 hat letztes Jahr ein Security-Nightmare erlebt von euch. Nee, glaub ich nicht, alles sicher. Wer von euch hat in der Familie ein Security-Nightmare erlebt? Und wer von euch war sein eigener Security-Nightmare? Ausreichend. Jetzt kommen ... Ron und Frank! Security-Nightmares! Ja, herzlich willkommen zu den Security-Nightmares. Hallo, Leipzig. Ich glaub, das ist das erste Mal, wo ich Sorgen hatte, ob ich rechtzeitig reinkomme. Wie viel Ausgabe ist das eigentlich? Genau, ich hab da Paragraf zwei hingeschrieben. Das ist Paragraf zwei BGB, der regelt die Volljährigkeit. Und diese Veranstaltung ist 18. Die Veranstaltung darf jetzt heiraten. Und zwar seit Oktober jeden. Sie darf jetzt auch selber Mobilfunkverträge abschließen. Und Hochprozentigen Alkohol und Tabakwaren kaufen. Und konsumieren. Und sich auch an jugendgefährdenden Orten aufhalten. Also hier! Und Glücksspiel. Das heißt, Bitcoin hat jemand Bitcoin gesagt. Ja, genau, und die Datenschleuder abonnieren, ist klar. Ja, wir hoffen, das hat eine gute Zeit auf dem Konglass. Wir sind immer traditionell so der Rauskehrer hier, vor der Abschlussveranstaltung. Also die Veranstaltung, der versorgt, dass ihr zur Abschlussveranstaltung alle da seid. Und ihr konntet euch von dem Support-Nauert von über Weihnachten ein bisschen erholen. Wie schlimm war's denn so dieses Mal? Da wollten wir noch mal so zwei, drei Fragen zu stellen. Wer hat denn noch einen XP weggemacht? Oh, oh. Und wer durfte auch dieses Jahr das XP nicht wegmachen, weil es läuft so gut? Ah! Oh je! Da können wir alle gleich nach Hause gehen, oder? Was ich so witzig fand dieses Jahr, ich mein, wir sagen immer, man kann sich ja dann hier erholen von dem Support-Marathon, den andere Leute Weihnachten nennen. Und was ich jetzt aber gehört hab, ist, dass dann der eine oder andere Teenager nicht hergekommen ist. Weil der Rest der Familie kommt ja sowieso immer hierher. Und die hatte man dann ja gerade drei Tage. Und das schafft man dann halt nicht mehr. So, und ja, da muss man dann mal nachdenken, wie man damit umgeht, weil in Stream ist ja keine Antwort auf alles, oder? Wer hatte denn so ein Virus oder Trojaner zu entsorgen über Weihnachten? Du musst höher einsteigen, bei wem waren's mehr als zehn? Keiner. Okay. Da ist ... was los? Mehr als fünf? Auch nicht? Okay. Wer weiß nicht, wie viele es waren? Ah, okay, die Methode hat sich geändert. Ihr setzt die einfach gleich neu auf die Kisten, ne? Ja, fernhaft. Gut. Steigen wir ein? Das ist ein Bild, was mein Freund Pavel Meier gemacht hat. Der kümmert sich darum, Maschinen des Sehen beizubringen. Und er hat festgestellt, dass Ampeln für Maschinen zwischendurch so aussehen. Weil wenn man mit so einer Ampel mit 60 Hertz Framerate aufnimmt, dann passiert beim Umschalten zwischen gelb und grün der lustige Effekt, den wir gerade im Bild beobachten, dass es nämlich ein Framelang so aussieht. Ups. Das ... damit fahren wir dann Auto. Also, nein, falsch. Damit fahren dann Autos mit uns. Die beliebte Republik Rue Grieg vor zehn Jahren, da ist ja viel passiert vor zehn Jahren. Wir forderten damals Burger-Troyana für mehr Bürgerbeteiligung. Das war so ein bisschen mau. Aber die Digitalisierung hat ja auch vor den Parteien nicht halt gemacht. Vor allen Dingen WhatsApp hat vor den Parteien nicht halt gemacht. Und da gab es dann diese hübschen Leaks, nicht wahr. Hab ja alle mitgekriegt, wie sich die Partei da reingehängt hat. Ich glaub, das ist ein Saal-Applaus wert. Die andere Sache in Sachen Burger-Troyana für mehr Bürgerbeteiligung, die so in die Richtung geht, ist diese Android-App Haven von The Guardian Project und Freedom of the Press Foundation. Der Edward Snowden hat auch ein bisschen Werbung dafür gemacht, wenn mich nicht alles täuscht. Und das ist so ein wir überwachen den öffentlichen Raumgerät. Also etwas, was natürlich in Deutschland verboten wäre, wenn man es hier aufstellen würde. Aber ... Ich denke, wir werden sehen, wo das hinführt. Ich glaube, das ist eines der ersten Anzeichnen dafür, dass so Evidence-Collection-Systeme ... Eigentlich ist ja dafür beworben zu sagen, wenn man sein Hotelzimmer verlässt, dass der öffentliche Raum dieses Hotelzimmers sich stellen kann, dass man sich daran aufhält, während man da nicht da ist. Um das zu dokumentieren, soll das Gerät benutzt werden. Aber ich glaube, dass genau dieser Punkt öffentliche gute Software zur Evidence-Generierung ... Die wird uns noch eine Weile beschäftigen. Remote Government, ja, da hatten wir vor zehn Jahren ... war Island ... ... kurz weg. 20 Tage lang oder so, ne? 20 Tage, genau. Und damals fing ja dieser ganze Cyber ... Cyber so ein bisschen an, auch wenn er damals noch nicht so hieß. Und es sollen ja Privatpersonen gewesen sein? Also patriotisch gesinnte ... Privatpersonen, die damals Island runtergenommen haben. Irgendwie hat sich dieser Trend so ein bisschen verfestigt, dass also patriotisch gesinnte Privatbürger ... dann auch, was wir damals ja schon vorher gesagt hatten, wenn man anfängt, ein ganzes Land runterzufahren, kann man auch relativ problemlos sich um deren Wahlsysteme kümmern. Nur, dass es nicht Island war, sondern andere Länder. Genau, aber Putin hat gesagt, das war ein Freigeister. Also, das war keinesfalls eine gesteuerte Aktion, was da in Amerika gelaufen ist, nicht wahr? Ja, genau. Ähm ... Ja. Äh, das war der Punkt. Mhm. Die ... Modulanz-Bewirma. Genau. Und das ist ja etwas, was uns hier schon eine Weile begleitet, dass