus,sah. Und das Interessanteste für die für die das äh zu trocken ist, ist eigentlich das zehnte Video, was das zusammenfasst, weil das kommt zu dem Ergebnis, dass du,da bist du bei dem zentralen Ansatz, aus der Position von dem Backend-System. Ähm,oder sagen wir mal von dem Betreiber verwalteten Anteilen des Gesamtsystems und das ist egal, ob du dann in der Rolle des Betreibers bist oder von einem Angreifer, der sich dem System bemächtigt hat, da kannst du,Rückschlüsse ziehen äh auf einzelne Geräte, komplette Bewegungsprofile für einzelne Geräte, die an dem,System partizipieren, erstellen, du weißt zu den Geräten am Ende die Telefonnummer und du weißt auch, ob das Gerät mit seiner kompletten Locationhistorie äh zur.Infizierten Person gehört oder zumindest zu einer Person, die mal vom Gesundheitsamt abgefragt wurde oder nicht. Und du weißt die Telefonnummer dazu, was ein schon sehr persönliches Datum ist, ohne überhaupt irgendwas von den Kryptosachen mal angefasst zu habenweil das einfach äh die Informationen sind, die an dem Backend auflaufen, wenn man das einfach nur lange genug beobachtet,Teilweise aus Metadaten, dann weiter wird immer Daten vorgeschoben. Hm und ähmwährend ich mir das angeguckt habe und habe die Videos produziert, es ist so Salamischeiben taktikmäßig, dann auch ein bisschen Quellkot aufgepoppt, der war mal unvollständig. Der App-Quell-Code war auch unvollständig, der zuerst released wurde,und ähm ja beim Schauen in dem Code, dann wenn man sowas manchmal macht, ein bisschenda ist ja kein notwendig, aber so Code-Reviews, dann machst du dir Notizen. Da ist dann Auffälligkeiten, da sind Auffälligkeiten und ich hatte ja schon viele Notizen und die sind nur immer mehr geworden,Und da habe ich mir die gravierendsten Sachen rausgegriffen, dann sind halt nochmal neue Videos,geworden, in Teilen. Das waren dann eben.Ich hätte gesagt, das sind Sicherheitslücken, das hätte ich jeden anderen gesagt. Wenn mir jemand sowas gemeldet hätte, hätte ich auch gesagt, das sind Sicherheitslücken. Man kann auch funktionale Fehler sagen.Also da ging's drum, dass du äh das System hat ja Schlüsselanhänger für die Leute, die kein Handy haben, beworbenes Feature. Es gab jaschon mal die Geschichte mit Luca Treck, wo man von Nutzern von Schlüsselanhängern von außen die kompletten Bewegungsprofile abfragen konnte, von innen, also aus Betreibersicht geht das sowiesoähm.
Linus Neumann 0:23:11
AlsoDu, du, du, du bist, glaube ich, grade ein bisschen zu schnell für die durchschnittliche Zuhörerin. Äh, Luca-Track war das, ähmAlso, was war der Grundfehler bei Luca Track? Du hast also das eine hast du schon gesagt, wenn du wer diese Schlüsselanhänger benutzt,ohnehin für die für die für die Betreibertransparent, ne? Also da weiß man einfach aha, das war die Person, die wir jetzt an Location eins, die war jetzt an Location zwei zu dem Zeitpunkt. Das liegt einfach daran, dass es,Onlinesystem ist und die sich in die Datenbank schreiben. Die Person war jetzt hier, die Person war jetzt hier die Person, war jetzt hier. Jetzt mussten sie diese Daten aber eigentlich würde, würden wir jetzt erwarten, wenn sie die schon haben, wenigstens vor,fremden Zugriffen schützen, also wenigstens sollte nur das Gesundheitsamt oder die betroffene Person diese Daten einsehen können. Haben sie nicht gemacht?Sondern man konnte, wenn man den QR-Code von einer Person kannte, auch auf deren Bewegungsprofil zugreifen. Aber das ist so richtig zusammengefasst.
Marcus Mengs 0:24:15
Ja, wobei du da ein paar, ich denk mal, die sind auch für die breite Zuhörerschaft interessante Aspekte, die du da,versteckst, weil ähm.Wenn man von Verschlüsselungen redet oder wenn Luca von Verschlüsselung redet, dann verschlüsseln die nicht äh, dass sich jemand in irgendeine äh Location eingecheckt hat. Das ist da scheinbar kein sensitives Datum, also allein mit einem Snapshot, also einen kurzen Blick auf dasBackend siehst du, in welche Location wie viele Leute eingecheckt sind. Du siehst dieDaten der Locations, weil das sind alles keine verschlüsselten Komponenten. Du siehst nicht, wie der Nutzer heißt, der da eingecheckt ist. Das ist quasi der Anteil, der verschlüsselt istauch zentral auf dem Silber vorgehalten wird und was Luca Trekke jetzt eben gemacht hat, istähm äh diese Daten abzufragen, denn es gibt eine Abi-Schnittstelle.Dafür, wo ähm man als berechtigter Besitzer von so einem Schlüsselanhänger natürlich abfragen kann, äh wann war ich wo eingecheckt.Weil diese ganzen Datenpunkte gespeichert sind und wenn man sich das als Datenbank vorstellen würde, die ID,also von einem einzelnen Eintrag irgendein Nutzer XY mal in irgendeiner LocationXY eingecheckt, äh jeder dieser Einträge hat eine ID in der Datenbank, die nennt sich ID.Wenn du so einen Schlüsselanhänger hast oder die Seriennummer, dann kannst du diese TraceIDs, die da verwendet werden, errechnen und man konnte das von der AP alles von außen abfragen.Als Feature, weil die Nutzer ja ihre Locationhistorie abfragen können sollen. Kann halt jeder machendieser IDs generieren kann und weiß, wie er abfragen muss. Äh das heißt nicht, dass das jetzt nicht mehr,Daten nicht mehr vorhanden sind und dass das jeder äh jeder, der auf das Becken Zugriff bekommt, äh der kann die gleichen Daten immer noch abfragen, also wenn,der Betreiber äh Schlüsselanhängern kennt, kann dir auch heute diese Daten noch genauso abfragen, weil die Pläne in der Datenbank liegen.Und das ist auch ein äh,ja eine Problemstellung, die zu Tage getreten ist. Es gab ja ein äh, dass das Thema ist ja auch mal in dem Ader, also im Ausschuss Digitale Agenda behandelt worden.Da ist die Frage gestellt worden, mehr diese äh Schlüsselanhänger herstellt, weil das sind alles Leute, die die Seriennummern kennen und damit auch Zugriff oder zumindestwüssten, wie fragt man diese Bewegungsprofile ab? Diese Frage ist gar nicht beantwortet worden. Es kam jetzt hinterher raus, dass Nexenio diese Schlüsselanhänger selber generiertdie am Ende druckt, ist egal, also die Frage ist ja, wer hat die Seriennummern dafür, denn da schlägt das Schlüsselmaterial drin. Was gemacht wurde nach Luca Trecker ist einfach äh zu sagen, okay, wenn jetzt von außen die AP abgefragt wird und so ein Check-In gehört zu einemSchlüsselanhänger, dann senden wir das nicht mehr. Wenn der zu einem App-Nutzer gehört, senden wir das trotzdem noch, aber die Daten sind trotzdem unverschlüsselt da.
Linus Neumann 0:27:07
Und das ist, das zeigt auch so ein bisschen, ne? Also.Ich fand das ja schon auch ein bisschen scharf, wie jetzt in den letzten Monaten mit den vielen Schwachstellen bei Luca. Ähm die,immer als so einen Glaubenskrieg dargestellt wird, ne. Jadie sind ja nur irgendwie, ne, die sind ja irgendwie fundamentalistische, die Zentralisten und da finden wir nicht in Ordnung so, da muss man ja auch mal hier muss man auch ein bisschen zentral denken und so, ne? Und.
Marcus Mengs 0:27:37
Ja bisher witzig.
Linus Neumann 0:27:38
Äh das sind natürlich genau die Probleme, die man sich einfängt, wenn alles aus einer Hand kommt, ne.
Marcus Mengs 0:27:48
Ja, ich glaube, was du sagst, sind auch fast schon äh Zitate, ne, weil wenn man äh jetzt mal einen Spiegel so von äh Aussagen aus der Lukamacher-Riege nimmt, da wirst du genau solche Schlagworte finden, wie fundamental Kritikdas sind Verfechter vom zentralen System, die entwickeln selber zentral. Die spielen natürlich mit so was ist eher, ich glaube eher PR getrieben, als dass das,fachlich, inhaltlich wertvoll ist, oft was von da kommt, aber ja. Nee, das stimmt, ja.
Linus Neumann 0:28:16
Würdest du sagen, also wenn man jetzt, wenn man jetzt Luca-Track mal so anschauen, ne? Würdest du sagen, das Problem wäregeringer wenn Luca ein dezentrales System wäre und die Leute sich die Schlüsselanhänger beispielsweise hätten selber würfeln können.Oder es gäbe mehrere Leute, bei denen man die Schlüsselanhänger kaufen kann, was weiß ich.
Marcus Mengs 0:28:45
Ich halte es für äh schwierig so ein Feature wie äh.Softwarelose Partizipation, was ja die Schlüsselanhänger, die lassen dich an dem System ohne äh Software, ohneKomponenten teilnehmen, das dezentral zu implementieren, aber ja, das geht und dann wird er das das Problem nicht geben, nämlich dann, wenn ähm.Ich sage, ich äh lagere die Daten äh direkt beim Gesundheitsamt. Das wäre natürlich ein immenser Aufwand äh und den das ist ja auch ein Verkaufsargument von Luca, das abzunehmen, auch wenn sie das.Nicht an jeder Stelle sicherstellen, weil dezentral für Schlüsselanhänger würde heißen ja du hast nur eine Seriennummer, die ist im Pseudonym und das Gesundheitsamt hat die Daten schon, sonst kann man das nicht dezentral dezentral abbilden, ne, also.Wenn das Gesundheitsamt dich anruft, um von dir die Seriennummer von dem Schlüsselnummer, äh von dem Schlüsselanhänger zu erfragen, dann können die eigentlich auch gleich deine Kontaktdaten erfragen, ne? Und äh.Würde die Probleme nicht geben, äh wenn das kein zentrales System wäre, ja.Das muss man so sagen. Äh die Frage ist auch, ob man dann so einen Kunstgriff macht und so einen Schlüsselanhängerkonstrukt schafft oder dann sagtokay. Äh ich habe halt harte Voraussetzungen, um an so ein System zu partizipieren und das ist halt eine App. Äh und wenn ich keine App habe, muss ich die Papieralternative wählen, ne? Also man hat da schon einen Trade oft zwischen.Datensicherheit und ähm Informationssicherheit und Usability, wie das überall ist.
Linus Neumann 0:30:29
Ja. Jetzt ist also genau diese diese äh Schlüsselanhängernummer scheint für mich auch so ein.So ein Ding zu sein, das war immer Thema, ne? Also ich kann ich man sieht so ein bisschen, wie die gesehen haben. Jo, pass auf.Welche über welche Probleme klagt die Welt? Die lösen wir jetzt einfach alle auf einmal. Die klagen über äh,dass die Adressen nicht verschlüsselt sind, kein Problem, aber Verschlüsselung, ne. Die klagen darüber, dass irgendwie alte Handys nicht im Bild machen. Alles klar, machen wir mit einem mit einem QR-Code, wo man einen QR-Code hinein, Schlüsselanhänger drauf, Schlüssel hat man immer dabei, ne? Und ähm.Wie würdest du jetzt so grundsätzlich also ich kenne das aus der,aus der IT Security, in der ich ja auch tätig bin, dass man sich halt ein Fredmodel macht und eben gesagt, okay, was möchten wir erreichen, was möchten wir bauen?Was sind potentielle Bedrohungsszenarien und dann begegnet man denen? Was ist jetzt so dein Eindruck, nachdem du das Sicherheitskonzept gelesen hast und die Umsetzung gesehen hast, wo hapert's eigentlich?Liegt es daran, dass die kein ordentliches äh Fredmodel haben oder liegt es daran, dass sie ihrem Fred Model nicht,gewissenhaft begegnen, wie wir also als jemand, der sich das wirklich so äh in dieser Tiefe angeschaut hat, was glaubst du, ist da eigentlich schief gegangen?
Marcus Mengs 0:31:51
Also wenn man das mal strukturmäßig ohne die ganzen feinen Facetten durchmacht, muss ja ganz, ganz, ganz am Anfang musst du ja mal eine Zielvorstellung setzen, wenn du irgendein Produkt schaffen willst, das soll irgendein Ziel verfolgen, ne. Du hast ja irgendeine,Anforderungen. Ich denke, die war schon mal bei Luca nicht ganz klar äh definiert, sondern man hat versucht, äh ein Problem zu lösen, was noch nicht scharf umrissen ist. Und hat da erstmal eine Lösung drumrum gestrickt. Ähmwurde das schon mal vom normalen Make-up weicht. Woanders hast du ich sage mal eine eine funktionale Lücke, die gedeckt werden soll. Das kann man mit einem Software,machen und dann fängst du an, das zu designen, erstmal in der Architektur, dass da ist nun mal Pen und Paper, Theorie, aber da wird von Anfang an Security, von Anfang an äh Informationssicherheit und Datenschutz betrachtet, bei Design.Und dann kommst du irgendwann zu einer Architektur und dann kommst du irgendwann zu einer Realisierung und wenn man äh äh wo diese,Security, Datenschutz und so weiter natürlich immer weiter mit berücksichtigt werden. Und man dann auch sagen kann, okay, ich kann bestimmte Feinziele nicht mehr erreichen oder ich muss dafür äh Risiken in Kauf nehmen oder ich gebe Security auf. Und ich,bei Luca. Äh so ließ sich das auch an vielen Stellen, egal ob denen das Konzept,in der Security, es heißt ja nicht mehr Security-Konzept, Gott sei Dank, Sicherheitskonzept sieht deutlich anders aus,das siehst du so richtig oder es kommt beim Lesen so vor, auch beim Code als wurden immer nachträglich Sachen angepflanzt und äh geflickt schustert, was erstmal gar nicht so gedacht war. Ich meine, muss jetzt vorsichtig sein in dem äh äh,Security-Konzept oder in dem, was da veröffentlicht wurde, als Security-Konzept stand am äh am Anfang standen ja noch die äh,wissenschaftlichen Mitarbeiter drin, die sind, glaube ich, mal in einem Update schon mal rausgenommen worden. Ich denke, das ist auch ein Zeichen dafür, weil nicht alle Aspekte ähm.So anfangs geplant waren, dass nur jeder sagt, ja ich trage das so mit,Die Schlüsselanhänger sind, glaube ich, so ein richtig Überhangding, wo man gesagt hat, okay, das ist ein Feature, das wollen wir irgendwie haben und versuchen da äh da wollen wir irgendwie haben und versuchen, das jetzt inArchitektur zu pressen, die schon da ist und da ist halt versucht worden, alles was logisch in der App existiert, auf Schlüsselanhänger abzubilden, das geht halt nicht.Na weil es sind, das sind nur feinere Funktionalitäten dahinter, du hast Scanner, du hast User, die haben alle eigene äh Schlüssel, eigene IDs und auf den Schlüsselanhänger wird das alles zusammengepresst und niemanden in die Hand gedrückt,von irgendjemandem. Da passt halt das ganze Trustmodell nicht mehr, ne, was da dahinter steht.
Linus Neumann 0:34:23
Ja, weil Markus, du musst ja verstehen, die CDU äh die leben ja hauptsächlich von Letztwählern, ne und die, die haben ja keine.
Marcus Mengs 0:34:32
Brauchen die Schlösser.Ja, ich sage, ich sage mal, den Angreifer freut das nur, weil man muss auch sagen, es ist eine lange äh ich war ja froh, dass man über diesen.Was falsch gemacht, strang wenigstens ein paar Informationen bekommen hat, wie viele Anhänger so im Umlauf sind. Es sind, glaube ich, ich müsste jetzt Lügen zuletzt dreißigtausend, vierzigtausend, ich weiß es nicht genau, gewesen, die da erstellt wurden.Ich glaube, zur Zeit von Luca Dreck waren's noch zwanzigtausend, also da wird auch kräftig nachproduziert.Und dann sagt man ja, ah, das ist so ein geringer Anteil, ne, das Risiko ist nicht hoch, aber alleine bei den Lücken gut, das passt jetzt zumindest bei den Sachen, die ich mir angeguckt habe, wenn ich ein äh die Nutzertaten von einem Schlüsselanhänger ändern kann, maleine Seelennummer öffentlich geworden ist und kann diesen einen Schlüsselanhänger in beliebig viele Locations einchecken.Ähm und manipuliere die Daten davon, so dass sie vielleicht was auslösen oder auch nur das Gesundheitsamt,zusätzliche Arbeit kosten, äh dann je mehr ich den verwenden kann, um inso mehr Infektionsketten bringe ich den ein,Dafür reicht mir eine so eine Seriennummer an, dafür für solche Szenarien ist das unerheblich, ob das nur einen ganz kleinen Systemanteil ausmacht, ob ich da hundert Seriennummern habe oder eine oder vierzigtausend, das spielt dann keine Rolle mehr, weil ich schon mit einer beliebig viel.In dem System, ja, ich sage mal, äh Workload erzeugen kann. Und auch für das Gesundheitsamt Workload erzeugen kann. Das ist.Ist schön für halt die Leute, die die brauchen das nicht. Ich glaube die Leute, für die, die vorgesehen sind, brauchen das nicht.
Tim Pritlove 0:36:08
Äh ich habe auch so den Eindruck, meine klang ja schon an, ne, so dieses,Was war denn eigentlich das Ziel und was hat man sich denn eigentlich für ein Modell gemacht? Und das ist ja oft auch damit äh verbunden, so mit der Frage, okay, was will man eigentlich letzten Endes bewirken, was was ist sozusagen.Der eigentliche Zweck dieser App. Und ich werde immer so diesen Verdacht nicht los.Dass es eigentliche der eigentliche Zweck dieser App ist halt so minimal vor Stoß zu machen, der dazu führt, dass irgendwie Events.Und Gastronomie und sozusagen das kulturelle Leben wieder stattfinden kann. Was ich nicht sagen will, dass das jetzt ein illegitimes Ziel ist,ja? Nur ähm es ist natürlich schon so ein bisschen es ich habe jetzt nicht jedem Interview mit Smudo gefolgt.Das das könnte ich gar nicht ertragen, aber äh es war ja so eine so ein bisschen so dieses heilsversprechen ist hier, da gibt's was zum Scannen.Und das ist dann so ein bisschen so diese Absolution, die man dann erteilt mit,Ja und wenn das dann irgendwie gescannt ist, dann dann ist ja für alles gesorgt. Dann haben wir irgendwelche Vorgaben erfüllt, die auf dem Papier sind, aber eigentlich auch keinen Sinn machen. Und daraufhin hat man das Ding halt,optimiert. Also man hat halt äh eigentlich diese Kontaktlisten soweit digitalisiert.Und einfach nur nachgebildet, was ja sagen wir mal so ein klassischer Verlauf ist von,Development und äh oft auch legitim ist, ja, dass man einfach etwas nimmt, was so in der realen Welt stattfindet, aber dann eben digitalisiert, nur dass die Implikation natürlich jetzt in dieser Situation ähm vielfältiger sindweil's mit Gesundheitsdaten zu tun hat. Weil's ein aufgeladenes Thema ist. Weilhoher Zeitdruck existiert, weil wenn etwas nicht funktioniert, ist auf einmal eine große Aufmerksamkeit erzeugen kann und sich sehr viele Leute natürlich darüber zurecht auch aufregen und das ist so ein bisschen der Punkt, wo ich so den Eindruck habe,dass es ihnen auch so ein wenig entglitten ist. Dass sie äh am Anfang dieses Development gedacht haben, na ja Kontaktlisten, was kann da schon so schwer seindem Ziel entwickelt haben und dann irgendwann durch die auch selbst herbeigerufene RelevanzDieses aufblähen in der Öffentlichkeit so, ja was wollt ihr denn hier? Wenn wir unsere Zauber-App äh in die Welt streuen, dann dann können wir sofort wieder äh äh uns stundenlang äh kiffen, ins Hinterzimmer setzen.Das war ja so ein bisschen so dieses Versprechen, was im Raum war. Hä? Nur mit einem QR-Code und dann kamen eben diese ganzen Realword-Anforderungendie halt dann einfach in dem Moment greifen, wo es heißt, okay, jetzt bauen wir aber nicht nur eine kurze Digitalisierung von so einem Sicherheitssystem und wir machen das mal mit den Zetteln einfacher, sondern wir bauen jetzt quasi eine,Lösung, um wirklich so eine Pandemie zu entflechten. Und daran sind sie dann, glaube ich, als als System ein wenig gescheitert.
Marcus Mengs 0:39:16
Ja, man muss auch mal ähm ich glaube, das erfasst das ganz gut, aber es gibt eben auch so,Facetten äh ich glaube, das was du gerade beschrieben hast, Tim, das ist ähm das.Endergebnis, wo man sich jetzt hin entwickelt hat, was man eigentlich verkaufen will. Aber das Produkt war schon, das war schon lange im Einsatz, da ist noch ähdadrüber nachgedacht wurden, ob man das vielleicht mal für Ticketing verwendet. Es ist und so ist es ja jetzt auch gekommen ähm.Da impfnach eingepflegt wurden, ne? Also es ist die Zielsetzung und das Feature-Set, das ist gar nicht klar umrissen. Während noch an allen Ecken und Enden Probleme sind, weil diese, ich sage mal, die Basic Features, das, was du gerade gesagt hast, dass du Kontakt.Listen irgendwie.Erfassung im Gesundheitsamt bereitstellt, um im Endeffekt die Forderung vom Infektionsschutzgesetz oder auch von den Corona-Schutzverordnungen, so wie sie jetzt noch aussehen, abzu,abzudecken nicht mal die Funktionalität ist ja richtig gewährleistet, das ist aber das Core-Feature, was verkauft wird, das heißt aber nicht, dass da also für mich zumindest und ich,mich tatsächlich erst ein paar Wochen damit, dass das von Anfang an so aussah, als wäre das das ganz klare Ziel der App. Er war eigentlich eher.Des Systems, aber eigentlich viel. Also für mich ist das heute noch unscharf, ne? Wo will man hin damit? Was soll das künftig können?
Linus Neumann 0:40:39
Also was sie ja sehr gut hinbekommen haben, ist und das ist ja wirklich auch bärenstark, ne. Wenn du irgendwo dran schreibst, verschlüsselt, dann denken alle so, boah Hammer. Hammer! Ne? Also.
Marcus Mengs 0:40:52
Und der doppelt verschlüsselt.
Linus Neumann 0:40:54
Genau hier ist doppelt verschlüsselt so. Junge, Junge, Junge, so. Das ist äh unglaublich, was wir hier haben, ne.
Marcus Mengs 0:41:02
Frage, seit was und womit aber.
Linus Neumann 0:41:06
Genau, was ist verschlüsselt? Welche Daten fallen trotzdem an, ne? Wir also, was wir auch gerade sehr schön geschildert hast, was du einfach nur aus Metadaten dir rekonstruieren kannst, ist halt.Der größere Teil dessen, was relevant ist, es gibt diesen, ich glaub Netzpolitik Orkate inzwischen für sich auch so 'n bisschen reklamiert, wer hat uns verraten Meterdaten, ne? Wenn die Metadaten dich halt einmal deinen Schlüssel.Mit der Telefonnummer linken und deine IP-Adresse, mit den Schlüsseln, dann ist halt am Ende nix mehr übrig,in den verschlüsselten Werten, was da noch ähm rauszupulen wäre. Gleichzeitig ähm ist es natürlich als Werbedingende in einer Welt, wo überall die Daten rausgetragen werden, halt hinzugehen und zu sagen, so Leute,Bei uns ist es so verschlüsselt. Verschlüsselt doppelt.Doppel haste nicht gesehen, ne? Und äh dann alle sagen so, boah, endlich hat der Smudo das verschlüsselt. Endlich,und und dann ist auch irgendwie Feierabend, dann ähm.
Tim Pritlove 0:42:12
Smudo hat die Pandemie verschlüsselt.
Linus Neumann 0:42:15
Ne? Unabhängig davon, dass äh und das wäre der zweite Punkt, sich noch kurz anmerken würde, dass natürlich ohnehin die.Also contact tracing ist ein wichtiger Beitrag zur.Einhebung des ähm Infektionsgeschehen. Da sind wir uns sogar einig, das wissen wir. Es ist nun nicht so, als wäre contact tracing allein in der Lage, ähm.Dass äh dieses Problem der Pandemie für uns zu lösen, auch wenn äh das immer wieder äh dahergeredet wird. Und was ich glaube, hm um das so ein bisschen zusammenzufahren, was er gerade gesagt hat.Die haben, glaube ich, nicht unbedingt, als sie angefangen haben mit dem Ding, gedacht so.Boah Alter, das verkaufen wir an die Länder?Und dann dann kassieren wir da in Wartungsverträgen Millionen. Also, dass sie dachten, das ist eine Millionen Idee ist, ist schon klar, sonst hättest du nicht irgendwie diese Fantastic Capital äh Investoren,dazubekommen, na? Aber dass sie dachten, das ist eine MultimillionenIdee und wir verkaufen's ausrechnen an den Staat. Ich glaube, das war den Anfangs nicht klar. Die haben vielleicht gedacht, alles klar, vielleicht verkaufen wir das eine oder an das eine oder andere Land.Vielleicht verkaufen wir es einfach um massenhaft an die Gastronomie, vielleicht verkaufen wir's an äh Ticketanbieterin.Viertausend Leute, ne, oder fünftausend sogar. Und ähm.Aber dass die dachten, dass sie damit am Ende wirklich den Fiskus äh an die Nadel hängen und und um wirklich.Was sind da zweiundzwanzig, fünfundzwanzig Millionen Euro erleichtern? Äh ich glaube, das war den in dem Moment, wo es passiert ist, haben die sich halt denen wahrscheinlich ein Ei aus der Hose gehüpft und dann äh aber wirklich auch das äh.Das das Herz äh runtergerutscht, weil sie gemerkt haben, fuck, Alter, wenn die jetzt sehen wollen, dann dann stehen wir ein bisschen blöd da, oder?
Marcus Mengs 0:44:20
Ja, den Fehler kannst du aber in einem Start-up nicht alleine anrechnen, ne? Da musst du auch schon den Käufern. Das sind ja nicht die, die es am Ende haben wollen, die Käufer und die sagen mal,Verwalter, das sind ja alles öffentliche Mittel und die, die den Bedarf haben, der gedeckt werden muss, das sind ja leider auch nicht immer die gleichen. Und manchmal werden die, die den Bedarf artikulieren müssen, auch gar nicht angehört,Ja, ich weiß schon, du willst das schon abrunden, ich merke das schon, aber ich wollte nochmal was, ich muss nochmal.Ne, weil der Tim, der Tim hat das so schön versucht, auf was,greifbares zu reduzieren, was Luca eigentlich ist, ne? Und wenn du wenn du das wirklich mal versuchst und,Aus dem Werbeversprechungen, die Essenz rausziehst, ja, dann versprechen die ja, äh, Entlastung der Gesundheitsämter, Kontaktdatenerfassung, plausibel und verwertbar für die Gesundheitsämter und keine, ich sage mal, gar Bettatendie bei den Gesundheitsämtern auflaufen. Also die reine Digitalisierung der Kontaktlisten.Nur dass das Gesundheitsamt die eben im Bedarfsfall sehr viel schneller abgreifen kann. Wenn du aber anguckst, was von dem Versprechen tatsächlich üble äh übrig ist, ja. Wir wissen äh die die Nutzerkontaktdaten wären nicht,verifiziert, bis auf die Telefonnummer, was ich auch nach wie vor umgehen lässt, sie zu verifizieren, weil es wird auch teuer, denke ich mal, das nacherträglich einzuführen.Du hast keine Kontaktdaten. Okay, dann weißt du aber nur, du hast ein Kontaktdatum, das ist die Telefonnummer. Ja, aber du kennst das,überall einloggen, ja? Weil und nirgends, ja, du kannst mit trotzdem mit falschen Daten einloggen, also auch die Kontaktlisten sind falsch, ja? Und jetzt kommen die, jetzt gehen wir mal von aus, dass das alles nicht passiert. Jetzt kommen diese Kontaktlisten zum Gesundheitsamt.Ähm dann wird damit geworben, dann werden die Leute schnell gewarnt. Nein. Weil das Gesundheitsamt muss sie ja alle abfragen und die Relevanz prüfen, ja? Wird das System kann jetzt sagen, ja,eine Liste von der Location XY ist vom Gesundheitsamt abgefragt worden, kann jetzt dem Nutzer sagen, du bist abgefragt worden,Das ist ja aber nicht automatisch eine Warnung vom Gesundheitsanwalt. Das Arbeit,das Gesundheitsamt hat ja immer noch die Aufgabe nachzuvollziehen, ob jetzt diese Kontaktliste irgendeine jeder, der da drauf stand, irgendwie Infektionsrelevant war, ne? Und muss den Menschen dann anrufen, so er denn erreichbar ist unter der angegebenen Telefonnummer.Und den Befragten, also ich sage mal, der Aufwand ist dergleiche wie vorher.Die die Kontaktlisten werden nicht besser, also es bleibt von den von den Werbeversprechen bleibt nichts übrig, ohne dass du in die Sicherheitslücken guckst. Die Risiken, die diese Lösungen alle.Mit sich bringen. Die kommen eigentlich on top dazu, äh zu keiner Verbesserung aus meiner Sicht. So werde ich's mal versuchen versuchen, reduziert zu betrachten.
Linus Neumann 0:47:02
Das ist, glaube ich, sehr, sehr schön zusammengefasst an der, an der Stelle muss man immer nochmal sagen, das Einzige, was contact racing leisten kann, ist halt schneller, den Leuten Bescheid sagen, damit sie ihrerseits die Kontakte reduzieren,dann erst wirkt es, ja? Und diesen Wertbeitrag, den den sieht man auch ohne die ganzen Sicherheitslücken kaum.So, jetzt sind wir, glaube ich, an dem Punkt angelangt, dass wir uns mal langsam darüber Gedanken machen können.Schwachstelle du jetzt demonstriert hast, denn interessanterweise in deinem Video sagst du ja.Das wurde schon vor drei Wochen gemeldet und du hast es jetzt nur noch noch einmal demonstriert, was ist denn da passiert?
Marcus Mengs 0:47:49
Ja erstmal sind das alles keine Schwachstellen auch keine Sicherheitslücken. Das sind ja meistens,Es wird von Luca immer umtituliert. So wenn sogar wenn ich die Bitte, ja komm, ich habe nicht so Zeit, eine Advisory zu schreibe, mach doch mal selber ein Ischio auf, dann heißt das dann auch nicht mehr Security Echo oder so, da können zig Schutzziele IT-Sicherheit betroffen sein.
Linus Neumann 0:48:07
Immer nur ein Error, ne.
Marcus Mengs 0:48:08
Funktionaler Fehler hinterher, ja.
Linus Neumann 0:48:12
Also die haben die haben bis heute.
Marcus Mengs 0:48:13
Ne
Linus Neumann 0:48:14
