LNP383 Dann sagen wir es eben nochmal

Feedback — Lego — Datenautobahn — Telekommunikationsgesetzes — IT-Sicherheitsgesetz 2.0

In dieser Folge reden wir zwar viel über Lego und die Datenautobahn, doch der klare Schwerpunkt liegt auf dem IT-Sicherheitsgesetz "2.0", für das in dieser Woche eine Expertenanhörung im Bundestag stattfand. Linus war vor Ort und hat die Stellungnahme des Chaos Computer Club erläutert und entsprechende Fragen beantwortet. Wir sprechen über den Inhalt der Stellungnahme und wie es so abläuft in den Anhörungen (und dieser Anhörung im besonderen).

Dauer: 2:30:21

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten Morgen Linus.
Linus Neumann
Guten Morgen Tim.
Tim Pritlove
Also meinetwegen können wir mit der Sendung gleich anfangen.
Linus Neumann
Äh ich muss noch eben prüfen, ob dem keine überwiegenden Sicherheitsinteressen entgegenstehen.
Tim Pritlove
Buchnetzpolitik Nummer dreihundertdreiundachtzig vom zweiten März zweitausendundeinundzwanzig live aus der Metaebene eurem vertrauenswürdigen Anbieter von Podcasts im Internet.
Linus Neumann
Ja, mal wieder. Vertrauenswillige Anbieter. Wir haben jetzt schon zwei, zwei kleine Spoilerchen gedroppt, worum's hier in dieser Sendung gehen wird.
Tim Pritlove
Große Überraschung, nicht dass wir es dich ausgiebig angekündigt hätten, was so äh Anfang dieser Woche für dich anstand.
Linus Neumann
Genau, es geht um das Telekommunikationsmodernisierungsgesetz. Geht's auch tatsächlich. Aber vorher äh stellen wir glaube ich nochmal ganz kurz ein bisschen Feedback durch, oder?
Tim Pritlove
Das können wir machen.
Linus Neumann
Äh und zwar hatten wir äh ja in der letzten Sendung über die Wasseranlage da in. In äh Florida oder wurde das war gesprochen. Und da haben wir von Andre, Feedback bekommen, der auch sich so mit so Skada-Systemen auseinandersetzt. Er schreibt uns. Also, Siemens hat da zum Beispiel mit Simatik PCS sieben, mehr oder minder ein Monopol bei der, Industriesteuerung, ja? Dies lief zu meiner Zeit als Chemikant auf Windows zweitausend, schon mit Chipkarten zum Absichern und so weiter. Die neuen Versionen laufen logischerweise auf neueren Windows Versionen. Dort hast du mit der Maus bedienbar ein komplettes Schaltbild der Chemieanlage Von der Pumpensteuerung bis hin zur Dosiermenge. Die Grenzen der Einstellung übernimmt die Prozessleitelektronik. In dem Fall die Elektronikerinnen. Dieses findet natürlich vorher, unter Absprache mit den Ingenieurinnen und Doktorinnen. Äh statt den einfach mal so stellt man dort gar nichts auf feste Werte ein. Dafür gibt es dann Benutzerkonten mit Rechteverwaltung. Sprich. Die Messwartenfahrerin sollte nie die Rechte der PLT haben und so weiter. PLT Prozessleittechnik und so. Also quasi er will ähm antwortet im Prinzip auf die Frage, warum konnte da jemand den Wert auf das tausendfache Stellen auf der hundertzehnfach stellen. Auch sollten Alarme konfiguriert sein, damit im Falle einer Fehldosierung oder eines Feders im Allgemeinen ziemlich zügig der Leitstand informiert wird Das Feature Lizenzabhängig an PCS sieben ist die App Steuerung, also mit VPN und Userberechtigung kann der kleine Chemikant vom Donnerbalken trotzdem auf das System einwirken Was da in den USA falsch lief, keine Ahnung, was die benutzen, ebenso keine Ahnung. Ich denke mir aber mal Am falschen Ende wird immer gespart und nicht über Sicherheit und Co nachgedacht. Wer konnte auch damit vor zwanzig Jahren rechnen, dass die Geräte wirklich richtig online gehen wie vom Hersteller vorgeschlagen. Übrigens, der Shartcode von Stucksnet setzte genau auf die Software, Siematik, PCS sieben Stucksnet war dieser, ja, äh, Cyberangriff Trojaner, äh gegen die oiranischen Urananreicherungsanlagen, wo dort die Zentrifugensteuerung. Ein bisschen aus dem Tritt gebracht wurde und zwar nur so wenig, dass die Anreicher eben nicht auf das kritische, Also die liefen so so ungenau, dass die Anreicherung nicht zu einem kritischen Niveau gelingen konnte. Ja also sehr schön mit anderen Worten die Software bildet das ab, was die Geräte können und nicht das, was sie sollen, hätte man sich halt mehr Gedanken drüber machen müssen.
Tim Pritlove
Mit anderen Worten war einfach Scheiße konfiguriert.
Linus Neumann
Ja, also ja wahrscheinlich, ne, wenn wenn gefeuerter Mitarbeiter dir das Trinkwasser vergiften kann, war deine Anlage im Zweifelsfall scheiße konfiguriert. So, das ist richtig, ja.
Tim Pritlove
Hast du schon mal den Begriff Chemikant gehört? Das äh schlug bei mir jetzt gerade frisch auf.
Linus Neumann
Habe ich schon mal gehört, aber ich weiß nicht, was der Unterschied. Ich glaube, ein Chemikant ist äh.
Tim Pritlove
Verfahrenstechniker nennt man das.
Linus Neumann
Ja. Durch für Vorbereitung, Durchführung und Kontrolle von Produktionsprozessen bei der Herstellung von chemischen Produkten.
Tim Pritlove
Ja. Der lustige Chemikant.
Linus Neumann
Der Beruf des Chemikanten wird oft in Schichtarbeit ausgeübt. Schulische Vorbildung Deutschland, Schüler, aha, ja, chemikant, alles klar, gibt es.
Tim Pritlove
Wieder was gelernt.
Linus Neumann
Der lustige, kleine Chemikal. So, das wäre ein schöner Name für so einen äh Kosmos-Chemiekasten oder so. Gibt's Kosmos noch?
Tim Pritlove
Ja ja ich glaub schon. Ja kannst du immer noch koofen. Der lustige Chemikant. Und auch der fahrende Chemikant. Je nachdem.
Linus Neumann
Zauberzauberkiste, Kosmoskiste. Hatte ich auch Kosmoskisten, war geil.
Tim Pritlove
Ja, hat sich das vorangebracht.
Linus Neumann
Jein. Also ich habe natürlich, ich hatte Elektronik und äh wenn dann natürlich irgendwie auf Seite drei steht, nicht die Batterie dran halten, dann probierst du natürlich aus, warum nicht? Und ja, dann waren halt nach kürzester Zeit der größere Teil der relevanten Bauteile äh in diesem Kasten kaputt. Insofern habe ich da. Konnte ich dann am Ende das Transistor-Radio nicht mehr bauen. Aber sonst klar.
Tim Pritlove
Ich kann mich nicht mehr so richtig dran erinnern. Ich glaube, ich habe auch irgendwann mal irgendwas gehabt, aber es hat nicht äh gereicht, um mich für die Tätigkeit äh eines Chemikers oder eines Chemikanten oder sonst irgendwas ähm zu begeistern, Na ja, zwei linke Hände.
Linus Neumann
Also ich hatte ein Mikroskop, ich hatte einen Mikroskop, einen Kosmos-Kasten und was ich ganz viel gemacht habe, war Legotechnik, Das ist ja, war ja ist ja eh sowieso das Geilste, auch glaube ich heute noch. Äh wobei ja Mainstorms auch ganz geil ist. Lego Mindstorms.
Tim Pritlove
Das gab's bei uns alles noch nicht, in der wir zu meiner Zeit, aber alles noch äh Standard achter Block und Viererblock und damit muss irgendwie alles gebaut werden.
Linus Neumann
Echt? Gab keine Legotechnik.
Tim Pritlove
Nee, es gab diesen ganzen äh merkwürdigen Zusatzkram, Spezialtechnikkram, gab's alles überhaupt nicht. Da war Lego war einfach nur Lego. Das war quasi wie Mindcraft, ohne Ritzton.
Linus Neumann
Sind die Vampire dabei, Mycraft oder was.
Tim Pritlove
Ist quasi der Strom, mit dem du da so schalten kannst und so weiter. Aber das ist äh nicht meine Jugend, meine Jugend war einfach vierer und achter.
Linus Neumann
Aber du hast ja auch Giftspinnen gemacht oder was und Schweine geschlachtet oder? Weil du sagst, war wie mein Craft, ich.
Tim Pritlove
Das wo willst du nicht drüber reden. Ja ich musste noch zur richtigen Landwirtschaftspraktiker und sowas irgendwie da haben mich Pferde gebissen, sondern Sachen sind mir widerfahren.
Linus Neumann
Und nachts wusste der kleine Tim sich in seiner Legohöhle verstecken.
Tim Pritlove
Ja, das habe ich aber auch gemacht, aber ich hatte viel Lego. Weil das Tolle an Lego ist ja also Lego wird geil mit viel. Das ist einfach die dies äh also an der Stelle macht Quantität wirklich den Unterschied, weil dann kannst du es einfach krass bauen, ja es muss einfach viel sein und ich hatte ich hatte wirklich auch für damalige Verhältnisse enorm viel Lego. Das war toll. Damal.
Linus Neumann
Hattest du mehr Viere oder mehr Achter?
Tim Pritlove
Ich hatte, glaube ich, definitiv mehr Achter und Balken natürlich. Klar, Balken.
Linus Neumann
Ja, ich habe, ich habe ja auch äh heute noch Lego-Objekte. Sehr stolz darauf, dass ich den den Mini-Cooper, den VW Käfer und den VW äh den VW Bulli habe.
Tim Pritlove
Ja, ich kann diesen ganzen Speziallego nichts an äh abgewinnen, weil da, sondern.
Linus Neumann
Spezial-Lego. Die sind ja die sind ja, das ist ja das Geile, also das, wie heißt das, das ist ja nicht, also das ist nicht Legotechnik sind größtenteils wirklich mit so Standardlegosteinen gebaut. Musst dir mal angucken. Gib mal einen, warte mal. Lego Bulli, BULI, ja? Da müsstest du den der Bulli Camper. Lego Creator, genau, Lego Creator. Ne, Moment, den gibt's in klein und in groß, der große weiß-rote. Siehst du den. Und der ist ja größtenteils wirklich mit mit Standardlegosteinen. Siehst du? Geiles Teil. Und in der es in dem Ding gibt's eben auch einen Käfer, der ist blau. Der ist auch sehr schick mit einem äh jetzt wollte ich Skateboard sagen, mit so einem Surfboard oben drauf, der blaue Käfer.
Tim Pritlove
Ja, das hat ja schon so flache Oberflächen und diese ganzen, diese ganzen glatten Schrägen und abgerundeten Schrägen und so weiter, das ist ja.
Linus Neumann
Ja, aber guck mal ins Detail, das sind das sind die, das sind die abgeschrägten Steinchen, mit denen du früher auf deine Legohäuser Dächer gebaut hast. Doch, doch.
Tim Pritlove
Nee, nein, die sehen ganz anders aus.
Linus Neumann
Du meinst, ich weiß, was du meinst, es ist alles neumodischer Scheiß, aber dafür ist es noch relativ äh Oldschool.
Tim Pritlove
Stoßstange ist Special. Diese ganze Küchenausstattung auch.
Linus Neumann
Guck dir mal den, da gibt's halt eine Mini-Cooper, der ist auch sehr schick und ähm. Wenn du das nämlich jetzt mal vergleichst, will, dass du heute, wenn du dir ein Lego Star Wars kaufst, Da kriegste also das, da kriegst ja das äh gut, da gibt's jetzt auch noch andere Beispiele, aber äh so modernes Leko, da sind nur noch Special Parts dabei.
Tim Pritlove
Ja, es ist furchtbar.
Linus Neumann
Das Hansekopf, die haben ihr eigenes Konzept einfach so kaputt gemacht, dass sie das, also die haben sich einfach so kanibalisiert Äh fürchterlich. Und dann sind natürlich die Leute stehen natürlich dann auf die, wenn es so halbwegs noch die Oldschool-Teile sind. Das sind dann auf einmal die. Ja die sehr teuren Legos, ne? Aber wenn du irgendwie so ein, so ein Wald feld weit und Wiesenlego kaufst, hast du ja, das ist eigentlich in der von der äh ist wie ein Überraschungsei. Spezialteile, dass dann wirklich, einfach, ganz wahrscheinlich auch bei Lego nachbestellen, von dem Starfighter, der linke Flügel, was überhaupt kein, kein, also immer weniger Standardlego drin ist. Und da sind diese hier Creator Dinger noch wirklich so die die Oldschool-Varianten.
Tim Pritlove
Ja, aber Lego muss sich einfach, das ist einfach das das ist einfach nicht mehr die die reine Lehre. Wie gesagt, vierer und achter vielleicht nochmal hier dann nochmal einen zweier einer um irgendwas äh äh wirklich mal so halbwegs rumzukriegen. Und wenn ihr das nicht aufgelöst genug ist, dann musst du einfach deinen Maßstab vergrößern und dann brauchst du größere. Bodenplatten und damit muss gearbeitet werden. Dann ist es halt einfach scheißegroß, dann ist es auch ordentlich rund, da muss man irgendwie auch nichts abflachen und glatt machen und so weiter Aber na ja und das ist halt auch echt das Problem, wenn du nicht genug so von dem ganzen Standardkram hast, also ich äh war vor ein paar Tagen in der Situation, dass ich mal einen Münzzähler in Lego bauen musste, und ja da fehlt mir dann irgendwann so ein bisschen einfach das das Rohmaterial, um das irgendwie zu perfektionieren.
Linus Neumann
Das ist ein Münzzähler in Lego gebaut.
Tim Pritlove
Weil der Vorschlag war, das in in Pappe zu bauen, weil YouTube voll mit solchen Pappevideos ist, mit wo die Leute sich aus Papa irgendwie allen möglichen Scheiß bauen. Habe ich gesagt, da was baut man besser in Lego.
Linus Neumann
Okay, aber jetzt, mit, mit, mit, sagen wir mal, neunziger, zweitausender Lego, nicht mit deinen, mit deinen Vierern.
Tim Pritlove
Das was ja, ich hatte leider mal, ich habe natürlich meine meine riesigen Vorräte von damals irgendwann dann auch mal äh verscherbelt oder verschenkt oder was weiß ich, auf jeden Fall bin ich fünf Mal mit umgezogen Und äh irgendwie ist es mir nicht gelungen äh in den letzten Jahren für die Kids, die dieselben Mengen ähm wieder neu aufzubauen, weil ja irgendwie die sicher auch mehr für diese ganze Computerscheiße interessieren. Ich weiß gar nicht, wo sie das her haben. Aber mein Sohn ist gut unterwegs in Minecraft, das ist ja irgendwie sein Lego und da äh entstehen auch bemerkenswerte Dinge, kann ich dir sagen. Bemerkenswerte.
Linus Neumann
Hat er dir auch selber gebaut.
Tim Pritlove
Ja ja.
Linus Neumann
Oder hat er die aus.
Tim Pritlove
Nee, nee, nee, nein, da wird noch Hand äh jeder Blockhand gesetzt und da entstehen gerade richtige Computer.
Linus Neumann
Ich glaube, ich mache, mache jetzt äh äh Affiliate-Links, dass die Leute sich die Lego-Autos kaufen können. Mache ich. Ja, da kriege ich wieder, kriege.
Tim Pritlove
Dir geht's auch nur ums Geld, Linos.
Linus Neumann
Mir geht's nur ums Lego.
Tim Pritlove
Dann musst du auf deine Wunschliste packen, dann schicken die Leute künftig kein Geld mehr, sondern nur noch Lego.
Linus Neumann
Du Tim, was meinst du, wo ich die herhabe?
Tim Pritlove
Was jetzt das Geld.
Linus Neumann
Tatsächlich alle drei. Nee, alle drei Autos sind von der Wunschliste. Ja.
Tim Pritlove
Echt? Wow, toll. Und dann sitzt man wirklich so abends da, erzählst mir immer die ganze Woche, du hast keine Zeit, aber dann sitzt du da und baust dein, aus uns macht.
Linus Neumann
Nee, die habe ich schon, die sind echt schon viel länger. Die habe ich schon viel länger als Pante, die sind alle präpandemisch, habe ich mich schon hingesetzt und Lego-Autos gebaut.
Tim Pritlove
Okay, Becher bereu.
Linus Neumann
Podcast dabei gehört und so. Sehr schön. Okay, kommen wir äh kommen wir nach unserem unserer werbefreien Sendung jetzt zum Thema.
Tim Pritlove
Stimmt, aber.
Linus Neumann
Äh widmen wir uns. Okay, So, also wir haben äh in dieser Woche oder in dieser Woche ist ja Dienstag, ja? Und gestern waren zwei, Anhörungen des Deutschen Bundestages bei den der Chaos-Computerclub Stellungnahmen eingereicht hat. Und zwar einmal das. Gesetz zur Modernisierung der Telekommunikation, also das TK Mock. Da war die Anhörung im Ausschuss für Wirtschaft und Energie. Da ist der Frank hingegangen, Frank Rieger. Und dann war noch die Anhörung zum IT-Sicherheitsgesetz, die äh ich besucht habe. Ähm, dieses CK Mock ist da ist ein Monster von vierhundert Seiten und äh die Anhörung war auch vier Stunden und die haben die aber offenbar so gesplittet, dass quasi. Frank, wenn ich das richtig in Erinnerung habe, nur nur zwei Stunden dran teilnehmen musste, als dann sein Teil dran war, weil das eben so ein absolutes Mammut. Ding ist. Und da, ist es im Prinzip äh geht es in dem Teil mit dem Frank sich da behandelt hat, äh äh auseinandergesetzt hat, geht's im Prinzip um ja Netzwerkausbau, ja? Also was muss passieren, ne? Wie wird äh, wie wie kann man vielleicht noch darauf hinwirken, dass auch Deutschland ein modernes Kommunikationsnetz bekommt. Ja, es gibt da ja grade geht auch glaube ich so ein bisschen rund diese äh ähm ich will immer ein Neo-Magazin, aber ZDF-Magazin Royal Sendung, wo Bühmermann auch nochmal erklärt hat, warum in Deutschland eben, es kein kein Glasfaser gibt, sondern Kupfer, ne, dass der Helmut Schmidt hat ja gesagt, äh okay, könnte man eigentlich mal machen und dann hat äh Helmut Kohl gesagt, äh nee, der Leokier, ich will das nicht, lass uns mal lieber äh Kroatialkabel legen, das ist günstiger für Kabelfernsehen, ne.
Tim Pritlove
Das war auch ganz passend, dass das äh Telekommunikationsminister Schwarz-Schilling der Postminister ja auch eine Kabelfabrik hatte.
Linus Neumann
Da fügt sich alles, ne?
Tim Pritlove
Ja, also das hat dann irgendwie alles gut gepasst.
Linus Neumann
Da bist du froh, dass du so genau die richtigen Leute in an Ort und Stelle hast, ja?
Tim Pritlove
Ja, aber das finde ich sehr schön, dass dass Bümmi das mal so rausgearbeitet hat als ähm als die Ursünde, Also ich wusste, könnte das schon vorher diesen Umstand, aber es äh ist ein bisschen in Vergessenheit geraten, dass wir tatsächlich in den, in den, in den, ja, Ende achtziger, Mitte Achtziger eigentlich schon, falsch abgebogen sind und seitdem immer noch durch den Waldweg fahren. Einfach das findet einfach keiner raus aus dem Wald. Es ist einfach zu viele Bäume auch.
Linus Neumann
Vor allem fand ich spannend diesen TV-Spot damit äh mit der Datenautobahn. Also ich kannte den Begriff, Und ne, man hat immer drüber gelacht, aber ich kannte nicht diesen Werbespot äh mit dem Hilfe, das hat der nochmal gesagt, kleiner Arschloch mit Hut und dieses Kind da.
Tim Pritlove
Das hatte ich tatsächlich ein bisschen anders in Erinnerung Also ich äh für mich war eigentlich immer Helmut Kohl selber der Erfinder dieses Begriffs, weil oder kam das nicht sogar da irgendwie drin vor, dass er da irgendwie gefragt wurde, doch da war doch sogar noch so ein Clip, ne? Wo er so gefragt wurde und, Nach der Daten, nach Daten, Autobahnen gefragt wurde. Und er und und er einfach nur zur Autobahn geantwortet hat oder irgendwie sowas, keine Ahnung. Auf jeden Fall war das damals so der Begriff. Ich finde ja nach wie vor, man lacht da ja gerne drüber, ne? Aber ich.
Linus Neumann
Das ist nicht zum Lachen. Sechzehn Jahre Deutschland regiert. Äh.
Tim Pritlove
Den Begriff Datenautobahn, über den lacht man ja äh ungern, aber hätten sie mal, hätten sie mal die Idee der Autobahn, auch wirklich ins Internet übertragen, dann wäre ja eigentlich alles gut gewesen. Nur das Einzige, was daraus abgeleitet hat, ist, ja, da kann ich so rumfahren, wie ich will, irgendwie und so schnell wie ich will. So, das, das war so ein bisschen ihr Traum.
Linus Neumann
Aber nicht zu verstehen, dass das halt Infrastruktur für alle ist und.
Tim Pritlove
Genau, das ist mal so eine so eine grundsozialisierte Infrastruktur ist, die man einfach mal ausrollt und wo die Zugänge frei sind und jeder darf auf jeder Ausfahrt fahren und von jeder Ausfahrt auch wieder runter. Es gibt keine Privatausfahrten und so und ähm ja. Leider hat es nicht so ganz verfangen. Und ich find's gut, dass man über sowas diskutiert, aber ehrlich gesagt in den letzten Tagen habe ich auch nochmal so ein bisschen drüber nachgedacht. Und ich glaube wirklich und das sage ich als Optimist, ne? Ah, ich glaube, wir kriegen das nicht mehr hin. Also ich glaub es ist einfach vorbei. Dieses Land kriegt es nicht mehr auf die Kette. Wir werden diesen letzten Platz niemals aufgeben. Kriegen's nicht mehr gedreht. Ist einfach vorbei. Ich warte da jetzt seit dreißig Jahren drauf. Es kommt einfach nicht. Es ist schlimm.
Linus Neumann