die Superworms als solche Modularer werden und auch das Ecosystem drumrum modularer wird. Ähm, man jetzt inzwischen so Renz- und Wehr-Esses-Service gibt's ja auch schon. Und, äh, das hat sich nur weiterentwickeln, ne? Keine große Sache. Dann gab's das Thema Biohacking. Ich glaub, vor ein paar Jahren hatten wir dann noch welche da, die hatten auch mal Ebola auf einer Powerpoint-Folie dabei. Das ist aber nicht zehn Jahre hier, ne? Das ist nur so fünf Jahre hier. Ungefähr so was, ja. Ja. Und ... Äh ... Ja, inzwischen ... Inzwischen hat die FDA ... Also, wie wir sehen können, hat Biohacking enorme Fortschritte gemacht. Also, ich weiß nicht, ob die Damen und Herren irgendwie schon mit CRISPR-Cas9 modifiziert wurden. Aber das werden wir dann wohl die nächste auch sehen. Also, die CRISPR-Cas9 ist eine Methode, wo man Gen-Editing sehr weittreiben kann. Und, äh ... Also, die FDA hat gerade davor gewarnt, dass man das an sich selber ausprobiert. Und, äh, ich hatte eigentlich auch so ein bisschen erwartet, dass wir für den Kongress schon ein paar Einreichungen dazu kriegen. So was wie ... Ich könnte mir viele Dinge vorstellen, so kleine Elfenohrenzüchten oder mal die Augenfarbe ändern. Da gibt's ja viele kleinere, einfache Möglichkeiten zum Patchen. Aber bisher hat man noch keine Einreichung, genau, dass für nächstes Jahr wünschen wir uns das. Und dann hatten wir das Thema ... Industrie-IT, Kinderzimmer-IT und Krankenhause-IT. Und ich weiß noch, dass wir uns schlappgelacht haben über diesen Dinosaurier, den wir mitgebracht haben. Ich weiß noch, ob ihr euch noch erinnert. Es war so ein Spielzeug-Dinosaurier, den man streicheln konnte. Und dann hat er so ... gemacht. Der hatte auch schon eine Kamera drin und ein Mikrofon. Und, wie gesagt, zu kleine Geräusche konnte der auch machen. Ja. Und dieses Jahr hat die Bundesnetzagentur tatsächlich eine Kinderpuppe verboten. Ja, weil das eben auch eine als Wanzel klassifiziert wurde. Da wurde der Verkauf verboten. Ich glaube, 400 Shops oder so mussten das Angebot rausnehmen. Ja. Und Kinderuhren mit Mikro ... wurden auch verboten von der Bundesnetzagentur. Also, es entwickelt sich wirklich irre. Und dann, das Schönste war aus meiner Sicht dieses Ding mit den Furbys. Furbys kennt ja ja auch alle. Und die sind ja auch technologisch nicht stehen geblieben. Es gibt einen Furby Connect, der spricht Bluetooth. Und der braucht keine Authentisierung. Und der spielt dann Audio-Dateien ab. Das heißt, ihr müsst nur dicht genug rankommen an die Kinderzimmer. Da hätten wir gerne von euch jetzt ein Audio-Track. Wenn ihr also alle mal kurz zehn Sekunden ... Danke schön. Länger darf der Loop sowieso nicht sein. Also, wenn ich dann die ... also ... Spielzeug leden, wenn die dann alle anfangen zu cybern da drin. Und wissen wir Bescheid, ne? Heutzutage ist ja dieses Furby ... erscheint so ein bisschen wie der Urgroßvater von den Werbewachsen, die sich die Menschen ins Wohnzimmer stellen. Hast du Alexa gesagt? Alexa, tell my therapist. Ist ein ernsthafter Skill. Es gibt tatsächlich für Alexa mehrere, für dieses Amazon-Werbewanzengerät, aber auch für die anderen Konkurrenzprodukte, gibt es mehrere Implementierungen. Mehr oder weniger fortgeschritten von Eliza, im ursprünglichen Weizenbaum-Programm. Und es gibt tatsächlich natürlich, selbstverständlich, gibt es auch mittlerweile schon so Maschinenlearning-basierte Therapiesysteme, über die man sich mit seiner Werbewanzer unterhalten kann. Wenn wir uns jetzt überlegen so, Daniel Souris hat damals gesagt, so, the human mind is a stationary target. Das heißt also, der menschliche Geist, der entwickelt sich nicht so schnell vorwärts für die Maschinen, die ihn versuchen zu manipulieren. Es gibt auch andere Möglichkeiten, die einen Zusammenfluss von so Gesprächstherapie und Werbung in einem Gerät, ich weiß, endlose Möglichkeiten. Genau, was soll da schon schiefgehen, oder? Den Cloudpad-Leuten sind dann auch gleich 2,2 Millionen Sprachdateien von Kinderspielzeug weggekommen. Das waren 800.000 User. Ähm, ja, genau. Genau, die nächste Nummer war hier die Cloudvorhersagen, die wir gemacht haben. Und das Irre ist ja immer, wenn man da sitzt und sich Gedanken macht über die Zukunft und sich vorstellt, wie schwierig das sein wird, Dinge zu tun. Also, wenn wir sagen, wie das mit Cloud wird problematisch, dann denken wir an das, was dann irgendwann mal als Row Hammer oder so präsentiert wird. Irgendwie aus einer Vm-Ausbrechen in die andere Reinschleichen und solche Geschichten über Hardcore, was weiß ich, irgendwas Fehlern in den Hauptspeichersystem, whatever. Aber wie sieht die Realität aus? Die Realität sieht so aus, dass es da AWS-Buckets gibt, wo halt keiner das Rechte-Management eingeschaltet hat. So, Row Hammer. Das ist ja allwern, braucht man gar nicht. Man muss sich einfach reinklicken, downloaden und Spaß haben. Die größten Datenleaks dieses Jahr waren tatsächlich so was, ne? Also, wo ... Terabytes. Terabytes von Kundendaten, allmöglichen, ja. Kommen noch ein paar Beispiele. Das andere Ding war irgendwie das Gelächter über das iPhone in 2007. Ja, so, ha, ha, ein iPhone, ha, ha. Ein Telefon, wo man alles Mögliche drauf ausführen kann, ohne dass irgendwer was fragt und solche Geschichten. Ähm, ja, und jetzt? Jetzt gibt's Sicherheits-Experten, die sagen, dass es für den Konsumer die sinnvollste Plattform, was die Sicherheit angeht. Obwohl ich ja glaube, dass diese Sicherheit vom iPhone so