Das ist Tim, der du kannst dir das nicht vorstellen, ne? Die haben bis heute nicht eine Eins, nicht ein einziges Mal gesagt,Es gab eine Sicherheitslücke, die ganz im Gegenteil, die leugnen das ja sogar aktiv, ne, also Luca Track und so, alles keine Sicherheitslücke.
Marcus Mengs 0:48:32
Ja, heute bei dem Ding war's sogar ganz konkret, das ist keine Sicherheitslücke.
Linus Neumann 0:48:36
Unglaublich. Aber okay, also es war keine Sicherheitslücke. Es war ähm es war ein völlig überraschendes Feature.
Marcus Mengs 0:48:44
Genau dieses Feature, was eigentlich vor drei Wochen aufkam. Ähm es geht um äh es ging um.In oder CSV im engeren Sinn.Und man hat ja auch gesehen in dem Video von mir, da stehen ziemliche viele Credits hinten drin, weil ich habe.Thema gar nicht selber aufgetan, denn ich habe an einer anderen nicht Sicherheitslücke von Luca gearbeitet äh und hatte quasi das Setup fertig, um das schnell noch zu testen und äh Idee, wie man,ansetzen kann. Also äh ganz klassisch.An sich adressiert erstmal Tabellenkalkulation.Klassisch Excel, ja, also Microsoft-Systeme mit Microsoft Office ausgestattet, klassisch ist das eigentlich immer Excel und zwar diese Funktionalität, dass man in Zellen Formeln eintragen kann.Nicht nicht Makros, das möchte ich nochmal betonen, weil wir reden nicht von Programmierungen oder VBH, so wie das jetzt in einigen Medien äh gekommen ist, formeln und dieses Formeln, äh je nachExcel oder Office-Version, die können halt nette Sachen, wie auch ähm, ich sage mal, ein Beispiel ist, dass du sagst,der jetzt in dieser Tabellenzelle sehen soll, der wird mit einer Formel generiert, die der mir den von irgendeiner Webseite runterlädt.Für einen Angreifer heißt das, ich kann in eine äh Zelle was eintragen, was mir dabei hilft auf einen externen Sover zuzugreifen.
Tim Pritlove 0:50:13
Markus da müssen wir mal kurz noch was anderes äh nochmal vielleicht zusammenfassen, ne? Also das wäre jetzt mal den Kontext verstehen. Also du hast diese,Sicherheitslücke in diesem Video dokumentiert. Das haben ja die Anna jetzt alle noch nicht gesehen.Ja, worum geht es? Es geht um die vorhin äh genannten Komponenten. Konkret die Anbindung von diesem LukaSystem, was ja aus der App besteht und aus deren Backend besteht, ja, sie Daten fließen jetzt ins Gesundheitsamt. Darum geht es, ne, diesesogenannte Anbindung ist ja eigentlich nichts anderes als so eine Art Exportgenerator, also das Gesundheitssystem kann sich quasi an dieses System ranpflanzen und sagen, jetzt gib mal her die Daten.Für diese für diesen Ort, ja, wo äh Aktivität stattgefunden hat, die von dieser Luka-App äh aufgezeichnet wurde.Und jetzt möchte gerne das Gesundheitsamt diese Daten haben und diese Daten erhält sie ganz klassisch in so einem TextbasiertenDatenexport. Das heißt, man kriegt so eine CSV Datei oder man hat die Möglichkeit, verschiedene Formate äh zu wählen und das Beispiel, was du dort gibst, ist halt diese CSV-DateiSo und dann liegen die Daten erstmal roh vor. Man könnte sagen, es ist eine Art Download. Ja, es ist ja auch nichts, nix anderes wirklich.
Marcus Mengs 0:51:39
Es ist alles ein Download. Also du kommst an die Daten aus dem Lukas-System, das Gesundheitsamt kommt an die Rohdaten, immer nur als Download dran, weil es gibt.Glücklicherweise würde ich jetzt sagen, noch keine automatisierte Schnittstelle zu anderen Verfahren. Noch nicht.
Tim Pritlove 0:51:56
Genau, ja okay, gibt's nicht, aber so ist es jetzt, nur dass man sich das vorstellen kann. Also wir reden jetzt hier über diesen Zeitpunktwo das Gesundheitsamt sagt, so jetzt müssen wir uns aber wirklich mal diese Daten holen, man hat den entsprechenden Schlüssel, um diese Daten zu entschlüsseln und erhältunverschlüsselte Exportdaten auf das eigene System, also im Normalfall natürlich irgend so ein Windows-Computer, wo dann so eine ganz normale Datei rumliegt und diese wird dann geöffnet und sie wird dann halt dann doch sehr oft, das wissen wirin einer stinknormalen Tabellenkalkulation, also in Excel aufgemacht.So und das ist natürlich immer ein Problem, weil wenn die Daten halt in irgendeiner Form.Anders sind, als man das jetzt vielleicht so erwartet oder konkreter anders als die Software sie erwartet,dann kann halt auch schon mal was schief gehen. Und das ist im Prinzip ja hier der Angriffspunkt, wenn ich das richtig verstehe.
Marcus Mengs 0:52:50
Ja, das ist sogar ein äh verbreitetes Problem. Man muss ja auch sagen, ein Problem, was äh viele Hersteller äh sogar aus Backbounteesausschließen, bewusst ähm also erstens äh,Daten, wenn man speziell vom CSV spricht, auf einem normalen Büro, Arbeitsplatzsystem, was ein Office installiert hat, muss man erstmal sagen, äh eine CSV-Datei, die ist standardmäßig mit dem Office-Produkt verknüpft, also mit Exceldie ablegt und doppelt anklebt und hat vielleicht auch keine Dateerweiterung angezeigt, dann sieht man nicht mal, dass dasreine Excel-Tabelle ist, sondern ist Excel erstmal das äh die Software der Wahl, um die zu öffnen.
Tim Pritlove 0:53:31
Voreingestellte Tool einfach dafür, ne.
Marcus Mengs 0:53:33
Das ist da die Ford sozusagen genau, dass das in Excel geöffnet wird.
Tim Pritlove 0:53:37
Genau. Und CSV, wem das nicht sagt, heißt einfach nurKomma separierte Werte. Ja, das heißt, es ist einfach, wenn man das in normalen Texteditor aufmachen würde, sieht man einfach einen Datensatz pro Zeile. Die einzelnen äh Werte mit Kommagetrennt. Das ist dann nicht unbedingt zwangsläufig immer ein Komma, ist auch manchmal ein Semikolon oder ein Tab, aber das finde ich jetzt auch ein bisschen zu weit. Es geht einfach um strukturierte Daten in Textform.So und das heißt, man äh öffnet die und dann geht halt in der Regel das voreingestellte Programm auf und das ist dann eben Excel, was ja auch Sinn macht, weil es handelt sich ja letzten Endes um tabellarische Daten und man will ja letzten Endes auch hier auch ein tabellarischenauf diese Daten gewinnen, um sie dann weiterverarbeiten zu können. So, alles kein Problem, oder? Was kann da schon schiefgehen?
Marcus Mengs 0:54:26
Ja, dann kommt eben diese ähm.Formel äh ins Spiel oder CSV wird das auch genannt. Ähm.Wenn du das jetzt isoliert auf Excel betrachtest, ist das wie wenn du in eine Zelle eine Formel einträgst. Die kann vor,zwei andere Zellen zusammenaddieren oder einen statischen Wert haben, die kann aber auch sagen, äh ich brauche ich muss ein anderes Programm starten, um da einen Wert reinzubringen.
Tim Pritlove 0:54:54
Gut, aber bei diesen Daten sind doch sind doch solche Formeln erstmal gar nicht drin. Ich meine, wir reden doch hier von Name, Vorname, Nachname, Anschrift, Postleitzahl, das ist doch das, was man eingegeben hat, ne.
Marcus Mengs 0:55:04
Genau da will ich hin. Wenn du jetzt ähm äh CSV-Datei in Excel lädst, dann interpretiert ähExcel natürlich diese strukturierten Daten so, äh dass das auch analysiert, ob jetzt eine Zelle mit einer Formel belegt werden soll, eine Tabellenzelle.Und wenn du die Daten in der CSV-Datei richtig gestaltest, dann kannst du das durchaus äh auslösen, dass Excel auch so eine Formel beim Öffnen anlegt und dann auch Aktionen auslöst.
Linus Neumann 0:55:35
Ich will jetzt, ich will, ich muss da ganz kurz einhaken. Ich weiß, dass wir jetzt hier als Nerd sofort sagen, in excellence Formel. Du hast es auch gerade im Nebensatz schon gesagt, ich will nur einfach sagen, was ist die die einfachste Formel in Excel,Also der eine einfache Formel in Excel in das erste Feld schreibst du die Zahl.Eins. In die zweite Zelle der Tabelle zeigt, schreibst du die Zahl zwei.Und in die dritte kommt jetzt eine Formel, da schreibst du einfach nur gleich die Summe der ersten und der zweiten Zelle. Und dann wird in diesem dritten Ding drei stehen. Wenn jetzt in das erste Feld aber.Fünf schreibst, dann wird in dem dritten Ding sieben stehen, weil dann nämlich die Summe von fünf und zwei berechnet wird, also ein dynamischer Inhalt ist eigentlich das, was 'ne was 'ne Excel-Formel abbildet, oder?
Marcus Mengs 0:56:30
Genau, der Begriff vor mir ist eigentlich irreführend, weil du hast natürlich dynamischer Inhalt ist sehr viel passender, weil du hast natürlich,Programmierer würde es vielleicht Funktionen oder Methoden nennen, du hast natürlich mathematische Formeln.Aber du hast, wie ich jetzt gerade auch als Beispiel erwähnt habe, natürlich auch Formeln, die sagen, zieh mir die Zahl von einer Webseite runter, die da angezeigt werden soll. Oder du hast auf Hummeln, die sagenstarte mal das Programm X Y und wenn das Programm abgelaufen ist, zeigst du den Wert an.Von dem Programm ausgegeben wurde. Das heißt, du kannst damit fremde Programme starten, du kannst auf fremde Webseiten zugreifen und du kannst natürlich auch sagen, okay, äh wenn du auf einer den Wert für diese Zelle, wenn,äh dass wenn die von einer fremden Webseite geholt werden soll, dann musst du da auch noch äh den Inhalt der Zelle, wo der Name steht,wo die Zahl steht, wo eine Postleitzahl steht, das musst du da vorher alles hinschicken. Das kannst du mit Excel-Formeln machen.
Linus Neumann 0:57:29
Nehmen wir mal, nehmen wir mal ein Beispiel, wenn jetzt irgendwie hier der Tim macht ja den Podcast, äh den wöchentlichen Podcast mitPavel über die Corona-Pandemie und die wirken da immer auf ganz vielen Zahlen, ne? Jetzt könnten die ja auch auf die Idee kommen, zu sagen, in unserem großen Excel-Ding, das machen die hoffentlich nicht. Das lädt sich.Von der EKI-Seite. Ihr die aktuellen Corona-Zeilen runter. Das wäre da so ein Anwendungsfall, ne?
Marcus Mengs 0:57:57
Genau. Das ist das ist das Entscheidende. Das ist kein Hack. Wir reden da über ein Feature von Excel und nicht nur von Excel, sondern auch von,ähnlich georteten äh Tabellenkalkulationsprodukten, weil es gibt ja einen Zweck davon, genau. Wenn du äh externe Daten runterlädst, was auch immer, wenn du das wünschst, ja, äh.
Tim Pritlove 0:58:16
Aktienkurse ist ein Klassiker.
Marcus Mengs 0:58:18
Was auch immer. Es gibt sicherlich auch Szenarien, wo man sagt, okay, damit die Tabellenzelle befüllt wird, muss ich ein externes Programm starten, was mir da das Ergebnis reinliefert, weil ich irgendein Skript geschrieben habe, was irgendwas abfragtWeißer Geier, da gibt's sicherlich viele legitime Anwendungsfelder, das ist also nicht ein Sicherheitsproblem von Excel. Ein Problem wird das, äh.Wenn ich Daten in Exce eröffnee und es ist gar nicht gewünscht, dass die solche Funktionalitäten implementieren. Das ist ein Sicherheitsproblem. Das liegt dann in der Regel aber nicht an Excel, sondern an der Datenquelle.Weil wenn ich nicht möchte, äh dass da solche Daten oder ähm.Daten, die ich in Excel öffne, irgendwelche Aktionen ausführen, dann muss ich das irgendwie sicherstellen, da gibt's zwei Methoden dafür. Das eine ist äh, dass sich der Quelle absolut vertraue, das kann ich natürlich auch technisch sicherstellen. Das andere ist, dass ich dieseDatenfilter, bevor ich sie öffne, weil ich kann sie ja nicht anders in Augenschein nehmen, als sie,zu laden. Ähm wenn dann eben nicht gewünschte Funktionalitäten auftauchen, da kommen wir dann zu dem Bereich InjectionDeswegen heißt das auch CSV-Injection, dass man eben in solche äh Datenquellen, die dann eben auch so kommerseparierten, strukturierten Daten kommen, eben Formeln einfügt, wovon gar nicht äh erwartet wird, dass sie da auftauchen.Eben irgendwelche Aktionen auslösen.
Tim Pritlove 0:59:44
Ja, aber Markus.Luca ist doch ein vertrauenswürdiges Unternehmen, was äh nur unsere nur die besten Intentionen hat. Warum sollten denn in diesen Daten,andere Daten äh drin landen, als die, die die User da äh irgendwann mal eingegeben haben.
Linus Neumann 1:00:02
Ja und außerdem Markus, das ist ja auch doppelt verschlüsselt, dass er doppelt verschlüsselt Markus.
Tim Pritlove 1:00:07
Das das kommt noch dazu, ja.
Marcus Mengs 1:00:08
Da haben wir ja die Kurve zu den drei Wochen gekriegt,da sind wir ja wieder da am Anfang bei den drei Wochen. Ja, vor drei Wochen war das ja noch so. Also Lukas stellt sicher, dass es nicht passiert, dass in den Datenexporten,solche Problemstellungen auftauchen. Das war das Statement vor drei Wochen. Und jetzt habt ihr ja die Aspekte schon angerissen, ich sage mal.Jemand der mit Kommunikation zu tun hat, wird von einer Datenhebung, einer Datensenkgeräten.Gesundheitsamt exportiert Daten aus Luca von infizierten, die gedrehst worden sind, das sind die Daten, die rauskommen. Und irgendwer gibt Daten rein, das sind die Nutzer, die an dem System teilnehmen. Sind nur diese zwei Punkte,Ähm und an diesen beiden Punkten muss man sicherstellen, dass da keine Manipulation an den Daten stattfindet, die später zu was führt, was ich nicht möchte.Das hat Luca garantiert vor drei Wochen. ÄhmUnd dann war es so, ähm da war eigentlich dieses sehr technische, technisch spezifische Szenario, dieser CSV Injektion, schon mal Thema und ich bin vom äh von der Eva Wolfgang von der Spiegel äh von der Autorinvon dem Zeitartikel kontaktiert worden.Und äh mit dem, was sie eigentlich auch schon angerissen habt, äh die hat damit angefangen, dass der Luca, wenn sie das System äh alles richtig verstanden hat, eine Datenautobahn ins Gesundheitsamt abbildet, weil der Nutzer gibt ja vorne Daten reindann ist alles verschlüsselt, die Betreiber können da nicht reingucken und erst beim Gesundheitsamt wird das dann entschlüsselt.Das kann man so stehen lassen, wenn das System funktioniert, ist das so. Ähm und dann kam die Frage auf, ob das Gesundheitsamt denn angreifbar sei,aber schon sehr konkret, ob das mittels CSV Intection geht und da habe ich gesagt, das ist für mich äh hypothetisch. Man kann diese Frage nicht äh belastbar beantworten. Ohne ähm,Nachweis zu erbringen oder das auszuprobieren. Also das war für zu dem Zeitpunkt für mich gar kein Thema und ich hätte mich da auch vage in meinen Aussagen erhalten und ich hätte es auch gar nicht zitiertgesehen haben wollen, bis mir die Eva Wolfe angelt dann gesagt hat, ja sie hat aber schon das Statement.Senior dazu ähm und das war äh in die Richtung des Mexingo gesagt hat, ja äh,Wir kennen dieses Problem und wir tragen dem Rechnung mit Projekt.
Linus Neumann 1:02:33
Das ist, dass ich technisch, dass es einfach nur Bullshit.
Marcus Mengs 1:02:37
Ja, da musste ich erstmal schlucken und überlegen und habe gesagt, okay, eben hätte ich noch gesagt, ich möchte nicht in dem Artikel zitiert werden, aber jetzt kann ich auch sagen, ohne mir das Problem anzugucken, heißt das ja, erstens.Man hat eingestanden, dass ein Risiko besteht, äh dass Daten so durchlaufen, dass damit eine CSV Injektion möglich ist, sonst könnte man, müsse man dem nicht Rechnungen tragen mit einer Maßnahme und die Maßnahme ist und äh,Ist ein Visualisierungsframe. Man kann es auch im Backend einsetzen, was auch immer Projekt alles kann, was es nicht,Macht es, dass es ein Sicherheitsprodukt ist, was äh eingegebene Daten gegen CSV Injections filtert und überhaupt gegen Code Injections. Wenn man vielleicht mal den Webanteil ausnimmt.
Linus Neumann 1:03:21
Ich übersetze mal die Qualität der Antwort ist ungefähr so ähm wir lösen das mit Windows. Ne, das ist irgendwie.
Marcus Mengs 1:03:29
Ich habe das, ich habe auch schon versucht, solche Vergleiche zu ziehen, nee, das ist besser hier auch gemacht. Ich hab's mal so gesagt, ähm.Auch für die, die mir solche Fragen gestellt haben. Ja, das ist jetzt wie wenn du für irgendeinen wahllos rausgegriffene Autohersteller äh behauptest,Die Bremsen können da kaputt gehen. Ja, bei jedem Auto können die Bremsen kaputt gehen, diese Behauptung muss erst wertvoll, wenn du belegt hast, da ist ein besonders hohes Risiko, weil Bremsschläuche zu dünn oder sowas, ne? Das wäre jetzt dieses Szenario, was,was hat mich äh was hat mich Eva Wolfangel da gefragt? Ja, bei jedem Auto können die Bremsen kaputt gehen, aber ich habe hier kein besonderes Risiko,Jetzt sagt sie mir aber dann quasi im nächsten Atemzug ja, aber der Hersteller hat gesagt.Wir wissen, dass wir zu dünne Bremsleitungen haben, nur wenn die kaputt gehen, ist ja noch die Scheiben Waschanlage da. So.So so ungefähr nur in Technik. Das war das und da habe ich natürlich gesagt, okayAlso all das, was ich jetzt sage, ist zitierfähig und dann habe ich auch diesen Artikel gelesen und der war ja dermaßen detailliert, also noch die der war ja auf Zeichenebene, ne, was für Zeichen verwendet man,für eine CSV. Detaillierter als wir jetzt sprechen. Und das ist ja kein, ich sage mal Technik, Fachmagazin und.Es kommt halt diese angekündigte Antwort äh äh von dem.Hersteller eigentlich von dem CEO, muss man sagen, von Culture For Life oder von Nexenu, von dem Patrick Henning, von dem Gesicht, was ganz vorne ansteht und der sagt, nee, äh da haben wir alles für Sorge getragen, das kann nicht passieren,das Szenario tatsächlich Daten vom Nutzer laufen ins Gesundheitsamt durch. Die können nicht zwischendurch gefiltert werden und sind so manipuliert, dass sie da irgendwie.Und das ganz konkret für dieses Szenario CSV Injection. Und wer selbst wer das noch nie gehört hat und googelt mal oder sucht mal nach CSV Injection, das.Ist eine Tabellenkalkulation.Es geht um die Formeln. Das ist eigentlich Fummeler Intection, also das ist ein Excel, ne. Ich habe mir selber gar nicht angeguckt. Man kann natürlich auch mit diesen.Nutzerdaten, die da durchlaufen, auch mit angebundenen Verfahren wie oder äh,was auch immer noch alles so hinten dranhängt, wo die Daten hingehen, spielen. Oder wenn die automatisch verarbeitet werden, ja, automatischer E-Mailversand, ja, dann kann man auch zusätzliche E-Mail-Adressen einfügen, weiß der Geier was nicht. Also die Daten merken nicht validiert, wurden nicht.
Linus Neumann 1:05:57
An dieser Stelle lohnt sich wahrscheinlich nochmal so ein kurzer äh eine kurze Erdung, wie der Tim das glaube ich immer äh auf Clubhaus nennt. Also, wenn wir von Injection reden.Bedeutet, dass die Daten kommen aus dem einen Kontext in den anderen und haben in dem anderen eine neue Bedeutung.In diesem Fall, den Markus jetzt gerade beschreibt, exportieren wir aus Luka in eine CSV-Datei,dann in Excel und Excel sagt, oh, das ist eine Formel, ich greife mal aufs Internet zu. Der noch klassischere.Fall der Injection ist die äh SQL Injection, ne, der die in der in den Web-Anwendungen eine große Rolle spielt. Da ist es zum Beispiel so, dass äh quasi.Also, wenn diese Schwachstelle besteht, wenn mein Nutzername oder mein Name jetzt zum Beispiel lauten würde, äh Anführungszeichen oben, Semikolon, lösche alle Tabellen. Dann könnte ich so heißen.Und wenn ich das jetzt an die Webanwendung gebe, gibt sie das weiter an die Datenbank und sagt, hier ist grade ein Nutzer gekommen, der heißt so und so und in dem der Befehl, den die Webanwendung dann an die Datenbank schickt.Wäre wieder, würde von der Datenbank anders interpretiert werden, weil durch dieses Anführungszeichen oben und das Semi Colon äh und das lösche bitte alle Tabellen. Ähmdass es ein valider Befehl an diese Datenbank und dass,das äh das Eklige an solchen Injections ist, dass sich das, was jetzt eine kritische Bedeutung hat.Von Kontext zu Kontext ändert. Und deswegen ist es zum Beispiel so so dringend ähm inund in der Programmierung ist das ein riesiges Problem, immer und immer wieder, den Typ einer Variable zu bestimmen. Ja, wenn man anfängt zu programmieren, wundert man sich, warum ich eine Variable, zum Beispiel als äh, also als ganze Zahloder als String. Ähm definieren mussAber für den für den Computer bedeutet, dass die Welt, weil die ganzen Zahlen kann ich multiplizieren und wenn ich einen String mit einer Zahl multipliziere, muss ich wissen, was damit zu tun ist. Also, der eine Wert ist in dem einen Kontext komplett,ohne besondere Gefahr und in dem neuen Kontext ist er.Kritisch. Jetzt sind das zum Glück, ist das eine überschaubare Menge an ähm Zeichen, auf die man prüfen muss.Aber man muss halt das dann schon machen.
Marcus Mengs 1:08:45
Ja, da liegt gar net, ich weiß, wo du hin willst, aber das war gar nicht so das Problem. Nur ich möchte mal, ich finde das mit dem Kontextwechsel, das ist sehr super, aber ich glaube, ich habe noch ein einfaches Beispiel.
Linus Neumann 1:08:53
Super, wenn du eine bessere Erklärung hast, dann gibt's die.
Marcus Mengs 1:08:56
Kenn das noch von von ja von den von den Simpsons von den Simpsons. Früher kenne ich das noch, ne? Ähm du weißt äh du hast diese Bar, wo du anrufst.Fragst du noch irgendeinen Namen und jetzt rufst du an und sagst.Fragst nach ja? In in deinem Kontext oder in dem Kontext des Anrufes hat Reinsch keine Bedeutung, aber du weißt in dem neuen Kontext, was da draus wird, weil der Barkeeper fragt, dann kennst du jemanden, der reinscheißt. Genau, das ist.Eigentlich eine gute Analogie dazu, was du gerade sagst zu dem Kontextwechsel.
Linus Neumann 1:09:27
Die finde ich sehr viel besser als meine.
Marcus Mengs 1:09:29
Ja sie ist kurz aber die äh ja aber das ist äh das ist der Kern der Sache, klar. Weil äh für diese ganze jetzt gezeigte Video heißt das, wenn du ähm.Mit Nachnamen, Addierefeld eins plus mit Feld zwei heißt, ja, dann versteht da Excel was anderes drunter, als dass das dein Name ist, sondern das wird zwei Felder addieren.Und wenn da halt na also das ist der Kontextwechsel, den du beschreibst und ja ich habe ja vorhin schon mal gesagt, die Formeln können mehr.
Tim Pritlove 1:10:01
So Jungs, ihr äh habt bisher äh komplett äh vergessen, mal Big Picture nochmal äh zu berücksichtigen. Was passiert eigentlich? Also.Daten sollen übernommen werden vom Gesundheitsamt. Gesundheitsamt lädt Daten runter,System und normalerweise stehen Name.Vorname, Name, Adresse, Telefonnummer, E-Mail-Adresse. Das ist das eigentliche Ziel. Das ist das, was normalerweise passieren soll. Und das geht so lange gut, wie in diesen Daten, die da ankommen. Hoffentlich genau das drinsteht.Wenn es jetzt einen Weg gibt, dort böses Zeug reinzuschreiben,Wie zum Beispiel, dass nun hier in aller Bandbreite äh äh erläuterte äh Modell vonFormeln, Anweisung quasi für Excel, die dazu führen, dass Daten auf einmal von einer ganz anderen Quelle aus dem Internet nämlich äh herangezogen und dann im schlimmsten Fall auch noch ausgeführt werdendann wäre das schlimm. Das kann aber nur dann schlimm sein, wenn diese Daten tatsächlich auch schlimmen Inhalt haben können.Dann stellt sich doch die Frage,Wie können denn diese Daten überhaupt schlimmen Inhalt haben? Wo kommt denn dieser schlimme Inhalt überhaupt her? Weil das sind doch alles Daten, die Leute auf ihren Apps eingeben.Sind doch gerade bösen Menschen. Die wollen doch nur, die wollen auch nur in die Außengastronomie.
Marcus Mengs 1:11:28
Ja, da da bist du ganz schnell bei der Tragweite, also für das Big Pactcher, wenn man sich ein Stück zurücklehnt, muss man natürlich erstmal sagen.Dass man sich in dem Video nicht gezeigt hat, ganz kurz mit erläutern, wie fragt das Gesundheitsamt ab, dass du Gesundheitsamt fragt, ja einen Einzelnutzer ab,und zwar einen mit dem schon im Kontakt steht, weil der wahrscheinlich infiziert ist, äh tauscht mit denen.Dann eine Tarn aus, um sei äh über Luca die Locationhistorie von diesem Nutzer wieder herzustellen. Das habe ich in dem Video alles unterschlagen, ne, weil äh dass der ProzessDas heißt, äh das Gesundheitsamt bekommt getan, guckt dann in sein Frontend und sieht jetzt die Daten dieses einen Nutzers und wo ist der gewesen?In meinem Beispiel hieß das ja glaube ich Bar Lounge oder so, es können natürlich mehrere Locations sein und jetzt kommt diese doppelt Verschlüsselung, die immer beworben wird. Jetzt muss das Gesundheitsamt jede Location anfragenGibst du mir mal bitte äh ähm die Check-In-Daten der restlichen Gäste, die zum Zeitpunkt.Dem Zeitpunkt da waren, wo der Nutzer da war, den ich gerade trac. Und das sind dann quasi die Kontaktlisten, also das Gesundheitsamt geht von einem Nutzer aus,Ist auch für einen Angreifer nicht so interessant und holt sich dann von vielen Leuten die Kontaktdaten anhand von Gästelisten, also von Locations, wo die gerade eingecheckt waren, da müssen die Locations auch zustimmen.So und da bist du dann bei dem, äh wenn das Gesundheitsamt diese Dateneinsehen will in dem Webfronten entziehen die nur ein Bruchteil, ja? Das sind zum Beispiel die Adressen nicht dabei, da müssen irgendwie die Daten exportiert werden, damit du zum Beispiel Straße, Hausnummer und so weiter siehst.In was für einem Format auch immer, wenn's dann CSV ist und da zwei von den drei Exportformaten sind CSV, dann kann man dann Chartcode,Ausführung auslösen und zwar genau, wenn einer ein einziger dieser Nutzer, die in dieser gesamten Datenlageauftauchen, die das Gesundheitsamt da erzeugt, in seine Kontaktdaten solchen Chartcode eingegeben hat, weil diese Entschlüsselung.Mit den in Zusammenarbeit mit der Location und in Zusammenarbeit mit dem Nutzer, der getracet wird, findet alles lokal auf der Seite des Gesundheitsamtes statt. Man sieht das zwar nochin äh der Webaplikation, aber das läuft lokal auf den Rechner.
Tim Pritlove 1:13:46
Also wenn ich dich richtig verstehe, ist es äh Angriffsszenario, was du jetzt beschrieben hast und wir müssen das äh auch jetzt, ich musste jetzt mal kurz mal von A bis Z mal äh vorstellen, weil ich glaube, wir sind irgendwie äh äh verfangen uns immer wieder in den Details.Der Angriff erfolgt auf diese Datenübergabe. Das ist sozusagen der Punkt, der jetzt hier äh,die eigentliche Schwachstelle im System darstellt.Und das Ganze ist in dem Moment äh kann es erfolgreich sein, wenn man die Möglichkeit hat,Eingabedaten gezielt zu verändern. Und das bedeutet ja, wenn ich das richtig verstehe,man hier sozusagen einen User irgendwo mit eincheckt und dessen Daten, die man dann letzten Endes verschlüsselt, ablegt,Lukas System sind irgendwie modifiziert, weil sie müssen ja diese Daten, da muss man ja irgendwie ran und die einzige Möglichkeit, da ranzugehen ist ja die App. So,Das, das ist sozusagen der Angriff, der hier äh erfolgt. Die Wirkung, die du in deinem Video gezeigt hast, die müssen wir auch noch erwähnen, ist die Daten werden modifiziert.Auf, nutzen eben dieses hier jetzt vorgestellte System mit diesen Formeln.Und bringen in dem Moment, wo der Mitarbeiter des Gesundheitsamt diese Daten exportiert und öffnet,und das muss man dazu sagen, auch nochmal zwei Wahndialoge einfach, na ja, übergehtJa, einfach sagst du, ja, mir doch egal was, da jetzt in diesem Fenster steht, ich muss jetzt hier so lange Return drücken, bis bis die Tabelle hochkommt, so bin ich das gewohnt, ne? Das ist ja so dastypische Nutzerverhalten. In dem Moment könnte ja äh das Böse auch noch aufgehalten werden. Wird es aber dann nichtDass es durchaus ein realistisches Szenario, das wissen wir einfach, dass Leute das dann einfach tun, weil sie das normalerweise nie sehen. Ist natürlich auch nicht geschult bekommen haben und die wollen irgendwie an die Daten ran. Und sie sind vollkommen gewohnt, das Windowsprogrammeimmer irgendwelche komischen Dialoge aufpoppen lassen und noch irgendwelche haben wollen, bevor sie dann endlich mal was sinnvolles für einen tun. Unddiese modifizierten Daten führen dann dazu, dass Excel die Daten einliest, interpretiert.Code drin steht, der äh das Herunterladen eines externen Programms,und das Ausführen dieses Programms auf dem Computer bewirkt und dein Beispiel, was du dann in dem Video genannt hast, ist daskommt also eine Software, die den Rechner verschlüsselt und Fenster aufmacht und sagt, ja, das war's dann jetzt hier mit den Daten jetzt mal her mit dem Bitcoin, sonst ähkriegt er die nie wieder.
Marcus Mengs 1:16:33