Oh Mann, ja, aber damit hast du jetzt eigentlich auch die ähm die Stellungnahme äh schon ganz gut zusammengefasst. Also, ne, es geht darum, in dem TKMOK und in dem Teil, der mit dem Frank sich auseinandergesetzt hat, geht's eben genauer um die um den Breitbandausbau, ja, wo es also geht so, okay, Deutschland soll eine Datenautobahn bekommen, ja und ähm. Jetzt ist es aber in diesem Gesetz so definiert, dass es quasi einfach nicht fest ist. Da ist nicht nichts klar definiert, wo du jetzt mal eine Anforderung hast, wo gesagt wird, okay, es gibt eine Mindestb Breite und die kannst du notfalls auch einklagen, ja? Und da gibt's eine, also irgendetwas, was dafür sorgen würde, dass jemand auch tatsächlich einen Rechtsanspruch gewissermaßen hat, ja? Ähm. Wäre halt äh mal schön gewesen, ne? Aber nein, es bleibt an den entscheidenden Stellen eben zahllos und äh schafft zahllos und und schafft vor allem auch die Hindernisse nicht aus dem Weg, ne? Es gibt zum Beispiel immer noch keine Mindestbandbreite, und auch keine Sanktionen, wenn du die nicht erfüllst oder untererfüllst. Ende. So ja da wird's schön. Ne und dann gibt's natürlich auch. Das, was man ja sieht, ist ja, also es gibt ja diese Förderungen, ne, für kommunale Ausbauprojekte, die niemand abgreift, ne? Da wurde ja gesagt, hier gibt's Geld. Und dann haben die gesagt, boah, Alter, das ist aber ein kompliziertes, kompliziertes Fax, was wir da schicken müssen. Lasst uns das mal lieber, äh lass uns versuchen, das nicht zu machen, ne? Und ähm. Ja, es gibt jetzt auch zum Beispiel keine Möglichkeit für Mieter äh zum Beispiel eine schwache Anbindung als Mietminderungsgrund anzugeben, ne? Oder irgendwie das Planungsverfahren zu beschleunigen für den Ausbau oder so. Und gibt's halt einfach alles gar nichts so, ne? Also es wird gesagt, ja, das wird jetzt alles toll, aber da steht halt nicht drin, dass es jemand kann also Frank, also Frank hat außerdem noch so symmetrische Bandbreiten wären natürlich auch mal super, ne? Vor allem gerade wenn du Glasfaser ausbaust, dann kannst du es ja auch wirklich einfach mal machen, ne? Und, damit kannst du ja dann eben auch ne, wie sagt man so schön, äh den den ländlichen Raum attraktiver machen. Ich habe heute mit einer äh Freundin telefoniert, die, Kennst du auch, die ein Grundstück äh etwas außerhalb von Berlin hat in Brandenburg, so Stunde ungefähr raus. Und nachdem sie quasi dort sich niedergelassen haben, kam eine Woche später der Brief, Telekom, so, ja, wir legen hier Glas hin, ne? Wo wir auch gesagt haben, so okay, da hat sich ja schon gelohnt, ne? Also wenn wenn du das Ding gekauft hast und dann wird der Gras hingelegt, weißt du halt so, geil, ich bin, also so, boah, was für ein Volltreffer, wo ich auch sagte, boah geil, kann man toll, ne? Toll, ihr werdet Glasfaser haben, ne? Ich meine, äh wie du ja schon sagtest, ich ich komme ja aus dem Opal Ghetto. Hast du ja äh Jackpot, ne? Ich ich kenne noch Zeiten, da gab's noch nicht mal DSL. Okay, aber okay, lange, lange Rede, kurzer Sinn. Irgendwelche äh dass da mal gesagt wird, okay, es muss hier mal ordentliche, also ohne Qualität einfach mal, dass man sagt, okay, Bandbreite, Latenz Paketverlust, Rad oder irgendwelche, Qualifikation Qualitätsmerkmale, gibt's hier einfach nicht benannt. Und natürlich wäre eben auch eine wichtige Forderung gewesen, dass man die lokalen und kommunalen Ausbauprojekte stärkt, damit eben. Leute sich selber zusammenrotten können und wie du eben auch schon so oft erklärt hast und so oft gefordert hast, dass du jetzt sagst, okay. Dann schaffen wir die Infrastruktur und wer mir am Ende die Bits da drüber liefert, das kann ich ja dann nochmal autonom verhandeln, ne. Auch das ist hier. Nicht wirklich gegeben. Rest der Welt hat Gigabit-Anschlüsse einfach auf Masten in den Masten, die Glasfaser mit reingeworfen, innerhalb von Tagen und in Deutschland äh, sind die Tiefer Tiefbaukapazitäten ausgeschöpft und ja kennen wir ja alles, ne? Oh, die Glasfaser, die haben wir jetzt aber vergessen mit reinzuwerfen, als der Bagger da einmal durchgefahren ist. Und jetzt können wir den schönen Asphalt ja nicht nur mal kaputt machen, ne.
Tim Pritlove
Rohre, Leute, Rohre. Baut einfach leere Rohre rein, das reicht schon. Einfach nur leere Rohre und dann könnt ihr alles da reinlegen, was ihr später mal braucht. So, aber das ist wohl auch schon zu kompliziert.
Linus Neumann
Und dann natürlich was auch spannend ist, äh, ich zitiere da jetzt so aus der Stellungnahme die absehbare Verfügbarkeit von schnellen Satellitenverbindungen mit niedriger, niedriger Latenzu niedrigen Kosten wie etwas darling, sollte im Gesetz berücksichtigt werden. Anbieter solcher Dienste in Deutschland müssen denselben Verpflichtungen für Bandbreite Kundenservice Beschwerdemanagement Datenschutz und Vertraulichkeit unterliegen. Gerade für die Versorgung geographisch, gelegener Regionen, bei denen eine Glasfaserbindung nicht zeitnah realisierbar oder extrem äh unökonomisch ist, bieten die neuen Satellitendienste eine sinnvolle Ergänzung zu Glasfaserinfrastruktur, die entsprechende Regulierung sollte jedoch einerseits gleiche Bedingungen für alle Anbieter sicherstellen und andererseits ihre Realisierung nicht unnötig behindern. Ist ja ohnehin so, muss man jetzt ganz einfach sagen, so, Wenn du jetzt in Deutschland äh eine eine entlegene Region wie ein Vorort von Berlin zum Beispiel mit Internet erschließen möchtest, ist es im Zweifelsfall einfacher Satelliten ins All zu schießen, als die die Erde aufzureißen und deine Glasfaser hinzulegen, ne? Das ist und oh je, oh je, oh je. Na ja, also da gibt's wenig Hoffnung. Und äh ja, Stellungnahme des CC haben wir verlinkt und die Aufzeichnung der Sachverständigenanhörung ähm haben wir dann auch verlinkt. Da hat sich dann, Frank drum gekümmert. Im Prinzip eine kleine vom vom Umfang her eine kleine Stellungnahme. Vier Seiten oder so, weil es äh ich gucke mal, wie viele Seiten sind das? Ja, vier Seiten, weil es ähm.
Tim Pritlove
Alles dazu gesagt ist.
Linus Neumann
Genau. Muss nur nochmal wieder, muss nur nochmal wiederholt werden.
Tim Pritlove
Ihr kriegt es eh nicht hin. Lasst es einfach.
Linus Neumann
Genau und dann gab es quasi eine Stunde später, war dann die Anhörung, sie waren zeitversetzt, aber wie eine Wasserwärme, also Zeitgleichzeit versetzt, war die Anhörung im Innenausschuss zum. Gesetz zum Entwurf eines zweiten Gesetzes zur Erhöhung der Informationssicherheit informationstechnischer Systeme dem sogenannten IT-Sicherheitsgesetz zwei Punkt null Und ich war ja auch schon zum ersten IT-Sicherheitsgesetz als Sachverständiger im Innenausschuss des Deutschen Bundestags und habe mich sehr gefreut, dass ich jetzt noch einmal dort eingeladen wurde. Das habe ich ja in der letzten Sendung auch schon. Erzählt, wie das da gelaufen ist. Und ja die meisten haben ja schon oder einige haben mich ja auf Twitter schon angesprochen, ich habe dann am Ende dazu entschieden. Vor Ort aufzutreten und in den Bundestag zu gehen, in das Paul-Löbe-Haus, erstens, weil ich da lange nicht mehr war. Zweitens weil ich mir dachte ah Remote Teilnahme und so wer weiß ob die das hinkriegen, ich bin da nicht, dass ich denen das nicht zutraue, aber man hat ja schon Pferde kotzen sehen, direkt vor der Apotheke und so, ne. Und ich wollt's ja auch nicht beschreien und dann saß ich da pünktlich um sechzehn Uhr. Oder um vierzehn Uhr war das in diesem, in dem Raum mit den mit den mit den Parlamentarierinnen, die es die dort waren. Also einige hatten sich auch remote zuschalten lassen zum Beispiel äh Anke Domscheidberg, die ist ja auch im Innenausschuss, die wohnt ja erstens weit weg und die hat ja auch schon, ne, sich auf die, also sie hat ja mal diese, Corona-Warnung und so ähm. Aus der quasi aus ihrer Pendelei, davon außerhalb von Berlin. Äh insofern hat die sich äh remote anbinden äh eingewählt, und auch Tabea Rößner, die Konstantin von Notz äh vertreten hat, hat sich remord eingewählt und, alle anderen Sachverständigen ähm außer Sebastian A. Und ich waren auch remote angebunden so und. Sofern war natürlich auch klar, wenn du jetzt so viel darauf setzt, ne, dass das dann in dem Fall nicht funktioniert, ja? Die anderen Sachverständigen übrigens waren, Manuel, Ich sehe gerade auf Bundestag DE falsch geschrieben. Manuel Arthof steht hier auf Bundestag DE, es war aber Manuel Atock, der hier auch schon mal äh in der Sendung war mit der AG Kritis, dann der Staatsrechter Professor Klaus Gerditz, dann noch äh Sven Herpig von der, Stiftung, neue Verantwortung und Martin Schallbruch, der hier aufgeführt wird vom Digital Society Institut, europäischen Hochschule für Management und Technologie in Berlin, der war aber mal beim BSI, wenn ich mich nicht täusche, hätten sie eigentlich auch schreiben können, dass der da. Zu seiner alten Arbeitsstelle mehr oder weniger Bezug nimmt. Äh genau, das waren die Sachverständigen. Und genau, hat natürlich erstmal nicht funktioniert. So, dann sitzt du da, äh hast du erstmal so eine so, ich weiß nicht, zehn Minuten oder so war das dann so. Hallo, hören sie uns? Ja, wir hören sie. War natürlich schon war klar. Ja und dann äh gab's eben die Sache mit dem ähm mit dem Eingangsstatement, ersten fünf Minuten darfst du was sagen oder wirst du gebeten, fünf Minuten lang etwas zu sagen? Die hatten aber keinen, also. Also warum auch immer, mir waren nicht ganz klar, aber die hatten offenbar keine technische Lösung. Normalerweise gibt's da diese Uhr. Also du sitzt in diesen Seelen, oben ist sind vier Bildschirme so angeordnet und, Da läuft üblicherweise ein Timer, der dir halt auch signalisiert, wann du halt fertig sein musst, weil das natürlich für alle Beteiligten einfach nur nervt, wenn irgendjemand der seine Redezeit halt massiv überzieht. So und ähm. Das hatten sie aber jetzt nun mal nicht. So, wo du dich auch fragst, so, wir haben ja auch erst seit einem Japanimmy und äh diesen diesen Missstand äh haben sie halt bisher noch nicht angegangen, da haben aber die meisten Sachverständigen dann auch hinbekommen ungefähr fünf Minuten Eingangsstatement zu machen und wenn du möchtest kannst du ja mein Eingangsstatement vielleicht, einfach mal einspielen, die fünf Minuten, da muss ich das jetzt nicht wiederholen.
Tim Pritlove
Ja, das war ja ganz unterhaltsam, machen wir mal.
Äh herzlichen Dank, Frau Vorsitzende. Herzlichen Dank an die Ausschussmitglieder. Ich spreche heute zu Ihnen als Vertreter des Chaos-Computerclubs einer Hackerin Vereinigung, die hier seit mehreren Jahrzehnten in der Bundesrepublik Deutschland ihr Unwesen treibt, Wir machen sowas wie die Staatstrojaner analysieren oder die Bundest. Aber wir melden die Schwachstellen immer um auf die IT-Sicherheit hinwirken zu können, daher kenne ich auch den Herrn Köhn, den ich natürlich auch herzlich nochmal zum Geburtstag gratulieren mö. Wenn wir uns die Digitalisierung in Deutschland anschauen, dann haben wir hier einfach mit dem schlechtesten aus beiden Welten, Wir kommen kaum in Genuss der Vorteile, ja, wir können Impfsystem nicht koordinieren, wir können die Zusammenarbeit der Gesundheitsämter nicht koordinieren, wir können noch nicht mal eine Remote-Anbindung von Sachverständigen im Innenausschuss herstellen ohne Probleme zu haben. Aber ohne diese Vorteile überhaupt zu haben der Digitalisierung haben wir alle Nachteile am laufenden Band, Kundendaten laden die ganze Zeit online, die Rancing Ware rasiert seit Jahren durch die Unternehmen und unsichere Produkte ohne Updates sind frei verkäuflich und niemand tut. Für die Bundesrepublik Deutschland die geht die gesamte Rechnung der Digitalisierung nicht auf, wir bremsen uns selbst und die Zukunft dieses Landes, weil wir nicht kompromisslos für IT-Sicherheit eintreten. Wir brauchen Mut, Sicherheit, Leuchtturmprojekte und das letzte was wir brauchen sind Kompromisse oder Bürokratie, Wir tun ja so ein bisschen so als wäre IT-Sicherheit irgendwie mysteriös. Wir wundern uns, wo die ganze IT Unsicherheit herkommt und Tunseits könnte man da nichts machen, aber, alle praktisch relevanten Probleme der IT-Sicherheit sind theoretisch längst gelöst. Es gibt nicht irgendwelche Herausforderungen, wo wir nicht wissen, wie wir die bewältigen sollen. Dieses Wissen wird aber nicht umgesetzt und deswegen ist die praktische IT-Sicherheit ein einziges Desast. Und wenn es irgendwo ein bisschen brennt, dann braucht man eine Feuerwehr, das ist absolut richtig. Aber wenn es überall brennt, dann braucht man Brandschutz und das wäre eine solide Basi. Eine solide Basis für die Bundesrepublik Deutschland der Bürgerin, Wirtschaft und so weiter vertrauen können, insbesondere in der Infrastruk. Was soll man aber machen, wenn das BMI überall rumrennt und Feuer legt. Wir haben die Ausweitung zu Befugnis des Einsatzes von Staatstrojaner. Wir haben die Messenger-Überwachung auf Inhalte. Der BND soll Kommunikationsnetzwerke häcken dürf, wird unterhalten, der eine eigene Behörde zur Schweichung von IT-Sicherheit und dem gegenüber steht das arme, kleine BSI allein auf weiter Flur. Und muss hinterherfegen und unterliegt auch noch der gleichen Dienstherrin dem BMI. Statt IT-Sicherheit zu gestalten, muss das BSI IT-Unsicherheit verwalten. Und jetzt soll es auch noch Schwachstellen geheim halten dürf. Somit verlieren wir dann die halbwegs vertrauenswürdige Institution, die einzige Halbwegs vertrauenswürdige Institutionen, die wir in dem Bereich hatten. Das ist ein herber Verlust für die Bürgerinnen. IT-Unsicherheit ist und bleibt in Deutschland auch viele Jahre nach dem ersten IT-Sicherheitsgesetz ein Marktvorteil. Wir als Chaos-Computerclub fordern seit langem eine. Verlangen Mindesthaltbarkeitsdaten, also Updatepflich. Eintrittsvoraussetzungen stattdessen bekommen wir jetzt ein freiwilliges IT-Sicherheitskennzeichen, bei dem die Erfüllung der Anforderungen noch nicht einmal. Das ist wirklich einfach nur eine Wirtschaftsförderungsmaßnahme. Ich finde das halbwegs in Ordnung, dass das BSI jetzt auch langsam etwas machen darf, was ich seit vielen Jahrzehnten mache, nämlich. Wenn noch irgendwas am Netz hängt, was so klapprig ist, dass er im Port Skir nicht standhält, dann ist das äh ganz gut, wenn da jemand vorbeikommt, ist aber eine völlig irrige Annahme, dass das BSI da schneller als Angreiferinnen vorbeikommen würde. Prüfen nämlich nicht nur auf Schwachstellen, sondern nutzen sie direkt auch noch aus. Das mit den Port-Scans habe ich früher auch gemacht, da habe ich übrigens leite ich leite ich seit vielen Jahren unter dem Hackerparagraphen dessen Revision sie ja inzwischen vielleicht mal äh in Angriff nehmen könnten, wenn selbst das. Nun solche Tools nutzen soll. Ich würde allerdings empfehlen ähm auf eine Reihe ja seriöser oder zwielichtiger Anbieter äh zurückzugreifen, die solche. Äh im Stundenabstand machen und die Ergebnisse online kostenlos bereitstellen äh oder auch mit Analysefunktionen versehen. Was mich sehr ärgert, ist, dass in einem IT-Sicherheitsgesetz von überwiegenden Sicherheitsinteressen die Rede ist, die das äh BSI daran hindern sollen, das Wissen über Schwachstellen an Betroffene, geben, wie sie wissen, sie sind, die sind auch im Gesetzesentwurf entweder, gehen die größten Angriffsschäden auf das Geheimhalten von Schwachstellen durch staatliche Stellen zurück, das BSI sollte unter keinen Umständen jemals berechtigt sein, bei Kenntnis von Schwachstellen irgendetwas anderes zu tun, als wie die Betroffenen zu informieren, eine Beseitigung der Schwachstellen hinzuarbeiten und zu gegebenen, die Öffentlichkeit zu warnen. Wir machen im CC seit vielen Jahren Wind Robility Disclager und wir werden uns jetzt in Zukunft überlegen müssen, ob wir noch Leute mit gutem Gewissen, zum BSI schicken können. Die Maßnahmen zur Entfernung von Schadsoftware, da haben andere sich schon zu geäußer, Insgesamt wünschenswert, aber das ist ein schwerwiegender Eingriff mit hohem Risiko, den kann man nicht mal eben auf einer halben Seite hinschreiben, haben ja auch andere Sachverständige hier schon klar erklärt, das Ergebnis ist, Schadsoftware ist nicht eng definiert, Information ist zu weit definiert. Missbrauchspotenzial ist enorm. Dem Schutzziel hier unangemessen. Da erwarte ich einige äh Ausnutzungen dieser Paragraphen, die nicht im Interesse und auch nicht im Sinne derer sind, die das Gesetz so formuliert. Zur Beteiligung wurde auch viel gesagt, ich freue mich, dass Herr Professor Gerditz ihn Mut gemacht hat. Äh auch wenn die Notivikationsstillhaltefrist am achtzehnten dritten endet, vielleicht trotzdem an diesem Gesetz. Vielen Dank.
Tim Pritlove
Bam.
Linus Neumann
Ja, das war jetzt relativ viel. Ich dachte, das äh könnte man mal als, als als Einleitung vielleicht ganz gut hören. Weil das Gesetz ist natürlich relativ umfangreich, ja? Und ich habe auch nicht zu allem, was da drin ist, ähm Stellung genommen. Ähm ich habe aber eine schriftliche Stellungnahme verfasst. Das ist natürlich immer so eine so eine Sache, ne? Du willst. Willst da was ordentliches abliefern? Und du weißt aber auch, dass liest, wahrscheinlich kaum jemand, aber du willst jetzt, du hast ja trotzdem an dich selber den Anspruch so, ne, eine ordentliche Stellungnahme zu verfassen. Sind am Ende vierundvierzig Seiten geworden mit einer ganzen Reihe an Empfehlungen und eben Kritik und was auch immer dabei geholfen haben, Frank Rieger, Dirk Engling und Matthias Marx, also sowas kriegst du halt auch in den wenigen Tagen nicht alleine hin und außerdem wird's ja auch deine Ideen ähm mit den anderen, ne, abstimmen, abgleichen, prüfen, gucken, habe ich an alles gedacht, was sagst du hierzu, ne? Wie kann man hier im Detail drauf eingehen und so, ne? Sowas kann man, oder so ist man gut beraten sowas nicht alleine zu machen. Äh nichtsdestotrotz ist es halt auch einfach eine so, ne, für den Textfluss oder so gibt's halt dann einfach eine. Das muss ja dann eine Person koordinieren und eine Person zusammenfügen. Ähm und das ganze Ding hat den schönen Titel, der mir eingefallen ist, Sicherheit gestalten, statt Unsicherheit verwalten. Und äh das ist so ein bisschen auch, würde ich sagen das Fazit der Forderung, die wir da so ein bisschen positioniert haben. Erstens mal klar zu gucken, dass erste IT-Sicherheitsgesetz war Anschuss in den Ofenpunkte, so, ne? Das, das steht einfach mal fest, das wissen auch alle. Dass wir das mit. Kritischen Infrastrukturen, wo im Prinzip gesagt wurde, okay, wir definieren jetzt äh diese kritischen Infrastrukturen und die, die bombardieren wir dann jetzt einfach mit. Letzten Endes war die Idee so, dass man gesagt hat, okay, die brauchen die brauchen auf jeden Fall Mindeststandards, wir müssen denen jetzt gesetzlich vorschreiben, wie sicher sie ihren Laden dazu betreiben haben. Und ähm zweitens, Wenn sie diese Mindeststandards nicht erfüllen, dann müssen wir eben auch potentiell den Ärger machen, ja? Und dann hat sich das BSI gedacht, ja, okay, aber blöd, scheiße, wenn wir diese Mindeststandards jetzt selber schreiben, wir haben ja gar keine Ahnung davon. Also haben sie gesagt, okay, die Branchenverbände können sich diese Mindeststandards selber schreiben. Und wir nehmen die dann ab, ja mit der und du kannst dir vorstellen, welche Mindeststandards ein Branchenverband einreicht. Wenn er weiß, wenn er die nicht erfüllt, gibt's Ärger, ja? Die haben natürlich dann einfach Mindeststandards eben eingegeben. Eingereicht, damit sie alle größer sind. Ähm also damit sie alle darüber hinaus sind und alle die erfüllen, ne? Dann gab's natürlich auch ganz viel Hauen und Stechen darum, wer's jetzt kritische Infrastruktur und da sind natürlich dann an den Kriterien gab's dann eben ja Ärger, ne, weil es zum Beispiel an was weiß ich, bei bei der bei Versorgungsinfrastruktur eben gesagt, wo du okay kritisch bist du ab so und so viel Empfängerin, ne? Und dann ist eben das eine Wasserwerk, ist kritische Infrastruktur, das, Struktur des anderen nicht, weil es irgendwie eine abitäre Grenze gibt, wie viele Leute, die so betrinken müssen, bis das kritisch ist, solche äh solche Dinge. Kam da eben alle zusammen und damals habe ich schon gefordert, dass das BSI, unabhängig vom BMI werden muss, also das Bundesamt für Sicherheit in der Informationstechnik unabhängig vom BMI sein muss, weil im Moment, dass also das Bundesministerium für inneres, Heimat und Bau oder wie die das Ding jetzt genannt haben. Ich hoffe, dass das nächste Ligit hat Legislaturperiode einfach wieder Innenministerium heißt. Ähm so und. Wenn du jetzt halt Leute hast, die für die Sicherheit zuständig sind, aber einen uns kein, unzweifelhaften und unzweideutigen Auftrag haben, dann ist es natürlich schwierig zu denen Vertrauen aufzubauen. Und was, sage ich mal, zwanzig fünfzehn oder so, als wir Stellung genommen haben zum zum ersten IT-Sicherheitsgesetz. Noch so ein bisschen Klang wie eine Verschwörungstheorie. Das wird halt in einem zweiten IT-Sicherheitsgesetz jetzt wirklich auch einfach schwarz auf weiß geschrieben. Da kommen wir also, gleich nochmal drauf. Jetzt habe ich erstmal in der Stellungnahme sind wir hingegangen, haben gesagt, okay, wie sieht's aus? Ähm was hat sich denn verbessert seit dem ersten IT-Sicherheitsgesetz, ne? Ähm, Da haben wir dann einfach mal ein bisschen berichtet von unseren Erfahrungen mit Wahlsoftware, ja? Zwanzig siebzehn. Viele erinnern sich wahrscheinlich, Martin Schiersig. Thorsten Schröder und ich ähm analysieren die Wahlsysteme zur Bundestagswahl und ja reißen das Ding eigentlich einmal komplett auf, ja? So. Resultat, ne? Das habe ich ja da auch in der, in der Anhörung gesagt, wo ich als ich den Herrn Köhnen gegrüßt habe, den habe ich da kennengelernt. Der Herr Köhn ist im BMI, ein, jetzt weiß ich gar nicht die genaue Position, aber ein relativ hoher äh dortiger, äh Beamter äh im Bereich der, IT und IT-Sicherheit. Ich höre dich da schon googeln Tim, vielleicht kannst du mir die genaue äh Bezeichnung, genaue Berufsbezeichnung nennen, weil der möchte ich natürlich auch gerecht werden.
Tim Pritlove
Martin Köhn, ja? Ähm ja.
Linus Neumann
BS, ne P, Vizepräsident, dann ist er ins so okay, alles klar, hier. Der war früher äh BSI-Vize und ist jetzt Leiter der Stabstelle IT und Cybersicherheit und sichere Informationstechnik im BMI. Genau, so. Also, ne? Jemand der seit Jahrzehnten eben in Deutschland in anrelevanter Stelle für die IT-Sicherheit tätig tätig ist und jetzt eben der Leiter der Stabs Stabstelle. Also ich würde jetzt mal davon ausgehen, dass der, kein mehr zwischen sich hat, wenn er mit äh dem Innenminister spricht. Ähm. Der hat sich damals damit auseinandergesetzt mit dieser Wahlsache. Klar, muss er ja auch, ne? Ich meine, kurz vor der Bundestagswahl kommen drei Typen um die Ecke und sagen, das ist ja alles kaputt, So, da muss natürlich äh dass das BMI einschalten. Das hat ja natürlich auch äh damals mit denen ihm zur Verfügung stehenden Möglichkeiten getan und das hat er auch ernst genommen, ne? Muss man ganz einfach sagen, klarer Fall aber der hatte natürlich auch, es gab da eben diese Beschränkungen, dass das BSI, das habe ich auch glaube ich damals schon immer berichtet. Das BSI konnte da jetzt im Prinzip nicht einreiten und äh eingreifen, weil das ja eine Software von einem privatwirtschaftlichen Anbieter war und von dieser privatwirtschaftlichen Anbieterin waren jetzt die Länder jeweils nur Kundinnen, um ihre Wahl dort abzuhandeln, ja? Also habe ich mir gedacht, okay, super. IT-Sicherheitsgesetz hier, ne? Ich meine, wenn du, hat offenbar nichts gebracht so, weil dieser ganze Vorfall war zwanzig siebzehn, ne, das ist. Oder war das zwanzig neunzehn diese Bundestagswahl? Nee, jetzt ist ja einundzwanzig, jetzt wird wieder gewählt, also zwanzig siebzehn, was ist denn seitdem passiert, ja? Und alles, was seitdem passiert ist, in den letzten vier Jahren ist. Es neuen Vortrag gab bei der RC drei über Schwachstellen in anderen Wahlauswertungssystemen. Das ist das was passiert ist. Also es gibt quasi hatten wir von ähm, Genau, Tobias, Madel und Johannes Obermeier haben nämlich mit Hacking German Elections in Secure Electronic Volt Counting, Howard Returnt and why you don't even now about it ähm eben, hier in Ende Dezember zwanzig zwanzig in einer weiteren Wahlauswertungssoftware eklatante Schwächen nachgewiesen so. Was hat das BSI in der Zwischenzeit gemacht? Ähm. Ein Anforderungskatalog geschrieben, den den solche Software erfüllen soll. Aber dieser Anforderungskatalog, der. Ähm hat jetzt immer noch keine rechtliche ähm Wirksamkeit oder so, ne? Das muss jetzt irgendwann mal überführt werden in irgendeinem Standard und irgendwann so in ganz, ganz, ganz ferner Zukunft kannst du dann irgendwann sagen, okay, Software, die diese Aufgabe übernimmt, muss folgenden Anforderungen genügen, ne? Da sind wir immer noch weit von entfernt und das ist eine Initiative, die wo ich jetzt mal davon ausgehen würde zwanzig siebzehn, zwanzig achtzehn dann eben spätestens gestartet wurde, weil sie ja wussten. Durch unsere Veröffentlichung, dass sie da ein Problem haben, ja? Also da da ist die waren in vier Jahren nicht in der Lage jetzt sage ich mal. Sicherheitsverantwortliche der Bundesrepublik Deutschland dafür zu sorgen, dass dass die Wahlen sicher abgehalten werden. Das ist denen nicht gelungen. Soll halt bald ein Anforderungskatalog zur Bundestagswahl einundzwanzig rauskommen, aber soweit ich das verstehe, kann der auch nicht ähm. Nicht mehr, ja, jetzt nennenswerte Verbindlichkeiten einfach für die Herstellerinnen haben, ja? Die konnten nach wie vor einfach ihren Schrott an die an die Länder liefern. Und es ist halt wirklich ja traurig, ne? Weil da würde man sich natürlich wünschen, dass es Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik gibt, die halt sich irgendwie die, die klar sind. Und wenn du auf die Webseite gehst, von der Firma des Unternehmens, dass dieses OK Vot herstellt, was eben, hier Obermaier und Madel auseinandergerissen haben, ne? Der steht auf der Website auch heute noch, kannst du hingehen. Steht drauf. Bei der Entwicklung von OK Vod wurde höchster Wert auf das Thema Sicherheit gelegt. Diese orientiert sich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik und der Non-Profit-Organisation oh was, O was ist eine Webapplication Security Projekt, ja? Also. Zum Heulen, ja? Also okay, da kannst du einfach mal sagen, okay, das hat halt nicht, das das BSI war da einfach hilflos, weil es eben gezwungen ist, diese Missstände zu verwalten, statt ihnen irgendwie mal aktiv entgegen treten zu können und irgendeine irgendein Hebel zu haben, mal eine Kompromisslosigkeit durchzusetzen und zu erzwingen. Als anderes Beispiel habe ich halt gewählt, Rancim Ware, ja, reden wir hier auch seit Jahren drüber. Erst in der letzten Sendung noch, ne? Wird eben auch in diesem Gesetzesentwurf sehr viel erwähnt. Seit zwanzig sechzehn würde ich sagen, wütet diese Rance Ware Welle, sodass das jetzt ein Trend ist, von dem du eben auch jede Woche liest und jede Woche jemand dran ist, ne? Und auch da konnte das BSI halt keinen Beitrag leisten hatten keine Möglichkeit. Äh rechtlich nicht, ne? Und da könnte man natürlich schon mal irgendwie sich darüber Gedanken machen. Wie wenn man ein Gesetz für die Informationssicherheit von IT-Systemen macht, ob man nicht irgendwie wenn man sich schon BSI leistet. Es mit Möglichkeiten ausstattet, dem entgegenzutreten. Gut, habe ich gesagt, Fehler sind nicht vergebens, wenn man daraus lernt, ne. Man müsste also jetzt ein weniger bürokratisches Gesetz formulieren und da habe ich dann ein paar Thesen zu formuliert auch ein digitales Entwicklungsland muss sich weiterentwickeln, ja? Das haben wir jetzt in der Pandemie gesehen, dass hier in Deutschland, einfach mal nichts funktioniert und wir haben auch bei der, nirgendwo eine sinnvolle IT-Strategie, ja? Äh wenn man sich irgendwie anschaut, äh D-Mail oder das besondere elektronische äh Anwaltspostfach oder auch den elektronischen Personalausweis, ja? Der elektronische Personalausweis jetzt, Der tatsächliche eigentliche Ausweis ist überhaupt nicht so schlecht wie sein Ruf, hat ja auch die Sicherheit gehalten, aber wendet keiner an ja? Also gibt einfach niemanden, der das Ding verwendet. Und da habe ich halt gesagt, so äh Beispiele für Projekte, die sich zur Geistel aller Beteiligten oder zu mahnenden Bauruinen mit Nutzungszahlen im hohen einstelligen Bereich äh entwickelten Und das ist das Problem ist halt immer, es hat halt den Mut zu einer kompromisslosen Strategie. Gefehlt, ne? Man nennt das immer so auch mal alte Zöpfe abschneiden und wirklich mal die Digitalisierung vorantreiben, fehlt einfach, jede Spur schön ist das auch und das es sind ja Probleme die hat jetzt das der Bund ja oder die Regierung oder die, die hast du ja auch in Unternehmen. Wenn du nämlich nicht irgendwann sagst, du machst jetzt den mutigen Schritt und schneidest alte Zöpfe ab, dann wird das einfach nur immer teurer. Ja und dann gibt's nämlich auch diese Konsolidierung. Der IT-Projekte des Bundes, die wurde ähm glaube ich in die Wege geleitet. Zwanzig sechzehn oder zwanzig fünfzehn, ja? Und die haben mir gesagt, bis zwanzig fünfundzwanzig konsolidieren wir die IT des Bundes und wahrscheinlich werden wir dafür ähm, werden wir dafür eine Milliarde brauchen, ja? Und inzwischen sind die nirgendwo in der Nähe davon fertig zu sein und haben schon drei Komma vier Milliarden verbraten.
Tim Pritlove
Für die Konsolidierung.
Linus Neumann
Für die Konsultierung, ja.
Tim Pritlove
Was konsolidieren sie denn da, was bisher.
Linus Neumann
Alles. Die haben ja, also das ist ja, das sind ja einfach alles einzelne Schwelbrände, ne? Und die müssen jetzt zu einem großen Feuer zusammenkonsolitiert werden.
Tim Pritlove
Mann, ey. Ich habe ja da äh ich habe ja die Stellungnahme so äh die ersten dreißig, vierzig Seiten gelesen, wo ich ja wirklich komplett ins Essen gebrochen bin. Ist ja, wo ja dann diese Grafik mit dieser Zuständigkeit der einzelnen.
Linus Neumann
Ja
Tim Pritlove
Gruppen habt und dann und die es gibt ja immer so eine kleine graue Textbox, wo man dann so immer schön hervorgehoben so das sind jetzt unsere Forderungen, so ihr habt den Text, den ich hier geschrieben habe, bisher nicht verstanden, nehmt mindestens diesen einen Satz mit. Und ich glaube, da stand dann irgendwie nur noch drunter sowas wie. Finden sie jemanden in der im Bundesinnenministerium, der diese Grafik erklären kann oder überhaupt irgendjemanden, der sie erklären kann. Super.
Linus Neumann
Ich gucke gerade der der Satz war äh das das Bunde der Bundestag möge sich die obige Grafik vom Bundesinnenministerium erklären lassen oder jemanden finden, der dir klären kann.
Tim Pritlove
Genau. Oh Man.
Linus Neumann
Tatsächlich äh Katastrophe. Ähm genau, also Konsolidierung der IT-Projekte des Bundes, ne? Und das, das sind ja alles so Phänomen so. Phänomene, die sind ja auch nicht ähm. Neu, also das so funktioniert halt leider IT, ne? Muss man so bitter sagen, wenn du dann ohne Strategie dran gehst, dann entgleitet dir das, ne? Und ohne ohne Übersicht. Also ich habe das ja, weil ich hasse das ja auch. Diese. Ja äh Trägheit und Regeln und so weiter, ne? Aber wenn du mal mit jemandem redest, der halt eine oder die eine IT koordinieren, Und wenn du da mit Leuten redest, die zum Beispiel einen Dokumentationskonzept dafür haben und die wissen einfach, was jeder Server da macht und welche Ports da drin offen zu sein haben und welche nicht, ne? Das äh ist halt ein bisschen was anderes und die halt irgendwie vom Prozess kommen und nicht einfach irgendwelchen ähm, Schrott dahinbauen, aber okay, also dort in Deutschland wird immer gesagt, okay, wir nehmen uns einen kleinen Aspekt, machen wir eine D-Mail draus. Übrigens, D-Mail hat ja dann auch jetzt äh ging ja nochmal rund, das war ja ebenfalls dieses äh, Interview mit dem äh Tim Höttkes, was wir letzte Woche schon besprochen haben. Da hat er ja dann gesagt, hier D-Mail ist ein toter äh toter Gaul und äh der hat nie irgendjemand benutzt und wir haben da Millionen drin versenkt, ne. Ähm, Also offenbar eine skandalöse Äußerung. Ich dachte, das hätte sie inzwischen rumgesprochen, also ist jetzt wirklich so eine Meldung, sondergleich, ne, wo alle irgendwie voll abgehen. Boah, was hat der? Was erlaube, Hötkes, ne?
Tim Pritlove
Hat der Lino schon vor Jahren gesagt.
Linus Neumann
Stimmt, können wir auch nochmal verlinken, darf ich einen Vortrag drüber gehalten damals am äh ähm dreißig C drei wahrscheinlich, ne? Bullshit made in Germany. Wo ich nämlich genau auch das wieder, also das ist das Interessante, da da habe ich, genau auch gesagt, so das ist ein Kompromiss, das ist, Technik von gestern. Hier macht ihr nicht den richtigen Schritt nach vorne. Macht doch bitte den richtigen Schritt nach vorne. Und was ist passiert? Natürlich hat niemand äh D-Mail verwendet, ne. Weil du und weil du auch nicht dein Land irgendwie in die in die Zukunft digitalisiert bekommst, wenn du, wenn du das halt mit so Einzelwürsten machst, ne? Na gut, also genau, dann kommt eben hier auch dieser Punkt, so staatliche Cyber-Sicherheitsagentur, ne? Da gibt's eben schöne Grafik, die hat der Sven Herpick äh angefertigt. Ähm und zwar hat ihn interessiert wie denn wer kümmert sich denn eigentlich um um ja Cybersicherheit in in der Bundesrepublik Deutschland hat dann halt mal geguckt, okay, Bund, Länder europäische Union, was gibt's da alles? Und dann hatte die erstmal alle auf der also angeordnet, ja und hat dann dazwischen die Linien gezogen, ne? Und.
Tim Pritlove
Also wer an wen reportet oder wer wem untersteht.
Linus Neumann
Ja genau so, ne? Ähm. Ich hab das in der in der in der äh Auskunft dann genannt, wie war das denn? Ich habe glaube ich ungefähr gesagt, eine. Eine Wandtapete, eine Wandtapete der, Der Interessenkonflikte und äh Verantwortungsdiffusion. Genau, eine Wandtapete der Interessenskonflikte, Verantwortungsdiffusion und ungenutzten Konsolidier Konsolidierungspotentiale, in dem keine, in der keine Strategie zu erkennen ist eine Katastrophe, ne? Und dann musst du dich halt auch nicht wundern. Gut, äh, ich will bisschen weitermachen mit den Forderungen. Ähm, Was du eigentlich machen möchtest ist natürlich vorangehen, ne? Du willst nicht irgendwie nur die Unsicherheit verwalten und irgendwie hinterherfegen, sondern du willst natürlich auch mal einen mutigen Schritt nach vorne machen. Ähm Andreas Burg von Chaos Computerclub hat in einem, Vortrag mal gesagt so, man möchte ja auch einfach mal ein Genozid an Problemklassen äh äh betreiben, so was jetzt natürlich sehr. Wurde jetzt vom Geschmack her äh glaube ich auch von einigen kritisiert die Wort, weil ich finde, ich finde aber tatsächlich, man will ja einfach auch mal ein Problem weghaben und zwar für immer, und nicht sich weiterhin damit auseinandersetzen, ja? Und da fand ich eigentlich dieses Bild, finde ich gar nicht so ähm. Also finde ich das gar nicht so schlecht, weil sonst quält dich das einfach immer weiter und dafür musst du eben äh kompromisslos sein und kompromisslos heißt eben vor allem, dass du, keine gezielten Schwächungen an der IT-Sicherheit vornimmst, wie es eben, BMI regelmäßig tut, was ja auch das Problem war an D-Mail und was auch das Problem war am äh besonderen elektronischen Anwaltspostfach, weil es einfacher ist das System kompromisslos sicher zu bauen. Und wenn du dann sagst, ah okay, muss da jetzt nur eine Abhörschnittstelle rein und oh, hier muss aber noch irgendwie Umschlüsselung und Pipapo und hier für einen kurzen Moment, für einen ganz kurzen Moment liegt das unverschlüsselt vor. Äh damit wir nachher irgendwie äh ne dieses oder jenes Komfortfunktion bauen und. Komplexität ist nun mal genau das das Gegenteil von IT-Sicherheit, ne? Und dann dann wird's eben halt auch ambitionslos. Und natürlich vor allem, musst du, wenn du Kenntnis von Schwachstellen hast. Die beseitigen und auch den, ne, zum Beispiel ein BSI halt auch die Möglichkeiten haben, dass das kompromisslos durchzuziehen. Interessanterweise, sind die sicher auch nicht zu schade in diesem Gesetzesentwurf ähm. Die ganze Zeit von Nord Petja zu sprechen und zu zeigen, wie gefährlich das alles ist. Ne? Ja, waren die beiden großen, Rancing Wash Schrägstrich Viperangriffe, die E-Turnal Blue verwendet haben, Also diese Schwachstelle aus den, die die NSA für irgendwie mindestens sieben Jahre geheim gehalten hatte und damit die gesamte Welt diesem Risiko ausgesetzt hat. Und die Angriffe selber erfolgten, also diese, Tatsächlich Angriffe unter der Ausnutzung äh erfolgten? Nachdem es quasi schon ein ein Update gab und sie sind immer noch, sagen wir mal Cyberschäden, wenn man diesen Begriff mal verwenden möchte. In der Geschichte der IT, ja? Und das, das zeigt einfach zu das, was da eben der schwerste der schwerste Schaden war im Milliardenbereich ist nur ein Vorgeschmack oder ein Bruchteil von dem Risiko, dass die NSA jeden Tag mit der Geheimhaltung dieser Schwachstelle eingegangen ist. Und deswegen. Ganz klar, ne? Das BSI sollte natürlich unter keinen Umständen jemals berechtigt sein bei Schwachstellen irgendwas anderes zu tun als die zu melden und auf deren Beseitigung hinzuarbeiten. In diesem Gesetzesentwurf stehen aber eben andere Sachen, da gibt's eben übergeordnete Sicherheitsinteressen. Denn natürlich, du musst Bürokratie abbauen und das, und die einzige Möglichkeit, wie du es machen kannst, ist halt, indem du auf einfach eine eine IT-Sicherheitsbasis hinarbeitest und nicht dein den dein gesamtes. Dein gesamten Staat, deine gesamte Wirtschaft sich die IT-Sicherheit selber dazu bauen lassen muss. Ich finde das ein, also es ist eine bin ja Teil davon beruflich, ja, dass du im Prinzip als Unternehmen dir zwar IT kaufen kannst, aber sobald du sagen wir mal drei Computer da stehen hast oder drei Systeme es nicht mehr ohne weiteres zu tun gewährleistet ist, dass die einfach mal sicher funktionieren, weil die alle unsichere, die vor jetzt haben, weil in dem Zusammenspiel sich neue Komplexitäten ergeben und wir nehmen das einfach so hin, und genau das wäre der Teil, den du ändern musst und dann wenn du mal überlegst, wenn du da äh deiner Gesamtwirtschaft Einsparung ermöglichst, ja? Und sagst okay, pass mal auf, so ein KMU kann sich jetzt einfach das und das kaufen klicken, sonst was und das funktioniert einfach und das ist dann eben auch sicher. Gegen Standardbedrohungen, die in diesem Bereich eine Rolle spielen. Da wäre so viel gewonnen, ja? Gut, da werden halt auch ein paar Leute unserer Zunft dann irgendwann mal arbeitslos oder müssen sich ähm weiterbilden auf äh, auf ja komplexere Herausforderungen, aber genau das muss es doch eigentlich, das muss doch das Ziel sein.
Tim Pritlove
Ja, vor allem du bildest ja dann auch wieder neue äh Arbeitsplätze und neue Tätigkeiten heraus, ne? So ein paar lustige Informatikanten, die dann diese Systeme auch wirklich in Betrieb halten. So.
Linus Neumann
Vor allem äh ähm also. Du darfst ja nicht vergessen, nach oben ist noch genug Luft mit der IT-Sicherheit, ne? Wir wir laufen nirgendwo Gefahr, dass wir in Zukunft aus Versehen plötzlich, vollständige vollständig sichere Systeme haben und für die ganzen Industriezweig IT-Sicherheit nichts mehr übrig bleibt, das Einzige, was du, was du schaffen kannst, ist, dass halt mal es interessanter wird für alle Beteiligten und wir nicht mehr. Wir bei den Pantests halt auch mal Gegner kriegen, keine Opfer Das wäre halt so, dass das ist ja alles gut. Kontrolle zum Beispiel, ne, was ist ähm wenn du sagen würdest, okay, wir bündeln jetzt mal die Ressourcen. In Open Source Projekten und wir auditieren die auch mal. Die machen sich da Gedanken, komme ich ja gleich noch zu zu ihr fünf G. Ne? Fünf G. Kennt ihr? Wir brauchen fünf G, für den La.
Tim Pritlove
Total. Quatsch, wir brauchen Platz.
Linus Neumann
Die sorgen sich um ihr fünf G und um ihr Wow, da komme ich gleich zu, ne. Aber äh mal zu sagen, okay, dann lass uns doch einfach mal mit Open Ran irgendwie einen sauberen Open Source Stick machen und die europäischen äh Anbieterinnen können den dann eben verwenden und dann dann bündeln wir hier einfach mal die Ressourcen, ne? Nein, äh wir wir setzen lieber auf Closed Source im hochkritischen Bereich und dann äh lassen wir, haben wir unterschiedliche Anbieter, die wir irgendwie prüfen und auditieren müssen. Totaler Also ne, du könntest da ja halt Geld sparen ne? Äh entsprechend die Empfehlung, schafft doch mal ein Pool von auditierter Open Source Software, gerne im Infrastrukturbereich gerne in dem Bereich, den. KMU brauchen, Hauptsache es profitieren möglichst viele davon. Und hauptsächlich Hauptsache die Einsparungspotentiale durch das investierte Geld äh des Bundes, sind da gut genutzt. Dann natürlich auch Bildung, Ausbildung im Bereich der IT-Sicherheit, ne? Also wir haben ja gute Universitäten, aber halt auch nur einige wenige mir da in den Sinn kommen, ne? Es gibt da, ja, es ist richtig, es gibt das Zispa, es gibt die äh verschiedenen Fraunhofer im Bereich der IT-Sicherheit, äh, Ruhruniversität Bochum, Darmstadt und so, ne? Da gibt es, wir haben da ja unsere Exzellenz Cluster im weitesten Sinne, ne? Aber, Die müssten ja viel, viel größer äh aufgebaut sein und vor allem müsste es halt überlegen, okay, kann man hier Bildungsmaterial bauen, was eben dann auch anderen Universitäten. Ähm zur Verfügung gestellt wird und ist es wirklich zeitgemäß, ja, dass du IT-Sicherheit tatsächlich noch von der Informatik trennst So dann das hatte ich ja gerade auch in dem Eingangsstatement schon gesagt, wo sie sagen, okay, das BSI soll jetzt Portsgänsten machen dürfen, ne? Lächerlich. Ähm, Ich darf das nicht, ne? Also es gibt ja immer noch den zweihundertzwei C. Äh was war das Vorbereitung des Abhörens von Daten. Oder des Aufspürens von Daten ähm du Hackertools sind nach wie vor äh kriminalisiert, ja? Das heißt. Wir demotivieren quasi auch Leute äh oder Unternehmen ihre eigene IT mal zu prüfen, zu scannen, äh auf die Probe zu stellen, weil wir das quasi diese Tools, die man dafür üblicherweise verwendet, eben so ein bisschen äh in einem sehr schlechten Ruf halten, richtig und damit auch ihren Einsatz in, in, in, Rechtsrisiko überführen.
Tim Pritlove
Das ist auch wirklich krass. Wie lange gibt's das jetzt schon? Diese Hacker-Tools, Paragraphen ist auch schon ewig her, ne?
Linus Neumann
Ist das ein ist das nicht sogar neunziger Jahre Thema.
Tim Pritlove
Äh lange auf jeden Fall.
Linus Neumann
Also CC hat da mal zweitausendacht was zugesagt, aber da ist er. Zweitausendsieben, ich du, ich weiß es ehrlich gesagt nicht, wann der ja?
Tim Pritlove
Mai zweitausendsieben. Ja.
Linus Neumann
Kam ja fast noch ein bisschen länger vor.
Tim Pritlove
Ist auch schon lang genug, also. Dreizehn Jahre. Dreizehn Jahre alt äh äh eingesetzt und noch nicht verstanden, dass es alles total kontraproduktiv ist und nichts verhindert. Es verhindert gar nichts, nichts.
Linus Neumann
Nee, überhaupt nicht. Na ja, okay, dann haben wir gesagt, okay, das fand ich nämlich auch spannend, weißt du, wenn wenn du da jetzt in so einem Ausschuss sitzt, auch das habe ich ja im Eingangsstatement schon gesagt, wenn du in so einem Ausschuss sitzt und sagst, okay, wir wollen jetzt hier IT-Sicherheit sein, dann ist die eine Sache, die du sagen kannst, okay, wie kann man das, was wäre, was kann überhaupt ein Staat tun, damit die IT-Sicherheit steigt, ja? Und die andere Frage ist, was macht ein Staat denn eigentlich gerade, ne? Und dann hier Ausweitung von Staatstrojaner einsetzen, ne? Ist zwanzig siebzehn beschlossen worden, war nach dem. Nach dem letzten IT-Sicherheitsgesetz, so, da haben sie gesagt, ja, geil, wir machen jetzt IT-Sicherheit. Übrigens, äh, wir wollen, wir wollen massiv in ähm in Staatstrainer investieren, dann äh Gesetz zur Anpassung des Verfassungsschutzrechts, wo dann irgendwie die Netzbetreiberin sogar noch in die Pflicht genommen werden, durch gezielte Umleitungen, quasi dabei zu helfen, Staatstrainer auf deine Geräte zu installieren. Gesetz zur Modernisierung der Rechtsgrundlagen der Bundespolizei, wo Staatsträner gegen Menschen eingesetzt werden dürfen, die nur nicht einmal einer Straftat verdächtigt werden. Also wenn davon ausgegangen wird, dass die eine Straftat in der Zukunft begehen werden oder angenommen wird, dass ihr Endgerät von einer verdächtigen Person benutzt werden wird. Das reicht aus für Abhörmaßnahmen und Staatstrainer auf deinen Geräten. Laut dem geplanten Gesetz zur Modernisierung der Rechtsgrundlagen der Bundespolizei. Und dann natürlich klar, das lasse ich mir nicht nehmen. Kooperation mit zweifelhaften Herstellern haben wir hier oft genug drüber gesprochen, die Analyse von Thorsten Schröder und mir dass ähm diese Stadt zu werden, das find's bei den ja nunmal das BKA ähm. Zu dessen Kunden das BKA gehört, ne, der irgendwie, gegen die demokratische Opposition in Ägypten, gegen Aktivistinnen immer rein gegen also aus Äthiopien gegen Bürgerin der USA, gegen die Opposition in Uganda und äh hier gegen die Opposition in der Türkei eingesetzt wird. Wo. Ist ja immerhin, das habe ich ja hier, ist sowieso eigentlich eigentlich eine der. Total anderreportet, großartigen Neuigkeiten des Jahres zwanzig zwanzig war das dann noch, wo es dann endlich mal Untersuchungen bei denen gab, ja. Ähm, aufgrund der Beschwerde gegen äh wegen oder der Strafanzeige wegen des Verdachts des Verstoßes gegen Exportrestriktion. Ähm, Dann haben wir die hier mit Patrick Breyer darüber gesprochen, die Angriff auf die Vertraulichkeit von Messenger-Kommunikation, wo ich den da auch äh in der äh in der Anhörung nochmal gesagt habe, weißt du, nachdem sie die D-Mail verkackt haben und das besondere elektronischer Ansatz passt wo, ist im Prinzip mit diesen mit Signal oder Freemar ähm oder äh Matrix oder was auch immer, gibt's jetzt zum ersten Mal massentaugliche Ende zu Ende Verschlüsselung für deutsche Bürgerinnen, deutsche Wirtschaft. Und was äh ähm habe ich in der in der äh Anhörung auch gesagt, so ne, das ist nicht Sicherheit, äh Durchverschlüsselung und Sicherheit trotz Verschlüsselung, sei es Sicherheit durch Verschlüsselung Punkt. Und statt sich darüber zu freuen, hast du jetzt halt so eine Trotzreaktion des BMI, die dann sagen, ja, nee, das geht ja aber so sicher wollten wir das aber nicht haben, ne? Das äh können wir, können wir so aber nicht machen. Das geht, sich ärgerlich, wenn da wenn die da dann wirklich gewonnene IT-Sicherheit der wieder wegnehmen wollen und das ja sogar noch in eine eigene Behörde bauen, nämlich in diese Zitis, die ja quasi für das BKA, für den Bundesamt, für Verfassungsschutz, für die Bundespolizei, ähm, Kryptoanalyse, Telekommunikationsüberwachung und so weiter, gezielt bauen soll. Da hast du mal eine Konsolidierung, ne? Also da kann ich ihnen gratulieren, herzlichen Glückwunsch, da habt ihr mal eure Kräfte konsolidiert. Super, dass ihr die gegen eure eigene Bevölkerung richtet, diese Konsolidierung. Und was ich dann noch sehr spannend finde, ist der BND mit dem neuen BND-Gesetz, das äh muss man sich merken, das spielt später nochmal eine Rolle, soll ja jetzt spezifisch die Ermächtigung bekommen, die Befugnis bekommen ausländische Telekommunikationsnetze zu hacken. Und zwar zum Zwecke, dass er dort äh Kommunikationsinhalte ähm und so weiter und Bestandsverkehrs und Inhaltsdaten abgreifen kann. Ja, und dann sagen sie, dafür darfst du hacken. Und das muss man sich eben, muss man sich quasi im im Hinterkopf behalten für diese gesamte Diskussion vertrauenswürdiger Anbieter, wo sie äh letztendlich, das ist das sogenannte, ne, kann man sagen, Lex Whaway, ne, wo sie ja versuchen, ein Gesetz zu machen, um irgendwie das Risiko äh äh was von Huawei äh ausgehen soll äh in den in den Griff zu.
Tim Pritlove
Das angebliche Risiko.
Linus Neumann
Genau, das angebliche Risiko, aber wie gesagt, vor dem Hintergrund im Kopf halten, so wir selber, der BND darf. Fremdanbieter, Kommunikationsnetze in anderen Ländern hecken, um dort an die Daten zu kommen, ne? Abschließende Empfehlung, also das waren jetzt eine Reihe an Empfehlungen, habe ich gesagt, so unter dem Absetzung ist die Bundesrepublik äh Bundestag und Bundesregierung sollten IT-Sicher zum konkreten und kompromisslosen Ziel der Innenpolitik, der Bundesrepublik Deutschland machen und dieses Ziel auch aktiv verfolgen. Bestrebung zur Schwächung der IT-Sicherheit von Endgeräten und digitalen Infrastrukturen, umgehend einzustellen. Bereits erlassene Gesetze zur Schwächung der IT-Sicherheit von Endgeräten und digitalen Infrastrukturen sind entsprechend zu, revidieren. Bin mal gespannt, ob sie der Empfehlung folgen. Ich habe jetzt nicht den Eindruck, aber schon wenigstens mal sagen, was was richtig wäre. Ähm jetzt zu der Rolle des BSI. Es gibt hier eben einige, Also das BSI soll mit diesem Gesetz, also jetzt kommen wir quasi zur Kritik am tatsächlichen Gesetzesentwurf, das BSI soll eine ganze Reihe, neuer Befugnisse bekommen. Ich bin nicht auf alle eingegangen. Deswegen ähm schauen wir doch jetzt trotzdem mal einmal wenigstens der Vollständigkeit, damit wir das Gesetz auch, vollständig gewürdigt haben, zitiere ich mal eben aus der Zusammenfassung. Sie sagen, okay. Schwerpunktmäßig werden folgende Änderungen vorgenommen, also das sind jetzt die Gesamtinhalte des IT-Sicherheitsgesetzes zwei Punkt null. Verbesserung des Schutzes der IT der Bundesverwaltung unter anderem durch weitere Prüf- und Kontrollbefugnisse des BSI. Und Festlegung von Mindeststandards durch das BSI. Ne? Habe ich mir nicht weiter, also habe ich mir angeschaut, habe ich aber nicht weiter was zu beigetragen, sollen sie von mir aus machen. Schreiben sie so ein paar Mindeststandards. Das können sie ja inzwischen ganz gut, Schaffung von Befugnissen zur Detektion von Schadprogrammen, zum Schutz der Regierungsnetze. Da geht's also auch noch um die Regierungsnetze, das so vorsichtig da, also über Schadprogramme reden wir an anderer Stelle nochmal mehr. Abfrage von Bestandsdaten, Anbietern von Telekommunikationsdiensten um Betroffene über Sicherheitslücken und Angriffe zu informieren. Da geht's darum, dass sie, sagen wir mal, in der Insidentrespons oder so halt mal über eine IP-Adresse stolpern und das BSI dann selber eine Bestandsdatenauskunft machen darf. Es ist aber hier von der Anwendung eben an den Zweck der Informierung über Schwachstellen gebunden. Insofern ist das so. Ja sagen wir mal.
Tim Pritlove
Könnte sinnvoll sein, ja.
Linus Neumann
Ja, die Bestandsdatenauskunft ist ohnehin viel zu überborden, ne? Da haben wir andere Probleme mit, wir erinnern uns ja übrigens auch an hier, ne? Patrick Breyer, Katharina Nokun, mit der erfolgreichen Klage dagegen, da wo ja auch immer und die Passwörter, also es gib, Probleme mit der Bestandsdatenauskunft, die grundsätzlicher Natur sind, aber das jetzt, sage ich mal, ein BSI potentiell, wenn es in einem aktiven Angriffsgeschehen wirklich einmal agiert. Und Betroffene äh von Angriffen oder Sicherheitslücken informieren möchte, dann sage ich mal, ist das jetzt nicht. Das Problem, ne? Also die Bestandsdatenauskunft an sich ist ein Problem, aber dass das BSI das machen würde, da sehe ich bei anderen viel größere Probleme, ne. Ähm. Vor allem, weil es hier einen konkreten Zweck gebunden ist, ne? Ähm, Befugnis für das BSI-Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen TK-Netzen zu deliktieren, sowie Einsatz von Systemen und Verfahren zur Analyse von Chartprogrammen und Angriffsmethoden Kannst du mal ähm raten, was das tatsächlich bedeutet? Du, du kannst ja noch TK sprechen, ne. Die Schnittstelleninformationstechnischer Systeme zu öffentlichen TK Netzen.
Tim Pritlove
Was mit denen jetzt?
Linus Neumann
Ja, das, also was was verbirgt sich hinter dieser Befugnis? Also was ist überhaupt die Schnittstelle Informationstechnischer Systeme zu öffentlichen TK Netzen. Nee, äh also äh wenn ich das jetzt richtig erinnere, ist das einfach nur dein, da sind quasi die IP-Adresse deines Routers.
Tim Pritlove
Ach so, das meinen sie.
Linus Neumann
Das ist die Port Scan Sache.
Tim Pritlove
Verstehe, warum man.
Linus Neumann
Weil sie da eine Sicherheitslücken an den Schnittstellen Informationstechnischer Systeme zu öffentlichen Tecanetzen zu detektieren. Das ist quasi Deutsch, Deutsch für Port scan.
Tim Pritlove
Das Englisch ist manchmal doch ein bisschen eleganter. Geringfügig.
Linus Neumann
Äh und äh genau da haben sie, Also dieser Teil ist ist relativ eng eingegrenzt. Die dürfen also jetzt zum Beispiel nicht bei Privatpersonen, sondern nur bei den kritischen Infrastrukturen und Unternehmen besonderen öffentlichen Interesses, diese diese Scans machen. Und ja es gibt auch Leute, die das problematischer sehen, ja, dass das BSI jetzt äh äh Schwachstellendetektion macht. Es gibt da natürlich äh, Aber okay, ich wollte einfach nur mal die Übersicht machen. Also das ist das mit den Portskins, da reden wir auch gleich nochmal drüber. Da habe ich mich nämlich zu geäußert. Dann Schaffung einer Anordnungsbefugnis des BSI gegenüber Telekommunikations und Telemedien, Dienstanbietern, zur Abwehrspezifischer Gefahren für die Informationssicherheit. Da habe ich mich auch zu geäußert. Da geht's nämlich genau um diese ganze Heckbackgeschichte. Ausweitung der Pflichten für Betreiber, kritischer Infrastrukturen und weitere Unternehmen im besonderen öffentlichen Interesse. Ähm. Ja da da also normaler bisher war das BSI nur für äh kritische Infrastrukturen, zuständig, in dem Teil sagen sie, definieren sie quasi neu, was sie alles zur äh kritischen Infrastruktur benennen dürfen und was, dass sie noch unter äh Unternehmen von besonderem öffentlichen Interesse äh mit aufnehmen dürfen. Da habe ich mich auch zu geäußert, kommen wir gleich zu. Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten. Das ist das Lex Huawei. Ja? Äh da kommen wir ähm komme ich also auch nochmal zu, habe ich auch was zugeschrieben. Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI, denkst du, oh geil, schön, endlich, ne? Kümmern sie sich auch mal um uns. Ja, aber dazu gehört dann eben das einzige, was sie da wirklich wirklich machen ist Schaffung der Voraussetzung für ein einheitliches IT-Sicherheitskennzeichen, dass die IT-Sicherheit der Produkte sichtbar macht. Ähm. Ja, habe ich auch ähm äh habe ich mich auch zu geäußert. Also kommen wir da jetzt im Detail zu. Äh genau. Dann das wären also das ist alles, was sie in diesem Gesetz machen, ne. Und jetzt haben wir mal Kommen wir jetzt zu den Dingen, habe ich ja gerade schon gesagt, zu denen ich mich äußere, wir haben einmal das den Umgang mit Schwachstellen. Wir haben diese ganze Sache mit den Port-Scans. Also erstens ist das relativ eingeschränkt, denn die dürfen nur Informationstechnische System, Systeme des Bundes oder kritischer Infrastrukturen, digitaler Dienste und Unternehmen in besonderem öffentlichen Interesse auf Sicherheitslücken prüfen. Was Unternehmen in besonderem öffentlichen Interesse ist, klären sie später. Aber da habe ich mir überlegt, da wollen sie jetzt sagen, also das BSI soll Port Skins machen dürfen, ne? Soll kosten. Zehn Planstellen ähm und äh einmalige Kosten äh von. Also zehn Planstellen die kosten jährlich insgesamt ganz knapp eine Million und Sacheinzelkosten von einer Viertelmillion, äh jährlich und einmalige Sachkosten in Höhe von eins Komma sieben Millionen, ne? Also eins Komma sieben Millionen einmalig und irgendwie so um die eins Komma eins eins Komma zwei Millionen Euro, im Jahr dafür, dass die Port Scans machen dürfen. Und da habe ich halt nur so gesagt, so okay, ich meine, ist, ihr habt recht, mit Pottskins machen auch Kriminelle. Und es ist äh unsinnig, euch das zu verbieten, ne? Macht das ruhig mal. Aber, weißt du? Wer macht denn heute noch einen Pottscan? Du gehst auf Shoudan und guckst einfach, ne? Gibst die IP-Adresse ein und guckst, was halt ein professioneller Scanner dort für Ergebnisse liefert. Und was sie halt irgendwie diese diese gesamte Idee geht davon aus, dass das BSI macht jetzt einen Portskin und sucht nach, schwachstellen. Die dürften übrigens dann auch Passwortlisten aus durchprobieren, ne? Also sie dürfen auch Brutfostangriffe machen. Und die bilden sich jetzt ein, dass sie dann schneller werden als Angreiferin. Also die glauben ernsthaft, dass das BSI irgendwie Portsgans macht und und Passwortbrutforst. Und wenn sie da was finden, dann sagen sie dir, sagen sie diesen kritischen Infrastrukturen schnell Bescheid, bevor die gehackt werden. Eine deutsche Behörde, sagt ihr schneller Bescheid.
Tim Pritlove
Oh
Linus Neumann
Total äh.
Tim Pritlove
Noch eine eigene Warnapp beim BSI.
Linus Neumann
Ja, du kannst kein Warnep. Die ist auf jeden Fall rot. Also total irrsinnige Idee, ne? Habe ich auch gesagt so ey überlegt euch doch mal, ob ihr nicht, bevor ihr jetzt hier äh jährliche Millionen ausgebt. Ob er nicht einfach mal ein Abo bei Shudan abschließt und dann gucken könnt, ne? Und vor allem es ist wirklich unsinnig, dass das schneller, dass sie schneller werden, ne, weil Angreifer, die suchen ja nicht nur nach Schwachstellen, sondern die Exploiden, die direkt auch, ja? Und das kann das BSI ja nicht, Und jetzt kommt der Punkt. Und das finde ich wirklich eine Unverschämtheit, dass sie sagen, wenn sie in dem, wenn sie da was finden, also wenn sie irgendwo eine Schwachstelle finden, in kritischen Infrastrukturen, Kommunikationsdienst. Äh Entschuldigung, digitalen Diensten oder Unternehmen von besonderem öffentlichen Interesse, dann dürfen sie Bescheid sagen. Wenn dem überwiegende Sicherheitsinteressen nicht entgegenstehen. Dann dürfen sie den Informationstechnisch den für das informationstechnische Systemverantwortlichen darüber informieren. Und jetzt frage ich mich.
Tim Pritlove
Was sind das für komische Gründe? Ja.
Linus Neumann
Was sollen das denn für Interessen sein? Das ist doch ein IT-Sicherheitsgesetz. Und jetzt gibt's auf einmal überwiegende Sicherheitsinteressen, die dem entgegenstehen, die Betreiberin oder die Verantwortliche eines Informationstechnischen Systems darüber zu informieren, So, äh ich kann da jetzt mal äh zitieren, ich bin da glaube ich etwas schroff geworden. Diese Einschränkung ist ein weiteres von unzähligen Beispielen für die Unterordnung der Sicherheitsinteressen der kritischen Infrastrukturen der Bundesrepublik Deutschland gegenüber den Unsicherheitsinteressen des BMI. Es ist nicht weniger als eine durchschaubare Frechheit, Befugnisse zum Aufspüren von Sicherheitslücken, zum Zwecke der Information der Betroffenen einzufordern und sich noch auf der gleichen Seite des Gesetzentwurfs von der Informationspflicht zu entbinden Es finde ich absolute Unverschämtheit. Habe ich auch so gesagt. Wie Frechhei.
Tim Pritlove
Nein, nicht das ist BSI dann irgendwie die Gauner warnt.
Linus Neumann
Also ne ist ganz klar unter keinen Umständen sollte das BSI jemals berechtigt sein, bei Kenntnis von Schwachstellen etwas anderes zu tun als die Betroffenen zu informieren auf eine Beseitigung hinzuarbeiten und zu gegebenen Zeitpunkt die Öffentlichkeit zu wahren, fehlt hier auch vollständig drin, ne? Da hätte man nämlich mal sagen können, okay, zack. Es gibt ja mitunter Meldepflichten mit schwach von Schwachstellen an das BSI, ja? Und dann muss das B und für das BSI muss es dann einfach nur noch ein eindeutiges Mandat und ein Auftrag dafür geben, die zu beseitigen und dann kannst, dann hast du etwas getan, was IT-Sicherheit steigert, ne. Aber nein, wollten sie nicht. So, dann haben sie, jetzt kommt der äh ein wildes Thema. Ja, wir haben's ja in den letzten, in der letzten Sendung schon oder vorletzten Sendung darüber gesprochen, ähm dieser Emotet Takedown. Also wo jetzt die Situation so war. Dass sie die, also diese, EMOTED, wir haben's in den letzten Sendungen erklärt, ich versuch's jetzt kürzer zu fassen, ne? Emojet äh ist im Prinzip erstmal nur ein Trojaner auf deinem Rechner. Der darauf wartet ähm eben dich teilweise automatisiert, weiter zu hacken und äh potenziell auf Befehle von seinem Command Control Server wartet, um dich manuell weiter zu hacken. Ja, gibt dir von dem Command and Control Server, wirkt quasi. Der, wirken die Hacker auf dein System ein, ne? Ist relativ klar, wenn ich jetzt irgendwie ein System mit einer Schadsoftware infiziere, die muss ja irgendwo hin zu mir zurückreporten und von mir Befehle bekommen. Das ist quasi dieser Command and Control Server.
Tim Pritlove
So ein bisschen so der Fallschirmspringer hinter den feindlichen Linien, der sich dann erstmal irgendwo versteckt und auch weitere Befehle wartet.
Linus Neumann
Genau und der hat ja einen Kommunikationskanal. Bleiben wir eher dieser Feindschildspringer ist gar nicht so verkehrt. So, jetzt. Und der hat ein Kommunikationskanal äh Kanal. Und das BSI sagt jetzt, äh dieses IT-Sicherheitsgesetz sagt jetzt, okay. Das BSI darf diesen Kommunikationskanal, dieses Fallschirmsprechers umleiten und auch dem. Ähm technische Befehle zur Bereinigung geben. Ja, also der dieser ähm Fallschirmspringer ist ja jetzt quasi ein ein Schadprogramm. Und die dürfen jetzt quasi dem Schadprogramm sagen äh lösch dich, ne? Zum Beispiel. Das ist ja auch das, was jetzt mit diesem Emotet versuchen wollen. Wo wir immer noch nicht wissen, auf welcher rechtlichen Grundlage sie das machen, aber auf jeden Fall wissen, dass sie's nicht dürfen. Äh weil's keine rechtliche Grundlage gibt. Deswegen sagen sie auch nicht, auf welcher rechtlichen Grundlage sie das machen. Gast, da wird's also jetzt kompliziert, weil es gibt zumindest einen Beispielfall, diese Emote-Geschichte, wo das unterm Strich, im Einzelfall ein positives Ergebnis hat, wenn das passiert, ne? Weil du hast jetzt du hast potentiell eben Systeme von einer Schadsoftware bereinigt, die wenn du die Schadsoftware draufgelassen hättest, potenziell. Weiteren Schaden hätten nehmen können. So dieser Fall ist zumindest ein sehr schmaler, sehr genauer, Spezifisch denkbarer, eingrenzbarer Fall. Und die Herausforderung ist aber jetzt, wenn du sagst, das ist wünschenswert, ja? Da musst du natürlich das aber gesetzlich so schreiben, dass das nicht absolut missbrauchbar ist, was du da schreibst. Ich hatte ja glaube ich in der letzten oder vorletzten Sendung schon gesagt, dass juristisch umzusetzen ist total schwierig So und hier haben sie jetzt in dem sieben B und sieben äh in dem sieben C sagen sie, okay, um das zu verhindern, dürfen wir. Internetverkehr umleiten. Das ist im Prinzip äh also nennt sich Sinkholing. Äh es wird im Prinzip gesagt, wenn du jetzt weißt, die IP-Adresse des, diese wo der, wo der Command Control-Server ist, der Traffic dorthin, den können wir ja von mir aus auf Netzwerkseite blocken und schon ist diese Schadsoftware von der ähm Kommunikation. Mit ihrem Command Incontroll-Server abgeschnitten, Und ähm das könnte potentiell eben eine äh Maßnahme sein, die sinnvoll ist, um den Angriff hier. Zu unterbrechen, ne? Und dann könnte man sagen, okay, wir sing holen diese Kommunikation, die dorthin geht und wir äh gehen informieren dann, wir haben ja hier Bestandsdaten, Auskunft, die Betroffenen und sagen hier bitte einmal ähm, deinstallieren, aber jetzt im Prinzip unter den Leuten sagen so zum Beispiel ne lieber Tim, auf der McOS ist, ist hier irgendwie eine Schadsoftware äh via Sink holen, wir haben angeordnet dass der Traffic gesingt holt wird und jetzt musst du bitte auch noch diese Schadsoftware von deinem Computer äh deinstalieren, bevor die es sich irgendwie anders überlegt.
Tim Pritlove
Aber Linus auf dem Mac gibt's doch keine Schadsoftware. Ich bitte dich.
Linus Neumann
Auf deinem schon.
Tim Pritlove
Weißt du mehr als ich.
Linus Neumann
Ich habe dir auch geschrieben.
Tim Pritlove
Echt?
Linus Neumann
So jetzt äh ne, jetzt also bis hierhin reden wir nur von Umleitung. So und jetzt sagen sie, okay. Aber wir wollen am anderen Ende eventuell nicht nur einfach nicht antworten. Sondern wir wollen da vielleicht auch antworten. Ja, wir High Jacken die Infektion, die du da hast. Und jetzt benutzen wir jetzt gehen wir quasi ein Command Control Befehl, lösch dich. In dem Moment hast du eben diesen Eingriff in die Integrität des Systemes, der Bürgerin. Dieser Eingriff ist. Potenziell im konstruierten Fall, den wir gerade haben. Im Zweifelsfall im Interesse dieser Bürgerin, ja? Im Zweifelsfall ist das in der in ihrem Interesse, aber. Du hast jetzt hier 'n Gesetzestext, der das halt beschreiben muss, ja? Und hier wird im Prinzip, das ist halt einfach völlig unterspezifiziert, weil noch nicht einmal klar ist, ob sie diese Anordnung zum Versenden von Befehlen zur Entfernung nur ähm, über Telekommunikationsanbieterin oder vielleicht sogar auch über. Telemedienanbieterinnen machen dürfen. Also zum Beispiel. Potentiell so etwas hätten wie hier Apple, ne? Äh lösch mal bitte die App hier von Tims Handy und die Voraussetzung, was jetzt da eine App ist, das äh erstreckt sich sogar auf ähm. Also es kannst du auch so lesen, dass es zum Beispiel ein Hackertool wäre. Ja, also beispielsweise sagen wir mal, du hättest eine Portscanner-App oder eine App, die geeignet ist ähm. Sehr viele Anfragen hintereinander zu nutzen und wenn mehrere Leute diese App benutzen wäre sie geeignet ein Dedos durchzuführen, ja? Jetzt würden die sagen, oh, wenn mehrere Leute ein Dedos machen, ist das eine Gefahr für unsere Infrastruktur. Insofern ordnen wir jetzt mal lieber an, dass diese App von Tims Handy gelöscht wird, ja? Und das ordnen wir an, was weiß ich mit dem Hebel gegenüber Apple. So. Dieses, Dieses Gesetz kannst du so lesen, dass das nicht eindeutig ausgeschlossen ist, Und das ist natürlich total krass. Also damit hast du quasi eine mal eben die die eine, ein Recht zur zum Eingriff in die Integrität informationstechnischer Systeme und das wiederum Intelligität informationstechnische Systeme ist ja ein Grundrecht. Also wir reden hier nicht von irgendwie so einem Ding, sondern wir reden hier von einem schwerwiegenden Eingriff, ja. Ähm. Und die einzige andere ähm. Die einzige andere gesetzliche Regelung nach der du das darfst, ist die Online-Durchsuchung, ne? Also hier im Rahmen der Strafverfolgung mit. Früher Hohn jetzt immer geringeren rechtlichen Hürden, ne? Aber das ist die einzige das einzige, die einzige gesetzliche Norm, die eine Verletzung dieses Grundrechts erlaubt. Die Quellen TKÜ. Ne? Also Staatstrojaner, die nur in Anführungszeichen Messenger abhören, aber nicht zum Beispiel in deiner Fotobibliothek äh suchen dürfen. Die sind, quasi sehr in ihrer Funktionalität begrenzt. Die dürfen dürfen zum spezifischen Fall der des Abhörens von Kommunikation eingesetzt werden. Aber die dürfen zum Beispiel nicht sonstige Änderungen auf deinem System vornehmen und das sind die einzigen, rechtlichen Normen, wo der Staat in die Intimität der äh IT-Systeme ein. Greifen darf. Seiner Bürgerin. Und das wäre jetzt eine weitere dazu, ja? Deswegen ist das eben auch so eine total krasse Sache.
Tim Pritlove
Geschichte auf jeden Fall.
Linus Neumann
So jetzt. Habe ich dazu geschrieben, so Sink Holing ist heute schon gängige Praxis. Es ist nämlich nicht so, als würde Sing Holing nicht stattfinden, nicht nur beim Umleiten, ne? Also hoffe, ich hab's klar genug gemacht, das Umleiten ist A, oder eine Sache und dann eben auch andere Befehle zu geben, ist eine andere, ne. Beim Sing Halling ist im Prinzip so, das funktioniert grade schon ziemlich gut, ja? Ähm wenn du jetzt irgendwie was, weiß ich, irgendeine Schadsoftware auf deinem Computer hättest, die E-Mails bam versendet, geht bei der, bei der deutschen Telekom irgendwann automatisiert 'ne eine Grenze an und dann wird diese werden deine Verbindung zu, Port fünfundzwanzig einfach geblockt, ne? Und dann kriegst du einen Brief und wird gesagt, hier du schreibst zu viele E-Mails, guck mal, ob du nicht irgendwie ein Problem hast, ne? Das ist etwas, was die schon machen. Und haben wir eben auch geschrieben so, dass diese Befugnisse haben die schon nach TKG Paragraph einhundertneun Absatz fünf und sechs und, sind sie auch da drin sind sie auch gut, ja? Äh, ist ein eingespielter Prozess, da muss eigentlich das BSI jetzt nicht nochmal reinkommen, ja? Insofern sollte das BSI hier nur äh eingreifen und anordnen, wenn, wenn es irgendwie, TK Anbieterinnen nicht selbst in der Lage sind, diese Maßnahmen zu sprechen und umzusetzen. So. Jetzt kommt dieser ein eben die Sache, okay, wir sing holen nicht nur, sondern wir antworten auf der anderen Seite. Ich meine, mir fallen als, Hacker, tausend Wege ein, das das zu verhindern, die einfachste Möglichkeit wäre einfach, net, du signierst deine Command-Control-Befehle, ist eh gute Praxis, ja, dafür zu sorgen, dass du Vorsorge dafür triffst, dass du deinen Kommanden Control-Server umziehen musst, ja? Da gibt's schöne ähm schöne Möglichkeiten für zu sagen okay, ne, du nutzt halt Domainnames und wenn dann der Domainname gelöscht wird, äh dann würfelst du dir einfach neue und dann um sicherzustellen, dass du mit dem richtigen Rede signierst du einfach den Traffic und schon hast du, Command in Control Traffic, den so schnell keiner mehr umleitet und wo die erst recht niemand am anderen Ende auf einmal Befehle gibt, weil eben deine Feinde, das BSI oder wer auch immer das dann ist, nicht in der Lage sind, die zu signieren, so wie du das machst, aber okay, was rede ich hier von Technik? Wir reden ja hier vom IT-Sicherheitsgesetz, das Schmidt-Technik ja erstmal nicht unbedingt eine Rolle. Ähm. Krass ist, sie sich dieses Recht einräumen ohne zum Beispiel zu sagen vorher muss alles andere geprüft sein. Also sie sagen zum Beispiel nicht, OK wir dürfen umleiten und wenn das nicht reicht können wir 'n Löschbefehl geben oder wir dürfen umleiten und wenn wir dann die Leute informiert haben und die einen Monat lang oder fünf Monate lang oder sechs Monate nicht reagiert haben und es eine konkrete Gefahr gibt, die wir durch keine andere, Maßnahme irgendwie eingrenzen können, dann dürfen wir als Ultima Ratio mit, weißt du von hundertachtzig Behörden äh und Prüfungen genehmigt und geprüft und dokumentiert und ähm revisionssicher, transparent gemacht, ne? Ähm. Diesen diesen Schritt ergreifen. Das steht da alles nicht drin. Das steht einfach nur so drin, so wir dürfen. Und das geht natürlich überhaupt nicht. Also haben wir geschrieben so Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme müssen von eng definierten Voraussetzungen ausführlicher Transparenz und streng eingegrenzten Zielen flankiert werden. Das ist hier alles nicht der Fall. Das steht mehr oder weniger einfach nur so drin wir dürfen schadsofair, wir dürfen Befehle zum Löschen von Chardsoftware versenden, das geht halt überhaupt nicht, ne? Und, sie steht auch nicht drin, dass sie dafür irgendwas haften würden, ne? Kann ja sein, habe ich ja auch in der letzten Sendung schon gesagt, kann ja sein, dass ich das Shartprogramm haben wollte ja und vor allem Schadprogramm ist hier noch nicht mal klar definiert, weil wie gesagt, es könnte eben auch Ja, ein Programm sein, was ich eigentlich ganz gerne haben wollte und was niemals äh mir zum Schaden gereicht hätte. Und all diese Fälle sind da überhaupt nicht mit abgedeckt. Und das geht halt so ähm. Ja, es geht überhaupt nicht. Das das Ding das steht auf einer Viertelseite so, ne? Ja, wir dürfen also es steht im Prinzip drin, so wir dürfen zur Abwehr von Gefahrsachen von deinem Computer löschen. Geht natürlich so überhaupt nicht, ne? Haben wir halt gesagt, OK du brauchst 'n Aufsichtsgremium, du brauchst viel engere, rechtliche Voraussetzung, viel engere Zweckbindung. Du musst erstmal die Begriffe definieren die hier eine Rolle spielen, ne? Nicht einfach Schadprogramm oder Information und so weiter, also habe ich ja auch in dem Eingangszelt mir gesagt, so wie das da steht, sehe ich ein riesiges Missbrauchspotential. Ich glaube auch nicht, dass die jemals an den Punkt der Notwendigkeit kämen, weil auch bei diesem Emotet sagen sie ja jetzt. Dass sie de facto die Kommunikation Sink holen, ja? Sie sagen ja also uns gehört die Angreiferinfrastruktur, die Kommandanten Control Serverinfrastruktur und wir werden dann jetzt irgendwann den Befehl zur Löschung geben. So. Was sie aber nicht sagen ist, wir informieren jetzt die Betroffenen. Warum steht, also warum ist das, es muss doch vorgesehen sein in dem Prozess zu sagen, bevor wir an deinem Computer rumfuhrwerken, ähm sagen wir dir vielleicht erstmal Bescheid. Ist ja alles nicht vorgesehen. Also ich wie gesagt, es ist es ist hochkritisch, was da äh was da formuliert ist und geht so auf gar keinen Fall klar. Risiko ist übrigens, dass es wahrscheinlich genauso verabschieden. Man kann sogar soweit gehen. Zu sagen, okay, das dürfen die einfach grundsätzlich nicht. Also wenn sie Sink holen. Also unter der Annahme, dass es mal sauber, juristisch formuliert wäre, ja und man sagt, okay, es ist eine Situation gegeben, dass es Kommand Control Traffic, es ist jetzt zum Beispiel auch nicht ähm. Ist er überhaupt nicht genannt, ne? Also könnte es. Klingt halt tatsächlich so, dass sie auch was, weiß ich, wenn du irgendein Hackertool hast, dass sie sagen, alles klar. Äh wir schieben dir ein Update unter, was das Hackertool auf deinem Computer äh unschädlich macht. Da, wäre hier alles noch mitgedeckt. So und das ist wirklich äh brandgefährlich, ne? Also ähm andere Sachverständiger haben gesagt, okay, gehört ersatzlos gestrichen. Ich habe mich dazu entschieden zu sagen so okay, das ist hier alles nicht das ist hier alles eine sämtliche Grundsätze sind verletzt und fehlen, versucht erstmal das ordentlich zu schreiben, ja? In beiden Fällen ist natürlich trotzdem davon auszugehen, dass sie dieses Gesetz jetzt einfach so verabschieden. Insofern habe ich halt gerätselt, ne? Gut führst du den einfach mal an, dass das halt absolut überbordent ist und völlig nicht in Ordnung. Und in der Hoffnung, dass sie ihnen das wenigstens mal vor Augen führst. Allerdings ähm ist es ja leider so, dass ähm. Muss halt jetzt irgendwie sagen wir mal ein nettes Wort äh in diesem Innenausschuss von Seiten der CDU ähm. Leute mit sehr großer äh Loyalität und sehr hohem Vertrauen äh zum BMI-Sitzen, die hohe Bewunderung auch für das BMI heben und wie gesagt, um das sehr freundlich auszudrücken. Äh die, dass sich das jetzt sehr, das leider sehr unwahrscheinlich ist, dass die Sicht bemüßigt sehen, äh daran nochmal etwas zu ändern. Und dann hättest du unterm Strich einen BSI, das. Immer quasi sich den Interessen des BMI unterordnen muss und potentiell Sachen von deinem Computer löschen darf. Nicht so geil.
Tim Pritlove
Ja. Ist immer so ein bisschen, man hat so den Eindruck, es wird halt irgendwann mal festgestellt, so oh oh fuck, da müssen wir jetzt mal irgendwie was machen, weil da steht uns die Scheiße bis zum Hals. Lass mal irgendwas ins Gesetz reinschreiben, was jetzt mal so genau das Ding irgendwie äh bekämpft und nicht äh allgemein formuliert äh ohne groß drüber nachzudenken, welche Implikationen das hat.
Linus Neumann
Es gab äh und genau das ist halt krass, weil ähm in diesem, in dieser Anhörung gestern, ne, also nach meinem Eingangsstatement fühlte sich dann Also das war ja eine Sachverständigenanhörung, ne? Ähm und der Sinn einer Sachverständigenanhörung ist ja eigentlich, dass die Sachverständigen sich da äußern, ja? Und nach meinem Eingangsstatement fühlte sich dann einer der. CDU-Politiker, nämlich der Christoph Bernstiel äh zu einer eigenen Sachverständigenauskunft genötigt. Er hat dann da so ein Co-Referat gehalten, Wurde dann, äh, wenn ich das richtig erinnere auch von der Ausschussvorsitzenden dann eben zurechtgewiesen, dass es hier eine Anhörung ist und nicht, er nicht als Sachverständiger geladen ist so sinngemäß. Kann auch sein, dass sie es nachher erst dem SPD-Vertreter gesagt hat, der auch nochmal so ein Co-Referat gehalten hat. Aber der dann irgendwie erstmal so das hohe Lied des BMI gesungen hat, ne? Also irgendwie was äh so ungefähr, was mir einfiele, ja, hier fehlende ähm. Rechtliche äh Schutzbarbarieren in Form von Anforderungen und Transparenzpflichten äh zu. Zu fordern, dass wir man hätte ja fast den Eindruck, dass sich dem BMI nicht vertrauen würde oder so, ne? Und außerdem hat er dann gesagt, dieses Gesetz wäre ja nun mal äh also da da ging's um die ähm. Verzögerten äh oder diese kurzen Fristen, die wir hatten, um dazu Stellung zu nehmen. Und hat ja dann gesagt, ja also den Interessierten würden ja nun mal dieser Gesetzesentwurf seit äh zwei Jahren vorliegen in äh und äh stetig verbessert werden, ne? Also da die, die Ausrede, dass sie sich hier mal kurz was ausgedacht hätten oder so, ne, die gilt nicht mehr, weil die an dem Zeug eben, wie gesagt, seit ähm, Seit zwei Jahren arbeiten und ich meine, du kannst entweder sagen, okay, die die äh die, die kurzen Fristen zu einreichen einer Stellungnahme reichen ja wohl aus, weil wir haben dadurch ja seit zwei Jahren schreiben wir daran rum. Äh oder du kannst sagen, okay, äh das Gesetz ist es ist noch nicht völlig ausgereift, aber ja, da das war.
Tim Pritlove
Ist denn dein Eindruck überhaupt, dass diese Sachverständigenanhörungen.
Linus Neumann
Nein, überhaupt nicht und da wollte ich auch echt nochmal was zu sagen und insbesondere diese Sachverständigenanhörungen nicht. Das war wirklich eine, ähm eine besonders schlechte äh Leistung von nahezu allen, die da waren. Also das ähm ich habe, Ich war ja schon wirklich jetzt ich weiß nicht mehr wie oft als Sachverständiger im Bundestag, aber auf irgendwo zwischen fünf und zehn Mal vielleicht auch schon über zehn Mal müsste ich nochmal raus und ich habe da nicht so so dicke Archive zu, ne? Aber. Du erinnerst dich vielleicht auch daran, dass ich mal, in so einem als zu dieser Staatstrojaner Anhörung, die war zwanzig siebzehn, wo der Patrick Sensburg mir eine Frage gestellt hat und gesagt hat, ich solle mal erklären, wie ein Staatstrojaner auf ein Handy kommt, so. Ja, der war von der CDU, die CDU hatte mich natürlich nicht als Sachverständigen bestellt, ja und ähm. Der äh ich es war ja deren Gesetz gegen das ich mich da äh sehr stark positioniert habe und der hat mir im Prinzip eine Interessenfrage gestellt so. Wo ich mich sehr gewundert habe, habe ich lange drüber nachgekaut und habe mir gedacht, warum hat der mich was gefragt, ne? Wollte der. Zeit schinden, ne, dass ich was nicht Relevantes äh vortrage und und nicht weiter Kritik an seinem Gesetz übe, ne? Und, die meisten Leute, mit denen ich da auch nachher drüber gesprochen habe, sagten so, nee, wahrscheinlich hat die net einfach interessiert und er wollte die Gelegenheit nutzen, mal jemanden zuzuhören, der sich damit auskennt, ne? Und. Vor allem aber war das das Krasse war, dass der dem Gespräch gefolgt ist. Ja, der hat offensichtlich. Zugehört, was ich da sage und dann ist ihm eine Frage gekommen und dann hat er als, äh ähm Bundestagsabgeordneter in einem Ausschuss, wo Sachverständige angehört werden, eine Frage an einen Sachverständigen gestellt. Und da habe ich die beantwortet, hat der Danke gesagt. So und das heißt, der hat dem, der ist dem Gespräch gefolgt Ja, der hat zugehört. Und das war bei dieser Anhörung gestern, bei vielen nicht der Fall. So. Ähm. Du hattest zum Beispiel Doppelung in den Fragen, ja bei den Fragerunden ist das so, dass die ähm, das geht dann Reihe um nach den nach den Fraktionen oder nach den Parteien größte, ich glaub Fraktionsstärke oder wie auch immer.
Tim Pritlove
Na ja, ich glaube Fraktionsstärke.
Linus Neumann
Ja, das ist teilweise ein Eimer ist es dann auch anders rum sortiert. Ich habe das nicht, ich bin nämlich so gefolgt, ne? Ich habe natürlich mich immer konzentriert, kommt eine Frage an mich und dann habe ich natürlich schnell versucht, die Zeit dafür zu nutzen, mich auf die Frage zu äh vorzubereiten. Ähm. So und da muss man jetzt was zu sagen. Jetzt haben natürlich die ähm die Bundestagsabgeordneten, die da sitzen, die haben natürlich vorgeschlagene Fragen von ihren Mitarbeiterinnen da liegen. Weil die Mitarbeiterinnen haben sich dann damit auseinandergesetzt und dann haben die quasi Fragen. Und diese Fragen sind natürlich, im Prinzip die Kritik der oder die Punkte dieser. Die diese Partei eben zu dem Gesetzesvorhaben gerne hören würde und wo sie davon ausgehen, dass die geladenen Sachverständigen, die sie da fragen, entsprechend etwas sagen, was was ihnen gefällt, ja? Und. Da kannst du natürlich einfach bei bleiben, oder du folgst dem Gespräch und hörst mal, guckst mal, okay, wo liegt denn mein Sachverständiger seinen Schwerpunkt? Und wo frage ich den jetzt mal zu? Und mindestens kannst du ja, wenn dein Sachverständigen die Frage schon gestellt wurde, Darauf verzichten die auch nochmal zu stellen, ja? Aber selbst das ist denen gestern nicht aufgefallen. Da wurde im Prinzip die gleiche Frage an den gleichen Sachverständigen nochmal gestellt, die eine andere äh äh eine andere Person in dem Ausschuss schon gestellt hatte, so oder ne zwei Fragen zu dem gleichen Thema, die noch nicht mal die Frage dann im anderen Sachverständigen gestellt oder so. Und da kommen natürlich dann schon Zweifel auf, dass die Anwesenden alle. Dem Gespräch gefolgt sind, so weil weil es halt eher so 'ne. Was steht hier noch aufm Zettel, okay, dann jetzt die Frage, okay, dann antwortet der, alles klar hoch, äh was hat er gesagt oder so, ne? Das war, also ja ich hatte nicht den Eindruck, dass sie da dem dem das da eine Diskussion stattgefunden hat oder irgendwie großartig zugehört wurde.
Tim Pritlove
Schema F.
Linus Neumann
Allerdings, ne, die sind einmal sind sie total aufgewacht, weil ähm also man muss das so sehen. Äh die, die der ähm, Bundestag DE hat ja auch seinen eigenen Pressedienst, wo quasi draufsteht, wo sie auch so ein bisschen selber PMs halt machen, ne? Und da steht halt drin, äh die PM zu dieser Anhörung ist wenig Beifall für das geplante IT-Sicherheitsgesetz zwei Punkt null, ja, und er wird gesagt, die die Mai, also alle Sachverständigen fanden befanden es in der vorliegenden Fassung für völlig ungenügend so und zwar alle ja ähm und äh eben auch die, die sich die, CDU da selber hingestellt hatte. Insbesondere hier der Professor Gertitz, ähm. Hat verfassungsrechtliche Bedenken, verwaltungsrechtliche Bedenken äh geäußert und hat äh dann glaube ich auch den Begriff verwendet, Anti-Sicherheitsgesetz und wie gesagt, der war äh glaube ich nicht von der Opposition bestellt. Also da haben, da waren sie dann, glaube ich, schon so ein bisschen nervös. Aber den Eindruck, dass sie da wirklich zuhören, hast du nicht, das äh muss ich leider mal an alle sagen, gibt's da Ausnahmenbestätigungen von mir aus die Regel, aber so insgesamt hier hier der Amtor war auch da, Alter Vater. Also die müssen ja, man muss da ja mit Abstand sitzen. So, die sitzen halt mit Abstand und Maske, ne? Ein Meter fünfzig Abstand und Maske So und wenn jetzt so ein Amthor bist, ne, der den ganzen Tag nur quasseln muss, weil der natürlich irgendwie nicht dem Geschehen da folgen möchte, weil das weil er keine Ahnung dafür hat, keine Anteile kriegt, keine, keine, keine Unternehmensanteile, wenn er da zuhört. Ähm dann quatscht der halt mit seinem Nachbarn, So und der Nachbar ist aber anderthalb Meter weg, So, das heißt, er muss lauter reden. Und dieser Ausschusssaal ist rund. Das heißt, er hat eine ganz fürchterliche Akustik. Das heißt, während du das sprichst. Hörst du natürlich auch alles, was andere sagen, ne, also wenn der Amteur da mit seinem Nachbarn redet, das hörst du, zwar relativ laut und ich persönlich hab ein bisschen Schwierigkeiten mich zu konzentrieren wenn jemand anders mir die ganze Zeit ins Ohr quatscht äh und das das war also habe ich als eine absolute Unverschämtheit äh empfunden und der wurde dann auch äh glücklicherweise irgendwann von der Vorsitzenden dann zur Ordnung gerufen. Und dann hat er sich mit seinem Handy beschäftigt. So. Ja
Tim Pritlove
Ganz froh sein, dass er nicht parallel auf Clubhaus war und angefangen hat zu singen oder so.
Linus Neumann
Der war kurz davor, sagen wir es mal so. Also es war wirklich äh. Der der ne, der hatte nicht den Eindruck, aber und ich muss aber auch sagen, wie gesagt, äh ich war schon bei Anhörungen, ähm wo das durchaus sehr viel besser war. Ne? Und ähm. Vielleicht jetzt auch zur äh sagen wir mal zur Entlastung der Oppositionspolitikerinnen, die da eben die Fragen. Als sehr erkennt, also sehr auffällig abgelesen haben. Muss man eben sagen, die werden ja gerade zugeballert, ne. Es ist immer so, am Ende der Legislaturperiode stellen sie auf einmal fest, oh shit, wir haben hier den ganzen Tag nur rumgepimmelt, wir müssen jetzt auch nochmal was machen und dann, fragten sie halt auf einmal, ne? Hunderte Seiten von Gesetzesvorschlägen und so weiter auf die Opposition, die dann halt natürlich auf einmal wie die Irren, die haben ja bei Weib nicht die Ressourcen. Sachverständige sucht den ganzen Mist lesen muss und dann gibt's am Ende des äh gibt's immer so einen Dedos-Angriff, ne? Das war bei der äh bei dieser Staatsreale Anhörung der letzten auch so, dass sich da dann. Ja, das ist halt äh ein ein Hin und Her war und auch die Kommunikation mit den Abgeordnetenbüros dann halt, da merkst du, da sitzen am anderen Ende Leute, die gerade einfach mal völlig überlastet sind und das trifft sicherlich auch eben auf die Abgeordneten der Opposition zu. So sieht denn ihre Arbeit ernst nehmen und das würde ich eigentlich allen dort unterstellen. So jetzt war das bei bei mir ja noch so, ich hatte ja gesagt, dass ich da auf Einladung der Grünen war. Und dass der Termin geändert wurde, was jetzt auch zur Folge hatte, dass der Konstantin von Notz nicht da sein konnte, ja? Der eben im Innenausschuss dieses Thema seit Jahren betreut und verfolgt, deswegen war dann eben seine Stellvertreterin da, die Tabea Rößner, die nicht so in dem Thema steckt und, ich kann natürlich auch verstehen, dass sie dann sagt, okay, ich habe hier meine, ne, mein Briefing bekommen, sicherlich, gehe ich jetzt mal vom aus, vom vom Büro Notz, wird sie ein Briefing bekommen haben, so da und da um drum geht es uns diese Themen frag mal bitte, ne? Und dann wird dir das natürlich auch gemäß ihrer, Empfehlung ihrer Kolleginnen, die sie ja dann nun oder ihres Kollegen, den sie ja dann vertritt auch gemacht haben. Das kann man hier aber jetzt auch nicht übel nehm, Ne, so will ich jetzt, wie gesagt, will da niemanden konkret konkret kritisieren, haben alle ihre Gründe, ne? Aber so insgesamt wird da jetzt nicht diskutiert oder so. Und insbesondere bei diesem Gesetz ist es ja so. Dass das äh weil es diese Dienste des digitalen Zeitalters betrifft äh. Notifiziert werden muss, das heißt, es muss der EU-Kommission zur Einsicht und zum Feedback vorgelegt werden, bevor es äh beschlossen wird. Und das wiederum heißt, wenn sie jetzt etwas daran ändern würden. Dann äh wesentlich, dann ist das nicht mehr das vorgelegte Gesetz. Und irgendwann würden sie eben, hätten sie halt so viel daran geändert und wenn sie meine Empfehlungen folgen, dann haben sie alles daran geändert, dass sie das nochmal neu vorlegen müssten.
Tim Pritlove
Das dauert dann wieder ein paar Monate.
Linus Neumann
Müssen erstmal neu formulieren und dann ist glaube ich diese Frist ist glaube ich sechzig Tage oder so. Also die die, läuft ab Mitte März und du kannst eigentlich davon ausgehen, dass jetzt halt irgendwie, ich glaube. Mitte März irgendwann läuft diese Frist ab und dann wird das Rucki zucki irgendwann äh im Rahmen einer äh eine öffentlich-rechtlichen Nachtausstrahlung halt verabschiedet mit fünf Leuten im Bundestag, so ungefähr Also das wäre jetzt das, was ich erwarten würde, jetzt ist natürlich der Punkt, da selbst eben die Sachverständigen, die von der Koalition bestellt wurden. Fundamentale, schwere Kritik an diesem Gesetz geübt haben, kann es halt schon sein, dass sie sagen, ja okay, nee, das können wir eigentlich nicht machen, ne. Aber ja, bin mal gespannt. Also ich gehe da äh also viel Hoffnung habe ich da jetzt eigentlich nicht. Einfach aufgrund der.
Tim Pritlove
Wie groß ist denn dieser Ausschuss? Wie muss wie groß muss man sich die Runde vorstellen, die da versammelt war.
Linus Neumann
Vor der CDU waren glaube ich drei Leute da, dann hast du war der Könder vom BMI, dann war das Ausschusssekretariat mit zwei Leuten da, dann ich, dann einer von der SPD. Die eine Person von der Linksfraktion war da, die Petra Paul, dann die ähm Anke Domschedberg Remord zugeschaltet Ähm, dann war der Manuel Höh verliehen da von der FDP und noch irgendwie eine von der AfD und der genau, Neben der Anke Domscheidberg war noch die Tabea Rößner äh Remote zugeschaltet und die Sachverständigen. Ich glaube, jetzt habe ich keine wahrscheinlich habe ich jetzt eine Person vergessen. Äh tut mir dann Leid.
Tim Pritlove
Und da ist auch eine Frage von der AfD bekommen.
Linus Neumann
Nee, bei der habe ich ja der der Kelch ist zum Glück an mir vorbeigegangen. Da habe ich auch echt gedacht, oh gut. Einfach nicht in die Situation gekommen ähm insofern ähm sage ich mal nicht, wer weiß, sage ich mal nicht, was mir für diese für diese Situation vorgenommen habe oder hätte, da hätte es natürlich ähm, jetzt was zu sehen gegeben. Aber äh ja, nee, die hat jetzt äh mich nicht gefragt.
Tim Pritlove
Und hast du erwogen, äh ob das ganz ein Hintergrundgeraun ist, einfach mal auf den Tisch zu hauen. Also ich meine, wenn man so ein bisschen äh Aufmerksamkeit haben will, dann funktioniert das ja immer ganz.
Linus Neumann
Och, ich glaube, die Aufmerksamkeit hatte ich schon. Ah, übrigens, ich habe vergessen, wer noch da war der, also der Sebastian Arzt, der saß auch da, der war, der war der einzige andere Sachverständige, die vor Ort, Damit müsste ich jetzt die Runde komplett haben. Und das ist dieser typische Runde, so ein typischer Rundersaal, die an der ja was ist das denn.
Tim Pritlove
Am Wasser da liegen.
Linus Neumann
Genau. Nee, auf der anderen Seite. Also dem Reichstag zugewandt, diese runden Seele e siebenhundert.
Tim Pritlove
Blutca.
Linus Neumann
Und ja unter Korona Bedingungen und so. Jetzt habe ich gar nicht mitgezählt, wie viel Leute es waren. Ja, war jetzt überschaubar, ne? Aber ist eben auch Corona.
Tim Pritlove
Oder Schnelltest.
Linus Neumann
Aber alle mit Maske, also die die Zugang war halt äh reingehen, Ausweis da lassen einmal scannen. Inzwischen darf man Getränke mit reinnehmen. Ich kann mich noch an Zeiten erinnern, da haben sie denen eine Matheflasche abgenommen. Ich durfte aber meine Thermoske, meine eigene Thermoskanne mit reinnehmen. Das ist auf jeden Fall irgendwann mal neu hinzugekommen. Und ähm ja, Maske tragen, wenn du nicht redest, ne? Wobei ich jetzt nicht weiß, äh, ob die AfDlerin da nicht sogar ihre Maske die ganze Zeit ab hatte, die die haben ja so ein bisschen Narrenfreiheit, ne. Kurvidiotenfreiheit haben die ja. Das weiß ich aber nicht genau. Also wirklich möchte ich jetzt gar nicht sagen. Äh ich habe da nicht hingeguckt äh aber alle Personen, die ich angeschaut habe, haben ähm ihre Masken getragen, wenn sie nicht gesprochen haben. Ja
Tim Pritlove
Notizen noch nicht.
Linus Neumann
Es kam dann noch dieses Thema äh vertrauenswürdige Anbieter, ne? Da haben wir relativ viel zugeschrieben. Ähm Ich habe das ja hier auch im Logbuch schon mehrmals erklärt. Also es gibt, es ist diese Wahway Debatte, ne? Und da haben sie jetzt halt irgendwie gesagt, so das BSI darf anordnen, dass nicht vertrauenswürdige Anbieter nicht verwendet werden dürfen, ne. Das ist jetzt im Prinzip das Ergebnis dieser auch seit drei Jahren geführten Debatte um Huawei, ne? Und. Im Prinzip zeigt sich daran ja nur eben diese diese Zahnlosigkeit und Hilflosigkeit des BSI, weil die hätten ja längst sich mal den Huawei-Krempel auseinander nehmen können. Und ich würde es gerne noch einmal wiederholen, weil's, Ich hab's jetzt schon mal erklärt, aber jetzt ist es eben auch, jetzt ist nicht das Gesetz vor. Erstens, es gibt keine Beweise dafür, dass Huawei Komponenten, ähm irgendwie unsicherer werden als die andere Herstellerin. So. Zumindest nicht öffentlich. Es wurde immer mal wieder gemeldet, irgendjemand lege irgendeinen Beweis vor, aber die sind nicht öffentlich bekannt und es gibt, es hat auch niemand äh bisher, Maßnahmen ergriffen, ja? Die ähm jetzt tatsächlich irgendwie dem Rechnung tragen würden, weil wenn wirklich hier irgendwie ähm. Ja Nicht vertrauenswürdig wäre, dann müsstest du das ja nun wirklich einfach aus deinen Netzen wieder rausreißen. Und derartige Maßnahmen hat noch niemand ergriffen und man darf eben vor dieser ganzen Debatte nicht vergessen, dass ähm, Der größere Teil der deutschen Mobilfunknetze jetzt schon mit Huawei Technik gebaut wurde. So und wenn jetzt Huawei sich als bösartig herausstellen würde, dann müsstest du das Zeug halt rausrupfen. So zumindest deren Argumentation, ja? Ähm müsstest du im Zweifelsfall nicht, aber da komme ich gleich zu. So. Jetzt gleichzeitig haben wir über US-amerikanische Hersteller. Ich glaube seit zwanzig dreizehn konkrete Beweise, dass deren Produkte Gebäck dort sind oder nachträglich von äh der äh von den Taylor Access Operations Gebäck dort werten, auf dem Weg zur Lieferung zum Kunden Und da haben wir ja auch nichts gegen unternommen. Insofern, warum sollte, ne? Also da wo Beweise vorliegen, haben wir nichts unternommen, da wo wir behaupten, das wäre ein Problem, aber keine Beweise vorliegen, haben wir auch nichts unternommen, also was soll das alles, ne? Und ich habe ja ähm jetzt den teilweise, hier habe ich den schon beim Podcast erklärt habe. Also, ich habe ja früher sehr viel im Bereich von Mobilfunknetzen gearbeitet. Und ich habe auch hier zwanzig dreizehn mit meinem Kollegen Luca äh im Regierungs äh hier Handy abhören demonstriert, ne? Und, der die Schwachstelle, die dabei eine Rolle spielte in GSM. Die war bestand im Prinzip aus, ich ich erkläre sie jetzt mal einfach ein bisschen komplizierter, ich mache mir das Prinzip klar. Die bestand daraus, dass. Du in GSM sendest du quasi Pakete in sogenannten Frames, also du hast immer pro Zeiteinheit eine gewisse Anzahl Daten, die du übertragen kannst, Und wenn du jetzt eine Nachricht sendest, die nicht den kompletten, die komplette ähm Bandbreite dieses Frames ausnutzt. Das heißt, du hast quasi noch Bits übrig, ja? Also du schickst eine Nachricht, du hast aber noch Bitz übrig. Ähm dann wird, wird das trotzdem gefüllt, ne? Also ein Wert wird einfach quasi ein Padding um die Nachricht gemacht, damit du in dem Takt bleibst, den dir quasi dieses Funksystem vorgibt, ist das ist das klar verständlich Tim.
Tim Pritlove
Ich denke äh schon. Die haben halt immer dieselbe Länge.
Linus Neumann
Die haben immer dieselbe Länge, genau, die haben die Nachrichten haben immer dieselbe Länge oder die Frames haben immer dieselbe Länge, die Nachrichten sind in den Frames und wenn der eine Nachricht kürzer ist als der Frame, dann machst du halt ein Padding dazu. Und, der die fehl implementierung war, die den Angriff quasi ermöglicht hat, dass dieses Padding statisch war, Das heißt, ähm du wusstest, dass bestimmte Nachrichten am Ende auf jeden Fall dieses Padding haben. Weil sie, wenn sie zu einer bestimmten Zeit kommen, weißt du, diese Nachricht ist so kurz und wenn die so kurz ist, dann hat die das Padding und wenn das Padding halt den größeren Teil der Nachricht ausmacht, hast du letztendlich etwas, wo du ein Angriff drauf machen kannst. Mit anderen Worten du hast die verschlüsselte Nachricht. Kennst Teile des Inhaltes der Nachricht und deswegen kannst du jetzt anfangen den Schlüssel zu knack, weil du eben, ne, dann einfach sagen kannst, okay, ich Brutforste jetzt den Schlüssel. Weil ich eben Teile der Nachricht kenne und wenn du dann diesen Schlüssel hattest, konntest du ähm quasi auch den Rest des Datenstromes entschlüsseln. So und diese Schwachstelle steckte halt in den GSM System, so und die war kombiniert mit anderen Schwächen des Algorithmus und so weiter hat es dazu geführt, dass du quasi Rainbow Tables dir machen konntest, also du hast einfach statt wirklich jede Nachricht einmal zu cracken, hast du einfach einmal mit allen Kies alle Nachrichten verschlüsselt und. Aber nicht alle Ergebnisse gespeichert. Dafür hast du nicht genug Platz, sondern du machst quasi äh Rainbow Tables. Super geiles Konzept. Ich weiß nicht, ob ich das schon mal in der Sendung erklärt habe. Ähm.
Tim Pritlove
Also so vorausgerechnete Listen von Zahlen und äh möglichen Kombinationen mit dem man dann im Zweifelsfall schnell äh in Echtzeit Nachrichten entschlüsseln kann.
Linus Neumann
Richtig, aber die Idee, die Idee der Rainbow Table ist im Prinzip, du hast quasi. Kie und Nachricht, ne? Und du verschlüsselst jetzt die Nachricht mit mit K eins und das, was dann rauskommt. Daraus leitest du quasi Key zwei ab, was dann rauskommt, Ki drei, Ki vier Ki fünf, ja? Und dann speicherst du dir nur das Ergebnis, sagen wir mal, zum Beispiel nach dem siebten Lauf. Und damit hast du quasi Das Ergebnis des ersten Laufs und das oder den Kie des ersten Laufs, Und das Ergebnis des siebten Laufspeicherst du dir nur und die dazwischen die Schritte nicht, Das ist wichtig, ne? Also Anfang und dann nach sieben Wiederholungen oder können auch zehn sein, ne, kommt drauf an, wie du optimierst. Das Ergebnis speicherst du dir. Und jetzt nimmst du quasi. Von einer gegebenen Nachricht, die quasi verschlüsselt ist, machst du einfach auch sieben solche Durchläufe, dann hast du sieben Ergebnisse. Und jetzt guckst du in deiner Rainbow Table einfach nur, ob eines dieser sieben Ergebnisse in deiner Rainbow Table vorkommt und es wird vorkommen. Und da wo es vorkommt, musst du dann einfach nur rückwärts quasi die Operation durchführen und kommst dann an den richtigen Kie. Ich, vermute, dass es jetzt auf Anhieb nicht sofort verstanden ist. Also du du speicherst quasi wirklich eben von mehreren Durchläufen einfach nur einmal anfangen und dann das Ergebnis und dann suchst du quasi, machst du selber einfach nochmal sieben Durchläufe und suchst nach diesen sieben und einen davon wirst du finden, dann brauchst du nur rückwärts zu rechnen und dann hast du den Key. Also letztendlich ein Time Memory Trade of beim beim Passwort Cracken, könnte es natürlich auch einfach eine Tabelle mit allem machen, dann brauchst du aber viel zu viel Speicherplatz oder du könntest halt auch einfach jeden einzelnen. Anlauf. Von neuem Cracken, dann brauchst du aber viel zu viel CPU-Time. Und mit Rainbow Tables machst du quasi optimierst du auf den Sweetspot, dass du den Lookup noch schnell genug hinkriegst und nur so und so viel Terabyte äh Speicherplatz dafür brauchst Na ja, lange Rede, kurzer Sinn, diese Schwachstelle war quasi auf der Luftschnittstelle von GSM und das hat es eben das vollständig passive Abhören von GSM-Telefonaten ermöglicht. Mit, zu dem Zeitpunkt halt, was weiß ich, Hardware Invest von sagen wir mal ein paar tausend Euro, ne? Und. Natürlich zwanzig Jahre vorher war die gleiche Schwachstelle vielleicht eben für ein paar hunderttausend ausnutzbar. Ähm oder vielleicht auch für einen für eine Million ausnutzbar, weil das eben, ne, die Computing-Power und der Speicherplatz noch nicht der Allgemeinheit zur Verfügung stand. Und ohne da jetzt eine Verschwörungstheorie draus äh spannen zu wollen, so eine Schwachstelle wäre natürlich super geil, wenn du jetzt sagst, du bist ein nicht vertrauenswürdiger Anbieter, verkaufst deinen Krempel ins Ausland und hast eine Schwachstelle, die am Ende aussieht wie ein Back. Die ähm sich von normalen Konsumenten, die in den nächsten zehn Jahren nach Moos Lorn nicht so einfach ausnutzen lassen wird Aber wenn du jemanden sagst, wie die Schwachstelle genau aussieht, ein Geheimdienst seid problemlos in der Lage ist, sagen wir mal, halt ordentlich Kohle zu investieren um diese Schwachstelle ausnutzen zu können. Und worauf ich hinaus will, ist das Geile daran ist, es sieht einfach noch wie eine wie eine Schwachstelle aus. Und ein Back, ja? Und wenn dann irgendwann zwanzig Jahre später, ne, irgendwie ähm, ein paar Security-Forscher zu dir kommen und sagen übrigens hier da gibt's so ein Buck, den musst du mal fixen, na, dann wird der Back halt gefixt und alle haben alle happy, Insofern würdest du als nicht vertrauenswürdige Anbieterin natürlich eher deine Sachen wie ein Back aussehen lassen als wie eine absichtliche Backdoor. Schon mal ganz klar, ne? Du würdest nicht irgendwie eine, ja, keine Ahnung, Passwort äh chinesischer Geheimdienst und du kommst rein, so, sondern du würdest halt Backs machen. Jetzt ist die Frage, habe jetzt schon gesagt, das Beispiel, was ich gerade genannt habe, ist äh die Vertraulichkeit und ich halte auch quasi den Angriff auf die Vertraulichkeit für das Realistischste Angriffsziel, was du mit Hilfe einer nicht vertrauenswilligen Anbieterin ähm realisieren würdest. Die anderen Angriffsziele werden die Verfügbarkeit oder die Integrität des Systems anzugreifen, Verfügbarkeit heißt, du schaltest das Mobilfunknetz aus, ne, was also im Prinzip ein ähm ein äh kriegerischer Akt ist. Und ich sag mal, wenn wir soweit sind, dass wir uns davor Sorgen machen müssen, dass die, dass China uns das Mobilfunknetz abschaltet, dann haben wir echt sowieso ganz andere Situationen, ne? Und das könnten die halt auch im Zweifelsfall, wenn's nicht von von Way ist. Integrität, ja klar, da könntest du halt dann sagen, okay, du du nutzt das jetzt zum zum Angriff oder so, aber auch dafür bräuchtest du halt administrativen Zugriff auf das Netz und du kannst jetzt nicht irgendwie sowas machen wie äh auf ähm. Was weiß ich, Admin Punkt T Mobile Punkt DE gehen und sagen wir konfigurieren jetzt das Netz um, sondern diese kritischen Komponenten, die administrative Schnittstelle ist ja nicht gar nicht so einfach erreichbar. Mit anderen Worten so die realistische Schwachstelle, die du einbauen würdest, wäre. Vertraulichkeit äh angreifen äh äh die Vertraulichkeit gefährden und zwar vor allem durch etwas, was aussieht wie ein Back, wenn es jemand entdeckt. Interessanterweise wird in diese. In diesem Gesetzesentwurf quasi das Risiko nur eingegrenzt auf Systeme, ähm die die. Sicherheit hier ein ein Hersteller einer kritischen Komponente ist nicht vertrauenswürdig, wenn die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die geeignet sind oder wahren, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Infrastruktur einwirken zu können. Was fehlt ist Vertraulichkeit. Ist geil. Das haben die einfach ausgeklammert. Das einzige realistische Risiko ist die Vertraulichkeit. Und ihr habt's ja eingangs gesagt. In dem neuen BND-Gesetz sagen sie der BND, es darf, Kommunikations äh Netze hacken, um dort die Vertraulichkeit zu schädigen. Der BND darf aber nicht, Die Verfügbarkeit und Integrität äh und und also Funktionsfähigkeit beeinträchtigen. Also die wissen selber, dass das einzige, was du machen willst, ist die Vertraulichkeit angreifen. Aber in ihrem Lex Huawei lassen sie. Vertraulichkeit aus der Definition raus. Was, Also wo du dir fragst, so Leute was raucht ihr denn oder was trinkt ihr und vor allem wie viel Das also total total unsinnig, ne? Du liest das und denkst dir so, ey, das ist doch wirklich absoluter Quatsch Und vor allem überall in dem Gesetz steht drin, äh Vertraulich äh Verfügbarkeit, Integrität, Vertraulichkeit, weil das nun mal einfach die drei Schutzziele der Informationssicherheit sind. Habe ich da auch verlinkt, ja, Wikipedia, Informationssicherheit. Also gegen das einzige Realistische, dass das wirklich realistische Angriffsziel. Haben Sie hier rausgenommen? Wurde gefragt, warum? Warum? Warum habt ihr das gemacht? Und zweitens ähm. Wenn das jetzt so wäre. Kommt eben der Punkt, wie wie kannst du dich jetzt gesetzlich dagegen wehren oder Staat von staatlicher Seite? Dann kannst du halt sagen, okay, wir untersagen jetzt den Einsatz dieser Komponente und dann muss die rausgerupft werden, wie gesagt, dann dürfte die, wenn man jetzt feststellt, ah okay. Huawei hatte eine Backdoor, dann, könnte das BSI eben anordnen, dass die deutsche Telekom das Mobilfunknetz abbauen muss. Das wird sie natürlich nicht machen, weil die dann im Zweifelsfall, was ich gerade sagte, halten, äh verlangen und dieses Netz halt weiter betreiben. Also das ist seit alles von vorne bis hinten äh totaler Unsinn. Und wenn du dich dagegen schützen willst dann würdest du halt sagen, alles klar. Ähm wir äh machen zum Beispiel ein Hinterlegen, des Quellcodes zum zur Voraussetzung, dass wir sagen können, okay, wir können dieses System auditieren, Und schlimmstenfalls, wenn wir hier irgendwie in eine kriegerische Konflikte kommen, dann können wir diese Systeme selber patchen, Ähm wir wollen, wir stellen von staatlicher Seite outet Ressourcen bereit. Äh wir äh. Gucken, dass irgendwie best Practices in Architektur, Bild und so weiter, ne? Zum Beispiel Repreducial Bilds oder so, es sind ja alles Anforderungen, die du machen könntest. Und du könntest vor allem auch sagen, na ja okay, wir fördern halt die Software. Als Bundesrepublik Deutschland, die auf diesen Dingern laufen soll, halt selber und machen auf diese Weise die äh Wirtschaftsförderung für unsere ähm für unsere europäischen Anmieterinnen. Aber nein, all das findest du da nicht drin. Also es ist wirklich so und das hat du kannst dir nicht vor. Also ich kann mir nicht vorstellen, dass im BMI äh Leute sitzen, die das nicht wissen, so oder im BSI-Leute sitzen, die nicht genau wissen, äh wo der Hase langläuft. Und dann kommt natürlich noch der Punkt, was ich ja schon gesagt habe, diese. Komponenten sind, ähm ja, die kommen aus China. Also wenn du jetzt, wenn du jetzt du bist jetzt was weiß ich, die deutsche Telekom oder Vodafone oder wer auch immer. Und jetzt sagst du, ah okay, ich möchte Wareway in meinem Netz haben, dann, Bestellst du ja nicht auf Huawei dot com oder Shop dort Waaway dot com. Äh so und so viele äh oder so, sondern du hast äh, quasi äh äh Netzwerkkomponenten. Was weiß ich, die Funk äh Funktürme oder was auch immer du jetzt haben willst, ne. Sondern du arbeitest halt mit einer deutschen GmbH und Co KG oder so was ist denn die Rechtsform? Was weiß ich, wowei Deutschland? Kannst du, also garantiert gibt's eine, haben wir, glaube ich, auch schon mal im Logbuch geguckt, ne? Whavay, Deutschland, wenn du das suchst, findest du wahrscheinlich eine in Bonn oder Düsseldorf ansässige GmbH. Ach so, jetzt bin ich bei den Consumer Produkten. Ach so, hier, Whaway Technologys, Deutschland, GmbH in Düsseldorf, ne, Düsseldorf, weil da, früher ähm Eplus und Vodafone waren und wollen es dann halt auch nicht weit Und das ist dann im Prinzip jetzt weiß ich nicht genau, ob das genau diese GmbH wahrscheinlich werden sie nochmal eine andere GmbH für