ein Markt getrieben ist, die ... Na, weil, wenn die Explods einmal teuer sind, und für iPhone sind die Explods am teuersten Momentan, dann haben alle Interesse daran, dass sie teuer bleiben. Also, wenn die ist nicht so häufig und nicht so schnell releast, weil das wäre ja nicht gut für alle anderen, die auch noch auf welchen sitzen. Ja, zero haben wir gleich noch was zu, ne? Mhm. Gut. Und den wollte ich noch mal bringen, weil ich den so gut fand. Der Buffer-Overflow durch zubereites Grinsen bei Biometrie. Ja, das ist dann so, wenn die Mundwinkel aus dem ... aus dem Gesicht sich herausbewegen, ja? Was passiert dann eigentlich? Gibt's dann Buffer-Overflow oder nicht? Hat jemand mal ein iPhone X und kann das ausprobieren? Ja. Ah, gut. Ja. Und, äh, das ist ein ... Da braucht man nichts mehr zu sagen, oder? Ich mein, Vista, Vista-Vista. Vista-Vista ist dieses Jahr noch gepatcht worden, mit WannaCry. Gerade so. Und, ähm, Mac OS X hat seit dem letzten Patch jetzt wieder zwei Faktor-Ortentisierung, ne? Username und Password. Aber ich meine, die Dinge gehen einem nicht aus. Ja, sie gehen einem überhaupt nicht aus. Outlook hat ein halbes Jahr bei Esmime-Mails, also bei verschlüsselten Mails, den Klartext mitgeschickt. Ah. Ah. So, und jetzt kommt der Schlag. Ist natürlich, also der Schlag in den Bauch ist, dass es nur passiert, wenn die Mails nicht HTML waren. Also nur ... Mails, wie man sie eigentlich verschicken sollte, waren betroffen. Ja, genau, nur plaintext mail. Ja. Gut, das Normalitäts-Update. Ähm ... Ein ... Username, Password-Kombo für einen funktionierenden Mail-Account kostet acht bis 15 Dollar. Äh ... Wir hatten in Deutschland 83.000 Cybercrime-Fälle in 2016 und 51 Millionen Euro Schaden. Ähm ... Ich frage mich immer, wo diese Zahlen herkommen. Ja. Also, ich meine, wie ist da jetzt WannaCry schon reingerechnet und der Anteil von den 300 Mrd. Masks schon drin, oder nicht? Und sind die geklauten Bitcoins dabei und deren Wert zu wachsen? Das ist eh die interessante Frage. Es gibt in Hamburg immer diesen schönen Witz, weil vor zwei Jahren, nee, vor 20 Jahren gefühlt, wurde da mal ein Container-Cokes oder so im Hafenbeschlagnahm ... Dann hieß es, ein Container-Cokes wurde im Hafenbeschlagnahm fünf Tonnen ... wurden beschlagnahmt. Und am nächsten Tag heißt es dann, alle vier Tonnen Cokes wurden in die Azar-Wartenkammer der Polizei eingelagert. Und vier Wochen später heißt es dann, dass alle zwei Tonnen Cokes vernichtet worden sind. Und hier ist es ja mehr so umgekehrt. Ja, wir haben hier für 51 Millionen Euro Bitcoin fest beschlagnahmt. Und übermorgen werden wir das für ... ähm ... ja. Wir werden irgendwas zwischen fünf und 500 verkaufen. Geldautomaten, Manipulation. Das Witzige daran ist irgendwie 56 Prozent in Berlin. Was ist da los? Ach so, das ist erklärbar. Ja, weil in Berlin stehen diese ganzen Geldautomaten rum, wo du schon immer denkst, es kann nur ein Scamming-Divise sein. So diese Digger, die da so kleine Säulen auf der Straße stehen, die man sonst eher in etwas armeren Ländern kannte, und die stehen in Berlin so überall rum. Also du kannst eigentlich so in so den etwas bliebteren Gebieten nicht eine Straße runterlaufen und mindestens fünf Geldautomaten und da ist halt die Möglichkeit, aus einem Gerät, was aussieht wie ein Scamming-Divise, an Scamming-Divise zu machen, ist halt offensichtlich zu verlockend. Wer hat hier da oben Geld abgehoben? Ja. Kennt jemand, jemand, der da oben Geld abgeholt hat? War es wenigstens rochs noch gutes Geld, was frisch? Ähm, genau, 50.000 MongoDBs, ähm ... 27.000? Nee, 50.000 bis August, in einer Woche im August, davon 27.000, das war ein Massaker. Ähm, die DEDAUS-Angriffe, die öffentlich dokumentiert worden waren, dieses Jahr, glaub ich, 510. Letztes Jahr hatte ich schon mal was von 600 gelesen. Mhm, und hinter den Kulissen gibt es so einzelne Angriffe, die wurden mal kurz mit acht oder Gigabit ausprobiert wurden. Wobei man da einfach nur sagen muss, es handelt sich dabei eigentlich um einen Fortschritt bei der Cloud-Entwicklung. Weil der typische Weg, wie halt so ein ... so ein Dinner-of-Service monetarisiert wird, ist halt ... Man schickt dann der Mail und sagt, guten Tag. Schönes Business haben Sie da. Ähm, Sie haben am ... Nehmen wir mal an, irgendein Freitag haben Sie ... Ihren offenen Verkaufstag, wo es irgendwie möglichst viel Umsatz geben soll. Es wäre doof, wenn Sie da ein Dinner-of-Service bekommen würden. Wir demonstrieren gerade mal, wie das funktioniert. Und dann bekommt man so eine Füllstunde so Dinner-of-Service, so mit irgendwie mehreren Dutzend oder 100 Gigabit. Und dann hört es auch pünktlich wieder auf. Und dann bekommt man eine momentan, ist handwerweise meistens Bitcoin-Adresse, was ich nicht so besonders klug finde, aber jedenfalls eine Zahlungs-Adresse, mit der man dann halt die Sicht daraus freikaufen können soll. Und die Leute, die schon länger in den Businessen sagen, na ja, wenn es genau eine Füllstunde ist und ein AWS- oder Azure-Cloud-Instanzen kommt, dann zahlen wir nicht. Weil, dann wissen wir, dass die Leute einfach nur die freien Accounts von diesen Cloud-Plattformen benutzen, um sich halt den DDoS-Traffic zusammenzuschnorren. Und das halten die sowieso nicht länger als ne Füllestunde nicht, bevor Amazon da eingreift oder Microsoft. Dann brauchen wir halt nicht zahlen. So ist vor Zutage die Logik des Geschäfts im Internet. Genau. Ein Salab-Laus, bitte, für ... Behaupt ist