Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP383 Dann sagen wir es eben nochmal

Feedback — Lego — Datenautobahn — Telekommunikationsgesetzes — IT-Sicherheitsgesetz 2.0

In dieser Folge reden wir zwar viel über Lego und die Datenautobahn, doch der klare Schwerpunkt liegt auf dem IT-Sicherheitsgesetz "2.0", für das in dieser Woche eine Expertenanhörung im Bundestag stattfand. Linus war vor Ort und hat die Stellungnahme des Chaos Computer Club erläutert und entsprechende Fragen beantwortet. Wir sprechen über den Inhalt der Stellungnahme und wie es so abläuft in den Anhörungen (und dieser Anhörung im besonderen).

https://logbuch-netzpolitik.de/lnp383-dann-sagen-wir-es-eben-nochmal
Veröffentlicht am: 3. März 2021
Dauer: 2:30:21


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:33.632
  3. Feedback: SCADA 00:01:13.112
  4. Vierer und Achter 00:04:45.430
  5. Tkmog und die Datenautobahn 00:14:14.762
  6. Anhörung IT-Sicherheitsgesetz 2.0 00:25:49.056
  7. IT-SiG 2.0: Eingangsstatement 00:29:12.891
  8. IT-SiG 2.0: Stellungnahme 00:36:35.196
  9. IT-SiG 2.0: Rolle des BSI 01:08:58.093
  10. IT-SiG 2.0: Portscans 01:15:05.443
  11. IT-SiG 2.0: Eingriffe in Systeme 01:19:58.810
  12. IT-SiG 2.0: Anhörungsverlauf 01:39:10.434
  13. IT-SiG 2.0: Lex Huawei 01:53:05.941
  14. IT-SiG 2.0: IT-Sicherheitskennzeichen 02:13:31.129
  15. IT-SiG 2.0: Roundup 02:24:17.181
  16. Epilog 02:27:01.645

Transkript

Tim Pritlove
0:00:00
Linus Neumann
0:00:01
Tim Pritlove
0:00:03
Linus Neumann
0:00:06
Tim Pritlove
0:00:33
Linus Neumann
0:00:46
Tim Pritlove
0:00:58
Linus Neumann
0:01:06
Tim Pritlove
0:01:16
Linus Neumann
0:01:18

Äh und zwar hatten wir äh ja in der letzten Sendung über die Wasseranlage da in. In äh Florida oder wurde das war gesprochen. Und da haben wir von Andre, Feedback bekommen, der auch sich so mit so Skada-Systemen auseinandersetzt. Er schreibt uns. Also, Siemens hat da zum Beispiel mit Simatik PCS sieben, mehr oder minder ein Monopol bei der, Industriesteuerung, ja? Dies lief zu meiner Zeit als Chemikant auf Windows zweitausend, schon mit Chipkarten zum Absichern und so weiter. Die neuen Versionen laufen logischerweise auf neueren Windows Versionen. Dort hast du mit der Maus bedienbar ein komplettes Schaltbild der Chemieanlage Von der Pumpensteuerung bis hin zur Dosiermenge. Die Grenzen der Einstellung übernimmt die Prozessleitelektronik. In dem Fall die Elektronikerinnen. Dieses findet natürlich vorher, unter Absprache mit den Ingenieurinnen und Doktorinnen. Äh statt den einfach mal so stellt man dort gar nichts auf feste Werte ein. Dafür gibt es dann Benutzerkonten mit Rechteverwaltung. Sprich. Die Messwartenfahrerin sollte nie die Rechte der PLT haben und so weiter. PLT Prozessleittechnik und so. Also quasi er will ähm antwortet im Prinzip auf die Frage, warum konnte da jemand den Wert auf das tausendfache Stellen auf der hundertzehnfach stellen. Auch sollten Alarme konfiguriert sein, damit im Falle einer Fehldosierung oder eines Feders im Allgemeinen ziemlich zügig der Leitstand informiert wird Das Feature Lizenzabhängig an PCS sieben ist die App Steuerung, also mit VPN und Userberechtigung kann der kleine Chemikant vom Donnerbalken trotzdem auf das System einwirken Was da in den USA falsch lief, keine Ahnung, was die benutzen, ebenso keine Ahnung. Ich denke mir aber mal Am falschen Ende wird immer gespart und nicht über Sicherheit und Co nachgedacht. Wer konnte auch damit vor zwanzig Jahren rechnen, dass die Geräte wirklich richtig online gehen wie vom Hersteller vorgeschlagen. Übrigens, der Shartcode von Stucksnet setzte genau auf die Software, Siematik, PCS sieben Stucksnet war dieser, ja, äh, Cyberangriff Trojaner, äh gegen die oiranischen Urananreicherungsanlagen, wo dort die Zentrifugensteuerung. Ein bisschen aus dem Tritt gebracht wurde und zwar nur so wenig, dass die Anreicher eben nicht auf das kritische, Also die liefen so so ungenau, dass die Anreicherung nicht zu einem kritischen Niveau gelingen konnte. Ja also sehr schön mit anderen Worten die Software bildet das ab, was die Geräte können und nicht das, was sie sollen, hätte man sich halt mehr Gedanken drüber machen müssen.

Tim Pritlove
0:04:29
Linus Neumann
0:04:32
Tim Pritlove
0:04:43
Linus Neumann
0:04:51
Tim Pritlove
0:04:56
Linus Neumann
0:05:01
Tim Pritlove
0:05:08
Linus Neumann
0:05:12
Tim Pritlove
0:05:24
Linus Neumann
0:05:27
Tim Pritlove
0:05:35
Linus Neumann
0:05:45
Tim Pritlove
0:05:50
Linus Neumann
0:05:52
Tim Pritlove
0:06:20
Linus Neumann
0:06:35
Tim Pritlove
0:06:54
Linus Neumann
0:07:03
Tim Pritlove
0:07:04
Linus Neumann
0:07:17
Tim Pritlove
0:07:19
Linus Neumann
0:07:31
Tim Pritlove
0:07:37
Linus Neumann
0:07:50
Tim Pritlove
0:07:54
Linus Neumann
0:08:18
Tim Pritlove
0:08:20
Linus Neumann
0:08:26
Tim Pritlove
0:08:42
Linus Neumann
0:08:47
Tim Pritlove
0:09:38
Linus Neumann
0:09:45
Tim Pritlove
0:09:52
Linus Neumann
0:09:55
Tim Pritlove
0:10:02
Linus Neumann
0:10:06
Tim Pritlove
0:10:27
Linus Neumann
0:10:28
Tim Pritlove
0:11:14
Linus Neumann
0:11:59
Tim Pritlove
0:12:02
Linus Neumann
0:12:13
Tim Pritlove
0:12:18
Linus Neumann
0:12:52
Tim Pritlove
0:12:53
Linus Neumann
0:12:54
Tim Pritlove
0:12:55
Linus Neumann
0:13:04
Tim Pritlove
0:13:13
Linus Neumann
0:13:15
Tim Pritlove
0:13:17
Linus Neumann
0:13:25
Tim Pritlove
0:13:26
Linus Neumann
0:13:28
Tim Pritlove
0:13:32
Linus Neumann
0:13:47
Tim Pritlove
0:13:55
Linus Neumann
0:13:56
Tim Pritlove
0:14:06
Linus Neumann
0:14:08

Äh widmen wir uns. Okay, So, also wir haben äh in dieser Woche oder in dieser Woche ist ja Dienstag, ja? Und gestern waren zwei, Anhörungen des Deutschen Bundestages bei den der Chaos-Computerclub Stellungnahmen eingereicht hat. Und zwar einmal das. Gesetz zur Modernisierung der Telekommunikation, also das TK Mock. Da war die Anhörung im Ausschuss für Wirtschaft und Energie. Da ist der Frank hingegangen, Frank Rieger. Und dann war noch die Anhörung zum IT-Sicherheitsgesetz, die äh ich besucht habe. Ähm, dieses CK Mock ist da ist ein Monster von vierhundert Seiten und äh die Anhörung war auch vier Stunden und die haben die aber offenbar so gesplittet, dass quasi. Frank, wenn ich das richtig in Erinnerung habe, nur nur zwei Stunden dran teilnehmen musste, als dann sein Teil dran war, weil das eben so ein absolutes Mammut. Ding ist. Und da, ist es im Prinzip äh geht es in dem Teil mit dem Frank sich da behandelt hat, äh äh auseinandergesetzt hat, geht's im Prinzip um ja Netzwerkausbau, ja? Also was muss passieren, ne? Wie wird äh, wie wie kann man vielleicht noch darauf hinwirken, dass auch Deutschland ein modernes Kommunikationsnetz bekommt. Ja, es gibt da ja grade geht auch glaube ich so ein bisschen rund diese äh ähm ich will immer ein Neo-Magazin, aber ZDF-Magazin Royal Sendung, wo Bühmermann auch nochmal erklärt hat, warum in Deutschland eben, es kein kein Glasfaser gibt, sondern Kupfer, ne, dass der Helmut Schmidt hat ja gesagt, äh okay, könnte man eigentlich mal machen und dann hat äh Helmut Kohl gesagt, äh nee, der Leokier, ich will das nicht, lass uns mal lieber äh Kroatialkabel legen, das ist günstiger für Kabelfernsehen, ne.

Tim Pritlove
0:16:11
Linus Neumann
0:16:19
Tim Pritlove
0:16:20
Linus Neumann
0:16:23
Tim Pritlove
0:16:30
Linus Neumann
0:17:02
Tim Pritlove
0:17:19
Linus Neumann
0:17:51
Tim Pritlove
0:17:55
Linus Neumann
0:18:18
Tim Pritlove
0:18:21
Linus Neumann
0:19:13

Oh Mann, ja, aber damit hast du jetzt eigentlich auch die ähm die Stellungnahme äh schon ganz gut zusammengefasst. Also, ne, es geht darum, in dem TKMOK und in dem Teil, der mit dem Frank sich auseinandergesetzt hat, geht's eben genauer um die um den Breitbandausbau, ja, wo es also geht so, okay, Deutschland soll eine Datenautobahn bekommen, ja und ähm. Jetzt ist es aber in diesem Gesetz so definiert, dass es quasi einfach nicht fest ist. Da ist nicht nichts klar definiert, wo du jetzt mal eine Anforderung hast, wo gesagt wird, okay, es gibt eine Mindestb Breite und die kannst du notfalls auch einklagen, ja? Und da gibt's eine, also irgendetwas, was dafür sorgen würde, dass jemand auch tatsächlich einen Rechtsanspruch gewissermaßen hat, ja? Ähm. Wäre halt äh mal schön gewesen, ne? Aber nein, es bleibt an den entscheidenden Stellen eben zahllos und äh schafft zahllos und und schafft vor allem auch die Hindernisse nicht aus dem Weg, ne? Es gibt zum Beispiel immer noch keine Mindestbandbreite, und auch keine Sanktionen, wenn du die nicht erfüllst oder untererfüllst. Ende. So ja da wird's schön. Ne und dann gibt's natürlich auch. Das, was man ja sieht, ist ja, also es gibt ja diese Förderungen, ne, für kommunale Ausbauprojekte, die niemand abgreift, ne? Da wurde ja gesagt, hier gibt's Geld. Und dann haben die gesagt, boah, Alter, das ist aber ein kompliziertes, kompliziertes Fax, was wir da schicken müssen. Lasst uns das mal lieber, äh lass uns versuchen, das nicht zu machen, ne? Und ähm. Ja, es gibt jetzt auch zum Beispiel keine Möglichkeit für Mieter äh zum Beispiel eine schwache Anbindung als Mietminderungsgrund anzugeben, ne? Oder irgendwie das Planungsverfahren zu beschleunigen für den Ausbau oder so. Und gibt's halt einfach alles gar nichts so, ne? Also es wird gesagt, ja, das wird jetzt alles toll, aber da steht halt nicht drin, dass es jemand kann also Frank, also Frank hat außerdem noch so symmetrische Bandbreiten wären natürlich auch mal super, ne? Vor allem gerade wenn du Glasfaser ausbaust, dann kannst du es ja auch wirklich einfach mal machen, ne? Und, damit kannst du ja dann eben auch ne, wie sagt man so schön, äh den den ländlichen Raum attraktiver machen. Ich habe heute mit einer äh Freundin telefoniert, die, Kennst du auch, die ein Grundstück äh etwas außerhalb von Berlin hat in Brandenburg, so Stunde ungefähr raus. Und nachdem sie quasi dort sich niedergelassen haben, kam eine Woche später der Brief, Telekom, so, ja, wir legen hier Glas hin, ne? Wo wir auch gesagt haben, so okay, da hat sich ja schon gelohnt, ne? Also wenn wenn du das Ding gekauft hast und dann wird der Gras hingelegt, weißt du halt so, geil, ich bin, also so, boah, was für ein Volltreffer, wo ich auch sagte, boah geil, kann man toll, ne? Toll, ihr werdet Glasfaser haben, ne? Ich meine, äh wie du ja schon sagtest, ich ich komme ja aus dem Opal Ghetto. Hast du ja äh Jackpot, ne? Ich ich kenne noch Zeiten, da gab's noch nicht mal DSL. Okay, aber okay, lange, lange Rede, kurzer Sinn. Irgendwelche äh dass da mal gesagt wird, okay, es muss hier mal ordentliche, also ohne Qualität einfach mal, dass man sagt, okay, Bandbreite, Latenz Paketverlust, Rad oder irgendwelche, Qualifikation Qualitätsmerkmale, gibt's hier einfach nicht benannt. Und natürlich wäre eben auch eine wichtige Forderung gewesen, dass man die lokalen und kommunalen Ausbauprojekte stärkt, damit eben. Leute sich selber zusammenrotten können und wie du eben auch schon so oft erklärt hast und so oft gefordert hast, dass du jetzt sagst, okay. Dann schaffen wir die Infrastruktur und wer mir am Ende die Bits da drüber liefert, das kann ich ja dann nochmal autonom verhandeln, ne. Auch das ist hier. Nicht wirklich gegeben. Rest der Welt hat Gigabit-Anschlüsse einfach auf Masten in den Masten, die Glasfaser mit reingeworfen, innerhalb von Tagen und in Deutschland äh, sind die Tiefer Tiefbaukapazitäten ausgeschöpft und ja kennen wir ja alles, ne? Oh, die Glasfaser, die haben wir jetzt aber vergessen mit reinzuwerfen, als der Bagger da einmal durchgefahren ist. Und jetzt können wir den schönen Asphalt ja nicht nur mal kaputt machen, ne.

Tim Pritlove
0:23:41
Linus Neumann
0:23:56

Und dann natürlich was auch spannend ist, äh, ich zitiere da jetzt so aus der Stellungnahme die absehbare Verfügbarkeit von schnellen Satellitenverbindungen mit niedriger, niedriger Latenzu niedrigen Kosten wie etwas darling, sollte im Gesetz berücksichtigt werden. Anbieter solcher Dienste in Deutschland müssen denselben Verpflichtungen für Bandbreite Kundenservice Beschwerdemanagement Datenschutz und Vertraulichkeit unterliegen. Gerade für die Versorgung geographisch, gelegener Regionen, bei denen eine Glasfaserbindung nicht zeitnah realisierbar oder extrem äh unökonomisch ist, bieten die neuen Satellitendienste eine sinnvolle Ergänzung zu Glasfaserinfrastruktur, die entsprechende Regulierung sollte jedoch einerseits gleiche Bedingungen für alle Anbieter sicherstellen und andererseits ihre Realisierung nicht unnötig behindern. Ist ja ohnehin so, muss man jetzt ganz einfach sagen, so, Wenn du jetzt in Deutschland äh eine eine entlegene Region wie ein Vorort von Berlin zum Beispiel mit Internet erschließen möchtest, ist es im Zweifelsfall einfacher Satelliten ins All zu schießen, als die die Erde aufzureißen und deine Glasfaser hinzulegen, ne? Das ist und oh je, oh je, oh je. Na ja, also da gibt's wenig Hoffnung. Und äh ja, Stellungnahme des CC haben wir verlinkt und die Aufzeichnung der Sachverständigenanhörung ähm haben wir dann auch verlinkt. Da hat sich dann, Frank drum gekümmert. Im Prinzip eine kleine vom vom Umfang her eine kleine Stellungnahme. Vier Seiten oder so, weil es äh ich gucke mal, wie viele Seiten sind das? Ja, vier Seiten, weil es ähm.