die Netzausrüstung haben, aber quasi net die deutsche Telekom, wenn die sagen, okay, wir kaufen jetzt hier Whaway, dann dann arbeiten die zusammen mit einer deutschen GmbH, die sich darum kümmert, dass diese. Produkte eben auch bei denen integriert werden. Das ist eben nix was du kaufst, die Bedienungsanleitung liest und dann schraubst du das, schraubst das an den Turm oder so ne? Klar machst du schon, ja? Aber letztendlich gibt's da ja auch ganz viele individuelle Konfigurationen, Anpassungen, Anforderungen, Features, die du haben willst, nicht haben willst und so. Das kaufst du, hat dein dein eigentlicher Vertrag ist am Ende mit einem deutschen Unternehmen. Und dieses deutsche Unternehmen zu test und Konfigurationszwecken arbeitet sehr eng mit deinen Technikerinnen eben zusammen und kriegt dabei natürlich intime Kenntnisse über dein Netz. Das ist so habe ich ja, als ich in dem Bereich gearbeitet habe auch, so. Und. Da glaube ich ist viel mehr quasi in Anführungszeichen das Problem, nämlich dass da Leute wissen über deine Infrastruktur haben. Und da ist jetzt wiederum der Punkt, ne, das, da kümmert sich dieses Gesetz überhaupt nicht drum, ne? Und das wäre eigentlich, sage ich mal, wenn man jetzt sagt, wir befürchten da eine Unterwanderung unserer Kommunikationsinfrastruktur, dann könnte man eben, was weiß ich, Anforderungen, wie. Background checkt's für die Leute verlangen, die irgendwie, davon Kenntnis erlangen, wie das da aufgebaut ist. Und da da kommst du natürlich, siehst ja, okay, haben die zwei Faktor-Authentifizierung oder nicht, liefern wir denen überhaupt zwei Faktoren, so oder nicht? Das werden alles so Sachen, wo du halt IT-Sicherheit wirklich auf eine technischen Ebene einziehen würdest und an der Sache bleibst und darauf verzichten die halt total und es ist wirklich schmerzhaft nach drei Jahren der Debatte irgendwie solche solche Clowns Gesetze zu sehen, wo du halt weißt, das hat einfach nichts mit dem zu tun, um das es hier geht. Und am Ende ist das halt, es, sowas, ne? Zu sowas musste ich dann als technischer Sachverständiger äußern, was letztendlich halt irgendwie so ein ähm, so ein, so ein, so ein Handelskrieg, Gehirnfurz von Donald Trump ist. Was anderes ist das ja nicht. Also es ist, ja, es hat schon wirklich. Ähm also der Nummer geschrieben, schon heute sind europäische Netzwerkkomponenten nicht in der Lage, mit chinesischen Produkten zu konkurrieren. Chinesische Anbieterinnen liefern inzwischen technisch überlegenes Equipment zu günstigeren Preisen. Es ist daher leicht nachvollziehbar, dass deutsche und europäische, Mobilfunknetze zu großen Teilen mit chinesischer Stadt äh europäischer Technik ausgerüstet wurden, unabhängig von der Frage der Vertraue, Vertrauenswürdigkeit der Anbieterin ist es im Interesse der Bundesrepublik und der Europäischen Union, die europäische Technik konkurrenzfähig im Markt zu halten beim Bau von Mobilfunknetzen der sechsten oder siebten Generation droht sonst eine Situation in der europäische Ausrüster nicht mehr Teil des Angebots sind um dem entgegenzuwirken bieten sich jedoch etablierte und ehrliche Mittel der Marktverzerrung an wie Förderung und Subvention und Zölle. Es bedarf nicht eigenst des Arguments eine eigenstes Argument von einer in der IT-Sicherheit, Von einer in der IT-Sicherheit konzentrier fremden Vertrauenswürdigkeit, Und ähm ja, Empfehlung, wenn der Bundesregierung daran gelegen ist, die technologische Souveränität im Bereich des Mobilfunks aufrechtzuerhalten, dann möge sie mit Förderprogrammen die mangelnde Konkurrenzfähigkeit europäischer Herstellerinnen kompensieren. Hierzu bieten sich breit angelegte Programme zur Förderung von kritischen Softwaresticks als Open Source an. Für die im Rahmen der Förderung auch die Ressourcen für sichere Architekturen und fortlaufende A die Auditierung bereitgestellt werden. So das wäre irgendwie eine Lösung Problems, wo wir alle was von hätten. Aber nein. Letzter Punkt, ja, IT-Sicherheitskennzeichen haben sie halt, also es ist auch, boah, das ist, ich kann nicht mehr hören. Also, wir haben ja. Habe ja gesagt, was aus diesen Bundestagswahlhack wurde, da wurde halt diese äh Nummer draus mit dem äh Anforderungskatalog des BSI, der dann vier Jahre später fertig ist. Und dann hatten wir noch diesen Telekom-Routerausfall. Da habe ich hier auch regelmäßig drüber geroundet, wo sie dann die technische Richtlinie Route hatten, ne. Eine technische Richtlinie des BSI ist erstmal nur ein Stück Papier, ohne jegliche Verbindlichkeit, der die gesamte Arbeit komplett verdient, für den, für den Fuchs, ja? Und ähm jetzt haben sie halt gesagt, okay, geil, zur weiteren, Förderung und da das habe ich übrigens bei dieser technischen Richtlinie Router war das schon immer, dass da die Anbieter saßen und sagten so, wir hätten gerne ein schönes Logo mit einer Deutschlandfahne, Das müssen wir bei uns draufdrucken, damit der Kunde weiß, dass das schön ist hier bei uns, dass wir, dass er bei uns ein deutsches Wertprodu.
Tim Pritlove
Deutsche Roter für deutsche Bürger.
Linus Neumann
Genau und ähm jetzt haben äh sagt das BSI, ja, geile Sache, machen wir, ne? Irgendwie so und so viel fünfundzwanzig Planstellen. Personalkosten in Höhe von jährlich zwei Komma drei drei Millionen Euro sowie Sacheinzelkosten in Höhe von zwei äh null Komma sechs zwei Millionen Euro jährlich, ja? Also knappe drei Millionen Euro sollen wir jetzt ausgeben von staatlicher Stelle, damit das BSI ein Sicherheits Kennzeichen macht. Denkst du, naja okay, hören wir uns das mal an, ne? Das Geile ist, die die Hersteller zertifizieren sich das selber, das ist freiwillig, und du Zertifizierst dir das selbst und dann kriegst du das. Dann musst du und es wird nicht geprüft. Also saß dem, du sagst dem BSI halt so, ey, übrigens, wir erfüllen hier. Security, ne? Hier ist unser Blatt Papier, auf dem wir das selbst zertifizieren, dass wir das tun, das hat niemand unabhängig geprüft, Guckt mal, ob euch das gefällt, was wir hier geschrieben haben, was wir alles machen und dann sagt das BSI, ja, okay, alles klar. Hier, ihr seid jetzt berechtigt, euch eine irgendwie eine Deutschlandfahne auf euren Karton zu drucken und dann machst du das, Und das Schlimmste, was dir passieren kann, ist, dass dir das, dass sie das, dann darfst du, musst du wieder abmachen oder so, ne, Schlimmstenfalls kann's dir entzogen werden. So, aber warum bringt das nichts? Na ja, weil es freiwillig ist und es ist ja nicht so, weißt du, wenn wenn die Leute, freiwillig mehr Geld für Sicherheit ausgeben würden, dann hätten wir ja nicht die unsicheren Produkte im Markt. Also haben wir gesagt, okay, bitte, bitte, bitte. Wenn ihr so etwas machen möchtet, eine Maßnahme, die hier für allgemeine IT-Sicherheit im Markt sorgen soll, die muss das halt zur Markteintrittsvoraussetzung machen und nicht zum nice to have oben drauf. Du hast doch nichts davon, wenn du als BSI, für drei Millionen dafür sorgst, dass die Leute die Kiste mit dem schöneren äh mit dem schöneren Deutschlandfähnchen drauf kaufen und dafür mehr Geld ausgeben, wenn die ganzen Leute, die nicht mehr Geld ausgeben, äh sich eben das Produkt einfach das günstigere Produkt kaufen, weil sie sagen, ich kaufe lieber eins, wo keine Deutschlandfahne drauf ist. So und ähm das. Es ist so traurig, ja, weil wie gesagt, das ein, das das der einfache Weg wäre. Mindesthaltbarkeitsdatum Update Zwang. So Punkt. Und dann kannst du auch sagen, okay, bei Up, bei äh wenn da jetzt irgendwie schwerwiegende Sicherheitslücken sind oder sowas, dann kann das BSI von mir aus auch einfordern, dass äh dass das Produkt äh, dass dass das Produkt eben diese Updates gemäß Vorgabe bekommt oder so, ne? Und vor allem könntest du halt auch mal sagen, alles klar, wenn du das nicht machst, wenn du hier Schrott ins Regal legst und die Leute das kaufen und dass sich denen dann in Fuß schießt, äh dann kann man halt auch mal an eine Haftung denken also ne, unter Maßgabe, dass keine, dass keine nicht in in angemessener Zeit 'ne Produktnachsorge getroffen wurde. Also ja, statt statt sich mal über Haftung und Update-Pflicht Gedanken zu machen, gibt's jetzt irgendwie ein schönes neues Sicherheitskennzeichen, totaler Unsinn, Letzter Punkt, Das wird dieses Unternehmen im besonderen öffentlichen Interesse, wo ja der der quasi der Tätigkeitsschwerpunkt des BSI erweitert wird. Ähm da gibt's drei Kategorien, was Unternehmen in besonderem öffentlichen Interesse sind, also quasi ergänzend zu den kritischen Infrastrukturen. Sagen sie halt, okay, Güter im Bereich der Kriegswaffen oder Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung von staatlichen Verschlusssachen. Also damit haben sie seit Jahr Kriegswaffenhersteller und, die Hersteller, die ihnen die Krypto liefern, sind halt jetzt Unternehmen von besonderem, in besonderen öffentlichen Interesse, dann unternehmen die Gefahrenstoffe in großen Mengen an ihren Betriebsstädten vorhalten. Wo man jetzt bei beiden argumentieren kann ja, da gibt's im Zweifelsfall übergeordnetes Sicherheitsinteresse der Bundesrepublik Deutschland, so, ne? Dass dies, wo man sagen kann, ja, ist wahrscheinlich nicht schlecht, wenn das BSI da ein Auge drauf hat. Kriegswaffen ist aber natürlich Äh auch so ein Thema, ne, weil das äh BSI ja eigentlich so eine zivile Institution ist. Und dann C sagen sie, also in dem Fall ist es B, aber die dritte Kategorie, wie du ein Unternehmen von besonderem öffentlichen Interesse bist, ist, wenn du nach der, nach deiner inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehörst. Und da denke ich mir auch so, Alter, was soll das denn jetzt schon wieder? Als wenn die größten Unternehmen von Deutschland nicht in der Lage sein sollten oder sind. Sich um ihre IT-Sicherheit selber zu kümmern, warum sollen die jetzt noch mit staatlichen Ressourcen versehen werden, während irgendwie ein KMU, ne, hier hinten Champions und Hasse alles nicht gesehen, um IT-Sicherheit ringen, nirgendwo jemanden finden, der ihnen dabei helfen kann, zu zu normalen Preisen. Und deshalb den Schrott im Regal kaufen, das ist doch die komplett falsche äh Förderung und das komplett falsche Verständnis von, was jetzt wirklich im Interesse der Bundesrepublik liegt Also habe ich gesagt, der Bundestag möge prüfen, welche Unternehmen im besonderen öffentlichen Interessen der Bundesrepublik liegen und welche davon tatsächlich besondere Aufmerksamkeit des BSI benötigen. Ich find's im Prinzip zum Beispiel auch witzig, wenn sie sagen, ja, hier will was mit Kryptografie macht äh und den Verschlusssachen, ja okay, gut ja? Natürlich ist das äh sollten die, was sollten jetzt mit der Sicherheit raushaben, aber hoffentlich habt ihr euch das überlegt, überlegt, bevor ihr was von denen kauft. Also das finde ich echt so ein bisschen. Komisch und äh besser wär's natürlich, weißt du so, ne, Thema Problemklassen eliminieren, schaff doch bitte eine. Kompromisslose auf IT-Sicherheit ausgelegte Infrastruktur schafft 'ne Produkthaftung, führten Mindesthaltbarkeitsdatum ein als Markteintrittsbarriere. Ne, damit kannst du halt dafür sorgen. Das ganz einfach bei ganz normalen Otto-Normalunternehmen ähm. Sicherere Produkte ankommen und die dann alle auch weniger in IT-Sicherheit äh investieren müssen So und das äh hielte ich ehrlich gesagt für die für die sinnvollere Maßgabe, dass du halt hier von staatlicher Seite eben, Basisprodukte bereitstellst, in Open Source, dann können alle Anbieter äh sich derer bedienen, können alle äh Kunden glücklich kaufen und dann hast du irgendwie musst du noch nicht mal eine schöne Deutschlandfahne draufkleben, sondern hast einfach so nachhaltig mehr Sicherheit. Ja
Tim Pritlove
Und die haben dann einen Posten eingestellt, da hast du gesagt für für zwei Millionen Euro pro Jahr oder was.
Linus Neumann
Ja, das ist ja eine fünfundzwanzig Personen, die die kümmern sich jetzt um dieses Sicherheitskennzeichen.
Tim Pritlove
Und sie produzieren im Wesentlichen Aufkleber.
Linus Neumann
Ich bin mir sicher, es sieht voll geil aussehen werden diese Aufkleber. Ja, aber also die werden sich um die Bürokratie kümmern. Das möglichst äh äh nervig zu machen, dass das ein Unternehmen auf ein Produkt einen solchen Aufkleber kleben kann, nachdem es spezifiziert, nachdem es sich selber, äh äh zertifiziert hat, das ist die Anforderung erfüllt, die vorher natürlich irgendwo geschrieben wurden. Also das wird am Ende, ne, kannst du jetzt zum Beispiel hier diese technische Richtlinie Router da wird garantiert so ein Sicherheitskennzeichen raus, ne? Weil das ist ein eine Anforderungskatalog. An dem muss sich erstmal keiner halten. So und jetzt werden sie halt sagen, okay, die technische Richtlinie Router, die wird jetzt zu, zur Selbstzertifizierungsgrundlage für das IT-Sicherheitskennzeichen nach IT-Sicherheitsgesetz zwei null. Und dann werden die Unternehmen, die die da ihre Lobbyisten in diese Routa TR entsandt hatten, werden halt sagen, ah, alles klar, wir haben die Routa TR jagen auch genauso verbessert, dass die auf unsere Produkte sowieso zutrifft ja? Also werden wir jetzt eine selbstzertifizierung nach Router TR beim BSI einreichen und nach wenigen Monaten Bearbeitungszeit. Können wir dann irgendwie was weiß ich, 'n schönen Aufkleber auf unsere Kartons machen und sagen hier BSI sicheres Ding, Ne, so bist du halt nicht geprüft. Also, ne? Und dann werden irgendwann, wenn das, sobald das irgendwelche Fahrt aufnimmt, werden natürlich dann eben auch Hersteller aus anderen Ländern sagen, okay, so einen Brief können wir auch schreiben. Und dann potenziell hast du dann halt die Dinger da draufkleben, aber du löst eben nicht das Problem, dass die Masse eben doch einfach das kaufen wird, wo nicht der Aufkleber drauf ist. Und wenn da, wenn du, ne, dann hast du ja nichts davon, irgendwie selbst wenn selbst wenn dieses Sicherheitskennzeichen sagen wir mal eine, Tatsächliche Sicherheitsentsprechung hätte und unabhängig geprüft wäre, ist dir ja trotzdem nicht geholfen, solange das neben dem China-Schrott liegt und alle sich denken, ja, wieso soll denn mein Heizungsthermostat sicher sein? Dann ist schlimmstenfalls ist es halt warm oder kalt, dann schlechtet wieder richtig und. Genau in diesem Bereich der IT-Sicherheit ist das ja eben nicht der Punkt, weil äh du mitunter gar nicht weißt, dass dein Toaster halt gerade in den Cyberkrieg gegen Mexiko zieht, äh und der quasi, ne, zum zum Schaden anderer agiert. Statt statt zu deinem eigenen Schaden. Lassen wir das tippen. Es ist einfach also. Es ist immer so, was du so am Problem vorbei. Das ist immer der, das sind so Sachen, die kann ich nicht haben, Wenn es ein Problem gibt, so am Problem vorbei, da bin ich immer das mag ich nicht. Ich mag lieber sozusagen, okay, wo ist das Problem, wo stellen wir's ab? Na ja.
Tim Pritlove
Tja, jetzt stattdessen wird's äh beschlossen, dass das Problem nicht existiert oder nicht so schlimm ist.
Linus Neumann
Ja oder meine Arme was anderes macht, ne? Okay.
Tim Pritlove
Ja. Du hattest Spaß, ich höre schon raus.
Linus Neumann
Ach, es hat Spaß gemacht. Ich glaube tatsächlich, ich habe ja jetzt so, bin ja so ein bisschen durch die Stellungnahme gegangen, aber die Stellungnahme hat schon ihre ähm. Hat's schon auch teilweise ihre humoristischen Komponenten Und äh ich wollte sie jetzt hier ja wenigstens mal so ein bisschen durchsprechen, weil ja wie gesagt, ich meine, es sind vierundvierzig Seiten als Erdgeist hier Dirk Engling. Äh da erste Mal draufgeschaut hat, hat er halt gesagt, Ellinus willst du in der Dissatation schreiben Ähm ja, da da steckt natürlich schon viel Arbeit drin. Und wie gesagt, aber kriege ich auch hundertfünfzig Euro für, insofern.
Tim Pritlove
Voll die Arbeitsbeschaffungsmaßnahme hier. Meine Herren.
Linus Neumann
Also man kann sagen etwas über drei Euro pro Seite. Kriege ich dafür. Ja. Aber nee, was ich wirklich schön finde, ist tatsächlich, also das habe ich ja auch, glaube ich, schon früher mal gesagt, ich mache das tatsächlich gerne, weil es hat jetzt halt ein, ein, da ist jetzt ein Aufkleber drauf, der ist so ein Stempel drauf, der Debattesausschusssekretariat dann da rein und das ist halt jetzt eine Ausschussdrucksache des Deutschen Bundestags. Und das äh heißt, das wird dann eben auch für die Nachwelt, entsprechend konserviert und ist referenzierbar als Teil dieses dieses Gesetzgebungsprozesses, ne? Und das finde ich natürlich schon immer ganz ganz äh interessant, wenn du äh. Wenn du wenigstens nachher sagen kannst, hier guck mal, da ist ein Stempel drauf, das was ich damals schon gesagt habe. Und das war jetzt bei dem bei dem ersten IT-Sicherheitsgesetz, habe ich das natürlich auch klar rausgeholt habe, ich habe euch das damals gesagt, dass das nichts bringen würde und heute sehen wir, dass es nichts gebracht hat. Und jetzt sage ich euch auch nochmal, warum das nächste Gesetz nichts bringen wird und dann können wir beim dritten IT-Sicherheitsgesetz. Mal gucken äh ob ich, ob, ob, ob er da nicht vielleicht einfach den gleichen Empfehlungen vielleicht mal folgen wollt.
Tim Pritlove
Vielleicht könnte das BSI ja so eine offizielle Toilet-Aufkleber rausbringen, den sich alle Sachverständigen äh dann auf ihren Laptop draufkleben können. Zertifizierter Zukunftsvoraussage.
Linus Neumann
Wir haben uns, wir haben uns im CC ja seit einigen, also eigentlich spätestens seit diese Snowden Sachen so ein bisschen versucht zu sagen, okay. Auch wenn der Drang stark ist zu sagen, ey, wir haben uns schon immer gesagt, äh haben wir eine Zeit dann so ein bisschen verordnet äh zu sagen, okay. Dann sagen wir es eben nochmal. Statt.
Tim Pritlove
Ja, ja, kein Copy und Paste hier wird einfach nochmal noch drüber nachgedacht.
Linus Neumann
Ja
Tim Pritlove
Läuft's. Glaube, das führt uns langsam gegen Ende der Sendung, oder? Hast du jetzt noch irgendwas äh.
Linus Neumann
Nee, das, ich bin jetzt auch fertig, ich habe auch gestern schon, also als da noch ähm sind noch mit Freunden, die dann mit mir über das IT-Sicherheitsgesetz reden wollten, habe ich dann auch irgendwann gesagt, ey, bei aller Liebe so, ne, aber ich möchte nicht.
Tim Pritlove
Erzähl das jetzt nochmal. Tim und dann reicht's.
Linus Neumann
Genau, ich ich erzähle das jetzt noch einmal Tim und dann äh muss es das aber auch gewesen sein. Aber ja, es ist also so um nochmal kurz diesen Prozess einzuordnen. Es ist. Eine Katastrophe. Zwei Jahre haben wir an dem Gesetz herumgedoktert, dann gab's natürlich diese kurzen Fristen, die ihr hier alles erzählt, ne, wo wir gesagt haben, dass wo sie letztendlich achtundzwanzig Stunden, Zeit gegeben haben, um einen neuen Entwurf des IT-Sicherheitsgesetzes zu diskutieren, ne? Da haben wir auch damals, also haben wir im Logbuch drüber gesprochen, haben auch als TCC uns lauthals gegen gewehrt. Dass dann eben auch der Der letzte Satz hier in meiner Stellungnahme, um ein drittes Gesetz zur Erhöhung der Sicherheit Informationstechnischer Systeme in angemessener Qualität vorschlagen zu können, sollte das BMI seine Bemühungen zu aktiven Unterdrückung, Sachverständigenrats einstellen, Das ist der letzte Satz. Ja. Aber ja, also ich meine. Kann jetzt nicht sagen, dass man besonderes Vertrauen äh in den demokratischen Prozess und seine Ziel, seine zielführende Ausrichtung bekommt bei diesem Gesetz. Bei anderen mag das anders sein. Und achso, eine Sache sollte man vielleicht auch noch, wenigstens lobend erwähnen, als wir vor ungefähr zwei Jahren mit Frank zum ersten Mal darüber gesprochen haben oder ich habe das eine Sendung, die habe ich ja nur mit Frank gemacht. Da ging's dann noch um ganz andere Sachen, ne? Da waren ja so, sollte ja mehr oder weniger das Darknet verboten werden mit dem Gesetz. Also da sind einige, Klopper sind da auch schon echt. Also da sind schon einige grobe Schnitzer weggeflext worden so. Das muss man dann vielleicht auch nochmal lobend erwähnen und eben sagen ja also so ganz ohne ähm. Ohne Erfolg war der der Prozess der gesellschaftlichen Einbindung hier nicht. So, das war äh. Da ist auch schon vorher noch einiges äh unheil abgewendet worden, dadurch, dass wir uns zu Wort gemeldet haben und eingemischt haben. Das muss man dann vielleicht wenigstens auch nochmal ähm zur zur. Ja den muss man eben schon noch auch mal Rechnung tragen.
Tim Pritlove
Hätte alles noch viel schlimmer kommen können und zwar.
Linus Neumann
Erd hätte immer schlimmer kommen können. Deswegen gibt's ja auch noch Potential. Höher. Dann werden wir uns demnächst mit Impfausweisen auseinandersetzen, Tim, ne?
Tim Pritlove
Bestimmt. Das.
Linus Neumann
Ja, ja, das kommt jetzt.
Tim Pritlove
Das kommt jetzt, aber nicht mehr in dieser Sendung, auf keinen Fall.
Linus Neumann
Nee, nicht mehr in dieser Arbeit in einer zeitnahen.
Tim Pritlove
Dann bringen wir es mal zu Ende hier, ne? Leute, wir hören uns bald wieder. Das war's äh von uns für heute und äh ja, dann bis bald.
Linus Neumann
Kauft euch geiles Lego, bis denn, ciao ciao.
Tim Pritlove
Tschau.

Shownotes

Vierer und Achter

Tkmog

Böhmermann zur Datenautobahn

IT-Sicherheitsgesetz 2.0

Stellungnahme zum ersten ITSIG

Anhörung zum Zweiten IT-Sicherheitsgesetz

de-mail

Die mit Sternchen gekennzeichneten Links sind Provisions-Links, auch Affiliate-Links genannt. Wenn du auf einen solchen Link klickst und auf der Zielseite etwas kaufst, bekommt Linus Neumann vom betreffenden Online-Shop eine Vermittlerprovision. Es entstehen für Sie keine Nachteile beim Kauf oder Preis. Linus Neumann ist Teilnehmer des Amazon-Partnerprogramm, das zur Bereitstellung eines Mediums für Webseiten konzipiert wurde, mittels dessen durch die Platzierung von Partner-Links zu Amazon.de Entgelte verdient werden können.

45 Gedanken zu „LNP383 Dann sagen wir es eben nochmal

  1. Der Download-Server liefert docs.podlove.org Zertifikat statt media.metaebene.me.
    Dementsprechend kann ich die Folge leider nicht in Castro laden. Grüße

  2. Thema Datenautobahn:
    Ich war zuletzt vor zwei Jahren beruflich in Italien. Weil ich dringend mobiles Internet brauchte habe ich mal den dortigen Markt nach SIM-Karten gecheckt und bin auch sehr schnell fündig geworden. Habe mir dort eine Karte vom Anbieter “WIND” besorgt und konnte diese auch super einfach registrieren und Nutzen. Das besondere an der Geschichte war dass ich für schlappe 9.99/Monat, 20 GB Datenvolumen im 4G Netz bekommen habe, superschnell und ohne Funklöcher, und das ohne Mindestvertragslaufzeit weil prepaid.
    Jetzt noch mal ein Gegenbeispiel aus DE.
    Als ich das letzte mal mit dem Zug von Bremen in meine wunderschöne Heimatstadt Bremerhaven gefahren bin, dachte ich mir was kostet die Welt, ich buche mir mal ein Tagespass Internet für 99 Cent um die Zeit im Zug zum lesen zu nutzen. Der Witz hat nicht lange auf sich warten lassen, denn kaum als der Zug das Stadtgebiet Bremen verlassen hat ging nichts mehr, Funkloch sei dank.
    Mein Fazit daraus ist dass ich einfach kein mobiles Internet nutze, aus dem Grund dass ich diese abgesprochenen Preise hierzulande nicht bezahlen will. In Sachen Internet ist DE wirklich ein Drittweltland, und ich schließe mich der Meinung von Tim an und befürchte auch das ich es wohl nicht mehr erleben werde das man hierzulande mobiles Internet zu fairen Preisen und in brauchbaren Mengen bekommt.
    An dieser Stelle möchte ich noch das Bundeskartellamt grüßen, und deren anscheinend korrupten Mitarbeiter.
    Natürlich gehen meine Grüße auch an euch beiden, lieber Tim und lieber Linus. Euer Podcast ist wirklich Spitze und euer Humor bei so vielen schlechten Nachrichten einfach sehr erheiternd.

  3. Hey Linus, kurz zum Kapitel „Anhörungsverlauf“ ein Blick von hinter den Kulissen: Als zuständige wissenschaftliche Mitarbeiterin im Büro von Tabea Rößner von der grünen Bundestagsfraktion kann ich bestätigen, dass wir hier aktuell alle deutlich hinter der maximalen Belastungsgrenze agieren. Du hast treffend beschrieben, dass wir (als kleinste Oppositionsfraktion im Bundestag) aktuell komplett von der Bundesregierung geDDOSt werden mit Gesetzesvorhaben, die noch schnell vor der Wahl durchgepeitscht werden sollen, ist ja immer so. Auch wir kriegen Gesetzesentwürfe mit mehreren hundert Seiten oder Änderungsanträge oft erst kurz vor knapp auf den Tisch, genau wie Ihr mit den kurzen Fristen für die Stellungnahmen. Zu den absurd kurzen Fristen für die Verbändebeteiligung haben wir übrigens mit einer kleinen Anfrage nochmal bei der Bundesregierung nachgehakt, was das eigentlich soll und ob sie sich nicht schämt: https://www.heise.de/news/TKG-Novelle-Co-Bundesregierung-verteidigt-kurze-Fristen-zur-Stellungnahme-5060040.html und https://www.tabea-roessner.de/2021/02/19/verbaendebeteiligung-ist-mehr-als-deko/

    Du und Frank, Ihr konntet Euch die Anhörungen zur TKG-Novelle und zum IT-Sicherheitsgesetz aufteilen, Tabea hat an dem Tag an beiden Anhörungen direkt hintereinander teilgenommen und sich dementsprechend auf beide vorbereiten müssen, und das, obwohl sie eigentlich aktuell (und seit ein paar Wochen) krankgeschrieben ist (https://www.instagram.com/p/CLSDdPyg7Rp/?hl=en). Weil die Personaldecke aber in der kleinsten Fraktion dünn ist, zieht sie die Anhörungen trotzdem durch, wir nehmen die halt ernst. Und nur für den restlichen Kontext: Tabea und ihr Team müssen parallel auch noch die Urheberrechtsreform bearbeiten, die gerade ansteht, die TKG-Novelle, eine Novelle zum Filmförderungsgesetz, das Gesetz für Faire Verbraucherverträge, das Gesetz für Digitale Dienste und einen großen Schwung weiterer umfangreicher Gesetzesinitiativen. In anderen Abgeordnetenbüros sieht es natürlich ganz ähnlich aus. Das erklärt vielleicht einiges. Danke für Deine tolle Stellungnahme und Deine pointierten Bemerkungen in der Anhörung! War eine Freude, dem zu folgen!

    • Danke dir für den Hintergrund, den wir natürlich in der übernächsten Sendung behandeln werden, die nächste ist schon im Kasten ;)
      Inzwischen kenne ich dieses Theater ja auch, vor vier Jahren war es nicht anders.
      Dieses Mal ist es aber sehr viel schlimmer, scheint mir.
      Es wird echt Zeit dass da mal langsam etwas gegen unternommen wird.

  4. Zum Thema Lego: Other brands are available! Zum Teil sogar besser als Lego (zum Teil schlechter). Die Steine sind bei Lego am besten, die Sets aber oft bei anderen besser (siehe CaDA Italian Supercar). Ich bau gerne die Mittelaltersets von BlueBrixx (Deutsche Firma, die aber wie Lego in China produziert). Bei BlueBrixx kann man sich auch kostengünstig Teilepacks bestellen: https://www.bluebrixx.com/en/part-packs?&available_only=1
    Achtung, bei denen sind die Oberflächen von Fliesen oft nicht schön. Bei Mittelaltersets passt das aber schon.

  5. Das mit bei Straße aufreisen vergessen da gscheit Rohre reinzulegen ist in meiner nähe passiert. Nicht direkt bei mir. Da wurde Glasfaser verlegt und Gehweg neu gemacht… auf der anderen Straßenseite wo nur Pensionisten wohnen. Hier nur ADSL. Aber das wurde wenigstens auch (viel viel) schneller durch FTTC.

    • Ogottogott! Eine verdeckte Datenautobahn mit Lubmin als Einfallstor für russische Trollhorden aus St. Petersburg (Vyborg ist gerade mal 120 km davon entfernt)!

  6. Legogate im Logbuch ;)
    Tim hat Minecraft Blöcke als Lego bezeichnet. Ganz dünnes Eis! Wundert mich, dass ihr das Beben in der Netzpolitischen Legowelt anscheinend garnicht mitbekommen habt. Aktuell regt sich diese Subkultur ziemlich über Lego auf. Was war passiert? Lego hat Sich mit seiner Community angelegt. Ein ziemlich bekannter YouTuber namens „der Held der Steine“ hat in seinen Videos Steine anderer Hersteller als Legosteine bezeichnet. Damit hat Lego ein Problem. Dahinter steckt eventuell, dass sie Angst haben, dass Lego zu einem Gattungsbegriff werden könnte und sie die Deutungshoheit verlieren könnten welche Klemmbausteine nun echte Legosteine sind.
    Der Held der Steine ist übrigens auch eher der Ansicht, dass das alles eher in eine falsche Richtung geht bei Lego. Er wird auch schon seit Jahren von Lego immer weiter gegängelt was es nicht unbedingt besser macht. Zeigt eigentlich das Lego nicht desonders gut mit seiner Community umgeht und man vielleicht lieber Affiliatelinks auf andere Klemmbausteinhersteller setzen sollte.
    Lohnt sich auf jeden Fall dich mal in diese Subkultur reinzunerden. Der Held ist ein ziemlich abgedrehte Typ der aber eigentlich ganz gut verstanden hat wie der Hase in der Klemmbausteinwelt laufen müsste.
    Die Wochendämmerung hatte das Thema sogar in der letzten Folge (etwa ab Minute 60)
    https://wochendaemmerung.de/lockerungs-und-impfdebatten-journalismus-hilft-und-boese-klemmbausteine/#t=3623

      • Entschuldigung Linus, auch wenn die Jungs von Stonewars hier gut das Thema aufgearbeitet haben und Fakten bzw Vermutungen äußern, wie es sich zwischen Lego und HdS verhält, so ist und bleibt es reine Spekulation. Was jedoch auffällig ist, sind die Kommentare unter dem Artikel. Dort kristallisiert sich raus, das Autoren von Stonewars klare Lego-Fans sind und ebenso ungern Kritik an ihrem Lieblings-Hersteller zulassen. Jedenfalls lesen sich deren Antworten auf Kommentare so.

        Fakt ist – Legos Qualität nimmt seit mehreren Jahren ab, die Preise sind gleichzeitig enorm gestiegen, Bestandskunden bekommen durch Neuerungen und Neuentwicklungen (siehe neues Straßensystem) richtig einen vor den Latz geknallt, weil ältere angeschaffte Artikel nicht mehr kompatibel zu den neuen Produkten sind. Und das allein geht schon gegen die Firmenphilosophie, die Lego einmal ausgemacht hatte.

        Besonders bei den Lizenz-Produkten von Lego wird deutlich, das inhaltlich von Lego kein wirklich gewollter Bezug auf Storylines genommen wird, sondern alles nur erdenkliche wegrationalisiert wird, damit die Gewinnmarge höher ausfällt. Da es dann zu Konstellationen kommt, wo der Inhalt eines Lizenz-Produkts nicht mehr stimmig ist oder gar völlig aus dem Kontext gerissen wurde, ist schon blamabel.

        Und selbst wenn der HdS hier eine Möglichkeit gerochen und genutzt haben sollte, durch den Shitstorm mehr Besucher auf seinen Kanal gelockt zuhaben, bleibt doch eine Sache unumstößlich. Die Kritikpunkte, die der HdS in seinen Videos immer wieder anführt, sind stichhaltig, werden immer wieder aufs Neue dargelegt und mit Beispielen untermauert. Er saugt sich seine Rants gegen Lego nicht einfach aus den Fingern, sondern seine Argumente haben Hand und Fuß und sind nicht willkürlich gewählt.

        Ob andere Hersteller jetzt besser sind als Lego oder nicht, überlasse ich jedem Klemmbausteinefan selbst. Das muss jeder für sich entscheiden. Wer allerdings für sein Geld auch Qualität erwartet, der ist bei Lego seit einiger Zeit nicht mehr gut aufgehoben.

        • Lego ist ein geniales Produkt. Einige der Sets von Lego immer noch absolut top. Aber firmenpolitisch sind sie mir Mittlerweile ziemlich unsympathisch. Versuchen auch mit Zoll-Streitereien wo noch nicht mal klar gemacht wird, welches Urheberrecht denn jetzt verletzt werden soll, kleinere Importeure bankrott zu kriegen. Siehe: https://www.youtube.com/watch?v=oj10ikQEFlw (Video vom 4. März)
          Geht natürlich nur mutmaßlich von Lego aus, weil nicht mal das ist klar.

          • Aber firmenpolitisch sind sie mir Mittlerweile ziemlich unsympathisch.

            Das sind ja leider die meisten Firmen :-) Aber dass wir den ganzen „neumodischen Scheiss“ nicht wirklich geil finden, haben wir hoffentlich ausreichend klar gemacht, oder?

            Diese spezifischen 3 Modelle erfreuen sich aber glaube ich allgemein hoher Beliebtheit und das zu Recht.

            Gleichzeitig bin ich kein so ausgeprägter Lego-Bastler, dass ich mich mit dem gesamten Sortiment oder gar dem der Konkurrentinnen auskennen würde.

            Den Herrn der Steine schaue ich mir auch ab und zu an – meistens wenn er über Lego so rantet, wie ich über die Bundesregierung.

            • > Aber dass wir den ganzen “neumodischen Scheiss” nicht wirklich geil finden, haben wir hoffentlich ausreichend klar gemacht, oder?

              Natürlich. Ich wollt nix hier kritisieren, kann nur nicht anders als meinen Senf zu Sachen zu geben. Hab wohl zu wenig Kontakte in der Pandemie (oder überhaupt). :D

              > Den Herrn der Steine schaue ich mir auch ab und zu an – meistens wenn er über Lego so rantet, wie ich über die Bundesregierung.

              Jup, genauso höre ich beides. :D (Und übernehme nie einfach 100% eine Meinung sondern schätze es immer nochmal selber ein, versteht sich. Wenngleich bei LPN ich eigentlich zu 99.99% zustimme.)

  7. Jungs, also wirklich! Vi oder emacs, Amiga oder ST, Mac oder Linux, alles egal. Aber: Lego Technik?!? Ernsthaft? Fischer Technik rulez! Da kann man wirklich funktionierende Dinge bauen. Bei Tim waren ja die Legosteine aus Holz und mit abgerundeten Ecken, bei seinem Anthroupbringing. Da kann man das vielleicht verstehen. Linus ist für mich unhörbar geworden. Verrat.

    • Nee, Thema Gewaltenteilung: Linus war in ner Anhörung im Bundestag (Legislative) -> https://www.bundestag.de/services/glossar/glossar/A/anhoerungen-245328 Die Bundesregierung ist demgegenüber die Exekutive. Weiterer wichtiger Unterschied: Die Anhörungen im Bundestag sind oft/meistens öffentlich und werden auf bundestag.de live oder wenigstens zeitversetzt übertragen. Außerdem machen die Bundestagsausschüsse auf ihren Webseiten transparent, wann es welche Sachverständigenanhörungen gibt und wer da eingeladen wird. Demgegenüber ist es bei der Bundesregierung deutlich schwieriger rauszufinden, wann sie sich von wem hat beraten lassen, wenn sie es nicht gerade selbst verrät oder man per IFG die Infos freiklagt.

    • Nein, eine Sachverständigen-Anhörung in Ausschüssen des Deutschen Bundestages ist ein normaler Teil beim Prozess des Erlassens eines Gesetzes.
      Gesetze werden vom Parlament erlassen.

      Drosten ist in nicht notwendigerweise formalen Beratungsgremien der Bundesregierung.

      Was beiden Gremien gemeint ist: die sachverständigen haben keine Garantie dass man auf sie hört.

  8. Hallo zusammen,
    LEGO Technic heute ist leider alles andere als so cool wie damals. Vor allem mit Technik ist nicht mehr viel dabei. Und Fernsteuerung nur noch mit Handy. Und auch bezüglich LEGO Mindstorms gibt es bessere Produkte von der Konkurrenz!

  9. Also Kosmos hat inzwischen auch viel zum Thema Basteln und Programmieren im Angebot. Wie zum Beispiel den Igel-Roboter Nuna oder den Roboter Codix, den man ohne Computer programmieren kann. Wäre sicher was für euch gewesen damals. Sind zwar nicht ganz günstig aber das waren Lego-Sets ja auch nie.

    • Moin! Auch ich würde mich freuen wenn ihr in der nächsten Folge das Thema Luca App aufgreifen würde. Ohne mir die genauer angeschaut zu haben fände ich es ein Armutszeugnis für BMG, RKI und SAP, wenn das Thema Event Registration jetzt an eine privatwirtschaftliche, closed source App outgesourct wird statt das in die CWA zu integrieren. Das Thema wurde einfach verschlafen. Ich muss sagen, dass ich am Anfang ziemlich begeistert vom CWA Projekt war, aber mittlerweile haben sich meine Vorurteile in Bezug auf die SAP bestätigt. Ich bin mir sicher, dass das RKI sicher kein einfacher Product Owner ist, aber es wirkt auch nicht so als würde die SAP das Projekt wirklich nach vorne bringen wollen. Würde mich wie gesagt freuen, wenn ihr nochmal über euren Eindruck zum Status quo der CWA sprechen würdet. Ihr wart am Anfang ja auch relativ euphorisch…

      • Zu open source: „es wird drüber nachgedacht, aber Anbindung an Gesundheitsämter geht erstmal vor“ sinngem. deren Tweet letzte Woche.

      • Nachtrag:
        Würde mir da auch Wünschen das in der Richtung der CCC aktiv werden könnte (is ja sonst nix los…. *seufz*)

        Unabhängig davon, was bei der CWA raus kam: Wir hatten schon großes Glück, dass die Entwickler das Herz am rechten Fleck hatten was OSS anging…

        Worst cases wären ja u.a. mehrere Apps, die untereinander (zw. Landkreisen) inkompatibel wären, ein Sicherheitsgau, der Bürger vor der Nutzung solcher Apps abschreckt, Abgreifen persönlicher Daten, gefühlte falsche Sicherheit bei Appfehlern… neja, die Diskussionen sind ja hier bekannt.

        Wäre ja schön wenn man seitens der Gesundheitsämter/Bundesländer geschlossen aufzeigen könnte woher der Wind weht, aber gemessen am bisherigen Vorgehen in unsrem Flickenteppisch sieht das imho düster aus…

        Da macht es wohl eher Sinn an den GMV der Entwickler zu appellieren :/

  10. Persönliche Anekdote zum Digitalisierungsstand in Deutschland:

    Glasfaser-Ausbau soll starten. Freunde im Ort sagen uns, dass sie schon längst die Verträge unterzeichnet haben, bei uns kam aber keine Post an.
    Erkenntnis kurz vor Fristende: Ein Mitarbeiter der Stadt hat HÄNDISCH die Daten aus dem Melderegister in eine Exceltabelle getippt/kopiert… dabei ist unser Datensatz untergegangen und wurde nicht an die Baufirma gemeldet.

    Kopf->Tisch->Kopf->Tisch *aargh*

  11. In schweißnasser Angst um meine eigene sanity habe ich zum ersten Mal in meinem langen Leben LNP nicht zu Ende gehört.

    Möchte als Alternative Tim einen weiteren Podcast „Der gute Rest“ vorschlagen, Inhalt gutes aus der Politik. Den Aufwand dafür schätze ich als sehr gering und damit machbar ein.

  12. Also das mit dem Sicherheitssiegel tut echt weh :(
    Allerdings möchte ich Linus in einem Punkt widersprechen: Auch ein freiwilliges Siegel wäre nicht ganz nutzlos (allerdings natürlich nur, wenn es mehr als nur eine Selbsterklärung ist!).

    Es ist nämlich in der Praxis tatsächlich ein ernsthaftes Problem bei diversen Entscheidungen, dass Sicherheit nicht bürokratisch quantifizierbar ist.

    Das offensichtlichste Problem sind Beschaffungsfragen: In der Regel kann ich ja nicht einfach so nach Erfahrung und Testbericht einkaufen, sondern muss alles anhand formaler Kriterien begründen. Und für sowas wie: „Unserer Erfahrung nach kann man sich auf den Hersteller verlassen und die Tests von Heise und so sind auch gut“ gibt es halt kein Kästchen^^

    Besonders schlimm ist es z.B. bei Universitäten (da kann ich aus eigener Erfahrung sprechen): Alle Beteiligten wissen, dass man in spätestens 3-4 Jahren Probleme mit den Teilen haben wird; aber die Beschaffungsrichtlinien lassen einem da keine rechtssichere Alternative…

    Und auch bei der Bewertung entsprechender Sicherheitsprobleme kann das im Zweifel helfen… Du kannst dich halt nicht mehr so einfach rausreden mit: „Ich hab das Gerät doch erst vor einem Jahr gekauft – woher sollte ich denn wissen, dass das komplett veraltet, ungepatched und unsicher ist“.

    Also natürlich wäre mir insgesamt auch lieber, wenn es diesbezüglich verbindliche Pflichten für alle Hersteller gäbe, sobald du auf dem deutschen Markt verkaufen willst.
    Aber ganz sinnlos wäre ein entsprechendes Siegel IMO nicht notwendigerweise – zumal es ja auch nicht das erste mal wäre, dass ein freiwilliger Qualitätsstandard irgendwann zum Vorbild für verbindliche Richtlinien wird.

  13. Schadsoftware entdecken und extern entfernen.
    Man stelle sich vor, das BMVI entwickle ein Gesetz, dass Autos eine Schnittstelle haben müssen, über die von außerhalb die aktuelle maximale Geschwindigkeit festgelegt wird. Also das Auto kann dann nie schneller fahren als die aktuelle zulässige Höchstgeschwindigkeit, das Auto kann an roten Ampeln nicht losfahren bzw. bremst an gelben Ampeln automatisch und bei Kontrollen durch die Sicherheitsbehörden bleibt das Auto automatisch stehen. Der Fahrer kann das auch nicht übersteuern. Wie weit so ein Gesetz wohl kommen würde?

    Hier noch eine Anekdote warum die Quellen-TKÜ benötigt wird:
    Ein Podcast: MDR Investigativ – Hinter der Recherche, Wie Einzelgänger zu rechten Attentätern werden.
    https://www.ardaudiothek.de/mdr-investigativ-hinter-der-recherche/wie-einzelgaenger-zu-rechten-attentaetern-werden/82093000
    Es geht um die Ermittlungen zum Attentat von Halle.
    In den Minuten 18 bis 19.
    kurz: Den Ermittler*Innen fehlte die entsprechende Software, da sie sich keinen Account in dem Forum klicken konnten (kann aber scheinbar jede*r andere*r), in dem sich der Attentäter mit seinen Freunden ausgetauscht hat, um dann die Kommunikation frei einsehen zu können.

  14. Moin Tim und Nils,
    Richtig geniale Folge und dabei ein viel zu wichtiges Thema als letztlich klein bei zu geben; wenn es insgesamt doch um die Zukunft von uns allen geht…

    Danke für Euer Engagement und den erstklassigen Podcast!

    Beste Grüße aus Hamburg
    Sascha

  15. Der Umgang von Lego mit seinen Wettbewerbern ist schon bemerkenswert. Aktuell versucht man den Import legaler Alternativprodukte mit langwierigen Urheberrechtsstreiten zu unterbinden – man wird das am Ende verlieren, aber das Recht ist hier bei dem, der das finanziell am längsten durchhalten kann. Eigentlich auch ein schönes Beispiel zum Thema Urheberrecht für euch, oder?

    Der „Held der Steine“ fasst die Lage knapp zusammen:
    https://youtu.be/1SROfLs6FPw

    Der Beklagte hat derweil eine Spendenaktion ins Leben gerufen – nicht für sich – man sammelt, um Kinderheime mit Alternativprodukten auszustatten.

    https://www.gofundme.com/f/bricks4thekids-klemmbausteine-fr-kinder

  16. erklät der Kriegsministerin das sie für ihre Panzer super ausgebaute Datenautobahnen braucht, in 2 Jahren hat die letzte Teekanne eine Yottabit anbindung. Und wenn irgendeine Firma unseren Ort mit Glasfaser ausbaut, jeder eine Anbieterbindung hat weil sie damit sich den Ausbau finanzieren lassen, dann ist da jeder Mieter bestimmt super bereit für seinen Nachmieter eine Glasfaser zu bezahlen. Vergesst einfach Internet, für die neuartigen Rundfunkgeräte brucht die CDU kein schnelles Internet, RTTY läuft auf 50 Baud.

  17. Ist es eigentlich Usus, dass bei Sachverständigenanhörungen nur Sachverständige eingeladen werden, die gegen das vorgeschlagene Gesetz sind? Oder hat die Union niemanden gefunden, der den Gesetzentwurf mit Sachverstand verteidigt?

  18. Linus zu Stuxnet: Nee, das ging nicht darum, die Urananreicherung leicht fehlzusteuern. Engl. Wikipedia: „Stuxnet reportedly ruined almost one-fifth of Iran’s nuclear centrifuges“. Zentrifugen haben Resonanzen. Die kann man für Resonanzkatastrophen ausnutzen. Danach sind die Lager hin und der Rotor ist deformiert oder geplatzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.