der verschlüsselte Traffic ja inzwischen über 50 Prozent, das richtig im Kopf habe, was ja schon mal eine echte Leistung für sich ist, ja. Ja, ähm ... Apps faken ist a thing, no? Also, grade insbesondere im Google Play Store, die ja da eher so ein bisschen mehr nachsichtig sind mit Apps. Aus dem Apple-Store mussten sie auch diverse Ethereum ... Ethereum-Vollets, ja. Genau, Dinger rauskehren. Letztes Jahr haben wir noch gesagt, alle App-Bewertungen sind fake. Aber nicht nur die App-Bewertungen sind fake, die Apps sind vielleicht auch fake. Aber dann gibt's bestimmt jetzt Fake-Apps mit echten Bewertungen. Kommt drauf an, was du dir leisten kannst. Mhm. Genau, und die ernüchternde Prozentzahl des Tages ist, dass Google Android-Sicherheits-Updates nur 50 Prozent der Geräte erreichen, die sagen, deren eigenen Statistiken. Ähm ... Ja, das ist ... ja, wenn man's glauben kann, ne? Das seh ich auch so. Da sind wir beim nächsten Punkt, ja. Statistiken, die man nicht selber gefälscht hat. Es gab mindestens zwei Zero-Day-Studien. Und eine der interessanten Zahlen war dieses ein Zero-Day, wenn er denn als solcher bekannt wird, lebt der schon sieben Jahre. Ja? Äh, also die Verwundbarkeit ist schon sieben Jahre im Feld und wird auch benutzt. Also ist schon sieben Jahre entdeckt, bevor sie dann öffentlich wird und der Hersteller aber trotzdem noch keinen Patch hat, okay? So, und jetzt kommt's. Definiert wurde hier aber diese Lebensdauer, ähm, als ... die Lebensdauer hört auf, wenn der Hersteller den Patch rausgibt. Und das find ich persönlich absurd, wenn man sich anschaut, wie viele Leute einfach immer noch nicht patchen, ja? Und wie viele Runden WannaCry schon gedreht hat durch die Systeme dieser Welt und noch drehen wird, weil die immer noch nicht fertig sind mit Patchen. Also dieses irgendwie Microsoft-Patch, das und das. Oder Google-Patch, jetzt das und das. Oder wer auch immer Patch, das und das. Das sind immer so Schlagzeilen, wo ich denk, gar nicht. Ja, Microsoft stellt den zur Verfügung. Und ob das dann irgendwo ankommt, ist echt eine zweite Frage, die leider nicht immer positiv zu beantworten ist. Wobei dieses Patching-Business ist ja ... Das erzeugt ja so ein ... Also, die länger so diese Mechanismen, dass die Hersteller zu bestimmten Tagen ihre Patches ausrollen und was dann so passiert. Es hat ja mittlerweile so eine gewisse Routine entwickelt. Also, es hat so ein Microsoft-rocknen Patch aus, die schmeißen alle Leute hier pro Anrevers, ingenieren diesen Patch-Figern, also finden raus, was der Back ist, der gepatcht wurde. Und dann gibt es dafür zwei Märkte. Der eine Markt ist natürlich, daraus ein X-Plot zu entwickeln und der andere das festzustellen, warum die Software, die man mit dem Patch verwenden wollte, leider crashed. So, weil der Grund, warum viele Leute nicht patchen, ist ja, dass sie halt Software haben, die halt nicht mehr funktioniert. Obwohl Microsoft sich eigentlich viel müh geht dabei. Und also, die innere Problematik ist, wie kriegt man die Leute zum Patchen? Natürlich, indem man die Qualität hochhält und so. Und da gibt es ja dieses schöne Gerücht, dass einigen Leuten aufgefallen ist, dass bei IOS, die richtig schicken Emojis, also die richtig schicken, neuen Emojis, immer nur an den wirklich wichtigen Security-Updates dranhängen. Ja? Also, damit die Leute auch motiviert sind zu patchen. Das handelt sich natürlich über eine wilde, haltlose Verschwörungstheorie. Aber ich glaube, wer beantworten kann, wie das für IoT funktioniert? Ja? Dem müssen wir dann echt dankbar sein. Also, bei Apple ist eigentlich so, Apple hat erkannt, wie man meint, ist das Stationary Target. Und haben ein Optimierungsvektor gefunden mit den Emojis, den ich eigentlich ganz bewundern würde. Bei IoT wird es, glaube ich, nur funktionieren über, geht wieder. Mein Licht geht wieder an nach dem Patch. Ja, vielleicht könnte man ja an jedes IoT-Gerät so ein kleines Display machen, wo dann irgendein niedliches Kätzchen blinzelt oder so eine neue Grimasse ziehen kann, was weiß ich. Du meinst sowas wie so Krypto-Ketts als Upgrade-Bonus so? Collect them all? Hm, ich glaube, da sind wir, da haben wir ein Geschäftsmodell. Ja, Collect them all. Ja, Pokémon-Patching. Wir brauchen die Gamification des Patchings, ne? Ja, okay. Ja, das war Computer-Massaker. Ging auch dieses Jahr noch ziemlich ungebirmst weiter. Am schönsten sind die Sprüche, oder? Also, wenn die Leute nach einer Metapher suchen für das, was da passiert ist in diesem Voting-Computer-Village. Genau, da hat er eine Sprache mit jemandem da waren, der meinte, ist ungefähr so, als wenn man Fische, also in einem Fass, auf Fische in einem Fass schießt, aber mit einer Gatling-Gun, mit explodierenden Kugeln. Und das Fass ist nicht mit Wasser gefüllt, sondern Benzin. Genau. Dann gab es noch PC-Wahl. Und wie hieß das andere Ding? Ivo-Elect, meinst du? Ja, ja, das steht noch aus. Also, ja. Das gab es noch nicht, richtig? Ja, das gab es noch nicht so richtig. Wie kann das denn sein? Ja, das war kurz vor der Bundestagswahl. Die Arme waren lang. Der Sommer war ganz okay. Shadowbrokers, genau. Dieses Phänomen, das wir Mailware haben, die weaponized exploits sind, die halt von Geheimniensten gebaut wurden, um andere Leute Rechner aufzumachen, wird, glaube ich, auch noch eine Weile bei uns bleiben. Genau, wir haben das hier unter E-Government aufgehängt, weil das ja Waffenschränke der NSA waren, die da einfach mal on-gro