Tim Pritlove
0:25:34
Linus Neumann
0:25:36
Tim Pritlove
0:25:40
Linus Neumann
0:25:45

Genau und dann gab es quasi eine Stunde später, war dann die Anhörung, sie waren zeitversetzt, aber wie eine Wasserwärme, also Zeitgleichzeit versetzt, war die Anhörung im Innenausschuss zum. Gesetz zum Entwurf eines zweiten Gesetzes zur Erhöhung der Informationssicherheit informationstechnischer Systeme dem sogenannten IT-Sicherheitsgesetz zwei Punkt null Und ich war ja auch schon zum ersten IT-Sicherheitsgesetz als Sachverständiger im Innenausschuss des Deutschen Bundestags und habe mich sehr gefreut, dass ich jetzt noch einmal dort eingeladen wurde. Das habe ich ja in der letzten Sendung auch schon. Erzählt, wie das da gelaufen ist. Und ja die meisten haben ja schon oder einige haben mich ja auf Twitter schon angesprochen, ich habe dann am Ende dazu entschieden. Vor Ort aufzutreten und in den Bundestag zu gehen, in das Paul-Löbe-Haus, erstens, weil ich da lange nicht mehr war. Zweitens weil ich mir dachte ah Remote Teilnahme und so wer weiß ob die das hinkriegen, ich bin da nicht, dass ich denen das nicht zutraue, aber man hat ja schon Pferde kotzen sehen, direkt vor der Apotheke und so, ne. Und ich wollt's ja auch nicht beschreien und dann saß ich da pünktlich um sechzehn Uhr. Oder um vierzehn Uhr war das in diesem, in dem Raum mit den mit den mit den Parlamentarierinnen, die es die dort waren. Also einige hatten sich auch remote zuschalten lassen zum Beispiel äh Anke Domscheidberg, die ist ja auch im Innenausschuss, die wohnt ja erstens weit weg und die hat ja auch schon, ne, sich auf die, also sie hat ja mal diese, Corona-Warnung und so ähm. Aus der quasi aus ihrer Pendelei, davon außerhalb von Berlin. Äh insofern hat die sich äh remote anbinden äh eingewählt, und auch Tabea Rößner, die Konstantin von Notz äh vertreten hat, hat sich remord eingewählt und, alle anderen Sachverständigen ähm außer Sebastian A. Und ich waren auch remote angebunden so und. Sofern war natürlich auch klar, wenn du jetzt so viel darauf setzt, ne, dass das dann in dem Fall nicht funktioniert, ja? Die anderen Sachverständigen übrigens waren, Manuel, Ich sehe gerade auf Bundestag DE falsch geschrieben. Manuel Arthof steht hier auf Bundestag DE, es war aber Manuel Atock, der hier auch schon mal äh in der Sendung war mit der AG Kritis, dann der Staatsrechter Professor Klaus Gerditz, dann noch äh Sven Herpig von der, Stiftung, neue Verantwortung und Martin Schallbruch, der hier aufgeführt wird vom Digital Society Institut, europäischen Hochschule für Management und Technologie in Berlin, der war aber mal beim BSI, wenn ich mich nicht täusche, hätten sie eigentlich auch schreiben können, dass der da. Zu seiner alten Arbeitsstelle mehr oder weniger Bezug nimmt. Äh genau, das waren die Sachverständigen. Und genau, hat natürlich erstmal nicht funktioniert. So, dann sitzt du da, äh hast du erstmal so eine so, ich weiß nicht, zehn Minuten oder so war das dann so. Hallo, hören sie uns? Ja, wir hören sie. War natürlich schon war klar. Ja und dann äh gab's eben die Sache mit dem ähm mit dem Eingangsstatement, ersten fünf Minuten darfst du was sagen oder wirst du gebeten, fünf Minuten lang etwas zu sagen? Die hatten aber keinen, also. Also warum auch immer, mir waren nicht ganz klar, aber die hatten offenbar keine technische Lösung. Normalerweise gibt's da diese Uhr. Also du sitzt in diesen Seelen, oben ist sind vier Bildschirme so angeordnet und, Da läuft üblicherweise ein Timer, der dir halt auch signalisiert, wann du halt fertig sein musst, weil das natürlich für alle Beteiligten einfach nur nervt, wenn irgendjemand der seine Redezeit halt massiv überzieht. So und ähm. Das hatten sie aber jetzt nun mal nicht. So, wo du dich auch fragst, so, wir haben ja auch erst seit einem Japanimmy und äh diesen diesen Missstand äh haben sie halt bisher noch nicht angegangen, da haben aber die meisten Sachverständigen dann auch hinbekommen ungefähr fünf Minuten Eingangsstatement zu machen und wenn du möchtest kannst du ja mein Eingangsstatement vielleicht, einfach mal einspielen, die fünf Minuten, da muss ich das jetzt nicht wiederholen.

Tim Pritlove
0:30:24

Äh herzlichen Dank, Frau Vorsitzende. Herzlichen Dank an die Ausschussmitglieder. Ich spreche heute zu Ihnen als Vertreter des Chaos-Computerclubs einer Hackerin Vereinigung, die hier seit mehreren Jahrzehnten in der Bundesrepublik Deutschland ihr Unwesen treibt, Wir machen sowas wie die Staatstrojaner analysieren oder die Bundest. Aber wir melden die Schwachstellen immer um auf die IT-Sicherheit hinwirken zu können, daher kenne ich auch den Herrn Köhn, den ich natürlich auch herzlich nochmal zum Geburtstag gratulieren mö. Wenn wir uns die Digitalisierung in Deutschland anschauen, dann haben wir hier einfach mit dem schlechtesten aus beiden Welten, Wir kommen kaum in Genuss der Vorteile, ja, wir können Impfsystem nicht koordinieren, wir können die Zusammenarbeit der Gesundheitsämter nicht koordinieren, wir können noch nicht mal eine Remote-Anbindung von Sachverständigen im Innenausschuss herstellen ohne Probleme zu haben. Aber ohne diese Vorteile überhaupt zu haben der Digitalisierung haben wir alle Nachteile am laufenden Band, Kundendaten laden die ganze Zeit online, die Rancing Ware rasiert seit Jahren durch die Unternehmen und unsichere Produkte ohne Updates sind frei verkäuflich und niemand tut. Für die Bundesrepublik Deutschland die geht die gesamte Rechnung der Digitalisierung nicht auf, wir bremsen uns selbst und die Zukunft dieses Landes, weil wir nicht kompromisslos für IT-Sicherheit eintreten. Wir brauchen Mut, Sicherheit, Leuchtturmprojekte und das letzte was wir brauchen sind Kompromisse oder Bürokratie, Wir tun ja so ein bisschen so als wäre IT-Sicherheit irgendwie mysteriös. Wir wundern uns, wo die ganze IT Unsicherheit herkommt und Tunseits könnte man da nichts machen, aber, alle praktisch relevanten Probleme der IT-Sicherheit sind theoretisch längst gelöst. Es gibt nicht irgendwelche Herausforderungen, wo wir nicht wissen, wie wir die bewältigen sollen. Dieses Wissen wird aber nicht umgesetzt und deswegen ist die praktische IT-Sicherheit ein einziges Desast. Und wenn es irgendwo ein bisschen brennt, dann braucht man eine Feuerwehr, das ist absolut richtig. Aber wenn es überall brennt, dann braucht man Brandschutz und das wäre eine solide Basi. Eine solide Basis für die Bundesrepublik Deutschland der Bürgerin, Wirtschaft und so weiter vertrauen können, insbesondere in der Infrastruk. Was soll man aber machen, wenn das BMI überall rumrennt und Feuer legt. Wir haben die Ausweitung zu Befugnis des Einsatzes von Staatstrojaner. Wir haben die Messenger-Überwachung auf Inhalte. Der BND soll Kommunikationsnetzwerke häcken dürf, wird unterhalten, der eine eigene Behörde zur Schweichung von IT-Sicherheit und dem gegenüber steht das arme, kleine BSI allein auf weiter Flur. Und muss hinterherfegen und unterliegt auch noch der gleichen Dienstherrin dem BMI. Statt IT-Sicherheit zu gestalten, muss das BSI IT-Unsicherheit verwalten. Und jetzt soll es auch noch Schwachstellen geheim halten dürf. Somit verlieren wir dann die halbwegs vertrauenswürdige Institution, die einzige Halbwegs vertrauenswürdige Institutionen, die wir in dem Bereich hatten. Das ist ein herber Verlust für die Bürgerinnen. IT-Unsicherheit ist und bleibt in Deutschland auch viele Jahre nach dem ersten IT-Sicherheitsgesetz ein Marktvorteil. Wir als Chaos-Computerclub fordern seit langem eine. Verlangen Mindesthaltbarkeitsdaten, also Updatepflich. Eintrittsvoraussetzungen stattdessen bekommen wir jetzt ein freiwilliges IT-Sicherheitskennzeichen, bei dem die Erfüllung der Anforderungen noch nicht einmal. Das ist wirklich einfach nur eine Wirtschaftsförderungsmaßnahme. Ich finde das halbwegs in Ordnung, dass das BSI jetzt auch langsam etwas machen darf, was ich seit vielen Jahrzehnten mache, nämlich. Wenn noch irgendwas am Netz hängt, was so klapprig ist, dass er im Port Skir nicht standhält, dann ist das äh ganz gut, wenn da jemand vorbeikommt, ist aber eine völlig irrige Annahme, dass das BSI da schneller als Angreiferinnen vorbeikommen würde. Prüfen nämlich nicht nur auf Schwachstellen, sondern nutzen sie direkt auch noch aus. Das mit den Port-Scans habe ich früher auch gemacht, da habe ich übrigens leite ich leite ich seit vielen Jahren unter dem Hackerparagraphen dessen Revision sie ja inzwischen vielleicht mal äh in Angriff nehmen könnten, wenn selbst das. Nun solche Tools nutzen soll. Ich würde allerdings empfehlen ähm auf eine Reihe ja seriöser oder zwielichtiger Anbieter äh zurückzugreifen, die solche. Äh im Stundenabstand machen und die Ergebnisse online kostenlos bereitstellen äh oder auch mit Analysefunktionen versehen. Was mich sehr ärgert, ist, dass in einem IT-Sicherheitsgesetz von überwiegenden Sicherheitsinteressen die Rede ist, die das äh BSI daran hindern sollen, das Wissen über Schwachstellen an Betroffene, geben, wie sie wissen, sie sind, die sind auch im Gesetzesentwurf entweder, gehen die größten Angriffsschäden auf das Geheimhalten von Schwachstellen durch staatliche Stellen zurück, das BSI sollte unter keinen Umständen jemals berechtigt sein, bei Kenntnis von Schwachstellen irgendetwas anderes zu tun, als wie die Betroffenen zu informieren, eine Beseitigung der Schwachstellen hinzuarbeiten und zu gegebenen, die Öffentlichkeit zu warnen. Wir machen im CC seit vielen Jahren Wind Robility Disclager und wir werden uns jetzt in Zukunft überlegen müssen, ob wir noch Leute mit gutem Gewissen, zum BSI schicken können. Die Maßnahmen zur Entfernung von Schadsoftware, da haben andere sich schon zu geäußer, Insgesamt wünschenswert, aber das ist ein schwerwiegender Eingriff mit hohem Risiko, den kann man nicht mal eben auf einer halben Seite hinschreiben, haben ja auch andere Sachverständige hier schon klar erklärt, das Ergebnis ist, Schadsoftware ist nicht eng definiert, Information ist zu weit definiert. Missbrauchspotenzial ist enorm. Dem Schutzziel hier unangemessen. Da erwarte ich einige äh Ausnutzungen dieser Paragraphen, die nicht im Interesse und auch nicht im Sinne derer sind, die das Gesetz so formuliert. Zur Beteiligung wurde auch viel gesagt, ich freue mich, dass Herr Professor Gerditz ihn Mut gemacht hat. Äh auch wenn die Notivikationsstillhaltefrist am achtzehnten dritten endet, vielleicht trotzdem an diesem Gesetz. Vielen Dank.

Tim Pritlove
0:36:15
Linus Neumann
0:36:18

Ja, das war jetzt relativ viel. Ich dachte, das äh könnte man mal als, als als Einleitung vielleicht ganz gut hören. Weil das Gesetz ist natürlich relativ umfangreich, ja? Und ich habe auch nicht zu allem, was da drin ist, ähm Stellung genommen. Ähm ich habe aber eine schriftliche Stellungnahme verfasst. Das ist natürlich immer so eine so eine Sache, ne? Du willst. Willst da was ordentliches abliefern? Und du weißt aber auch, dass liest, wahrscheinlich kaum jemand, aber du willst jetzt, du hast ja trotzdem an dich selber den Anspruch so, ne, eine ordentliche Stellungnahme zu verfassen. Sind am Ende vierundvierzig Seiten geworden mit einer ganzen Reihe an Empfehlungen und eben Kritik und was auch immer dabei geholfen haben, Frank Rieger, Dirk Engling und Matthias Marx, also sowas kriegst du halt auch in den wenigen Tagen nicht alleine hin und außerdem wird's ja auch deine Ideen ähm mit den anderen, ne, abstimmen, abgleichen, prüfen, gucken, habe ich an alles gedacht, was sagst du hierzu, ne? Wie kann man hier im Detail drauf eingehen und so, ne? Sowas kann man, oder so ist man gut beraten sowas nicht alleine zu machen. Äh nichtsdestotrotz ist es halt auch einfach eine so, ne, für den Textfluss oder so gibt's halt dann einfach eine. Das muss ja dann eine Person koordinieren und eine Person zusammenfügen. Ähm und das ganze Ding hat den schönen Titel, der mir eingefallen ist, Sicherheit gestalten, statt Unsicherheit verwalten. Und äh das ist so ein bisschen auch, würde ich sagen das Fazit der Forderung, die wir da so ein bisschen positioniert haben. Erstens mal klar zu gucken, dass erste IT-Sicherheitsgesetz war Anschuss in den Ofenpunkte, so, ne? Das, das steht einfach mal fest, das wissen auch alle. Dass wir das mit. Kritischen Infrastrukturen, wo im Prinzip gesagt wurde, okay, wir definieren jetzt äh diese kritischen Infrastrukturen und die, die bombardieren wir dann jetzt einfach mit. Letzten Endes war die Idee so, dass man gesagt hat, okay, die brauchen die brauchen auf jeden Fall Mindeststandards, wir müssen denen jetzt gesetzlich vorschreiben, wie sicher sie ihren Laden dazu betreiben haben. Und ähm zweitens, Wenn sie diese Mindeststandards nicht erfüllen, dann müssen wir eben auch potentiell den Ärger machen, ja? Und dann hat sich das BSI gedacht, ja, okay, aber blöd, scheiße, wenn wir diese Mindeststandards jetzt selber schreiben, wir haben ja gar keine Ahnung davon. Also haben sie gesagt, okay, die Branchenverbände können sich diese Mindeststandards selber schreiben. Und wir nehmen die dann ab, ja mit der und du kannst dir vorstellen, welche Mindeststandards ein Branchenverband einreicht. Wenn er weiß, wenn er die nicht erfüllt, gibt's Ärger, ja? Die haben natürlich dann einfach Mindeststandards eben eingegeben. Eingereicht, damit sie alle größer sind. Ähm also damit sie alle darüber hinaus sind und alle die erfüllen, ne? Dann gab's natürlich auch ganz viel Hauen und Stechen darum, wer's jetzt kritische Infrastruktur und da sind natürlich dann an den Kriterien gab's dann eben ja Ärger, ne, weil es zum Beispiel an was weiß ich, bei bei der bei Versorgungsinfrastruktur eben gesagt, wo du okay kritisch bist du ab so und so viel Empfängerin, ne? Und dann ist eben das eine Wasserwerk, ist kritische Infrastruktur, das, Struktur des anderen nicht, weil es irgendwie eine abitäre Grenze gibt, wie viele Leute, die so betrinken müssen, bis das kritisch ist, solche äh solche Dinge. Kam da eben alle zusammen und damals habe ich schon gefordert, dass das BSI, unabhängig vom BMI werden muss, also das Bundesamt für Sicherheit in der Informationstechnik unabhängig vom BMI sein muss, weil im Moment, dass also das Bundesministerium für inneres, Heimat und Bau oder wie die das Ding jetzt genannt haben. Ich hoffe, dass das nächste Ligit hat Legislaturperiode einfach wieder Innenministerium heißt. Ähm so und. Wenn du jetzt halt Leute hast, die für die Sicherheit zuständig sind, aber einen uns kein, unzweifelhaften und unzweideutigen Auftrag haben, dann ist es natürlich schwierig zu denen Vertrauen aufzubauen. Und was, sage ich mal, zwanzig fünfzehn oder so, als wir Stellung genommen haben zum zum ersten IT-Sicherheitsgesetz. Noch so ein bisschen Klang wie eine Verschwörungstheorie. Das wird halt in einem zweiten IT-Sicherheitsgesetz jetzt wirklich auch einfach schwarz auf weiß geschrieben. Da kommen wir also, gleich nochmal drauf. Jetzt habe ich erstmal in der Stellungnahme sind wir hingegangen, haben gesagt, okay, wie sieht's aus? Ähm was hat sich denn verbessert seit dem ersten IT-Sicherheitsgesetz, ne? Ähm, Da haben wir dann einfach mal ein bisschen berichtet von unseren Erfahrungen mit Wahlsoftware, ja? Zwanzig siebzehn. Viele erinnern sich wahrscheinlich, Martin Schiersig. Thorsten Schröder und ich ähm analysieren die Wahlsysteme zur Bundestagswahl und ja reißen das Ding eigentlich einmal komplett auf, ja? So. Resultat, ne? Das habe ich ja da auch in der, in der Anhörung gesagt, wo ich als ich den Herrn Köhnen gegrüßt habe, den habe ich da kennengelernt. Der Herr Köhn ist im BMI, ein, jetzt weiß ich gar nicht die genaue Position, aber ein relativ hoher äh dortiger, äh Beamter äh im Bereich der, IT und IT-Sicherheit. Ich höre dich da schon googeln Tim, vielleicht kannst du mir die genaue äh Bezeichnung, genaue Berufsbezeichnung nennen, weil der möchte ich natürlich auch gerecht werden.