Ja, in einem realistischen Szenario würde da gar nichts passieren, weil ähm.Das ist ja eine Demo gewesen, um das ein bisschen plakativ zu machen. Die normalen Demos, da poppt der Taschenrechner auf, um zu wissen, man kann beliebig Sachen ausführen,in einem tatsächlichen Angrifffür diesen einen Sweat Actor, der schnell Geld verdienen will, ist das realistisch, dass da eine Verschlüsselung stattfindet. Das würde nur so aussehen, dass nicht nach einer Sekunde diese Meldung hochpuppt, sondern erst, wenn die Daten auch alle verschlüsselt sind und es dann zu spätist. Oder du hast halt einen also ein ein Angreifersagt, ah, ich bin mir sehr bewusst, was ich für ein System da angreife, da möchte ich nicht schnell Geld rausquetschen, sondern viele Informationen, dann wirst du gar nichts sehen, weil das erste, was der macht, ist, der weißDieser Angriff über Excelwird früher oder später erkannt, wahrscheinlich eher früher, also wird er sich versuchen im System zu verstecken, einen zusätzlichen Zugang zu schaffen, dann auf andere Systeme überzugehen, damit er möglichst lange, möglichst unerkannt,viele Informationen daraus ziehen kann und gegebenenfalls auch manipulieren kann. Da wird in Excel nicht mehr als die Fehlermeldung erscheinen. Dann sieht man die der Daten und dann wird ganz langsam dieses Gesamtsystem infiziert. Das ist eigentlich eherdas ist wahrscheinlich eher das was realistisch ist, was da passiert.Weil die Sachen, ich denke mal, äh da muss man auch realistisch bleiben, äh wenn man wenn man jetzt nicht davon aus, wenn manausgeht davon, dass sie auf Profit ausgelegt sind, dann sind die auf Masse ausgelegt und dann nimmt man sich nicht so einen spezifischen Vektor wie für dieses Gesundheitsamt,Ist ein klassischer Vektor. Heißt nicht, dass das nicht geht. Und äh auch nicht, wenn wir reden ja immer nur über Cybercrime. Meistens im Hintergrund, die wollen schnell Geld verdienen und nicht.Äh viele Daten ausleiten, aber es gibt halt verschiedene Akteure und verschiedene Szenarien. Das muss man auf der.Auswirkungsseite sagen, bei dem Input muss man sagen, äh wir haben's jetzt sehr verkompliziert. Eigentlich ist es so einfach ähm,Du bist der Nutzer, du kannst als Name Schadcode in deinen Namen eintragen, Luca filtert das nicht und irgendwann ruft das Gesundheitsamt eine Kontaktliste ab, wo dein Name draufsteht.Aber wenn es den Namen liest, indem du eingefügt hast, wird das schon ausgeführt. Äh wollte ich schon fast sagen.Weil äh im Prinzip, ich hab's nicht so getestet, aber jeder Nutzer, ich habe nicht den, ich habenur nicht den Namen mit Chart-Code hinterlegt aus einem ganz einfachen Grund, dann hätte ich im Video den Chartcode selber zeigen müssen. Deswegen habe ich ein anderes Nutzerdatum genommen. Bei mir lag der Schadcode in der äh Postleitzahl, wenn ich's jetzt richtig im Kopf habeäh was eigentlich eine fünfstellige Ziffer ist. Bei Luka kann's auch sein. Alleine das ist schon bemerkenswert, weil das könnte man sehr einfach filtern,ähm und jetzt hast du aber nicht das Risiko nur, dass ein Mensch das macht und sagt, ey ich bin der Böse, sondern äh du kannst,Beliebig viele Nutzer anlegen, weil die äh Telefonnummern, Zertifizierung noch nicht läuft, du kannst beliebig viele Nutzer mit viel Chartcode in beliebig vielen Kontaktdaten hinterlegen. Und die Wahrscheinlichkeit, ein Gesundheitsamt zu treffen.Äh steigerst du damit, dass du die in sehr, sehr, sehr viele Locations eincheckst. Weil du kannst auch einen Nutzer parallel in mehrere Locations einchecken.Und irgendwann wird ein Gesundheitsamt eine Location abfragen und dann taucht einer von deinen Schadcode behafteten Nutzern mit auf und das,steigert die Wahrscheinlichkeit, dass du so einen Angriff platzieren kannst, natürlich dramatisch. Und je mehr von diesen Angriffen du platzierst, umso höher ist die Wahrscheinlichkeit, dass ein Mitarbeiter in einem Gesundheitsamt so eine Warnmeldung wegklickt.Und dann muss man den Impakt hinten sehen, klickt die einer weg. Das ist wie bei Phishing. Es reicht einer, weil du hast dann Systemzugriff,Ob das dann noch einer macht, brauchte ich gar nicht mehr interessieren, weil du kannst dann schon mit dem System arbeiten.Ob du da jetzt die Daten aus dieser Excel Tabelle von dem einen kontaktracing abgreifst, das ist eigentlich auch egal, weil du kannst dich da einisten und äh auch auf Luca greifst du äh,von dem Gesundheitsamt Mitarbeiter zu und wir wissen auch, dass Luka äh es gibt auch keine Trennung mehr, nach Zuständigkeiten der Gesundheitsämter, weil alle Gesundheitsämter äh nutzen die gleichen Schlüssel,in dem System zum Datenzugriff.Und also alleine was diese Fachanwendung Luca betrifft hast du dann eigentlich Zugriff auf alles. Wenn dir ein so ein Angriff gelingt und du kannst den sehr, sehr,breit platzieren, um die Wahrscheinlichkeit zu erhöhen, dass du triffst. Und das ist das, äh, was da eigentlich dahinter steht.
Tim Pritlove 1:21:07
Okay, also halten wir fest, wenn erstmal böse Daten weit gestreut sindist es äh eigentlich nur noch ähm durch ein besseres Filtern der Daten bei der Übergabe äh zu retten,Das ist etwas, was jetzt auch nachträglich von Luca noch gemacht werden kann. Das ist auch, sagen wir mal, von der Komplexität her jetzt nicht so, dass man sagen würde, das ist jetzt unmöglich, das zu verhindern. Es ist halt einfach nur so eine weitere Nachlässigkeitvon so einem Ding, wo man sagen würdeHeutzutage sichere Programmierung im Internet gehört einfach so ein Sanity-Check, so ein so ein so eine so eine so eine Gesundheitsüberprüfung von Daten und das äh sicherstellen, dass die Daten auch in der Form,und in der Art präsentiert werden, wie sie erwartet werden. Das gehört einfach dazu, ja. Früher gab's ja mal im Internet dieses.Etwas äh zu optimistische Idiom, man solle doch ähm bei Software immer sehr st,darin sein, was man sendet, aber man sollte sehr offen sein mit dem, was man äh empfängt. Das ist in gewisser Hinsichtgut gemeint, also nach dem Motto, naja, wenn's mal einer falsch macht und so, dann dann lassen wir es äh äh lassen wir auch Abweichungen zu. Das führt aber dann dazu, dass eben dann solche äh bösartigen Atta,nicht korrekt erkannt werden, ne. Tatsächlich äh sollte man extrem strikt sein in dem, was man äh akzeptiert, weil dann werden sich die Sender schon auch irgendwann danach äh richten. In diesem Fall aber liefert ja quasiLuca seine eigenen Daten ausund äh die Eingaben der User nicht ansatzweise zu überprüfen, dass sie auch in einer Form kommen, wie es gedacht istUnd dabei sogar noch zu erlauben, so den die Daten zu anzupassen, dass sie auf der anderen Seite so ein Excel in so einem Windowssystem springen. Das ist schon ziemlich äh harter Tobak,wenn sie wollen, können sie das Problem schnell lösen, aber das Problem ist einfach nur, dass dass man sogar sowas äh noch entdecken muss, obwohl schon wochenlang über Sicherheit dieses Systems diskutiert wird.
Linus Neumann 1:23:18
Spezifisch über dieses eine Angriffsszenario, ja, also äh ähm ich habe ich werde auch, glaube ich, in einem Zeit Onlineartikel damit zitiert, zu sagen, so das zu fixen.Dauert Minuten. Dauert eine Stunde. Insbesondere, wenn du jetzt weißt, was sind denn die gefährlichen.Zeichen im Zielsystem. Bei Excel in dem Fall ist das halt, ich meine, das müsste es müsste größtenteils erledigt sein, wenn du sagst, wir akzeptieren keine Gleichheitszeichen,in der Postleitzahl, keine Klammern und keine Anführungszeichen, ne? Das ist jetzt nicht irgendeine irgendeine irre Magie. Du musst natürlich wissen,Was sind die potenziell gefährlichen Zeichen äh in dem System, wo es nachher ausgespielt wird?Aber ne, die die sind, das ist eigentlich ganz lustig, das weißt du ja auch, Tim und äh für die Hörerin leuchtet's auch ein,in den Programmiersprachen und in den in den verschiedenen Kontexten sind es denn häufig Zeichen, die auf der amerikanischen Tastatur relativ einfach zu tippen sind,und vielleicht nicht ganz so häufig in normalen Kontexten. Ne? Und äh deswegen ist halt das Gleichheitszeichen bei Excel äh das naheliegende Ding, weil es irgendwie symbolisiert,in diesem Feld soll etwas anderes stehen, als was ich hier schreibe, nämlich gleich und,niemand rechnet mit dem Gleichheitszeichen als und damit ist es halt der der geeignete Escape Charakter. Und,den zu filtern, das ist eben jeder Programmiererin innerhalb von drei Wochen möglich.Hat äh in diesem Fall vor drei Wochen eben sehr viel mehr Zeit darauf verwendet, die Schwachstelle zu leugnen.Als sie einfach zu fixen und drei Wochen später war es dann soweit, dass Markus irgendwie in seiner Freizeit mal kurz einen Proof of Concept fertig hatte, der zeigte so, hier so schlägt das durch. Wenn man keinerlei.Äh macht.Und das ist denke ich auch das das Krasse hier und dass sie eben, ne, das wurde breit in der Öffentlichkeit diskutiert. Übrigens, kannst du reinschreiben, was du willst?Kommt raus, was du willst. Wird, du wirst keine Filter umgehen.
Marcus Mengs 1:25:47
Es war ja eigentlich sogar noch ein bisschen schlimmer, muss man ja sagen. Ich wüsste jetzt nicht auf das Zeichen dafür runterbrechen, aber es gab ja.Artikel ist vor drei Wochen veröffentlicht worden, der das Problem konkret behandelt hat,und in dem Artikel stand wie Nex Senior dieses Problem negiert hat mit der, ich sage mal mit der Aussage, ob die jetzt richtig oder falsch waren die Maßnahmen, die sie getroffen haben, aber wir haben Maßnahmen getroffen. Ähm,Maßnahmen, es gab einen Tag äh.Ich glaube, einen Tag bevor der Artikel veröffentlicht wurde, äh gab's einen Commit, also eine eine ein Update vom Code, in dem Repositor, wo ähm.Genau dafür Maßnahmen getroffen worden, für das, was dann in dem Artikel stand, weil die Presseanfrage war natürlich etwas vorher, die war ja nicht.
Linus Neumann 1:26:31
Sie haben's noch versucht.
Marcus Mengs 1:26:32
Eigentlich ist die Zeitlinie so gewesen, die Presse fragt was an, habt ihr das Problem? Äh nee, haben wir nicht.Ein Tag später kommt der Patch, um dieses diesem Problem zu begegnen und dann kommt der Artikel, in dem drinnen steht, nein, das Problem besteht nicht, weil wir haben die und die Maßnahmen umgesetzt, die erst kurz vorher nachgepatcht wurden.Und ähm das ist eigentlich für mich was ganz gravierendes gewesen. Ich habe mich gar nicht so an diesen wann ist, was passiert aufgehängt, sondern äh dadurch ist mir natürlich der genaue.Genaue Mechanismus aufgefallen, mit dem da gefiltert werden soll, so und jetzt hat Linus einzelne Zeichen erklärt, ja, das kann man auf dem Level denken. ÄhmMan kann ja nur sagen, okay, ich habe ein Risiko, dass das passiert, da muss ich irgendeinen Filter einbauen und irgendwas machen. Wenn ich ein äh IT-System,oder betreiben will, äh wo ich sagen muss, äh die Verfügbarkeit, ja, die hat,die muss hoch sein, die Vertraulichkeit, die muss hoch sein, da habe ich ganz hohe Schutzziele, den ich mit Maßnahmen Rechnung tragen muss und da reicht es nicht, dass ich sage, ah, ich habe hier mal was hinprogrammiert, was das vielleicht filtert, sondern man muss das auch getestet werden. Das geht gar nicht an einem Tag,Also allein davon wie das mit die Presse fragt an und das führt zu einem Patch verlaufen ist, auch der Patch ist nicht nach einem Tag gegessen,ich habe ja ein Risikoszenario, nämlich diese CSV Injektion und irgendeine Instanz, muss mir auch unabhängig testen, dass ich mit diesem kleinen Patch.Dieses Risiko ausgemerzt habe.Was ist bei Luca passiert? Die sagen, nee, wir haben das Risiko nicht. Wir haben Maßnahmen getroffen und dann und bei mir war's so, für Wünsche war's so, ich habe eine Minute da drauf geguckt und habe gesehen, nee, das reicht nicht. Leute, weil ihr habt das Problem nicht durchtrunken.Ich habe nur noch nicht die Zeit gehabt, das auch programmiertechnisch,validieren, aber wenn man es beim Draufgucken sieht, dann ist schon ganz schlecht, ne? Also ich habe nur auf diesen Code geguckt und,Oh, ich denke, das stimmt so nicht. Und das zeigt, dass auch nicht getestet wird und das ist ganz wichtig, dass das hier fehlt. Es wird nicht getestet. Wir haben heute wieder ein Patch,Ich würde mich nie dazu hinreißen lassen, wie das Seng Senior heute gemacht hat, zu sagen, ja, wir haben jetzt auch das Problem gelöst, weil das kann nicht getestet sein in der Zeit, wenn heute, wenn in der Reaktion auf dem Video von heute Morgen kommt, äh wir haben da nachgebessert,Wenn es denn das getestet wurden.
Linus Neumann 1:28:45
Also nachgebessert haben sie ja gar nicht. Also erstmal ist das ja keine Schwachstelle, sondern sie haben nur einen Hinweis auf einen potentiellen Missbrauch des Lukas-Systems im Zusammenhang. Microsoft Excel Code Injection, ja?
Marcus Mengs 1:28:59
Es stimmt, Entschuldigung.
Linus Neumann 1:29:02
Dann haben sie nicht vor drei Wochen davon erfahren, sondern durch eine Medienanfrage und per Twitter,äh von einem möglichen Missbrauch, ja, der ab jetzt auch systemseitig verhindert wird, ja? Nicht eine Schwachstelle, nein, nein, das ist ein potentieller Missbrauch, der jetzt auch systemseitig verhindert wird.Und.Der nächste Satz ist sofort, das gilt für alle Excel-Dateien, die sie per E-Mail empfangen und hier ähm das BSI sagt, sie müssen Markus deaktivieren, wie du schon sagtest, um Markus geht's gar nicht,laut den auf Twitter erhobenen Vorwürfen wäre es unter Umständen möglich gewesen. Durch das Luka-System schadhaft.Code, an die Gesundheitsämter zu übertragen,Hintergrund ist eine sogenannte CSV Injection, ein in Excel bekanntes Problem, weshalb Excel auch generell Dateien auf solchenChartcode bei Offnung prüft und die Nizzerinnen darauf hinweist, die Schwachstelle in Excel kann es theoretisch ermöglichenschadhaften Code in Excel auszuführen mit Hilfe von bestimmten Formeln können Angreiferinnen beispielsweise Daten auslesen oder andereschädliche Aktionen ausführen. Also Excel ist ja das Problem. Um den potenziellen Missbrauch,die Übertragung der Luca-Daten an Excel, Excel, Excel Excel. Über die dort implementierten Sicherheitsmaßnahmen hinaus zu verhindern,System verschiedene Filter einer hätte gereicht, angewendet, welche im Vorfeld die Excel und CSV Dateien,nach Zeichen und Formeln scannen. Da bin ich ja mal gespannt, welche Zeichen die so scannen. Ich kenne sie ja, die sieht man ja in dem Gitcom mit.Viele in Deutschland übliche Nachnamen sind inzwischen ausgeschlossen. Das Luka-System berücksichtigt die Empfehlung von OverSpe bezüglich CSV Injection, die hier aufgelistet sind. Nein, das tun sie nicht. Und spätestens da,ist es eben nicht mehr wahr. Entsprechende Zellen werden wie empfohlen. Es gibt heute Vormittag haben wir diesen Filter noch zusätzlich um eine sogenannte Anzeichen erweitert, damit böswilligeAngreiferinnen, diese Excell-Lücke nicht mehr ausnutzen können.Und ich muss ganz ehrlich sagen, mir reicht es langsam, ne? Also wieder einmal ähm,sagen sie das Problem ist nicht bei uns, es geht noch es geht noch viel weiter, ja? Sie sagen, ich ich überspringe jetzt mal, weil es auch einfach nur noch eine Frechheit ist. Ähm spezifisch.Was bedeutet das für die Arbeit in Gesundheitsämtern, ja? Die Schwachstellen in Luca.Generell ist es ratsam, Makros in Excel nur mit Bedacht zu aktivieren.Öffnungsversuch entsprechender schadhafter Dateien erfolgt eine Warnung über ein Pop-up-Fenster, welches vor dem Öffnen der Dateien auf dem Bildschirm angezeigt wird. Es ist sehr wichtig diese Hinweise sorgsam zu lesen und nicht direkt wegzuklicken.Darüber hinaus ist es ratsam zu überprüfen, inwiefern die Empfehlung des BSI im jeweiligen Gesundheitsamt bereits umgesetzt werden,BSI-Empfehlung BSICS eins drei sechs. Es ist unwahrscheinlich der Schaden durch einen derartigen Angriff entstanden ist, wenn Mitarbeiterinnen nicht.Tief die Sicherheitswarnungen des Systems missachtet haben. Uns ist kein dementsprechender Sicherheitsvorfall in Zusammenhang mit.Lukas System bekannt. Durch weitere Maßnahmen, weitere Maßnahmen, die heute im Lukas-System umgesetzt worden sind, wird in Zukunft ein solcher Missbrauch,in Zusammenhang mit Makros in Excel verhindert. Und es ist genau diese Kommunikation, wo ich.Also und das habe ich auch dem Patrick Hennig schon persönlich gesagt, dass sie.Diese unaufrichtige Kommunikation sich echt mal langsam sparen können. Ja? Das ist eine Schwachstelle bei denen. Das ist,Verantwortungsbereich. Und sie können nicht sagen, äh Microsoft Excel ist das Problem. Ähm es gibt einen Vortrag von mir hier in der Haken beim CCC Kongress packen wir in die.Wo ich natürlich spezifisch auch,Excel und Microsoft dafür verantwortlich mache, dass sie in den Warnungen äh Nutzerverhalten einleiten.Dass äh ja die im Zweifelsfall die unsichere Variante bevorzugt. Ja? Das ist aber,Eine Situation, die war schon da. Und wenn ich davon ausgehe, dass es Postleitzahlen mit Gleichheitszeichen gibt,dann kann ich nicht Microsoft Excel den Vorwurf machen. So und das ist wie immer.Der das das klassische Umgehen von Nexen New Luca mit Schwachstellen, dass alle Schuld sind, außer sie selberMicrosoft ist schuld, der Markus ist schuld, ähm hier Twitter ist Schuld, aber wir nein,So und die lassen sich ernsthaft zitieren und tragen heute noch vor, dieses System hätte keine Sicherheitslücken. Und das.Tatsächlich auch der Punkt wenn man eine Sicherheitslücke hat, dann sagt man, hier.Haben wir Scheiße gemacht? Haben wir Scheiße gebaut, haben wir gefixt, wir kennen das Problem an, tut uns leid, wer uns selber verifiziert,Scheiße, sorry. Und ist auch völlig in Ordnung, dass solche Fehler passieren. Nur die können nicht drei Wochenspäter nachgewiesen werden, nachdem es schon auf Zeit online stand und du irgendwie wie so ein Gorilla auf deiner Brust rumgeprügelt hast und gesagt hast, äh bei uns, nee, überhaupt nicht, ey. Wir machen das alles hier mitund so, ne? Das ist alles cool, während du gleichzeitig am Datum der Presseanfrage oder einen Tag vor dem Artikel so eindeutig und durchschaubar versuchst, noch irgendwelche komischen Fixes unterzubringen. Und.Irgendwann hast du dann eben auch alles Vertrauen verspielt. Es ist nicht so, dass ich ähm.Muss wirklich sagen, gerade ich als jemand den ganzen Tag nur mit Sicherheitslücken zu tun hat und ihrer Behebung und auch die Probleme kennt, ja, ich habe ja in meiner beruflichen Tätigkeit mit nicht trivialen Sicherheitslücken zu tun,wo du wirklich denkst, Scheiße, wie kriegen wir dieses Risiko eingehegt, ja? Und ähm da akzeptiere ich nur,den Umgang der lösungsorientiert ist. Und wenn die um.Betreiben und sagen im Zweifelsfall, also wir belehren jetzt mal hier erstmal, ja? Die Mitarbeiterinnen im Gesundheitsamt.Geben jetzt irgendwie Microsoft Excel die Schuld,ja? Dass wir keinerlei anwenden, bei hochkritischen Daten in einem sensiblen, zeitkritischen Kontext, ja? Mein, die Warnmeldung, wie lautet die Warnmeldung, Markus?
Marcus Mengs 1:36:01
Um vertrauenswürdige Quellen.
Linus Neumann 1:36:03
Nur wenn sie nur öffnen sie diese Datei nur wenn sie die aus einer vertrauenswürdigen Quelle haben.Wer soll denn bei wenn Luca, hör mal Luca, kannst du doch vertrauen, da hat der Smudo doch gesagt, das ist doppelt verschlüsselt. Was willst du denn noch.Ja, wenn die, wenn sie hier immer noch die Schuld bei anderen Leuten suchen, dann hast du's halt einfach mit Leuten zu tun, die nicht aufrichtig sind,das ist einfach, ne, die haben bis heute nicht zugegeben, dass sie eine einzige Schwachstelle haben.Reden hier potentieller Missbrauch unseres Systems, andere Schwachstellen, die Markus, denen äh gemeldet hat, haben sie gesagt, ja hier haben wir einen, hier haben wir einen Error.Und ich meine, man fragt sich wirklich, was sind das für Leute.Wenn du das, wenn du den Unternehmensnamen googelst, äh hat äh Torsten mich heute noch drauf aufmerksam gemacht, dann ähm.Kommt irgendwie so sie machen nur Hochsicherheitslösungen mit.
Tim Pritlove 1:37:05
Das ist ein guter Witz.
Linus Neumann 1:37:08
Jemand, jemand anders antwortet da äh,Berliner Startup, das für nutzerfreundliche und hochsichere IT-Lösungen steht. Easy collaboration security by Design. Ein äh weiterer Nutzer auf Twitter antwortete darauf, irgendwie so Hochsicherheit kommt vor dem Fall,Ja, was ich auch sehr.
Tim Pritlove 1:37:34
Oh Mann, das trifft's wirklich sehr gut, ja. Oh.
Linus Neumann 1:37:45
Und du du fragst dich dann, ne, äh wie wie kommt es, dass der Chaos-Computer-Club siebenundsiebzigäh hoch äh dekorierte Security-Vorstellungen an den Berliner Universitäten. Sie vierhundert noch was Menschen, äh die die auch was von dem Thema verstehen, da drunter schreiben. Und alle sagen, das ist hier MurksDas ist Morks, das willst du nicht haben, das möchtest du nicht, da sind deine Daten nicht in guter Hand und da sind deine zweiundzwanzigeinhalb Millionen Euro Steuergelder nicht in guter Handwerden dann irgendwie noch als Hater beschimpft, als würden wir nicht diesen Codehaufen.Erkennen, als das, was er ist, ein Kothaufen. Und das ist zum Durchdrehen.Musste dich noch dafür rechtfertigen und dann wirst du noch diskreditiert bei anderen Unternehmen, ja? Ähm.Meldest du eine Schwachstelle und die die kommen nachher zu dir und sagen, hör mal, du hast ja mit Aufwand gehabt, ne, äh wir danken dir, dass du äh einen Beitrag zu der Sicherheit unseres Systems geleistet hast. ÄhmWir dachten, wir überweisen dir mal folgenden Betrag.
Marcus Mengs 1:38:55
Man muss auch sagen, das sagen die auch, wenn's kein wertvoller Beitrag war, damit du wiederkommst und weiter für die Arbeit ist, weil das kostet ja nicht viel.
Linus Neumann 1:39:02
Richtig, das kostet dich.Sprichwörtliche, müde Arschrunzeln, da mal ein Tausender oder fünfzehn rauszuwerfen ähm oder zwanzig einfach nur,um dich mit der Community gut zu halten. Ich will jetzt nicht dafür werben, dass äh Nexenio Markus Geld geben sollte, dafür ist er auch glaube ich zu spät und ähm so wie ich Markus schätze, würde,im Zweifelsfall eh einem äh anderen Zweck äh zur Verfügung stellen. Aber das ist halt.
Marcus Mengs 1:39:31
Ich habe sogar vor der Backbound die muss man äh kurzer Einwurf, es wird eine Backbound hier angeboten. Ich habe da mal vorsichtig vorgewarnt.Weil das hat auch immer was mit auch einem Backbound, die hat was mit Vertrauen gegenüber den Herstellern zu tun, weil man steht auch ganz schnell mal unter einer NDA,und also dass man dann nicht mehr über das sprechen darf, was man da äh gemeldet hatAber wir reden hier davon, dass das sehr, sehr viele Leute betrifft und wenn ich mir die Firma so angucke, hätte ich normale ich selbst in Persona gar keinen.Gar nicht die Tendenz in der Back Bounty zu reporten. Ich würde mich dann nicht unter die Regeln drunter drücken lassen, in dem Fall.
Linus Neumann 1:40:13
Ich will das Thema jetzt gar nicht aufmachen. Es gibt halt einen, also es gibt einen Unterschied in einer in einer gelebten IT-Sicherheitskultur und da dazu gehört eben auch das aufrichtige Anerkennen von Fehlern. Ja und,hier irgendwie dann noch am Ende die die Gesundheitsamtsmitarbeiterin zum zu belehren.Unten, unten trivialfehler, den sie gemacht haben, dann irgendwie noch Microsoft anhängen zu wollen.Dann will ich nicht wissen, äh wie das aussieht, wenn wenn mein Name demnächst den den äh den Header einer Excel, einer Excel-Datei hat.
Marcus Mengs 1:40:50
Das Statement, entschuldige lieben und das Statement, das das ist an Dreistigkeit, das ist echt nicht so zu übertreffen oder auch die alleine äh.Eine Aussage dadrüber zu treffen, was Behörden für BSI-Maßnahmen umsetzen, die brauchen alle keine IT-Sicherheitsbeauftragten mehr, weilSagt denen, was für Maßnahmen schon umgesetzt sind. Die brauchen auch keine Konzepte mehr schreiben, weil Next Senior weiß auch, was für Maßnahmen umgesetzt sind und wie den riesigen Rechnungen betragen wird.
Linus Neumann 1:41:14
Unglaublich.
Marcus Mengs 1:41:15
Sicherheitsstrang brauchst du gar nicht mehr, du willst jetzt einen Dreistigkeit kaum noch zu übertreffen, ne? Oder oder alleine der Wunsch.Aus der Perspektive Nexenio feststellen zu können, ob's damit mal einen erfolgreichen Angriff gab oder eine Ausnutzung von solchen Schwachstellen, das ist ja auch,Ein sehr großes Wunschdenken, ja, dass man da überhaupt Aussagefähig ist von außen, äh ist schon.Schon sportlich, was sie da geschrieben haben, muss man so sagen.
Linus Neumann 1:41:44
Also mir fällt da nichts mehr zu ein.
Marcus Mengs 1:41:47
Investiert mehr nicht vier Millionen in SMS, sondern noch mehr in PR.
Linus Neumann 1:41:51
Vier Millionen in SMS, die sie nicht prüfen. Das ist einfach nur so.Hier vier Millionen ne weg.
Marcus Mengs 1:42:01
Vielleicht das, vielleicht äh ich habe auch schon mal überlegt, ob das nicht vielleicht der Grund ist, ähm,Warum ja diese SMS Verifizierung immer noch nicht stattfindet, weil die Frage ist ja dann auf die Nutzer, die sich da ja schon angemeldet haben, müssen die dann auch nochmal eine neue SMS bekommen oder nicht. Kostet das dann nochmal vier Millionen?
Linus Neumann 1:42:18
Also das ist ja wieder nur Quatsch, ne? Das ist ja wieder nur, dass sie morgens irgendein Quatsch geredet haben, die werden niemals äh mit ihren existierenden Nutzerinnennochmal 'ne SMS verifikation durchführen. Das werden die einfach nicht tun, weil sie wissen, dass sie dabei dreiviertel der Nutzerinnen verlieren. Aber,Ich denke, wir haben jetzt auch langsam alles geschildert und es ist ja also.Es werden hier immer wieder Probleme geschildert,es sind immer Probleme aus dem ersten Semester oder dem ersten YouTube-Tutorial und die warum ich auch wirklich so fuchsig darauf reagiere und warum ich das hier auch nochmal in aller Breitemit dir. Markus, ich weiß, du hattest einen langen Tag, besprechen wollte, ist, weil diese Antwort so.Unverschämt ist, weil sie so gegen alles verstößt, was wir in der IT-Sicherheitskultur seit Jahrzehnten leben.Und was wir auch nicht tolerieren dürfen als Gesellschaft.Es gibt immer schwierigere Sicherheitslücken. Es gibt immer größere Hacks und so weiter. Aber gerade deswegen musst du als äh Unternehmen, dass Millionen an Steuergeldern kassiert, sagen,So und so, habt ihr recht, Hammerscheiße gebaut, müssen wir besser machen.Und das hätten sie vor drei Wochen machen können. Und sie machen's drei Wochen später immer noch nicht. Und solchen Leuten willst du nicht vertrauen,Und deswegen stelle ich jetzt hier ganz klar die Forderung, na ja, ein Spiegel äh Interview heute schon gestelltVerträge, rückabwickeln, Regress fordern, die haben nicht geliefertLuca Deh installieren und echt zusehen, ob er wenigstens noch ein paar von den Millionen irgendwie zurückfördern äh zurückfordern können, weil die ganz offensichtlich nicht das geliefert haben, was sie,versprechen und weil sie den Anforderungen, die sie an ihre eigene App stellen, nicht gerecht werden.
Tim Pritlove 1:44:31
So Leute, ich äh denke, jetzt ist äh alles ausführlich diskutiert äh worden. Wir stellen fest, dieses,ist äh nicht zu retten und unsere einzige Hoffnung besteht da drin, nicht nochmal drüber sprechen zu müssen.Vielen Dank, Markus für die äh Ausführung.
Marcus Mengs 1:44:53
Ja, danke für das entspannte Gespräch.
Linus Neumann 1:44:57
Und danke, dass du an der Nummer so drangeblieben bist.
Tim Pritlove 1:45:00
Genau. Ja und wir äh Linos haben jetzt ein bisschen viele Sendungen rausgegossen. Ähm.
Linus Neumann 1:45:06
Ja, jetzt hören wir auf.
Tim Pritlove 1:45:07
Aber das hat hat ja auch jetzt ist erstmal Ruhe. Wir melden uns dann wieder, wenn die Pandemie vorbei ist.
Linus Neumann 1:45:16
Und die Netzpolitik wieder in Ordnung.
Tim Pritlove 1:45:18
Ja genau und all diese Apps überhaupt nicht mehr erforderlich sind. Nee, Quatsch. Wird nicht so lange dauern, aber äh jetzt wünschen wir euch noch einen schönen Wochenausklang oder was auch immer gerade bei euch äh ansteht und sagen tschüss und bis bald.
Linus Neumann 1:45:31
Tschau, tschau.
Marcus Mengs 1:45:32
Tschüss.