weggekommen sind. Und, ja, das sind dann wieder diese Zero-Day-Dinger, die halt uns noch Jahre begleiten werden, ja? Die sind dann halt schon seit zehn Jahren bekannt, nur halt nicht allen. Und Shadowbrokers und so sorgen halt dafür, dass sie dann doch mehr Menschen bekannt werden. Ja, der Umgang damit, wie so eine Government-Mailware in die freie Wildbahn kommt, ob die jetzt eigentlich über den Umweg von Antivirus-Software geht, oder ob sie durch Zufall ihren Weg fand in die freie Wildbahn, oder ob es sich um eine Geheimniensoperation handelt, hat uns ja so Diskussionsminister dieses Jahr relativ viel beschäftigt. Und klar ist halt, dass jetzt also der Nationalstaaten betrachten Antivirus-Firmen jetzt als National-Asset. Also, allen ist klar geworden, dass das, was bei so einer Antivirus-Engine nach Hause in die Cloud geschickt wird, dass dadurch aus interessante Sachen bei sind. Ob jetzt nun halt die Exploitool-Kids der Konkurrenz und die interessante Daten und Dokumente können alles mögliche sein. Und diese Strategisierung und Politisierung des Antimailware-Business zeigt sich dann eben auch im Umgang mit den Menschen, die da in diesem Bereich unterwegs sind. Genau, und dann kommt noch das zu, diese Problematik, dass Attributionen halt schwierig ist. Und dann hat man plötzlich so eine Situation, wie heißt da Michael Hutchins oder so ähnlich. Also, Malware-Tech-Block auf Twitter immer noch nicht aus den USA wieder ausreisen darf. Aber immerhin ist er schon mal wieder auf freien Fuß. Ja, was gab's noch, Ulkiges? Also, ich fand es eher, muss man sich noch mal genauer anschauen, was da eigentlich passiert. Aber das rollte an mir so vorbei, dass sich Leute in ihrem Twitter-Account auf Regionen irgendwas in Deutschland setzen. Weil dann gewisse Leute sie nicht mehr nerven. Also, weil die Twitter-Zinsur-Mechanismen für die Locale Deutschland offenbar ihrem persönlichen Geschmack besser entsprechen. Weil sie dann halt auch hier viele von den Nazis einfach los sind. Ja, erstaunlich, oder? Also, man erbt jetzt auf den sozialen Plattformen und kommt halt mit dem Standort. Und den kann man eben noch frei selber bestimmen. Irgendwie so eine Filterwolke. Und da fehlt mir die Dokumentation. Wir sind ja alle virtuelle Bürger von, ich weiß nicht, was werden. Also, vielleicht ist es ja dann schöner. Aber was man dann hat und was man dann nicht hat, das wüsste man eigentlich ganz gern. Aber wahrscheinlich wird man das reverse-engineern. Ja. Machine learning to the rescue. Ja. Apache Struts war, glaube ich, bei Equivax angeblich, dass die Vulnerabilität, die dafür gesorgt hat, dass die aufgehibbelt worden sind. Das ist so was Ähnliches wie die Schufa in den USA. Einer von den großen drei. Mit ungefähr 150 Millionen amerikanischen Datensätzen plus ungezählte in England und ein, zwei anderen Ländern. Also, komplette Profile. Celebite, Celebit, Celebite. War deswegen ulkig, weil das ja eine, wie nennt man so was? Genau, das ist ein Dienstleister. Wenn die Regierung dabei hilft, anderlerute Telefonen aufzumachen, kann man wohl einfach so sagen. Genau, eine Überwachungsfirma. Aber die ist ja für Überwachung da und nicht zum Schutz von Daten. 900 Gigabyte waren das. Wahrer Datenreichtum. Ja, Wahrer Datenreichtum. Und viel einfach so, AWS Buckets, voll mit Zeug. Die Republikaner haben auch ungefähr 198 Millionen, 200 Millionen Datensätze verloren. Und die Frage ist, wie viel ist das? Und die Antwort ist, das war einmal alles. Einmal alle Wähler. Ja? Und 1,1 Terabyte Daten zugreifbar, 24 Terabyte Daten nicht zugreifbar. So, ist das jetzt bemerkenswert? Naja, kommt darauf an, womit man das vergleicht. Weil das ist ja 2015 schon mal passiert. Und damals waren das weniger Daten. Was hatten Sie damals noch nicht hinzugefügt zu Ihren Wählerdaten? Na, die Information darüber, in welcher Hautfarbe jemand hat und welche politische Einstellung er hat. Das ist jetzt aber dabei bei den Daten, die da weggekommen sind. Man sieht, wie sich das weiterentwickelt. Das wird dann für Targeting benutzt, hat das geheißen. Und das ist die Richtung, das kann man so rausextrapulieren. Wir sehen mit Freude, dass auch Renzemwehr ganz vorne dabei ist bei Krypto. Genau. Es sind ordentliche Kryptoroutinen zu verwenden. Allerdings gilt auch bei Renzemwehr. Krypto-Implementierungen sind schwierig. Lieber die Referenzimplementierung verwenden, wenn es möglich ist. Jedes Mal, wenn man es selber macht, geht es eigentlich schief. Oder andersherum, wenn man sagt, man steht nicht auf ungefragte Krypto-Sicherheit für seine eigenen Daten mit den Kies anderer Leute, dann sollte man sich wünschen, dass Milwe-Ortoren in Informatikvolle so nicht aufgepasst haben und sich irgendein Krypto-Algorithmus ausdenken. Das ist dann viel lustiger. Vollbittverschlüsselung ist eine tolle Sache. Überhaupt sehen wir eine Entwicklung. Die Entwicklung orientiert sich an dem, womit man Geld machen kann. Ich glaube, das haben wir letztes oder vorletztes Jahr festgestellt, dass Renzemwehr im Moment eines der Geschäftsmodelle der Wahl ist, weil man halt so Geld verdienen kann. Aber es gibt da so irkige Dinge wie WannaCry, wo das ja nicht so richtig funktioniert hat. Und andere, die danach kamen, wo sich eh die Frage stellte, ob das echte Renzemwehr war oder nicht einfach wiper, also die Aufgabe hatten, die Rechner unbrauchbar zu machen. Diese Ungewissheit ist eigentlich strategisch ziemlich clever, weil wenn du denkst, hey, es ist ja nur eine Renzemwehr, kann ja nicht so schlimm sein. Man feststellt, dass diese Renzemwehr kein Customer-Support hat. Also, dass das Payment einfach nicht funktioniert und da auch keine Kies kommen und es keine Hotline gibt, die man anrufen kann. Also, erstens, so Payment muss funktionieren, zweitens der Turnaround, mit dem der Key man den Key daraus bekommt, der muss in Ordnung sein. Drittens, man braucht halt die Digitalwährung der Wahl, muss halt einfach erreichbar sein, ob jetzt ein Bitcoin oder Monero. Also, da haben sich so gewisse Industriestandards etabliert, an die man sich eigentlich als Renzemwehrautor halten sollte. Und so Abweichung von diesem Industriestandard, also Non-Compliance, kann man auch sagen, sind eigentlich dann doch mittlerweile ein Indikator dafür, dass es entweder totale Stimper sind oder eine andere Absicht dahinter steht. Und diese Frage zu beantworten, fällt halt nicht immer so leicht, weil es gibt da draußen auch wirklich Stimper. Ja, nicht jeder weiß, was er tut. Aber da ist dieses schöne Thema Kunden-Support und wie wir alle wissen, sind Kunden anstrengend. Und man will mit ihnen eigentlich nichts zu tun haben. Und deswegen werfen sich alle gerade mit so großer Begeisterung auf Coin-Miner. Ja, weil das dann wieder, da wird die Rechenleistung einfach von dem übernommenen Computer verwendet, um Coins zu generieren. Die werden dann nach Hause geschickt und die kann man dann hoffentlich in Geld umtauschen. Und muss überhaupt den Leuten am Telefon nicht erklären, wie sie jetzt Bitcoins kaufen. Also extrem günstig. Die ganze Operations wird viel billiger auf diese Art und Weise. Von Ransomware hat, glaube ich, irgendwie ein Drittel. Drittel der Malware ist irgendwie Ransomware. Stand irgendeine Studie von Mitte des Jahres oder August oder so was. Und jetzt bin ich mal gespannt, wie schnell sich Coin-Miner entwickeln werden, weil da die Gesamtkosten einfach günstiger sind. Also ist eigentlich die Frage, wie viele neue Coins haben. Es gibt quasi jede Woche noch ein paar Dutzend neue Coins. Wie viel davon Coins sind, die Ransomware-friendly sind? Weil wenn man sich so ein bisschen überlegt, so wie ein Ransomware hat ja, insofern eine Mobiltelefone denkt, bestimmte Beschränkungen. Man kann ja nur abends meinen, wenn das Telefon am Strom hängt und hat vielleicht auch nicht so viel Bandbreite und so. Und weil vielleicht die CP auch nicht übermäßig belasten. Eigentlich soll es doch möglich sein, Coins zu designen, deren Eigenschaften besonders Malware-friendly sind. Und dann ist natürlich die interessante Frage, wie entwickelt sich dann deren Kurs? Oder gibt es vielleicht auch so was wie Ransom-Coin-Mining? Dein Computer gehört ja leider für die nächsten zwei Wochen nicht. Danach ist wieder alles okay. Solange sind deine Daten leider verschlüsselt. Und du darfst sie nicht ausschalten? Genau. Die Strom. Ab und zu werden diese Bitcoins ja beschlagnahmt. Also, Word-Ever-Coins, ja, das ist mal nur ein Beispiel. Beschlagnahmt. Und dann stellt sich ja die Frage, wie geht man damit um so als Land? Oder, ne? Man darf ja dann irgendwann beschlagnahmte Dinge auch zu Geld machen. Und die erste Frage ist natürlich, ob dann ... Wie heißt das, der bunter Steuerzahler kommt und sagt, was hätte dir aber viel später verkaufen sollen? Oder früher, je nachdem. Und dann hatte ich ... Also, ich hatte halt so die Frage an einen befreundeten Anwalt, so rein rechtlich, wie ... Wie ist das? Da meinte ich, ja, es ist ziemlich lustig. Da wäre halt in justen Kreisen eine Weile drüber diskutiert worden. Weil man dafür natürlich noch keine Präzidenzfalle hätte. Also, was macht man mit, sozusagen, ungefähr so wie bewertet man es jetzt so wie beschlagnahmte Aktien? Das ist relativ selten, so kommt eigentlich selten vor. Und um ganz sicher zu sein, haben Sie dann wohl auch geprüft, wie es eigentlich ist, wenn man bei so einer Vermögensbeschlagnahme noch nicht eingelöste Lottoscheine beschlagnahmt. Und das war dann eine Analogie, die Sie zu Bitcoin relativ passend fanden. Also, die Antwort lautet da, ja klar, Sie können es dann halt verkaufen. Beschlagnahmtes Vermögen kann verwertet werden. Gut, jetzt müssen wir mal reinhauen. Ja. 2017, also noch mehr bemerkenswertes aus 2017, waren diese Bluetooth, Broadcom und andere Radio-Vulnerabilities. Und ... Du meinst, der andere Computer in deinem Telefon? Genau. Dieses andere Betriebssystem mit dem anderen Dingens, das da auch immer noch überall drin steckt. Weil in jedem Computer steckt ja inzwischen ein Computer, auf dem noch einen Computer hat, auf dem noch ein Betriebssystem steckt. Da gibt es auch was von Intel, ne? Lass mich überlegen, ich weiß es, ich weiß, es fällt mir gleich wieder ein, Intel ME. Wofür steht das noch gleich? Für, ich weiß es, ich weiß es. Minix Embedded. Oder war es die Minix Engine oder die ... Ja, na ja. Okay, wir können den auch zu Tode prügen. Die Millennium Edition. Danke, Publikum. So, aber eigentlich wollte ich hier für noch ein kleines Mengendiagramm machen. Also Bluetooth, Broadcom, also Wi-Fi, das wird ja dann lustig, in dem Moment, wo man eine gewisse Dichte erreicht. Ihr habt die Menge aller Bluetooth- oder Wi-Fi-Senderempfängeranlagen. Ihr habt die Vulnerabilities in diesen, also die Verwundbarkeiten und dann die dritte Menge ist, wie dich die nebeneinanderstehen. Ja, und das muss natürlich eine gewisse Überlappung haben, damit es dann von Punkt zu Punkt springen kann. Wann werden wir das erreichen? Hier? Ja, hier. Bei wem ist das Telefon in der Tasche gerade so ein bisschen wärmer geworden? Wer kennt jemand, das ist ein Telefon in der Tasche. Genau, schon. Nur einen Satz hierzu. Es gab mal wieder ein Facebook-Shutton-Profile-Artikel, was ich immer witzig finde, weil das so selten hoch popt, das Thema. Es gab auch keine neuen Erkenntnisse. Facebook hat Shutton-Profile. Und wofür sie die verwenden, war es kein Mensch. Was mich irritiert hat, war, dass in diesem ganzen Artikel nicht ein einziges Mal das Stichwort Geburtsdatum auftauchte. Für sich verwendet werden das eigentlich ziemlich klar. Sie werden halt monetarisiert. Gut. Interessant waren, wir haben ja mal so diese Rubrik, wo man morgens irgendwie so News liest und denkt sich so, eigentlich doch lieber vielleicht irgendwas mit Holz oder Orchideen. Nicht so dieses IT-Security-Ding. Und in diesem Jahr waren da einige dabei, die halt so Sensor-Side-Channel-Attacks waren. Also wo man Sensoren anders benutzt, als der Erbauer dieses Sensors darüber nachdachte. Also zum Beispiel diese Dolphin Attack, bei der man die Werbewanzen wie Alexa mit Ultraschall dazu bringt, Dinge zu tun, die der Mensch gar nicht hört. Also man hört da als Mensch vielleicht nur so ein Pfeifen und plötzlich bestellt Alexa eine große Ladung Katzenstreu oder so. Da stellt sich natürlich die Frage, wie lange dauert es eigentlich bis so Tiere, die halt zum Beispiel auch Ultraschall absonern können? Also wie lange dauert es bis man eine Fledermaus darauf trainiert bekommt? Welche Angriffsoberfläche bietet ein Papagei, ne? Aber ich dachte, wir hätten geklärt, dass man das gar nicht braucht mit dem Ultraschall, wenn man dafür sorgen kann, dass der Furby das Katzenstreu bestellt. Dieses Dolphin Attack ist schon total irre. Da sind ja auch noch andere Dinge, wie man zum Beispiel Machine Learning überlisten kann, indem man in Bilder noch weitere Informationen reinkodiert, die ein Mensch nicht sehen kann, die die Maschine aber sehen kann. Auch schöne Artikel darüber im Netz. Ja, das war so mein Liebling dieses Jahr. Ihr wisst ja, Ethereum ist ja so ein Smart Contract System. Also der Idee, man könne Verträge in Software gießen und das soll eine gute Idee sein. Und so nach mittlerweile über drei Jahren, wo diese Währung nun schon diverse Dutzend Milliarden Dollar virtuell wert ist, kam dann mal jemand auf die Idee, dass man vielleicht mal gucken könnte, ob die zugrunde liegende Programmiersprache, nämlich die Solidity, ob man daran auch Sachen schreiben kann, die auf den ersten Blick ganz normal aussehen, aber dann halt Dinge tun, wo man nicht so ohne weitersehen kann, dass sie die ausführen. Also Javascript. Ja. Und die Bugs, die das ermittelt wurden, waren alle ganz schön langweilig. Also es war jetzt irgendwie nichts Ernsthaftes dabei. Moment, die, die öffentlich gemacht wurden. Oder ja, die, die öffentlich gemacht wurden. Die eingereicht wurden. Ich meine, welche Irre reicht etwas ein, wo er weiß, dass es funktioniert? Wenn der Preis irgendwie nur so ein paar Tausend Dollar sind. Oder? Ja, also das ist ein klarer Fall von, man kann mit sowas auch zu spät sein. Also so ein, der Backbound, die muss in irgendeinem Verhältnis zum Erzielbaren Gewinn stehen, den man halt irgendwie, wenn man ihn einfach verwendet hat und ist ja leider nicht so weit vorne. Ja, eine der schönsten Geschichten, wo so ein bisschen unklar ist, ob sie wahr ist, war die Geschichte dieses Jahr von The Janitor, der eine schöne Geschichte auf einem Block, ein Blockplattform schrieb darüber, wie er angefangen hat, Plastoroute, also die Plastoroute-Apokalypse quasi im Alleingang aufzuräumen. Also halt sozusagen wie so eine Art Batman oder so, der halt irgendwie den angefangen hat, dann Plastoroute an Masse zu exploiten und vom Netz zu nehmen, damit sie nicht als Delos-Vehikel benutzt werden können. Da gab es einiges an der Diskussion darüber, wie viel davon war es, wie viel nicht. Das ist eigentlich auch egal, es ist eine schöne Geschichte. Und die interessante Frage ist, was passiert eigentlich, wenn man das Maschinen machen lässt? Also, was passiert, wenn es dann plötzlich eine KI im Netz gibt, die einfach nur aus pädagogischen Gründen angreifbare Kisten aufmacht und runterfährt? So, wir sind davon nicht allzu weit entfernt. Also, ich meine, es ist halt so ... Explod-Automation ist mittlerweile eine ganze Ecke weit gekommen und irgendwie so ein Ding einfach ins Herz zu stellen, was nichts weiter tut, als einfach dafür sorgen, dass die Kisten am Netz sind, die halt einfach angreifbar sind, nicht mehr allzu lange am Netz sind. Ich vermute, da werden wir relativ bald sein. Das ist nur mal so ein Datenpunkt. Es wurde ein Botnet-gefundenes Star-Wars-Botnet mit 350.000 Accounts. Das hat scheitermal irgendwie nichts gemacht zu haben auf Twitter. Und dann sind wir hier bei der Schallvorlage für dies hier. Also, der Roboter, der Los oder die KI oder was auch immer. Algorithmen-Sammlung, die losgeht und selber Systeme angreift. Für diese Systeme, die sie zu verteidigen hat, auch Patches produziert und die dann auch einspielt. Dafür gibt es jetzt eine Open-Source-Vorlage, die rausgekommen ist aus dieser DARPA Cyber Grand Challenge von dem Team Shellfish. Schöner Artikel in der Frack. Schaut euch das mal an. Bei dieser Cyber Grand Challenge ging es darum, eine Maschine zu entwickeln, also ein Programm zu entwickeln, das dann andere Programme angreift und eben auch für die eigenen zuschützenden Systeme Patches produziert. Ja, das macht dann ... Das macht dann ... Das ist mit den Pasta-Root dann klar, wenn wir Glück haben. Ja, Toto durch Autokorrektur war so ein Problempunkt, der dieses Hochkammer hintergrund ist, dass zumindest ein Fall bekannt geworden ist, wo die Autokorrektur in einer Textverarbeitung den Namen von Medikamenten replaced hat. Also in dem Fall ging es halt um Antibiotika, wo die Autokorrektur halt nur eines dieser Antibiotika kannte, aber nicht das andere, und dann halt das Wort korrigiert hat. Dummerweise ist bei Antibiotika die Auswahl des präzisen Medikaments relativ wichtig, weil es durchaus eine Menge Leute gibt, die so Allergien haben oder Unverträglichkeiten haben, die auch gerne mal fatal sein können. Und wir haben mal versucht, irgendwie rauszukriegen, wie weit dieses Problem so reicht. Es geht ja noch ein bisschen weiter, also nicht nur Autokorrektur, sondern so Ärzte diktieren ja auch ganz schön viel. Und dann haben wir mal gefragt so, Siri, wie viele Leute hast du schon umgebracht? Aber sie hat die Antwort verweigert. Dann bist du ja verdächtig. Und Autobaststraßen auch. 150 Stück, also irgendein Autobaststraßentyp, ist mal durchgetestet worden. Und ich glaube, die Videos davon durften dann nicht veröffentlicht werden oder so, aber angeblich gibt es da schöne Videos, wie die auf und zu fahrende Tür irgendwie versucht, das Auto zu zertrümmern, das gerade raus will aus der Waschstraße. Und Aussagen von den Leuten, die das gemacht haben, dass wenn sie es schaffen würden, einen Menschen einzuklemmen mit der Tür, dann könnten sie auch die Wasserstrahlen korrekt ausrichten auf denen. Also die Autobaststraßen ... Das wäre zwar kein perfektes Verbrechen, aber ein sauberes. Genau, schauen wir mal nach vorne. Auf die letzten ... ah, sieben Minuten, ah, das wird hart. Das Sensor- und Sensorqualitätsproblem ist ja immer schön, wenn die Kameras immer besser werden. Und ich glaube, wir hatten vor ein paar Jahren mal auf so einer App hingewiesen, die alleine mit der Selfie-Video-Kamera sehen kann, wie man atmet, weil die einfach auf die Schatten achtet, hier auf der Brust, ja, und die auch den Puls messen kann. Und zwar über die Kamera, über das Pulsieren des Blutes hier oben in den Wangen und solche Sachen. Und die ... Was passiert hier? Die Sensorik wird immer besser. Die Bildwiederholraten steigen. Und dann sind wir jetzt bei dem Thema Micro-Expressions aufnehmen und eben gucken, ob da einer sich wohlfühlt, unwohlfühlt, nervös ist, nicht so nervös ist, etc. Da geht jetzt immer mehr, und das wird auch nicht aufhören. Und diese, was dabei herauskommt, sind so Sachen, wie was wir gerade eben hatten mit Ultraschall und den Werbewanzen, dass bei etlichen Sensoren man halt auch nicht mal sagen kann, auf was die dann noch alles so reagieren. Das heißt also, so Adversarial-Sensor-Input wird auf jeden Fall ein sehr interessantes Problem werden, weil natürlich immer mehr, wie ist das schöne Wort, cyberphysikalische Aktorsysteme, also, sprich, Dinge, die nicht beschädigen können und von einem Computer gesteuert werden, sich in der freien Weltbahn befinden. Und die werden natürlich von Sensoren gesteuert, indirekt. Genau. Und dann sind wir wieder bei dem Thema, was ist da eigentlich verbaut? Und inwiefern wurde das G-Baut mit dem Zweck, für den es jetzt eingesetzt wird. Es gibt diesen schönen Spruch, wir stehen auf den Schultern von Riesen und können weiter schauen als die vor uns. Ja, und es ist halt so, wenn ich die Library da drüben einbinde, dann habe ich jetzt tolle Krypto, glaub ich. Ja, und wenn ich diese Library da drüben einbinde, dann kann ich jetzt einen Sensor, Ultraschall-Sensor einbinden und der sagt mir, wie viel Zentimeter Abstand das noch sind bis zum Fußgänger da vorne. Oder wenn ich diese Library einbinde, dann brauche ich leider Internet, damit mein Küchenthermometer mir die Temperatur anzeigen kann, weil es leider sich seinen Fond von Google holt. Aber dafür schafft man es möglicherweise, in der Temperatur- und Feuchtigkeitsanzeige unter 10 Millionen Zeilen kurzzubauen. Vielleicht. Also, wir stehen da schon auf den Schultern von Riesen und können weiter schauen als andere. Und das heißt ja auch immer, don't roll your own Krypto. Mach deine Krypto-Soffersäle nicht selber, nehm' ne Library, die gut ist. Aber wer patcht die denn dann später mal? Und das ist eben das Problem, die Riesen sind nicht so ... Die sind nicht so gesund. Ähm, die haben vielleicht nur ein Auge. Ja, und stehen eigentlich auf Krücken, aber das ist so schlecht zu sehen, weil die Hosenbeine so lang sind. Weiß auch nicht, also da fehlen mir so ein bisschen die Bilder, aber letztendlich irgendwie die ... Wir stehen vielleicht gar nicht auf den Schultern von Riesen, sondern mehr so ... Kartenhäuser. Kartenhäusern. Müllhalden. Ja, die allwissenden Müllhalden. Ich glaube, das ist die richtige Analogie dafür. So, und jetzt kommt die schlechte Nachricht. Das ist das Best-Case-Szenario. Weil wir haben auf diesem Kongress schöne Beispiele dafür gesehen, was passiert, wenn einer sagt, Riesen, die sind mir zu teuer. Der ist außerdem zu groß und der ist so viel. Und es ist ein Riese, der ist gar nicht von hier. Ja, ich leh'n ja Riesen grundsätzlich ab, aus religiösen Gründen. Ähm ... oder ... Ich will auch ein Riese sein, ich will auch ein Riese sein. Du bist nur 1,30, das ist diskriminierend. Ähm ... