Das Logbuch Spezial zum besonderen elektronischen Anwaltspostfach
Das besondere elektronische Anwaltspostfach soll eigentlich eine elegante Lösung sein, die sichereren E-Mail-Verkehr zwischen deutschen Anwälten und deutschen Gerichten realisieren kann. Nach einer Investition von über 20 Millionen Euro zeigt sich, dass es sich hierbei aber nur um ein weiteres Train Wreck deutscher Behördensoftware handelt, dass man eigentlich nur noch wegwerfen kann. Konzeptionelle Fehler und schlechte Ausführung resultierten in einem System, das eine erstaunliche Distanz zu den Internet- und Computer-Realitäten der heutigen Zeit zeigt. Das Ergebnis ist eine Fehlinvestition, die nur Verlierer zurücklässt. Wir sprechen mit Markus Drenger vom CCC Darmstadt, der mit seinen Mitstreitern die beA-Lawine kurz vor Ende letzten Jahres erst richtig losgetreten hat über die kaputte Technik und den Ablauf der Auseinandersetzung mit den Playern in diesem Spiel.
Linus Neumann
Tim Pritlove
Markus Drenger
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Linus Neumann 0:00:00
Guten Morgen. Guten Morgen Tim. Willkommen in meinem besonderen synchronischen Verkauf.
Tim Pritlove 0:00:28
Lokbuchnetzpolitik Nummer zweihundertzweiundvierzig vom man mag's nicht glauben, vierten Februar zwanzig achtzehn.
Linus Neumann 0:00:36
Sonntagsarbeit kriegt ja auch keiner bezahlt.
Tim Pritlove 0:00:41
Aber so ist es. Früher, früh am Morgen.
Linus Neumann 0:00:42
So ist das, ne? Der wenn man so viel verdienen möchte wie Anwälte, muss man auch sieben Tage die Woche arbeiten.
Tim Pritlove 0:00:48
Genau, da gibt's keine Familie, da gibt's äh nichts, worauf man noch.
Linus Neumann 0:00:52
Gibt's nur den, da gibt's nur den Porsche und die Klienten. Ähm.
Tim Pritlove 0:00:55
Tesla heißt das jetzt, Tesla. Tesla. Ja. Ein Porsche kannst du heute nicht mehr beeindrucken.
Linus Neumann 0:01:02
Ne? Tesla. Ja, stimmt. Ähm ich wollte noch ganz kurz äh zwei, bevor wir uns dem Hauptthema widmen,ein bisschen Empfehlung äh abgeben. Und zwar hast du mich jazum Kongress gefragt und da fiel mir, habe ich ja gesagt, ja, man kann ja ganz viel vierunddreißig C drei gucken, das stimmt ja auch, haben wir auch ein bisschen wieder drüber gesprochen. Man kann aber auch dreiunddreißig C drei gucken. Und das ist so ein bisschen,untergegangen,denn bei dem dreiunddreißig C drei hat Mark Zorko, der mir geschrieben hat, ich soll ihn bitte nicht als Dokumentarfilmer bezeichnen, weil er nur ab und zu mal ein bisschen Dokumentarfilme macht. Ähm,einen kleinen Film gedreht, der so ein Viertelstündchen geht und sehr ähm so das Drumherum von dem Kongress auf äh aufnimmt, also wieunterschiedliche Gruppen da arbeiten und redet so viel mit den Koordinatoren vom Himmel, redet ein bisschen mit mir und mit den äh mit dem Projekt Chaos, Patin und so und hat sich da mehr so ein bisschenauf das äh soziale Zusammensein des Kongresses,da fokussiert den Link findet ihr in den Shownotes, der Film heißt dreiunddreißig C drei Workshop, schöner Film.Kann man sich echt mal anschauen und ähm er weist auch gerne darauf hin, dass er noch einen anderen Film gemacht hat ähder den Sieg sichern heißt äh in dem es um die internationalen Brigaden zur Unterschützung des Kampfes für Demokratiefreiheit und Gleichberechtigung,in Royova und gegen die von Erdogan unterstützten Terrorbanden geht,und äh da kann man auch auf jeden Fall eine ganze äh eine ganze Menge lernen auf dem YouTube Kanal und diese Filme seien hiermit,auf jeden Fall euch empfohlen.
Tim Pritlove 0:02:58
Ja, aber eigentlich geht's ja heute um was anderes. Heute wollten wir, das haben wir in der letzten Sendung auch schon angekündigt, uns mal um das besondere elektronische Anwaltspostfach äh kümmern, was jahier auch schon ein wenig Welle gemacht hat und bevor es hier schon Welle gemacht hat, hat's vor allem schon auf dem Kongress mächtig Welle gemacht. Ja und dazu begrüßen wir heute unseren Gesprächspartner, den Markus Markus Dränger aus Darmstadt. Hallo Markus.
Markus Drenger 0:03:25
Ja hallo.
Tim Pritlove 0:03:27
Schön, dass du es äh zu uns geschafft hast. Ähm wir wollten dem Ganzen halt mal ein bisschen mehr Raum,einräumen, warum eigentlich? Wahrscheinlich, weil einerseits das natürlich so ein bisschen so in unserem Kulturkreis äh jetzt hier so ähm breit aufgerollt worden ist, andererseits, weil das unserer Meinung nach auch so ein Thema istWoran man mal wieder eine ganze Menge festmachen kann, was nicht nur so für sich ähm eine Information und eine interessante Geschichte ist.
Linus Neumann 0:03:56
Manche Cluster Fax sind so groß, dass sie eine ganze eigene Sendung be.
Tim Pritlove 0:04:00
Aber nicht nebenbei abhandeln. Genau.
Linus Neumann 0:04:01
Kann man nicht nebenbei abhandeln da muss man sich mal zurücklehnen und das in Ruhe sitzieren. Und das wollen wir mit dir machen Markus, weil du auch das Bea so schön so sitziert hast,Vielleicht willst du ein bisschen was zu dir sagen, was ist denn so dein, dein Hintergrund? Wie bist du denn irgendwie an die Nummer gekommen, was was machst du so.
Markus Drenger 0:04:24
Ich bin Informatiker und bin beim Chaos in Darmstadt äh aktiv, äh bin dort äh Mitglied im Vorstand und ich habe ein paar Juristen als Freunde, Anwälte,und die hatten sich äh im Sommer äh August, September, über,beschwert über das Bea und ihre Smartcards, die sich bestellen müssen, dass die Software so hässlich aussieht,Und das ist ja wieder so ein doofes, doofes Projekt ist. Und äh dann kam ich auf die Idee, mir das mal anzuschauen.
Tim Pritlove 0:04:51
So, so, du hast also Anwälte eins für als Freunde.
Markus Drenger 0:04:56
Das kommt ja manchmal vor, ne.
Tim Pritlove 0:04:58
Ja. Aber was ist so dein dein also was ist so deine deine persönliche technische Expertise so, also inwiefern.
Markus Drenger 0:05:07
Hab 'ne Ausbildung gemacht, hab 'n Studium gemacht und ja TUI Informatik noch nicht.
Tim Pritlove 0:05:17
Aha, noch ist es.
Linus Neumann 0:05:18
Echter Hacker.
Tim Pritlove 0:05:19
Noch ist es nicht zu spät.
Linus Neumann 0:05:23
Sehr schön,Und dann hast du dir dieses, dass du dieses Ding angeschaut und äh wahrscheinlich unsere äh Hörerschaft weiß schon grob, wo es hingeht, dass danach war nicht mehr viel übrig,Der Fallout war etwas größer, aber vielleicht wollen wir uns erstmal äh müssen wir, glaube ich, so ein bisschen erklären,Was ist denn dieses Bär? Warum gibt's das überhaupt? Welches welches Problem sollte hier gelöst werden,Also warum, was, was, was ist die Aufgabenstellung, die es hier gab für dieses, für diesen, für diese nicht vorhandene Lösung?
Markus Drenger 0:06:03
Ja, also auch die Justiz wird ja digital und äh dort kommen jetzt auf die Idee, äh nicht nur äh Post für A nach B zu schicken, sondern auch die ganzen Dokumente, elektronisch von A nach B zu schicken,und dazu hat man halt vor einigen Jahren ähm,EGVP eingerichtet, ein elektronisches Gerichts- und Verwaltungspostfach und das läuft über so äh Government Protokolle,und jetzt sollten natürlich auch Anwälte und andere mit Gerichten elektronisch kommunizieren.
Tim Pritlove 0:06:36
Was meinst du mit Governman Protokolle.
Markus Drenger 0:06:38
Es gibt so ein Protokoll, es nennt sich USCI eins Punkt zwei, das ist sozusagen so ein XF Standard ähm ein so ein so ein XML-Format in dem öffentliche äh,Nachrichtenmaschinen lesbar von A nach B gehen.
Tim Pritlove 0:06:53
Online Services, Computerinterface und das liegt ja sehr spezifisch.
Markus Drenger 0:06:57
Das ist ein sehr geiles Protokoll, also ähm ihr könnt das ja ruhig mal angucken und fluchen.
Tim Pritlove 0:07:03
Service des Computer in der.
Markus Drenger 0:07:04
Es wird auch ab und zu manchmal ist ein Transportprotokoll quasi äh ich hab auch Online die Bezeichnung gelesen ist es ist ein XML VPN ähm.
Linus Neumann 0:07:14
Mit mit Blockchain oder ohne.
Markus Drenger 0:07:17
Ohne also halt schon mit mit IS und RSA und ein paar Meter Daten dazu. Ähm, also ist ein größeres XML-Format.
Linus Neumann 0:07:28
Das aber auch irgendwie Transport mit dabei hat oder was.
Markus Drenger 0:07:31
Über dieses XML Format transportiert man dann andere Nachrichten, zum Beispiel über X Meld, Meldedaten oder über X-Wasch, das Waffenregister oder über X-Justiz die äh Akte für die Justiz,und über dieses Protokoll laufen halt auch EGVP Nachrichten,und EGVP Nachrichten sind sozusagen ist eine XML Datei und da werden dann halt ein Betreff äh ein Text und die Anhänger eingebettet und die Signaturen dazu,es ist also ein großes XML Dateiformat was dann übertragen wird.
Tim Pritlove 0:08:07
Aber immerhin schon so mit PKI, also mit so einer Publicue-Infrastruktur äh drin et cetera. Das ist hier alles mitgedacht.
Markus Drenger 0:08:13
Ja, ja genau, das äh das kann auch Ende zu Ende quasi äh und äh war halt dafür gedacht, Nachrichten von Behörden von A nach B zu schicken,Anforderungen an das BA. Beim BA ging's darum, die Anwälte sollten mit den Gerichten sicher kommunizieren können,Das heißt, äh, es musste sichergestellt werden, dass die Anwälte, die Absender sind. Und es musste sichergestellt werden, dass der Transport verschlüsselt stattfindet.Also.
Linus Neumann 0:08:42
Wofür wir in der Kryptographie ja zwei Lösungen haben. Signaturen und die Verschlüsselung an äh im Rahmen von Public Private KeyDas sollte ja, ist ja jetzt informatisch, wenn du sagst, dass ich mit Informatik auseinandergesetzt, wie wir alle so ein bisschen, dann würde man jetzt erstmal schätzen, so grundsätzlich technisch ist das Problem ja eigentlich gelöst oder nicht.
Markus Drenger 0:09:04
Ja, es ist eigentlich kein großes Problem. Äh es ist halt äh ein ständiger Usecase äh Nachrichten von A nach B zu übertragen und dabei sicherzustellen, dass sie ähm authentisch sind und dass sie äh nicht einsehbar sind beim Transport.
Linus Neumann 0:09:20
Nicht veränderbar. Wer noch die.
Markus Drenger 0:09:21
Und auch nicht veränderbar.
Linus Neumann 0:09:23
Das heißt der der Empfänger kann wirklich quasi mit mathematisch sicher gehen, dass die Nachricht die äh er oder sie vor sich hat vom vorgeblichen Absender,stammt und auch nicht verändert wurde, also,Das Gericht hat mir das hier geschickt und wirklich das und zwar bittgenau das und auch wirklich dieses Gericht. Und es wäre einem dritten nicht möglich, diese Nachricht zu fälschen oder auch nur zu verändern.
Markus Drenger 0:09:55
Genau und dann kommt man aber noch an und äh ändert die Anforderung ein paar Mal. Also das Gesetz, was dazu gemacht worden ist, ist während der Entwicklungsphase dreimal angepasst worden,und äh Bedarfsträger gibt's ja immer,äh es wurde dann auch äh vorgegeben, dass äh Mitarbeiter oder Partner von Anwälten, also in der Kanzlei arbeitet man ja auch nicht alleine meistens, äh dass die auch Zugriff auf das Postdach bekommen müssen,oder dass wir Anwaltignachrichten freigeben kann,Und dort ist die Regelung getroffen worden, dass man auf das Postfachzugriff bekommen muss und nicht etwa auf die eingehenden Nachrichten.Und das heißt da wo du die Anforderung ein bisschen schwieriger sicherzustellen, dass äh wenn man eine wenn man eine Person Zugriff gibt, dass die auch die Nachrichten von gestern lesen kann.Und da hat man sich dann halt auch Dinge einfallen lassen.
Linus Neumann 0:10:51
Ach so und da wird dann ähm.Also der Anwalt kann quasi im Nachhinein, ach so, jeder Kunde hat quasi auch sein oder jeder Klient hat dann sein eigenes Postfach.
Markus Drenger 0:11:02
Nein, also der der Anwalt hat sein persönliches Konto, sein höchstpersönliches und das wird ihm zugeordnet,aber jetzt arbeiten Anwälte ja meistens in Kanzleien,und das heißt sie arbeiten mit Sekretärinnen oder mit Mitarbeitern und mit Partnern und vielleicht arbeiten auch äh mehr als ein oder zwei Anwälte in einer Kanzlei,Und die müssen ja dann ihre höchstpersönlichen, abgesicherten Ende zu Ende äh konnten, mit ihren Mitarbeitern teilen.Das heißt, die kriegen dann Accounts und müssen dann Zugriff kriegen auf das Postfach,dafür hat man sich dann was einfallen lassen, äh ein HSM, was dann die verschlüsselten Nachrichten in der Mitte aufmacht und an die Mitarbeiter weiterleitet.
Tim Pritlove 0:11:46
Was ist ein HSM.
Markus Drenger 0:11:48
Ein HSM ist ein Hardware Security Modul, ist also ein Server, der in der Mitte steht und ganz sicher sein soll, in dem die privaten Schlüssel für die für die Postbecher liegen.
Linus Neumann 0:12:02
Und der der kommt dann die E-Mail ist an den an die Kanzlei formuliert und wird dann nochmal.
Markus Drenger 0:12:12
Der Absender schreibt seine Nachricht, äh Betreff äh Body und dann die Anhänge,und äh verschlüsselt diese Nachricht an das Postfach. Dazu bekommt er aus dem öffentlichen Verzeichnisdienst ähm den RSA-Schlüssel,für das Postfach.Und verschlüsselt die Nachricht äh symmetrisch mit IS und den Key für das IS, das Passwort mit dem SA Schlüssel.Dann schickt ihr die Nachricht äh an den Server und der nach und der Server kennt zu dem RSA-Schlüssel auch den privaten Schlüssel.Dann entschlüsselt der das IS Passwort und verschlüsselt das dann an alle Empfänger die auf das Postfach zugreifen sollen.
Linus Neumann 0:12:59
Oh Mann, ey das.
Markus Drenger 0:13:00
Also an.
Linus Neumann 0:13:01
Gleich, also es ist doch der gleiche Unsinn. Ich hab's gerade hier schon rausgesucht und in die Shownotes gelegt. ÄhmZweitausenddreizehn war ich, also ist jetzt auch schon ein paar Jahre her.War ich im Rechtsausschuss zum E-Justice Gesetz. Und da wollten sie, da ging es darum, da die D-Mail einzusetzen, ja? Haben sie gesagt, ja, wir wollen irgendwie D-Mail soll auch für den, für den Rechtsverkehr gelten. Er war ja auch wieder genau das gleiche Thema, dass sie da die große Geschichte von der Ende zu Ende Verschlüsselung erzählen und irgendwo in der Mitte steht irgendeinGerät, was zwischendurch aufmacht, äh, um allen das Leben irgendwie einfacher zu machen, ja? Und ähm, dadieses HSM gehört jetzt ja nicht dem Anwalt oder gehört das wenigstens steht das wenigstens beim Anwalt selber in der Kanzlei.
Markus Drenger 0:13:44
Nein, das HSM ist ein zentraler Dienst, äh der wird äh durch die Bundesrechtsanwaltskammer äh die Brack äh betrieben und die Brack hat äh dafür äh die Firma Atos beauftragt, äh das durchzuführen.
Linus Neumann 0:13:58
Das heißt, wir wir reden jetzt schon mal sowieso von der Architektur davon, dass irgendwo auf dieser Welt ähm ein,Surver, eine Recheneinheit steht, die alle diese Nachrichten zu Entschlüsseln in der Lage ist.
Markus Drenger 0:14:15
Ja, da gehen die die Quellen, Daten gehen da ein bisschen auseinander, das können ja auch zwei oder drei oder vier sein,verschiedenen Orten, das ist glaube ich auch Ausfallsicht ausgelegt. Äh aber ja, es gibt halt quasi sozusagen im Prinzip eine Stelle im Netz irgendwo, die auf die Nachrichten zugreifen könnte.
Tim Pritlove 0:14:36
Ich will mal an der Stelle kurz äh uns mal wieder dran erinnern, welchen äh Schlachtplan wir uns hier für die Sendung äh ausgedacht hatten,um nicht zu sehr schon gleich hier im Abkürzungswortspiel uns zu verheddern. Vielleicht könntest du nochmal,Also wir haben jetzt erstmal grob ausgerollt, okay? Es gibt elektronischen E-Mail-Verkehr, es gibt da auch schon etablierte Standards, es gibt auch schon einige etablierte Infrastrukturen, insbesondere bei den Gerichten. Nun ging's darum, die,Anwälte mit anzuschließen. Dazu wurde eben diese neue Softwarelösungvorgeschlagen, die so ein wenig schwäche, da sie eben überkommende Vorstellungen von Security ein wenig wieder mit ins Spiel bringt. Das können wir uns ja gleich im Detail auch nochmal anschauenNur, damit wir jetzt hier äh nicht zu viel Begriffsverklärung haben, würde ich ganz gerne mal die Player, die jetzt hier in diesem ganzen Spiel eine Rolle spielen, nochmal kurz äh aufzählen,damit wir das nicht alles für Protokoll äh Abkürzungen halten,Also, ganz normal die die wichtigsten Player, die wir jetzt hier auch erwähnen werden, mal kurz aufzählen.