Tim Pritlove
0:41:39
Linus Neumann
0:41:44

BS, ne P, Vizepräsident, dann ist er ins so okay, alles klar, hier. Der war früher äh BSI-Vize und ist jetzt Leiter der Stabstelle IT und Cybersicherheit und sichere Informationstechnik im BMI. Genau, so. Also, ne? Jemand der seit Jahrzehnten eben in Deutschland in anrelevanter Stelle für die IT-Sicherheit tätig tätig ist und jetzt eben der Leiter der Stabs Stabstelle. Also ich würde jetzt mal davon ausgehen, dass der, kein mehr zwischen sich hat, wenn er mit äh dem Innenminister spricht. Ähm. Der hat sich damals damit auseinandergesetzt mit dieser Wahlsache. Klar, muss er ja auch, ne? Ich meine, kurz vor der Bundestagswahl kommen drei Typen um die Ecke und sagen, das ist ja alles kaputt, So, da muss natürlich äh dass das BMI einschalten. Das hat ja natürlich auch äh damals mit denen ihm zur Verfügung stehenden Möglichkeiten getan und das hat er auch ernst genommen, ne? Muss man ganz einfach sagen, klarer Fall aber der hatte natürlich auch, es gab da eben diese Beschränkungen, dass das BSI, das habe ich auch glaube ich damals schon immer berichtet. Das BSI konnte da jetzt im Prinzip nicht einreiten und äh eingreifen, weil das ja eine Software von einem privatwirtschaftlichen Anbieter war und von dieser privatwirtschaftlichen Anbieterin waren jetzt die Länder jeweils nur Kundinnen, um ihre Wahl dort abzuhandeln, ja? Also habe ich mir gedacht, okay, super. IT-Sicherheitsgesetz hier, ne? Ich meine, wenn du, hat offenbar nichts gebracht so, weil dieser ganze Vorfall war zwanzig siebzehn, ne, das ist. Oder war das zwanzig neunzehn diese Bundestagswahl? Nee, jetzt ist ja einundzwanzig, jetzt wird wieder gewählt, also zwanzig siebzehn, was ist denn seitdem passiert, ja? Und alles, was seitdem passiert ist, in den letzten vier Jahren ist. Es neuen Vortrag gab bei der RC drei über Schwachstellen in anderen Wahlauswertungssystemen. Das ist das was passiert ist. Also es gibt quasi hatten wir von ähm, Genau, Tobias, Madel und Johannes Obermeier haben nämlich mit Hacking German Elections in Secure Electronic Volt Counting, Howard Returnt and why you don't even now about it ähm eben, hier in Ende Dezember zwanzig zwanzig in einer weiteren Wahlauswertungssoftware eklatante Schwächen nachgewiesen so. Was hat das BSI in der Zwischenzeit gemacht? Ähm. Ein Anforderungskatalog geschrieben, den den solche Software erfüllen soll. Aber dieser Anforderungskatalog, der. Ähm hat jetzt immer noch keine rechtliche ähm Wirksamkeit oder so, ne? Das muss jetzt irgendwann mal überführt werden in irgendeinem Standard und irgendwann so in ganz, ganz, ganz ferner Zukunft kannst du dann irgendwann sagen, okay, Software, die diese Aufgabe übernimmt, muss folgenden Anforderungen genügen, ne? Da sind wir immer noch weit von entfernt und das ist eine Initiative, die wo ich jetzt mal davon ausgehen würde zwanzig siebzehn, zwanzig achtzehn dann eben spätestens gestartet wurde, weil sie ja wussten. Durch unsere Veröffentlichung, dass sie da ein Problem haben, ja? Also da da ist die waren in vier Jahren nicht in der Lage jetzt sage ich mal. Sicherheitsverantwortliche der Bundesrepublik Deutschland dafür zu sorgen, dass dass die Wahlen sicher abgehalten werden. Das ist denen nicht gelungen. Soll halt bald ein Anforderungskatalog zur Bundestagswahl einundzwanzig rauskommen, aber soweit ich das verstehe, kann der auch nicht ähm. Nicht mehr, ja, jetzt nennenswerte Verbindlichkeiten einfach für die Herstellerinnen haben, ja? Die konnten nach wie vor einfach ihren Schrott an die an die Länder liefern. Und es ist halt wirklich ja traurig, ne? Weil da würde man sich natürlich wünschen, dass es Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik gibt, die halt sich irgendwie die, die klar sind. Und wenn du auf die Webseite gehst, von der Firma des Unternehmens, dass dieses OK Vot herstellt, was eben, hier Obermaier und Madel auseinandergerissen haben, ne? Der steht auf der Website auch heute noch, kannst du hingehen. Steht drauf. Bei der Entwicklung von OK Vod wurde höchster Wert auf das Thema Sicherheit gelegt. Diese orientiert sich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik und der Non-Profit-Organisation oh was, O was ist eine Webapplication Security Projekt, ja? Also. Zum Heulen, ja? Also okay, da kannst du einfach mal sagen, okay, das hat halt nicht, das das BSI war da einfach hilflos, weil es eben gezwungen ist, diese Missstände zu verwalten, statt ihnen irgendwie mal aktiv entgegen treten zu können und irgendeine irgendein Hebel zu haben, mal eine Kompromisslosigkeit durchzusetzen und zu erzwingen. Als anderes Beispiel habe ich halt gewählt, Rancim Ware, ja, reden wir hier auch seit Jahren drüber. Erst in der letzten Sendung noch, ne? Wird eben auch in diesem Gesetzesentwurf sehr viel erwähnt. Seit zwanzig sechzehn würde ich sagen, wütet diese Rance Ware Welle, sodass das jetzt ein Trend ist, von dem du eben auch jede Woche liest und jede Woche jemand dran ist, ne? Und auch da konnte das BSI halt keinen Beitrag leisten hatten keine Möglichkeit. Äh rechtlich nicht, ne? Und da könnte man natürlich schon mal irgendwie sich darüber Gedanken machen. Wie wenn man ein Gesetz für die Informationssicherheit von IT-Systemen macht, ob man nicht irgendwie wenn man sich schon BSI leistet. Es mit Möglichkeiten ausstattet, dem entgegenzutreten. Gut, habe ich gesagt, Fehler sind nicht vergebens, wenn man daraus lernt, ne. Man müsste also jetzt ein weniger bürokratisches Gesetz formulieren und da habe ich dann ein paar Thesen zu formuliert auch ein digitales Entwicklungsland muss sich weiterentwickeln, ja? Das haben wir jetzt in der Pandemie gesehen, dass hier in Deutschland, einfach mal nichts funktioniert und wir haben auch bei der, nirgendwo eine sinnvolle IT-Strategie, ja? Äh wenn man sich irgendwie anschaut, äh D-Mail oder das besondere elektronische äh Anwaltspostfach oder auch den elektronischen Personalausweis, ja? Der elektronische Personalausweis jetzt, Der tatsächliche eigentliche Ausweis ist überhaupt nicht so schlecht wie sein Ruf, hat ja auch die Sicherheit gehalten, aber wendet keiner an ja? Also gibt einfach niemanden, der das Ding verwendet. Und da habe ich halt gesagt, so äh Beispiele für Projekte, die sich zur Geistel aller Beteiligten oder zu mahnenden Bauruinen mit Nutzungszahlen im hohen einstelligen Bereich äh entwickelten Und das ist das Problem ist halt immer, es hat halt den Mut zu einer kompromisslosen Strategie. Gefehlt, ne? Man nennt das immer so auch mal alte Zöpfe abschneiden und wirklich mal die Digitalisierung vorantreiben, fehlt einfach, jede Spur schön ist das auch und das es sind ja Probleme die hat jetzt das der Bund ja oder die Regierung oder die, die hast du ja auch in Unternehmen. Wenn du nämlich nicht irgendwann sagst, du machst jetzt den mutigen Schritt und schneidest alte Zöpfe ab, dann wird das einfach nur immer teurer. Ja und dann gibt's nämlich auch diese Konsolidierung. Der IT-Projekte des Bundes, die wurde ähm glaube ich in die Wege geleitet. Zwanzig sechzehn oder zwanzig fünfzehn, ja? Und die haben mir gesagt, bis zwanzig fünfundzwanzig konsolidieren wir die IT des Bundes und wahrscheinlich werden wir dafür ähm, werden wir dafür eine Milliarde brauchen, ja? Und inzwischen sind die nirgendwo in der Nähe davon fertig zu sein und haben schon drei Komma vier Milliarden verbraten.

Tim Pritlove
0:49:33
Linus Neumann
0:49:35
Tim Pritlove
0:49:36
Linus Neumann
0:49:40
Tim Pritlove
0:49:49
Linus Neumann
0:50:02

Ja

Tim Pritlove
0:50:02
Linus Neumann
0:50:33
Tim Pritlove
0:50:44
Linus Neumann
0:50:46

Tatsächlich äh Katastrophe. Ähm genau, also Konsolidierung der IT-Projekte des Bundes, ne? Und das, das sind ja alles so Phänomen so. Phänomene, die sind ja auch nicht ähm. Neu, also das so funktioniert halt leider IT, ne? Muss man so bitter sagen, wenn du dann ohne Strategie dran gehst, dann entgleitet dir das, ne? Und ohne ohne Übersicht. Also ich habe das ja, weil ich hasse das ja auch. Diese. Ja äh Trägheit und Regeln und so weiter, ne? Aber wenn du mal mit jemandem redest, der halt eine oder die eine IT koordinieren, Und wenn du da mit Leuten redest, die zum Beispiel einen Dokumentationskonzept dafür haben und die wissen einfach, was jeder Server da macht und welche Ports da drin offen zu sein haben und welche nicht, ne? Das äh ist halt ein bisschen was anderes und die halt irgendwie vom Prozess kommen und nicht einfach irgendwelchen ähm, Schrott dahinbauen, aber okay, also dort in Deutschland wird immer gesagt, okay, wir nehmen uns einen kleinen Aspekt, machen wir eine D-Mail draus. Übrigens, D-Mail hat ja dann auch jetzt äh ging ja nochmal rund, das war ja ebenfalls dieses äh, Interview mit dem äh Tim Höttkes, was wir letzte Woche schon besprochen haben. Da hat er ja dann gesagt, hier D-Mail ist ein toter äh toter Gaul und äh der hat nie irgendjemand benutzt und wir haben da Millionen drin versenkt, ne. Ähm, Also offenbar eine skandalöse Äußerung. Ich dachte, das hätte sie inzwischen rumgesprochen, also ist jetzt wirklich so eine Meldung, sondergleich, ne, wo alle irgendwie voll abgehen. Boah, was hat der? Was erlaube, Hötkes, ne?

Tim Pritlove
0:52:26
Linus Neumann
0:52:29
Tim Pritlove
0:53:45
Linus Neumann
0:53:48

Ja genau so, ne? Ähm. Ich hab das in der in der in der äh Auskunft dann genannt, wie war das denn? Ich habe glaube ich ungefähr gesagt, eine. Eine Wandtapete, eine Wandtapete der, Der Interessenkonflikte und äh Verantwortungsdiffusion. Genau, eine Wandtapete der Interessenskonflikte, Verantwortungsdiffusion und ungenutzten Konsolidier Konsolidierungspotentiale, in dem keine, in der keine Strategie zu erkennen ist eine Katastrophe, ne? Und dann musst du dich halt auch nicht wundern. Gut, äh, ich will bisschen weitermachen mit den Forderungen. Ähm, Was du eigentlich machen möchtest ist natürlich vorangehen, ne? Du willst nicht irgendwie nur die Unsicherheit verwalten und irgendwie hinterherfegen, sondern du willst natürlich auch mal einen mutigen Schritt nach vorne machen. Ähm Andreas Burg von Chaos Computerclub hat in einem, Vortrag mal gesagt so, man möchte ja auch einfach mal ein Genozid an Problemklassen äh äh betreiben, so was jetzt natürlich sehr. Wurde jetzt vom Geschmack her äh glaube ich auch von einigen kritisiert die Wort, weil ich finde, ich finde aber tatsächlich, man will ja einfach auch mal ein Problem weghaben und zwar für immer, und nicht sich weiterhin damit auseinandersetzen, ja? Und da fand ich eigentlich dieses Bild, finde ich gar nicht so ähm. Also finde ich das gar nicht so schlecht, weil sonst quält dich das einfach immer weiter und dafür musst du eben äh kompromisslos sein und kompromisslos heißt eben vor allem, dass du, keine gezielten Schwächungen an der IT-Sicherheit vornimmst, wie es eben, BMI regelmäßig tut, was ja auch das Problem war an D-Mail und was auch das Problem war am äh besonderen elektronischen Anwaltspostfach, weil es einfacher ist das System kompromisslos sicher zu bauen. Und wenn du dann sagst, ah okay, muss da jetzt nur eine Abhörschnittstelle rein und oh, hier muss aber noch irgendwie Umschlüsselung und Pipapo und hier für einen kurzen Moment, für einen ganz kurzen Moment liegt das unverschlüsselt vor. Äh damit wir nachher irgendwie äh ne dieses oder jenes Komfortfunktion bauen und. Komplexität ist nun mal genau das das Gegenteil von IT-Sicherheit, ne? Und dann dann wird's eben halt auch ambitionslos. Und natürlich vor allem, musst du, wenn du Kenntnis von Schwachstellen hast. Die beseitigen und auch den, ne, zum Beispiel ein BSI halt auch die Möglichkeiten haben, dass das kompromisslos durchzuziehen. Interessanterweise, sind die sicher auch nicht zu schade in diesem Gesetzesentwurf ähm. Die ganze Zeit von Nord Petja zu sprechen und zu zeigen, wie gefährlich das alles ist. Ne? Ja, waren die beiden großen, Rancing Wash Schrägstrich Viperangriffe, die E-Turnal Blue verwendet haben, Also diese Schwachstelle aus den, die die NSA für irgendwie mindestens sieben Jahre geheim gehalten hatte und damit die gesamte Welt diesem Risiko ausgesetzt hat. Und die Angriffe selber erfolgten, also diese, Tatsächlich Angriffe unter der Ausnutzung äh erfolgten? Nachdem es quasi schon ein ein Update gab und sie sind immer noch, sagen wir mal Cyberschäden, wenn man diesen Begriff mal verwenden möchte. In der Geschichte der IT, ja? Und das, das zeigt einfach zu das, was da eben der schwerste der schwerste Schaden war im Milliardenbereich ist nur ein Vorgeschmack oder ein Bruchteil von dem Risiko, dass die NSA jeden Tag mit der Geheimhaltung dieser Schwachstelle eingegangen ist. Und deswegen. Ganz klar, ne? Das BSI sollte natürlich unter keinen Umständen jemals berechtigt sein bei Schwachstellen irgendwas anderes zu tun als die zu melden und auf deren Beseitigung hinzuarbeiten. In diesem Gesetzesentwurf stehen aber eben andere Sachen, da gibt's eben übergeordnete Sicherheitsinteressen. Denn natürlich, du musst Bürokratie abbauen und das, und die einzige Möglichkeit, wie du es machen kannst, ist halt, indem du auf einfach eine eine IT-Sicherheitsbasis hinarbeitest und nicht dein den dein gesamtes. Dein gesamten Staat, deine gesamte Wirtschaft sich die IT-Sicherheit selber dazu bauen lassen muss. Ich finde das ein, also es ist eine bin ja Teil davon beruflich, ja, dass du im Prinzip als Unternehmen dir zwar IT kaufen kannst, aber sobald du sagen wir mal drei Computer da stehen hast oder drei Systeme es nicht mehr ohne weiteres zu tun gewährleistet ist, dass die einfach mal sicher funktionieren, weil die alle unsichere, die vor jetzt haben, weil in dem Zusammenspiel sich neue Komplexitäten ergeben und wir nehmen das einfach so hin, und genau das wäre der Teil, den du ändern musst und dann wenn du mal überlegst, wenn du da äh deiner Gesamtwirtschaft Einsparung ermöglichst, ja? Und sagst okay, pass mal auf, so ein KMU kann sich jetzt einfach das und das kaufen klicken, sonst was und das funktioniert einfach und das ist dann eben auch sicher. Gegen Standardbedrohungen, die in diesem Bereich eine Rolle spielen. Da wäre so viel gewonnen, ja? Gut, da werden halt auch ein paar Leute unserer Zunft dann irgendwann mal arbeitslos oder müssen sich ähm weiterbilden auf äh, auf ja komplexere Herausforderungen, aber genau das muss es doch eigentlich, das muss doch das Ziel sein.

Tim Pritlove
0:58:59
Linus Neumann
0:59:12
Tim Pritlove
1:00:05
Linus Neumann
1:00:14

Die sorgen sich um ihr fünf G und um ihr Wow, da komme ich gleich zu, ne. Aber äh mal zu sagen, okay, dann lass uns doch einfach mal mit Open Ran irgendwie einen sauberen Open Source Stick machen und die europäischen äh Anbieterinnen können den dann eben verwenden und dann dann bündeln wir hier einfach mal die Ressourcen, ne? Nein, äh wir wir setzen lieber auf Closed Source im hochkritischen Bereich und dann äh lassen wir, haben wir unterschiedliche Anbieter, die wir irgendwie prüfen und auditieren müssen. Totaler Also ne, du könntest da ja halt Geld sparen ne? Äh entsprechend die Empfehlung, schafft doch mal ein Pool von auditierter Open Source Software, gerne im Infrastrukturbereich gerne in dem Bereich, den. KMU brauchen, Hauptsache es profitieren möglichst viele davon. Und hauptsächlich Hauptsache die Einsparungspotentiale durch das investierte Geld äh des Bundes, sind da gut genutzt. Dann natürlich auch Bildung, Ausbildung im Bereich der IT-Sicherheit, ne? Also wir haben ja gute Universitäten, aber halt auch nur einige wenige mir da in den Sinn kommen, ne? Es gibt da, ja, es ist richtig, es gibt das Zispa, es gibt die äh verschiedenen Fraunhofer im Bereich der IT-Sicherheit, äh, Ruhruniversität Bochum, Darmstadt und so, ne? Da gibt es, wir haben da ja unsere Exzellenz Cluster im weitesten Sinne, ne? Aber, Die müssten ja viel, viel größer äh aufgebaut sein und vor allem müsste es halt überlegen, okay, kann man hier Bildungsmaterial bauen, was eben dann auch anderen Universitäten. Ähm zur Verfügung gestellt wird und ist es wirklich zeitgemäß, ja, dass du IT-Sicherheit tatsächlich noch von der Informatik trennst So dann das hatte ich ja gerade auch in dem Eingangsstatement schon gesagt, wo sie sagen, okay, das BSI soll jetzt Portsgänsten machen dürfen, ne? Lächerlich. Ähm, Ich darf das nicht, ne? Also es gibt ja immer noch den zweihundertzwei C. Äh was war das Vorbereitung des Abhörens von Daten. Oder des Aufspürens von Daten ähm du Hackertools sind nach wie vor äh kriminalisiert, ja? Das heißt. Wir demotivieren quasi auch Leute äh oder Unternehmen ihre eigene IT mal zu prüfen, zu scannen, äh auf die Probe zu stellen, weil wir das quasi diese Tools, die man dafür üblicherweise verwendet, eben so ein bisschen äh in einem sehr schlechten Ruf halten, richtig und damit auch ihren Einsatz in, in, in, Rechtsrisiko überführen.

Tim Pritlove
1:02:47
Linus Neumann
1:02:53
Tim Pritlove
1:02:56
Linus Neumann
1:03:00
Tim Pritlove
1:03:13
Linus Neumann
1:03:17
Tim Pritlove
1:03:19
Linus Neumann
1:03:32

Nee, überhaupt nicht. Na ja, okay, dann haben wir gesagt, okay, das fand ich nämlich auch spannend, weißt du, wenn wenn du da jetzt in so einem Ausschuss sitzt, auch das habe ich ja im Eingangsstatement schon gesagt, wenn du in so einem Ausschuss sitzt und sagst, okay, wir wollen jetzt hier IT-Sicherheit sein, dann ist die eine Sache, die du sagen kannst, okay, wie kann man das, was wäre, was kann überhaupt ein Staat tun, damit die IT-Sicherheit steigt, ja? Und die andere Frage ist, was macht ein Staat denn eigentlich gerade, ne? Und dann hier Ausweitung von Staatstrojaner einsetzen, ne? Ist zwanzig siebzehn beschlossen worden, war nach dem. Nach dem letzten IT-Sicherheitsgesetz, so, da haben sie gesagt, ja, geil, wir machen jetzt IT-Sicherheit. Übrigens, äh, wir wollen, wir wollen massiv in ähm in Staatstrainer investieren, dann äh Gesetz zur Anpassung des Verfassungsschutzrechts, wo dann irgendwie die Netzbetreiberin sogar noch in die Pflicht genommen werden, durch gezielte Umleitungen, quasi dabei zu helfen, Staatstrainer auf deine Geräte zu installieren. Gesetz zur Modernisierung der Rechtsgrundlagen der Bundespolizei, wo Staatsträner gegen Menschen eingesetzt werden dürfen, die nur nicht einmal einer Straftat verdächtigt werden. Also wenn davon ausgegangen wird, dass die eine Straftat in der Zukunft begehen werden oder angenommen wird, dass ihr Endgerät von einer verdächtigen Person benutzt werden wird. Das reicht aus für Abhörmaßnahmen und Staatstrainer auf deinen Geräten. Laut dem geplanten Gesetz zur Modernisierung der Rechtsgrundlagen der Bundespolizei. Und dann natürlich klar, das lasse ich mir nicht nehmen. Kooperation mit zweifelhaften Herstellern haben wir hier oft genug drüber gesprochen, die Analyse von Thorsten Schröder und mir dass ähm diese Stadt zu werden, das find's bei den ja nunmal das BKA ähm. Zu dessen Kunden das BKA gehört, ne, der irgendwie, gegen die demokratische Opposition in Ägypten, gegen Aktivistinnen immer rein gegen also aus Äthiopien gegen Bürgerin der USA, gegen die Opposition in Uganda und äh hier gegen die Opposition in der Türkei eingesetzt wird. Wo. Ist ja immerhin, das habe ich ja hier, ist sowieso eigentlich eigentlich eine der. Total anderreportet, großartigen Neuigkeiten des Jahres zwanzig zwanzig war das dann noch, wo es dann endlich mal Untersuchungen bei denen gab, ja. Ähm, aufgrund der Beschwerde gegen äh wegen oder der Strafanzeige wegen des Verdachts des Verstoßes gegen Exportrestriktion. Ähm, Dann haben wir die hier mit Patrick Breyer darüber gesprochen, die Angriff auf die Vertraulichkeit von Messenger-Kommunikation, wo ich den da auch äh in der äh in der Anhörung nochmal gesagt habe, weißt du, nachdem sie die D-Mail verkackt haben und das besondere elektronischer Ansatz passt wo, ist im Prinzip mit diesen mit Signal oder Freemar ähm oder äh Matrix oder was auch immer, gibt's jetzt zum ersten Mal massentaugliche Ende zu Ende Verschlüsselung für deutsche Bürgerinnen, deutsche Wirtschaft. Und was äh ähm habe ich in der in der äh Anhörung auch gesagt, so ne, das ist nicht Sicherheit, äh Durchverschlüsselung und Sicherheit trotz Verschlüsselung, sei es Sicherheit durch Verschlüsselung Punkt. Und statt sich darüber zu freuen, hast du jetzt halt so eine Trotzreaktion des BMI, die dann sagen, ja, nee, das geht ja aber so sicher wollten wir das aber nicht haben, ne? Das äh können wir, können wir so aber nicht machen. Das geht, sich ärgerlich, wenn da wenn die da dann wirklich gewonnene IT-Sicherheit der wieder wegnehmen wollen und das ja sogar noch in eine eigene Behörde bauen, nämlich in diese Zitis, die ja quasi für das BKA, für den Bundesamt, für Verfassungsschutz, für die Bundespolizei, ähm, Kryptoanalyse, Telekommunikationsüberwachung und so weiter, gezielt bauen soll. Da hast du mal eine Konsolidierung, ne? Also da kann ich ihnen gratulieren, herzlichen Glückwunsch, da habt ihr mal eure Kräfte konsolidiert. Super, dass ihr die gegen eure eigene Bevölkerung richtet, diese Konsolidierung. Und was ich dann noch sehr spannend finde, ist der BND mit dem neuen BND-Gesetz, das äh muss man sich merken, das spielt später nochmal eine Rolle, soll ja jetzt spezifisch die Ermächtigung bekommen, die Befugnis bekommen ausländische Telekommunikationsnetze zu hacken. Und zwar zum Zwecke, dass er dort äh Kommunikationsinhalte ähm und so weiter und Bestandsverkehrs und Inhaltsdaten abgreifen kann. Ja, und dann sagen sie, dafür darfst du hacken. Und das muss man sich eben, muss man sich quasi im im Hinterkopf behalten für diese gesamte Diskussion vertrauenswürdiger Anbieter, wo sie äh letztendlich, das ist das sogenannte, ne, kann man sagen, Lex Whaway, ne, wo sie ja versuchen, ein Gesetz zu machen, um irgendwie das Risiko äh äh was von Huawei äh ausgehen soll äh in den in den Griff zu.

Tim Pritlove
1:08:02
Linus Neumann
1:08:04

Genau, das angebliche Risiko, aber wie gesagt, vor dem Hintergrund im Kopf halten, so wir selber, der BND darf. Fremdanbieter, Kommunikationsnetze in anderen Ländern hecken, um dort an die Daten zu kommen, ne? Abschließende Empfehlung, also das waren jetzt eine Reihe an Empfehlungen, habe ich gesagt, so unter dem Absetzung ist die Bundesrepublik äh Bundestag und Bundesregierung sollten IT-Sicher zum konkreten und kompromisslosen Ziel der Innenpolitik, der Bundesrepublik Deutschland machen und dieses Ziel auch aktiv verfolgen. Bestrebung zur Schwächung der IT-Sicherheit von Endgeräten und digitalen Infrastrukturen, umgehend einzustellen. Bereits erlassene Gesetze zur Schwächung der IT-Sicherheit von Endgeräten und digitalen Infrastrukturen sind entsprechend zu, revidieren. Bin mal gespannt, ob sie der Empfehlung folgen. Ich habe jetzt nicht den Eindruck, aber schon wenigstens mal sagen, was was richtig wäre. Ähm jetzt zu der Rolle des BSI. Es gibt hier eben einige, Also das BSI soll mit diesem Gesetz, also jetzt kommen wir quasi zur Kritik am tatsächlichen Gesetzesentwurf, das BSI soll eine ganze Reihe, neuer Befugnisse bekommen. Ich bin nicht auf alle eingegangen. Deswegen ähm schauen wir doch jetzt trotzdem mal einmal wenigstens der Vollständigkeit, damit wir das Gesetz auch, vollständig gewürdigt haben, zitiere ich mal eben aus der Zusammenfassung. Sie sagen, okay. Schwerpunktmäßig werden folgende Änderungen vorgenommen, also das sind jetzt die Gesamtinhalte des IT-Sicherheitsgesetzes zwei Punkt null. Verbesserung des Schutzes der IT der Bundesverwaltung unter anderem durch weitere Prüf- und Kontrollbefugnisse des BSI. Und Festlegung von Mindeststandards durch das BSI. Ne? Habe ich mir nicht weiter, also habe ich mir angeschaut, habe ich aber nicht weiter was zu beigetragen, sollen sie von mir aus machen. Schreiben sie so ein paar Mindeststandards. Das können sie ja inzwischen ganz gut, Schaffung von Befugnissen zur Detektion von Schadprogrammen, zum Schutz der Regierungsnetze. Da geht's also auch noch um die Regierungsnetze, das so vorsichtig da, also über Schadprogramme reden wir an anderer Stelle nochmal mehr. Abfrage von Bestandsdaten, Anbietern von Telekommunikationsdiensten um Betroffene über Sicherheitslücken und Angriffe zu informieren. Da geht's darum, dass sie, sagen wir mal, in der Insidentrespons oder so halt mal über eine IP-Adresse stolpern und das BSI dann selber eine Bestandsdatenauskunft machen darf. Es ist aber hier von der Anwendung eben an den Zweck der Informierung über Schwachstellen gebunden. Insofern ist das so. Ja sagen wir mal.

Tim Pritlove
1:10:51
Linus Neumann
1:10:53
Tim Pritlove
1:12:08
Linus Neumann
1:12:09
Tim Pritlove
1:12:28
Linus Neumann
1:12:28
Tim Pritlove
1:12:32
Linus Neumann
1:12:33
Tim Pritlove
1:12:44
Linus Neumann
1:12:51

Äh und äh genau da haben sie, Also dieser Teil ist ist relativ eng eingegrenzt. Die dürfen also jetzt zum Beispiel nicht bei Privatpersonen, sondern nur bei den kritischen Infrastrukturen und Unternehmen besonderen öffentlichen Interesses, diese diese Scans machen. Und ja es gibt auch Leute, die das problematischer sehen, ja, dass das BSI jetzt äh äh Schwachstellendetektion macht. Es gibt da natürlich äh, Aber okay, ich wollte einfach nur mal die Übersicht machen. Also das ist das mit den Portskins, da reden wir auch gleich nochmal drüber. Da habe ich mich nämlich zu geäußert. Dann Schaffung einer Anordnungsbefugnis des BSI gegenüber Telekommunikations und Telemedien, Dienstanbietern, zur Abwehrspezifischer Gefahren für die Informationssicherheit. Da habe ich mich auch zu geäußert. Da geht's nämlich genau um diese ganze Heckbackgeschichte. Ausweitung der Pflichten für Betreiber, kritischer Infrastrukturen und weitere Unternehmen im besonderen öffentlichen Interesse. Ähm. Ja da da also normaler bisher war das BSI nur für äh kritische Infrastrukturen, zuständig, in dem Teil sagen sie, definieren sie quasi neu, was sie alles zur äh kritischen Infrastruktur benennen dürfen und was, dass sie noch unter äh Unternehmen von besonderem öffentlichen Interesse äh mit aufnehmen dürfen. Da habe ich mich auch zu geäußert, kommen wir gleich zu. Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten. Das ist das Lex Huawei. Ja? Äh da kommen wir ähm komme ich also auch nochmal zu, habe ich auch was zugeschrieben. Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI, denkst du, oh geil, schön, endlich, ne? Kümmern sie sich auch mal um uns. Ja, aber dazu gehört dann eben das einzige, was sie da wirklich wirklich machen ist Schaffung der Voraussetzung für ein einheitliches IT-Sicherheitskennzeichen, dass die IT-Sicherheit der Produkte sichtbar macht. Ähm. Ja, habe ich auch ähm äh habe ich mich auch zu geäußert. Also kommen wir da jetzt im Detail zu. Äh genau. Dann das wären also das ist alles, was sie in diesem Gesetz machen, ne. Und jetzt haben wir mal Kommen wir jetzt zu den Dingen, habe ich ja gerade schon gesagt, zu denen ich mich äußere, wir haben einmal das den Umgang mit Schwachstellen. Wir haben diese ganze Sache mit den Port-Scans. Also erstens ist das relativ eingeschränkt, denn die dürfen nur Informationstechnische System, Systeme des Bundes oder kritischer Infrastrukturen, digitaler Dienste und Unternehmen in besonderem öffentlichen Interesse auf Sicherheitslücken prüfen. Was Unternehmen in besonderem öffentlichen Interesse ist, klären sie später. Aber da habe ich mir überlegt, da wollen sie jetzt sagen, also das BSI soll Port Skins machen dürfen, ne? Soll kosten. Zehn Planstellen ähm und äh einmalige Kosten äh von. Also zehn Planstellen die kosten jährlich insgesamt ganz knapp eine Million und Sacheinzelkosten von einer Viertelmillion, äh jährlich und einmalige Sachkosten in Höhe von eins Komma sieben Millionen, ne? Also eins Komma sieben Millionen einmalig und irgendwie so um die eins Komma eins eins Komma zwei Millionen Euro, im Jahr dafür, dass die Port Scans machen dürfen. Und da habe ich halt nur so gesagt, so okay, ich meine, ist, ihr habt recht, mit Pottskins machen auch Kriminelle. Und es ist äh unsinnig, euch das zu verbieten, ne? Macht das ruhig mal. Aber, weißt du? Wer macht denn heute noch einen Pottscan? Du gehst auf Shoudan und guckst einfach, ne? Gibst die IP-Adresse ein und guckst, was halt ein professioneller Scanner dort für Ergebnisse liefert. Und was sie halt irgendwie diese diese gesamte Idee geht davon aus, dass das BSI macht jetzt einen Portskin und sucht nach, schwachstellen. Die dürften übrigens dann auch Passwortlisten aus durchprobieren, ne? Also sie dürfen auch Brutfostangriffe machen. Und die bilden sich jetzt ein, dass sie dann schneller werden als Angreiferin. Also die glauben ernsthaft, dass das BSI irgendwie Portsgans macht und und Passwortbrutforst. Und wenn sie da was finden, dann sagen sie dir, sagen sie diesen kritischen Infrastrukturen schnell Bescheid, bevor die gehackt werden. Eine deutsche Behörde, sagt ihr schneller Bescheid.

Tim Pritlove
1:17:17

Oh

Linus Neumann
1:17:20
Tim Pritlove
1:17:23
Linus Neumann
1:17:26
Tim Pritlove
1:18:30
Linus Neumann
1:18:31
Tim Pritlove
1:19:19
Linus Neumann
1:19:24

Also ne ist ganz klar unter keinen Umständen sollte das BSI jemals berechtigt sein, bei Kenntnis von Schwachstellen etwas anderes zu tun als die Betroffenen zu informieren auf eine Beseitigung hinzuarbeiten und zu gegebenen Zeitpunkt die Öffentlichkeit zu wahren, fehlt hier auch vollständig drin, ne? Da hätte man nämlich mal sagen können, okay, zack. Es gibt ja mitunter Meldepflichten mit schwach von Schwachstellen an das BSI, ja? Und dann muss das B und für das BSI muss es dann einfach nur noch ein eindeutiges Mandat und ein Auftrag dafür geben, die zu beseitigen und dann kannst, dann hast du etwas getan, was IT-Sicherheit steigert, ne. Aber nein, wollten sie nicht. So, dann haben sie, jetzt kommt der äh ein wildes Thema. Ja, wir haben's ja in den letzten, in der letzten Sendung schon oder vorletzten Sendung darüber gesprochen, ähm dieser Emotet Takedown. Also wo jetzt die Situation so war. Dass sie die, also diese, EMOTED, wir haben's in den letzten Sendungen erklärt, ich versuch's jetzt kürzer zu fassen, ne? Emojet äh ist im Prinzip erstmal nur ein Trojaner auf deinem Rechner. Der darauf wartet ähm eben dich teilweise automatisiert, weiter zu hacken und äh potenziell auf Befehle von seinem Command Control Server wartet, um dich manuell weiter zu hacken. Ja, gibt dir von dem Command and Control Server, wirkt quasi. Der, wirken die Hacker auf dein System ein, ne? Ist relativ klar, wenn ich jetzt irgendwie ein System mit einer Schadsoftware infiziere, die muss ja irgendwo hin zu mir zurückreporten und von mir Befehle bekommen. Das ist quasi dieser Command and Control Server.

Tim Pritlove
1:21:05
Linus Neumann
1:21:13

Genau und der hat ja einen Kommunikationskanal. Bleiben wir eher dieser Feindschildspringer ist gar nicht so verkehrt. So, jetzt. Und der hat ein Kommunikationskanal äh Kanal. Und das BSI sagt jetzt, äh dieses IT-Sicherheitsgesetz sagt jetzt, okay. Das BSI darf diesen Kommunikationskanal, dieses Fallschirmsprechers umleiten und auch dem. Ähm technische Befehle zur Bereinigung geben. Ja, also der dieser ähm Fallschirmspringer ist ja jetzt quasi ein ein Schadprogramm. Und die dürfen jetzt quasi dem Schadprogramm sagen äh lösch dich, ne? Zum Beispiel. Das ist ja auch das, was jetzt mit diesem Emotet versuchen wollen. Wo wir immer noch nicht wissen, auf welcher rechtlichen Grundlage sie das machen, aber auf jeden Fall wissen, dass sie's nicht dürfen. Äh weil's keine rechtliche Grundlage gibt. Deswegen sagen sie auch nicht, auf welcher rechtlichen Grundlage sie das machen. Gast, da wird's also jetzt kompliziert, weil es gibt zumindest einen Beispielfall, diese Emote-Geschichte, wo das unterm Strich, im Einzelfall ein positives Ergebnis hat, wenn das passiert, ne? Weil du hast jetzt du hast potentiell eben Systeme von einer Schadsoftware bereinigt, die wenn du die Schadsoftware draufgelassen hättest, potenziell. Weiteren Schaden hätten nehmen können. So dieser Fall ist zumindest ein sehr schmaler, sehr genauer, Spezifisch denkbarer, eingrenzbarer Fall. Und die Herausforderung ist aber jetzt, wenn du sagst, das ist wünschenswert, ja? Da musst du natürlich das aber gesetzlich so schreiben, dass das nicht absolut missbrauchbar ist, was du da schreibst. Ich hatte ja glaube ich in der letzten oder vorletzten Sendung schon gesagt, dass juristisch umzusetzen ist total schwierig So und hier haben sie jetzt in dem sieben B und sieben äh in dem sieben C sagen sie, okay, um das zu verhindern, dürfen wir. Internetverkehr umleiten. Das ist im Prinzip äh also nennt sich Sinkholing. Äh es wird im Prinzip gesagt, wenn du jetzt weißt, die IP-Adresse des, diese wo der, wo der Command Control-Server ist, der Traffic dorthin, den können wir ja von mir aus auf Netzwerkseite blocken und schon ist diese Schadsoftware von der ähm Kommunikation. Mit ihrem Command Incontroll-Server abgeschnitten, Und ähm das könnte potentiell eben eine äh Maßnahme sein, die sinnvoll ist, um den Angriff hier. Zu unterbrechen, ne? Und dann könnte man sagen, okay, wir sing holen diese Kommunikation, die dorthin geht und wir äh gehen informieren dann, wir haben ja hier Bestandsdaten, Auskunft, die Betroffenen und sagen hier bitte einmal ähm, deinstallieren, aber jetzt im Prinzip unter den Leuten sagen so zum Beispiel ne lieber Tim, auf der McOS ist, ist hier irgendwie eine Schadsoftware äh via Sink holen, wir haben angeordnet dass der Traffic gesingt holt wird und jetzt musst du bitte auch noch diese Schadsoftware von deinem Computer äh deinstalieren, bevor die es sich irgendwie anders überlegt.

Tim Pritlove
1:24:31
Linus Neumann
1:24:34
Tim Pritlove
1:24:38
Linus Neumann
1:24:40
Tim Pritlove
1:24:41
Linus Neumann
1:24:45

So jetzt äh ne, jetzt also bis hierhin reden wir nur von Umleitung. So und jetzt sagen sie, okay. Aber wir wollen am anderen Ende eventuell nicht nur einfach nicht antworten. Sondern wir wollen da vielleicht auch antworten. Ja, wir High Jacken die Infektion, die du da hast. Und jetzt benutzen wir jetzt gehen wir quasi ein Command Control Befehl, lösch dich. In dem Moment hast du eben diesen Eingriff in die Integrität des Systemes, der Bürgerin. Dieser Eingriff ist. Potenziell im konstruierten Fall, den wir gerade haben. Im Zweifelsfall im Interesse dieser Bürgerin, ja? Im Zweifelsfall ist das in der in ihrem Interesse, aber. Du hast jetzt hier 'n Gesetzestext, der das halt beschreiben muss, ja? Und hier wird im Prinzip, das ist halt einfach völlig unterspezifiziert, weil noch nicht einmal klar ist, ob sie diese Anordnung zum Versenden von Befehlen zur Entfernung nur ähm, über Telekommunikationsanbieterin oder vielleicht sogar auch über. Telemedienanbieterinnen machen dürfen. Also zum Beispiel. Potentiell so etwas hätten wie hier Apple, ne? Äh lösch mal bitte die App hier von Tims Handy und die Voraussetzung, was jetzt da eine App ist, das äh erstreckt sich sogar auf ähm. Also es kannst du auch so lesen, dass es zum Beispiel ein Hackertool wäre. Ja, also beispielsweise sagen wir mal, du hättest eine Portscanner-App oder eine App, die geeignet ist ähm. Sehr viele Anfragen hintereinander zu nutzen und wenn mehrere Leute diese App benutzen wäre sie geeignet ein Dedos durchzuführen, ja? Jetzt würden die sagen, oh, wenn mehrere Leute ein Dedos machen, ist das eine Gefahr für unsere Infrastruktur. Insofern ordnen wir jetzt mal lieber an, dass diese App von Tims Handy gelöscht wird, ja? Und das ordnen wir an, was weiß ich mit dem Hebel gegenüber Apple. So. Dieses, Dieses Gesetz kannst du so lesen, dass das nicht eindeutig ausgeschlossen ist, Und das ist natürlich total krass. Also damit hast du quasi eine mal eben die die eine, ein Recht zur zum Eingriff in die Integrität informationstechnischer Systeme und das wiederum Intelligität informationstechnische Systeme ist ja ein Grundrecht. Also wir reden hier nicht von irgendwie so einem Ding, sondern wir reden hier von einem schwerwiegenden Eingriff, ja. Ähm. Und die einzige andere ähm. Die einzige andere gesetzliche Regelung nach der du das darfst, ist die Online-Durchsuchung, ne? Also hier im Rahmen der Strafverfolgung mit. Früher Hohn jetzt immer geringeren rechtlichen Hürden, ne? Aber das ist die einzige das einzige, die einzige gesetzliche Norm, die eine Verletzung dieses Grundrechts erlaubt. Die Quellen TKÜ. Ne? Also Staatstrojaner, die nur in Anführungszeichen Messenger abhören, aber nicht zum Beispiel in deiner Fotobibliothek äh suchen dürfen. Die sind, quasi sehr in ihrer Funktionalität begrenzt. Die dürfen dürfen zum spezifischen Fall der des Abhörens von Kommunikation eingesetzt werden. Aber die dürfen zum Beispiel nicht sonstige Änderungen auf deinem System vornehmen und das sind die einzigen, rechtlichen Normen, wo der Staat in die Intimität der äh IT-Systeme ein. Greifen darf. Seiner Bürgerin. Und das wäre jetzt eine weitere dazu, ja? Deswegen ist das eben auch so eine total krasse Sache.

Tim Pritlove
1:28:37
Linus Neumann
1:28:39

So jetzt. Habe ich dazu geschrieben, so Sink Holing ist heute schon gängige Praxis. Es ist nämlich nicht so, als würde Sing Holing nicht stattfinden, nicht nur beim Umleiten, ne? Also hoffe, ich hab's klar genug gemacht, das Umleiten ist A, oder eine Sache und dann eben auch andere Befehle zu geben, ist eine andere, ne. Beim Sing Halling ist im Prinzip so, das funktioniert grade schon ziemlich gut, ja? Ähm wenn du jetzt irgendwie was, weiß ich, irgendeine Schadsoftware auf deinem Computer hättest, die E-Mails bam versendet, geht bei der, bei der deutschen Telekom irgendwann automatisiert 'ne eine Grenze an und dann wird diese werden deine Verbindung zu, Port fünfundzwanzig einfach geblockt, ne? Und dann kriegst du einen Brief und wird gesagt, hier du schreibst zu viele E-Mails, guck mal, ob du nicht irgendwie ein Problem hast, ne? Das ist etwas, was die schon machen. Und haben wir eben auch geschrieben so, dass diese Befugnisse haben die schon nach TKG Paragraph einhundertneun Absatz fünf und sechs und, sind sie auch da drin sind sie auch gut, ja? Äh, ist ein eingespielter Prozess, da muss eigentlich das BSI jetzt nicht nochmal reinkommen, ja? Insofern sollte das BSI hier nur äh eingreifen und anordnen, wenn, wenn es irgendwie, TK Anbieterinnen nicht selbst in der Lage sind, diese Maßnahmen zu sprechen und umzusetzen. So. Jetzt kommt dieser ein eben die Sache, okay, wir sing holen nicht nur, sondern wir antworten auf der anderen Seite. Ich meine, mir fallen als, Hacker, tausend Wege ein, das das zu verhindern, die einfachste Möglichkeit wäre einfach, net, du signierst deine Command-Control-Befehle, ist eh gute Praxis, ja, dafür zu sorgen, dass du Vorsorge dafür triffst, dass du deinen Kommanden Control-Server umziehen musst, ja? Da gibt's schöne ähm schöne Möglichkeiten für zu sagen okay, ne, du nutzt halt Domainnames und wenn dann der Domainname gelöscht wird, äh dann würfelst du dir einfach neue und dann um sicherzustellen, dass du mit dem richtigen Rede signierst du einfach den Traffic und schon hast du, Command in Control Traffic, den so schnell keiner mehr umleitet und wo die erst recht niemand am anderen Ende auf einmal Befehle gibt, weil eben deine Feinde, das BSI oder wer auch immer das dann ist, nicht in der Lage sind, die zu signieren, so wie du das machst, aber okay, was rede ich hier von Technik? Wir reden ja hier vom IT-Sicherheitsgesetz, das Schmidt-Technik ja erstmal nicht unbedingt eine Rolle. Ähm. Krass ist, sie sich dieses Recht einräumen ohne zum Beispiel zu sagen vorher muss alles andere geprüft sein. Also sie sagen zum Beispiel nicht, OK wir dürfen umleiten und wenn das nicht reicht können wir 'n Löschbefehl geben oder wir dürfen umleiten und wenn wir dann die Leute informiert haben und die einen Monat lang oder fünf Monate lang oder sechs Monate nicht reagiert haben und es eine konkrete Gefahr gibt, die wir durch keine andere, Maßnahme irgendwie eingrenzen können, dann dürfen wir als Ultima Ratio mit, weißt du von hundertachtzig Behörden äh und Prüfungen genehmigt und geprüft und dokumentiert und ähm revisionssicher, transparent gemacht, ne? Ähm. Diesen diesen Schritt ergreifen. Das steht da alles nicht drin. Das steht einfach nur so drin, so wir dürfen. Und das geht natürlich überhaupt nicht. Also haben wir geschrieben so Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme müssen von eng definierten Voraussetzungen ausführlicher Transparenz und streng eingegrenzten Zielen flankiert werden. Das ist hier alles nicht der Fall. Das steht mehr oder weniger einfach nur so drin wir dürfen schadsofair, wir dürfen Befehle zum Löschen von Chardsoftware versenden, das geht halt überhaupt nicht, ne? Und, sie steht auch nicht drin, dass sie dafür irgendwas haften würden, ne? Kann ja sein, habe ich ja auch in der letzten Sendung schon gesagt, kann ja sein, dass ich das Shartprogramm haben wollte ja und vor allem Schadprogramm ist hier noch nicht mal klar definiert, weil wie gesagt, es könnte eben auch Ja, ein Programm sein, was ich eigentlich ganz gerne haben wollte und was niemals äh mir zum Schaden gereicht hätte. Und all diese Fälle sind da überhaupt nicht mit abgedeckt. Und das geht halt so ähm. Ja, es geht überhaupt nicht. Das das Ding das steht auf einer Viertelseite so, ne? Ja, wir dürfen also es steht im Prinzip drin, so wir dürfen zur Abwehr von Gefahrsachen von deinem Computer löschen. Geht natürlich so überhaupt nicht, ne? Haben wir halt gesagt, OK du brauchst 'n Aufsichtsgremium, du brauchst viel engere, rechtliche Voraussetzung, viel engere Zweckbindung. Du musst erstmal die Begriffe definieren die hier eine Rolle spielen, ne? Nicht einfach Schadprogramm oder Information und so weiter, also habe ich ja auch in dem Eingangszelt mir gesagt, so wie das da steht, sehe ich ein riesiges Missbrauchspotential. Ich glaube auch nicht, dass die jemals an den Punkt der Notwendigkeit kämen, weil auch bei diesem Emotet sagen sie ja jetzt. Dass sie de facto die Kommunikation Sink holen, ja? Sie sagen ja also uns gehört die Angreiferinfrastruktur, die Kommandanten Control Serverinfrastruktur und wir werden dann jetzt irgendwann den Befehl zur Löschung geben. So. Was sie aber nicht sagen ist, wir informieren jetzt die Betroffenen. Warum steht, also warum ist das, es muss doch vorgesehen sein in dem Prozess zu sagen, bevor wir an deinem Computer rumfuhrwerken, ähm sagen wir dir vielleicht erstmal Bescheid. Ist ja alles nicht vorgesehen. Also ich wie gesagt, es ist es ist hochkritisch, was da äh was da formuliert ist und geht so auf gar keinen Fall klar. Risiko ist übrigens, dass es wahrscheinlich genauso verabschieden. Man kann sogar soweit gehen. Zu sagen, okay, das dürfen die einfach grundsätzlich nicht. Also wenn sie Sink holen. Also unter der Annahme, dass es mal sauber, juristisch formuliert wäre, ja und man sagt, okay, es ist eine Situation gegeben, dass es Kommand Control Traffic, es ist jetzt zum Beispiel auch nicht ähm. Ist er überhaupt nicht genannt, ne? Also könnte es. Klingt halt tatsächlich so, dass sie auch was, weiß ich, wenn du irgendein Hackertool hast, dass sie sagen, alles klar. Äh wir schieben dir ein Update unter, was das Hackertool auf deinem Computer äh unschädlich macht. Da, wäre hier alles noch mitgedeckt. So und das ist wirklich äh brandgefährlich, ne? Also ähm andere Sachverständiger haben gesagt, okay, gehört ersatzlos gestrichen. Ich habe mich dazu entschieden zu sagen so okay, das ist hier alles nicht das ist hier alles eine sämtliche Grundsätze sind verletzt und fehlen, versucht erstmal das ordentlich zu schreiben, ja? In beiden Fällen ist natürlich trotzdem davon auszugehen, dass sie dieses Gesetz jetzt einfach so verabschieden. Insofern habe ich halt gerätselt, ne? Gut führst du den einfach mal an, dass das halt absolut überbordent ist und völlig nicht in Ordnung. Und in der Hoffnung, dass sie ihnen das wenigstens mal vor Augen führst. Allerdings ähm ist es ja leider so, dass ähm. Muss halt jetzt irgendwie sagen wir mal ein nettes Wort äh in diesem Innenausschuss von Seiten der CDU ähm. Leute mit sehr großer äh Loyalität und sehr hohem Vertrauen äh zum BMI-Sitzen, die hohe Bewunderung auch für das BMI heben und wie gesagt, um das sehr freundlich auszudrücken. Äh die, dass sich das jetzt sehr, das leider sehr unwahrscheinlich ist, dass die Sicht bemüßigt sehen, äh daran nochmal etwas zu ändern. Und dann hättest du unterm Strich einen BSI, das. Immer quasi sich den Interessen des BMI unterordnen muss und potentiell Sachen von deinem Computer löschen darf. Nicht so geil.

Tim Pritlove
1:36:29
Linus Neumann
1:36:53

Es gab äh und genau das ist halt krass, weil ähm in diesem, in dieser Anhörung gestern, ne, also nach meinem Eingangsstatement fühlte sich dann Also das war ja eine Sachverständigenanhörung, ne? Ähm und der Sinn einer Sachverständigenanhörung ist ja eigentlich, dass die Sachverständigen sich da äußern, ja? Und nach meinem Eingangsstatement fühlte sich dann einer der. CDU-Politiker, nämlich der Christoph Bernstiel äh zu einer eigenen Sachverständigenauskunft genötigt. Er hat dann da so ein Co-Referat gehalten, Wurde dann, äh, wenn ich das richtig erinnere auch von der Ausschussvorsitzenden dann eben zurechtgewiesen, dass es hier eine Anhörung ist und nicht, er nicht als Sachverständiger geladen ist so sinngemäß. Kann auch sein, dass sie es nachher erst dem SPD-Vertreter gesagt hat, der auch nochmal so ein Co-Referat gehalten hat. Aber der dann irgendwie erstmal so das hohe Lied des BMI gesungen hat, ne? Also irgendwie was äh so ungefähr, was mir einfiele, ja, hier fehlende ähm. Rechtliche äh Schutzbarbarieren in Form von Anforderungen und Transparenzpflichten äh zu. Zu fordern, dass wir man hätte ja fast den Eindruck, dass sich dem BMI nicht vertrauen würde oder so, ne? Und außerdem hat er dann gesagt, dieses Gesetz wäre ja nun mal äh also da da ging's um die ähm. Verzögerten äh oder diese kurzen Fristen, die wir hatten, um dazu Stellung zu nehmen. Und hat ja dann gesagt, ja also den Interessierten würden ja nun mal dieser Gesetzesentwurf seit äh zwei Jahren vorliegen in äh und äh stetig verbessert werden, ne? Also da die, die Ausrede, dass sie sich hier mal kurz was ausgedacht hätten oder so, ne, die gilt nicht mehr, weil die an dem Zeug eben, wie gesagt, seit ähm, Seit zwei Jahren arbeiten und ich meine, du kannst entweder sagen, okay, die die äh die, die kurzen Fristen zu einreichen einer Stellungnahme reichen ja wohl aus, weil wir haben dadurch ja seit zwei Jahren schreiben wir daran rum. Äh oder du kannst sagen, okay, äh das Gesetz ist es ist noch nicht völlig ausgereift, aber ja, da das war.

Tim Pritlove
1:39:10
Linus Neumann
1:39:16

Nein, überhaupt nicht und da wollte ich auch echt nochmal was zu sagen und insbesondere diese Sachverständigenanhörungen nicht. Das war wirklich eine, ähm eine besonders schlechte äh Leistung von nahezu allen, die da waren. Also das ähm ich habe, Ich war ja schon wirklich jetzt ich weiß nicht mehr wie oft als Sachverständiger im Bundestag, aber auf irgendwo zwischen fünf und zehn Mal vielleicht auch schon über zehn Mal müsste ich nochmal raus und ich habe da nicht so so dicke Archive zu, ne? Aber. Du erinnerst dich vielleicht auch daran, dass ich mal, in so einem als zu dieser Staatstrojaner Anhörung, die war zwanzig siebzehn, wo der Patrick Sensburg mir eine Frage gestellt hat und gesagt hat, ich solle mal erklären, wie ein Staatstrojaner auf ein Handy kommt, so. Ja, der war von der CDU, die CDU hatte mich natürlich nicht als Sachverständigen bestellt, ja und ähm. Der äh ich es war ja deren Gesetz gegen das ich mich da äh sehr stark positioniert habe und der hat mir im Prinzip eine Interessenfrage gestellt so. Wo ich mich sehr gewundert habe, habe ich lange drüber nachgekaut und habe mir gedacht, warum hat der mich was gefragt, ne? Wollte der. Zeit schinden, ne, dass ich was nicht Relevantes äh vortrage und und nicht weiter Kritik an seinem Gesetz übe, ne? Und, die meisten Leute, mit denen ich da auch nachher drüber gesprochen habe, sagten so, nee, wahrscheinlich hat die net einfach interessiert und er wollte die Gelegenheit nutzen, mal jemanden zuzuhören, der sich damit auskennt, ne? Und. Vor allem aber war das das Krasse war, dass der dem Gespräch gefolgt ist. Ja, der hat offensichtlich. Zugehört, was ich da sage und dann ist ihm eine Frage gekommen und dann hat er als, äh ähm Bundestagsabgeordneter in einem Ausschuss, wo Sachverständige angehört werden, eine Frage an einen Sachverständigen gestellt. Und da habe ich die beantwortet, hat der Danke gesagt. So und das heißt, der hat dem, der ist dem Gespräch gefolgt Ja, der hat zugehört. Und das war bei dieser Anhörung gestern, bei vielen nicht der Fall. So. Ähm. Du hattest zum Beispiel Doppelung in den Fragen, ja bei den Fragerunden ist das so, dass die ähm, das geht dann Reihe um nach den nach den Fraktionen oder nach den Parteien größte, ich glaub Fraktionsstärke oder wie auch immer.

Tim Pritlove
1:41:33
Linus Neumann
1:41:35

Ja, das ist teilweise ein Eimer ist es dann auch anders rum sortiert. Ich habe das nicht, ich bin nämlich so gefolgt, ne? Ich habe natürlich mich immer konzentriert, kommt eine Frage an mich und dann habe ich natürlich schnell versucht, die Zeit dafür zu nutzen, mich auf die Frage zu äh vorzubereiten. Ähm. So und da muss man jetzt was zu sagen. Jetzt haben natürlich die ähm die Bundestagsabgeordneten, die da sitzen, die haben natürlich vorgeschlagene Fragen von ihren Mitarbeiterinnen da liegen. Weil die Mitarbeiterinnen haben sich dann damit auseinandergesetzt und dann haben die quasi Fragen. Und diese Fragen sind natürlich, im Prinzip die Kritik der oder die Punkte dieser. Die diese Partei eben zu dem Gesetzesvorhaben gerne hören würde und wo sie davon ausgehen, dass die geladenen Sachverständigen, die sie da fragen, entsprechend etwas sagen, was was ihnen gefällt, ja? Und. Da kannst du natürlich einfach bei bleiben, oder du folgst dem Gespräch und hörst mal, guckst mal, okay, wo liegt denn mein Sachverständiger seinen Schwerpunkt? Und wo frage ich den jetzt mal zu? Und mindestens kannst du ja, wenn dein Sachverständigen die Frage schon gestellt wurde, Darauf verzichten die auch nochmal zu stellen, ja? Aber selbst das ist denen gestern nicht aufgefallen. Da wurde im Prinzip die gleiche Frage an den gleichen Sachverständigen nochmal gestellt, die eine andere äh äh eine andere Person in dem Ausschuss schon gestellt hatte, so oder ne zwei Fragen zu dem gleichen Thema, die noch nicht mal die Frage dann im anderen Sachverständigen gestellt oder so. Und da kommen natürlich dann schon Zweifel auf, dass die Anwesenden alle. Dem Gespräch gefolgt sind, so weil weil es halt eher so 'ne. Was steht hier noch aufm Zettel, okay, dann jetzt die Frage, okay, dann antwortet der, alles klar hoch, äh was hat er gesagt oder so, ne? Das war, also ja ich hatte nicht den Eindruck, dass sie da dem dem das da eine Diskussion stattgefunden hat oder irgendwie großartig zugehört wurde.

Tim Pritlove
1:43:41
Linus Neumann
1:43:42

Allerdings, ne, die sind einmal sind sie total aufgewacht, weil ähm also man muss das so sehen. Äh die, die der ähm, Bundestag DE hat ja auch seinen eigenen Pressedienst, wo quasi draufsteht, wo sie auch so ein bisschen selber PMs halt machen, ne? Und da steht halt drin, äh die PM zu dieser Anhörung ist wenig Beifall für das geplante IT-Sicherheitsgesetz zwei Punkt null, ja, und er wird gesagt, die die Mai, also alle Sachverständigen fanden befanden es in der vorliegenden Fassung für völlig ungenügend so und zwar alle ja ähm und äh eben auch die, die sich die, CDU da selber hingestellt hatte. Insbesondere hier der Professor Gertitz, ähm. Hat verfassungsrechtliche Bedenken, verwaltungsrechtliche Bedenken äh geäußert und hat äh dann glaube ich auch den Begriff verwendet, Anti-Sicherheitsgesetz und wie gesagt, der war äh glaube ich nicht von der Opposition bestellt. Also da haben, da waren sie dann, glaube ich, schon so ein bisschen nervös. Aber den Eindruck, dass sie da wirklich zuhören, hast du nicht, das äh muss ich leider mal an alle sagen, gibt's da Ausnahmenbestätigungen von mir aus die Regel, aber so insgesamt hier hier der Amtor war auch da, Alter Vater. Also die müssen ja, man muss da ja mit Abstand sitzen. So, die sitzen halt mit Abstand und Maske, ne? Ein Meter fünfzig Abstand und Maske So und wenn jetzt so ein Amthor bist, ne, der den ganzen Tag nur quasseln muss, weil der natürlich irgendwie nicht dem Geschehen da folgen möchte, weil das weil er keine Ahnung dafür hat, keine Anteile kriegt, keine, keine, keine Unternehmensanteile, wenn er da zuhört. Ähm dann quatscht der halt mit seinem Nachbarn, So und der Nachbar ist aber anderthalb Meter weg, So, das heißt, er muss lauter reden. Und dieser Ausschusssaal ist rund. Das heißt, er hat eine ganz fürchterliche Akustik. Das heißt, während du das sprichst. Hörst du natürlich auch alles, was andere sagen, ne, also wenn der Amteur da mit seinem Nachbarn redet, das hörst du, zwar relativ laut und ich persönlich hab ein bisschen Schwierigkeiten mich zu konzentrieren wenn jemand anders mir die ganze Zeit ins Ohr quatscht äh und das das war also habe ich als eine absolute Unverschämtheit äh empfunden und der wurde dann auch äh glücklicherweise irgendwann von der Vorsitzenden dann zur Ordnung gerufen. Und dann hat er sich mit seinem Handy beschäftigt. So. Ja

Tim Pritlove
1:46:01
Linus Neumann
1:46:07

Der war kurz davor, sagen wir es mal so. Also es war wirklich äh. Der der ne, der hatte nicht den Eindruck, aber und ich muss aber auch sagen, wie gesagt, äh ich war schon bei Anhörungen, ähm wo das durchaus sehr viel besser war. Ne? Und ähm. Vielleicht jetzt auch zur äh sagen wir mal zur Entlastung der Oppositionspolitikerinnen, die da eben die Fragen. Als sehr erkennt, also sehr auffällig abgelesen haben. Muss man eben sagen, die werden ja gerade zugeballert, ne. Es ist immer so, am Ende der Legislaturperiode stellen sie auf einmal fest, oh shit, wir haben hier den ganzen Tag nur rumgepimmelt, wir müssen jetzt auch nochmal was machen und dann, fragten sie halt auf einmal, ne? Hunderte Seiten von Gesetzesvorschlägen und so weiter auf die Opposition, die dann halt natürlich auf einmal wie die Irren, die haben ja bei Weib nicht die Ressourcen. Sachverständige sucht den ganzen Mist lesen muss und dann gibt's am Ende des äh gibt's immer so einen Dedos-Angriff, ne? Das war bei der äh bei dieser Staatsreale Anhörung der letzten auch so, dass sich da dann. Ja, das ist halt äh ein ein Hin und Her war und auch die Kommunikation mit den Abgeordnetenbüros dann halt, da merkst du, da sitzen am anderen Ende Leute, die gerade einfach mal völlig überlastet sind und das trifft sicherlich auch eben auf die Abgeordneten der Opposition zu. So sieht denn ihre Arbeit ernst nehmen und das würde ich eigentlich allen dort unterstellen. So jetzt war das bei bei mir ja noch so, ich hatte ja gesagt, dass ich da auf Einladung der Grünen war. Und dass der Termin geändert wurde, was jetzt auch zur Folge hatte, dass der Konstantin von Notz nicht da sein konnte, ja? Der eben im Innenausschuss dieses Thema seit Jahren betreut und verfolgt, deswegen war dann eben seine Stellvertreterin da, die Tabea Rößner, die nicht so in dem Thema steckt und, ich kann natürlich auch verstehen, dass sie dann sagt, okay, ich habe hier meine, ne, mein Briefing bekommen, sicherlich, gehe ich jetzt mal vom aus, vom vom Büro Notz, wird sie ein Briefing bekommen haben, so da und da um drum geht es uns diese Themen frag mal bitte, ne? Und dann wird dir das natürlich auch gemäß ihrer, Empfehlung ihrer Kolleginnen, die sie ja dann nun oder ihres Kollegen, den sie ja dann vertritt auch gemacht haben. Das kann man hier aber jetzt auch nicht übel nehm, Ne, so will ich jetzt, wie gesagt, will da niemanden konkret konkret kritisieren, haben alle ihre Gründe, ne? Aber so insgesamt wird da jetzt nicht diskutiert oder so. Und insbesondere bei diesem Gesetz ist es ja so. Dass das äh weil es diese Dienste des digitalen Zeitalters betrifft äh. Notifiziert werden muss, das heißt, es muss der EU-Kommission zur Einsicht und zum Feedback vorgelegt werden, bevor es äh beschlossen wird. Und das wiederum heißt, wenn sie jetzt etwas daran ändern würden. Dann äh wesentlich, dann ist das nicht mehr das vorgelegte Gesetz. Und irgendwann würden sie eben, hätten sie halt so viel daran geändert und wenn sie meine Empfehlungen folgen, dann haben sie alles daran geändert, dass sie das nochmal neu vorlegen müssten.

Tim Pritlove
1:49:08
Linus Neumann
1:49:10
Tim Pritlove
1:50:00
Linus Neumann
1:50:06
Tim Pritlove
1:50:50
Linus Neumann
1:50:52
Tim Pritlove
1:51:20
Linus Neumann
1:51:28
Tim Pritlove
1:51:45
Linus Neumann
1:51:46
Tim Pritlove
1:51:55
Linus Neumann
1:51:56
Tim Pritlove
1:52:05
Linus Neumann
1:52:08
Tim Pritlove
1:53:08
Linus Neumann
1:53:10

Es kam dann noch dieses Thema äh vertrauenswürdige Anbieter, ne? Da haben wir relativ viel zugeschrieben. Ähm Ich habe das ja hier auch im Logbuch schon mehrmals erklärt. Also es gibt, es ist diese Wahway Debatte, ne? Und da haben sie jetzt halt irgendwie gesagt, so das BSI darf anordnen, dass nicht vertrauenswürdige Anbieter nicht verwendet werden dürfen, ne. Das ist jetzt im Prinzip das Ergebnis dieser auch seit drei Jahren geführten Debatte um Huawei, ne? Und. Im Prinzip zeigt sich daran ja nur eben diese diese Zahnlosigkeit und Hilflosigkeit des BSI, weil die hätten ja längst sich mal den Huawei-Krempel auseinander nehmen können. Und ich würde es gerne noch einmal wiederholen, weil's, Ich hab's jetzt schon mal erklärt, aber jetzt ist es eben auch, jetzt ist nicht das Gesetz vor. Erstens, es gibt keine Beweise dafür, dass Huawei Komponenten, ähm irgendwie unsicherer werden als die andere Herstellerin. So. Zumindest nicht öffentlich. Es wurde immer mal wieder gemeldet, irgendjemand lege irgendeinen Beweis vor, aber die sind nicht öffentlich bekannt und es gibt, es hat auch niemand äh bisher, Maßnahmen ergriffen, ja? Die ähm jetzt tatsächlich irgendwie dem Rechnung tragen würden, weil wenn wirklich hier irgendwie ähm. Ja Nicht vertrauenswürdig wäre, dann müsstest du das ja nun wirklich einfach aus deinen Netzen wieder rausreißen. Und derartige Maßnahmen hat noch niemand ergriffen und man darf eben vor dieser ganzen Debatte nicht vergessen, dass ähm, Der größere Teil der deutschen Mobilfunknetze jetzt schon mit Huawei Technik gebaut wurde. So und wenn jetzt Huawei sich als bösartig herausstellen würde, dann müsstest du das Zeug halt rausrupfen. So zumindest deren Argumentation, ja? Ähm müsstest du im Zweifelsfall nicht, aber da komme ich gleich zu. So. Jetzt gleichzeitig haben wir über US-amerikanische Hersteller. Ich glaube seit zwanzig dreizehn konkrete Beweise, dass deren Produkte Gebäck dort sind oder nachträglich von äh der äh von den Taylor Access Operations Gebäck dort werten, auf dem Weg zur Lieferung zum Kunden Und da haben wir ja auch nichts gegen unternommen. Insofern, warum sollte, ne? Also da wo Beweise vorliegen, haben wir nichts unternommen, da wo wir behaupten, das wäre ein Problem, aber keine Beweise vorliegen, haben wir auch nichts unternommen, also was soll das alles, ne? Und ich habe ja ähm jetzt den teilweise, hier habe ich den schon beim Podcast erklärt habe. Also, ich habe ja früher sehr viel im Bereich von Mobilfunknetzen gearbeitet. Und ich habe auch hier zwanzig dreizehn mit meinem Kollegen Luca äh im Regierungs äh hier Handy abhören demonstriert, ne? Und, der die Schwachstelle, die dabei eine Rolle spielte in GSM. Die war bestand im Prinzip aus, ich ich erkläre sie jetzt mal einfach ein bisschen komplizierter, ich mache mir das Prinzip klar. Die bestand daraus, dass. Du in GSM sendest du quasi Pakete in sogenannten Frames, also du hast immer pro Zeiteinheit eine gewisse Anzahl Daten, die du übertragen kannst, Und wenn du jetzt eine Nachricht sendest, die nicht den kompletten, die komplette ähm Bandbreite dieses Frames ausnutzt. Das heißt, du hast quasi noch Bits übrig, ja? Also du schickst eine Nachricht, du hast aber noch Bitz übrig. Ähm dann wird, wird das trotzdem gefüllt, ne? Also ein Wert wird einfach quasi ein Padding um die Nachricht gemacht, damit du in dem Takt bleibst, den dir quasi dieses Funksystem vorgibt, ist das ist das klar verständlich Tim.

Tim Pritlove
1:56:49
Linus Neumann
1:56:53

Die haben immer dieselbe Länge, genau, die haben die Nachrichten haben immer dieselbe Länge oder die Frames haben immer dieselbe Länge, die Nachrichten sind in den Frames und wenn der eine Nachricht kürzer ist als der Frame, dann machst du halt ein Padding dazu. Und, der die fehl implementierung war, die den Angriff quasi ermöglicht hat, dass dieses Padding statisch war, Das heißt, ähm du wusstest, dass bestimmte Nachrichten am Ende auf jeden Fall dieses Padding haben. Weil sie, wenn sie zu einer bestimmten Zeit kommen, weißt du, diese Nachricht ist so kurz und wenn die so kurz ist, dann hat die das Padding und wenn das Padding halt den größeren Teil der Nachricht ausmacht, hast du letztendlich etwas, wo du ein Angriff drauf machen kannst. Mit anderen Worten du hast die verschlüsselte Nachricht. Kennst Teile des Inhaltes der Nachricht und deswegen kannst du jetzt anfangen den Schlüssel zu knack, weil du eben, ne, dann einfach sagen kannst, okay, ich Brutforste jetzt den Schlüssel. Weil ich eben Teile der Nachricht kenne und wenn du dann diesen Schlüssel hattest, konntest du ähm quasi auch den Rest des Datenstromes entschlüsseln. So und diese Schwachstelle steckte halt in den GSM System, so und die war kombiniert mit anderen Schwächen des Algorithmus und so weiter hat es dazu geführt, dass du quasi Rainbow Tables dir machen konntest, also du hast einfach statt wirklich jede Nachricht einmal zu cracken, hast du einfach einmal mit allen Kies alle Nachrichten verschlüsselt und. Aber nicht alle Ergebnisse gespeichert. Dafür hast du nicht genug Platz, sondern du machst quasi äh Rainbow Tables. Super geiles Konzept. Ich weiß nicht, ob ich das schon mal in der Sendung erklärt habe. Ähm.

Tim Pritlove
1:58:41
Linus Neumann
1:58:54

Richtig, aber die Idee, die Idee der Rainbow Table ist im Prinzip, du hast quasi. Kie und Nachricht, ne? Und du verschlüsselst jetzt die Nachricht mit mit K eins und das, was dann rauskommt. Daraus leitest du quasi Key zwei ab, was dann rauskommt, Ki drei, Ki vier Ki fünf, ja? Und dann speicherst du dir nur das Ergebnis, sagen wir mal, zum Beispiel nach dem siebten Lauf. Und damit hast du quasi Das Ergebnis des ersten Laufs und das oder den Kie des ersten Laufs, Und das Ergebnis des siebten Laufspeicherst du dir nur und die dazwischen die Schritte nicht, Das ist wichtig, ne? Also Anfang und dann nach sieben Wiederholungen oder können auch zehn sein, ne, kommt drauf an, wie du optimierst. Das Ergebnis speicherst du dir. Und jetzt nimmst du quasi. Von einer gegebenen Nachricht, die quasi verschlüsselt ist, machst du einfach auch sieben solche Durchläufe, dann hast du sieben Ergebnisse. Und jetzt guckst du in deiner Rainbow Table einfach nur, ob eines dieser sieben Ergebnisse in deiner Rainbow Table vorkommt und es wird vorkommen. Und da wo es vorkommt, musst du dann einfach nur rückwärts quasi die Operation durchführen und kommst dann an den richtigen Kie. Ich, vermute, dass es jetzt auf Anhieb nicht sofort verstanden ist. Also du du speicherst quasi wirklich eben von mehreren Durchläufen einfach nur einmal anfangen und dann das Ergebnis und dann suchst du quasi, machst du selber einfach nochmal sieben Durchläufe und suchst nach diesen sieben und einen davon wirst du finden, dann brauchst du nur rückwärts zu rechnen und dann hast du den Key. Also letztendlich ein Time Memory Trade of beim beim Passwort Cracken, könnte es natürlich auch einfach eine Tabelle mit allem machen, dann brauchst du aber viel zu viel Speicherplatz oder du könntest halt auch einfach jeden einzelnen. Anlauf. Von neuem Cracken, dann brauchst du aber viel zu viel CPU-Time. Und mit Rainbow Tables machst du quasi optimierst du auf den Sweetspot, dass du den Lookup noch schnell genug hinkriegst und nur so und so viel Terabyte äh Speicherplatz dafür brauchst Na ja, lange Rede, kurzer Sinn, diese Schwachstelle war quasi auf der Luftschnittstelle von GSM und das hat es eben das vollständig passive Abhören von GSM-Telefonaten ermöglicht. Mit, zu dem Zeitpunkt halt, was weiß ich, Hardware Invest von sagen wir mal ein paar tausend Euro, ne? Und. Natürlich zwanzig Jahre vorher war die gleiche Schwachstelle vielleicht eben für ein paar hunderttausend ausnutzbar. Ähm oder vielleicht auch für einen für eine Million ausnutzbar, weil das eben, ne, die Computing-Power und der Speicherplatz noch nicht der Allgemeinheit zur Verfügung stand. Und ohne da jetzt eine Verschwörungstheorie draus äh spannen zu wollen, so eine Schwachstelle wäre natürlich super geil, wenn du jetzt sagst, du bist ein nicht vertrauenswürdiger Anbieter, verkaufst deinen Krempel ins Ausland und hast eine Schwachstelle, die am Ende aussieht wie ein Back. Die ähm sich von normalen Konsumenten, die in den nächsten zehn Jahren nach Moos Lorn nicht so einfach ausnutzen lassen wird Aber wenn du jemanden sagst, wie die Schwachstelle genau aussieht, ein Geheimdienst seid problemlos in der Lage ist, sagen wir mal, halt ordentlich Kohle zu investieren um diese Schwachstelle ausnutzen zu können. Und worauf ich hinaus will, ist das Geile daran ist, es sieht einfach noch wie eine wie eine Schwachstelle aus. Und ein Back, ja? Und wenn dann irgendwann zwanzig Jahre später, ne, irgendwie ähm, ein paar Security-Forscher zu dir kommen und sagen übrigens hier da gibt's so ein Buck, den musst du mal fixen, na, dann wird der Back halt gefixt und alle haben alle happy, Insofern würdest du als nicht vertrauenswürdige Anbieterin natürlich eher deine Sachen wie ein Back aussehen lassen als wie eine absichtliche Backdoor. Schon mal ganz klar, ne? Du würdest nicht irgendwie eine, ja, keine Ahnung, Passwort äh chinesischer Geheimdienst und du kommst rein, so, sondern du würdest halt Backs machen. Jetzt ist die Frage, habe jetzt schon gesagt, das Beispiel, was ich gerade genannt habe, ist äh die Vertraulichkeit und ich halte auch quasi den Angriff auf die Vertraulichkeit für das Realistischste Angriffsziel, was du mit Hilfe einer nicht vertrauenswilligen Anbieterin ähm realisieren würdest. Die anderen Angriffsziele werden die Verfügbarkeit oder die Integrität des Systems anzugreifen, Verfügbarkeit heißt, du schaltest das Mobilfunknetz aus, ne, was also im Prinzip ein ähm ein äh kriegerischer Akt ist. Und ich sag mal, wenn wir soweit sind, dass wir uns davor Sorgen machen müssen, dass die, dass China uns das Mobilfunknetz abschaltet, dann haben wir echt sowieso ganz andere Situationen, ne? Und das könnten die halt auch im Zweifelsfall, wenn's nicht von von Way ist. Integrität, ja klar, da könntest du halt dann sagen, okay, du du nutzt das jetzt zum zum Angriff oder so, aber auch dafür bräuchtest du halt administrativen Zugriff auf das Netz und du kannst jetzt nicht irgendwie sowas machen wie äh auf ähm. Was weiß ich, Admin Punkt T Mobile Punkt DE gehen und sagen wir konfigurieren jetzt das Netz um, sondern diese kritischen Komponenten, die administrative Schnittstelle ist ja nicht gar nicht so einfach erreichbar. Mit anderen Worten so die realistische Schwachstelle, die du einbauen würdest, wäre. Vertraulichkeit äh angreifen äh äh die Vertraulichkeit gefährden und zwar vor allem durch etwas, was aussieht wie ein Back, wenn es jemand entdeckt. Interessanterweise wird in diese. In diesem Gesetzesentwurf quasi das Risiko nur eingegrenzt auf Systeme, ähm die die. Sicherheit hier ein ein Hersteller einer kritischen Komponente ist nicht vertrauenswürdig, wenn die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die geeignet sind oder wahren, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Infrastruktur einwirken zu können. Was fehlt ist Vertraulichkeit. Ist geil. Das haben die einfach ausgeklammert. Das einzige realistische Risiko ist die Vertraulichkeit. Und ihr habt's ja eingangs gesagt. In dem neuen BND-Gesetz sagen sie der BND, es darf, Kommunikations äh Netze hacken, um dort die Vertraulichkeit zu schädigen. Der BND darf aber nicht, Die Verfügbarkeit und Integrität äh und und also Funktionsfähigkeit beeinträchtigen. Also die wissen selber, dass das einzige, was du machen willst, ist die Vertraulichkeit angreifen. Aber in ihrem Lex Huawei lassen sie. Vertraulichkeit aus der Definition raus. Was, Also wo du dir fragst, so Leute was raucht ihr denn oder was trinkt ihr und vor allem wie viel Das also total total unsinnig, ne? Du liest das und denkst dir so, ey, das ist doch wirklich absoluter Quatsch Und vor allem überall in dem Gesetz steht drin, äh Vertraulich äh Verfügbarkeit, Integrität, Vertraulichkeit, weil das nun mal einfach die drei Schutzziele der Informationssicherheit sind. Habe ich da auch verlinkt, ja, Wikipedia, Informationssicherheit. Also gegen das einzige Realistische, dass das wirklich realistische Angriffsziel. Haben Sie hier rausgenommen? Wurde gefragt, warum? Warum? Warum habt ihr das gemacht? Und zweitens ähm. Wenn das jetzt so wäre. Kommt eben der Punkt, wie wie kannst du dich jetzt gesetzlich dagegen wehren oder Staat von staatlicher Seite? Dann kannst du halt sagen, okay, wir untersagen jetzt den Einsatz dieser Komponente und dann muss die rausgerupft werden, wie gesagt, dann dürfte die, wenn man jetzt feststellt, ah okay. Huawei hatte eine Backdoor, dann, könnte das BSI eben anordnen, dass die deutsche Telekom das Mobilfunknetz abbauen muss. Das wird sie natürlich nicht machen, weil die dann im Zweifelsfall, was ich gerade sagte, halten, äh verlangen und dieses Netz halt weiter betreiben. Also das ist seit alles von vorne bis hinten äh totaler Unsinn. Und wenn du dich dagegen schützen willst dann würdest du halt sagen, alles klar. Ähm wir äh machen zum Beispiel ein Hinterlegen, des Quellcodes zum zur Voraussetzung, dass wir sagen können, okay, wir können dieses System auditieren, Und schlimmstenfalls, wenn wir hier irgendwie in eine kriegerische Konflikte kommen, dann können wir diese Systeme selber patchen, Ähm wir wollen, wir stellen von staatlicher Seite outet Ressourcen bereit. Äh wir äh. Gucken, dass irgendwie best Practices in Architektur, Bild und so weiter, ne? Zum Beispiel Repreducial Bilds oder so, es sind ja alles Anforderungen, die du machen könntest. Und du könntest vor allem auch sagen, na ja okay, wir fördern halt die Software. Als Bundesrepublik Deutschland, die auf diesen Dingern laufen soll, halt selber und machen auf diese Weise die äh Wirtschaftsförderung für unsere ähm für unsere europäischen Anmieterinnen. Aber nein, all das findest du da nicht drin. Also es ist wirklich so und das hat du kannst dir nicht vor. Also ich kann mir nicht vorstellen, dass im BMI äh Leute sitzen, die das nicht wissen, so oder im BSI-Leute sitzen, die nicht genau wissen, äh wo der Hase langläuft. Und dann kommt natürlich noch der Punkt, was ich ja schon gesagt habe, diese. Komponenten sind, ähm ja, die kommen aus China. Also wenn du jetzt, wenn du jetzt du bist jetzt was weiß ich, die deutsche Telekom oder Vodafone oder wer auch immer. Und jetzt sagst du, ah okay, ich möchte Wareway in meinem Netz haben, dann, Bestellst du ja nicht auf Huawei dot com oder Shop dort Waaway dot com. Äh so und so viele äh oder so, sondern du hast äh, quasi äh äh Netzwerkkomponenten. Was weiß ich, die Funk äh Funktürme oder was auch immer du jetzt haben willst, ne. Sondern du arbeitest halt mit einer deutschen GmbH und Co KG oder so was ist denn die Rechtsform? Was weiß ich, wowei Deutschland? Kannst du, also garantiert gibt's eine, haben wir, glaube ich, auch schon mal im Logbuch geguckt, ne? Whavay, Deutschland, wenn du das suchst, findest du wahrscheinlich eine in Bonn oder Düsseldorf ansässige GmbH. Ach so, jetzt bin ich bei den Consumer Produkten. Ach so, hier, Whaway Technologys, Deutschland, GmbH in Düsseldorf, ne, Düsseldorf, weil da, früher ähm Eplus und Vodafone waren und wollen es dann halt auch nicht weit Und das ist dann im Prinzip jetzt weiß ich nicht genau, ob das genau diese GmbH wahrscheinlich werden sie nochmal eine andere GmbH für die Netzausrüstung haben, aber quasi net die deutsche Telekom, wenn die sagen, okay, wir kaufen jetzt hier Whaway, dann dann arbeiten die zusammen mit einer deutschen GmbH, die sich darum kümmert, dass diese. Produkte eben auch bei denen integriert werden. Das ist eben nix was du kaufst, die Bedienungsanleitung liest und dann schraubst du das, schraubst das an den Turm oder so ne? Klar machst du schon, ja? Aber letztendlich gibt's da ja auch ganz viele individuelle Konfigurationen, Anpassungen, Anforderungen, Features, die du haben willst, nicht haben willst und so. Das kaufst du, hat dein dein eigentlicher Vertrag ist am Ende mit einem deutschen Unternehmen. Und dieses deutsche Unternehmen zu test und Konfigurationszwecken arbeitet sehr eng mit deinen Technikerinnen eben zusammen und kriegt dabei natürlich intime Kenntnisse über dein Netz. Das ist so habe ich ja, als ich in dem Bereich gearbeitet habe auch, so. Und. Da glaube ich ist viel mehr quasi in Anführungszeichen das Problem, nämlich dass da Leute wissen über deine Infrastruktur haben. Und da ist jetzt wiederum der Punkt, ne, das, da kümmert sich dieses Gesetz überhaupt nicht drum, ne? Und das wäre eigentlich, sage ich mal, wenn man jetzt sagt, wir befürchten da eine Unterwanderung unserer Kommunikationsinfrastruktur, dann könnte man eben, was weiß ich, Anforderungen, wie. Background checkt's für die Leute verlangen, die irgendwie, davon Kenntnis erlangen, wie das da aufgebaut ist. Und da da kommst du natürlich, siehst ja, okay, haben die zwei Faktor-Authentifizierung oder nicht, liefern wir denen überhaupt zwei Faktoren, so oder nicht? Das werden alles so Sachen, wo du halt IT-Sicherheit wirklich auf eine technischen Ebene einziehen würdest und an der Sache bleibst und darauf verzichten die halt total und es ist wirklich schmerzhaft nach drei Jahren der Debatte irgendwie solche solche Clowns Gesetze zu sehen, wo du halt weißt, das hat einfach nichts mit dem zu tun, um das es hier geht. Und am Ende ist das halt, es, sowas, ne? Zu sowas musste ich dann als technischer Sachverständiger äußern, was letztendlich halt irgendwie so ein ähm, so ein, so ein, so ein Handelskrieg, Gehirnfurz von Donald Trump ist. Was anderes ist das ja nicht. Also es ist, ja, es hat schon wirklich. Ähm also der Nummer geschrieben, schon heute sind europäische Netzwerkkomponenten nicht in der Lage, mit chinesischen Produkten zu konkurrieren. Chinesische Anbieterinnen liefern inzwischen technisch überlegenes Equipment zu günstigeren Preisen. Es ist daher leicht nachvollziehbar, dass deutsche und europäische, Mobilfunknetze zu großen Teilen mit chinesischer Stadt äh europäischer Technik ausgerüstet wurden, unabhängig von der Frage der Vertraue, Vertrauenswürdigkeit der Anbieterin ist es im Interesse der Bundesrepublik und der Europäischen Union, die europäische Technik konkurrenzfähig im Markt zu halten beim Bau von Mobilfunknetzen der sechsten oder siebten Generation droht sonst eine Situation in der europäische Ausrüster nicht mehr Teil des Angebots sind um dem entgegenzuwirken bieten sich jedoch etablierte und ehrliche Mittel der Marktverzerrung an wie Förderung und Subvention und Zölle. Es bedarf nicht eigenst des Arguments eine eigenstes Argument von einer in der IT-Sicherheit, Von einer in der IT-Sicherheit konzentrier fremden Vertrauenswürdigkeit, Und ähm ja, Empfehlung, wenn der Bundesregierung daran gelegen ist, die technologische Souveränität im Bereich des Mobilfunks aufrechtzuerhalten, dann möge sie mit Förderprogrammen die mangelnde Konkurrenzfähigkeit europäischer Herstellerinnen kompensieren. Hierzu bieten sich breit angelegte Programme zur Förderung von kritischen Softwaresticks als Open Source an. Für die im Rahmen der Förderung auch die Ressourcen für sichere Architekturen und fortlaufende A die Auditierung bereitgestellt werden. So das wäre irgendwie eine Lösung Problems, wo wir alle was von hätten. Aber nein. Letzter Punkt, ja, IT-Sicherheitskennzeichen haben sie halt, also es ist auch, boah, das ist, ich kann nicht mehr hören. Also, wir haben ja. Habe ja gesagt, was aus diesen Bundestagswahlhack wurde, da wurde halt diese äh Nummer draus mit dem äh Anforderungskatalog des BSI, der dann vier Jahre später fertig ist. Und dann hatten wir noch diesen Telekom-Routerausfall. Da habe ich hier auch regelmäßig drüber geroundet, wo sie dann die technische Richtlinie Route hatten, ne. Eine technische Richtlinie des BSI ist erstmal nur ein Stück Papier, ohne jegliche Verbindlichkeit, der die gesamte Arbeit komplett verdient, für den, für den Fuchs, ja? Und ähm jetzt haben sie halt gesagt, okay, geil, zur weiteren, Förderung und da das habe ich übrigens bei dieser technischen Richtlinie Router war das schon immer, dass da die Anbieter saßen und sagten so, wir hätten gerne ein schönes Logo mit einer Deutschlandfahne, Das müssen wir bei uns draufdrucken, damit der Kunde weiß, dass das schön ist hier bei uns, dass wir, dass er bei uns ein deutsches Wertprodu.

Tim Pritlove
2:14:27
Linus Neumann
2:14:31

Genau und ähm jetzt haben äh sagt das BSI, ja, geile Sache, machen wir, ne? Irgendwie so und so viel fünfundzwanzig Planstellen. Personalkosten in Höhe von jährlich zwei Komma drei drei Millionen Euro sowie Sacheinzelkosten in Höhe von zwei äh null Komma sechs zwei Millionen Euro jährlich, ja? Also knappe drei Millionen Euro sollen wir jetzt ausgeben von staatlicher Stelle, damit das BSI ein Sicherheits Kennzeichen macht. Denkst du, naja okay, hören wir uns das mal an, ne? Das Geile ist, die die Hersteller zertifizieren sich das selber, das ist freiwillig, und du Zertifizierst dir das selbst und dann kriegst du das. Dann musst du und es wird nicht geprüft. Also saß dem, du sagst dem BSI halt so, ey, übrigens, wir erfüllen hier. Security, ne? Hier ist unser Blatt Papier, auf dem wir das selbst zertifizieren, dass wir das tun, das hat niemand unabhängig geprüft, Guckt mal, ob euch das gefällt, was wir hier geschrieben haben, was wir alles machen und dann sagt das BSI, ja, okay, alles klar. Hier, ihr seid jetzt berechtigt, euch eine irgendwie eine Deutschlandfahne auf euren Karton zu drucken und dann machst du das, Und das Schlimmste, was dir passieren kann, ist, dass dir das, dass sie das, dann darfst du, musst du wieder abmachen oder so, ne, Schlimmstenfalls kann's dir entzogen werden. So, aber warum bringt das nichts? Na ja, weil es freiwillig ist und es ist ja nicht so, weißt du, wenn wenn die Leute, freiwillig mehr Geld für Sicherheit ausgeben würden, dann hätten wir ja nicht die unsicheren Produkte im Markt. Also haben wir gesagt, okay, bitte, bitte, bitte. Wenn ihr so etwas machen möchtet, eine Maßnahme, die hier für allgemeine IT-Sicherheit im Markt sorgen soll, die muss das halt zur Markteintrittsvoraussetzung machen und nicht zum nice to have oben drauf. Du hast doch nichts davon, wenn du als BSI, für drei Millionen dafür sorgst, dass die Leute die Kiste mit dem schöneren äh mit dem schöneren Deutschlandfähnchen drauf kaufen und dafür mehr Geld ausgeben, wenn die ganzen Leute, die nicht mehr Geld ausgeben, äh sich eben das Produkt einfach das günstigere Produkt kaufen, weil sie sagen, ich kaufe lieber eins, wo keine Deutschlandfahne drauf ist. So und ähm das. Es ist so traurig, ja, weil wie gesagt, das ein, das das der einfache Weg wäre. Mindesthaltbarkeitsdatum Update Zwang. So Punkt. Und dann kannst du auch sagen, okay, bei Up, bei äh wenn da jetzt irgendwie schwerwiegende Sicherheitslücken sind oder sowas, dann kann das BSI von mir aus auch einfordern, dass äh dass das Produkt äh, dass dass das Produkt eben diese Updates gemäß Vorgabe bekommt oder so, ne? Und vor allem könntest du halt auch mal sagen, alles klar, wenn du das nicht machst, wenn du hier Schrott ins Regal legst und die Leute das kaufen und dass sich denen dann in Fuß schießt, äh dann kann man halt auch mal an eine Haftung denken also ne, unter Maßgabe, dass keine, dass keine nicht in in angemessener Zeit 'ne Produktnachsorge getroffen wurde. Also ja, statt statt sich mal über Haftung und Update-Pflicht Gedanken zu machen, gibt's jetzt irgendwie ein schönes neues Sicherheitskennzeichen, totaler Unsinn, Letzter Punkt, Das wird dieses Unternehmen im besonderen öffentlichen Interesse, wo ja der der quasi der Tätigkeitsschwerpunkt des BSI erweitert wird. Ähm da gibt's drei Kategorien, was Unternehmen in besonderem öffentlichen Interesse sind, also quasi ergänzend zu den kritischen Infrastrukturen. Sagen sie halt, okay, Güter im Bereich der Kriegswaffen oder Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung von staatlichen Verschlusssachen. Also damit haben sie seit Jahr Kriegswaffenhersteller und, die Hersteller, die ihnen die Krypto liefern, sind halt jetzt Unternehmen von besonderem, in besonderen öffentlichen Interesse, dann unternehmen die Gefahrenstoffe in großen Mengen an ihren Betriebsstädten vorhalten. Wo man jetzt bei beiden argumentieren kann ja, da gibt's im Zweifelsfall übergeordnetes Sicherheitsinteresse der Bundesrepublik Deutschland, so, ne? Dass dies, wo man sagen kann, ja, ist wahrscheinlich nicht schlecht, wenn das BSI da ein Auge drauf hat. Kriegswaffen ist aber natürlich Äh auch so ein Thema, ne, weil das äh BSI ja eigentlich so eine zivile Institution ist. Und dann C sagen sie, also in dem Fall ist es B, aber die dritte Kategorie, wie du ein Unternehmen von besonderem öffentlichen Interesse bist, ist, wenn du nach der, nach deiner inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehörst. Und da denke ich mir auch so, Alter, was soll das denn jetzt schon wieder? Als wenn die größten Unternehmen von Deutschland nicht in der Lage sein sollten oder sind. Sich um ihre IT-Sicherheit selber zu kümmern, warum sollen die jetzt noch mit staatlichen Ressourcen versehen werden, während irgendwie ein KMU, ne, hier hinten Champions und Hasse alles nicht gesehen, um IT-Sicherheit ringen, nirgendwo jemanden finden, der ihnen dabei helfen kann, zu zu normalen Preisen. Und deshalb den Schrott im Regal kaufen, das ist doch die komplett falsche äh Förderung und das komplett falsche Verständnis von, was jetzt wirklich im Interesse der Bundesrepublik liegt Also habe ich gesagt, der Bundestag möge prüfen, welche Unternehmen im besonderen öffentlichen Interessen der Bundesrepublik liegen und welche davon tatsächlich besondere Aufmerksamkeit des BSI benötigen. Ich find's im Prinzip zum Beispiel auch witzig, wenn sie sagen, ja, hier will was mit Kryptografie macht äh und den Verschlusssachen, ja okay, gut ja? Natürlich ist das äh sollten die, was sollten jetzt mit der Sicherheit raushaben, aber hoffentlich habt ihr euch das überlegt, überlegt, bevor ihr was von denen kauft. Also das finde ich echt so ein bisschen. Komisch und äh besser wär's natürlich, weißt du so, ne, Thema Problemklassen eliminieren, schaff doch bitte eine. Kompromisslose auf IT-Sicherheit ausgelegte Infrastruktur schafft 'ne Produkthaftung, führten Mindesthaltbarkeitsdatum ein als Markteintrittsbarriere. Ne, damit kannst du halt dafür sorgen. Das ganz einfach bei ganz normalen Otto-Normalunternehmen ähm. Sicherere Produkte ankommen und die dann alle auch weniger in IT-Sicherheit äh investieren müssen So und das äh hielte ich ehrlich gesagt für die für die sinnvollere Maßgabe, dass du halt hier von staatlicher Seite eben, Basisprodukte bereitstellst, in Open Source, dann können alle Anbieter äh sich derer bedienen, können alle äh Kunden glücklich kaufen und dann hast du irgendwie musst du noch nicht mal eine schöne Deutschlandfahne draufkleben, sondern hast einfach so nachhaltig mehr Sicherheit. Ja

Tim Pritlove
2:20:58
Linus Neumann
2:21:04
Tim Pritlove
2:21:08
Linus Neumann
2:21:12

Ich bin mir sicher, es sieht voll geil aussehen werden diese Aufkleber. Ja, aber also die werden sich um die Bürokratie kümmern. Das möglichst äh äh nervig zu machen, dass das ein Unternehmen auf ein Produkt einen solchen Aufkleber kleben kann, nachdem es spezifiziert, nachdem es sich selber, äh äh zertifiziert hat, das ist die Anforderung erfüllt, die vorher natürlich irgendwo geschrieben wurden. Also das wird am Ende, ne, kannst du jetzt zum Beispiel hier diese technische Richtlinie Router da wird garantiert so ein Sicherheitskennzeichen raus, ne? Weil das ist ein eine Anforderungskatalog. An dem muss sich erstmal keiner halten. So und jetzt werden sie halt sagen, okay, die technische Richtlinie Router, die wird jetzt zu, zur Selbstzertifizierungsgrundlage für das IT-Sicherheitskennzeichen nach IT-Sicherheitsgesetz zwei null. Und dann werden die Unternehmen, die die da ihre Lobbyisten in diese Routa TR entsandt hatten, werden halt sagen, ah, alles klar, wir haben die Routa TR jagen auch genauso verbessert, dass die auf unsere Produkte sowieso zutrifft ja? Also werden wir jetzt eine selbstzertifizierung nach Router TR beim BSI einreichen und nach wenigen Monaten Bearbeitungszeit. Können wir dann irgendwie was weiß ich, 'n schönen Aufkleber auf unsere Kartons machen und sagen hier BSI sicheres Ding, Ne, so bist du halt nicht geprüft. Also, ne? Und dann werden irgendwann, wenn das, sobald das irgendwelche Fahrt aufnimmt, werden natürlich dann eben auch Hersteller aus anderen Ländern sagen, okay, so einen Brief können wir auch schreiben. Und dann potenziell hast du dann halt die Dinger da draufkleben, aber du löst eben nicht das Problem, dass die Masse eben doch einfach das kaufen wird, wo nicht der Aufkleber drauf ist. Und wenn da, wenn du, ne, dann hast du ja nichts davon, irgendwie selbst wenn selbst wenn dieses Sicherheitskennzeichen sagen wir mal eine, Tatsächliche Sicherheitsentsprechung hätte und unabhängig geprüft wäre, ist dir ja trotzdem nicht geholfen, solange das neben dem China-Schrott liegt und alle sich denken, ja, wieso soll denn mein Heizungsthermostat sicher sein? Dann ist schlimmstenfalls ist es halt warm oder kalt, dann schlechtet wieder richtig und. Genau in diesem Bereich der IT-Sicherheit ist das ja eben nicht der Punkt, weil äh du mitunter gar nicht weißt, dass dein Toaster halt gerade in den Cyberkrieg gegen Mexiko zieht, äh und der quasi, ne, zum zum Schaden anderer agiert. Statt statt zu deinem eigenen Schaden. Lassen wir das tippen. Es ist einfach also. Es ist immer so, was du so am Problem vorbei. Das ist immer der, das sind so Sachen, die kann ich nicht haben, Wenn es ein Problem gibt, so am Problem vorbei, da bin ich immer das mag ich nicht. Ich mag lieber sozusagen, okay, wo ist das Problem, wo stellen wir's ab? Na ja.

Tim Pritlove
2:24:07
Linus Neumann
2:24:12
Tim Pritlove
2:24:14
Linus Neumann
2:24:20
Tim Pritlove
2:24:53
Linus Neumann
2:25:00
Tim Pritlove
2:26:11
Linus Neumann
2:26:23
Tim Pritlove
2:26:47
Linus Neumann
2:26:56

Ja

Tim Pritlove
2:26:58
Linus Neumann
2:27:08
Tim Pritlove
2:27:22
Linus Neumann
2:27:24

Genau, ich ich erzähle das jetzt noch einmal Tim und dann äh muss es das aber auch gewesen sein. Aber ja, es ist also so um nochmal kurz diesen Prozess einzuordnen. Es ist. Eine Katastrophe. Zwei Jahre haben wir an dem Gesetz herumgedoktert, dann gab's natürlich diese kurzen Fristen, die ihr hier alles erzählt, ne, wo wir gesagt haben, dass wo sie letztendlich achtundzwanzig Stunden, Zeit gegeben haben, um einen neuen Entwurf des IT-Sicherheitsgesetzes zu diskutieren, ne? Da haben wir auch damals, also haben wir im Logbuch drüber gesprochen, haben auch als TCC uns lauthals gegen gewehrt. Dass dann eben auch der Der letzte Satz hier in meiner Stellungnahme, um ein drittes Gesetz zur Erhöhung der Sicherheit Informationstechnischer Systeme in angemessener Qualität vorschlagen zu können, sollte das BMI seine Bemühungen zu aktiven Unterdrückung, Sachverständigenrats einstellen, Das ist der letzte Satz. Ja. Aber ja, also ich meine. Kann jetzt nicht sagen, dass man besonderes Vertrauen äh in den demokratischen Prozess und seine Ziel, seine zielführende Ausrichtung bekommt bei diesem Gesetz. Bei anderen mag das anders sein. Und achso, eine Sache sollte man vielleicht auch noch, wenigstens lobend erwähnen, als wir vor ungefähr zwei Jahren mit Frank zum ersten Mal darüber gesprochen haben oder ich habe das eine Sendung, die habe ich ja nur mit Frank gemacht. Da ging's dann noch um ganz andere Sachen, ne? Da waren ja so, sollte ja mehr oder weniger das Darknet verboten werden mit dem Gesetz. Also da sind einige, Klopper sind da auch schon echt. Also da sind schon einige grobe Schnitzer weggeflext worden so. Das muss man dann vielleicht auch nochmal lobend erwähnen und eben sagen ja also so ganz ohne ähm. Ohne Erfolg war der der Prozess der gesellschaftlichen Einbindung hier nicht. So, das war äh. Da ist auch schon vorher noch einiges äh unheil abgewendet worden, dadurch, dass wir uns zu Wort gemeldet haben und eingemischt haben. Das muss man dann vielleicht wenigstens auch nochmal ähm zur zur. Ja den muss man eben schon noch auch mal Rechnung tragen.

Tim Pritlove
2:29:40
Linus Neumann
2:29:43
Tim Pritlove
2:29:58
Linus Neumann
2:30:00
Tim Pritlove
2:30:01
Linus Neumann
2:30:04
Tim Pritlove
2:30:06
Linus Neumann
2:30:17
Tim Pritlove
2:30:19