Shownotes

Prolog

Feedback

Vorstellung Mame82

Vorgeschichte Luca

Umgang mit Theresa Stadler

Luca-Probleme

Video-Serie

Tracking

Schlüssel-Anhänger: LucaTrack II

Code Injection

Vorgeschichte

Wie genau funktioniert der Angriff?

Presseberichte

Reaktion von Luca

Reaktion Community

Empfehlungen

LNP395 Gute-Geheimdienste-Gesetz

Eine kleine Geschichte des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Ein LNP-Spezial mit Andre Meister.

Andre Meister und Linus Neumann wollten eigentlich nur über die letzten beiden Staatstrojaner-Gesetze der Legislaturperiode sprechen, die jetzt im Hau-Ruck-Verfahren den Bundestag passieren sollen.

avatar
Linus Neumann
avatar
Andre Meister

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Andre Meister 0:00:00
Guten Morgen Linus.
Linus Neumann 0:00:01
Morgen, Andre.Logbuch Netzpolitik mit einem weiteren kleinen Spezial. Lange nicht mehr hier als Gast, aber eigentlich äh immer noch gesehen, als äh schönes, tolles Mitglied des Lokbuchnetzpolitik Teams ist Andre Meister, mit dem,ich heute mal ein bisschen sprechen möchte über den Zustand,beim Staatstrianer. Wir zeichnen auf am einundzwanzigsten Mai. Ich weiß aber noch nicht genau, mit welcher Sendungsnummer diese Folge veröffentlicht wird, das seht ihr im Zweifelsfall. In eurem freien Podcastdenn auf Plattformen wie Spotify veröffentlichen wir ja aus Gründen,nicht. Andre Meister ist den meisten von euch sicherlich bekannt als äh Redaktionsmitglied bei Netzpolitik org und aus äh als Landesverräter.Und als regelmäßiger Gast hier in der Sendung, aber es ist relativ lange her, Andre und äh von vielen Leuten wurde mir auch gesagt, ich soll dich bei dieser Gelegenheit dafür rügen.
Andre Meister 0:01:28
Ja, Corona ist schuld. Oder so.
Linus Neumann 0:01:30
Corona stimmt, da haben ja die meisten Leute stark am Output gelitten und konnten gar nicht mehr podcasten und auf YouTube irgendwelche Sachen veröffentlichen.
Andre Meister 0:01:39
Wir hatten ja grad schon Technikprobleme in die Metaebene, wer ich auch schon mal eher wieder gegangen.
Linus Neumann 0:01:44
Ja, das stimmt. Äh tatsächlich. Äh wir haben ähm.Eine lange gemeinsame Geschichte, die äh Staatstrojaner betrifft und ich glaube, dass was ich immer noch äh für eine der am wenigsten berichteten undtrotzdem auch krassesten Geschichten halte, ist dieser,ja dann doch irgendwie ein bisschen äh gemeinsamer, aber primär auf dich und die GFF zurückgehende Erfolg.Hausdurchsuchung bei Filmfischer.Was war da los? Die GF hatte äh Strafanzeige erstattet. Thorsten und ich haben nach dieser Strafanzeige auch nochmal eine Bericht über den geschrieben, indem wir weitere.Beweise zusammengefügt haben zu den schon bestehenden, irgendwie eine eine weiterführende, tiefergehende Analyse nachgereicht haben. Ähm.Und es geht da ging bei dem Verfahren darum, dass das äh Unternehmen Gamma-Finfischer das Unternehmenskonglumrad Gamma Filmfischer in dem Verdacht steht, diese digitale Schadsoftware.An die Türkei geliefert zu haben, wo sie gegen die Opposition eingesetzt wurde. Und dann ist erstmal eine ganze Menge nichts passiert und dann.
Andre Meister 0:03:06
Äh ist das jetzt die galante Überleitung.
Linus Neumann 0:03:10
Galante Überleitung.
Andre Meister 0:03:10
Ja, ich ich muss mal noch einen kurzen Einschub machen, also äh Ulf, Burmaier und ich, wir hatten damals die Idee für diese Strafanzeige, aber das ist eine Gemeinschaftsaktion, auch zusammen mit Reporter ohne Grenzen und dem ECCHR.Ähm das ist tatsächlich, weil das ECCHR, das europäische Zentrum fürGrund- und Menschenrechte, glaube ich, die machen sehr viel zu Exportkontrollen, da vor allem zu Waffenexporten. Äh und Reporter ohne Grenzen hat natürlich sehr viel zu Türkei gemacht und vor allem Pressefreiheit in der Türkei.Und zusammen mit GF und Netzpolitik das vier NGOs aber nach der Strafanzeige, die wir eingereicht haben.Ist erstmal lange nicht viel passiert, also das Einzige, was passiert ist, ist, dass ähm.Fischer, Mia und Netzpolitik, ORG, äh 'ne Abmahnung geschickt hat und ich glaube.
Linus Neumann 0:04:01
Stimmt.
Andre Meister 0:04:02
Gericht äh über unseren Artikel, der leider nicht mehr in Gänze online ist. Ähm aber irgendwann letztes Jahr, lass mich nachim Oktober genau zwanzig zwanzig gab's eine Razzia äh bei Finn Fischer wegen dieser Strafanzeige, also die Staatsanwaltschaft München, wo wir die äh die Strafanzeige eingereicht haben,Verdacht auf illegalem Export ohne Genehmigung. Ähm die hat,den Anfangsverdacht äh gesehen, dass sie gemeint haben, da ist was dran. Das gucken wir uns mal genauer an und haben anscheinend genug Verdacht gesehenum äh Hausdurchsuchungen zu machen und zwar nicht nur in der Firmenzentrale in München, sondern in insgesamt fünfzehn Objekten, wie die das nennen, also Geschäftsräumen und Privatwohnungen.
Linus Neumann 0:04:49
Und Briefkästen.
Andre Meister 0:04:51
Ja, ich die sagen leider nicht ganz genau, ähm was die konkreten, ob,ich würde mal davon ausgehen, äh dass höchstwahrscheinlich auch die Meldeadressen der äh einer oder mehrerer Mitarbeiter von einer oder mehrere Firmen.Ähm davon betroffen waren, also dass sie wahrscheinlich auch bei Geschäftsführern oder wem auch immer zu Hause standen, äh einer der Geschäftsführer der Fin Fisher GmbH, ist auch seit.Ungefähr dieser Razzia nicht mehr Geschäftsführer. Äh ich habe leider noch nicht bestätigen können, ob das Korrelation oder Karussellität ist.Ähm auf jeden Fall gab's eine Hausdurchsuchung bei fünfzehn äh Objekten und seitdem wertedie Staatsanwaltschaft in München diese Daten wohl aus und äh überlegt, ob sie den Anfangsverdacht,ähm dass ein Export dieser höchstwahrscheinlich in München entwickelten Software, die irgendwie in der Türkei gelandet ist, wahrscheinlich äh auf illegalem Wege,dort gelandet ist und jetzt müssen wir die Staatsanwaltschaft die redet leider nicht viel ich mein es ist ja auch.Können sich jetzt auch nicht einfach so mit Thesen und Vermutungen äh aus dem Fenster lehnen. Ähm.Ist auch nicht direkt der Presse sagen, was sie jetzt machen und was sie als nächstes vorhaben, äh sonst würden sie ja auch eventuelle äh Täterinnen warnen und vorwarnenaber ich gehe davon aus, dass sie weiter diese Daten, die sie damals gesammelt haben bei der Hausdurchsuchung. Ich meine, es geht um jede Menge Akten und Computerfestplatten, halt das Übliche, was man so machtauswerten und dann irgendwann feststellen, ob jetzt genug Beweise zusammengekommen sind, um tatsächlich.'ne Anklage zu formulieren die würde die Staatsanwaltschaft dann einreichen und dann käme es zu 'nem Gerichtsverfahren. Wann das ist, in welchem Stadium das ist, das ist leider aus der ähm Staatsanwaltschaft nicht so wirklich rauszukriegen.
Linus Neumann 0:06:52
Aber äh ich fand das ja mal spannend überhaupt, dass also in so vielen ObjektenDurchsuchungen. Klar, man muss also zügelspalten. Einerseits ist jahrelang nichts passiert. Die Initiative für so einen äh so etwas überhaupt zu verfolgen, muss aus der Zivilgesellschaft kommen. Thorsten und ich haben,auch nochmal Monate da reingesteckt, andere Leute,noch viel mehr Zeit davor, äh um diese ganzen Beweise zusammenzutragen. Deswegen fand ich's eigentlich so ein bisschen,ja frustrierend zu sehen, dass da gar nichts passiert. Aber als es dann passiert ist bei so vielen ähm bei so vielen Objekten eine Durchsuchung anzustrengen.Ich sage mal, diese Durch den Durchsuchungsbefehl guckt sich selbst die Richterin noch zwei, drei Mal an, bevor sie den unterschreibt, ne? Beschluss, Beschluss.
Andre Meister 0:07:40
Ja, äh da kommt ja auch noch zusammen, also,Polizei und Staatsanwaltschaft, die haben das gemeinsam mit dem Zollkriminalamt gemacht, äh denn Verstoß gegen Außenwirtschaftsordnung und Exportrichtlinien.Ist beim Zoll angesiedelt und der Zoll, der darf auch schon seit Ewigkeiten den Staatsröhren einsetzen. Äh da wäre jetzt die lustige Frage, ob sie vielleicht Finfischer gegen Finfischer nutzen oder so.Wir haben ja schon vorher gesagt, wenn der Staat wissen will, ob die Samples, die da in der Türkei gelandet sind, ähm tatsächlich Fin Fischer sind, dann können sie sich ja mal ihr eigenes Exemplar, was sie ja gekauft haben, äh angucken.Wahrscheinlich wird's nicht ganz so äh gelaufen sein, aber schon es ist schon ich wüsste nicht, dass es ähm juristisch in der EU oder auch.Weltweit so einen unmittelbaren Erfolg,Herstellerfirmen gab, mal abgesehen von der Klage von WhatsApp gegen NSU, die ja auch auf diversen Ebenen läuft.Die Firmen.Es gibt ja auch wahrscheinlich viel mehr Firmen als nur äh Hacking Team, NSO und Finn Fischer. Ähm das ist ja ein internationaler Markt, der schwer zu durchdringen ist.Aber von denen was bekannt ist das schon ist das schon ein starkes Stück, dass der Staat da so dagegen vorgeht.Wenn sie sich denn wirklich äh schuldig gemacht haben, Gesetze verletzt haben, was halt die These unserer Strafanzeige ist.
Linus Neumann 0:09:20
Ja, das äh muss also ich denke,dass das diese Software ist und dass sie in der Türkei äh entsprechend eingesetzt wurde, steht außer Frage. Hm, der wahrscheinlichste Winkel kann ja hier eigentlich nur noch sein, dass sie,ein Weg,oder ein Schlupfloch gefunden haben erklären zu können, äh wie denn diese Software ähm in die Türkei gelangt ist nach diesem besagten.Datum des Inkrafttreten in Kraft tretens der Exportkontrollen.Wir konnten ja zumindest beweisen, dass diese Software, die da in der Türkei zum Einsatz kamnach dem Inkrafttreten kompiliert wurde und sehr große Ähnlichkeiten zu Softwareprodukten des Hauses findest bei aus der Zeit davor und danach hat. Ähm.Andererseits weiß man oder man weiß eben auch von Unternehmen, die unter Exportrestriktion leiden, dass die gerne mal ein paar Anwältinnen bereitstellen, um Wege zu finden, wie man das denn umgehen kann.
Andre Meister 0:10:31
Internationale äh.Nicht nur Tarnfirmen, aber internationale Firmen, Netzwerke, das sind auch komplizierte Geflechte, auch Finnfischer hat sich im Laufe der Zeit äh immer mal wieder, dass Firmen ähm,Konstrukt dahinter äh gewechselt. Lustig fand ich, dass einer der Geschäftsführer äh im,Zuge der Strafvermittlung per Eides stattliche Erklärung versichert hat, die fünf Fischer Lebs GmbH, die Software Finn Fischer entwickelt, ähmüberspezifisch, weiß gar nicht, warum sie das äh so on the Record noch mal ähm.Juristisch quasi ungelogen äh bestätigt haben. Aber das geht dann gleich weiter mit die fünf Fischer GmbH, also keinen Zeitpunkt, die Software äh in die Türkei verkauft oder vertrieben.Ist halt wirklich die Frage, die These ist, das wird in München entwickelt.Und es ist relativ belegt, dass es in der Türkei gelandet ist. Die Frage ist, wie kommt das von Ursprung.
Linus Neumann 0:11:26
Ja. Da blicken wir beide auf jeden Fall sehr gespannt hin. Und wo wir beide auch sehr gespannt hinschauen, ist wie.Ähm das rechtliche Gefüge staatstrojaner sich irgendwie insbesondere in Deutschland ähm weiterentwickelt. Wir haben darüber in Lokbuch Netzpolitik schon sehr viel gesprochen. Ich will, glaube ich,eingangs nochmal ganz, ganz, ganz kurz erklären, worum es da geht. Ähm.Als Staatsreaner bezeichnet man Schadsoftware, die auf den Geräten.Der Zielperson läuft, also eine direkte Schadsoftware auf eurem Gerät oder auf dem Gerät der Verdächtigten. Ähm.Die dort natürlich wie jede andere Schadsoftware potenziell schalten und walten kann, wie sie möchte. Es werden aber zwei unterschiedliche theoretische ähm Einsatzzwecke unterschieden, nämlich einmal.Die ähm Telekommunikationsüberwachung, wo also gesagt wird, okay, wir infizieren dieses Gerät jetzt, weiles es kommuniziert Ende zu Ende verschlüsselt, das heißt die Kommunikationsinhalte bekommen wir nur noch auf den Geräten der Kommunikationsteilnehmerinnen und nicht mehr, wie wir es sonst machen bei den Telefonieanbietern,Und dann gibt es noch den Fall der Onlinedurchsuchung, wo man also quasi sagt, okay, wir machen eine Schadsoftware auf dieses Gerät und wir schauen uns alles an, was sich da so,drauf befindet.So die beiden theoretischen äh diese beiden theoretischen, rechtlichen Unterscheidungen in der Befugnis.
Andre Meister 0:13:14
Kleine Ergänzung, du hast gesagt, äh Telekommunikationsüberwachung, Telekommunikationsüberwachung ist das klassische Handy oder Internet abhören. Sie meinen Quellentelekommunikationsüberwachung ist ihrer Wortneuschöpfung.Und die Onlineuntersuchung, die kann natürlich alles,alles zugreifen, was ich auf dem Gerät befindet, aber auch alles wohl zu dieses Gerät Zugriff hat. Äh also nicht nur, was auf dem Gerät selber gespeichert ist, sondern auch alle Dinge, wo man von diesem Gerät aus eingeloggt ist.
Linus Neumann 0:13:42
Oh, wichtiger Punkt, ja, also nicht nur das Gerät, sondern auch die äh wenn das Gerät äh zwanzig Gig hat und noch vierhundert in der Dropbox liegen, äh darf man auch dorthin.Was sich um die Problematik dieser theoretischen Konstrukteur ein bisschen zu illustrieren.Gibt's jetzt zum Beispiel so eine theoretische Frage. Wenn angeordnet wird ab heute wird das, wird die wird die Kommunikation von Linus Neumann abgehört. Und.Ich habe gestern bestimmte Nachrichten erhalten, stellt sich die Frage, ne, die Schadsoftware, mit der mein Gerät potentiell infiziert wurde, die kann sowieso im Zweifelsfall an alles dran. Stellt sich jetzt also nur noch die Frage, äh liest die,meine Inhalte nur bis zum Datum des Beschlusses aus? Oder vielleicht doch Retrograd noch ein bisschen mehr? Für die, für die Software ein,Also eine Abitäre Beschränkung, die sie haben kann oder nicht haben kann, die aber eben auch zeigt, dass es wirklich ein theoretisches Konstrukt ist, dass es so etwas wie eine Quellen-TKÖ in dem Sinne gäbe,wie es sich hier äh wie man es sich hier vorstellt. Also,ähm wir beide, glaube ich, kann man ganz klar sagen, vertreten die.Ansicht, dass die Störung der Integrität eines Gerätes äh ein absolut inakzeptabler Eingriff ist, auch im zum Zwecke.Der Quellen-TKÖ. Da würde ich jetzt Zustimmung von dir erwarten.
Andre Meister 0:15:14
Ja ist äh du du hast jetzt äh einen Punkt angesprochen ähm mit der laufenden Kommunikation oder der gespeicherten Kommunikation, wo ich nochmal drauf eingehen würde.Ähm es gab ja schon diverse Klagen gegen Staatstrojaner und im Grundsatzurteil äh ging es BKA-Gesetz damals, hat das Bundesverfassungsgericht ja überhaupt erst das IT-Grundrecht geschaffen,das Grundrecht auf Vertraulichkeiten, Integrität, informationstechnische Systeme.Und in dem Urteil wurde so ein bisschen die Weiche gestellt für diese Abiturunterscheidung zwischen dem kleinen Trojaner, der nur laufende Kommunikation abhört und dem großen Trojaner, der alles äh abhört, was auf so einem Gerät ist.Und tatsächlich heißt's in dem Bundesverfassungsgericht Entscheidungen relativ klar, diese sogenannte Quellen-Ticker Ü, die muss sich auf laufende Kommunikation beschränken,laufender und diese Beschränkungen müssen nicht nur rechtlich, sondern auch technisch sichergestellt sein.Nun gibt's viele große Debatten und wir haben 'ne Meinung dazu, ob das möglich ist, dass so technisch sicherzustellen.Tatsächlich geben sich die Juristen in den Sicherheitsbehörden und die Politiker die diese Gesetze voranbringen.Oftgroße Mühe, das genauso zu definieren, zu sagen, nein, unsere Software für einen Quellen-Ticker Ü, die kann gar nichts anderes als laufende Kommunikation. Dann gab's da eine standardisierende Leistungsbeschreibung von BKA, die wir erst irgendwie frei ähm,ja, befreien mussten und veröffentlichen mussten. Aber tatsächlich ist es nicht nur so, dass die,die Software so entwickeln sollten, sondern die haben klare Vorgaben vom Bundesverfassungsgericht, so eine Quellenticket muss sich auf laufende Kommunikation beschränken.Das ist schon schwer genug in der Theorie,jeder, der irgendwie schon mal was mit Softwareentwicklung und Abhören von Kommunikation zu tun hat, fragt sich wirklich,Wie viele Zeilen, Code, äh Unterschied ist zwischen äh gespeicherter Kommunikation äh und laufender Kommunikation äh abzufischen und auszuleiten.Aber das ist auch noch ein rechtlicher Unterschied, dennden Gesetzen, die seitdem gemacht wurden, äh zum erstens die krasse Ausweitung des Staates am Ende der letzten Legislaturperiode ähm auf die sogenannte Alltagskriminalität und auch jetzt in den beiden Gesetzentwürfen, die zurzeit kurz vor der Verabschiedung sind, ist immerkurz vor Ende der Legislaturperiode macht die GroKo nochmal sowas.
Linus Neumann 0:17:40
Das ist genau die Chefin. Mir fällt nämlich ein, ich habe das, glaube ich, hier im Podcast auch schon gesagt. Ich fühlte mich ja inzwischen schon ungeliebtweil ich äh mehrere Jahre nicht mehr als Sachverständiger in Ausschüssen des Deutschen Bundestags war, nämlich das letzte Mal zu genau dieser Ausweitung der des Staatstrojaners auf Alltagskriminalität. Und das ist ja ein paar Jahre herUnd es war aber.
Andre Meister 0:18:01
Juni zwanzig siebzehn eine der letzten Sitzungswochenende der letzten Legislatur.
Linus Neumann 0:18:05
Richtig und dieses Jahr äh zwanzig einundzwanzig, exakt vier Jahre später,innerhalb von zwei Monaten dreimal als Sachverständiger in Ausschüssen des Deutschen Bundestags, weil wir gerade wieder, ne, im Endspurt sind undalle vier Jahre kommt dann so eine ArtDedos der Regierung auf die Opposition, da siehst du auch schon immer die Mitarbeiterinnen und so der der MDBs, die laufen alle nur noch auf ihren Augenringen, ne? Und äh dann werden die da alle zugebombt und dann kannst du auf einmal jeden Tag dahin rennen. Und das war genau vor vier Jahren mit dieser Ausweitungähm des Staatstrojaners.
Andre Meister 0:18:39
Hm, der so am Anfang der Legislatur muss ich ja erstmal alles setzen und man muss die großen Rahmen äh schaffen und die Stellen und sich einpendeln in den.Ja auch.Kontinuitätsprinzip in Deutschland, dass alles, was in einer Legislatur nicht fertig wird, dann nicht einfach ähm von diesem Stand aus übernommen wird in der nächsten äh und am Anfang wäre natürlich die großen Prestige,gemacht, die im Koalitionsvertrag ganz oben sind und die Unstrittigen, alles andere lagert man ja erstmal eine Weile lang aus in irgendwelche Arbeitsgruppen und Gremien und Enquetekommissionen und so. Ähm,kurz vor Schluss kommt dann das ganze Zeug auf was man sich vier Jahre lang nicht einigen konnte aber irgendwie muss man sich jetzt nochmal zusammenraffen vor allem eh vielleicht sogar die Regierung irgendwann mal wechselt und da manche Dinge gar nicht mehr möglich sind.Aber jetzt eben haben sie sowohl in dem ähm der Strafprozessordnung für die Polizei,als auch in den beiden Gesetzen über die wir jetzt reden nicht nur die Quellen TKÜs, sondern so 'ne Art Quellenticker Ü Plus.Ihr Restkonstrukt ist jetzt nicht mehr nur, dass sie laufende Kommunikation abhören wollen, sondern laufende Kommunikation, Abzeitpunkt der richterlichen Anordnung,unabhängig davon, wann sie es irgendwann mal schaffen, diese Schadsoftware dann auch auf dem Zielgerät zu installieren.Definieren quasi das so wie früher beim äh Telefongespräch. Was man hätte abhören können, wenn man denn äh sofort den Zugriff gehabt hätte, was natürlich aber beim Staatstrainer.Oft ungleich schwieriger.Aufwendiger und auch nicht immer erfolgsversprechender ist. Jedenfalls ist das ein der großen Punkte sowohl in dem alten Gesetz, gegen das ja die Gesellschaft für Freiheitsrechte auch wieder Verfassungsbeschwerde eingerechnet vor vier Jahren.Aber das dauert ja immer ein bisschen. Äh diese Urteile dann auch irgendwann kommen, als auch äh in den ähm.Glaube auch im Bundespolizeigesetz, können wir aber gleich nochmal äh gucken, da geht's eigentlich schon mal was anderes als auch jetzt um das Gesetz für die Geheimdienste. Die bekommen eine Quellenticker Ü plus,die dürfen zwar nur Kommunikation abhören und in der Theorie auch nur laufende Kommunikation, weil das das Bundesverfassungsgericht erlaubt hat, aber sie sagen jetzt, die laufende Kommunikation kann auch schon mal vor zwei Monaten gewesen sein.Oder so keine Ahnung wie sich das denn verhält mit irgendwelchen weiß ich nicht verschlüsselten E-Mails, oder auch die modernen Messenger, die haben ja mittlerweile alle Frids äh also.Teilweise kann das ja ganz schön eine Weile zurück äh reichen, diese Kommunikation.Am Montag meiner Sachverständigenanhörung im Bundestag zur Verfassungsschutznovelle, wo das geregelt werden soll und da haben eigentlich alle Sachverständigen, die sich dazu geäußert haben, gesagt, also.Die nicht läuft, sondern die gespeichert ist, die abzugreifen, das könnt ihr nicht einfach als Quellenticker Ü definieren, weil das ist kein Quellen TKÜ, das ist eine Onlinedurchsuchung.Und dementsprechend müsst ihr euch auch an die Voraussetzungen.Bundesverfassungsgericht für die Onlinedurchsuchung äh geknüpft hat, äh richten und könnte es nicht einfach äh so definieren, wie ihr das versucht, also das ist öfters mal sowas wie offensichtlich verfassungswidrig.Gefallen, was ja so ein starker Worte von ist.
Linus Neumann 0:21:46
Ist es halt auch, ne? Und trotzdem muss man ja, also was man genau daran sieht, istes ist im Zweifelsfall schwieriger ein ein System zu bauen, was nach ab erst ab einem bestimmten Datum abgreift, als ein System zu bauen, was einfach alles abgreift, ne? Und das ist ja auch, glaube ich, so ein bisschen das, was die, was die Juristinnen haltnicht ja, nicht verstehen, nedass das äh also ja, wie sich dachte, man kann in Software alles machen. Ja, ist richtig, ne? Es geht auch, aber hm, das äh von der Eingriffstiefe in das System ist es eben eine nicht unterscheidbar.
Andre Meister 0:22:27
Da kommt noch dazu Eingriff äh ist ein gutes äh Stichwort, denn wie gesagt, in der ersten Staatsurteil gab's ja dieses IT-Grundrecht.Ähm und da wird ja eben definiert, dass Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen ähm und wenn man in dieses Grundrecht eingreifen will,muss man mindestens äh als Erfahrungsjurist mittlerweile solche Dinge auch gelernt. Im Gesetz sagen, dass man daran jetzt eingreift. Aber wenn man das einfach ignoriert und gar nicht erwähnt, äh das geht halt rechtstheoretisch nicht.Ähm wenn man in ein Grundrecht eingreifen will, dann muss man auch sagen, im Gesetz, wir greifen jetzt in dieses Grundrecht ein.Ist ja auch in Grundrechen, die werden ja definiert in äh den ersten Grundgesetzartikeln. Der steht ja immerGrundrechte auf Brief, Post und Fernmeldegeheimnis, Eingriffe gehen nur mit einem Bundesgesetz oder so und dann,in dem Bundesgesetz, aber eben auch gesagt werden, wenn wir jetzt äh in Quellenticker üben würden, dann greifen wir halt in das IT-Grundrecht ein, aber in den Gesetzentwurf, die jetzt da liegen.Wird das noch nicht mal erwähnt. Sie geben nicht zu, dass sie in das Grundrecht eingreifen, weil sie halt irgendwie aus dieser komischen Welt kommt und sie die ganze Zeit irgendjemand eingetrichtert,haben, die Quellenticker Ü ist doch eigentlich nichts anderes als unsere normale äh Telefonüberwachung nur mit anderen Mitteln. Das das ist dort wirklich die gängige,Praxis die Herleitung, die Rechtfertigung für alles, jede Bundestagsrede, jeder Befürworter dieser Gesetze sagt, wir können,Kunden früher SMS und Telefongespräche mitnehmen, lesen, die sind jetzt verschlüsselt bei WhatsApp,Also müssen wir das jetzt irgendwie magisch äh auch mitlesen. Das ist quasi eine moderne Form der äh Telefonüberwachung.Ähm mit den technischen Details setzen sie sich nicht auseinander, definieren eben nicht, dass das ein Eingriff in das IT-Grundrecht ist und das ist halt äh da ist dann halt schon mal einer der vielen Kernprobleme aus rechtlicher Perspektive, weswegen,dieses Gesetz halt höchstwahrscheinlich auch wieder vor Bundesverfassungsgericht angegriffen werden wird.
Linus Neumann 0:24:28
Jetzt muss man ja zumindest mal sagen, dass ähm.Naiv gedacht, dieser Anspruch ja durchaus ja, sagen wir mal, formuliert werden kann, ne, dass sie sagen, okay, äh also.Er geht mit einer Ausweitung einher, aber es ist ein eine übliche Argumentation zu sagen, hier pass auf, seid so und so viel Jahren haben wir,dass äh äh dass das Recht,oder das äh Strafverfolgungsmittel ähm X Y und jetzt verstößt aber auf einmal die Neuerungen der Technik, machen die Ausübung dieses Ermittlungsinstrumentes unmöglich,für uns. Aus diesem Grunde,muss jetzt hier was Neues eingeführt werden, damit wir diese Möglichkeiten behalten können. Ja, also ich würde sagen, gewissermaßen ist diese Argumentation bis dahin auch durchaus zu.Zu vertreten,ne? Ähm dumm ist, was sie im weiteren Verlauf daraus machen, nämlich dass sie dann sagen, alles klar, alles hacken und äh alles mit einreißen und ähwirklich halt eine Eingriffstiefe da vornehmen, die in keinem Verhältnis mehr steht zur äh Telekommunikationsüberwachung.Oder?
Andre Meister 0:25:47
Ja, also ähm man kann schon verstehen, äh das ist dieses Going Dark auf diese auf die sie sich da beziehen,Früher war alles unverschlüsselt in den herkömmlichen Telefonnetzen und am Anfang auch im Internet.Und jetzt wird aber immer mehr verschlüsselt, vor allem Salznoten und das ist ja auch gut, dann kommen sie mit ihren Wort-Akrobatik von Sicherheit durch und Sicherheit trotz Verschlüsselung.Ähm aus Sicht eines normalen Polizeibeamten, äh der aus einer normalen Telefonüberwachung nicht mehr so viel Inhalt bekommt, ist das auch irgendwie verständlich,Das Problem ist nur, diese Argumentation krankt an extrem vielen verschiedenen Punkten, denn,man vielleicht ein bisschen weniger Kommunikationsinhalt über Sprach undnach ähm Nachrichteninhalte bekommt über eine Telefonüberwachung. Es ist ja nicht so, dass mit der fortlaufenden Digitalisierung all unserer Lebensbereiche auf einmal den Ermittlungsbehörden.Signifikant weniger Informationen und Daten zur Verfügung stehen. Das Gegenteil ist doch der Fall. Wir hinterlassen doch noch nie so viele.Überall wie jemals zuvor. Ähm es ist noch nie so ähm noch nie wahr, sämtliche nicht nur Kommunikation, sondern eben auch Lebensentfaltung,Arbeit, Familie, alles, sämtliche Lebensbereiche bis hin zu irgendwann, wir reden ja von nicht,nur abstrakt von Smartphones und WhatsApp, sondern IT-Systemen bis hin zu Autos, Smart Homes, ähm Personal Assistance bis hin zu irgendwie.Computern, die wir am Körper haben, irgendwelche Hörgeräte, äh medizinische Geräte und so weiter und so fort,Gibt ja noch nie so viele Daten wie vorher. Was haben wir grad wieder? Bestandsdatenabfrage. Siebzehn Millionen Abfragen pro Jahr, nur für Telefonie. Keiner weiß, wie viel das für Internetanschlüsse ist. Wir reden von Dingen wie Vorratsdatenspeicherung, von.Die irgendwie die ganze Zeit unsere Location tracken. Das gab's doch alle vor zwanzig Jahren noch gar nicht. Ist doch nicht so, dass die Behörden.Die ersticken doch teilweise in Daten. Nach jeder Hausdurchsuchung heißt's, äh wir haben schon wieder zwanzig Terabyte Festplatten und nachdem wir die ganze irgendwie wir Filme rausgefiltert haben, ist es immer noch zu viel Inhalt, dass wir daSinn machen können. Also es ist doch nicht so die mögen ein paar Dinge weniger haben. Auf der anderen Seite haben sie aber doch viel mehr.Dann kommt noch dazu, dass äh vor allem die FDP äh hat das relativ treffend argumentiert in den äh Bundestagsdebatten.Im Bundestag argumentiert ja niemand dafür, dass äh Polizei und Geheimdienste nicht verschlüsselte Inhalte mitlesen sollen.Die Frage ist doch, wie und wie ist das geregelt sowohl technisch als auch rechtlich. Äh und gerade letzte Woche haben wir auch wieder ein Papier von BKA veröffentlicht.Die können sehr wohl WhatsApp mitlesen und die können auch Telegram mitlesen das habt ihr vor ein paar Jahren schon mal besprochen indem sie einfach ein weiteres Gerät in die Kommunikation hinzufügen.Bei diesen ganzen Messengern gibt's doch die Option, kannst du die auch in einem Desktop entweder als irgendwie Desktop klein oder im Browser oder so ein weiteres Endgerät hinzufügen.Und das BKA kann sehr wohl einfach ein Handy in die Hand nehmen und ein weiteres Gerät hinzufügen,und dann mitlesen das haben die internen Papier genauso gesagt und das haben wir veröffentlicht davor haben sie hier mitTelegram sogar irgendwie aufTelekommunikationsanbieter ebene diese Verifizierungs-SMS, die du dafür brauchst, ein neues Gerät hinzuzufügen, abgefischt. Äh und der Telekom gesagt, die bitte mal gar nicht zustellen.Es gibt ja durchaus Möglichkeiten, Dinge mitzulesen, auch Retro gehört, wenn ich meine, wenn irgendein Richter ein Staatstrojaner absegnet.Dann muss doch da schon so viel Fleisch Butter bei die Fische sein, äh dass dieser Richter auch eine Hausdurchsuchung absegnet, dass dieses Handy beschlagnahmt wird und da wird das an den Celebrate angeschlossen und dann wird da alles ausgelesen, was da drin ist. Das passiert doch auch täglich.
Linus Neumann 0:29:54
Willst du mal kurz sagen, ist dieses System, was äh die forensische,Datensicherung von ähm Geräten macht, was wir in einer der letzten Folgen von DoktorNetzkritik auch drüber gesprochen haben, was ein paar Sicherheitslücken hat, die unglücklicherweise ausgerechnet maximal äh analysiert hat. Oder wahrscheinlich Leute aus dem Team von Signal, nicht nur alleine. Ähmalso dem Messenger, der sich äh der jetzt ab jetzt so ein paar Dateien immer mit auf die Platte legt, die potenziell äh kaputt machen. ÄhmIch finde einen sehr wichtigen äh Punkt, den du nennstquasi sich in in diese Messenger-Kommunikation mit ähm einzubinden, weil das Einbringen eines weiteren Gerätes in diese Kommunikation mit der, mit der Messenger-Plattform.Zweifelsfall bis auf dass da wahrscheinlich auch noch Retrograde Daten mit zugegriffen werden können. Äh das ist quasi so nah wie es geht an.Einer Quellentühe. Noch interessanter wird's eigentlich, wenn du in dem Bereich gehen würdest zu sagen, aha, okay, wir möchten jetzt von.Äh vom Linus, das WhatsApp abhören. Könnt ihr vergessen, ich benutze das nicht, aber ähm,und jetzt würde man sagen, okay, eigentlich bräuchte man doch jetzt nur ein manipuliertes WhatsApp, was alle Daten ab Stichdatum,noch einmal mitspeichert und ausleitet und dann hätte man tatsächlich ein dem.Dem technischen Anspruch quellen TKÜ so nahe kommendes System wie nur irgendwie möglich ist.Ja, weil es ist nur WhatsApp, es ist nicht E-Mail, es kommt nicht an meine Bilder ran, die äh Sicherheitssysteme auf modernen ähm Mobiltelefon.Mobiltelefoniebetriebssystem ähm stellen sicher, dass eine App nicht in den Kontext einer anderen kommt. Klingt ja eigentlich wie die eleganteste Lösung. Dem steht aber was ganz Entscheidendes im Wege.Das war jetzt eigentlich eine Herausforderung an dich, das zu erklären.
Andre Meister 0:32:03
Grad gemerkt, es war eine Überleitung an mich. Äh ich bin äh du hast diesen Punkt aber auch im Podcast schon mal ausgeführt, oder?
Linus Neumann 0:32:09
Das alles schon mal im Podcast ausgeführt.
Andre Meister 0:32:12
Nee, glaube ich nicht und ich ergänze das dann mit was aber in den aktuellen Gesetzesentwürfen noch darüber hinaus äh ist.
Linus Neumann 0:32:18
Alles klar, die die Idee an dieser Stelle wäre einfach nur zu sagen, lieber Apple oder lieber Google.Wenn der Nutzer Linus das nächste Mal sein Update abholt für WhatsAppdann kriegt er bitte diese minimal veränderte Version von WhatsApp, die so eine kleine Zusatzfunktion hat, nämlich äh alle Nachrichten, die getippt und empfangen werden, irgendwie noch mitzuspeichern und an uns zu schicken.Klingt klingt elegant, hat aber leider das Problem, dass du das jetzt die Nutzerin Apple und Google nicht mehr vertrauen kannweil die quasi im Zweifelsfall gezwungen sind, gegen deine Interessen zu agieren. Und quasi dein.Hersteller des Betriebssystemes oder sogar des Gerätes, dem du ähm großes Vertrauen und große Geldsummen entgegenbringst, plötzlich aufder Behörden, die Sicherheit deines Gerätes kompromittiert, also im Prinzip der Eingriff in das fundamentale Vertrauensverhältnis hier zwischen Kundinnen,und ähm Plattformanbieterin, was auch ganz, ganz fürchterliche Konsequenzen hätte für die meisten,unbescholtenen Bürgerinnen und für die wenigen,die dann eben wirklich kriminell sind, eigentlich nur dafür sorgt, dass sie sagen, alles klar, aus dem App Store hole ich mir schon mal keine Updates mehr, sondern ich nutze jetzt, was weiß ich, ne, irgendwelche,geprüften ähm raubkopierten oder sonst was. Also wirEs ist tatsächlich ein Problem, weil bei bei jedem dieser Wege, alles, was da irgendwie versucht wird, viel mehr kaputt gemacht wird.Als gewonnen werden kann.
Andre Meister 0:34:02
Ähm wir haben jetzt noch gar nicht das Grundproblem staatstrojaner IT-Sicherheit angesprochen. Das können wir dann gleich nochmal machen. Ich gehe auf diesen Punkt ähm,gefälschten Updates oder personalisierten Zielgruppen Updates mal ganz kurz ein. Äh wir haben ja die ganze Zeit auf allen Ebenen diese Debatte. Man erinnert sich an.Vorstoß auf EU-Ebene vor ein paar Monaten, dieses mit Sicherheit durch und Sicherheit trotz Verschlüsselung, ähm die äh Polizei und Geheimnis.Sagen ja die ganze Zeit die Verschlüsselung ist ganz schlimm. Wir müssen da irgendwie ran und zwar auf allen Ebenen. Äh erstens wir wollen Trojaner. Zweitens, wir wollen aber auch, ähm dass die Anbieter von,Und helfen müssen, jetzt entweder über eine Hintertür oder vor der Tür oder Seitentür oder wie auch immer. Sie ist äh definierenoder über Generalschlüssel, die hinterlegt werden. Die ganzen Debatten kennen mir ja eigentlich seit den ersten ähm.Die ja aber äh ein bisschen weiter gedreht und weiterentwickelt werden. Es ist ja nicht so, dass es die Debatte und die Forderungen äh nicht gibt. Krass ist,ähm in einen der beiden Staatsvereinegesetze, die gerade im Bundestag und kurz vor der Verabschiedung sind, ist tatsächlich eine Mitwirkungspflicht,für Anbieter. Also zum ersten Mal hat nicht irgendwie der Staat nur das Problem wie installiert er den Staatsthroner.Sondern der Staat schreib Anbietern und jetzt auch noch Telekommunikationsanbietern, das ist ein interessanter Parallelentwicklung, die Definition wurde nämlich auch gerade massiv ausgeweitetEr schreibt Anbietern von Telekommunikation vor, dass die bei werden müssen. Die müssendie Installation von Staatströdern, Zitat durch die Unterstützung bei der Umleitung von Telekommunikation ermöglichen.Ähm also die müssen nicht mehr nur eine passive Datenkopie ausleiten, wie bei einer Telefonüberwachung, sondern aktiv verschiedene Mittelangriffe, Angriffe ausführen äh und in die Integrität,der Datenströme eingreifen und mit der Ausweitung der Anbieterdefinition betrifft das so ziemlich jeden Anbieter,von Internetanbieter, die ganze Palette an Diensten,ist egal, ob das Zugang ist, also irgendwie der heimische Internet oder äh Mobilfunkanbieter oder auch Betreiber von WLANs oder Internetknoten, wie der DCX oder BackBohnen, irgendwelche Glasfaserbetreiber, wenn wir denn Glasfaser hätten, äh aber auch hier Anbieter, also wenn irgendwo ein Server steht bei Hetzner oder so, bis hin zu E-Mail-Anbietern, wie Posteo,oder eben auch diese ganzen Messenger. Äh tatsächlich dieses Deutsche Gesetz will auch WhatsApp und Coverpflichten bei der Trojaner-Installation zu helfen bis hin eben zu Appstores und Betriebssystemen,da kommt dann eben also die komplette Bandbreite an Diensten was man so an Technologie vor sich hat und nutzt der komplette Stack.Soll jetzt quasi gesetzlich verpflichtet werden, dem deutschen Staat bei der Installation der äh Trojaner zu helfen. Und da ist eben nicht nur das grundsätzliche Problem,dass die Userinnen anfangen werden, den Anbietern zu misstrauen, sondern dass also das eine Problemwäre, wenn Usern den Anbietern äh nicht mehr trauen, dann fangen die an, keine Updates mehr runterzuladen und wir schaden der ganzen IT-Landschaft, da können wir dann gleich nochmal überhaupt zu IT-Sicherheitslücken und im Verhältnis der.Einen Sicherheit gegenüber der anderen Sicherheit. Aber unser gemeinsamer Freund hat das mal gut ausgedrückt, dass eigentlich diese Anbieter,so eine Art Rotes Kreuz oder rote Halbmond sein sollten und jetzt nicht anfangenkönnen verpflichtet zu werden für den einen Staat oder den einen Geheimdienst in einem anderen Bundesland von irgendeinem anderen Staat äh jetzt anfangen, irgendwelche.Ähm was auch immer, Betriebssystem-Updates,psst äh Versionen oder Internetpakete oder WLAN-Pakete oder was auch immer, auszuliefern,dann haben wir nicht nur ein Problem, dass wir die IT-Sicherheit insgesamt schwächen, sondern äh das ist irgendwie äh so funktioniert,das Netz nicht, dann machen wir doch komplett ähm den kompletten Steck kaputt äh im bei der Anhörung hat er,Sachverständiger am Montag gesagt, das würde das komplette Vertrauen in die IT-Sicherheit an sich erschüttern und wenn wir doch an einem nicht.Haben, dann ist es IT-Sicherheit, jeder,sich alle naselang über irgendeinen Angriff oder irgendeine andere falsch angeklickte Echse oder makro oder so was auf. Der Russe kommt und heckt unsere Wahl,ist ja nicht so, dass wir zu viel hätten, die wir aufs Spiel setzen können, nee, die IT-Sicherheit ist ohnehin schon überall kaputt.Anfangen grundsätzliche Prämissen dieser ganzen Welt noch weiter kaputt zu machen.
Linus Neumann 0:39:08
Und ich finde wirklich diesen Vergleich von Chris halt wirklich entscheidend. Also stell dir also wenn du den,den ähm dem Roten Kreuz, dem Roten Halbmond nicht mehr vertrauen kannst in einer äh in einer,kämpferischen Auseinandersetzung, ne? Wer sind diejenigen, die darunter leiden? Die Verletzten, ne, die äh die die Zivilgesellschaft, die mit dem ganzen Scheiß Krieg eigentlich nichts zu tun haben will,kann jetzt am Ende noch nicht mal mehr trauen, dass wenn der Krankenwagen kommt, dass der nicht auf einmal äh eine Maschinenpistole.Geiseln nimmt, ne? Das ist der eine Punkt, der zweite ist, ähm.Diese Internationalität, all das, was was hier in Deutschland irgendwelche ähm grauhaarigen,Leute fordern ja? Wenn das Gleiche werfen sie China vor, da werden sie nicht müde.Zu sagen, ja China, ganz fürchterlich hier, ne? Dürfen wir jetzt mal aufpassen, der Chinese? Von dem dürfen wir kein kaufen.Weil der bestimmt dem können wir nicht vertrauen, so so ein schlimmer Finger ist das, ne? Aber quasi genau das, genau das, was sie, was sie denen ähm vorwerfenIst ja das, was sie selber äh beanspruchen und beanspruchen zu tun. Das hatte ich übrigens auch äh kleiner äh self plug hier in der ähAuskunft zum IT-Sicherheitsgesetz zwei Punkt null, mal ausgeführt, um einfach mal zu sagen, aha, okay.Nehmen wir doch mal wirklich eure gesamte angebliche Huawei-Problematik hier auseinander undzeigen euch mal das Huawei eigentlich nur das kleinste Problem wäre vor dem Hintergrund, was ihr selber ja quasi die ganzen Funktionen, die ihr verlangt oder die ihr fürchtet.Die sollen an anderer Hand äh an an anderer Stelle aufgrund eures Verlangens überhaupt eingebaut werden,also das ist äh wirklich sehr ähm sehr widersprüchlich, diese diese Argumentation.
Andre Meister 0:41:02
Nationale Perspektive äh auf irgendwie der globale Kommunikationstechnologie ist wirklich oft sehr, sehr beschämend.Vielleicht kann ich jetzt kurz einen Einschub machen, weil wir so ewig nicht ein Podcast geredet haben hier zu emoted. Da war ja auch das Ding.Schadsoftware vom BKA, das BKA hat mal eben Software auf dreiundfünfzigtausend Rechnern in der ganzen Welt installiert, um äh zu deinstallieren.Jetzt mag man sagen, äh der Deutsche Reststaat und das BKA, die sind vielleicht noch ganz lieb und die meinen es noch net, übrigens ein paar Wochenmit dem Exchange hat das FBI genau das nicht in der ganzen Welt gemacht, sondern nur auf Rechnern,in den USA. Aber jetzt stellen wir uns doch mal vor, was an was passieren würde, wenn irgendwie Südafrika oder Brasilien oder Bangladesh oder wer auch immer anfangen würde,dreiundfünfzigtausend ähm Rechner, Windowsrechner in der ganzen Welt, inklusive in Deutschland zu updaten. Ähm.
Linus Neumann 0:42:00
Skandal, jetzt können wir uns nicht gefallen lassen, da müssen wir deutsche Bürgerinnen vor schützen.
Andre Meister 0:42:05
Eben äh und ähnlich ist es eben mit so einem Zugriffs äh Rechten, wenn man irgendwie jetzt den Facebook in Deutschland verpflichtet.Gepatchte WhatsApp-Version an irgendeine Zielperson auszuliefernhindert Russland und Türkei oder wen auch immer Marokko äh daran, genau das selber zu fordern. Das war ja genau das Problem hier mit Apple versus FBI.Dass eben Technologie so gebaut wird, dass jeder unbefugte draußen gehalten wird.Oder nur äh oder nur die ganz Dummen. Also das ist halt das Problem von Technologie. Entweder sie ist richtig sicher oder richtig kaputt,und dann kann man halt auch keine Ausnahme machen und sagen, nee, die hundert anderen hundertneunzig Staaten, die sollen dadrauf nicht zugreifen können, aber das Bundeskriminalamt,so funktioniert das halt international nicht.
Linus Neumann 0:43:00
Das ist äh wirklich das ist sehr schön zum zum Ausdruck gebracht. Jetzt müssen wir langsam, jetzt haben wir, glaube ich, nochmal und ich finde das auch gut, dass wir jetzt mal wirklich im Schnelldurchlauf,fünf fünfundvierzig Minuten ungefähr, äh vierzig, fünfundvierzig Minuten. Die Problematik, Staatstrojaner geschildert haben. Und jetzt,und damit eben den Eingriff in die Integrität von Systemen, ja, dass davon hier niemals vergessen. Und das ist der Schwerwiegendste Eingriff. Ähm der äh im Bereich der IT-Sicherheit,möglich ist in der man könnte noch in die Vertraulichkeit bei der Übertragung eingreifen, kann in die Verfügbarkeit eingreifen aber in der wenn man bei der Integrität ist dann heißt es immer man kann schalten und walten wie man möchte. Und hier wird,unter dem ähm unter der Schilderung des Bedarfs einer Vertraulichkeitsverletzung eben die Integritätsverletzung,vorangetrieben. Die letzte Änderung, gesetzlich haben wir gerade schon gesagt, zwanzig siebzehn, die Ausweitung dieser Befugnis auf.Alltagskriminalität. Ähm.Auch das ein üblicher Vorgang, ne, eine Befugnis wird irgendwie für für schwerste, für schwerste äh Bedrohung von Leib und Leben äh im im Ausnahmefall.
Andre Meister 0:44:21
Anfang waren nur das BKA nur zur Prävention, zur Verhinderung und nur von internationalen Terroranschlägen.Das war, das war die Beschränkung ganz am Anfang zwotausendneun. Und dann schwupps eine GroKo später.Acht Jahre später.Ähm für den kompletten Katalog an schweren Straftaten irgendwie über vierzig, ich glaub bis an die fünfzig oder so und in der Praxis wie zu erwarten vor allen Dingen Drogen und Eigentumsdelikten oder so eingewendet.
Linus Neumann 0:44:55
Und jetzt geht's in den dachte man eigentlich schon fast so ja vielleicht haben sie es ja jetzt auch einfach durch, aber jetzt gibt es zwei weitere Gesetzesvorhaben, die noch vor Ende der Legislaturperiode,werden sollen. Und das ist ähm einmal.Die äh das Gesetz zur äh zur Erleichterung der Arbeit der Geheimdienste, ne, so ungefähr heißt das.
Andre Meister 0:45:18
Ja, äh so heißengute Geheimdienstegesetz. Äh nee, das ist tatsächlich äh die Verfassungsschutzrechtnovelle. Das ist mal wieder so ein Artikelgesetz, was irgendwie siebäh zehn Gesetze auf einmal anfasst, also das Verfassungsschutz äh Bundesverfassungsschutzgesetz, das Artikel zehn Gesetz in den Grundrechtseingriffe, äh Sicherheitsüberprüfungsgesetz und so ein paar andere,ähm,Genau, aber es wird gemeinhin als die Verfassungsschutz-Novelle bezeichnet, was ein bisschen irreführend ist, weil das äh dann im Endeffekt für alle Geheimdienste gibt und wir haben in Deutschland übrigens neunzehn,auf Bundesebene äh BND MAD und Bundesamt für Verfassungsschutz. Das gilt aber dann eben auch für alle sechzehn Landesämter für Verfassungsschutz.
Linus Neumann 0:46:02
Muss man vielleicht nochmal kurz äh erklären. Also die also es wird nicht es kommt nicht also wenn bei solchen Gesetzesänderungenkommen nicht immer nur neue Gesetze, ne? Da wird jetzt nicht ein neues Buch gedruckt, steht drauf, ähm Verfassungsrecht, sondern viele Gesetze sind im Prinzip der deutsche Bundestag hatbeschlossen, in Paragraph Y äh in Paragraph drei des Gesetzes XY in seiner Fassung vom so und zur vierten Sohn,wird folgender äh Buchstabe Z hinzugefügt. Z äh.Bei Gefahr für Leib und Leben. So und das ist tatsächlich der Gesetzestext und da muss man sich muss man sich quasi die alte Fassung holen.Muss gucken, in welchem Kontext wird da jetzt überhaupt etwas geändert? Und dann kann man irgendwie die ne die juristische und gesellschaftliche Bedeutung ähmerfassen. In der Regel sind diese Gesetze begleitet durch eine ganze Reihe an äh Erläuterungen, wo also gesagt wird, was soll damit gerade passieren, aber als jemand, der jetzt schon mehrere Male solche Gesetze auch als Sachverständiger,vor äh im Deutschen Bundestag beurteilen musste und,Andre, der diese Dinger immer alle lesen muss, weil er sie schon vorher als Journalist aufarbeiten muss. Das ist nicht immer sehr einfach. Und die Änderungen sind potentiell von von sehr hoher Tragweite und man kann da wunderschön Sachen drin verstecken, ne.
Andre Meister 0:47:22
Nicht nur die Änderungen, also die Gesetze, die beschlossen werdenähm sind nicht immer sehr einfach, wie du das jetzt ausgedrückt hast mit diesen Änderungen in Paragraph X und Y, sondern selbst die fertigen Gesetze,die ihr dann eigentlich nicht mehr nur in Diff sind, äh sondern das, was auf Gesetze im Internet DE und im Bundesgesetzblatt steht.B sind extrem kompliziert und verschachtelt. Erst am Montag bei der Anhörung äh haben irgendwie Jura-Professoren, also die,mehrere und Matthias Becker, der schon mehrere Verfassungsbeschwerden gewonnen hat. Selbst der hat gesagt, die Geheimdienst Gesetzgebung in Deutschland ist in einem beklagenswerten Zustand. Die Gesetze sind nicht lesbar, in sich zersplittert,eigentlich selbst von ausgebildeten Juristen kaum äh Verstehbar, kaum bewältigbar, weil das eben alles so.Da gibt's die Telekommunikationsüberwachungsverordnung und das Artikel zehn Gesetz äh und,einzelnen Geheimdienste verweisen dann jeweils in Befugnisse auf das andere, über die Jahre hinweg, wurde dann aber etwas Neues da eingefügt, was mit dem ursprünglichen gar nichts mehr zu tun hat. Also selbst Juristen.Verstehen diese ganzen Kreuzfahrweise nicht nur in den Änderungen, sondern auch in den fertigen Gesetzen gar nicht mehr so einfach und der endgültige Polizist oder Geheimdienstmitarbeiter, der dann so eine Maßnahmen anordnet,übrigens auch nicht. Auch in äh verschiedenen Anhörungen in den letzten Wochen und Monaten,Bundestag haben die alle gesagt, ja also die müssen dann selber von ihren Juraabteilungen äh so arbeiten lassen, was das denn jetzt eigentlich bedeutet.
Linus Neumann 0:48:56
Ähm vielleicht also wie kommt es zu diesen Verwirrungen, ne, die Texte sind komplex und die haben verweise aufeinander. Ja, da ist du weißt zum Beispiel nicht, wenn irgendwo,in dem einen Absatz steht schwere Straftat ist, ja, dann steht halt in fünfundzwanzig anderen Gesetzen was weiß ich, das darf die Polizei bei schweren Straftaten,ne? Und diese diese das wäre jetzt ein einfaches Beispiel für, wenn du,wenn man jetzt ins Gesetz schreibt, äh das und das ist jetzt auch eine schwere Straftat, dann denkt man, das ist eine kleine Änderung, die.Bedeutung für was das bedeutet, für unterschiedliche Polizeibehörden und so weiter, ist aber eben von besonderer,weiter. Und das ist jetzt nur mal um eine Ecke gedacht und wenn jetzt äh Juraprofessorinnen und Juraprofessoren sagen, hier das das versteht ihr sowieso gar keiner mehr,dann heißt das letztendlich, dass wir ähm ja im, im, dass wir unsere eigenen Rechte und äh unsere eigene Gesetze halt so kompliziert gemacht haben und so unklar, dass in der Realität so viele Graubereiche entstehen, dass.Ne, dass dass du dann eben, ja, was hast du dann? Dann kommt irgendwann AdWord Snowden,und da musste so und so viele Jahre Untersuchungsausschuss machen und dann werden die Fehler an den Gesetzen gefixt, weil wir wissen ja, das Gesetz hat ja gegen die Geheimdienste verstoßen.
Andre Meister 0:50:20
Und das ist jetzt irgendwie nur historisch gewachsener Ballast der Bundesrepublik. In wie viel haben wir jetzt? Zweiundsiebzig Jahre. Äh wenn Pi mal Daumen.Ähm ganz so schlimm wie UK wurde irgendwie dann nur historisch gewachsenes Recht aus einem äh aus einer.Aus einer so rechts, die haben ja so ein ganz anderes RechtsTheorie, mir fällt es der passende Begriff nicht ein, aber da ist es ja möglich, dass sie dann irgendjemand in irgendeinem Prozess mal noch einen Erlass vom dreizehnten Jahrhundert äh hervorzieht, der dann irgendwie jetzt noch argumentier und anwendbar ist. Also ganz so schlimm ist es hier nichtaber trotzdem,Ähm es ist tatsächlich oft über mehrere, nicht nur eins, zwei, drei Hobs und Ecken äh gedacht. Äh und selbst wenn man die Möglichkeit hat, alle Gesetze zu lesen, zu verstehenund sich dran zu erinnern, ist es nicht einfacher sich auszumalen, was das jetzt tatsächlich in der Gänze bedeutet.Zum Beispiel ähm gab's ja den Streit zwischen SPD und Union, ähm dass der Staatstrojaner jetzt an die Geheimdienste, nicht an alle Geheimnisse gehen sollte,sondern angeblich nur an das Bundesamt für Verfassungsschutz und auch nur bei Hinweisen äh von ausländischen Geheimdiensten auf schwere Staatsgefährdende Straftaten.Aber dann haben sie diese Befugnis eben ins Artikel zehn Gesetz geschrieben, Artikel zehn, Grundgesetz ist,Post im Fernmeldegeheimnis, Artikel zehn Gesetz ist das Gesetz, was in das Briefpost und Fernmeldegeheimnis eingreift,Und wenn man in darin eingreift und irgendjemand die Befugnis ähmdrin regelt, aber dann in den ganzen Geheimdienst, eigenen Gesetzen von Bund und Ländern steht, die dürfen das, was im Artikel zehn Gesetz steht, ähm dann dürfen das halt auch gleich alle. Und das ist jetzt nur ein relativ einfaches äh Ba,Bier, was aber schon verdeutlicht, in welche Richtung das da auch noch kompliziert.
Linus Neumann 0:52:14
So, jetzt haben wir also die Idee, ein wir möchten, dass äh des Verfassungsschutzrecht anpassen. Man denkt also, es geht nur um den Verfassungsschutz, geht aber um noch viel mehr.
Andre Meister 0:52:29
Genau, äh du in der Verfassungsschutz-Novelle soll im Artikel zehn Gesetz eben die Möglichkeit für die kleinen Trojanerquellen TKÜ.Im Artikel zehn Gesetz geregelt werden und das gilt halt sowohl für den Bundesamt für Verfassungsschutz, das ist auch der, der immer in den Debatten genannt wird, der das kriegen soll, aber eben auch für den BND.Der ja bis vor einem, wann war das? Ein halben Jahr oder einem Jahr ist das BND-Gesetz verabschiedet wurde.Explizit die Befugnis hatte zu hacken, sondern die haben das immer nur implizit gemacht mit ja wir unsere gesetzliche Auftrag ist Informationen zu heben, also dürfen wir ja wohl auch hacken,jetzt ist zum ersten Mal geregelt, dass sie hacken dürfen, aber die können auch gleich ganze Netze hecken, wurde damals ja genug.Der andere Bundesgeheimnis ist der MAD, der soll das jetzt auch dürfen, aber eben auch alle sechzehn Landesämter für Verfassungsschutz, also bis hin zu,Verfassungsschutz Saarland, Verfassungsschutz, Bremen und den äh vor zehn Jahren besonders bekannt gewordenen Verfassungsschutz Thüringen.Die sollen jetzt Geräte hacken dürfen von Leuten, die sie beobachten und bei den Geheimdiensten geht's ja darum, Leute beobachten,keine Straftäter sind, äh weil sonst wär's ja die Polizei, die die äh Überwachen und dann irgendwann auch mal vor Gericht stellen würde, äh sondern die verfolgen halt alle, die so im Geheimdienst äh im Verfassungsschutzbericht stehen,fallen dann halt auch schon mal irgendwie Klimaaktivistinnen oder äh Verfolgte des Nazi-Regimes drunter.Den Staatstrojaner bekommen, wobei.Die Herleitung ist dann immer, dann wird viel gesprochen von äh Hanau und Halle äh und Walter Lübcke und so.Aber wenn man mal zurückdenkt bis zum NSU, das Problem war ja nie, dass die Geheimdienste nie genug konnten,Es war ja nicht so äh dass die Datenerhebung irgendwie das Problem gewesen wäre. Das Problem ist doch einfach, dass sie nicht, dass sie auf dem rechten Auge blind waren und nicht genau hingeguckt.Das Problem von einem Verfassungsschutz unter Maaßen war doch nicht, dass die kein Trojaner hatten, sondern dass sie die fucking NSU-Akten geschreddert haben.Also da gibt's ja auch äh jede Menge Erfolgsgeschichten, Oldschool Society und so so eine sächsische ähm,Neonazi gegen die vor Gericht,Stand, wahrscheinlich so verurteilt wurde, äh wenn man Polizeiarbeit ordentlich macht in den Gerichtsakten steht dann halt auch,Telegram-Chats ist ja nicht so, dass man das dann mit ordentlicher Polizeiarbeit, wenn man die aufm Kicker hat, beobachten will und aus dem Verkehr ziehen will, wenn sie vielleicht sogar schon Straftaten begangen haben, dass es dann keine Möglichkeiten,aber das ja die Herleitung ist halt.Hanau, Halle, Lübcke, der Verfassungsschutz muss jetzt irgendwie uns vor diesen Anschlägen auch mit dem Trojaner schützen.Auch wenn das bei diesen Beispielen überhaupt nicht geholfen hätte.
Linus Neumann 0:55:19
Ja die die angebrachten Beispiele, das das war noch ein letzter Punkt, den ich zu diesem Going Dark halt sehr interessant finde. Er wird ja auch ein ein klassischer Fehlschluss gemacht, indem man sagt, die alles, was wir nicht aufklären konnten.Und keine hatten wo ja einfach die postuliert wird,gebt uns diese Werkzeuge und dann ist gut. Ne? Und wenn man dann aber schaut, was haben die was haben die gebracht in den Ländern, wo sie zum Einsatz kommen, stellt man auch wieder fest, ja nix, ne, hat man man kriegt die Leute mit klassischer und ordentlicher Polizeiarbeit. Ähmsodass hier ja diese Going Dark-Debatte wirklich der es ist halt einfach nicht.Äh sauber argumentiert leider, ne, oder zum.
Andre Meister 0:56:09
Ja doch oft wirklich nur eine Frage von.Wie guckt man hin? Dann war jetzt glaube ich in der sachverständigen Anhörung auch noch das BeispielDie äh Querdenker da, die die Reichstagstreppe gestürmt haben, da hilft doch kein Staatstrüger, ne? Die haben das doch öffentlich auf Facebook angekündigt.Klar nahmen. Das Problem war doch nicht, dass die Informationen nicht da waren, sondern dass sie nicht ernst genommen wurden. Genauso wie jetzt am sechsten Januar vorm Capitol in Washington. Da haben doch davor schon Leute gewarnt.Könnte sich irgendwie äh jetzt.
Linus Neumann 0:56:44
T-Shirts an, wo draufstand äh.
Andre Meister 0:56:46
Genau äh und da da ist das Problem doch nicht, dass man nicht.Befugnisse hat, zumal wir doch auch schon seit vielen Jahren äh berichten, was die äh die Polizei und die Geheimdienste im Internet dürfen, zu Landesverrat, ein ähm zu dem Artikel damals, da ging's ja auch darum,was wir veröffentlicht hatten über die Fähigkeiten des Bundesamts für Verfassungsschutz um eben soziale Medien auszuwerten und zu beobachten und wenn sie das einfach mal gemacht,vor dem Rechtstagstreppenstürmung, dann hätten sie auch vorher von Jana aus Kassel und äh wie heißt der hier? Ja.Jetzt abgehauen ist, na diese ganzen Lumis. Äh die hätten ja genau, ja.
Linus Neumann 0:57:31
Der ist ja von den der ist ja von den Schergen des Merkel Regimes in die Türkei geflohen. Oh man.
Andre Meister 0:57:40
Und dann, also hier, Geheimdienste, ne? Die wollen angeblich ähm ich weiß auch nicht so ganz genau, was sie machen. Sie beschreiben sich als Frühwarnsystem,gab's vor kurzem hier diesen öffentlich rechtlichen Film Verfassungsschutz, ist es ein Frühwarnsystem wo ich mich echt frage, was machen die denn die ganze Zeit? Jetzt hatten die Verfassungsschutz in Sachsen äh Pegida,als potentiell rechtsextrem eingestuft. Was ist denn da das Frühwarnsystem? Das sagen die Leute seit Anfang an. Das Problem ist doch dann, da nicht hinzuguckenaber die Geheimdienste tun dann so, als ob sie den ganzen Tag Terroranschläge verhindern, wobei das Verhindern von Terroranschlägen, das ist gar nicht Aufgabe der Geheimdienste, das ist Aufgabe der Polizei. Das BKA darf seit zwotausendneun Staatsröhren einzusetzen, um Terroranschläge zu verhindern.Das ist doch genau das, warum das damals ganz eng begrenzt ähm eingeführt wurde.Es kann doch jetzt schon absehen, dass wenn die das ähm das Mittel einmal haben, dass dann eben nicht nur,der nächste NSU, sondern eben auch die Ende Geländegruppe XY davon betroffen ist.So viel zu den Geheimdiensten. Das andere Gesetz, was ja gerade in der Pipeline ist, ist das Bundespolizeigesetz,auch alle Polizeien dürfen ja Staatsverhältner einsetzen, seit der letzten Neuregelung in der Strafprozessordnung. Aber jetzt soll die Bundespolizei den Staatsmann erkriegenPersonen, die gegen die noch gar keinen Tatverdacht begründet ist. Das war jetzt ein Zitat aus der Gesetzesbegründung, also schon präventiv schon irgendetwas passiert ist. Gegen Leute, die noch gar keine Straftat begangen habenSaskia Essen und die SPD auf keinen Fall mitmachen, auf keinen Fall präventiv,aber ich würd ehrlich gesagt nicht darauf wetten, also erst heißt es nur Verhinderung, Terror, dann nur zur Verfolgung schwerster Straftaten und jetzt ist es vor Straftaten und für die Geheimdienste. Das ist doch die klassische Salami Taktik auf,auf der ganzen Ebene.
Linus Neumann 0:59:35
Also das wird den hat noch gar keine Straftaten begangen. Das müssen wir jetzt nochmal genauer erklären. Ähm ich habe mir mal vor einiger Zeit von Lea Beckmann äh erklären lassen, die Aufgaben der Polizei sind,Strafverfolgung und Gefahrenabwehr, ne?
Andre Meister 0:59:53
Äh also in der Rechtstheorie bin ich da jetzt nicht ganz sicher, ob Prävention und Abwehr ähm ähnlich sind, aber die sollen teilweise auch Straftaten verhindern.Ja, kann sein, dass Prävention, Untergefahren, Abwehr subsummiert ist, aber ich bin tatsächlich genauso wenig Jurist wie du.
Linus Neumann 1:00:10
Genau, wir sind beide keine Juristinnen und deswegen äh verweisen wir auf diese Folge Lokbuchfreiheit. Da ist das drin erklärt und da hat die äh Lea mir das super erklärt. Ich mache mir kurz eine Notiz, dass das in die Shownotes kommt. Ähm.Und äh jetzt haben wir auf jeden Fall diese diese, also worum wir uns so, glaube ich, einig sind, ist das der Staatstrojaner hauptsächlich im Rahmen der Strafverfolgung zum Einsatz kommen.
Andre Meister 1:00:39
Ja, das ist derzeitähm die einzige Form wir äh also neben dem äh Verhinderung, also der Prävention von internationalen Terror, das ist BKA seit zwotausendneun durfte. Aber was höchstwahrscheinlich noch nie angewendet hat, weiß sowohl technisch als auch rechtlich heiß ist. Äh die Fälle, die wir in den letzten Jahren haben, waren zur Strafverfolgung von Drogendeliktenund so. Also wie eine klassische Telefonüberwachung auch.
Linus Neumann 1:01:03
Und Strafverfolgung heißt, es hat auf jeden Fall schon mal eine Straftat stattgefunden.
Andre Meister 1:01:08
Äh es es besteht genug Verdacht, dass die Polizei und Staatsanwälte einen Richter überzeugen können, dass eine Straftat stattgefunden hat. Das heißt ja nicht, dass es in jedem Fall auch zur Anklage kommt und dass es nach einer Anklage auch zur Verurteilung kommt.Aber es hat zum, es besteht genug Anfangsverdacht, dass eine Straftat äh stattgefunden hat.
Linus Neumann 1:01:25
Also es es wurde ein eine eine äh illegalisierte Substanz wurde gehandelt äh äh gehen wir von aus, irgendjemand hat sie und wir ne, nehmen wir das Beispiel aus dem Leben, wir gehen davon aus, X Y hat dasgetan. Ja, aber ist ein eine Händlerin dieser verbotenen Substanz. So und.Jetzt aber quasi zu, du, wenn du noch nicht einmal mehr das brauchst, was brauchst du denn dann?
Andre Meister 1:01:52
Geil, ne? Aber ich habe hier den Gesetzentwurf, den die GroKo beschließen würde vor mir und ich kann gerne aus der Gesetzbegründung zitieren.Präventive Telekommunikationsüberwachung solcher Kenntnislücke der Bundespolizei schließen und sich gegen Personen richten.Die noch keinen Tatverdacht begründet ist und daher noch keine strafprozessualen Maßnahmen nach Paragraph hundert A Strafprozessordnung angeordnet werden kann.Diese hundert A SDPO ist die normale Telekommunikationsüberwachung und eben auch die Quellenticket Kommunikationsüberwachung zur Verfolgung von Straftaten und die meinen,Ja, das dürfen wir zwar, um Strafverfolgung zu machenWir wollen das jetzt auch, dürfen, wenn wir das da noch gar nicht dürfen. Äh wir wollen das jetzt machen können, wenn wir das nicht dürfen um eine Straftat zu verfolgen, sondern gegen Personen, gegen die noch kein Tatverdacht begründet ist.Um eben, weiß ich nicht, Straftaten abzuwehren, zu verhindern im Vorfeld schon.
Linus Neumann 1:02:48
Das ist schon eine also das ist irgendwie.
Andre Meister 1:02:52
Die argumentieren ähm äh vor allem die Bundespolizei mit Schleuserkriminalität und so. Da kommt dann in der Debatte auch äh immer gleich das,piel mit den ähm Schleusen, Leuten in irgendeinem LKW, die dann da drinnen erstickt sind oder so, ist ja immer die ganz grauenhaftFälle, die man äh sich wünschen würde, die tatsächlich gar nicht erst passieren. Aber wenn aber trotzdem, wenn man einen Richter davon überzeugen kann,so eine Maßnahme anzuordnen, gerade in den äh Staatstrojanern, also eine extrem invasiven Maßnahmen, dann muss man doch schon genug Verdacht haben, dass die Leute einen konkreten Straftat ähm,verdächtig sind. Und das ist hier halt nicht der Fall. Und wie immer.Natürlich soll es erst nur die Bundespolizei und das nur gegen ganz böse Schleusungskriminalität kriegen, wobei Schleusungskriminalität äh könnte man auch innerlich diskutieren, weil das wird ja auch Sea-Watch und Co vorgeworfen. Ähm.Aber wenn das einmal da ist, wird das natürlich auf die anderen Polizeibehörden und auch auf andere Straftaten äh Deliktsbereiche ausgeweitet werden. Das ist doch ganz klar, ist doch immer so.
Linus Neumann 1:03:58
Klar, die haben da ja eine Lücke.Also dieser Begriff Lücke ist sowieso sehr äh äh sehr, sehr schön, ja? Sehr, sehr elegant gewählt. Ähm die die Lücke nennt man äh Grundrechte in der Regel, ne?
Andre Meister 1:04:14
Ja, ich meine, die Polizei in einem Rechtsstaat darf nicht alles. Ja, äh das Grundrechte sind Abwehrrechte auch gegen den Staat.
Linus Neumann 1:04:25
Die Lücke nennt sich Rechtsstaat.
Andre Meister 1:04:27
Es gibt selbst in nicht Rechtsstaaten.Äh selbst in Diktaturen, mit umfassender Überwachung und keinerlei Bürgerrechten und ähm absoluter Vollüberwachung und Befugnisse selbst dort passieren Straftaten. Äh also es ist.Tatsächlich eine konzeptfrage, eine Aushandlung, wie viel es notwendig, wie viel ist sinnvoll? Ähm und genau diese Einschränkungen äh von angemessen und notwendig. Äh die muss halt immer wieder neu verhandelt werden.Undman könnte hier argumentieren, dass es weder angemessen noch notwendig, zumal wir haben jetzt extrem viele Probleme von Staatsrödern angesprochen, aber das Hauptproblem haben wir elegant umschifft, weil wir denken, dass es sowieso alle Innen- und auswendig könnenHauptproblem ist natürlich auch noch dieses Sicherheitsdilemmer, ja?Ähm man nimmt hier, man schwächt hier die IT-Sicherheit, nicht nur durch die ähm Verpflichtung der Anbieter, sondern eben um auch wegen der Ausnutzung äh von Schwachstellen. Man lässt quasi.Als Beispiel Schwachstellen in irgendeinem Messenger von allen sieben Milliarden Menschen in allen hundertzweiundneunzig Staaten auf der Welt offen, inklusive die eigenen.Um dann irgendeinen Drogendealer, irgendeinen,Querdenker, Nazi oder auch irgendeinen Mensch, der Leute über eine Grenze schmuggelt zu fangen. Und da muss man sich doch wirklich mal fragen, ist das verhältnismäßig.Professor Matthias Becker hat am Montag in der Anhörung gesagt, also die Gefahren sind so groß, wenn der Staatssicherheitsnutz äh.Ausnutzt, statt sie zu schließen, was das BKA übrigens auch schon mal getan hat. Die Gefahren sind so groß, es kann gar kein relevantes Anliegen eines Staates geben, diese Gefahren hinzunehmen,ähm das IT-Grundrecht vom Bundesverfassungsgericht ist ja auch nicht nur ein Abwehrrechtder Einzelnen, ähm dass wir einen IT-Grundrecht haben gegen das der Staat nicht einfach so eingreifen kann, sondern es ist auch ein Grundrecht, dass der Staat gewährleisten muss. Ähm der Staat muss.Äh Vertraulichkeit und Integrität aller IT-Systeme gewährleisten.
Linus Neumann 1:06:38
Sehr schön formuliert oder sehr oder also sehr wichtig äh darauf hinzuweisen, weißt du, überhaupt nicht wahrgenommen wird, ne?
Andre Meister 1:06:44
Genau, dieses Grundrecht ist äh nicht nur in der juristischen, auch in der politischen und auch in der fachöffentlichen äh erst recht in der breiten öffentlichen Debatte äh immer bisschen so unter ferner liefen. Aber das ist tatsächlich ein ziemlich krasses Ding,das ist halt relativ neu, jetzt mit zwotausendachtzehn oder so wann das war, ich weiß auch nicht mehr ganz genau, Pie mal Daumen.In den nächsten Verfassungsbeschwerden eben gegen den Staatstrojaner in der Strafprozessordnung, aber auch gegen die Verfassungsbeschwerden, gegen,gegen diese Gesetze kommen werden, wenn sie denn beschlossen werden, äh wird dann das Bundesverfassungsgericht eben zum ersten Mal ausdefinieren,wie es denn das jetzt genau gemeint hat äh mit dieser Gewährleistung äh von Vertraulichkeit und Integrität von IT-Systemen.Ob es eben irgendwelche äh Fälle geben kann,in der Aushandlung von Sicherheitslücken, wo der Staat das eventuell doch geheim halten darf.Die meisten Juristen in der Anhörung sagen, nee, das geht nicht, ähm.Der Verfassungsschutzpräsident Haldenwang hat sogar der hat irgendwie gesagt, ich weiß auch nicht genau, ob der sich mit denallen technischen Details äh der Oberexperte ist. Aber der hat eine Anhörung gemeint, also irgendwelche Schwachstellen und das spielt überhaupt keine Rolle beim Staatstroher, ne.Ich verstehe nicht, was er damit meint. Er meint, es gäbe da irgendwelche geheime Volume-Technologie, die aber natürlich nicht erklären kann, weil wenn er,klären würde, dann würde es wieder nicht funktionieren. Ähm ich halte das äh für weit hergeholt, der wusste aber auch nicht, dass das BKA äh WhatsApp mitlesen kann, wenn sie einfach mal ganz kurz das Handy in die Hand nehmen.Ähm.Aber wenn sie wirklich keine äh Waschstellen ausnutzen sollten, frage ich mich erstens, was macht die Zitist den ganzen Tag? Die wurde ja dafür gegründet, äh genau sowas zu anzukaufen und zu entwickeln,auf dem Markt zu finden und zweitens, wenn sie das wirklich nicht brauchen, wie äh der Verfassungsschutz selber behauptet, dann sollen sie ins Gesetz schreiben, dass die Sicherheitslücken nicht außen äh nicht ausnutzen und nicht ausnutzen werden und nicht ausnutzendürfen. Aber das schreiben sie nicht ins Gesetz und das ist ein Problem.
Linus Neumann 1:08:49
Ich finde, ich möchte noch kurz hier ein bisschen mich selber loben, weil meine Stellungnahme zweitausend äh siebzehn äh bei der Staatstrainer Ausweitung, die hier äh Ausweitung hatte den TitelRisiken für die innere Sicherheit beim Einsatz von Schadsoftware in der Strafverfolgung. Finde ich nach wie vor sehr, sehr wichtigen Punkt, weil nämlich genau derweiß genau das betrifft, was du gerade auch sagst, was Matthias Becker nochmal angesprochen hat. Wir schneiden uns hier am Ende ins eigene Fleisch. Und diesedas ein sehr schönes Beispiel dafür ist ja die ähm oder ein sehr trauriges Beispiel ist ja hier die äh Hackerangriffe oder die Schaden, die in Schäden, die weltweit entstanden sind durchähm zweibeziehungsweise deine Dateien doch nicht wiederbekommen, die eine Schwachstelle.Die NSA gehortet hat, genutzt haben, bei äh bei ihrer Ausbreitung. Und das war eine Schwachstelle, die die NSA,mindestens fünf Jahre zu diesem Zeitpunkt hatte oder acht. Die Schwachstelle selber war noch viel älter und sie ist dann in die falschen Hände gekommen. Und was ich dazu immer sagen möchte,Dieser Schaden, diese diese Milliardenschäden, die wir da gesehen haben, die sich da manifestiert haben, sind nur ein Bruchteil des Risikos, was die NSA für die gesamte Welt.Jeden Tag eingegangen ist, den die ruhig geschlafen haben, mit dieser Schwachstelle in ihrem Arsenal. Und dem Explode für diese Schwachstelle, die haben jeden Tag mussten die mit damit einschlafen, zu sagen, hoffentlich äh findet niemand raus,dass es diese Schwachstätte gibt, weil dann können wir sie weiter ausnutzen und.Dann bricht nicht die Welt zusammen, ja? Und man kann eigentlich vom Glück sagen, dass sie irgendwann Not gefixt wurde von Microsoft.Tatsächlichen Schäden hier waren einen Monat nachdem es die Updates gab, das heißt, was da gebissen wurde waren die Leute, die einen Monat lang, obwohlrauf und runter in den Nachrichten kamen, hochkritische Sicherheitslücke, äh bitte unbedingt fixen. Das war nur der Teil, die die die Updates nicht hatten.Und ähm.Diese Risiken einzugehen, ist, denke ich, genau das, was du meinst, mit da verletzt der Staat gezielt das Grundrecht auf die Gewährleistung,der Vertraulichkeit und Interität, Informationstechnischer Systeme und zwar aller. Und ich denke tatsächlich, dass man dass man wirklich damit Aussicht hatzu sagen, ey, das kann nicht sein, dass der Staat Kenntnis einer Sicherheitslücke hat, die ein ein Risiko für die Wirtschaft, ein Risiko für die Bürgerinnen ist und ähm.Dieses Risiko einfach mal eingeht, weil diese Abwägung,zwischen, ja, ja, aber komm, ein bisschen, bisschen Heckmeck müssen wir ja auch noch machen. Äh und äh die die Bürgerinnen sollen geschützt sein, die kann eigentlich nurimmer schiefgehen.
Andre Meister 1:11:58
Ja, eine der.Laut dessen Kritik war nicht nur die Wirtschaft und die anderen Staaten, sondern auch innerhalb der USA war nach das Verteidigungsministerium, man hat zur NSA gesagt, sag mal wollt ihr uns verarschen?Unsere Systeme laufen mit genau dieser selben Schwachstelle.Die National Security Agency. Euer Auftrag ist es eigentlich für unsere IT-Sicherheit zu sorgen. Und ihr habt uns nicht Bescheid gesagt.Und dann regt man sich auf wenn irgendwie staatliche Stellen gehackt werden. Das ist ein großes großes Problem, sowohl international, also ich kann nicht verstehen, wie,man denken kann, der deutsche Staat darf das, aber alle hunderteinundneunzig anderen Staaten nicht oder auch nur das BKA wird das schon geheim halten können oder dasLandesamt für Verfassungsschutz Thüringen, wenn die NSE das nicht schafft.Wir haben Beitrag auf Netzpolitik von zwanzig achtzehn mit dem Titel sind ein Risiko für die innere Sicherheit also die Befürworter sagen immer wir tun was für die innere Sicherheit weil wir eins, zwei, drei Bad Guys schnappen,aber das,dass sie die innere Sicherheit schwächen, indem sie die IT-Sicherheit aller offen halten, das will irgendwie nicht in die Gehirne. Warum auch immer.Weil sie denken, so hat's schon immer funktioniert. Wir sind aber der Staat und wir müssen das, dürfen und außerdem.So viel über, ja, weiß ich nicht. Ähm ein Angriff von China, damit hat doch die nichts zu tun oder so.Oder auch nur Kriminelle. Ist ja gerade hochaktuell. Also die ist eigentlich ist die Perspektive von vielen Leuten, die sich mit dem Thema auseinandersetzen, wenn der Staat.Von einer Sicherheitslücke erfährt, muss er alles in Bewegung setzen, dass die geschlossen wird und darf die auf keinen Fall offen halten, denn sonst kommen wir in Teufelskirche sowohl äh innerhalb einzelner Staaten als vor allem auch international.
Linus Neumann 1:13:49
Amen, was wird der Bundestag jetzt aus dieser Erkenntnis machen? Die werden also jetzt dieses Gesetz zur Anpassung des Verfassungsschutzrechts, da war die Anhörung am Montag. Eine Nummer,Nothabene wie man so schön sagt. Am Montag waren wieder zwei Vertreter des äh CCC im äh in Ausschüssen des Deutschen Bundestags, nämlich einmal zum Thema ähm.Impfpass und zum zum Thema mobile EID. Ähm sprechen wir in äh sprechen wir an anderer Stelle noch drüber.Zu dieser äh Staatsojane Anhörung war aber keiner von von uns geladen. Bin ich ein bisschen beleidigt, hätte gerne nochmal die gleiche Stellungnahme eingereicht, äh nach Giffey, nach Giffey-Schamanier. Ähm.
Andre Meister 1:14:35
Da waren übrigens auch keine Vertreter der Internetwirtschaft, also der Eco, grade Klaus oder auch der Bitcom und so, die sind ja normalerweise zu solchen Gesetzen, die sie betreffen, gerne mal da und auch äh kundige und gern gehörte Experten,waren auch nicht da, obwohl dieses ganze riesen Fassder Provider mitwirkungen da drin ist. Da waren eigentlich nur Juristen, aber weißt du, wer damit drin war? Herr Kurt Kraulich, das ist dieser ehemalige Bundesverwaltungäh Gerichtsrichterder damals im NSA Untersuchungsausschuss als Sonderermittler eingesetzt wurde, der die Selektoren teilweise angucken konnte, weil der Ausschuss das selber ja nicht angucken konnte äh und der irgendwie nicht durch übermäßige,und Distanz zu Geheimdiensten aufgefallen ist, sondern der sogar Teile seines Berichts direkt vom BND übernommen hatte.Und sogar den hat die SPD ernannt und der hat gesagt liebe Leute, dieses Gesetz das darf so nicht kommen.Die SPD, die Fraktionen laden sich ja normalerweise Sachverständige ein, die so Pi mal Daumen ihrer Meinung entsprechen, aber die SPD hat da den eingeladen und der sagt,Dieses Gesetz geht so nicht.
Linus Neumann 1:15:41
Und der ist jetzt echt äh unverdächtig. Äh übermäßig äh übermäßiger Grundrechtsschützer zu sein, ne.
Andre Meister 1:15:50
Aber die SPD hat ja in dieser ganzen Legislatur und in diesem ganzen Themenbereich immer mal wieder rote Linien eingezogen, äh was denn mit ihnen nicht so machen sei.Ähm.Kann sich jeder selbst ausmalen, äh was passieren wird. Es gibt nur noch zwei Sitzungswochen des Bundestags in diesem, in dieser Legislaturperiode. Der Bundestag kommt nur noch zweimal im Juni zusammen.Und alle Gesetze, die irgendwie angefangen wurde, wie gesagt, Discotinitätsprinzip, die noch fertig wollen sollen, die müssen jetzt im Juni beschlossen werden,des Bundespolizeigesetzes stand eigentlich gestern, Donnerstag schon mal auf der Tagesordnung, sollte verabschiedet werden, dann gab's aber doch nochmal Streit kurz vor Schluss.Ähm ich gehe davon aus, dass bis zum Schluss Verhandlungen passieren zwischen Union und SPD.Und sowohl das Bundespolizeigesetz als auch das äh Geheimdienst äh Gesetz höchstwahrscheinlich äh beschlossen werden kurz vor Schluss.
Linus Neumann 1:16:46
Das ist jetzt keine gute Nachricht.
Andre Meister 1:16:49
Ja, danke SPD.
Linus Neumann 1:16:51
Aber es gibt keine äh brauchbare Aussicht denkste, dass sich da noch irgendwas dran ändert.
Andre Meister 1:16:56
Beim, ich glaube, es ist ein bisschen schwer reinzugucken. Sie reden auch nicht ganz so gerne sehr detailliert äh mit mir. Ähm.Geheimdienstgesetz,erwarte ich, dass sie versuchen, noch ein bisschen rumzuschrauben, aber ich hälte es für unwahrscheinlich, dass sie das nicht in irgendeiner Form verabschieden. Beim Bundespolizeigesetz ist mir tatsächlich nicht ganz klar, wie viele Krötenähm die SPD bereit ist zu schlucken und wo sie tatsächlich vielleicht doch nochmal versuchen zu ihrem Wort zu stehen,ähm und bestimmte rote Linien äh nicht überschreiben zu lassen, eben gerade die präventive äh Trojanereinsatz.Ähm wetten würde ich darauf nicht, äh ganz ehrlich, mit Wetten auf die SPD wird schon das Richtige tun, habe ich keine guten Erfahrung.Wir werden sehen, vielleicht geschieht ein Wunder, aber es liegt in wie immer in der GroKo an den Silben.Selbst mit der mächtigsten Netzpolitikerin äh des Landes als Vorsitzende dieser Partei. Es steht und fällt alles mit der SPD.
Linus Neumann 1:18:04
Also äh hilft es jetzt auch irgendwie, was sich bei der SPD zu melden?
Andre Meister 1:18:09
Auch Abgeordnete kontaktieren äh und Kandidaten schaden tut das nie. Äh kann man schon mal machen? Inwieweit das jetzt tatsächlich noch effektiv ist? Äh alsoabhalten will ich niemanden. Probiert's. Ähm vielleicht gibt's ja auch Leutein den Parteien oder Wahlkreis Termine mit Abgeordneten, die klassische E-Mail ist halt doof und auch irgendwie das Konzept von Ruf deinen Abgeordneten an, also ich frage mich wie oft, ich weiß nicht wie oft ich das schon gehört habe und ich weiß nicht, wie viele Leute das jemals überhaupt schon mal gemacht haben.Schaden tut das nicht. Kann man gerne machen, aber eigentlich ist die Abwägung 'ne andere. Das Gesetz ist das Geheimdienst Gesetz das liegt auch schon seitOktober auf Eis. Das wurde damals schon von der Bundesregierung äh zwischen den SPD-Ministerienähm geeinigt. Das lag dann aber erstmal fünf Monate flach, weil die Sozen eigentlich im Gegenzug dazu auch noch ein Unternehmensstrafrecht wollten. Also ein anderer großer Deal, was übrigens auch nicht kam,ähm aber die Abwägung.Quellen TKÖ jetzt in der Plusform kommt oder nicht oder ob das jetzt alle neunzehn oder nur,drei Geheimdienste kriegen da eigentlich könnte man versuchen daran noch etwas zu drehen genau jetzt nach der Sachverständigenanhörung am Montag laufen ja auch noch die finalenstimmung im Innenausschuss zwischen der großen Koalition, inwieweit die Paar Abgeordneten der SPD-Fraktion im Innenausschussdavon zu überzeugen sind, also ich will niemand abhalten, go for it. Auf mich hören sie nicht mehr.
Linus Neumann 1:19:48
Oh Mann, Andre, ich äh jetzt weiß ich wieder, warum ich äh.
Andre Meister 1:19:55
Mir nicht Podcast, ja?
Linus Neumann 1:19:59
Oh Mann.
Andre Meister 1:20:00
Lass mal ein Bier trinken muss.
Linus Neumann 1:20:02
Schnaps äh bevor die Spätis hier zumachen und ich keine kein äh keinen Flachmann mehr für die für die Jeans Jeansweste äh bekomme.Danke ich dir, dass du diese Themen trotzdem ähm weiter so genau beackerst. Es gibt auch glaube ich tatsächlich wenige, die das auf demNiveau tun wie du und deswegen ist es ja so wichtig unsere Freundinnen und Freunde bei Netzpolitik org zu unterstützen, genauso wie es auch wichtig ist ähm.Uns bei Lokbuch Netzpolitik zu unterstützen.Und ich wünsche uns dann, würde ich sagen, einfach eine schöne, einen schönen Sommer, weil wenigstens eins ist sicher, wenigstens,ist äh ist dieser äh äh diese Dedosangriff mit äh Grundrechtsverletzenden und hochkritischen äh auf die letzte Sekunde durchgepeitschten Gesetzesvorhaben bald vorbei. Dann haben wir allerdings einen Wahlkampf und das wird bestimmt auch richtig schön.
Andre Meister 1:21:09
Genau, hier, es hört ja nicht vollständig auf, erstens gibt's noch andere Ebenen, wie äh Länder und auch die EU-Ebene und zweitens genau Wahlkampf, Koalitionsverhandlungen.Immer weiter.Bin gespannt, ob die Grünen aus ihrem Parteiprogramm den Staatsfreund noch streichen. Die haben ja jahrelang immer gesagt, Staatstrojaner geht nie unter keinen Umständen, auf gar keinen Fall, weil aus all den richtigen Argumenten. Aber im Entwurf für ihr Wahlprogramm steht drin, ja, also Quellenticker Ü,die Kröte müssen wir halt schlucken. Bin gespannt, ob das noch mal rauskommt.
Linus Neumann 1:21:43
Ich habe gedacht, wir hätten jetzt ein erklärtes äh erklärtes Feindbild hier und äh und jetzt kommen die Grünen auch noch mit dazu.
Andre Meister 1:21:56
Dann reden wir jetzt nicht von Hessen und den NSU-Akten, diese diese Woche nicht freigegeben haben.
Linus Neumann 1:22:02
Die Grünen haben sich auch bei der bei der Urheberrechtsreform enthalten, da hätten sie hätte sie doch auch nichts gekostet, dagegen zu stimmen, äh.Man merkt die, die sehen, die riechen die Möglichkeit auf Regierungsbeteiligung, ne. Da werden sie sofort da werden sie sofort äh handzahm. Schade eigentlich.
Andre Meister 1:22:23
Ulberich ist sowieso nochmal ein eigenes Thema, aber du hast ja gerade einen eigenen Podcast dazu gemacht. Eigentlich wolltest du mit mir eine Viertelstunde übern Trojaner reden, aber ist jetzt doch ein bisschen länger geworden.
Linus Neumann 1:22:31
So ist das. Äh Andre, ich danke dir. Ich wünsche dir ein schönes Wochenende. Und ich mache mich an die zeitnahe Veröffentlichung dieser Episode.
Andre Meister 1:22:43
Alles klar, danke bei dir.
Linus Neumann 1:22:45
Hoffen wir jetzt, ich hab's gerade auch zu Julia schon gesagt, ich weiß gar nicht, ob ich mich, ob ich sagen soll, ich ich freue mich, dich bald wieder im Podcast zu haben.
Andre Meister 1:22:53
He.
Linus Neumann 1:22:57
Ciao Andre.
Andre Meister 1:22:59
Ciao, ciao.

Shownotes

Landesverrat

FinSpy

Begriffe

Ausweitung 2017

Abhören ohne Trojaner

Gesetz zur Anpassung des Verfassungsschutzrechts

Bundespolizeigesetz

Sicherheitsdilemma

LNP394 Da war ein Hacker drin

Doktorarbeiten — Feedback — e-ID-Gesetz — CDU Wahlkampf-App — Pipeline-Erpressung

Trotz dünner Themenlage arbeiten wir uns trotzdem an dem einen und anderen ab und es kommt aus gegebenem Anlass vor allem der Sinn und Unsinn von Doktortiteln und -arbeiten zur Sprache. Außerdem blicken wir auf das e-ID-Gesetz und die von der CDU, CSU und ÖVP eingesetzten App zur Unterstützung von Wahlkämpfern, die einige fundamentale Sicherheitslücken aufweist. Abgerundet wird die kompakte Folge durch eine Betrachtung der Erpressung der texanischen Pipeline durch Ransomware.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove 0:00:00
Guten Morgen Linus.
Linus Neumann 0:00:00
Guten Morgen Tim.
Tim Pritlove 0:00:02
Schon gehört, es gibt Probleme mit Giffeys, Doktorarbeit.
Linus Neumann 0:00:08
Da spricht man aus.
Tim Pritlove 0:00:32
Netzpolitik nur dreihundertvierundneunzig für euch frisch und pünktlich aufgenommen. Schon am zweiundzwanzigsten Mai zweitausendeinundzwanzig.
Linus Neumann 0:00:46
Ja.Ja, äh Quelle zu diesem äh zu dieser das ist das ist ein Nerd Humor. Eine schwierige also das spaltet die die die Menschen ja mehr als die Wahl des Textediters ist, wie man Gift richtig ausspricht.
Tim Pritlove 0:01:03
Ja, es steigt überhaupt alle Probleme, die wir wirklich haben. Also man kann lange über den Klimawandel äh diskutieren, aber es wird nie so hitzig, als wenn man darüber diskutiert, wie Gif ausgesprochen wird. Oder heißt es.
Linus Neumann 0:01:16
Neunzehnhundertsiebenundachtzig hat Steve Willight äh das Format erfunden oder veröffentlicht und hat gesagt, es heißt Schiff.
Tim Pritlove 0:01:29
Und das äh nur also ich meine, nur weil er das erfunden hat.
Linus Neumann 0:01:33
Kann er ja nicht einfach entscheiden, wie man's ausspricht.
Tim Pritlove 0:01:39
Und deswegen ist dieses Its-Product Gif auch schon so für sich zu so einem Mehm gewordenDu was man eigentlich auch auf alles andere anwenden kann. So auch so komplett so nach dem Motto ja weißt du irgendwie, ist das Problem da und damit ist,Ist das ein guter Witz, den mussten wir jetzt einfach mal machen.
Linus Neumann 0:02:02
Den mussten wir klauen.
Tim Pritlove 0:02:03
Weil es scheint ja Probleme mit der Doktorarbeit zu geben. Dabei hast du ja auch äh so deine Erfahrungen mit gesammelt mit Doktorarbeit.
Linus Neumann 0:02:09
Ja, da möchte ich mal nicht drüber reden über also das ist ja eine.
Tim Pritlove 0:02:12
Du hast vor zehn Jahren auf einer öffentlichen Veranstaltung angekündigt, dass du das, dass du da deine Gerade schreibst, ne.
Linus Neumann 0:02:18
Ja, aber unter falschem Namen.
Tim Pritlove 0:02:19
Sage ich immer was ist da was draus geworden eigentlich jemals?
Linus Neumann 0:02:22
Die hat die die hat ja dann zu Ende geschrieben, ja. Also der Ghostwriter.
Tim Pritlove 0:02:27
Ist ja auch veröffentlicht worden, können wir die verlinken.
Linus Neumann 0:02:31
Ja die habe ich auf achtzig Disketten habe ich die.Ach ja, das ist ja so, inzwischen steht's ja, glaube ich, sogar schon in der Wikipedia, dass ich das war. Insofern kann ich das langsam nicht mehr leugnen.
Tim Pritlove 0:02:43
Nicht schwierig.
Linus Neumann 0:02:45
Es war damals bei äh zu Gutenberg äh hatten äh nachdem der der,sage ja, es ist mehrfachen Plagiats ja überführt wurde und zurücktreten musste, gab es eine Massen scheinbare Massenbewegung auf Facebookdie aber sehr, ja, sehr verdächtig, schnell wuchs und irgendwie nicht so ganz ernst zu nehmen war. Und die kündigten dann äh eine Großdemonstration in Berlin an.Und dann haben wir die einfach also da haben wir die einfach angemeldet und äh damit war ich dann quasi deren Anmelderdieser äh Demonstration. Und am Brandenburger Tor und äh die Presse macht natürlich die Interviews mit dem Anmelder. Und dann konnte ich äh quasi die die besten Argumente der Gutenberg Fans,vortragen und das wurde jetzt ein YouTube-Video, wo das jemand gefilmt hat.
Tim Pritlove 0:03:39
Grandios, wirklich, das ist echt das, also ein wirklich zeithistorisches Dokument, das ist auch äh es hat auch eine Lustigkeit in den letzten zehn Jahren, ist ja wirklich zehn Jahre her jetzt, ne? Ziemlich genau, ja.
Linus Neumann 0:03:49
Ungefähr zehn Jahre, ja. Zweitausendelf war das irgendwann im Mai oder so.
Tim Pritlove 0:03:53
Wirklich an Lustigkeit überhaupt nicht verloren.
Linus Neumann 0:03:57
Ich find's inzwischen immer weniger lustig, weil diese dumme Argumentation ähm die begegnet einem ja wirklich inzwischen alltäglich, ne.
Tim Pritlove 0:04:07
Genau, das ist mir nämlich auch aufgefallen, dass eigentlich diese Gutenberg-Demo.Also ich wäre überhaupt nicht überrascht, wenn dieselben Fressen, die da einfach auf diese Demo gelaufen sind, um ihn wirklich zu unterstützen. Im Prinzip genau dieselben Vögel sind die jetzt irgendwie auch diese ganze Corona-Schwabelei irgendwie nach vorne getragen haben. Wenn sie's persönlich nicht sind.
Linus Neumann 0:04:25
Du, das, das ist ja auch so.
Tim Pritlove 0:04:26
Ja, ja.
Linus Neumann 0:04:27
Ist ja auch so. In dem in dem Video gibt's ja auch so eine schöne so eine schöne ähm da da ist auch so eine schöne Stelle, da ähm.Da werde ich irgendwie gefragt äh so ja hier sechshunderttausend Leute angemeldet. Hier sind jetzt irgendwie hundertÄh wie sieht das, ne? Wer jetzt optisch enttäuscht wäre mit der Anzahl der Teilnehmenden. Und dann sage ich halt irgendwie sowas wie ähm,Ja, irgendwie, so das ist ja einfach auch hier ein Verfall der Werte. Pünktlichkeit ist keine Tugend mehr, wenn die Demo um dreizehn Uhr angemeldet ist, dann ist sie um dreizehn Uhr und hier kommt jeder, wann er will, ne? Und ähregt mich dann so ein bisschen über den über den allgemeinen Verfall der Werte auf. Und in in dem Hintergrund hinter mir siehst du halt irgendwie so alte Leute stehen, die dann so bekräftigend nicken, ne, also.
Tim Pritlove 0:05:10
Ja, ja. Oh, das war echt crinch, ey. Ey, ich sag's mal einer. Der junge Mann hier hört auf den jungen Mann.
Linus Neumann 0:05:19
Genau, endlich wieder Zucht und Ordnung.
Tim Pritlove 0:05:21
Ja, so als Agitator hättest du durchaus auch eine Zukunft gehabt. Stattdessen bist du Aktivist geworden, was.
Linus Neumann 0:05:27
Ich bin kein Aktivist, Mann. Extra aus der Wikipedia rausstreichen lassen.
Tim Pritlove 0:05:32
Ja die also das war das das ja das das fatale ist wenn man jetzt irgendwie versucht mit einiger Eleganz diesen diese ganze Sinnlosigkeit,zur Schau zu stellen und das ist ja durchaus auch gelungen, weil wir haben ja alle herzlich lachen können über die Tumpemasse, die dann irgendwie da ihren ihren guten,wieder haben wollte und du hast es ja dann einfach in diesem Interview auch einfach finde ich perfekt auf den Punkt gebracht. So, warum wollen sie den wieder haben? Ja, weil weil der gut ist.
Linus Neumann 0:06:01
Ja, finde gut.
Tim Pritlove 0:06:02
Ja, weil weil der ist ja ein guter Politiker, ich finde den gut so, ne? Und äh auch so dieses ganzeArgumente zählen eigentlich gar nicht. Es zählt einfach das Gefühl, dass das jetzt nicht so gesagt, aber das,kam im Prinzip wunderbar raus und insofern muss ich äh zugeben, was du da drinne zeigst echt voraus irgendwie, das ist äh ein Blick in die Glaskugel gewesen.Ah, so was Lustiges irgendwie, also echt.
Linus Neumann 0:06:28
Also das wir verlinken das äh YouTube-Video und ähm es gab da auch einen Vortrag ähm auf demachtundzwanzig C3, den verlinken wir auch nochmal, wo diese und andere Aktionen äh unter dem Politikhacken,behandelt werden. Und zwar von Alexander Müller und Monzerat Graupenschläger. Ist der Vortrag.
Tim Pritlove 0:06:51
Von der hidonistischen Internationale.
Linus Neumann 0:06:53
Ja, das äh sein äh auch schön. Ja, es ist also,Ich habe dann auch äh äh du trittst dir ja auf, also bei Twitter trittst du ja sowieso. Das ist ja auch immer sehr schön. Also da ich ich ich finde ja, manchmal,Das Schönste an meinen Tweets finde ich eigentlich,Antworten, denn ich war so böse sein darf, ne? Also wenn du da in so einen in so einen Wespennest reinstehst, ne, in so eine Giffei ähm Plagiats-Affäre, ne, dann,kommen natürlich auch wieder alle möglichen Leute, die diese Gedankenakrobatik machen müssen.Ähm um um irgendwie das dann doch in Ordnung zu finden. Zum Beispiel Leute, die ernsthaft an der, also ernsthaft die These vertreten, dass ein Mensch,der bei seiner Doktorarbeit ähm betrogen hat.Nie davor betrogen hat und das danach auch nicht nochmal tut.Und dieser Hypothese widerspricht tatsächlich einfach eine ganze Menge. Erstens, wenn du in deinem Leben bis an eine Doktorarbeit kommst, ohne jemals betrogen zu haben.Und dann ausgerechnet bei dieser wirklich wichtigen äh Leistung deines Lebens damit anfängstDas ist schon mal sehr unwahrscheinlich, weil wenn du vorher nicht die Erfahrung gemacht hast, dass Betrügerei sich lohnt, dann traust du es, dich in dem Alter mit so viel Lebenserfahrung auch einfach nicht mehr und du brauchst es auch nicht mehr. Zweitens, selbst wenn es so wäre,ja? Dass du sagst, bis dahin war ich ein ein der ehrbarste Mensch auf Erden und ich betrüge jetzt nur einmal ausnahmsweise bei meiner Doktorarbeit, dann wirst du natürlich daraus eine Lehre ziehen und die Lehre ist.Hat geklappt,Ja und die Hypothese, die jetzt andere haben, ja, aber Menschen können ja lernen, ja, das stimmt. Aber nicht, wenn sie positiv äh verstärkt werden für das, was sie getan haben, ja? Und wenn sie äh diese Giffey Geschichte ist natürlichbesonders stark, weil diese Diskussion wird jetzt seit längerer Zeit geführt. Und ähm,das framing ist ja wirklich enorm, weil alle versuchen, also alle Parteifreundinnen und so, die sich dazu äußern, niemand verwendet den Begriff Plagiat,oder sonst was, ne? Das ist dann Qualitätsmängel, von denen da die Rede ist. Und dann wird sie irgendwie als Ehrenperson dargestellt,weil sie jetzt irgendwie zurücktritt, ne. Dabei ist das natürlich nur ein taktischer Move, um potenziell dieses Thema aus dem Berlin-Wahlkampf wieder rauszuholen. Und sowas muss,aufgedeckt werden und da muss halt auch mit aller Härte reingehauen werden. Und insbesondere übrigens bei Doktortiteln, ja, die äh wenn ich mal ehrlich sein darf, sowieso,Also wirklicher Quatsch sind, ne, also eine die institutionalisierung von akademischer Leistung in Form eines Titels, auf den du dann in deiner Ansprache ein Anrecht hast, ja? Das ist ja ohnehin schon so eine ähm,Also so ein Quatsch. Ja, so so ein Unsinn, ja. Ähm eine wenige, eine wenige Form der Ausbildung.Quasi äh zu einem Titel zu machen, der dann irgendwie gesellschaftlich zu honorieren ist, aber wenn du so etwas schon schaffst, dann ist natürlich auch klar,dass da halt das Geschmeiß ankommt und versucht, sich den zu erschleichen. Wie zum Beispiel die ganzen Medizinstudenten, die drei äh Reagenzgläser zueinander kippen und dann Doktortitel haben,in jeder anderen ähm Wissenschaft tatsächliche Leistung zu vollbringen ist für sowas, ne? Hey, jetzt haben wir wieder die ganzen Zahnmedizinerinnen in den Kommentaren, jazurecht. Ähm weil natürlich ist unterschiedliche Wege gibt äh an an äh Doktor Titelkommen. Ich habe übrigens auch damals mal geguckt, weil ich das so lächerlich fand, was die Medizinerinnen machen müssen, habe ich mich mal erkundigt, ob ich ähmob ich nicht einfach auch in Medizinwissenschaft promovieren kann, weil das kannst du im halben Jahr machenund sagen wir mal so, die wissenschaftlichen Fähigkeiten, die ich zu dem Zeitpunkt hatte, die überstiegen halt schon.Der durchschnittlichen äh Medizinstudentin, die ja hauptsächlich damit beschäftigt ist, irgendwelche Knochennamen auswendig zu lernen. Deswegen machen die ähm Fakultäten, an denen man in Medizinstudieren kann. Quasi das Grundstudium.Zur Grundvoraussetzung. Also du musst dich einmal durch diese ganzen Physikum und Chemikum und so Sachen quälen, bevor du überhauptMedizinwissenschaft promovieren kannst und damit versuchen die sich natürlich die ganzen Doktor äh Touristen vom Leib zu halten, wie ich's mir da auch überlegt habe, ne. Ich habe damals gedacht, zu einem befreundetenMenschen, der in einer dieser äh in einer dieser Medizinwissenschaften promovieren wollte, habe ich gesagt, pass auf, ähm,Ich schreibe einfach zwei Doktorarbeiten, den den Datenauswertungsteil,Und du schreibst äh den den Bedeutungsteil, ja? Und einen einen Doktor kriegst du einen Doktor kriege ich. Äh das, was da für einen Doktor für eine Doktorarbeit reicht, da schreibe ich auch zwei von dem Viertel, ja. Aber na ja, okay, haben wir nicht gemacht.So, das sollte jetzt reichen, um genug Hate von unseren ganzen Doktor Trägerinnen in den Kommentaren zu bekommen.
Tim Pritlove 0:11:58
Okay. Also mal festhalten, du hast keinen Doktortitel.
Linus Neumann 0:12:01
Ich habe keinen Doktor Titel, nein.
Tim Pritlove 0:12:03
Okay, ich übrigens auch nicht, ja. Ähm habe ich auch bisher nicht vermisst und fand das auch schon immer so ein bisschen albern.
Linus Neumann 0:12:11
Es ist, es ist wirklich es ist eine es ist tatsächlich eine sehr alberne äh Institution. Ich denke, wenn man jetzt mal wirklich überlegt, welche, also was ein Doktort wirklich ähm.Ausweist und ich denke, das muss man auch ähm anerkennen, außer halt im Bereich der der Medizin für die Leute, die das dann nur haben, damit sie die Frau Doktor sind,ähm du unter den, dass du dir einen Themenbereich genommen hast.Dich mit dem auseinandergesetzt hast und in diesem Themenbereich,der Wissenschaft, dem ähm Wissen der Menschheit genointzugefügt hast.Das ist ja das, was was eigentlich äh der Anspruch an eine Promotion ist, ne. Irgendwie Diplomarbeiten oder oder Master und Bachelorarbeiten, ne, da da da musst du eigentlich nur deine wissenschaftliche Fähigkeit.Unter Beweis stellen, es reicht, wenn du quasi in einembekannten Phänomenbereich nochmal was untersucht hast, der Anspruch an eine Promotion ist, du hast ne das dem Universum des Wissens der Menschheit hast du einen relevanten Beitrag mit wissenschaftlichen Methoden hinzugefügt,Und der Grund, warum dasbei vielen äh Jobs und Unternehmen eben quasi im Einstellungsbereich äh so eine große Rolle spielt, ist, dass du einfach eine Leidensfähigkeit unter Beweis gestellt hast.Ja, weil alle, alle, die so etwas gemacht haben, sagen dir, wie sie zwischendurch irgendwann äh zusammengebrochen sind, Existenzkrise hatten und sich am Ende nur noch durchgebissen haben und die Scheiße fertig zu kriegen,ja? Und das auch bereut haben, diese Entscheidungen jemals getroffen zu haben. Aber eben unter Beweis gestellt haben, dass sie sich da durchgebissen haben. Und das ist natürlich eher eine Charakterprüfungähmals eine Intelligenzprüfung. Und das ist äh äh in einem Unternehmen natürlich durchaus von Interesse zu sehen, zu sagen, okay, diese Person hat sich da äh durch durch dieses Tal der Tränen durchgekämpft. Äh die können wir hier bei uns sehr gut,in unserer Wertschöpfungskette gebrauchen, ja? Äh das ist, denke ich, der gesellschaftliche Wert von ähm der der ökonomische Wert von.Von solchen Promotionen.
Tim Pritlove 0:14:23
Ich finde jeder, der sich irgendwie nennenswert mal durch irgendwas durchgebissen hat und da äh Resilienz äh zu Tage gebracht hat, sollte irgendeine Form mitm Titel belohnt werden, bis eigentlich alle irgendwie irgendeinen Titel haben.Weil dann bedeuten die auch nichts mehr.
Linus Neumann 0:14:38
Papst zum Beispiel.
Tim Pritlove 0:14:41
Ja, also ich meine, das ist ja nun wirklich die die Definition der der äh Leistungsfreiheit, weil ich meine.Zu Päpstinnen, kann jede ernannt werden, das ist ja überhaupt gar kein Problem. Wir könnten zum Beispiel jetzt Kraft unseres Amtes äh alle unsere Hörerinnen zu Päpstin anwenden. Wollen wir das mal tun?
Linus Neumann 0:15:01
Mach das bitte, Tim.
Tim Pritlove 0:15:02
Ja, okay, also liebe Hörerinnen, äh wir ernennen euch hiermit alle äh zu Päpsin.Steht euch zu und das solltet ihr auch einfach annehmen, denn das ist auch sehr, sehr vorteilhaft, denn so als Päpstin ist man halt auch.Relativ sicher vor dem Zugriff von.Schwierigen Organisationen, sage ich mal, ne. Begossen with the Bob. Und äh ja, das äh seid ihr jetzt alle und äh übrigens könnt ihr auch in dem Zuge ähm durch euer neues Amt.Alle anderen Leute jederzeit so nennen. Das äh steht euch jetzt offen und damit habt ihr dann auch ein bisschen mehr zu tun.
Linus Neumann 0:15:46
Aber du musst natürlich noch dazu sagen, von wem sie jetzt zu Päpstin ernannt wurden.
Tim Pritlove 0:15:51
Von äh von mir, von Theodor Prinz, dem tapferen hinter der Flamme des Herzens, Haus der Apostel der Iris.
Linus Neumann 0:16:00
Richtig, richtig. Ach schön, ich freue mich jetzt schon auf die Kommentare von unseren ganzen Promovierten.Spaß beiseite, es ist ähm also ich denke, es es ist eine der eine der wichtigsten Leistungen, die Menschen.In ihrem Leben äh unter Beweis stellen, wenn sie.Das auf ehrlichem Wege tun in einer Wissenschaft, wo dieser wo diese Auszeichnung schwer zu bekommen ist oder mit angemessener Höhe,mit angemessenen Anforderungen verbunden ist. Die Anforderungen sind über die Wissenschaften sehr unterschiedlich verteilt. Ähm und es ist ein gesellschaftlicher,Fehler, wie bei allem, äh wo man so etwas macht, an dieser Auszeichnung halt zu viel dranzuhängen. Und das ist, denke ich, eindeutig der Fall. Ja? Ähm.Dass dass man mit dem Doktortitel, äh dass das für Politikerinnen und für äh ja bestimmt in bestimmten Unternehmensbereichen äh eben,was ganz besonders sowas ist irgendwie sein,seinen Doktortitel zu führen, ne? Und sich damit irgendwie äh eine gesellschaftliche Abgrenzung äh zu erwarten oder eine Besserstellung. Hätte ich einen Doktor Titel äh würde ich ihn nicht führen.Das kann ich glaube ich ganz klar sagen. Außer bei irgendwelchen Arschgeigen. Da würde ich immer sagen, Doktor Neumann.
Tim Pritlove 0:17:25
Einfach so aus Prinzip auch.
Linus Neumann 0:17:27
Für sie immer noch Doktor Neumann, Herr Wachtmeister.
Tim Pritlove 0:17:30
Kurzer Hinweis noch an alle neue äh Pepseln, ja?Das ist zwar jetzt nicht im eigentlichen Sinne so ein Titel, aber äh es gehört natürlich zum guten Ton, dass man sich dann auch einen gepflegten diskordischen Namen zulegt. Da könnt ihr dann mal ein bisschen drüber nachdenken, aber so jetzt einfach so mit Reel nehmen, äh weiter zu agieren. Das geht natürlich jetzt auch nicht.
Linus Neumann 0:17:52
Nee, das kannst du nicht machen.
Tim Pritlove 0:17:53
Ne? Also muss schon korrekter Nick nehmen am Start sein.
Linus Neumann 0:17:56
Ja, das sieht man auch bei mir. Ich habe nämlich zum Beispiel auch in meiner ähm in meiner Bescheidenheit trotz mehrfacher Ernennung zum deskodianischen Papst führe ich auch diesen Titel nicht.
Tim Pritlove 0:18:09
Ja, siehste mal. Da kannst du ja noch dran arbeiten, aber an sich an sich bisher ganz findig beim Erfinden von neuen Namen. Müsste jetzt sozusagen nur einen davon auch mal als deinen diskordischen Namen annehmen.
Linus Neumann 0:18:18
Okay.
Tim Pritlove 0:18:19
Reicht ja dann auch schon.
Linus Neumann 0:18:21
Kommen wir zum Feedback.Ähm wir haben äh mehrere Sendungen jetzt keine Feedback-Runde gemacht und deswegen machen wir eine etwas längere. Äh vielleicht möchtest du äh beginnen mit dem Kommentar von Silmarie.
Tim Pritlove 0:18:37
Ja, da gab's so ein bisschen auch für Oma. Wir hatten ja irgendwie ein paar Zahlen, fallen lassen und ich hatte so,grob in die Luft ein paar äh äh Kopfrechnungen aufgemacht. Was denn so die Corona-Warn-App für einen Impact äh gehabt hat und ähm wurde dannim Detail mal ein wenig äh korrigiert. Ich will euch jetzt hier mit den Nachberechnungen nicht nerven, weil das ist im Prinzip.Bogos, man weiß nicht genau die Zahlen, so. Es gibt Größenordnung, ja, ich habe das nochmal kurz nachgeschaut, äh der Corona Barnett wurden im Dezember irgendwie schon eins Komma fünf Millionen,Benachrichtigungen äh nachgesagt, also Warnungen, die ausgesprochen wurden. Wobei ich jetzt auch nicht genau sagen kann, äh auf welchem Level die waren.Die Nachfrage von Silmaril war dann aber irgendwie, ich hätte ja gesagt, tausend Euro kosten pro Infektion. Äh wo kommen denn diese tausend Euro pro Infektion her? Ich nehme an, das ist ein Schätzwert für die Behandlung eines Erkrankten äh,Nachdem jeder Infizierte aber zu weiteren Infektionen führt, sind das aber eher tausend Euro pro Woche. Also die Zahl ist soauch so ein bisschen außer Luft, aber nicht ohne Basis. Ähm ich habe das etwas entlehnt aus den Debatten, die ich mit Pavel im UKW, im Corona-Wikli äh immer führeund das ist im Prinzip,eine grobe Hochrechnung. Dann man kann ja sehen, wie viele Leute, die infiziert sind letzten Endes im Krankenhaus landen.Also wie viel Prozent der Infektionen letzten Endes zur Hospitalisierung führen und wenn man dann haltdie Kosten nimmt der Leute, die in Krankenhäusern behandelt werden, die natürlich relativ hoch sind und dort aber auch noch mit einrechnet, das so oder so, selbst wenn man nicht.Ins Krankenhaus kommt, sondern einfach nur in Quarantäne gestellt wird. Ja, dadurch, dass man eben.Quasi vom Gesundheitsamt gewarnt wird, auch dann ja dem Arbeitsmarkt entzogen ist und damit auch indirekt Kosten erzeugt. Ist das so eine Pi mal Daumenrechnung, die aber, glaube ich, ganz gut es trifft, dass man sagen kann.Jeder Infizierte in dieser Corona-Pandemie hat die Gesellschaft tausend Euro gekostet. Dementsprechend ist jede Warnung, die dazu führt,dass jemand sich nicht erst infiziert, äh ein Vorteil, ne, weil Leute sich dann eben in dem Moment, wo sie von der Corona-Warn-App gewarnt werden,automatisch oder im Idealfall äh weiteren Kontakten entziehen und damit eben äh eine Weiterverbreitung des Virus verhindern. Das ist ja der ganze Sinn und die ganze Idee,hinter dieser App. Ähm Nils sagt hier noch ähm zweiten Kommentar, kannKorrektur timmert auf der Annahme, dass tausendzweihundertfünfzig Menschen durch die Corona-Warne pro Tag von ihrer Infektion erfahren. Jede weitere Infektion, die Allgemeinheit so tausend Euro kostet, eine Ersparnis von zwölf Komma fünf Millionen Euro am Tag ausgerechnetbin jetzt auch kein Mathegenie, aber tausendzweihundertfünfzig mal tausend sind natürlich eins Komma zwei fünf Millionen und nicht zwölf Komma fünf Millionen äh ja.
Linus Neumann 0:21:43
Recht, der Nils.
Tim Pritlove 0:21:44
Ja, diese Zehnerverschiebung. Da habe ich mich schon mehrfach blamiert dieses Jahr. Ähm passiert.
Linus Neumann 0:21:53
Äh äh Nils kommentiert weiter,man muss ja in dem Zusammenhang nochmal betonen, dass die tausendzweihundertfünfzig entdeckten Inflation natürlich immer noch dasselbe Gold kosten. Dasselbe Geld kosten. Ja, stimmt, aberwieder also da macht Nils dann den Fehler, denn die Idee ist ja, durch die schnelle Warnung werden weniger Leute infiziert. Ja, alsoes ist es ist und bleibt äh schwierig in diesen äh es geht halt um die vermiedenen Infektionen und nicht die äh Gewandten.Ja dementsprechend dann kommentierte Christopher wieder auf äh Nils und sagte ähm.Potenziell versteckt sich in den Zahlen ein Selection Biers, erstens, es konnten nur Leute befragt werden,Die Datensharing angeschaltet haben, gegebenenfalls vertrauen diesen Leuten der CWA mehr und sind eher bereit, sich testen zu lassen, wenn die CBA ihnen eine Warnung sendetsehr guter Punkt. Ja, hat der Christopher recht. Ähm zweitens, es haben sicher nur einen Teil der Leute bei der Umfrage unter den,fünfzehntausend Hochrisikokontakten mitgemacht. Wahrscheinlich sind diejenigen, die nach der Benachrichtigung durch die CWA tatsächlich Corona hatteneher bereit an Verbesserungen der App mitzumachen und ihre positive Erfahrung zu teilen.Mich hat die CWA gewarnt. Ich könnte mir vorstellen, dass dies bis zu Faktor zwei ausmacht, also die Ergebnisse quasi zweimal so hoch macht, äh wie die Realität.Und die CBA steht nach dieser Art der Datenerhebung doppelt so gut da wie sie tatsächlich wäre. Ähm das ist natürlich immer noch ziemlich gut,fünfhundert bis tausend infizierte durch die CWA mehr überhaupt oder früher von ihrer Infektion erfahren und damit gegebenenfalls weniger Leute selber anstecken.Abschließend sagt Christopher noch man würde sich wünschen es wird weiterhin mehr Werbung für die CWA gemacht, sie wird,auch mit Impfungen wahrscheinlich wichtig bleiben. Was der Christopher hier gemacht hat, ist ähm was sehr,Wichtiges und das merkt man immer wieder,sobald in der Diskussion von Studien eine Prozentangabe gemacht wird.Ich hab jetzt auch grade schon die die aktuelle Folge von UKW gehört im Corona da kommt das auch immer ne? Wenn wenn also eine Aussage wie das und das ist um so und so viel Prozent wirksam mehr,ja? Ist hoch,äh im im hohen Maße davon abhängig, was genau die Wirksamkeit ist und was man vergleicht, denn ähm also ich nehme jetzt ein fiktives Beispiel, äh wenn man sagt, ähm,Impfstoff hätte eine Wirksamkeit von, sagen wir siebzig Prozent und der Byontec Impfstoff hätte eine Wirksamkeit von neunzig Prozent.Frage für unsere Pisa Kandidatinnen, um wie viel Prozent,ist wirksam mehr als Astra Zenneker. Spontan würden viele sagen zwanzig Prozent,Wenn man aber den Ausdruck, wenn man aber die siebzig Prozent nimmt und sagt, wie viel von den siebzig Prozent ist Biontek stärker,kommt ein anderer Wert raus und es ist sehr entscheidend, sich immer genau anzuschauen, was von welcher Grundgesamtheit wurde hier ausgegangen und wer wurde gefragt,und wie kommen diese Zahlen zustande? Und Christopher macht das hier genau richtig, quasi zu sagen, Moment mal, Moment mal, Moment mal, wer wo dir überhaupt gefragt, wo sind die blinden Flecken der Erhebung und welche prozentualen Anteile werden hier überhauptähm angewendet. Und das ist stelle ich immer wieder fest, dass das genau solche ähm.Solche Überlegungen und solche Fragen halt zu einer fundamentalen Misskonzeption in der Wahrnehmung äh wissenschaftlicher äh Erkenntnisse führen.Umso mehr werbe ich ja auch dafür, dass man sich sehr, sehr viel mehr damit auseinandersetzt und ähm ich erinnere mich, dass ich hier in dieser äh dass ich mit dem,Malik da auch nochmal viel drüber gesprochen habe, wie viel,man dadurch lernt, sich mit mit wissenschaftlichen Studien wirklich auseinanderzusetzen und dass die eigentliche Musik nämlich nicht in den Zahlen ist, sondern in deren korrekter,Interpretation. Das ist der,der anstrengende Teil der der ja im Prinzip den intelligenten Teil ausmacht ne? Kluge Studiendesign und die,in dem eigenen Studiendesign zu erkennen, äh zu prüfen und entsprechend ähm ja, sich zu überlegen, wie man die los wird.
Tim Pritlove 0:26:44
Auf jeden Fall äh hat er natürlich Recht, dass die Corona beworben werden müsste. Und nachdem ich jetzt auch gesehen habe, dass sogar Ohio irgendwie diese äh schöne Idee mit der Lotterie aufgegriffen hat für Coronaimpfungenhat mich das bestärkt in meinem Vorschlag, dass man doch irgendwie CWA zu so einem Lotto-Programm umbauen sollte und dann,auch wirklich äh installiert werden, ne. Also zur Information ähm,wurden jetzt ähm fünf Millionen Dollar ausgelobt, die irgendwie so da täglich äh in kleinen Häppchen äh verteilt werden unter den Leuten, die sich halt jetzt impfen lassen und tatsächlich gehen die Impfquoten.
Linus Neumann 0:27:20
Ist das täglich oder.
Tim Pritlove 0:27:22
Also es war, glaube ich, am Anfang irgendwie wöchentlich geplant und jetzt ist es irgendwietäglich aufgeteilt. Ich weiß nicht mehr ganz genau. Egal, auf jeden Fall, wenn in regelmäßigen Abständen kleine Häppchen dieses Geldes unter den Leuten verlost und dann an Feiertagen ist es irgendwie ein bisschen mehr,so und äh das führt eben dann tatsächlich dazu, dass Leute dann sagen, oh, lass mich doch mal eben, vielleicht gewinne ich ja was im Lotto. So, und äh würde man halt einfachdieselbe Logik auf die Corona-Warn-App machen und sagen, wir hauen jetzt hier mal jeden Tag zehntausend Euro raus. Was für Leute einfach eine Menge Geld sein kann,und auch ist, ja? Aber halt im in der Summe der Gesamtinvestition dieser Operation ein vollkommen,irrelevanter Betrag ist, würde man einfach einen viel größeren Effekt haben. Und ich glaube, wir wir hätten viel, viel, viel höhere Installationszahlen gesehen. Und vor allem, man kann diese Frage, was habe ich davon, dass ich das Ding laufen lasse.Was ja immer das Erste ist, was die Leute sagen, obwohl es ja darum nicht geht, es geht nicht darum, was du davon hast, sondern was wir alle davon haben, aber in dem Fall hast du halt was davon, du hast nämlich die Chance im Lotto zu gewinnen und das versteht einfach jeder.
Linus Neumann 0:28:27
Du meinst Euro, Alter.Mich Hartgeld. Du meinst Fiat, so, das ist nicht irgendwie hier so ein.So so ein Krypto-Husch, ja, sondern richtig harte Inflationsbehaftete Kohle. Ist eine total feine Sache.
Tim Pritlove 0:28:48
Gut.
Linus Neumann 0:28:53
So, dann haben wir noch ein bisschen darüber gesprochen, äh, Corona-Warn,Kompatibilität zwischen äh Papierlisten und äh CWA. Der kommentiert,äh hallo Tim, hallo News, wieder mal ein guter, ein super Podcast, danke. Eine kurze Randbemerkung zum Thema und der Anhörung zur Check-In-Funktion im Bundestag. Wie Linus fand ich die Aussage von Martin Fassung etwas,dass er die Frage von Tabea Rößner nach einer Brücke von der digitalen in die analoge Welt bei der Check-in-Funktion.Nicht verstanden hatte.Wenn man die Speck von Crowd Notifyer liest, kommt man zu dem Schluss, dass die Integration von nicht-Corona-Wana-Pusern elementarer Bestandteil des Konzeptes ist.Ja korrekt, ne? Also bei Crowd-Notify ist das spezifisch vorgesehen, dass ähm,Locations oder eben jedes äh,und damit oder ihr, also jedes Mitglied der Gruppe und damit auch die Location selber, potenziell die Warnung auslösen kann. Somit wäre also der Weg als äh beispielsweise gastronomische Einrichtung, die eine.Digitale Warnung erhält, rufe ich einfach alle an, die auch auf dem Papier stehen und wenn jemand vom Papier sich meldet, löse ich die Warnung aus für alle, die ich digital habe. Jetztsagt Dirk. Daher Fassung im anderen Kontext erwähnte das,Notifyer, die Vorlage für die Implementierung der Check-in-Funktion ist. Und ich unterstelle, dass er die Speck gelesen hat, muss man sagen, dass die Kommunikation zwischen Tabea Roth, Rösner, Martin Fassung und Ulrich Kälber in diesem Punkt sehr merkwürdig warwar. Zumindest hätte man erwarten können, ähm dass Martin Fassungen kurz erklärt, dass und warum,Diese Funktion nicht implementiert wurde.Ja, also und es ist tatsächlich offenbar so, dass es momentan nicht der Fall ist, äh dass das möglich ist und äh das ist ähm anzukreiden.So, der nächste Kommentar von Thomas betrifftden digitalen Impfpass. Hallo zum digitalen Infos. Ich habe euch so verstanden, dass ihr einen digitalen Nachweis als Ersatz für den aus Papier für möglich haltet. Daran zu glauben fehltmir schwer. In unser Person ein Smartphone besitzen in Teilen der Gesellschaft ist das aber nicht der Fall. Ich kann mir nicht vorstellen, dass die Gerichte in Europa zustimmen, wenn die Ausübung von Grundrechten am Besitz eines Smartphones hängt. Neben den angesprochenen Problemen sehe ich aber als weitere Schwierigkeit, dass man auch eine Lösung,braucht, ja, die gibt's, du druckst einfach den QR-Code aus.Also ähm äh das musste ich auch nochmal in äh in einem Interview mit äh ZDF heute live nochmal erklären. Äh also QR Codes.Sind eine also in QR-Codes sind quasi Bits und Bites kurdiert, ja? UndIch kann einen beliebigen digitalen Inhalt, den ich im Zweifelsfall äh also auch formatiert, wie ich das möchte, aber nehmen wir einfach mal Schrift, um es einfach zu machen. Ich kann aus einem beliebigen digitalen Inhalt einen,QR-Code machen. Ich kann einen QR-Code machen für Linus ist doof oder für Linus ist geimpft.Und ich kann mit ähm Kryptographischen Mitteln, wie ich sie auch in der letzten Sendung erklärt habe, da auch eine Signatur drum machen und diese Signatur ist auch wieder ähm abbildungsfähig.In Buchstaben. Und so kann ich am Ende in einem QR-Code, den Text, Linus ist geimpft und die,Signatur unterbringen, das kann ich also schreiben auf einer Schreibmaschine und ich kann diesen Inhalt als QR-Code codieren. Und diesen QR-Code kann ichausdrucken, tätowieren, Schlüsselanhänger äh malen mit Wachsmalstiften so, ne? Ähm das geht alles und da ist kein Smartphone Zwang, äh der hier,existiert. Gleichzeitig ähm da kommen wir gleich, glaube ich, nochmal ein bisschen zu äh Grundrechte und so weiter. Äh ist ja hier ein bisschenweit hergeholt, weil ich, wie gesagt, die These vertrete, dass dieser ähm.Impfnachweis, im normalen Leben wenig ähm anwendungs.Sinnvolle Anwendung finden kann und wenn ich mich nicht täusche, auch weiterhin der nicht digitale äh Papierimpfnachweis ähm gültig,hat und anerkannt werden muss. Insofern.Ähm ist deine Sorge hier äh nicht, die wird die wird so nicht zum Tragen kommen. Also eine Smartphone freie Person.Kann sich den QR-Code ausdrucken oder ausdrucken lassen äh oder tätowieren oder sonst was und äh oder eben kann ihre Grundrechte, die du ja hier benennst, auch mit dem Papier ähm,Nachweis ausüben. Ich würde aber in dem Falle dann dazu empfehlen, den QR-Code einfach mit da reinzulegen oder.
Tim Pritlove 0:34:02
Na die eigentliche Komplexität dieses Systems liegt tatsächlich mehr in der Erstellung dieses Codes als in ihrer,Darstellung. Und äh dann natürlich auch in der Überprüfung,so, was aber dann eben nicht die eigentliche Pass-App ist, mit der man das Ding durch die Gegend trägt. Sondern das sind eben die Überprüfungs-Apps auf der einen Seite,und eben die Software, die äh erstmal zu einer ordnungsgemäßen Erzeugung führt und natürlich auch der ganze Prozess der Überprüfung, ob denn das überhaupt alles legitim ist, aber da haben wir ja schon drüber gesprochen.
Linus Neumann 0:34:34
Dann noch eine kurze Nachfrage von Cornelius.Also hier geht es darum, dass Nexeniu jetzt angekündigt hat, dass in Zukunft die Telefonnummern.Signiert werden,Cornelius fragt, zum Thema Luca-App und dem Plan die Telefonnummer zu signieren. Ich weiß nicht, ob ich das Konzept falsch verstanden habe. Kann ich nicht rein theoretisch dann eine Telefonnummer.Bei der ich Zugang zu dem Luca Pin habe, mir von Luca signieren lassen und dann überall verteilen,zum Beispiel, dass die Lucy App einfach eine Verifikation für eine Telefonnummer durchführt und dann diese bei allen Check-Ins benutzt. Da hat Cornelius recht, dass,wäre bei einer naiven Prüfung dieser äh Signatur,möglich. Ähm die Signatur, wie gesagt, erinnern wir uns, bestätigt nur.Für diese Telefonnummer eine Verifikation durchgeführt wurde. Und was Cornelius hier schildert, ist ähm du gehst einfach hin und holst dir eine äh eine SIM-Karte vom Späti, ähm lässt dir,davon die Signatur zurückgeben, von der äh Luca, App API und nimmst dann diese Telefonnummer bei allen Fake-Check-Ins.Ähm das wäre aber also das stimmt, das geht. Das Blöde ist ähm.Also sowieso bei diesem Angriff, ne? Am Ende ist es ein Angriff gegen das Gesundheitsamt. Und ähm.Das ist ja das ist ja der Teil der der Dexino immer nicht interessiert, wenn das Gesundheitsamt die Scheiße auslöffeln muss, ne. Ähm.Deswegen würde ich eigentlich vorschlagen, dass nicht zu tun, ähm und einfach zu sagen, ich checke halt mit einer nicht signierten Telefonnummer ein, weil das hat zur Folge, dass dein Check-In trotzdem noch funktioniert.Du aber, wenn es dann beim Gesundheitsamt landet, du dort nicht hinspamst.Wenn du das mit einer signierten Telefonnummer machst, machst du im Gesundheitsamt wieder die Arbeit, ähm dasssie im Prinzip alle Leute, die hier die gleiche Telefonnummer angegeben haben, noch mal als Fake erkennen. Und äh rausnehmen muss. Potenziell ruft das Gesundheitsamt aber ohnehin anDas heißt, deine Telefonnummer, da wird, wird halt irgendwie nervig.Man merkt einfach, dieses System ist nicht zu Ende gedacht. Und das merkt man an allen Stellen. Und wenn danach, nachträglich was dran gedübelt wird, dann entstehen eben neue Probleme.Dann auch nochmal eine Nachfrage von Klaus. Äh zu Luca App, Moment mal. Luca wirbt doch damit, dass die Daten zweimal verschlüsselt werden. Einmal mit einem Kieler Location, einmal mit einem Gesundheitsamtes. Wie geht das denn, wenn das Gesundheitsamt noch gar nicht angebunden ist?Ähm Linus vermutet scherzhaft, dass sie den Kita später an das Gesundheitsamt geben. Ähm vereinfacht erklärt, die Daten werden.Mit einem Kieferschlüsselt.Und dieser äh also sie werden mit einem kizemetrisch verschlüsselt.Und dieser Key wird asymmetrisch an die jeweiligen Gesundheitsämter verschlüsselt. Und eine zweifache Verschlüsselung ist das nicht wirklich. Es ist eine symmetrische Verschlüsselung in die Hände der äh.Ähm der Locations, die den Schlüssel für diese symmetrische Verschlüsselung nicht haben und dann eine asymmetrische Verschlüsselung dieses Schlüssels an die anderen Gesundheitsämter. Und dadurch, dass das ist,deshalb notwendig, weil es ja potenziell sein kann, dass unterschiedliche Gesundheitsämter.Vielleicht auch aus einem anderen Bundesland auf diese Daten zugreifen, weil sich die Person von mir aus äh Länder,übergreifend bewegt hat. Und deswegen sind am Ende die Daten nur in Anführungszeichen symmetrisch verschlüsselt und der Schlüssel dafür asymmetrisch, sodass potenziell jedes Gesundheitsamt auf alle Daten zugreifen kann.Auch ein bisschen na ja, aber doppelt verschlüsselt äh kann man halt besser erzählen. Das klingt halt besser.
Tim Pritlove 0:38:53
Ah, läuft's.
Linus Neumann 0:38:59
So, ich war fleißig, habe zwei Spezialsendungen aufgenommen, einmal mit Julia Reeder, die habt ihr zu diesem Zeitpunkt vielleicht hoffentlich auch schon gehört, äh über die.Urheberrechtsreform, die in Deutschland in äh Gesetz jetzt überführt wurde dazu. Alle Gedanken von Julia in der.LNP drei neun drei und außerdem habe ich nochmal zu Staatstrojanern ein Spezial gemacht mit Andre Meister, dass wir,Zweifelsfall nach dieser Sendung veröffentlichen werden. Deswegen haben wir jetzt die zwei, zwei wichtige Themen dieser letzten und kommenden Wochen äh quasi ein bisschen außen vor gelassen und reden über das,EID-Gesetz, zu dem ich am siebzehnten Fünften,im Bundestag war. Da wurde ich sehr kurzfristig eingeladen, denn zwar geht es darum, die wollen die EID auf das Handy bringen,so ein so ein wieder mal ein deutsches Mammut-Projekt. Es gibt im es gibt im Moment eigentlich nur ein Gerät da draußen, was diesen Standard, den die sich da vorgestellt haben, unterstützt. Und das wurde irgendwie eine Woche vor dieser Anhörung, wurden da dann auch noch Schwachstellen drin gefundenAlso es, es riecht mal wieder nach so einer richtigen digitalen Revolution, die Deutschland da.An Zelt. Äh wir verlinken mal die Anhörung in den äh in den Shownotes,ich habe da zu einem spezifischen Teil etwas gesagt. Und zwar ist es ja so.Gesetze, ähm wenn man da schon mal dran ist, dann werden ja gerne noch so weitere Wünsche mit reingegossen, ne? Und in diesem Fall.Ist es äh der Wunsch, dass man bei der Einführung der mobilen EID, ne, schön hier Standard pipapoMobiltelefon und gültig und Pipapo. Und dann noch so im letzten Moment kommt noch so ein Änderungsantrag von der Regierungskoalition, die sagen, ey,und außerdem, ne, ändern wir in dem Zuge noch kurz das Passgesetz, weil da steht ja drin, dass die biometrischen Daten, die gespeichert werden bei der Erstellung von biometrischen Pässen, ähm in Datenbanken für einen zentralen Abäh Zugriff ähm äh den den den Behördenfür die unterschiedlichsten Zwecke ihrer Tätigkeit zugänglich gemacht werden. Und da wollen wir jetzt übrigens auch noch erlauben, dass äh die Bundesländer ihre eins ihre eigenen Datenbanken,äh betreiben können, damit sie da den Zugriff auf die biometrischen Daten.Einfacher haben. Die Konsequenz ist, dass du dann potenziell sechzehn biometrische Datenbanken hastfür die im Alt auf die im Alltag eben zugegriffen werden sollen, ne. Das ist natürlich auch ähm,in einer Zeit, wo wir, wo wir uns grade damit auseinandersetzen, was hier mit dem NSU zwei Punkt null in den persönlichen Daten äh Adressdaten und Meldedaten der Menschen passiert ist, eine total geile Idee,Wenn du jetzt sagst, okay, wir machen den Zugriff auf die biometrischen Daten der Menschen, mal ebenso, so richtig einfach, weißt du, dass das so das muss einfach hier,fluffig gehen, das muss in den, in, in die, in die Prozesse eingearbeitet werden und und irgendwie, das darf einfach gar nicht mehr so träge sein und da machen wir jedes Land einzeln,nochmal so ein Ding auf. Äh das klingt für mich echt nach keiner äh besonders guten Idee und vor allem muss man diese,diesen Ansatz nochmal im Kontext sehen, als diese Pässe eingeführt wurden. Da war das große, heilige Versprechen, dass diese Biometriedaten noch nicht einmal gespeichert werden. Erst recht nicht, dass man da eine Datenbank draus macht oder so, ne.Paar Jahre später äh stehst du da und es soll halt der biometrische Datenzugriff soll im Prinzip zur zur absoluten Standardfunktion der Behördenarbeit werden.Ähm dagegen habe ich mich ausgesprochen.
Tim Pritlove 0:42:59
Wirklich, das können wir überraschend jetzt.
Linus Neumann 0:43:02
Ja, kam total überraschend und ich möchte nochmal, also ich kann das äh wie immer, also ich möchte natürlich empfehlen, mal die Aufzeichnungen meiner Anhörung da,ähm zu teilen und äh weiterzugeben, weil ich das da ein bisschen länger ausgeführt habe. Ähm.Biometrische Merkmale haben also der Biometrie hat in unserer Gesellschaft halt so eine.Interessante Doppelfunktionalität, weil wir, ne, ähm, Biometrie gerne nutzen zur,Authentifizierung.Also face ID, Touch ID, ne. Ähm an den an den iPhones und wie die jeweiligen Funktionen im Android-Land heißen.Und gleichzeitig aber auch zur,identifizierung und diese Identifizierung ist potenziell etwas gegen das Interesse der Menschen. Ja, also Authentifizierung, wenn du das an, wenn du dein iPhone durch dein Gesicht schützt, ist das deine,ähm in deinem Interesse, das was du möchtest, für ein potentielles, vermeintliches Sicherheitsmerkmal und,Wenn du aber durchs Südkreuz gehst, kann das gleiche Gesicht, durch diese Kameraüberwachung, quasi gegen dein Interesse verwendet werden. Und diese Mischung ist relativ ähm unschön.Denn ähm wenn wir unsere Gesichter als Passwörter benutzen, haben wir haben wir halt das Problem, was was man hat, wenn man äh überall das gleiche Passwort verwendet, ne?Liegt und äh es dann zu ändern wird halt echt teuer,ne? Und ähm darüber habe ich ein bisschen gesprochen und habe mich dann natürlich dagegen ausgesprochen, dass eine solche ähm.Biometriedatenbanken für die Länder geschaffen werden, um den Zugriff hier einfach zu gestalten, hat aber natürlich die Regierungsfraktion nicht interessiert. Und ich habe auch in meiner,kurzen Stellungnahme da auch gesagt so ich hab ehrlich gesagt den Eindruck dass sie es nicht,machen, weil sie es nicht wissen, sondern dass sie es machen, weil sie genau wissen, was sie da tun.Ansonsten gibt es auch noch eine gemeinsame Stellungnahme des CCC und des Pfiff zu dem Rest dieser ganzen mobilen EID Geschichte, ähm die ja relativ schön,auch mal zeigt. Also Deutschland agiert halt so.Absolut Plan und Strategie los und man hätte sich gewünscht, dass die irgendetwas verstanden hätten von dem EID Debakel,was sie bisher hatten. Ne, also wir haben ja seit über zehn Jahren diese Personalausweise oder ist das über zehn Jahre,eingeführt wurden, aber die äh gesetzliche Grundlage ist auf jeden Fall nee, noch nicht ganz zehn Jahre, aber sagen wir, also wir haben in sehr großer Verbreitungdie EID, also einen Personalausweis, in dem sich eine Smartcard befindetähm die über NFC kommunizieren kann und die unterschiedlichste spannende Funktion bereithält, ja? Ähm unter anderem, dass man sich damit,dass man damit quasi das Äquivalent von Ausweis zeigen machen kann und eben auch.Theoretisch mit dem Chip, der da drin ist, auch verschlüsseln und signieren könnte. Nichts davon findest du irgendwie sinnvoll in der Anwendung. Ähm da draußen, also obwohl wir.Mit dem mit der technischen Grundlage wirklich Dokumente signieren könnten und das auch prüfen könnten, dass diese Dokumente signiert sind. Ähm.Findet das eigentlich keine Anwendung. Und ich möchte mal jemanden sehen, der oder die äh.Mit der mit diesem elektronischen, mit diesem EID-Ausweis jemals was gemacht hat. Ich habe ja sogar ein Lesegerät dafür und würde den ja gerne mal anwenden. Aber ich finde wirklich keinen Anwendungszweck.
Tim Pritlove 0:46:59
Das kann sein, dass du da ein bisschen in der Berliner Falle bist. Also ich habe jetzt aus anderen Bundesländern sehr wohl gehört, dass zumindest so bestimmte ähm Tätigkeiten wie Autozulassen und abmelden und so weiter tatsächlich mit Hilfedes elektronischen Personalausweises entsprechend automatisiert und komplett online durchführbar sind, ohne dass man irgendwie einen Termin braucht.
Linus Neumann 0:47:20
Okay, feine Sache. Ähm in diesen Anwendungsfällen ist es dann meistens so, dass die umgesetzt werden mit der EID-Funktion, die aber will ich jetzt da das erinnert. Ich glaube, da habe ich,in der E-Government-Gesetz Stellungnahme damals zugeschrieben. Die EID Funktion ist aber eigentlich die falsche.Was du eigentlich machen möchtest, ist eine Signatur, weil die EID zeigt einfach nur, du hast zu Zeitpunkt so und so bewiesen, dass du den Ausweis hast. Du hast aber damit nicht deine Willensbekundung,verbrieft. Aber das ist äh ja im im Zweifelsfall graue Theorie. Hm worauf also der Punkt, den ich eigentlich machen möchte, ist,es gab.Diese EID, dann hat sie niemand genutzt, dann haben sie gesagt, okay, machen wir mal ein Gesetz zur äh Förderung der Nutzung der EID. Da wurden dann einige ähm technische Anforderungen abgeschreckt, abgesetzt und der der Datenzugriff auf die biometrischen Datenbanken,erlaubt, ja? Und jetzt sagen sie, geil, machen wir's aufs Handy. Und was eigentlich fehlt.Nicht anzufangen mit geil, wir wollen das aufm Handy haben, sondern zu überlegen, welche Prozesse wollen die Bürgerinnen und Bürger denn eigentlich,bilden mit dem Scheißding,Und wie können wir das technisch sinnvoll lösen? Und dann irgendwann zu sagen, okay und so können wir damit auch äh uns aufs Handy zaubern, wenn das denn nötig ist. Ja, aber hier fehlt in dieser in diesem Gesetz fehlt so überhaupt diedas also warum? Warum und wofür? Das ist da gar nicht drin und auch die die technischen so wirklich so richtig konzeptfrei. Du merkst richtig, wie einfach nur dachten so geil Handy.Na ja. Also äh.Deswegen in meiner äh Stellungnahme mündlich, Natur primär die Konzentration auf diesen Biometrie. Schwachsinn.Dann haben wir äh eine schöne IT Security Forschung,die veröffentlicht wurde von Lilith Widmann, die sich, äh, übrigens Widmann, eine der Autoren der CCC-Stellungnahme, das waren ähm, Markus Drenger.Rainer Rehak, Lilit Widmann und Konstanze kurz, die diese äh schriftliche Stellungnahme formuliert haben. Wie gesagt, ich,ja, ich war erst sehr, ich wurde sehr kurzfristig eingeladen und zwar zu diesem Änderungsantrag. Wie das so ist, der wird ja als allerletztes kurz reingemogelt, weißt du?Und dann haben die sich kurzfristig entschieden, eine Anhörung im Innenausschuss zu machen und da war der Rainer Reha quasi vom Pfiff, der war auch geladen, alles klar, der war als Sachverständigerstand auf der Liste und ähmda gab es eben auch diese Stellungnahme, die eben äh Rainer zusammen mit den anderen äh geschrieben hat,Und dann kam quasi noch, ey hier Biometriedatenbank Zugriff. Kurzfristig ähm.An mich die die Bitte, hier kannst du nicht dich um diesen Teil auch nochmal spezifisch kümmern.Und so kam es eben, dass da eine schon länger formulierte schriftliche Stellungnahme ähm.Von CCC und Pfiff vorgestellt wurde von Rainer Rehak. Und ich mich,Party, ja, weil im CCC war das Thema,EID schon von anderen Leuten bearbeitet worden. Ich nur noch mal quasi noch dazugeladen wurde, um spezifisch diesen Biometriekram ähm abzudenken.Das war äh da. Der Hintergrund sah ich auch am am äh Eingangsstellung, dass äh ich mich den Ausführungen von Rainer,voll, vollumfänglich anschließe und jetzt aber mich um den Änderungsantrag kümmere, weil der natürlich auch, ich mein, das ist das, wo du eventuell noch Glück haben kannst,Hatten wir aber nicht. Wurde, wurde trotzdem beschlossen, ne? Das war irgendwie paar Tage später dann,interessiert die ja nicht, wenn da äh mal irgendjemand sagt, hör mal, äh ihr macht hier äh ihr habt einerseits,irgendwelche NSU zwei Punkt null Spackos, die ihr euch am Telefon die persönlichen Daten der Leute aus den Rippen leiern und gleichzeitig wollt ihr da jetzt auch noch Biometriedatenbanken dranhängen, ne.Das interessiert dich ja nicht, wenn genau, aber äh Lilit Wittmann hat sich angeschaut, die CDU-Connect-App.Und das ist ein das ist äh interessant eigentlich, dass man dass sich das so lange niemand angeschaut hat. Denn tatsächlich ist es ja so, dass die,Parteien für ihre Wahlkämpferinnen im klinken Putzen Marathon auch digitale Tools bereitstellen. Da wurde übrigens, ich glaube, der erste Obama-Wahlkampf wurde da als so äh wegweisenddamals betrachtet, oder Tim?
Tim Pritlove 0:52:10
Das war im Prinzip so die erste wirklich äh auf das Internet fokussierte Kampagne, wo Werkzeuge explizit dafür geschaffen wurden, diese ganze äh Aktivierung der Basis äh durchzuführen.
Linus Neumann 0:52:23
Und was ich mein was das wirklich ist ist ja, dass die Leute eine App haben, in die sie äh massenhaft irgendwie ihre Erfahrungen eintragen, wenn sie bei Oma Kawudgeklingelt haben.
Tim Pritlove 0:52:36
Genau, also das äh muss man dazu sagen. Das Ding ist also eigentlich ein Werkzeug für Leute, die wirklich von Tür zu Tür gehen. So, das ist so die Hauptanwendung.
Linus Neumann 0:52:43
Und wenn man mal ehrlich ist, so hätte man Obama da gar nicht so unbedingt zu,gratulieren sollen, dass sie so etwas gemacht haben, weil es eigentlich ziemlich ist, was die Leute da natürlich eintragen, ne? Die die die gehen im Prinzip 'ne Straße lang, führen irgendwelche persönlichen Gespräche mit den Leuten, notieren die in dieser App.Und machen da irgendwie so ein Customer Relationsmanagement, ne. Und,Jetzt hat die äh Lilith Wildmann sich das angeschaut und hat mal so ein bisschen auf dem Ding rumgeschaut, hat gesagt, aha, hier gibt's eine API. Gucken wir doch mal, äh was da so rausfällt, wenn man mal,nachfragt und wie das so ist, diese API hat halt kein sauberes Rollenkonzept, so dass sie relativ äh problemlos ähm sich.Ähm ja die Daten von anderen Leuten anschauen konnte. Also äh was,was sie, was sie quasi nicht sehen sollte, dass sie quasi sehen konnte, aha, wer hier, ne.Gibt's eine Person, die ist fünfzig, die wurde, die wohnt in Hameln, äh die hat die Tür aufgemacht, die war männlich.Und äh was haben wir so mit ihr? Äh was haben wir so mit ihr besprochen, ja? Und äh,worüber haben wir mit ihr? Äh ne? Also worüber haben wir mit ihr besprochen, gesprochen und wann und so, ne? Das ist natürlich schon irgendwie ein ziemlich krasser Datensatz und da waren insgesamt einhunderttausend Datensätze von besuchten Personen. Ähmund achtzehntausend Wahlkampfhelferinnen und äh tausend potentielle äh Unterstützerinnen.Und äh ja.Herzlichen Glückwunsch CDU. Hm, die haben, sie hat das gemeldet, daraufhin wurde diese App äh zwischenzeitlich offline genommen. Ähm,die Nutzerinnen wurden dann die betroffenen Nutzerinnen wurden informiert. Es ist natürlich nicht so wirklich ähmklar, wer die Daten alle schon zugegriffen hat und äh ja, natürlich wird das dann runtergespielt. Da gab's irgendwie so ein schönesirgendwie so 'n schönen Sendungsausschnitt mit Armin Laschetvorher darauf angesprochen wird und der ist ja, dass er so ein lieber Opatyp und sagt dann so, ja, ja, in der App gab es ein Problem, da war ein Hacker drin.Oh Mann, du weißt gar nicht, wo du anfangen sollst, ne? Da war ein Hacker drin.
Tim Pritlove 0:55:13
Oh Mann. Und die App, die äh wird ja auch nicht nur bei der CDU eingesetzt, sondern auch bei der CSU und auch bei der ÖVP in Wien. Das ist so quasi äh von einer Firma programmiert und äh,so als Lösung kann man das im Prinzip für jede Partei zum Einsatz bringen, kommt aber vor allem im konservativen Kreisen äh derzeit zum Einsatz.
Linus Neumann 0:55:33
Unglaublich. Also es ist äh also es ist schön, mal in so einen so einen Datensatz reinzuschauen, ne und wenn wenn die bei dir vor der Tür standen, dann äh wurde äh,Geschlecht, Meinung zu CDU, Straße und werde ich wann besucht hat, äh mit aufgezeichnet.
Tim Pritlove 0:55:50
Ja und vor allem so dieses äh da waren ja Hacker drin, ne. AlsoDas ist genauso wie die ganzen Datenlegs, die wir hier in den letzten Wochen schon besprochen haben, insbesondere hier die ganzen Aktivitäten von Zerforschung, ja, die sich diese ganzen Corona-Sammel äh Datensammel Dinger angeschaut haben und da die Leute rausgeholt haben oder diewas haben sie noch auseinander genommen? Diese ganzen.Lieferdienste, Apps, ja, wo also auch die ganzen Fahrten drin waren und die Fahrer und so weiter da hier so Gorillas und und wie sie alle heißen,Das Schema ist eigentlich immer dasselbe. Heutzutage werden diese Apps im wesentlichen als Web äh Anwendungen gebaut, das heißt äh der ganze Kram läuft halt irgendwie in der Cloud, im Server und diese Apps selbersind eigentlich nur noch so, na ja, so Abfrageterminals und stellen einfach übers Web, über eine definierte Schnittstelle, über diese einfach Anfragen nach,und wenn du da an der Stelle äh falsch denkst und nicht genug Sorge trägst, dass eben diese App auch dann die entsprechende Berechtigung hatdann ist es eben oft möglich, einfach vollständig unabhängig von dieser App oder nur mit wenigen Informationen, die man sich schnell mal aus so einer App rauskratzen kann, dem man ein bisschen zuhört, einfach von außen, von irgendwoeine Anfrage zu stellen an diese Wolke, die Wolke denkt so, ah ja da da kommt einer, der der fragt mich, das das wird schon, das wird schon seine Ordnung habenSo und dann gebe ich doch einfach mal diese Daten mal raus, weil könnte ja sein, dass das jemand gebrauchen könnte. Das ist so ein bisschen so die Herangehensweise und da wird dann einfach mit zu wenig Sorgfalt gearbeitet und dann sind dann diese Daten dann eben auch gleichmassenhaft und sofort und einen großen Überblick vorhanden und das ist ja immer dieses Problem, was wir schon eine Milliarde mal.Haben, wenn man erstmal anfängt, Daten zentral zu sammeln, dann ist der Weg zu einem Leak relativ kurz und der ist tendenziell eher kürzer geworden in den letzten äh Jahren.
Linus Neumann 0:57:45
Ich muss, ich muss ein kleines Detail noch ergänzen. Also das Problem ist nicht, dass äh auch anderes als die App.Auf diese API zugreifen kann, sondern das Problem ist, dass die API nicht sauber die Berechtigungen prüft, ja?Also genau, das das ich weiß, dass du das meinst, wird's nur nochmal äh spezifisch nochmal betonen, dass du beispielsweise, net, also da gibt es dann eine Datenbank, in der stehen jetzt zum Beispiel die ganzen,besuche Nutzerinnen drin. Und jetzt ist natürlich eigentlich notwendig, dass es ein Rechtekonzept gibtwer darf hier überhaupt auf welche Daten zugreifen? Und das ist wie du auch grade genau sagst, bei den bei diesen ähm Corona-Schnelltestdingern immer das Problem,dass sie nämlich nicht ein rechte Konzept haben, das spezifisch sagt,auf das Testergebnis von Personen X darf nur Person X zugreifen,sondern dass sie irgendwie sowas haben wie wir haben dich eingeloggt, du bist eine eingeloggte Person.Und deswegen darfst du auf Testergebnis C zugreifen. Und ähm,ne? Hier wäre halt auch der der sinnvolle Fall halt gewesen, dass man sagt, also es gibt ja hier zum Beispielin dieser Datenbank die User-IDist wahrscheinlich das von der Person, die da war, Campain ID und User ID, dass man im Prinzip daran bindet, dass jetzt hier die Person, die dort besucht wurde, das dürfen eben nur diejenigen, die an dieser Kampagne beteiligt sind und oder die Person, die sie besucht hatähm zugreifen. Aber am Ende eben da eine offene Datenbank ist, die das rechte Konzept des Zugriffs nicht mehrsinnvoll abbildet. Und ähm ja, dann ist, wie gesagt, das Problem ist,dann kann kannst du relativ einfach und das hat lediglich hier auch gemacht. Du schaust der App ein bisschen zu. Was stellt dir denn eigentlich für Fragen? Was kriegt die für Antwortenund in den Antworten siehst du eben dann häufig die anderen Felder in der Datenbanktabelleund dann guckst du einfach mal, ach was passiert denn, wenn ich das Feld mal auch versuche? Oder ne, was was passiert denn, wenn ich hier mal sage, ich möchte nicht nach zehn fragen, sondern nach hundert. Oh, geht!Ne? Und das ist dann quasi eine Funktion, die die App dir nicht bietet, deswegen denken alle, ha ha ha, die App kann das ja gar nicht. Aber wenn du eben direkt an der API fragst,mit oder ohne Authentifizierung, dann purzelt da auf einmal alles raus.Eigentlich solche Fehler solltest du heutzutage nicht mehr machen.Gibt da auch ein Interview, wo wo sie auch sagt, so ja, vor zehn Jahren war das eigentlich relativ üblich, solche Fehler zu finden. Äh äh sehr schön finde.
Tim Pritlove 1:00:33
Was hat der Sascha nochmal gesagt? Da war ein Hacker drin.
Linus Neumann 1:00:36
Da war ein Hacker drin oder so, der was natürlich auch weiße Mann, ey, du kannst doch wenigstens sagen, dass es eine Sicherheitsforscherin war. So, das ist jetzt nicht zu viel verlangt, ne. Und es gibt eben also es gibt.Ihr müsst es gibt eben einen Unterschied.Eine Sicherheitsforscherin hingeht, darein schaut und den Quatsch ans BSI meldet? Oder ob da ein Hacker drin war,ja? Und der Hacker war da nicht drin, weil der Hecker da drin war, sondern der Hacker war da drin, weil die App scheiße programmiert war und dann eigentlich das Problem ist, dass das Schrotting seit zehn Jahren online ist und du überhaupt nicht weißt, wer da schon alles äh Zeug rausgeholt hat, ne.Aber okay, komm, Armin Laschet, äh immerhin hat er verstanden, dass das was mit Computern war und das äh muss man, da muss man ja auch einfach mal.
Tim Pritlove 1:01:24
Das muss man jetzt schon hoch anrechnen.
Linus Neumann 1:01:26
So, da ist ja schon mal etwas.
Tim Pritlove 1:01:27
Säuft's.
Linus Neumann 1:01:30
So, dann hat in den letzten Wochen äh,ein Fall, die die Welt beschäftigt, dass hier so eine Pipeline betroffen war von von. Ich würde das hier nur mal äh noch am am Rande kurz behandeln.Die.Also das sind Pipeline-Betreiber und wenn ich das richtig verstehe, ist diese diese Pipeline, ich führt irgendwo äh Öl, ne? Da da wird Rohöl durchgepumpt, ne? Und.Jetzt war auf einmal haben die diese Pipeline abgeschaltet. Und das Thema, was dann erst die Runde machte, war so, oh mein Gott, die Hacker haben die Pipeline gehackt, ne und,amerikaner sind ja alle immer sehr apokalyptisch, die also natürlich sofort zur äh zur Tankstelle gefahren und haben haben Kanister weiße.Gebunkert, was natürlich dann auch wiederum dazu geführt hat, dass dann auch wirklich eine äh Knappheit an an Sprit entstanden ist, die,vielleicht wegen ein paar Tage Pipelineausfall gar nicht in dieser Form. Äh äh zum zum Tragen gekommen wäre.Und ähm.Stellte sich aber dann raus, dass die gar nicht unbedingt die Pipeline gehackt haben, sondern dass diese Abschaltung der Pipeline eher erfolgt ist,entweder, sage ich mal, das das Schöne Beispiel, das schöne ähm.Die schöne Erklärung wäre, weil sie sich nicht hundertprozentig sicher waren, dass nicht eventuell auch die Pipeline-Systeme betroffen sind.Die etwas weniger schöne Erklärung ist, weil ihre Abrechnungssysteme betroffen waren,und sie Sorge hatten, wenn wir die Pipeline jetzt anlassen, dann können wir vielleicht nachher nicht die richtigen Rechnungen stellen, also schalten wir die lieber aus.
Tim Pritlove 1:03:26
Tja, das sind so diese Implikationen, wenn alles mit allem zusammenhängt.
Linus Neumann 1:03:31
Ja, dann hätten sie das manuell äh Liefermengen eintippen müssen, wer weiß, ob sie da die richtigen Rechnungen stellen. Hm und da haben sie lieber gesagt, komm, wir machen das mal aus bis unser Abrechnungssystem hier wieder funktioniert.Dann haben die außerdem wohl tatsächlich die fünf Millionen gezahlt, die ihnen als Lösegeld ähm verlangt wurden.Wo auch so ein bisschen unklar ist, weshalb sie das denn äh getan haben, also eigentliche Grund ist nur, also der Grund, dass du zahlst, ist.Im Prinzip, dass du dass dein Wiederanlaufkonzept nicht ordentlich ist, ne? Und oder dass du nicht ausreichend Backups hast, weil eigentlich sonst würdest du nicht zahlen und ähm.Oder, oder, du wirst mit der Veröffentlichung von Daten erpresst deren Veröffentlichung du unterbinden möchtest und lässt dich hier quasi äh lässt sich auf diese Weise erpressen.
Tim Pritlove 1:04:22
Oder du bist in Panik und kannst es einfach gar nicht so richtig einschätzen, was jetzt die Implikationen wären und möchtest nur schnell wie möglich, dass wieder alles heile wird.
Linus Neumann 1:04:29
Oder du bist im im Rohöl-Business, wo du dir denkst, so fünf Millionen? Ja.
Tim Pritlove 1:04:34
Genau, Peanuts.Das ist ja billig.
Linus Neumann 1:04:41
Und es gab dann, das habe ich aber nicht weiter verfolgt, relativ zügig danach, scheint diese,Darkside Crew, die das gemacht hat, äh ähm untergegangen zu sein oder gehackt worden zu sein, haben also bekanntgegeben, sie hätten die Kontrolle über ihre,Server verloren und ihr Geld,einen Tag nachdem beiden ihnen gedroht hat. Da habe ich jetzt nicht weiter verfolgt und ich finde, habe auch den Eindruck, dass das noch nicht hundertprozentig aufgeklärt ist, was da genau passiert ist, weil sich immer die Frage stellt, es könnte natürlich auch einfach sein, dass die.Ähm weil Biden ihnen gedroht hat.Im Prinzip sagen, okay, nee, das ist ein bisschen zu viel Aufmerksamkeit, die wollen wir nicht. Ja und äh deswegen jetzt quasi versuchen, sich ein bisschen aus dem Staub zu machen und ihre äh hochzuziehen. Ähm.Kann aber natürlich auch sein, dass die irgendwie,dick vom FBI hochgenommen wurden, wobei dann müsste sich natürlich müsste man sich die Frage stellen lassen, wenn die innerhalb von wenigen Tagen vom FBI hochgenommen wurden. Warum konnten die dannso lange,gewähren. Ja, also das das wird sich nochmal dieser Fall wird uns sicherlich nochmal weiter beschäftigen zum jetzigen Zeitpunkt habe ich da noch keine äh abschließende Information, um das abschließend zu bewerben.
Tim Pritlove 1:06:03
Kleine Korrektur noch, es sind keine Rohölpipeline, sondern es ist tatsächlich ähm Pipeline, die äh spezifisch, Benzin, Diesel und auch Flugzeug, Treibstoff äh transportiert,Texas in verschiedene Bereiche äh der USA bis hin zu New Yorkalso es scheint einfach so ein Distributionssystem zu sein, alternativ zu Tankwagen.
Linus Neumann 1:06:26
Okay.Gut, dass du das korrigiert hast? Ja, war jetzt nicht ein Nordstream zwei. Aber ist schön, ja, also es ist.Wir werden solche,diese Fälle, die jetzt, sagen wir mal, im weitesten Sinne so eine ähm Kraftstoff-Pipeline ist, denke ich schon, verdientermaßen als kritische Infrastruktur klassifiziert und ja, es wird nicht der erste und auch nicht der letzte und auch nicht der schlimmste.Zwischenfall in diesen Bereichen gewesen sein.Damit würde ich sagen, sind wir am am Ende unseres.Für diese Woche. Wir freuen uns auf die ähm Kommentare der Akademikerinnen und Akademiker.Ich bitte, nehmt es, wenn ich äh nehmt es nicht persönlich. Ich ich es geht mir um die Institution des des Titels und ich äh hoffe.Das möchte ich vielleicht hier an dieser Stelle noch sagen. Das alle wissen, wie viel Wert ich auf äh Wissenschaft lege.Und äh insbesondere empirische Wissenschaften, die möchte ich da in keiner Weise mit äh.Irgendwie degradieren, ganz im Gegenteil, es geht mir nur um diese Institution.Des Titels und diese Merkwürdige gesellschaftliche Bedeutung, die dem beigemessen wird.
Tim Pritlove 1:07:57
Ja, als ob's nicht auch noch andere Sachen gibt, die man äh entsprechende Aufmerksamkeit geben könnte oder dann vielleicht doch einfach gar keinen, dann sind zumindest alle gleich. Ne, ist halt auch so ein bisschen so wie mit diesem von.
Linus Neumann 1:08:08
Ich habe, also ich persönlich habe den.Den Eindruck tatsächlich, dass man im weiteren Verlauf des Lebens noch viel wahnsinnigere oder auszeichnungswürdigere Taten verbringt,also in der sogenannten freien Wirtschaft. Äh ne, also ich nehme jetzt mal keine Ahnung, ne, irgendwie,große Infrastrukturen bauen, äh man man ähm erreicht im Leben eine ganze Menge äh und äh bringt auch vielleicht auch persönliche Herausforderungen hinter sich, für die es keine Auszeichnungen gibt, ne.Könnte man ne.Irgendwelche Ehre, Erauszeichnungen äh für Leute, die ein Leben opfern, um andere zu pflegen.Ja? Die kriegen gar nichts. Da wird nicht irgendwann gesagt, oh Frau äh Frau ähm was weiß ich, Frau Heilerin oder Frauoder Mutter Theresa oder was auch immer man denen Auszeichnung geben könnte, ne? Denen wird einfach nur gesagt, haha, du hast ein Leben lang für für Niedriglöhne äh schwere Arbeit gemacht. Das betrachten wir nicht als Auszeichnungswürdig.Das ist äh schon sehr interessant, wie wie Anerkennung in dieser Gesellschaft verteilt wird.
Tim Pritlove 1:09:30
Mutter Theresa voll abgezogen.
Linus Neumann 1:09:35
Keine bessere Auszeichnung ein.
Tim Pritlove 1:09:37
Ne. Gut. Aber ihr seid ja alle Päpsin. Von daher kann euch gar nichts passieren und äh ihr seid jetzt geschützt durch diesen Podcast. Das ist doch gut.
Linus Neumann 1:09:51
Alles klar, dann äh wünschen wir euch einen äh schöne Zeit. Der Tim geht jetzt zum Fußball.
Tim Pritlove 1:09:58
Ciao. So ist es. Moderne Zeiten. Ja.
Linus Neumann 1:10:05
Mitbürgerinnen, Test und hast du alles nicht gesehen.
Tim Pritlove 1:10:08
Genau. Alles ganz sicher und ganz safe. So toll.
Linus Neumann 1:10:12
Bis die zweitausend Leute sich dann alle in der Mitte äh äh an der Haupttribüne versammeln und gemeinsam singen.
Tim Pritlove 1:10:21
Und abknutschen. So läuft's. In den postpandemischen Zeiten.
Linus Neumann 1:10:26
Bin gespannt. Ich will will wirklich gespannt, da würde ich gerne in der nächsten Folge äh hören, wie's beim war.
Tim Pritlove 1:10:31
Alles klar, Marie Tochter wird berichtet. Bis dann. Tschüss.
Linus Neumann 1:10:33
Viel Erfolg. Tschau, tschau.

Shownotes

Doktorarbeiten

Feedback

e-ID-Gesetz

Digitaler Impfnachweis

CDU Wahlkampf-App

Colonial / Darkside