Markus Drenger 0:15:50
Ja, also ich fange mal an mit der äh Bundesrechtsortskammer. Abgekürzt Brack,die ist zuständig, dass Bea umzusetzen. Im Gesetz steht, dass die praktischen Dienst anbieten und betreiben muss,die Aufträge vergeben an die Unternehmen. Äh dieses Projekt durchzuführen.
Tim Pritlove 0:16:12
Was ist denn das für ein für eine Organisation diese Brack.
Markus Drenger 0:16:16
Dibrack ist sozusagen die Kammer, äh die IHK der Anwälte. Äh ist also eine eine öffentliche Einrichtung, äh die per Gesetz vorgeschrieben werden ist und ähm die Anwälte müssen da Mitglied sein. Wenn sie zugelassen hatten sein wollen.Ähm das heißt, es ist eine so eine Semi-öffentliche Einrichtung äh die kann man per IFG nach nach Dingen fragen. Also fragt den Staat funktioniert.Vieles andere nicht, aber ähm da sind sie.
Tim Pritlove 0:16:45
G-Informationsfreiheitsgesetz. Muss mal hier kurz diese Begriff.
Markus Drenger 0:16:49
Sind also äh ein wenig in der Öffentlichkeit. Äh dann hatten sie ein Unternehmen Cup Gamingy beauftragt, sie bei der Durchführung des Projektes zu unterstützen und zu beraten,Also äh die haben sowas äh das ist ein großer IT-Dienstleister äh und Unternehmensberatung. Die haben also zu sagen äh das Verfahren beraten äh,Ausschreibung, Auswahl, äh Feature Requess et cetera. Ähm.
Linus Neumann 0:17:18
Haben den also bei der Ausschreibung des Projektes die bei der Ausschreibung des Projektes beraten oder.
Markus Drenger 0:17:24
Genau, also die haben sozusagen äh die Brack äh bei der gesamten Durchführung des Projektes beraten von Anfang bis Ende.
Linus Neumann 0:17:31
Was auch verständlich ist, weil die Brack ist ja nun mal eine Rechtsanwaltskammer und äh haben jetzt per Gesetz auf einmal die Hausaufgabe bekommenbaut mal hier ein mit dem mit unserem System kompatibles, sicheres Kommunikationssystem für Anwälte, ähm das ist eine eine Aufgabe, die auf jeden Fall es in sich hat, vor allem wenn man äh erstmal fachfremd ist. Insofern ist ja verständlich, dass sie nach jemandem suchender ihnen kompetenter zur Seite stehen kann. Unverständlich ist, warum sie dann am Ende niemanden gefunden haben, aber dazu kommen wir später.
Markus Drenger 0:18:06
Genau, dann hatten sie äh gefunden äh die Atos,ist auch ein sehr, sehr großer IT-Dienstleister und der hat dann quasi ähm sowohl eine Kleinsoftware erstellt,als auch ein Vertrag bekommen für den Betrieb der Serverdienste, für den für das BA.Ähm und die Arthurs äh hat dann auch noch äh die Firma Secon Side beauftragt. Ähm ein Security-Out durchzuführen.Ähm allerdings wissen wir bis heute nicht, äh was getestet worden ist und was dabei rausgekommen ist,Also können wir nicht sagen, ob der Test umfangreich war oder was da sozusagen Gegenstand der Prüfung war.
Linus Neumann 0:18:51
Ich würde jetzt mal vorsichtig ähm okay, was,Was, wenn wir den Test nicht kennen, ist äh können wir über seinen Inhalt wenig Aussagen treffen, aber ähm wenn,Wie wir es ja gesehen haben, die Brack und Atos nah bis zum bitteren Ende der Überzeugung waren, dass sie mit diesem Dienst ernsthaft,an den Start gehen könnten, dann äh ist davon auszugehen, dass entweder Seconds Halt hier ähm seine,Probleme nicht gefunden hat oder äh nicht ausreichend Gehör gefunden hat, ne? Die der Umgang mit dem Ergebnis eines Security-Outlets liegt ja immer imdes Empfängers, ja? Und man kann natürlich, wenn man sagt, hier sind folgende Risiken und äh,Die Bundesrechtsanwaltskammer sagt, ja, das hört sich aber nicht so schlimm an oder Arthur sagt, äh gehen sie bitte weiter ähm,Hier gibt es nix zu sehen, kann es natürlich sein, dass die hier trotz Warnung,so gehandelt haben, es kann aber auch sein, dass sie nicht gewarnt wurden und im besten Wissen und Gewissen an die Sache rangegangen sind. Insofern sollte man doch mal äh versuchen,daran zu kommen an dieses Ergebnis, aber wenn ich dich richtig verstanden habe, müsste mandiese EIFG-Anfrage könnte man vielleicht an die Bundesrechtsanwaltskammer schicken, aber dann würde Arthos im Zweifelsfall sagen, nee, diesen Outlet hätten wir ganz gerne geheim gehalten.Oder Secondsit sagst, das finde ich dann nämlich interessant, daraus würde ich Schlüsse ziehen. Wer von beiden den geheim halten möchte.
Markus Drenger 0:20:27
Genau, also ich äh habe da auch angefragt sozusagen äh per IFG und äh bekam die Antwort, dass das Geschäftsgeheimnissesein von Athos,und von der Brack. Äh und deswegen könnte man mir das nicht rausgeben. Ähm, ich weiß aber auch nicht sozusagen, was beauftragt worden ist, es kann ja durchaus sein, dass die Seconds halt äh Module oder Funktionen geprüft hat, die sicher sind,die Kryptografie als solche macht hier einen guten Eindruck quasi. Also so die von Punkt zu Punkt oder die Authentifizierung mit Smart Cards oder sowas,aber ähm wir wissen einfach nicht, was da geprüft worden ist. Von daher können wir dazu wenig sagen und wir können auch nicht sozusagen, ob da jetzt gut oder schlechte Arbeit gemacht worden ist.
Linus Neumann 0:21:10
Also um das nochmal in den Hintergrund in den Zusammenhang zu setzen, wenn ich jetzt also eine Überprüfung eine SicherheitÜberprüfung in Auftrag gebe, ähm nenne ich normalerweise einen sogenannten Scope und sage, ich möchte folgende Teile meines Programmes oder folgende,Angriffsszenarien,geprüft wissen und an diesen Skope ist natürlich dann hält sich der Dienstleister natürlich auch und prüft dann nur das, insofern ist die Information irgendjemand hat hier,etwas geprüft, dann doch äh relativ relativ wertlos, wenn man nicht den Skope und nicht die Ergebnisse kennt.
Markus Drenger 0:21:47
Genau und dann gab's noch die Firma Guvernikus,die hat Module beigesteuert sozusagen die in dem Kleine benutzt worden sind. So 'ne Softwarefirma die macht regelmäßig so Government Projekte und hat da ja auch die Librarys für die entsprechenden Protokolle.
Linus Neumann 0:22:06
Mhm. Und die Architektur selber, ne. Äh also die Softwarearchitektur, die hat sich aber schon irgendwie Cup Gemine ausgedacht oderhat die sich Arthurs dann ausgedacht und die empfohlen und Kap Gamini hat der Bundesrechtsanwaltskammer dann empfohlen das doch so zu nehmen.
Markus Drenger 0:22:25
Das weiß ich auch nicht. Ich hatte zwar angefragt, ob ich die Anforderungs- und Pflichtenhefte bekomme, aber auch die waren Geschäftsgeheimnisse,Das heißt, ich weiß nicht, wer sozusagen dieses äh Ding gemacht hat. Ich weiß bloß, dass die Atos ein Erstellungsvertrag hatte,für die Software. Ähm, also gehe ich davon aus, dass auch das Konzept entwickelt hat wie die Software aussehen soll.
Linus Neumann 0:22:52
Mhm. Jetzt haben wir gerade gesagt die Probleme die die grundsätzliche.Anforderung, eine Nachricht, Verschlüsse zu versenden, dass sie nur der Empfänger empfangen kann und dass man nachher als Empfänger prüfen kann, wer die Absenderin ist. Äh darüber haben wir uns schon unterhalten, dass diekryptografisch ist das, sind diese Probleme gelöst,Bilden wir uns zum heutigen Zeitpunkt ein. Wer weiß, äh vielleicht war das doch alles auch nur Unsinn mit dem RSA, aber im Moment sieht's eigentlich noch ganz gut aus. Ähm.
Tim Pritlove 0:23:25
Sind wir mit den Playern eigentlich durch?
Linus Neumann 0:23:31
Ich würde nur gerne vorher nochmal einmal den den Zusammenhang herstellen.Wir wissen, wie man sowas ordentlich machen kann und es gibt auch nur einen Weg, das ordentlich zu machen. Und es gibt auch Leute, die kriegen das hin,Der Scorp ist hier aber natürlich mit dieser gerichtlichen Kommunikation und so, dass die die Sache wird so ein bisschen komplex und es gibt ein paar Anforderungen, die das Problem erschweren und es gibt ein paarLösungen, die man dann halt direkt als ein Schuss in den eigenen Fußsehen kann und wo man einfach von vornherein sagen kann, das ist falsch, das geht nicht, das kann man so einfach nicht machen. Und darauf werden wir, glaube ich, jetzt in der, in der Darstellung der Problemedann äh nochmal kommen, oder?
Markus Drenger 0:24:20
Also ähm das Grundsätzliche Designprinzip äh war ja man möchte Nachrichten vor A nach B schicken,und äh für die Kryptographie wollte man dann äh ja Chipkarten, Smartcards benutzen,Das heißt, man gebrauchte äh Software auf dem Kleinrechnern, auf dem Anwaltsrechner, um den Kartenleser zu steuern,Dazu hat man eine eine Java-Software geschrieben, die die Kryptofunktion enthielt und die Steuerungssoftware für den Kartenleser.Und noch so ein paar kleinere andere Funktionen und äh ansonsten hat man einen Webmailer gebaut.
Linus Neumann 0:25:06
Bleiben wir mal ganz kurz bei diesen bei dieser Idee mit den Karten. Die finde ich ja erstmal sehr schön.Den zweitausenddreizehn auch mal empfohlen, habe ich gesagt, nehmt doch bittedie Krypto schön sicher auf Smart Carls und dann habt ihr das Problem nicht, dass die Leute ihreihre Schlüssel irgendwie voll versehentlich löschen oder oder sonstiges, dann habt ihr meine sichere Aufbewahrung, könnt sichergehen, dass eure kleinen Software nicht die privaten Schlüsse klauen kann oder eineoder eine Malware, dass es doch eigentlich erstmal eine schöne Idee, oder?
Markus Drenger 0:25:42
Das ist erstmal eine schöne Idee. Ja genau. Also jeder äh Anwalt konnte sich bei der Bundesnotarkammer, der B-Not K,die Karten bestellen und dann dauerst du das ein paar Monate und dann hat man sie bekommen und da hat jeder Anwalt quasi einen eigenen privaten Schlüssel,äh der halt nur ihm zugänglich ist.
Linus Neumann 0:26:06
Mhm. Und das war das, wo deine Freunde drüber abgekotzt haben und gesagt haben, gefällt mir nicht. Kann ich auch verstehen? Natürlich halten sie wahrscheinlich keine Lust, zu war was Neues äh und hat erstmal genervt.
Markus Drenger 0:26:18
Ja, genau. Und äh äh gut natürlich so ein Kartenleser kann man ja auch nicht nicht am Handy anschließen. Ja, oder wenn man den Mobil am Laptop haben möchte, muss man immer mitschleppen. Äh das ist natürlich auch nicht gerade so User freundlich,ähm und äh weil halt die Brack äh oder Athos ähm das BR als Webmailer gebaut hat,hatte man Webinterface. Das heißt, man ging auf die Webseite BA Minus Brack Punkt DE und hat dort auf den Button gedrückt, um sich einzuloggen.Und die klein Software, die ich vorhin angesprochen habe, die für die Steuerung des Kartendesers äh zuständig ist,die betreibt auf dem lokalen Rechner einen Webserver mit einer API.
Linus Neumann 0:27:05
Damit der Browser nämlich gleichzeitig mit dem Kartenleser reden kann und mit dem Web-Login, der da stattfindet. Okay, wie kriegen wir das jetzt nochmal ein bisschen einfacher runtergebrochen.
Tim Pritlove 0:27:19
Na ja, ich meine, sie wollen halt hier irgendwie ihre Vorstellung von Authentifizierung äh durchsetzen so. Und ich meine, was man diesen ganzen Government AnstrengungenImmerhin mal zugute halten, äh kann über die letzten Jahre irgendwie wollten sie dashalbwegs ordentlich machen mit diesen Smartcards und sozusagen so diese ganzen Geheimnisse weg vom Rechner auf so portableNe, austauschbare sichere Elemente bringen, wie man das von den Zahlungskarten her auch kann und das ist ja an sich'ne schöne Sache. Das Problem ist nur, dass bis zum heutigen Tag die Integration solcher Lesegeräte in die Betriebssysteme irgendwie immer noch,merkwürdig ist, dann das ist alles nicht out of the Box, das das ist nicht so wie ich, ich schließe mal einen Drucker, eine Maus an, so müsste es ja eigentlich laufen und müsste dementsprechend halt auch in, in, in, in Browser, zum Beispiel, als Authentifizierungsdevice,müsste sowas eigentlich definiert sein.
Linus Neumann 0:28:14
Genau, in dem Brows, im Browser fehlt es und ich würde ehrlich gesagt Markus widerspricht mir, äh wenn du das anders siehst, ich würde sagen, der Fehler ist hier,Allein in der Idee einen Webmailer machen zu wollen. Das war schon immer eine scheiß Idee und ist auch in diesem Fall eine, denn wenn du eine, wenn du ohnehin eine Standalone Applikation brauchst auf deinem Client,In diesem Falle um irgendwie an den Restriktionen des Browsers vorbei doch ein Kartenleser verfügbar zu machen. Kannst du doch um Himmels Willen auch einfach eine schöne Applikation machen,in der du auch die Nachrichten liest und die dann mit Hilfe eines von was weiß ich PCS CD einfach mit einem mit dem Smart Card Laser redet, so wie es jeder macht, also ganz normal.
Tim Pritlove 0:29:03
S CD.
Linus Neumann 0:29:04
PC, Smart Card Deamen, so Standard irgendwie unter Denux, wenn du als wenn Kartenlesegerät ansprechen möchtest, was nämlich,wenn du tatsächlich im, im Kontext einer Applikation läufst, überhaupt gar kein Problem ist. Also,keine Ahnung, kannst an jedes Linox einen Kartenleser dranstecken und damit arbeiten.
Tim Pritlove 0:29:22
Ja, Lino, so, ich denke mal, dass man hier im Wesentlichen Windows getargetet hat, oder?
Linus Neumann 0:29:27
Da wird das ja auch eine Möglichkeit,Aber in dem Browser kriegst du das nicht so einfach rein. Weil weil es gibt zu viele Browser ähm und die sind möglichst so konzipiert, dass sie,nicht viele, dass sie möglichst keine Rechte auf dem Betriebssystem haben und äh natürlich nicht,Natürlich möchte man nicht, dass der Browser überhaupt in der Lage ist ohne Weiteres an den Computer angeschlossene Geräte erkennen oder ansprechen zu können, da,gibt es ja auch wieder Security-Überlegungen, dass man äh bemüht ist, diesen Browser, dieses Fenster zum großen, bösen Internet so weit wie möglich vom,Betriebssystem wegzukapseln und dem nicht Zugriff auf ein Kartenlesegerät einfach zu geben über ein,Betriebssystem treiber, insofern, äh, da haben sich mal welche was bei gedacht und dieses Problem mussten Sie umgehen und haben gesagt, naja gut, dann bauen wir unseren eigenen Service,der mit dem Smartcut Leser redet und eine Webseite gleichzeitig wieder äh bereitstellt, weil das ist der einzige Weg, wie wir wieder in den Kontext des Browsers kommen. Oder habe ich das jetzt falsch verstanden, Markus.
Markus Drenger 0:30:39
Nee, das ist äh ziemlich genau so dargelegt, ja.
Linus Neumann 0:30:42
Und das wäre der Moment gewesen, in dem man sagen müsste, Entschuldigung, hat sich vielleicht irgendjemand was dabei gedacht, dass wir mit vom Browser nicht an den an die USB-Geräte kommen? Und machen wir gerade vielleicht etwas, was man nicht tun sollte?
Markus Drenger 0:30:54
Könnte man sich so überlegen, ja.
Linus Neumann 0:30:56
Hast du dir wahrscheinlich auch.
Markus Drenger 0:30:59
Also ähm die Webseite, die sie ja haben, ihren Webmailer äh der wird ja per hart DPS ausgeliefert.Und wenn man jetzt äh auf diesen lokalen Webservice zugreifen möchte, dann macht man das mit Websockets. Das heißt, das Java Skript verbindet sich mit einer Domain, die man sich geholt hat. Die heißt Bea Local Host Punkt DE,die löst nach hundertsiebenundzwanzig null und eins auf. Es ist also quasi das, was wir als DNS Attacke kennen, also eine.
Tim Pritlove 0:31:31
Jetzt müssen wir kurz mal wieder ein bisschen übersetzen. Also,Weil das ist irgendwie das ist so so ein Nerdhumor, ne? Das versteht äh die Eingeweihten sofort und fangen an zu kichern und der Rest äh weiß überhaupt nicht mehr, wo oben und unten ist. Also, wir haben quasi,müssen wir mal aufzurollen. Um diese ganze Smartcard Geschichte zu integrieren, die sich aber eigentlich in so Browsergeschichtennicht so ohne Weiteres und das auch aus gutem Grund, nicht so ohne Weiteres integrieren lässt. Ja, auch wenn es wünschenswert wäre, wenn alle Betriebssysteme heutzutage out of the Box dafür eine Integration bringen würden, was sie aber nicht.
Linus Neumann 0:32:07
Das aber erst standedisiert werden für alle Browser und so weiter. Gibt.
Tim Pritlove 0:32:09
Ist ja auch vorstellbar, dass dauert aber alles noch, ist aber nicht da. So, anstatt dann einfach einzusehen, dass quasi Webmail keine Option istSchafft man sich sozusagen so eine eigene Hintertür, indem man sowas Absurdes macht, wieeinen eigenen Webserver auf dem eigenen Computer, sodass der Browser eigentlich gar nicht mit diesen Mailsystem redet, mit dem man jetzt eigentlich kommunizieren möchte, sondern erstmal quasi in seinen eigenen Keller eintaucht und von dort,sozusagen was rüberschickt. Das ist aber das bricht sozusagen eigentlich das,Das eigentliche Modell, weil man erwartet ja, ich gebe die Adresse von meinem Mailserver in die Webseite ein, so wie ich das mit G-Mail auch mache und dann verbinde ich mich dahin. Man möchte es aber gerne lokal haben. Da das aber sozusagenumgeleitet werden muss, gibt's diesen Trick, dass man halt eine Adresse nimmt, die auf den eigenen Rechner umleitet und das dann auch noch,zu nennen,ich weiß gar nicht, ob ich das, ob das jetzt schon wieder auch intelligent ist irgendwie, also ob das schon wieder Anerkennungspunkte bekommt für für diese Frechheit äh oder ob's nochmal doppelt bekloppt ist, da bin ich mir jetzt grade selber nicht so sicher.
Linus Neumann 0:33:20
Was wir noch kurz erklären müssen ist, dass Markus gerade hundertsiebenundzwanzig null null eins gesagt hat und ähm ich glaube, was man da einfach wissen muss, ist das Internet hat IP-Adressenund ähm es gibt eine IP-Adresse, die wir alle haben und das ist die hundertsiebenundzwanzig null null eins und das ist immer der eigene Rechner,per Konvention.
Tim Pritlove 0:33:41
Dass man immer selbst, genau, das sind da, wenn so Nerds mit so T-Shirts rumlaufen, mit der ist No Place, Like, hundertsiebenundzwanzig null null eins, dann meint es das.
Linus Neumann 0:33:49
Einer der seltenen Momente, wo Tim ein Nerdwitz erklärt.
Tim Pritlove 0:33:54
Ja, sofort würde ich ja niemals.
Markus Drenger 0:33:56
Also streng genommen kann man ja eigentlich auch gar nicht per Javaskript auf lokale Ports zugreifen. Das verhindern die Browser ja in der Regel aus Sicherheitsgründen,Und deswegen hat man jetzt hier diese Domain genommen,Um dann trotzdem an den Browser vorbei äh die Sicherheitsrichtlinie zu umgehen und trotzdem auf den lokalen Port zugreifen zu können. Also eine.
Tim Pritlove 0:34:22
Das finde ich jetzt auch wirklich so geil, ne? Also man hat sich jetzt so festgebissen an diesem Modell, das was nicht passt, wird dann passend gemacht. Man umgeht sozusagen jetzt hier mit solchen Tricks sinnvolle Sicherheits,Maßnahmen und quasi vor allem auch frech finde an der Stelle ist man weiß ja nicht ob nicht mit dem nächsten Browser Updatediese Nummer, diese Tür auch gleich wieder geschlossen wird. Was ist, wenn die Browser dann nächstes Mal sich wirklich die IP-Adresse anschauen und sagen, ja, nee, hier hundertsiebenundzwanzig null null eins, äh da mache ich jetzt einfach mal zu,den Laden, weil lokalen Server, das riecht so dermaßen nach Mywear, das wäre würde mich überhaupt nicht wundern, wenn Firefox einfach mal von heute auf morgen mit dem nächsten Release die Tür zumacht und das würde dann bedeuten, dass sowas wie dieses,Postfach. Von heute auf morgen nicht mehr funktioniert. Und das finde ich irgendwie auch schon wirklich gewagt.
Linus Neumann 0:35:15
Okay, also der heißtest, wenn du jetzt, wenn du NS Looka, Bea Local House machst, dann kriegst ist die Antwort vom vom DNS-Server hundertsiebenundzwanzig null null eins.
Markus Drenger 0:35:27
Ja, das ist korrekt.
Tim Pritlove 0:35:29
Ich probiere das mal Chaos aus hier.Ja, hundertsiebenundzwanzig null null eins gibt's das auch in V sechs? Nö. Natürlich nicht.
Markus Drenger 0:35:37
Nein, natürlich nicht. Also vor sechs, Entschuldigung, vor.
Linus Neumann 0:35:40
Brauchst du jetzt aber auch es wäre jetzt auch nicht so schlimm, ne? Denn so die hundertsiebenundzwanzig null eins, die wirst du in deinem Betriebssystem dauerhaft haben so, ne, dann.
Tim Pritlove 0:35:47
Ich wollte nur was zum draufhauen haben.
Linus Neumann 0:35:50
Da geht's jetzt auch so schnell nicht aus, ja?
Tim Pritlove 0:35:53
Also bei das hätte ich dann wenigstens elegant gefunden, weißt du? Aber noch nicht mal.
Linus Neumann 0:35:55
Also IP V4 wird knapp, aber hundertsiebenundzwanzig null null eins haben wir noch ein paar über.
Tim Pritlove 0:36:00
Was sagst du?
Linus Neumann 0:36:03
Okay, also jetzt kommt der und ich kriege quasi von Bea Minus Brack DE, dann ein Java Skript, was auf Ressourcen von Bea Local Host äh DE zugreift.
Markus Drenger 0:36:14
Ja genau und äh weil du ja über die Seite BA Minus Brack Punkt DE gehst und die PHte TPS ausgeliefert wird, möchtest du auch keine Mixed Content Warnung, wenn du Dinge aus dem lokalen Port nachlässt.
Linus Neumann 0:36:28
Auch das müssen wir wieder kurz erklären,der Browser weiß, ich bin jetzt auf Bea Minus Brack DE und ich habe eine verschlüsselte, ich habe eine sichere Verbindung über HTPS. Und wenn jetzt eine Webseite, die über Hart-ETPS aufgerufen wird,etwas anderes benutzt, sagen wir einen blinden Bild eingebunden hat und dieses Bild wird über HTTP geladen,Dann sagt der Browser, wir haben zwar hier HTTPS,Aber wir liegen gerade auf einem unverschüsselten Kanal. Wir wollen wir holen hier unverschlüsselte Inhalte in unseren ja eigentlich verschlüsselten Kontext. Und das wollen wir nicht,Das heißt, der Browser äh warnt davor oder ich weiß gar nicht, neue Browser machen die das überhaupt noch? Die ignorieren det dann einfach, oder?
Tim Pritlove 0:37:17
Wann, wovor.
Linus Neumann 0:37:19
Wenn du jetzt also erste ATPS-Seite und das HTP Inhalt drin, dann kam früher.
Tim Pritlove 0:37:25
Content Meldung, ja kann sein, dass die jetzt mittlerweile generell, also.
Linus Neumann 0:37:29
Hast dann oben so ein gelbes Schlösschen? Oder Markus, du wirst es gesehen haben, was, was kriegt man dann? Gibt's das heute überhaupt noch.
Markus Drenger 0:37:34
Äh ich glaube äh sowohl Chrome als auch äh Firefox äh Blocken, dass ja inzwischen vollständig diese Warnung. Kriegst du eine große Fehlermeldung, äh dass das jetzt nicht geht.
Linus Neumann 0:37:46
Und spätestens jetzt hatten die ein größeres Problemchen, weil sie brauchten SSL auf einer nichtöffentlichen IP-Adresse und das geht halt nicht.
Markus Drenger 0:37:59
Genau, deswegen hatten sie ja diese ähm Domain, diese Punkte I Domain, weil dafür kann man sich ja wieder ein SSL Zertifikat holen.
Linus Neumann 0:38:07
Man. Äh wie können wir das jetzt, wie können wir das am besten erklären? Also diese hundertsiebenundzwanzig null null eins die hat eben jeder Rechner,Und aus diesem Grunde kann sich auch kann man jetzt auf in dem Kryptografischen Kontext,Erstmal kein Schlüsselpaar generieren, womit ein Rechner sich selber beweist, dass er hundertsiebenundzwanzig null null eins ist, weil hundertsiebenundzwanzig null null eins gibt es ja überall.Und die sie brauchten aber jetzt SSL auf den lokalen Host,Und deswegen haben sie sich eine erst wahrscheinlich eine öffentliche, eine öffentliche Domain äh das Ding auf eine öffentliche Domain gestellt, auf eine öffentliche IP gestellt, haben sich ein Zertifikat geholt,Und haben dann nachher den DNS-Eintrag geändert und das Zertifikat in die Kleinsoftware gekippt, oder?
Markus Drenger 0:39:00
Ja, so könnte man das sagen oder vielleicht haben sie auch einen Mailserver eingerichtet und alles darüber gemacht. Ich meine, spätestens beim Erneuern, Zertifikat bräuchten sie ja dann wieder den passenden IP ähm,aber man kann sich ja auch also man kann sich zwar ein Zertifikat ausstellen lassen für die IP.Genau, das wäre aber nicht signiert, das wäre ein selbsterstelltes Zert und der würde sozusagen auch der Browser sagen, das ist ein komisches Zertifikat, das kenne ich nicht. Das kommt von keiner Stelle, die ich kenne, kenne und ich vertraue und würde deswegen auch wieder Fehlermeldungen anzeigen.
Tim Pritlove 0:39:36
Also von Anfang an,Schon bevor hier überhaupt irgendjemand mit irgendetwas in Verbindung ist, müssen an jeder Ecke, nur weil das Design so gewählt wurde, wie es gewählt wurde,Alle möglichen sinnvollen Sicherheitsvorkehrungen des Netzes in irgendeiner Form umgangen werden.
Linus Neumann 0:39:56
Bis zu dem Punkt, wo du's halt einfach nicht mehr darfst,Also was äh in dem Moment, wo du dir ein, wo du ein Zertifikat ausstellst für eine Domain und dieses Zertifikat hier verloren geht, dann äh bist du ja, das geht halt nicht. Geht halt nicht.
Markus Drenger 0:40:13
Also es ist halt sozusagen verboten äh Zertifikate die signiert worden sind und die zu echten Domains gehören äh die zu verteilen. Also man bekommt da ja einen öffentlichen und einen privaten Schlüssel,und den privaten Schlüssel muss man geheim halten, wenn der abhanden kommt oder in der dritten bekannt wird,dann haben die Zertifizierungsstellen vierundzwanzig Stunden Zeit dieses Zertifikat zu sperren und zurückzurufen.
Linus Neumann 0:40:43
Und das das kommt dann in eine in.
Markus Drenger 0:40:44
Man halt ganz bewusst den privaten Schlüssel in die Software eingebaut und dann zum Downloadangeboten.
Linus Neumann 0:40:53
Das heißt, jeder einzelne ähm Nutzer der Software,Ist im Besitz des Zertifikates für Bea Local Horse DE,könnte jetzt irgendwie im lokalen Netzwerk äh ein oder was weiß ich, könnte irgendwie einen anderen DNS-Eintrag rausgeben und wäre, weil er das Zertifikat hat in der Lage, diesen diese vertrauenswürdige Komponente,zu äh zu fälschen irgendwie eine atmenden Mittelangriff oder sonstiges darauf zu machen.Und da sind die, was ist, was erlaube Kapgamini, was erlaube Secondsit, was erlaube äh Arthos? Das äh das weiß man doch.Oder wussten die das nicht? Hast du da mal nachgefragt.
Markus Drenger 0:41:40
Ähm ich äh habe bis dann keine Info bekommen von denen. Äh ich gehe aber davon aus, dass jeder Entwickler weiß, dass man keinen privaten Schlüssel in die Software einbauen sollte.
Tim Pritlove 0:41:50
Das ist der Grund, warum er privat heißt.
Markus Drenger 0:41:55
Zumindest bietet man ihn dann auch nicht zum Donald an, ja? Also spätestens mit dem Upload auf die Webseite sollte einem noch klar gewesen sein, was man da tut.Ja ähm gut, dann hat man sozusagen das Zertifikat verteilt und dann war ja die Verbindung zwischen der Webseite und äh das Websockets zum äh lokalen Webdienst äh dann da.Und ähm dann hatte man da eine Schnittstelle, einen Webservice quasi und äh mit dem hat dann die Webseite per Javastrieb gesprochen,das ist ja alles öffentlich dokumentiert, dass Java Skript der Webseite ist ja auch einsehbar. Es ist ja quasi Open Source,Da kann man sich anschauen, wie das funktioniert. Ähm.Man da hat man jetzt so einen lokalen Port offen und ähm den gleichen Weg kann halt auch jede andere Webseite gehen. Also ich kann auf meiner eigenen Webseite prüfen, ob ich jetzt einen Besucher habe, der das BH benutzt.Weil ich ja sehen kann, ob der Port da ist und äh was der so sagt.Ähm und gleichzeitig kann man jetzt über das JavaScript Befehle schicken. Befehle an die kleinen Software.Und einer dieser Befehle war zum Beispiel Unique Tokiloself in Leadspeak.
Tim Pritlove 0:43:24
Also mit Buchstaben äh in mit Zahlen ausgedrückt.
Markus Drenger 0:43:28
Genau und dieser Befehl äh sorgt dafür, dass sich die Kleinanwendung beendet.
Linus Neumann 0:43:33
Oh nein, das heißt, jeder kann sich irgendwie in in seine auf jeder Webseite kann so ein kleines Java-Skript schreiben, was die äh was die äh was jedem Anwalt erstmal seinen Bea kaputt macht.
Markus Drenger 0:43:46
Ja genau. Oder was zumindest die Anwendung beendet, ja?
Linus Neumann 0:43:52
Mann, Mann, Mann, Mann, Mann.
Markus Drenger 0:43:59
Natürlich auch sagen, okay, du hast äh deine normale Webseite und du hast dann eine Webseite für Anwälte, ja, wo du sagst, okay, hallo Anwalt. Schön, dass du deinen Bär offen hast.Äh das kann man ja auch, was ich nicht bei Abmahnanwälten auf Webseiten machen, um dann ihn anderen Conten.Ein anderes Impressum.
Linus Neumann 0:44:18
Ja, das sind also einfach durch die Existenz, dass man ein kleines Java Skript schreibt, was eine Verbindung dorthin aufbaut und sagt, jo, erreiche ich und dann weiß man, mein Besucher ist ein Anwalt.
Markus Drenger 0:44:31
Also ne, auch äh Datenweitergabe an dieser Stelle. Ähm.Wir hatten ja noch andere schöne Dinge gefunden. Also die äh BA Anwendung ist ja äh zweitausendvierzehn beauftragt worden,Und diese kleinen Software ist dann geschrieben worden und glaube ich dann vor ein oder zwei Jahren ist sie dann online gegangen,ähm und was man da eingebaut hat, das waren halt so uralt Pakete,Das war eine Jamai-Anwendung und die hat verschiedene äh Librarys benutzt,Und da gab's halt auch Librarys, die waren älter. Sagen wir aus zweitausendelf oder aus zweitausenddreizehn.Man hat dort nicht die neusten Versionen eingefügt, äh, die sagen Sicherheitsupdates gesehen haben, sondern sie haben die alten Dinge eingefügt,und äh bei diesen alten Software, bei diesen alten Paketen gibt's halt Backtracker, äh die man zum Teil schon gelöscht, weil die schon so alt waren,aber andere, wo es die noch gab, da waren halt zahlreiche Sicherheitslücken dokumentiert, ja? Also jeder Buckfix, der da reingegangen ist, äh, zeigt ja eigentlich auf 'ne Lücke, die man hätte ausnutzen können.
Linus Neumann 0:45:51
Das heißt, da musstest du nur so ein bisschen googeln.
Markus Drenger 0:45:55
Nur ein bisschen googeln und dann hat man das gemacht und gegoogelt und dann gab es halt zweitausendsechzehn, zweitausendsiebzehn einen etwas größeren äh Javaback.Äh da geht's um die diese Realisierung äh von Java Objekten. Ähm.
Linus Neumann 0:46:16
Diese Realisierung nochmal erklären.
Markus Drenger 0:46:18
Genau, also man kann ja sozusagen, wenn man ein Java Speicherobjekt hat, dann kann man das in einem String umwandeln, also in eine Zeichenkette, um das dann abzuspeichern, in eine Datei zum Beispiel,Kann man das verschicken übers Internet,Und ein anderer kann dann aus dieser Zeichenkette wieder ein solches Javo-Objekt erstellen,und äh das ist halt eine häufige Technik, die dann benutzt wird, um äh Daten zwischen äh Webdiensten und Webservices auszutauschen.Und da gab's halt einen einen größeren Back, der da gefunden.Worden ist und dann gab es halt Updates in äh Dutzenden, hunderten von von Paketen,und hier hat man halt das Update nicht gemacht. Und das hieß, dass man mit einer präparierten Nachricht,ähm Code ausfüllen konnte auf dem kleinen Rechner. Also auf dem AnwaltspC. Das heißt, wenn der Anwalt eine Webseite angesurft hat,Und die Webseite hatte ein Java Skript, was äh den Anwalt angegriffen hat,dann konnte man auf dem Kleinrechner äh Dinge ausführen.Aufmachen oder den Rechner, Taschenrechner oder Dateien löschen oder einen Trojaner installieren. Da ist wir sagen mal die Tür offen,da ging halt viel.
Linus Neumann 0:47:54
Oh je. Das heißt, du hast jetzt Code Execution auf jedem Anwaltsrechner. What coot possible go rong. Wunderschön.
Markus Drenger 0:48:05
Ja. Es war natürlich dann immer die Frage, ja ist das BA unsicher, äh konnten die Nachrichten mitgelesen werden und et cetera. Es wurde immer gesagt, dass Bea ist ja sicher, die Nachrichten äh konnten ja nicht mitgelesen werden,Aber die Frage war ja immer, ist der Anweis PC sicher, auf dem das BH läuft? Ja, also durch die Art und Weise der Fragen,konnte man da immer schöne Dementis hören, anschließend.Das war sozusagen ein nicht so der der größere Back in der kleinen Software.
Linus Neumann 0:48:38
Den dann nämlich niemand äh den dann nämlich niemand ernst nimmt, ne? Oder den der dann wieder zu schwer zu erklären war, ne? Das wäre eine, weil jetzt hättest du nicht nur du kannst dieDu kannst die App abknallen und du kannst Anwälte erkennen, sondern du kannst einfach alle Anwälte auf einmal on, solange sie eine Seite von dir besuchen.Zum Beispiel die auf der du die Ergebnisse deiner Forschung zum BA veröffentlichst, kleines hat doch noch keinem geschadet.
Markus Drenger 0:49:10
Ja. Ich denke, es wäre auch möglich, dass einfach per per Message zu machen. Also äh man hat ja das Verzeichnis, dass äh oder ein Verzeichnisdienst, der alle Adressen von allen Anwälten kennt,man hätte auch einfach jedem Anwalt eine Nachricht schicken können. Ähm, das konnte ich aber nicht mehr testen, weil der Dienst ja offline war.
Linus Neumann 0:49:30
Aber das ist doch schön, ne? Äh bessere, bessere Prozessgewinnaussichten dank Java Deserialisierung.
Markus Drenger 0:49:40
Ja genau, also äh Anwälte und Kanzleien sind ja durchaus auch, ich sage mal, Ziel von von Angriffen. Da gibt's halt echt was zu holen, ja? Es äh ist also schon ein valides Ziel,da Dinge zu machen. Das heißt, das Tradmodel, was die halt fahren müssen, ist halt schon ein bisschen höher als sozusagen der Standardrechner von zu Hause.
Linus Neumann 0:50:00
Klar, deswegen sind ja überhaupt auf die Idee gekommen, sich eine eigene sichere Software äh zu versuchen zu bauen. Ne, dass weil es sich eben hier um äh,Per Definition hochsensible ähm Inhalte und Hochsensible Kommunikationspartner handelt.
Markus Drenger 0:50:19
Genau. Ansonsten äh die kleinen Software äh läuft auch auf ganz sicheren, modernen Betriebssystemen,Zum Beispiel ist laut Dokumentation immer noch Linux, Open Suse dreizehn Punkt zwei unterstützt.Dreizehn Punkt zwei ist für die, die es nicht kennen, das ist ein Vinox-System. Das ist seit seit Januar zweitausendsiebzehn.Also außerhalb des Supportes mit Sicherheitsupdates und eigentlich ist ja vorgeschrieben, dass Anwälte ihre Systeme nach dem Stand der Technik updaten,und äh eine Firewall benutzen und ein Antivierenprogramm und äh immer alle Sicherheitsupdates einspielen sollen,Also schon oft haben den Papier können Anwälte gar nicht dieses Bär sicher betreiben. Ja, zumindest nicht, wenn sie ein freies Betriebssystem nutzen möchten.
Linus Neumann 0:51:13
Das heißt, ach so, es wird nur dieses alte Suse unterstützt oder noch.
Markus Drenger 0:51:19
Es wird nur dieses Open Suse unterstützt. Es wird auch ein US unterstützt, das ist die Version zehn Punkt elf.Da endet ja Extened Support im Herbst zweitausendachtzehn.Also zumindest die Dokumentation und die Unterstützung von Softwarevarianten, die halt supported werden. Für die, für die es ja auch Support gibt. Ähm die sind halt alle veraltet.
Tim Pritlove 0:51:50
Und an der Stelle merkt man mal wieder eine weitere Auswirkung dieser komplexen Softwarekonstellation, die man sich hier gewählt hat. Man schafft sich auf einmal so viele Abhängigkeiten, dass sozusagen, ich meine,eine Webmail Anwendung lebt ja nun wirklich primär davon, dass man da eigentlich ein,Betriebssystem oder Browserhersteller kümmert sich um Browser, man selber kümmert sich um seinen Server, davon gibt's äh im Wesentlichen nur einen, den hat man vollständig unter Kontrolle. Beides kann permanent durchgepatcht und aktualisiert werden und ist eigentlich vollkommen egalauf welchem Betriebssystem das läuft, aber durch diese zusätzliche Komponente auf dem kleinen Rechner schafft man sich alle möglichen Dependence,womit dann eben diese ganze Kompatibilität schnell aus dem Ruder läuft und die man auch alle gar nicht testen kann.
Linus Neumann 0:52:35
Oh Man.
Tim Pritlove 0:52:36
Was ist denn, wenn wenn diese, wenn diese Rechner von den Anwälten aus irgendwelchen anderen Gründen eine andere Version fahren müssen, weil die da einfach ihre,Eigenentwicklung, Software drauf haben, die vielleicht immer nur das allerneuste erfordert. Äh ja, was ja sinnvoll wäre, wahrscheinlich auch nicht mal der Fall. Schon geht es irgendwie alles nicht zusammen. Also auch das ist so ein No-Go.
Linus Neumann 0:52:58
Es wäre der eine der eine Grund, der eine vorsichtige Grund, der für eine Webapp spricht, ist, dass du minimalste äh Dependenz, die es hast bei auf dem KleinsystemJa, das ist das eine, das eine Argument eine Webapp zu bauen. Äh andere gibt es in meinen Augen auch ehrlich gesagt nicht, aber ähmDass wir das eine Argument gewesen, das haben sie dann auch noch kaputt gemacht.
Markus Drenger 0:53:22
Ja ähm was natürlich auch schön ist, wenn man so einen Dienst betreibt auf einem lokalen Port ähm viele Kanzleien nutzen äh Terminalserver.Das funktioniert damit natürlich auch nicht.Wenn jemand auf einem Terminal ist, aber ein Kartenlesegerät angeschlossen hat, an dem Server und dort seine Karte eingelegt hat, dann können alle anderen Terminal Server-Benutzer in das Postfach von dieser Person reinschauen.
Linus Neumann 0:53:51
Könnte es quasi nur einen Anwalt pro Terminalserver haben.
Markus Drenger 0:53:55
Genau, weil du das halt nicht mehr äh zu sagen Nutzer zentriert machen kannst, sondern weil ja das Kartenlease-Gerät und der eine Port.Ein Nutzer funktioniert.
Tim Pritlove 0:54:06
Läutern, was das für.
Markus Drenger 0:54:08
Ist ein ein Server, der sozusagen eine Desktop-Umgebung anbietet, damit unterschiedliche Leute von verschiedenen Orten darauf zugreifen können und dann auf diesem Rechner arbeiten können, zum Beispiel von zu Hause oder,mit verschiedenen Betriebssystemen hatten, haben sie dann dort auf dem Windows ein ein Hundostestop.
Linus Neumann 0:54:30
Also du meldest dich in dein der Rechner, der wirklich deine Aufgaben rechnet, steht woanders im Regalund du, was dein Rechner, der vor dir steht, macht, ist eigentlichVideostream darstellen von dessen Bildschirm und zu sagen, wo du jetzt gerade hingeklickt hast und welche Tasten du gedruckt hast. Und alles andere ist äh steht woanders,also schwierig, müsste es halt erstmal rausfinden, wo der Terminal Server steht, bevor du dann dein Smartcard-Leser da dranstecken kannst. Und weil das ist so am Ziel vorbei.Schön. Das ist in in sich wirklich eine ein Kunstwerk.
Markus Drenger 0:55:07
Nachdem wir halt gemerkt haben, dass der der Client jetzt halt nicht so schön ist, hatten wir uns da noch andere Dinge angeschaut, äh zum Beispiel die Art und Weise, wie Nachrichten übertragen werden,da gab's ganz viel Werbung, dass das ja sichere Ende zu Ende Verschlüsselung sei.Dass ja das ganz toll mit Smart Cut abgesichert sei und äh.Dann gab's halt auch äh haben sie da eine Zusatzfunktion eingebaut. Und zwar die Umschlüsselung,Ist ja so, dass wenn ich jetzt an einen Anwalt schicke, eine Nachricht schicken möchte, dann äh kann der einmal einstellen, wer von seinen Mitarbeitern die Nachricht lesen können soll,Das heißt, ihr trägt ein äh Mitarbeiter A, Mitarbeiter B, Mitarbeiter C, die sollen auch die Nachrichten lesen können.Und dafür hat man dann ein Konstrukt gebaut, das nennt sich Umschlüsselung.Und hat ein, ein Server genommen äh auf dem man die privaten Schlüsse gespeichert hat für die Postfächer.Und wenn ich jetzt eine Nachricht abschicke, dann verschlüssel ich das, wie man das halt kennt äh von GPG auch. Äh zuerst semetrisch und später mit einem asymmetrischen Schlüssel den Postfachschlüssel und schicke das an den Server.Und der Server entschlüsselt dann den AES-Schlüssel, also mit dem privaten Postfachschlüssel, dem ERSA Kie.Und hat dann die Nachricht da liegen. Die ist ja noch verschlüsselt und hat dann den Schlüssel für die Nachricht da liegen, den AESKI.Und verschlüsselt das Ganze dann mit den Empfängerkies, also mit den Schüsseln von Mitarbeiter A, B und C und mit dem Schlüssel von dem Anwalt.
Linus Neumann 0:57:01
Und das Problem, was sie, also sie wollten damit wahrscheinlich zwei Probleme lösen, ähm nämlich erstens,Desto multiple Empfänger trotz dass du multiple Empfänger haben kannst, obwohl nur an einem,an eine Identität verschlüsselt wurde.Zweitens, dass jeder einzelne dieser Empfänger auch einfach mal zufällig nochmal seinen Key verlieren kann, weil dann kriegt er, macht er einfach einen neuen, registriert den und das HSM umschlüsselt,dann auf diesen neuen Schlüssel um. Das war wahrscheinlich das andere Problem, was sie lösen wollten. Wenn ich das jetzt mal so vorsichtig interpretieren darf.
Markus Drenger 0:57:45
Das könnte man so sehen, ja.
Linus Neumann 0:57:47
Damit haben sie aber natürlich die gesamte Idee mit den Smart Cards jetzt wirklich wirklich ad absurdum geführt,und deine befreundeten Anwälte, die gesagt haben, diese Smart Cuts sind Scheiße, die brauchen wir nicht hatten, auch vielleicht, obwohl sie es nicht wussten auf tiefer philosophischer Ebene recht.Oder täusche ich mich da.
Markus Drenger 0:58:09
Ja also.Sie bräuchten eine streng genommen, auch keine keine Smart Cards. Äh sie können auch sich wieder äh Software generieren lassen und die dann dafür freigeben. Also äh da kann man auch von den Smart Cards weg,Ähm das ist auch vorgesehen.
Linus Neumann 0:58:31
Ah
Markus Drenger 0:58:32
Aber ja äh sozusagen ähm und ähm man hat gesagt, das ist ja Ende zu Ende, weil die eigentliche Nachricht, die ja per AIS verschlüsselt ist, die wird ja nicht aufgemacht zwischen Bröden.
Linus Neumann 0:58:46
Weil sie sich nur den den Schlüssel äh weil sie nur den AES-Kie entschlüsseln und nicht die Nachricht. Ja.
Markus Drenger 0:58:56
Das war also ihr Ende zu Ende.Wobei natürlich bei Ende zu Ende ist ja das Sicherheitsheizversprechen, dass ich den Postboten nicht vertrauen muss. Und genau das ist jetzt hier nicht der Fall. Hier muss ich ja darauf vertrauen, dass äh der Postbote,den Server ordentlich eingerichtet hat und dass der Server fehlerfrei funktioniert und dass er selber auch nicht angegriffen worden ist.Und äh das macht finde ich, ist halt kein, kein Ende zu Ende, sondern das ist halt was anderes.
Linus Neumann 0:59:28
Ja, da ist es.
Tim Pritlove 0:59:30
Umschlüsselung, das ist auch ein geiles Wort, oder? Ich meine, das ist, das ist jetzt kein Fachbegriff aus der Kryptografie, oder?
Linus Neumann 0:59:39
Na ja, das ist deshalb kein Fachbegriff aus der Kryptografie, weil die Kryptographie sich mit Verschlüsselung auseinanderse.
Tim Pritlove 0:59:45
Na ja, das wollte ich nur gerade mal betonen, dass das jetzt nicht so oh, wir haben da ein ein gängiges Konzept aus äh der kryptographischen Landschaft genommen, die Umschlüsselung, das ist was ganz Tolles, sondern das ist so ein Wort, wo so jeder Kryptologe erstmal denkt so, hä.
Linus Neumann 1:00:00
Ja, nee, das ist äh ja, ist halt, also also man findet sehr häufig äh,Geräte, die das tun, was man Umschlüsselungen nennt äh der Kryptograph nennt das eigentlich eher äh Manoda Machine in the Mittel, ne? MITM, so. Das ist genau und das ist das, wovor, wogegen man sich immer wehren möchte.
Tim Pritlove 1:00:21
Genau, also es ist kein Feature, sondern es ist eigentlich ein.
Linus Neumann 1:00:23
Das ist das Angriffsszenario.
Markus Drenger 1:00:26
Genau, also gut so ein HSM ist ja auch eher verbreitet quasi äh für diverse Dienstleistungen auch, dass äh die E-Mail,sowas äh war also kein völlig neues Konzept, aber es ist halt wirklich jetzt kein Ende zu Ende Konzept.
Linus Neumann 1:00:43
Wir haben aber genau daran am Ende D-Mail. Ich weiß nicht, dass du das auch zweitausenddreizehn oder so gewesen sein, als die, als die mir das Thema war, äh nicht nur E-Government, äh nicht nur E-Justiz, äh sondern auch E-Government undzweitausendelf waren, glaube ich, Stellungnahmen des CCC. Dann wird's genau auf dieses Thema gestürzt und haben gesagt, baut es doch bitte nicht so,nicht so, dass ihr eine zentrale Instanz habt, die in der Lage ist zu entschlüssen. Ihr wollt doch hier was Besseres bauen als als E-Mail und spätestens in dem Moment, äh, wo du dir für deine hochsensible Kommunikation dieses und sei es auch ein Hardware-Security-Modulirgendwo hinstellst, wo alleSicherheit zusammenläuft, hast du dir halt ein Problem geschaffen und dafür wurde das alles nicht erfunden. Also es zeugt von einem Profunden,nicht verstehen der Aufgabenstellung.
Tim Pritlove 1:01:34
Einer Ignoranz sogar noch. Wenn man's noch ein bisschen schlimmer machen möchte.
Markus Drenger 1:01:39
Ja und äh gut äh dann denkt man sich ja okay, wenn sie sich jetzt mit viel Aufwand so eine kleine Software geschrieben haben, womit äh viel Aufwand, so eine Serverkomponente und mit viel Aufwand und Webmailer,werden Sie sicher auch mal die Webseite angeschaut haben. Also da wo der Webmänner drauf liegt und da gibt's halt genau ein Parameter,der ist halt auch noch für Crossheit Skripting anfällig gewesen.Das heißt für mich, das haben sie sich nicht angeschaut. Das haben sie nicht geprüft oder es war ihnen einfach schlicht egal. Ja, aber äh dass es ihnen nicht aufgefallen ist, wenn man sich das angeschaut hätte, glaube ich ihn auch nicht.
Tim Pritlove 1:02:20
Also Crossheits äh äh Skripting ist so eine gängige Attackenart im äh Web, wo man eben von anderenDomains, half halt auch anderen Browserfenstern äh auf äh andere Systeme zugreifen kann, also quer reingrätscht, sage ich mal, so ganz salopp und man kann solche Angriffe verhindern, indem man einfach gängigeVerteidigungsstrategien auf dem Server implementiert, insbesondere eben für diese Parameter, die oben so übergeben werden und das macht man halt oder man macht es halt nicht und ähnichts davon weiß, macht's halt meistens nicht und schon ist das Tor wieder offen.
Linus Neumann 1:02:56
Schon gibt's auf einmal Java Skripte, die man nicht haben wollte in der eigenen Seite.
Markus Drenger 1:03:00
Genau, also der der Impact war begrenzt an der Stelle, ja? Also das gebe ich auch zu, die man konnte bis zu zehn Zeichen einfügen. Das reicht nicht für alles, aber für ein bisschen was.
Linus Neumann 1:03:11
Es reicht doch, um ein weiteres JavaSkrip nachzuladen, oder?
Markus Drenger 1:03:15
Ja, nicht ganz. Nee, dafür viel, da fehlt mindestens ein Zeichen. Also du musst es ja noch so ein bisschen.
Linus Neumann 1:03:19
Kürzeste Top-Level Domain, die du kriegen konntest.
Markus Drenger 1:03:22
Ich hätte ja gerne die, die von Köln gehabt, die haben K Punkt DE, aber ähm ich konnte zeigen, dass man mit dem Befehl Open Fenster aufmachen konnte,Ähm ich glaube man hat so so sechs Zeichen äh Netto äh für Befehle und für Klammer auf Klammer zu. Gehen hier auch nochmal welche w,Das heißt, äh, wenn man dort sozusagen kurze Jahrescape-Funktionen gehabt hätte,äh mit ein oder zwei Zeichen, dann geht da was, aber in dem Umfeld äh waren sozusagen vier Zeichen, dass das Minimum,Ähm man hätte aber auch einfach ein paar variablen umbiegen können, ja, irgendwie sowas wie A gleich eins oder sowas ähm,Aber zu sagen, es zeigt einfach nur, dass sozusagen eine Lücke da war und dass man da nicht gepatcht hat.Ich meine, sie hatten ja auch irgendwie auch eine eine Webwebfeier wohl dazwischen, die auch irgendwie noch so Begriffe rausgefiltert hat, also wenn man da die Back eingetragen hat, äh den Parameter dann wurde man umgeleitet.Und auch da hat der der Hanno Böck von Olem noch gesehen, dass sozusagen,Webfeier wohl äh nicht die neuesten Updates hatte.Ja, aber prinzipiell, ne? Also da ist halt eine Lücke und die war leicht zu finden und die war halt noch offen.Ähm ich habe das Ganze ja dann im äh Dezember gemeldet. Äh ich hatte am zwanzigsten zwölften quasi kurz vor Weihnachten,äh halt gesammelt, was ich so hatte und äh habe dann gedacht, okay,melden, würde ich jetzt gerne tun, aber das ist ja eine Kammer von Anwälten. Ist ja auch vielleicht eventuell nicht ganz so clever, das zu tun,und hab mich dann erstmal ans BSI gewandt, das BSI hat ein Zert, ein Typ Computer image Serie Spons Team und die kümmern sich um die Vermittlung von von Sicherheitslücken.Ja und äh haben dann sozusagen auch die Kommunikation übernommen äh mit der Brack.Dass ich halt am zwanzigsten äh gesprochen hab mit dem BSI. Ähm anschließend mit Herr Brack.Ähm und dann mit der T-Systems, also Telesec, weil von denen kam das Zertifikat oder die haben's zumindest unterschrieben.Und dann habe ich noch einen Backreport aufgemacht äh bei äh Delta Spike. Das ist ein äh Projekt, das läuft bei der Apachi Foundation.
Tim Pritlove 1:06:06
Was ist das für ein Projekt.
Markus Drenger 1:06:08
Das ist so ein so ein Webserver, Framework. Äh.
Tim Pritlove 1:06:12
Was hast du da für eine Information hinge.
Markus Drenger 1:06:14
Äh äh das war dieser XS-Bug auf der Webseite,hatten da sozusagen das Framework dafür. Die hatten damals diese Begrenzung eingefügt äh äh XS auf zehn Zeichen zu begrenzen, weil das reicht ja.Ähm stellte sich raus, hat nicht gereicht. Ähm ja, ein T.
Tim Pritlove 1:06:38
Also hat nicht gereicht, um sich dagegen zu wehren sozusagen.
Markus Drenger 1:06:41
Hat sich, genau, hat nicht gereicht und äh,lässt halt noch das Thema angreifbar. Ähm einen Tag später am einundzwanzigsten zwölften hat äh das Opens Horst Projekt Apachide gepatch.Beziehungsweise ich glaube drei Stunden nach Meldung gab's den ersten Code Co mit dazu und ein Tag später war dann auch das Release dann dafür da oder so. Ähm am zweiundzwanzigsten äh.Hat äh die Systems. Das äh Zert gesperrt,ähm und mit dem gesperrten Zitrikat hieß es dann, äh dass auch der Login nicht mehr möglich war.
Linus Neumann 1:07:22
Klar, weil derDer Browser dann jetzt äh über die Listen gesehen hat A huch äh dieses Zertifikat gilt als kompromitiert,und da ist jetzt jemand, der präsentiert mir dieses Zertifikat, der bin zwar eigentlich, ich selber, aber ähm und aus diesem Grunde werde ich jetzt die Verbindung ablehnen und äh verweigern.Damit hatte TT nicht die System, sondern.
Markus Drenger 1:07:51
Die Teleseck.
Linus Neumann 1:07:52
Der Telesec hatte also jetzt die also die Zertifikat Asphority oder die Zertifikatshälter von der Telekom, hatten also jetzt gerade den Rechtsanwälten ihre Kommunikationspostfach kaputt geschossen.
Markus Drenger 1:08:05
Ja gut, sie waren ja nicht nicht Schuld in der Stelle, ja? Also.
Linus Neumann 1:08:06
Nee, nee, aber jetzt haben sie es gemerkt.
Markus Drenger 1:08:10
Genau, also es war vorher wurde es ihnen gesagt, einen Tag vorher quasi und ähm dann wurde es abgeschaltet. Ähm dann gab's.
Linus Neumann 1:08:19
Richtig, also total äh das müssen die tun.
Markus Drenger 1:08:21
Total richtig, alles nach Vorschrift quasi,äh ich hatte halt ein bisschen länger gebraucht, äh um die äh richtige Stelle zu finden. Also andere CAs haben ja auf ihre haben auf ihrer Homepage einen Link, sowas wie ähm Report, ein,oder so, wenn's halt bekannt geworden ist. Bei der Sec habe ich echt lange suchen müssen, bis ich die passende Stelle gefunden habe,und auch die Hotline konnten erstmal nicht weiterhelfen, ja? Also, da ruft man an und sagt, ich habe ja Herbst und Privatekey von einem Zertifikat und dann.
Linus Neumann 1:08:51
Ist doch schön.
Markus Drenger 1:08:52
Sagen sie ja, wir leiten sie mal weiter. Ich habe glaube ich äh sechs Mal angerufen und ich glaube eine Kostenpflichtige Hotline angerufen, bis wir irgendwie versagen konnte, äh an Venebiga wenden soll.Das war so ein bisschen chaotisch, aber ja ähm dann gab es am zweiundzwanzigsten zwölften den Sondernewsletter der Bundesrechtsanwaltskammer. Das sozusagen die erste Veröffentlichung, wo es hieß, es geht nicht mehr,Die Formulierung war das Zertifikat, was sie hatten, das sei abgelaufen. Ähm.
Linus Neumann 1:09:29
Ganz vorsichtig. Nee, das nennt es einfach falsch. Jetzt eine Lüge. Es ist nicht abgelaufen, ne.
Markus Drenger 1:09:36
Genau und äh dann gab's ein Update.Und dieses Update ist immer so eine ganz eigene Geschichte. Es gab ein Update für die kleinen Software,und die kleinen Software hat ein Outdoor-Updater, die äh zieht das dann halt rein und dann gab es eine Anleitung.Über zweiundzwanzig Seiten lang mit Bildern.Dort wurden die Anwälte oder die Anwaltschaft wurde aufgefordert ein neues Zertifikat zu importieren,und zwar eine CA sollte importiert werden in den Trust Store äh des Browsers. Also da gab's dann die Anleitung für Firefox, für Adge, für Chrome,damit der Browser das neue Zertifikat akzeptiert.
Tim Pritlove 1:10:27
Darf ich das nochmal kurz auf Deutsch übersetzen? Also CA importieren mit CA, meinst du, Satifikit, Austauity, das ist sozusagen jeder Browser, kommt ja heutzutage, wenn man ihn installiert mit einer Liste von ihm bekannten Autoritäten quasi,Schlüssel, die einen ja, ein Unternehmen, eine Organisation identifizieren, der zugestanden wird, dass sie anderen,bescheinigen darf, dass die echt sind, ja? Also was es da alles gibt, verries sein, et cetera, die Liste ist ja nun mal sehr lang,Und das ist auch schon an sich ein sehr fragwürdiges Modell in unserem Internet, weil da sind dann halt auch irgendwelche chinesischen CAs, wo keiner weiß, was die machen und theoretisch kann ja auch jede von denen jedes Zertifikat,jeder Webseite auf dieser Webseite als okay ähm markieren,Wenn man aber jetzt quasi manuell in diese Liste noch irgendein anderer CA,hinzufügt, dann kann die ja theoretisch auch allen was sagen. Das ist so ein bisschen der Traum der MywearBetreiber da über diesen Zugang ähm da aber etwas einzuschleusen, was so quasi allem, was äh untergeschoben wird ähPlatz zehn zu geben, das schon alles prima ist. Und genau dazu werden jetzt durch dieses Schreiben,Anwälte aufgefordert das zu tun. Das schon schon geil.
Markus Drenger 1:11:53
Dann haben sie sich also oder einige haben sich dann manuell die CA importiert, sodass ihr Browser dieses dieses äh dann akzeptiert,oder von dieser Stelle Dinge akzeptiert.Dann hätte man sich ja gedacht, okay, einen haben sie dann für die Webseite, die sie haben äh Bea Local Horst Punkt DE ein neues Zertifikat erstellt und das entsprechend signiert und das dann per Klein verteilt.Hätte man so gedacht, war aber nicht so, was sie gemacht haben ist, sie haben den Schlüssel.CA inklusive Private Key in die Software eingebaut.Und das bedeutet, jeder der diesen privaten Schlüssel hatte, konnte dann für beliebige Webseiten gültige Zertifikate erstellen.
Tim Pritlove 1:12:51
Ach so, das ist sozusagen.
Linus Neumann 1:12:53
Das ist das ist das absolute Desaster. Das ist das größte Desaster, was äh denkbar ist. Also ein ein CA Breach quasi.
Tim Pritlove 1:13:01
Also eine Software, die von jedermann runterladbar ist, ne? Auch wenn man sie nicht betreibt, aber man kriegt dann sozusagen den privaten Schlüssel für dieseAutorität, die die Anwälte sich installieren und sagen, alles was dieser Autorität sagt, das akzeptieren wir und man kann aber jederzeit selber diese Autorität werden, indem man sich einfach diese Software runterlädt, diesen Schlüssel nimmt, irgendwelche Zertifikate auf andere Webseiten hautdie zum Beispiel irgendwie Bea Hilfe DE heißen oder sowas. Ich hoffe, das gibt's nicht. Und äh ja, eigentlich von ganz woanders herkommenalso.
Linus Neumann 1:13:36
G-Mail dot com.
Tim Pritlove 1:13:37
Oder Brack DE.
Markus Drenger 1:13:39
DE
Tim Pritlove 1:13:40
Ja genau, also das äh ja hier ihre Bundesrechtsanwaltskammer. Ganz geil.
Markus Drenger 1:13:46
Ja. Also da kommt man sozusagen nicht nur äh die Bärgeschichten äh überwachen, sondern halt auch äh Passwörter und Pins und Tarns,von allen anderen Webdiensten, ja, ob das jetzt Social Media ist, äh Facebook oder E-Mail, bei E-Mail oder GMX oder Web DE oder ob man da jetzt äh,ja Banking drüber macht, dass wir halt alles abgreifbar gewesen. Ähm.Ja, da hat man halt quasi so ein Hotchix geliefert und wie es halt bei Hotchix so ist, ist der halt nicht die, die QA gegangen. Man hat sich da wohl nicht äh,gemacht, was es ist.
Linus Neumann 1:14:28
Da bist du aber also sowas das also sowas kann nicht passieren. Er ist auch nicht mit dem Hot Fix entschuldbar. Das ist einfach.Das ist das zeugt einfach von so einer fundamentalen Inkompetenz,zumal das Problem, also dass sie einfach offenbar zu dem Zeitpunkt noch nicht verstanden hatten,welches Problem du ihn gemeldet hast, nämlich, dass sie einen Private Key ausgegeben haben zu einem Zertifikat und dass ihnen das deswegen auch gelöscht wurde oder äh also eben revog wurde und dass das,Dass ihr Fehler war,Wenn der Fix dann darin besteht, dass alte Zertifikat geht nicht mehr, wir müssen ein neues verteilen, dann ist das hin wirklich,Dann haben sie's halt wirklich nicht verstanden.
Markus Drenger 1:15:21
Ja, das war dann der zweiundzwanzigste zwölfte.
Linus Neumann 1:15:24
Mein Got.
Markus Drenger 1:15:26
Ähm dann ich weiß nicht genau wann äh verschwand die Pressemitteilung von der Webseite.Es gab eine neue und die Anwender wurden aufgefordert, dass neue RuCA zu deinstalieren oder ihm das Vertrauen zu entziehen.
Linus Neumann 1:15:47
Wie viele, wie viele Anwälte diese Pressemitteilung noch gelesen haben, ne? Also wie viele da, wie, wie viele hängen da draußen jetzt noch rum.
Markus Drenger 1:15:57
Beziehungsweise die wurden ja auch alle angeschrieben über ihre eigenen Rechtsanwaltskammern äh also die kriegen glaube ich die Nachrichten schon irgendwie. Ist die Frage, ob sich dann sozusagen am dreiundzwanzigsten zwölften, das war dann der Samstag,danach auch noch die Arbeit gemacht haben. Das war ja sind kurz vor Weihnachten, da arbeitet man ja eigentlich nicht mehr, zumindest nicht Samstag.Und.Die Gerichte konnten keine Nachrichten mehr schicken an die Anwälte und die Anwälte konnten das B ja nicht mehr nutzen.Ähm ist natürlich jetzt nicht klar, was für Nachrichten ist, die die äh Gerichte am zweiundzwanzigsten zwölften abgeschickt haben.Und die die Anwälte nicht abrufen konnten, weil sie's halt noch nicht gemacht haben, bevor der Dienst abgeschaltet worden ist.
Linus Neumann 1:16:54
Und wir sehen jetzt von ganz Deutschland. Das ist schon so die ein oder andere Nachricht, die auch an einem zweiundzwanzigsten zwölften da noch rauswandert.
Markus Drenger 1:17:06
Ja. Wobei äh da muss man dazu sagen äh das Bea ist erst seit dem ersten ersten zweitausendachtzehn verpflichtend.
Linus Neumann 1:17:15
Mhm. Erst seitde.
Markus Drenger 1:17:16
Also seitdem äh müssen die Anwälte Kommunikation darüber auch zur Kenntnis nehmen.
Linus Neumann 1:17:21
Ah okay, das heißt, wir sind da noch man du warst noch in dem, in so ein.
Markus Drenger 1:17:27
Davor quasi, ja? Ich äh wenn ich jetzt doch mehr gesucht hätte und nach noch mehr Lücken finden wollte, hätte ich ja vielleicht noch länger gebraucht, aber äh ich habe erstmal all das, das gemeldet, was ich so hatte quasi.So zwischendrin, weil fertig mit dem Angucken waren wir ja noch nicht,hatten ja nur uns kleine Teile angeguckt von dem von der Software.
Tim Pritlove 1:17:52
Wie war denn so euer persönliches Verhältnis zur Brack zu dem Zeitpunkt? Also hat man euch da irgendwie ernst genommen oder oder sind die da so frei rotiert, dass ihr euch irgendwie so gar nicht als Gruppe wahrgenommen haben,Weil da ist ja dieser ganze Talk auf dem auf dem Kongress noch gar nicht gelaufen gewesen.
Markus Drenger 1:18:11
Genau, ich hatte am am zwanzigsten zwölften als ich es gemeldet hatte, hatte ich bei ihnen angerufen und nach einem Gesprächspartner gefragt.Bin dann nachmittags zurückgerufen worden. Äh und dann habe ich am Telefon äh geschildert, was ich für Probleme gefunden habe.Und darauf verwiesen, dass das BSI ja jetzt auch Bescheid weiß und die Liste auch in E-Mail-Form hat,Und das BSI hat dann äh die E-Mail, die ich ans BC geschrieben habe, äh an die Brack weitergeleitet und dann mit denen darüber gesprochen,zu dem Zeitpunkt war nahezu keine Kommunikation, außer ich hab das halt abgeliefert und gesagt da ist was,Und äh falls ihr Fragen habt, äh ihr habt ja meine Kontaktdaten, ihr könnt euch gerne an mich wenden, ihr könnt anrufen, ihr könnt E-Mails schicken,ich stehe da ja freundlicherweise zum Gespräch bereit.Ähm das ist dann auch erstmal nicht passiert. Also ich habe dann halt über Weihnachten nichts gehört.Ähm ich habe dann erst äh auf dem Kongress wieder davon gehört, als es am siebenundzwanzigsten zwölften eine Pressemitteilung gab.Ähm und dort wurde formuliert, dass eine nicht zur Rechtsanwaltschaft zugelassene Person äh angezeigt hat,äh dass sie in der kleinen Security, also die kleine Security ist das Kleinprogramm. Ähm,um auf das Bär System zu gelangen, ein Zertifikat kompromitiert habe. Also man hat.
Tim Pritlove 1:19:56
Kompromittiert hast. Was natürlich nicht stimmt, weil du hast ja nur darauf hingewiesen, wie die Ist-Situation ist.
Markus Drenger 1:20:03
Genau. Das heißt, es war einfach mal falsch und das äh klingt doch irgendwie böse, als wenn ich was Schlechtes gemacht hätte. Von daher äh war das gefühlte Verhältnis erstmal ein wenig angespannt.Ähm.
Linus Neumann 1:20:18
Ich hätte eh gedacht, dass die, wenn die sich so lange nicht gemeldet haben, wahrscheinlich irgendwo saßen und sich überlegt haben, welche rechtlichen Schritte äh sie gegen dich einleiten können, sind ja schließlich Anwälte, also da kennen Sie sich ja wahrscheinlich ganz gut aus.
Markus Drenger 1:20:29
Genau, jetzt äh war ich aus dem Kongress und äh äh habe dann dort mit Leuten gesprochen und äh äh das Medien äh die Presse war ja auch da unterwegs und äh,dann haben wir das auch in dem Talk, den wir äh dann hatten, also wir haben da eine eine Session aufgemacht, als als als Sambly,und mal kurz drüber gesprochen über das BA und auch da drauf hingewiesen, dass das ja so nicht richtig ist,und dann ist es halt auch über über äh heiße und und Spiegel rausgegangen,wir halt jetzt nicht die Bösen waren. Von daher dachte ich, okay, ich kann das erstmal so stehen lassen und habe dann aber ähm ich weiß es nicht genau, am achtundzwanzigsten oder am neunundzwanzigsten,auch nochmal angerufen,und nochmal nachgefragt, wie das jetzt zu verstehen ist, ja, ob sie mir da jetzt irgendwie Dinge wollen oder ob ich jetzt selber einen Anwalt brauche.Ähm und dann wurde mir gesagt, dass diese Formulierung, dass ich das Zertifikat kompromitiert hätte,Die Formulierung kam von einem Berater. Das haben sie also von ihrem Berater übernommen.
Linus Neumann 1:21:40
Mhm. Das waren dann wieder diese Berater von Cup Gemine, deren Rat, die ja schon so weit gebracht hatte oder wer war das.
Markus Drenger 1:21:48
Das weiß ich bis heute nicht. Das kann Atos gewesen sein, das kann Cut Gaming nie gewesen sein,Ähm ich weiß nicht genau, von wem die Formulierung bekam. Auf jeden Fall war dann auch auf jeden Fall auch klar, äh dass die Brack äh mir erstmal nichts möchte. Und da habe ich ein ein freundliches Gespräch geführt äh mit dem,weiß ich nicht, ist, war das der erste Vizevorsitzende oder sowas. Äh also einer, der da im Vorstand irgendwie für zuständig war und äh,Der hat sich dann auch bedankt dafür, dass ich Dinge gemeldet habe und nicht die Lücken verkauft habe. Von daher äh war dann das Verhältnis auch wieder äh,in Ordnung. Ähm,Ja und dann äh lief das ja im im Januar so weiter, da gab's dann irgendwie Krisensitzungen und Pressemitteilungen und äh dann sieckerten nach und nach immer mehr Infos nach.Ähm und äh die Anwaltschaft hat sich dann da irgendwie äh engagiert und äh Nachfragen gestellt und äh dann dann gab's halt da so innerhalb der Anwaltschaft so Tumulte quasi.
Linus Neumann 1:22:59
Keiner gewesen sein wollte, ne.
Markus Drenger 1:23:01
Ja und auch weil's mit jeder Pressemitteilung und mit jedem Release von Informationen schwieriger geworden ist,weil sie halt immer so, sagen wir mal überspezifische Dementis abgegeben haben oder Dinge veröffentlicht haben, die einfach so nicht richtig sind,ja äh und äh da gehört halt auch diese Ende zu Ende Verschlüsselung dazu. Äh,ne, wo es dann hieß, das sei hier alles sicher gewesen oder auch als sie gesagt haben, äh dass die Webanwendung hätte ja niemals Sicherheitslücken gehabt.Ähm da habe ich dann äh gesagt, okay, äh ich twittere das mal raus,und hab ein Video getwittert mit der XS-Lücke und dem Spruch aus der Pressemitteilung, dass die Webanwendung ja keine Sicherheitslücken enthalten.Ja, also diese.Sie haben halt einfach gesagt, das ist alles sicher und sie haben's halt versucht runterzureden und gesagt haben, das ist ja alles toll und äh.Dann äh haben sie sich irgendwann eine PR-Agentur beauftragt für sie die Kommunikation zu machen.Die PR-Agentur kamen auf die Idee einen einen Beaton zu veranstalten.
Linus Neumann 1:24:22
Bist du hingegangen?
Markus Drenger 1:24:23
Dann dachte ich mir, Beaton, das klingt ja erstmal wie so ein so ein Hackeson oder wo man sich mit Leuten zusammensetzt, mal Dinge baut oder ne, sich so anguckt ähm.
Tim Pritlove 1:24:33
Was war jetzt eigentlich die offizielle richtige Schreibweise? Da ging's bei Twitter ein bisschen hin und her.
Markus Drenger 1:24:37
Beaton ohne L. Also kein kein Biathlon, sondern ein Beaton.
Tim Pritlove 1:24:45
Mit TH. Mhm.
Markus Drenger 1:24:46
Mit TH und mit großem A wegen dem Anwaltspostfach.
Tim Pritlove 1:24:50
Weil es so besonders ist.
Linus Neumann 1:24:51
Und das war aber kein Hacke von, sondern irgendwie eine geschlossene Diskussion.
Markus Drenger 1:24:55
Das war eine geschlossene, eine Diskussionsrunde. Ähm ich hatte ihnen ja angeboten, dass ich dafür ein Gespräch bereitstehe.Dann bin ich noch mit zwei weiteren Chaoten äh dahin gefahren. Es war ein äh Weal-Life-Treffen in Berlin.
Tim Pritlove 1:25:12
Gab's da nicht erst noch so eine Auseinandersetzung dadrüber, ob dann über die Ergebnisse öffentlich geredet werden darf oder nicht.
Markus Drenger 1:25:19
Ja, da gab's auch Diskussionen drüber, genau. Ähm sie hatten halt eingeladen ähm,ähm hat die Brack und äh sie hatten uns ins Chaos eingeladen. Sie hatten dann noch verschiedene äh Kritiker eingeladen, die halt im Netz und online und,Pressemedien unterwegs gewesen sind. Äh sie hatten auch die Presse eingeladen,zumindest in Teilen, also da war jemand von der NOTW, also quasi die die Zeitung für Anwälte und äh dann ähm,den Hanno Böck von von Golem.
Tim Pritlove 1:25:54
Neue, juristische Wochenschrift.
Markus Drenger 1:25:58
Genau und ähm dann hatten sie halt irgendwie verschiedene Vereine, die halt so beteiligt sind. Also den EDV-Gerichtstag und äh den DAV im deutschen Anwaltsverein,und die die David, ist glaube ich die IT-Gruppe des deutschen Arbeitsvereins,halt Einzelpersonen und dann hatten sie noch Leute aus der Prag, Mitarbeiter aus der Brack,und sie haben einen neuen Dienstleister beauftragt, die äh Sekundet,Und die Sekunde soll sich jetzt den äh Bea kleint anschauen und das BA Gesamtsystem.
Tim Pritlove 1:26:39
Sekunde jetzt ist auch so ein Security Security.
Markus Drenger 1:26:41
Security Firma ja auch nicht auch nicht klein quasi auch ein bisschen größer.Und die saßen halt dann auch mit zu dritt da am Tisch.
Linus Neumann 1:26:53
Und dann wurde und dann wurde jetzt hast du eine ganze Menge Leute äh benannt und jetzt stelle ich mir vor, wie wie so eine Diskussion halt abgeht, ist äh da sitzen dann die Verantwortlichen,Und sagen, wie das aber alles gar nicht so schlimm und schauen sie bitte weiter, wir haben's ja, wir haben das Problem ja schon fast gelöst. Der größere Teil des Publikums, die da sitzen können, nicht beurteilen,was wirklich eine Lösung ist und äh sind also im Prinzip nicht in der Lage äh den Sachverhalter,Zumindest auf technischer Ebene einzuschätzen,Und das kann man sich doch im Zweifelsfall sparen, dahin zu gehen, oder? Weil dann wird da mit wird da vorleuten, die es nicht verstehen über Sachverhalte diskutiert, die der größere Teil derer, die sie diskutieren auch nicht versteht.
Markus Drenger 1:27:40
Es war ja gemischt, also es waren schon viele Leute dabei, die technisches Verständnis hatten und denen man Dinge erklären konnte. Ähm ursprünglich war er auch vorgesehen, dass Atos mit am Tisch sitzt.
Linus Neumann 1:27:53
Mhm. Die sind aber nicht.
Markus Drenger 1:27:55
Aber Asos ist nicht hingegangen.
Tim Pritlove 1:27:58
Also, der Hersteller dieser Software.
Linus Neumann 1:28:02
Die, die das alles.
Markus Drenger 1:28:05
Ja gut, ich meine, also wenn die ihren Anwalt gefragt haben, dann gehe ich davon aus, dass der ihnen gesagt hat, geht er, geht er lieber, geht er lieber nicht hin, ja? Also.
Tim Pritlove 1:28:12
Aber es ist ja schon bemerkenswert, wenn sozusagen noch man sozusagen ein, ein, eine Lösung des Problems der Software anstrebt und dann ist es noch nicht mal mehr das Unternehmen da, äh die diese Software macht.
Linus Neumann 1:28:24
Ich stelle mir dieses Unternehmen Arthurs irgendwie eh so vor wie wie äh vier in Loving in Las Vegas, ne? Als sein Anwalt muss ich dir raten, da lieber nicht hinzugehen. Na ja okay.
Markus Drenger 1:28:36
Naja, vielleicht möchte auch aber nicht der, der Projektmanager mit Namen daneben stehen. Ja, ich meine, Ados ist jetzt äh große Firma, ist jetzt ziemlich anonym. Wenn man jetzt da zwei, drei Leute hingeschickt hätte, dann äh wären die ja auch wahrscheinlich genannt worden.
Linus Neumann 1:28:48
Vielleicht hätten sie, vielleicht konnten sie die auch gar nicht mehr hinschicken, weil die längst nicht mehr beim Unternehmen waren.
Markus Drenger 1:28:53
Das kann auch sein. Aber wie gesagt, weiß ich nicht. Spekulationen. Äh von daher äh gab's dann erstmal eine kleine Diskussion um die Öffentlichkeit. Also wie kann man dort Dinge formulieren und was kann man nach draußen mittragen,und dann hieß es okay, also es darf alles gesagt werden und es wird dann halt nicht per Joe nicht personenscharf äh vom Halt aufgelöst, sondern nach Einrichtungen. Also jemand von der Prax sagte, was und,jemand vom Chaos sagt dir was.Ähm auch ein bisschen verständlich, weil äh die die Mitarbeiter, der Praktik zum Beispiel, da wollte man ja auch, dass die frei frei reden können, ohne anschließend in der Presse irgendwie da zu sitzen, ja, also,Wenn ihnen eine Verständnisfrage hatten, sollten sie auch mal dumme Fragen stellen können, um dir dann erklärt zu bekommen.Und dann wurde uns eine Lösung präsentiert. Hat eine Grafik gebaut.
Linus Neumann 1:29:50
Ziemlich genau gleichzeitig oder kurz darauf eine äh eine Pressemitteilung auch äh rausgegeben, ne? Sicherheit und Integrität sind wiederhergestellt.
Markus Drenger 1:29:59
Genau, äh Atos hatte an dem äh Freitagmorgen äh vor der Veranstaltung eine Pressemitteilung rausgegeben, dass alles toll ist. Was sie ein Update haben.Und ähm an dem Freitagnachmittag oder Mittag hat man uns dann präsentiert, wie sie das mit dem Zertifikat lösen möchten.Also man möchte jetzt äh dass der Clyand auf dem lokalen Rechner,ein Zertifikat für die Domain Bialog Los Punkt DE äh erzeugt.Dieses dann in den Trust Store importiert, sodass es als Ausnahme im Browser gebämigt wird.Also jeder Anwalt hat dann ein eigenes ein eigenes Zertifikat für diese Webseite und die Browser sollen das dann akzeptieren.Das ist natürlich quasi eine also es löst das Problem, dass man ein öffentliches, signiertes Zertifikat verteilt.Ähm es löst halt nicht das Problem, dass die API ein Problem hatte.Mit dem Unitokil Yourself oder auch nicht das Java-Problem. Ähm dazu hat auch die Pressemitteilung von Atos nichts gesagt. Das heißt, ich weiß bis heute nicht, ob das jetzt behoben wird oder nicht,Die sagen ja, dass mit dem Update alle Sicherheitsprobleme gelöst werden. Äh das Update ist aber noch nicht nicht verteilt.
Linus Neumann 1:31:25
Das wird übrigens über über jedes Update jederzeit immer gesagt, dass damit alle Probleme gelöst werden.
Markus Drenger 1:31:32
Ja. Von daher äh gibt's halt aktuell noch kein Update und äh äh ist halt halt nicht klar, welche Lücken gelöst worden sind,und dann haben wir halt angefangen die Lücken und Probleme zu formulieren, die wir gesehen und gefunden haben,ähm äh viele hatte ich ja jetzt auch schon angesprochen äh und dann gab's halt noch so andere Dinge, die in der Konzeption liegen, die jetzt überhaupt nicht mit der kleinen Software zu fixen sind,und dann haben wir halt gute dreieinhalb vier Stunden über mögliche Schwachpunkte in dem Konzept und in den Vorgaben gesprochen,äh und das war nicht ein ein offenes äh Gespräch und die äh Prag äh und ihre Mitarbeiter haben gut zugehört,und äh dabei haben wir halt auch nochmal das das HSM äh zu sagen gemeinsam aufgeklärt,Also es gibt da ja dieses ähm HSM in der Mitte mit den privaten Postabschlüsseln,und dann gibt es dafür Kikastodiens Schlüsselträger und wenn die zusammenarbeiten dann können sie halt auch darauf zugreifen.Und damit war halt auch klar, dass das halt nicht Ende zu Ende ist,dann gab es doch die Rückfrage, ob den Ende zu Ende ein geschützter Begriff sei oder ob man das nicht auch noch als Ende zu Ende verkaufen könnte. Ähm.Da haben wir dann einfach formuliert, dass äh die Bruckers nicht anfangen sollte, kryptografische äh Fachbegriffe äh neu zu definieren.Ja dann äh ja, haben wir noch ein paar andere Dinge aufgelistet und zwar gab's ja das EGVP. Das ist dieser Verbund und in diesem Verbund äh hängen halt zum einen die Gerichte, die Notare,Die Behörden,und dafür gibt's Vorgaben, wie die Nachrichten auszusehen haben und wie Nachrichten von nach B geschickt werden können. Es gibt auch ein äh ein Client für Bürger,mit dem sie halt Nachrichten schicken können an Gerichte und an Behörden und an Anwälte.Oder gibt's so Dinge wie äh jeder Bürger kann sich äh ein Konto klicken und darüber Nachrichten schicken.Und du brauchst dich nicht ausweisen. Du brauchst keine E-Mail-Adresse, du musst einfach nur Daten, Daten eingeben.Und dann kannst du da unbegrenzt Nachrichten schicken.
Linus Neumann 1:34:09
Das heißt, du sagst einfach, ich bin mein Name, mein Vorname ist Amtsgericht und mein Nachname ist äh was weiß ich, Friedrichshain-Kreuzberg.
Markus Drenger 1:34:19
Ja, das funktioniert. Und äh du kannst halt deine Mieterdaten, deine Kontaktdaten genauso aussehen lassen, wie eine Behörde, wie ein Gericht.Und wenn der Anwalt dann oder ein Notar äh im Verzeichnisdienst nach Amtsgericht sucht,wird er halt auch deinen Account finden.Und dann hat er so eine Tabelle mit ne, wie man das halt so kennt mit verschiedenen Feldern, äh wie man das aus dem Explorer kennt quasi und da kann man dann noch so Spalten einblenden und ausblenden und äh,beispalten könnte er dann vielleicht sehen, dass es kein echtes äh Behördenkonto ist, sondern so ein äh Bürgerkonto.Aber das ist halt auch sozusagen anfällig für Social Engineering. Also wenn jemand nicht geschult ist, wenn jemand nicht aufpasst, dann kann man da halt auch äh meinetwegen einen Schriftsatz eine Klage einreichen.
Tim Pritlove 1:35:18
Amtsgericht Kleinhackersdorf.
Markus Drenger 1:35:20
Und die halt an einen Hackersplay schicken oder an ein Bürgerkonto. Äh ich habe gehört, das hat jemand mal gemacht,und so ein Konto angelegt mit dem Namen Amtsgericht irgendwas und hat dann ein paar Monate später wieder reingeschaut und dann waren da halt diverse Schriftsätze von Notaren und von Anwälten drin,Also.
Linus Neumann 1:35:40
Ist, dass es das noch schlimmer, also das ist eigentlich na ja gut, was das Schlimmste Pro ist, ist jetzt wirklich schwierig bei dieser Anzahl Probleme das Schlimmste zu finden, aber spätestens hier ähm.Es geht eines der die besondere Zielsetzung bei dieser Kommunikation ist ja, dass sie rechtssicher sein soll,Ja, das ist ja im Prinzip als allererstes haben wir gesagt, wir wollen rechtssicheren,Verkehr haben und rechtssicher heißt auch ähm dass man eben so etwas wie das ist jetzt zugestellt worden und zwar dann und dann verbrieft hat,Und wenn da sich plötzlich irgendwie jemand registriert und einen Anwalt nach bestem Wissen und Gewissen mit seinem mit seiner neuen Software da eine Klage irgendwo einreicht,und am Ende eineDeadline da verzogen ist, ne? Weil jetzt irgendwie, was weiß ich, Widerspruchsklagerecht, Pipapo gab's nur bis dann und dann, oder die Erwiderung einer Klage, wo man nur einen Monat Zeit hat und du erwiderst, dass dann irgendwo anders hinund beim Gericht fällt der Hammer und sagt alles klar, äh hast nichts gegen die Klage erwidert, hast damit verloren und äh jegliche Möglichkeiten dich dann nochmal gegen zu wehren, äh sind laut Gesetz nicht mehr vorhandenda wird's ja dann da wird's ja dann richtig blutig.
Markus Drenger 1:37:00
Ja richtig. Also das kann halt richtig schief gehen, ne? Und äh,da hat man halt keinerlei Vorkehrungen getroffen, dass es nicht etwa, dass das irgendwie farblich markiert ist mit einem Warnschild davor. Achtung, du schreibst grad jetzt nicht an ein Gericht, sondern an einen Bürger. Ähm,da ist halt nicht drauf geachtet worden, es gibt das Konzept auch nicht her. Ähm das Gleiche ist äh sowas wie Spam-Schutz, gibt's da halt auch nicht,ja? Also du kannst halt mit einer Nachricht bis zu sechzig bis zu sechzig Megabyte absetzen.Und ich weiß, kleinere Amtsgerichte äh hängen zum Teil mit zwei Imbittleitungen an diesem VerwaltungsvPN.Und ähm wenn du die halt übers Wochenende mal voll machst mit ein paar Gigabyte,Dann sind die die nächsten Tage beschäftigt, äh die Nachrichten äh zu filtern, zu lesen, runterzuladen,Ähm und äh auch für die Anwälte wäre es halt ein Problem, weil die Anwälte haben ja eine passive Nutzungspflicht. Das heißt, wir müssen Nachrichten, die da ankommen auf dem Postfach,lesen und zur Kenntnis nehmen.
Linus Neumann 1:38:05
Äh da müsste doch aber eigentlich das äh okay, die müssen, die müssen jedes Spam, die dahin schickst, müsste nie gelesen haben, weil sie äh verpflichtet sind, aber die denen das das äh Postfach zuzumüllenwürde ja im Zweifelsfall,Dieses Webmail-Konzept verhindern, weil du das ja im Zweifelsfall die Nachricht aufmachst und erst in den Anhang guckst, wennDu musst wenn du jetzt irgendwie mehrere kriegst mit ein paar Gigabyte, dann wüsstest du halt okay, ich schreibe jetzt zurück, der Anhang ist zu groß, ich kann den nicht öffnen oder so,würde man ja.
Markus Drenger 1:38:39
Du kannst ja also pro Nachricht maximal sechzig sechzig Megabyte abschicken.
Linus Neumann 1:38:43
Ja, was ja schon ziemlich.
Markus Drenger 1:38:44
Ähm du hast aber das Problem, dass wenn ich dir jetzt einfach mal von äh sagen wir mal zehntausend Konten mit echt aussehenden Namen, Nachrichten schicke,dass du nachher die echten nicht wiederfinden kannst. Also die mit Fristen und da wo du schnell schnell schnell schnell drauf reagieren musst. Also da hast, hast du einfach ein.
Tim Pritlove 1:39:07
Genau die als Spam identifizierst, die halt keine sind und so, ne? Ja, ja.
Linus Neumann 1:39:12
Heiße, heiße Richter aus deiner Nähe wollen Urteile begründen.
Tim Pritlove 1:39:15
Make-Paragraph Paragraph Paragraph Fast.
Markus Drenger 1:39:20
Ja oder du sagst sowas wie, weiß ich nicht. Eher eh Klageweg oder eher E-Klage oder äh weiß ich nicht, äh Akte XY, was auch immer, ja. Oder Rückfrage äh,da weiß ja keiner, was dann sozusagen echt ist und was nicht äh und ähm,Dann gibt's halt noch so Dinge wie äh für die Gerichte ist vorgeschrieben, welche Dateiformate man an sich schicken darf,da haben sie sich so ein bisschen Mühe gegeben. Also es sollen demnächst nur noch äh Varianten sein, wo halt auch der Text mit drin ist. Also für barrierefreie Dinge. Aktuell ist aber noch äh sozusagen als Format erlaubt,oder PDF und PDFA.Das heißt, äh da hat man festgelegt, welche Dateitypen akzeptiert werden von den Gerichten, damit sie die auch öffnen können und wahrnehmen können.Ähm für die Anwälte gibt's sowas nicht, also theoretisch kannst du einem Anwalt alles schicken und der muss dann selber überlegen, ob das äh ob das Risiko eingeht, draufzuklicken oder nicht,wenn ich jetzt sage äh Schriftsatz Punkt Exe.Das kann ja jetzt auch ein eine Anwendung sein, wo der Text aufgeht, ne? Ich kann ja eine Anwendung schreiben, die einen Text anzeigt. Das kann ein gültiges Dokument sein quasi.
Linus Neumann 1:40:44
Stimmt, aber da verlassen wir ja langsam äh das Problemfeld, was hier, wo man sagen würde, das ist äh äh beaspezifisch, oder?
Markus Drenger 1:40:56
Ja genau, das ist sozusagen EGVP spezifisch jetzt, weil es gibt halt für diesen EGVP-Verbund entsprechende Vorgaben.Oder man hätte ja auch für das B ja entsprechende Vorgaben machen können, wie Dinge auszusehen haben,Ähm besonders lustig ist es ja bei PDF. Ich habe jetzt äh gelesen, ähm habe einen schönen Artikel über das äh OLG Zelle. Das Oberlandesgericht,hatten sich jetzt extra äh wegen dem BA äh neue Drucker geholt,weil die kriegen jetzt zwar dann elektronisch Post geliefert von den Anwälten äh haben aber selber keine E-Akte.Das heißt, die müssen alles, was elektronisch eingeht, wieder ausdrucken.Die drucken halt so neuntausend Seiten am Tag oder so.Ähm das heißt, die nehmen also massenweise elektronische Nachrichten und drucken die aus.Bei den Dateiformaten hat man halt auch noch das PDF erlaubt. Und PDF ist ja jetzt ein Containerformat, da kannst du alles reinwerfen. Das ist Touring Complete,du kannst da drin halt äh,ja äh ein Video einbetten. Du kannst auch im Mindcraft spielen. Du kannst einen Deluxe buchen, wenn du möchtest,Ähm du kannst halt aber auch einfach dafür sorgen, dass die Version, die am Bildschirm angezeigt wird, eine andere ist, als die als die, die ausgesucht wird.Das heißt, äh, wenn man ein PDF nimmt und das ausdruckt, hat man keine Garantie, dass es genauso auf auf dem Papier aussieht, wie es auf dem Bildschirm aussieht.
Linus Neumann 1:42:37
Ähnlich wie man bei Webseiten das manchmal hat, dass es dass man eine Printversionein Print CSS nennen kann und das dann man glücklicherweise, wenn man sich das Internet ausdruckt, eben nicht die ganze blinkende Werbung mit drauf gedruckt kriegt, sondern äh tatsächlich eine eine die gleiche Seite in einer Textvariante,ausdrucken kann in manchen Fällen. Und das kann man bei PDF auch machen und deine Idee wäre wahrscheinlich jetzt zu sagen, ich schicke dir ein PDF was auf dem Bildschirm drei Seiten sind,Und wenn du auf Drucken drückst äh brauchst du einen neuen Toner.
Markus Drenger 1:43:13
Genau. Oder du äh änderst einfach den Inhalt, ja, sowas.Die Summe auf sozusagen, ich verklage jemanden auf fünftausend Euro oder ich verklage jemanden auf fünfzigtausend Euro oder ich nehme die Klage zurück oder ich erhalte sie aufrecht. Da kann man ja verschiedene Späße mitmachen,Ihr könnt auch einfach den Text mit der Uhrzeit ändern lassen.
Linus Neumann 1:43:33
Geil. Das wäre schön ins, also quasi du schickst du du schickst, du weißt in Zelle, drucken sie es aus und sagst, nee, Klageerwiderung oder oder Pipapo?Und äh die in CC schickst du quasi deinem deiner gegnerischen Partei, ja, ja, ist in Ordnung. Äh wir geben alles zu. Äh wir wir einigen uns außergerichtlich auf ähSpeti am am äh irgendein Sterni, am Späti oder so, ja. Und in Celle sagen sie, okay, jetzt wetzen wir die Messer und äh jetzt geht's hier richtig rund.
Markus Drenger 1:44:03
Genau, ansonsten du kannst auch Zip-Dateien schicken. Ich weiß nicht, ob jemand schon mal böse Dinge mit mit Zippertank gemacht hat.
Tim Pritlove 1:44:09
Soll schon mal vorgekommen sein.
Markus Drenger 1:44:12
Ja ne, von daher ist da sozusagen geht da viel und ähm,Wir hatten uns ja, wir hatten jetzt sozusagen weder den Quellcode von der Software äh noch irgendwie äh alle Module und wir haben es auch nicht nicht die Server angeschaut, sondern wir hatten halt, wir waren auch am Anfang der Analyse quasi,hatten halt von einigen Ecken mal drauf geschaut und draufgeklopft und.Umso mehr man draufschaut, umso kaputter ist es halt.
Linus Neumann 1:44:43
Ja, wenn du so, wenn man solche fundamentalen Fehler schon findetdann will man manchmal gar nicht erst in die in die kleinen feinen Ecken schauen. Braucht man zu dem Zeitpunkt vielleicht auch noch gar nicht, ne? Ist ja vielleicht der, dass dasalso der der wird noch viel zu holen sein und jetzt würde mich auch echt mal interessieren,Also vielleicht sollten wir einmal noch schauen so der Chaos-Computerclub wurde ja auch da irgendwie ähm an mehreren Stellen.Ja in unterschiedliches Licht gerückt, ne? Also es geht los mit das sehen wir erst erst gesagt wurde, du hättest das Zertifikat kompromitiert, äh dann äh las ichJa, der Chaos-Computerclub hätte ja, man hätte ja den Chaos-Computerclub gefragt, ob man in dem Bereich zusammenarbeiten könne, was war da eigentlich alles los.
Markus Drenger 1:45:39
Also äh das hat so ein Ding, das habe ich erst aus der Presse erfahren quasi. Äh da war ich ja nicht beteiligt. Es hieß irgendwie äh die Blackwehr mal auf den CCs zugekommen und hätte gefragt,ob der City sich das mal anschauen könnte und äh das wäre irgendwie nicht zustande gekommen.
Linus Neumann 1:46:00
In der Form durchaus sein kann. Wer jetzt nicht verwunderlich, weil es kommen häufig Leute zum CCC und wollen irgendwas und dann kommt das nicht zustande. Bis dahin äh kommt mir die Geschichte ja noch ganzganz nachvollziehbar vor. Allerdings wird ja, wie gesagt, der CC habe Bedingungen gestelltUnd zwar lese ich äh in ähnlichen Verlautbarungen der Rechtsanwaltskammer Hamburg und der Rechtsanwaltskammer Hamm,äh dass man wohl behauptet hätte, der CC hätte die Bedingung gestellt, dass er die, dass er nicht alle Ergebnisse der Brack wieder zur Verfügung stellt,Was ich es ehrlich gesagt für absoluten Unsinn halte.
Markus Drenger 1:46:44
Genau, also es steht ja irgendwie so halt drin in der äh also es gab eine Krisensitzung der Rechtsanwaltskammern und der Brack,und die Präsidenten waren halt alle da und haben mich dann halt an äh haben Fragen gestellt und äh da gab's dann diese Info,dass es im Jahr zweitausendfünfzehn die Überlegungen gab, das BA System im Rahmen des Chaos Communication Camps testen zu lassen.Äh und ähm.Dann gab es vor Bericht, was gab vor Presseberichte, die auch sagen, darüber berichtet hätten und dann sagt die Brack, ja, also entgegener Berichte,ähm hat die Brack keine Zusammenarbeit abgelehnt,viel mehr sei es so gewesen, der CTC hätte keine verbindliche Zusage abgegeben, dass die Brack alle Testergebnisse bekommt.
Linus Neumann 1:47:39
Was, also sorry, das ist auf so vielen Ebenen einfach falsch und kann, also erstens,wenn wir ein Camp machen, ja, dann machen wir das alle vier Jahre und das Letzte, was wir auf so einem Camp machen, ist irgendwelchen Schrottprüfen, den irgendjemand dahinschleppt,Ja? Und diese Diskussion haben wir auch nicht zum ersten Maldiejenigen, die sich mit den äh Diskussionen des CC äh näher auseinandersetzen, kennen da auch bestimmte Geschichten vom Camp zweitausendelf, wo auch mal äh diese Idee im Raume stand, man etwas sei jetzt geprüft, äh weil es beim beim Camp war oder soDie Anspruchshaltung an uns heranzutreten, äh dass wir irgendetwas prüfen ist sowieso grundsätzlich eine falsche, weil der Chaos-Computerclub das noch nie getan hat und auch niemachen wird, dass er irgendetwas prüft und nachher sagt, das ist jetzt sicher ähUnd damit ist es fertig, wenn wir etwas machen, dann machen wir es genauso, wie du es getan hast, nämlich wir nehmen uns das einfach und sind, wenn wir, wenn wir gut drauf sind, noch so freundlich vorher dem BSI Bescheid zu sagen,so wie wir es auch irgendwie bei der äh bei dieser Wahlgeschichte gemacht haben.Aber also wer wer kommt denn auf die Idee ausgerechnet beim Camp mit irgendjemandem zu reden, also mit,also CC ist ein großer Verein, kann sehr gut sein, dass sie mit irgendjemandem geredet haben. Ähm und dann irgendwie,und dann auch noch irgendwie zu behaupten, wir würden die Ergebnisse geheim halten. Ich meine, wenn wir eine Sache nicht machen, dann ist es Sicherheitslücken geheim halten. Also da wäre da werde ich auch so ein bisschen ähm knatschig,wenn dann diese komische dieses komische Hin und Her Lavieren äh dann auch noch in dem Bereich geht, uns zu unterstellen. Wir würden äh Sicherheitslücken geheim halten. Das Gegenteil ist der Fall,Wir hauen immer alles raus und nachher quengeln alle.Also ich glaube, was sie eher meinen ist, dass der CC ihnen gesagt hat, wenn wir uns das anschauen, dann nehmen wir da erstens kein Geld für und zweitens machen wir es öffentlich. Und ich glaube viel eher, dass das die, dass das der äh der Brack nicht gefallen hat, dagefällt nämlich keinem, deswegen kommen die Leute auch, wenn sie eine Sekunde nachdenken, nicht zu uns. Um Sachen prüfen zu lassen.
Tim Pritlove 1:49:58
Genau, weil da werden keine NDAs unterschrieben und da gibt's sonst auch keine äh Einschränkungen und vor allem und das muss man vielleicht an der Stelle auch gleich nochmal sagen. Diesesgelaber mit der CC. Also da gibt es überhaupt gar keine Entität,die man so nennen kann, an die man sich da wenden könnte, ja? Also nicht nur, dass das jetzt einfach Vereinspolitik ist, grundsätzlich schon bei solchen Sicherheitsüberprüfungsklimbimlebe wohl zu sagen, schlicht und ergreifendallein schon, also abgesehen von der philosophischen Ebene, dass so Sicherheitsfeststellungen immer eine sehr vergängliche Geschichte sind, ja? Und wir sozusagen in dieser Außendarstellung überhaupt nicht diese diese Siegel, aber der CCC hat ja gesagt, das ist ja sicher, das wollen wir überhaupt gar nicht verteilen. Äh kommt natürlich noch was ganz anderes dazuMan ist ja jetzt nicht im CC angestellt, das ist ja keine Mitarbeiter, das ist auch kein Security-Unternehmen, das ist auch keinkein, kein, kein Club, der sich ausschließlich nur an äh mit Security beschäftigt, auch wenn das immer ein großes Thema ist. Aber äh würde man so etwas machen, müsste man das ja theoretisch dann auch noch gegen Geld tunund äh das geht schon mal gar nicht, weil wenn du erstmal anfängst äh äh Geld in in so einen Verein, so so eineGemeinschaft reinzutragen, das ist natürlich die beste Methode, die sie dann auch äh in dem Zuge zu zerstören. Deswegen ist das einfach mal alles,Jenseits von irgendwas.
Linus Neumann 1:51:22
Also merken sie sich bitte, liebe äh alle lieber euch bitte alle der CCC zertifiziert grundsätzlich nur Unsicherheit, dann aber in voller Öffentlichkeit und ehrenamtlich.
Tim Pritlove 1:51:35
Genau und aus eigener Initiative heraus.
Linus Neumann 1:51:38
Wenn wir dazu Lust haben, wenn wir nicht gerade campen gehen, also allein die Idee beim Camp, als wenn sich die Leute, ja okay, da haben wir glaube ich jetzt.
Markus Drenger 1:51:46
Ja vielleicht so zwischen Aufstehen und Frühstück oder so.
Linus Neumann 1:51:49
JaMann, Mann, Mann.
Tim Pritlove 1:51:55
Besser jetzt? Nee, aber es ist äh ich meine gut, für uns ist es eine eine Selbstverständlichkeit, wahrscheinlich muss man das halt auch einfach nochmal äh betonen.
Linus Neumann 1:52:05
Ja, aber es ist, es machtdieser es ist schon auch wirklich es ist einfach sehr sehr schlechter Stil am Ende dann da immer also was jetzt die Brack machen muss ist,einsehen und ich glaube diesen diesen kleinen Joke haben wir diese kleine Kirsche für oben auf der Sahne, haben wir uns ja bis jetzt aufbewahrt. Was hat der ganze Spaß bisher gekostet?
Markus Drenger 1:52:29
Also ähm sie haben äh jetzt im Januar äh im Rahmen der ganzen Nachfragen der Anwälte,auf ihrer Homepage veröffentlicht, dass sie dafür bislang zwanzig Komma fünf Millionen Euro an Atos gezahlt haben,also zwanzig Komma fünf Millionen Euro, um Nachrichten von A nach B zu schicken, mit ein bisschen Krypto.
Linus Neumann 1:52:52
Das ist so.
Tim Pritlove 1:52:54
Das ist noch nicht mal gut.
Linus Neumann 1:52:55
Und das in so kaputt. Das von also Tim, wir sollten echt.Wir sollten den Job wechseln. Ich meine, so ein, also wenn du für so einen Schrott da draußen,Zwanzigeinhalb Millionen bekommst, ne, dann sind das dann dann würde ich echt sagen, dann ist Goldgräberstimmung gar kein Ausdruck. Das mit dieser Digitalisierung, ne? Da ist eine ganze Menge Musik drin, Tim.
Tim Pritlove 1:53:19
Meinst du.Keine Illusion, so war das schon immer und insbesondere wenn so goovermental unterwegs ist, dann hat das irgendwie sehr viel mit äh Esablishment und wer kennt wen?Zu tun und dann werden da halt die absurdesten Aufträge gemacht und wenn man mal Glück hat, kommt noch irgendwas bei raus, was vielleicht auch noch funktioniert. Im Computerbereich, eine zunehmende Maße auch auf der systemischen Ebene, siehe Flughafenähm ist selbst das noch nicht mal mehr ähm wahrscheinlich. Und wir haben da auch, glaube ich, ein generelles,Problem an der Stelle, was über diese ganze BA Sache hinausgeht jetzt. Das ist einfach,Manchmal fragt sich ja auch wirklich warum, warum.
Linus Neumann 1:54:08
Warum kann so was glaubst du? Markus, warum kann sowas zweitausendachtzehn noch schieflaufen? Woran, also das Desaster ist ja kaum zu beschreiben.In seiner Pracht? Wie kommt das.
Markus Drenger 1:54:25
Na ja, ich äh finde, das ist quasi ein ein Musterbeispiel für Egoverment Projekte,also ähnlich wie bei die E-Mail oder anderen Erfolgsprojekten,äh lief es halt so, dass man äh komische Anforderungen stellt,und die erstbar von Juristen formulieren lässt, bevor man drüber nachdenken, als jeder zu beschäftigen,und dann macht man schon in den juristischen Vorgaben ähm sieht man Grenzen und Schranken ein,dass äh bestimmte Architekturen und Lösungen gar nicht mehr genutzt werden können,Also tischt die Vorgabe, jemand muss auf ein fremdes Postfach zugreifen können und nicht auf die Nachrichten heißt ja schon, dass ich auch Retrograd die Nachrichten umschlüsseln muss, wo der einschlüsseln können muss,und da fallen halt dann so dezentrale Lösungen weg, ja? Ähm!Dann hat man auch während der Softwareentwicklung äh dreimal das Gesetz geändert und die Anforderungen geändert.Ähm und äh es war ja auch keine offene Ausschreibung, sondern man hat so ein paar Firmen angefragt, von denen sich dann ein paar wieder gemeldet haben mit dem Angebot. Und wenn man sich so die Player anguckt, die dabei sind,sind das halt die üblichen Verdächtigen. Also die, die immer solche Projekte machen.Und dann ist halt der eine dafür da, das Projekt umzusetzen und der andere berät, unter anderem prüft.Und dann kann man ein paar Mal wüfeln und die machen glaube ich alle solche Projekte in wechselnder Konstellation.
Linus Neumann 1:56:11
Ich würde vorsichtig sagen, dass wahrscheinlich auch jede also allein schon aufgrund dieser kruden,mit teilweise Kruden gesetzlichen Anforderungen, die eben sich in technischen Realitäten nicht sauber umsetzen lassen, wahrscheinlich seriöse,Unternehmen auch einfach sagen nee komm, machen wir lieber nicht. Das riecht hier nach nach Schmerz.
Tim Pritlove 1:56:39
Kommt da noch einer vom CSC vorbei und schaut sich das an.
Linus Neumann 1:56:42
Ja, das geht nicht, das, das, das, das ist ein, das, das wird schwierig und da können wir uns am Ende nicht mitschmücken.
Markus Drenger 1:56:48
Ja? Also ich äh hatte auch ähm sozusagen vor dem Beaton auch mal mit dem äh Bundesministerium gesprochen,die sagten halt auch, ja, also ihr Zuständigkeitsgebiet wäre ja jetzt erstmal nur das BR und sie müssten dafür sorgen, dass das BA wieder läuft,ähm das aber sozusagen die Technologie, die sie vorgeschrieben haben, das EGVP über das USCI, sowas wie Spam-Schutz nicht kennt und dass die Vorgabe für das PDF-Format äh daneben ist,Das war ihnen erstmal egal, ja? Also äh das sozusagen darunterliegende Techniken, die sie vorgegeben haben, nicht geeignet sind, das Bier oben drauf zu bauen.Dass äh wird er halt nicht gesehen, ja? Also jede Abteilung macht quasi ihr System, ihr ihr Layer,Aber das Gesamtkonzept wird nicht betrachtet. Ja, ich meine, wenn man auf einer grünen Wiese angefangen hätte,Ja, ich meine, Krypto von A nach B zu machen, das ist halt nicht schwierig, ja. Das hätte man halt auch in einem Monat liefern können quasi. Ähm aber durch diese Vorgaben, die man da reingesetzt hat,hat man halt alles das, was so praktisch und einfach wäre, verkompliziert und kaputt gemacht.
Linus Neumann 1:58:09
Wasch mich nicht, aber mach mich nass. Ist so irgendwie das die Bestellung gewesen.
Markus Drenger 1:58:13
Ja. Also wir hätten gerne Ende zu Ende, aber bitte mit Matten the Mittel in dem, ne? Das ist also so ein bisschen was von beiden.
Tim Pritlove 1:58:25
Tschau. Woran lieg.
Markus Drenger 1:58:27
Und äh ja, das Ergebnis ist ja jetzt, dass man jetzt äh die E-Mail benutzt, ne? Also.
Linus Neumann 1:58:33
Hi
Markus Drenger 1:58:35
Da ist ja das äh Manson Mittel schon eingebaut, aber.E-Mail funktioniert ja und ist ja als sicherer Übertragungsweg akzeptiert.
Linus Neumann 1:58:45
Mhm. Das war genau das Gesetz, zu dem ich damals zweitausenddreizehn nochmal im Rechtsaus.
Markus Drenger 1:58:49
Man muss seine Sachen nicht mehr mehr signieren, man muss sie einfach nur abschicken und weil man sie über das BA verschickt äh hängt sozusagen die Unterschrift schon mit dran, ja? Das ist also ähm.Anders ist natürlich wieder ein Closed Source Projekt, äh man hat da irgendwie so Dinge zusammengeschustert und ich meine, wenn man das äh Open Source gemacht hätte, äh hätte man das so nicht gebaut,also wer käme auf die Idee in eine Open Source Software den Private Key eines Zertifikats einzubauen. Also spätestens da wäre es ja aufgefallen,Ja, also.
Linus Neumann 1:59:29
Spätestens bei denen die äh Beginn Private Key suchen regelmäßig über Gitap laufen lassen. Ähm wer es dann früher oder später aufgefallen,war das Zertifikat eigentlich ähm haben die sich irgendwie wenigstens noch Mühe gegeben, das Zertifikat irgendwie zu verstecken in der Software? Äh haben sie da, musstest du da irgendwie ein bisschen Opfer scation wegpulen oder lag das einfach direkt im,mit in der mit dem.
Markus Drenger 1:59:58
Ähm also man kann natürlich Zertifikate und Schlüssel äh darüber Recovern, indem man äh den Memory von dem Prozess droppt,und danach äh Kies sucht. Da gibt's ja äh gängige Skripte und Programme für. Das heißt, man muss gar nicht äh sich die Software anschauen,sondern es reicht ja einfach aus dem Rahmen den Schlüssel rauszuziehen.
Linus Neumann 2:00:22
Und das muss aber okay, sorry.
Markus Drenger 2:00:25
Ja? Äh ansonsten liegt das Zertifikat als äh Java Keystore äh in einem Jahrfeil.Das Passwort ist ja natürlich dann hardcodet irgendwo im Programm drin,und wenn man sich da so zu Mitstrings diese Geschichte mal anschaut, dann hat man da ein wenig offiziell betrieben.Also und Base vierundsechzig hat man dann da so einen String drin, äh wo dann äh das Passwort drinsteht.
Tim Pritlove 2:00:59
Darf ich das nochmal kurz übersetzen, was ihr da gerade redet?
Markus Drenger 2:01:02
Ja, gell.
Tim Pritlove 2:01:05
Also man kann sich Mühe geben, diese privaten Schlüssel irgendwie zu verstecken in seinem Programmkurt, aber es gibt genug Werkzeuge, um die dann trotzdem zu finden und egal, wie sehr man das verschleiert, es hilft alles hilflich wenig. Die gehören da nicht rein.
Linus Neumann 2:01:17
Hat Thorsten auch nochmal äh ausführlich erklärt in der äh PC Wahlfolge von Logbuch Netzpolitik oder unserem äh Vortrag mit Martin beim beim Kongress, der ja irgendwie auch von,Tim und Thomas hier dankenswerterweise mal F empfohlen wurde.
Tim Pritlove 2:01:35
All das immer wieder dieselbe Geschichte.
Linus Neumann 2:01:36
Immer wieder das Gleiche und ja. Glaubst du, das ist zu reparieren.
Markus Drenger 2:01:44
Ähm also ich glaube, dass sie die Lücken, die ich gefunden habe und geportet habe, die können sie sicherlich wegpatchen.Ähm ist die Frage, ob das dann alles ist.Also ich habe halt echt nur Bruchteile mir angeschaut. Ich habe ja keinen vollen äh Code Outlet gemacht.Von daher gehe ich davon aus, dass wenn das Ding wieder online geht, dass da viele Interessierte draufgucken und dass das nach drei, vier Tagen wieder kaputt ist,Ähm also,prinzipiell müsste man aber auch an dieses gesamte Konzept ran. Und äh mal drüber nachdenken, ob man nicht für sichere Nachrichten von A nach B,andere Lösungen bauen möchte. Ich meine das haben ja auch andere, ja? Also nicht nur die Rechtsanwälte haben so ein System, auch die Notare und demnächst auch noch die Steuerberater,ich hab gehört Ärzte haben auch so 'n System um Nachrichten von A nach B zu schicken und ich glaub unsere Steuererklärung geben wir auch mit so 'ner toll tollen Software ab,und da gibt's halt so hunderte von Einzellösungen um Nachrichten von nach B zu schicken.Ähm ich meine mit dem Eper, so hat man's verkackt und mit dem die E-Mail-System auch.Es wäre eigentlich ganz schön, wenn man einen universelleren.Open Source Dienst hätte, die einfach mal Ende zu Ende Krypto macht und das ohne Ausnahmen.
Linus Neumann 2:03:22
Möglichst nicht in irgendeinen Browserfenster.
Markus Drenger 2:03:29
Von daher äh Public Money, Public Code, äh Quellcode veröffentlichend von öffentlicher Software äh Outits machen und äh keine halben Sachen bei der Sicherheit.So mein Wunschzettel dafür.
Tim Pritlove 2:03:48
Können das nur, äh, wir können das nur unter äh schreiben. Das ähm ja, was machen wir da jetzt draus? Minus aus dem ganzen Paket. Also,Jetzt haben wir das mal so ein bisschen ausführlicher auseinander äh klamm büsernd,und stellen eigentlich fest, es ist eigentlich alles so im nicht mehr zu retten Bereich.
Linus Neumann 2:04:13
Schade um das schöne Geld, ne?
Tim Pritlove 2:04:15
Das schöne Geld. Also, um das vielleicht nochmal.
Linus Neumann 2:04:18
Aber ist ja nicht weg, das ist jetzt nur woanders.
Tim Pritlove 2:04:20
Ja, das fördert ja auch alles die Wirtschaft und so. Ähm,Was du eben gerade nochmal gesagt hast, so es gibt ja auch noch die und die haben ja noch das und die haben ja nochmal das. Ich hätte das glaube ich schon äh als wir hier beim Logbuch des ersten Mal drüber gesprochen haben,Auch schon gesagt, dass meiner Meinung nach es hier einfach schon ein systemisches Problem gilt. Wie kann es sein, dass eine Bundes,Bundesrechtsanwaltskammer den Kompetenz im Bereich Organisation von Rechtsarbeit,oder Interessenvertretung oder was da alles noch äh auf dieser Kammer so behandelt wird, da weiß ich gar nicht so viel dadrüber, weil ich mich halt nicht mit Rechtsanwältenkram auskenne, aber,Die kennen sich halt auch nicht mit wie,installiere ich eine zukunftsgemäße zukunftskonforme, zeitgemäße IT-Infrastruktur,mit äh hochproblematischer in einer hochproblematischen Umgebung, sprich Internet ähm.Die hat die hat sowas gar nicht zu machen,Also meiner Meinung nach ist einfach diese Bundesrechtsanwaltskammer insofern jetzt hier auch so ein bisschen frei zu sprechen, weil der einfach eine Aufgabe übergestülpt wird, die sie meiner Meinung nach überhaupt nichts zu lösen hat,ist ja kein rechtliches Problem, sondern es handelt sich hier um ein Problem der IT-Infrastruktur des öffentlichen Rechts,Es ist verdammt nochmal die Pflicht einer Bundesregierung oder sagen wir mal des Staates,hier die notwendige Unterstützung, Planung und Übersicht zu liefern, genauso wie das für unser Straßensystem,auch getan wird. Es gibt da Autobahnmeistereien, es gibt da eine Straßenplanung, es gibt dann Verkehrsplan, es gibt da irgendwie klare Regelungen, Standards et cetera und in bestimmten Rahmen existiert so etwas ja auch,Aber es ist halt einfach entweder alles zu klein, klein,falschen Ministerien unterstellt oder eben einfach mit viel zu wenig Durchgriff vorhanden. Es so eine Infrastruktur muss einfach generell für den öffentlichen Bereich geplant, gebaut.Möglichst öffentlich gebaut,und dann eben auch betrieben werden, damit nicht irgendwie jede kleine Kammer und jede kleine Entität, die irgendwie in diesem ganzenund in diesem ganzen körperschaftlichen, öffentlichen Geflechten geflecht unterwegs ist mit Auftrag sich immer wieder selbst mitdenselben Problem auseinandersetzen muss, die man zentral sehr viel besser und sinnvoller lösen kann.
Linus Neumann 2:07:05
Ich weiß aber ehrlich gesagt nicht, ob das jetzt wirklich die Qualität dann verbessert hätte. Also ich glaube, wenn das jetzt hier äh nicht von der Rechtsanwaltskammer, sondern vom Staat gebaut worden wäre, dann hätte es halt statt zwanzig Millionen, hundertzwanzig Millionen gekostet und wäre trotzdem nicht besser gewesen,Also ich ich habe die wahrscheinliche meine Sorge ist tatsächlich einfach ähm das ist der, dass es hier an der.
Tim Pritlove 2:07:31
Wollte ich damit auch nicht sagen, dass es damit automatisch besser wäre, ja? So an die Qualität ist nochmal eine andere Frage, aber du kriegst es sicherlich nicht dadurch gelöst, dass irgendwie d,Gruppen, die da überhaupt komplett Themenfern sind äh äh und insgesamt vielleicht einmal ein großes Budget haben, aber danach wieder äh weder die Kohle noch die Bereitschaft, irgendeine Sicherheit dann auch noch zu aktualisieren oder es irgendwie an diedie hohe Geschwindigkeit des Internets Fortschritts anzupassen. Das das ist einfach von vornherein eine Totgeburt.
Linus Neumann 2:08:00
Vielleicht könnte es aber auch so sein, sage ich malDer Staat als Kunde, ne? Also normalerweise, wenn jetzt jemand zu dir kommen würde und sagt, hör mal, ich habe mir das so und so überlegt, dann würdest du vielleicht kurz sagen, guck mal hier,der geht so nicht, ne? Das ich kann ja gut verstehen, dass sie das haben möchten, aber diese Feature-Request, den sie da haben, den kann ich ihnen nicht erfüllen, weil es gibt ein paar Sicherheitsregeln, die mir verbieten, sowas zu tun,Ähm bitte nehmen sie von der Idee Abstand, dass hier als Web äh Scherz zu machen, äh lassen sie uns bitte eine ordentliche,Applikation bauen und dann machen wir hier vernünftige BH-Nachrichten, ja? Damit wir es ja,hätte in meinen Augen äh den meisten zu Gewinn gebracht, ja. Ähm,Der Staat aber der der schreibt sich ja schon von vornherein rein, der der quasi das das Pflichtenheft für den Softwarehersteller war ja hier Gesetz,Du konntest ja nicht mehr sagen, RFC hast du nicht gesehen, spricht aber dagegen, dass das geht, denn haben die gesagt, ja, nee, aber Paragraph so und so spricht dafür, dass das geht, muss gehen,dass da da glaube ich, da hat schon von den Anforderungen her.
Tim Pritlove 2:09:10
Ja gut, aber das ist natürlich auch die Folge davon, dass diese Anforderungen vollkommen getrennt von der Durchführung gemacht werden.Ja, also,du du trennst da etwas auf, was man so nicht nicht trennen kann. Also so eine Regelung würde in dem Moment nicht entstehen, wo man dann sich wirklich auch mal konkret um und das muss dann irgendwie auch auch wirklich laufen. Ich finde auch die Grundanforderungen sind halt so ein bisschen falsch. Man pickt sich zwar sohier und da das Richtige raus,Aber grundsätzlich so diese Koexistenz mit dem Internet und das muss sozusagen auch in so einem, so einem Reword-Envarment laufen. Ähm,ist alles nicht da. Also ich habe da nicht alle Lösungen, aber ich denke, es ist klar, dass wir im Prinzip,staatliche organisierte Internetinfrastruktur für öffentliche Körperschaften nachdenken müssen.
Markus Drenger 2:10:04
Ja, also es ist ja auch sozusagen ein bisschen gemischt gewesen als Gesetz, als solches ist ja Technik neutral formuliert,Und dann gibt's dazu so Vorordnungen und Erlasse und die werden ja schon sagen wir mal im, im Dialog mit den Betroffenen erarbeitet, ja,Also da hätte man wahrscheinlich was machen können, aber äh,Vorgabe ist ja Vorgabe und steht ja da irgendwo drin, ne? Also man hätte ja auch sagen können, Liebesministerium ändert da mal Dinge,Aber ob das sozusagen als Change Recrest äh vom Auftaktnehmer nach oben durchgereicht wird. Das ist natürlich schwierig.
Linus Neumann 2:10:45
Tja.
Markus Drenger 2:10:47
Was vielleicht auch noch äh ganz lustig ist, ist sozusagen der Kram, der noch dahinter kam und zwar äh war ja dann nicht nur das BA kaputt,sondern auch andere Leute haben sich angefangen, haben angefangen, sich so Dinge anzuschauen mit wo ist denn Software, wo Zertifikate drin sind.Ähm und äh da hat jemand äh ein Intelsystemdienst gefunden, wo auch ein Zertifikat eingebaut worden ist, inklusive Private Key.Das hat er dann während des Kongress rewalken lassen.Ich glaub die Muzziler Foundation war da recht hilfreich weil das Interteam da irgendwie nicht so gut gesponnet hat.Und dann hat mich jemand am neunundzwanzigsten zwölften doch ein Hinweis gegeben.Dass die Anwälte, die haben ja so tolle Smart Cards und da ist ein Kryptoschlüssel drauf und der Kryptoschlüssel ist nur für den Transporter, fürs Schlüssel und Entschlüsseln.Und die können sich aber auch Signaturzertifikate holen und die können sie sich nachladen lassen über so eine Webapplikation.Diese Webapplikation, die redet ja mit dem Kartenlesegerät.Könnte ich jetzt sicherlich vorstellen, die haben auch gesagt, dass wir zu Hause geschrieben und sich eine Domain geholt. Die hieß dann Local Minus Service Punkt B not car Punkt DE von der Bundesnotarkammer.Was mich da ein bisschen gewundert hat, ist äh das Produkt, was ihr dafür benutzt haben, um mit Smart Cuts zu reden, das war so eine Standardsoftware, die auch von anderen Leuten benutzt wird, um mit Smart Cards zu reden,und äh ich hatte eine ERL vier Plus Zertifizierung. Also eine BSI-Zertifizierung äh durch die TÜV IT,das ist alles sicher und toll ist. Und die haben also diese schöne Software inklusive Zertifikat durchgebunden.
Tim Pritlove 2:12:42
Mit anderen Worten äh es fault auch noch an anderen Stellen.
Markus Drenger 2:12:46
Fault und auch an anderen Stellen und falls ihr Dienste und Software seht, die einen lokalen Port aufmachen und darüber SSL reden, schaut mal nach.
Linus Neumann 2:12:58
Der braucht man gar nicht mehr nachschauen, da ist, dann ist die Frage ja schon geklärt, ne? Also geht halt nicht.Ich glaube aber, dass ich glaube aber, dass äh wenn ich mich nicht täusche, deren Problem sich insofern etwas abschwächen dürfte, weil in zukünftigen Browser-Updates, die sagen werden, dass lokale Verbindungenalso auf hundertsiebenundzwanzig null null eins,keine Verletzung des äh Kryptokontextes mehr sind, weil mit dir mit deinem eigenen Hausverschlüsse zu reden ohnehin eigentlich eine unsinnige Anforderung ist.
Markus Drenger 2:13:30
Ja, das äh würde ja dann demnächst helfen, aber äh wie gesagt äh die haben ja dann auch so Vorgaben, welche alten Browser sie noch supporten müssen und welche alten Betriebssysteme.
Tim Pritlove 2:13:43
Na ja, da stimme ich jetzt nicht so ganz so, aber wir machen jetzt hier mal den äh Deckel drauf. Markus, vielen, vielen Dank für deine Ausführung.
Linus Neumann 2:13:52
Schöne Arbeit.
Tim Pritlove 2:13:54
Genau, weiterhin immer äh aufmerksam auf alles äh draufgucken, was äh anderen Leuten auf dieZeiger geht. Ähm ja, viel Erfolg dann noch bei der weiteren Auseinandersetzung, damit sowas solche Projekte haben ja meistens noch relativ lange Nachwirkung,Linus läuft's schon.
Linus Neumann 2:14:13
Da hast du was haben wir ans Bein gebunden.
Tim Pritlove 2:14:15
Na ja gut aber genau, man kann das ja auch zum äh eigenen Spaß äh bringen und auf jeden Fall äh hat's mal wieder allgemeine Erhellungen für allgemeine Erhellungen gesorgt,Okay, vielen Dank, tschüss. Ähm wir sagen auch tschüs,Hier für diese Sendung. Äh Ulius hast du noch irgendwas, einen letzten Gruß.
Linus Neumann 2:14:36
Ne, mein Dank gilt einfach, Markus für äh für sich im Dezember äh damit auseinandersetzen und äh.
Tim Pritlove 2:14:44
Einem Tag noch auf die Idee kommen, Talk zu machen.
Linus Neumann 2:14:46
Diese Geduld äh äh aufzubringen. Das ist echt eine eine schöne Nummer gewesen. Danke dir.
Tim Pritlove 2:14:51
Danke. Allright, das war's. Äh ihr hört uns bald wieder. Wir sagen tschüss und bis bald. Bis denn.
Linus Neumann 2:14:58
Bis denn.
Verwandte Episoden
Shownotes
Prolog
Markus Drenger
- Talk in Darmstadt: elektronisches Anwaltspostfach – einfach. digital. kaputt.
EGVP & beA
- Elektronisches Gerichts- und Verwaltungspostfach EGVP
- Online Services Computer Interface – Wikipedia
- Chaos Computer Club: Stellungnahme an den Rechtsauschuß des Deutschen Bundestages: Elektronischer Rechtsverkehr (PDF)
- Hardware-Sicherheitsmodul – Wikipedia
- beA: Das beA und der elektronische Rechtsverkehr
Die Player im Spiel
Technik
- beA: Technische Informationen zum Verschlüsselungsverfahren beim beA
- Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
- Cross-Site-Scripting – Wikipedia
- PDF/A – Wikipedia
Ablauf der Auseinandersetzung
- Legal Tribune Online: beAthon: Es ist noch schlimmer. Aber es wird besser.
- Legal Tribune Online: beA: Dienstleister Atos erklärt Problem für gelöst
BeAthon
beA und der CCC
- Rechtsanwaltskammer Hamm: beA – Fragen und Antworten
- beA: beA muss vorerst offline bleiben
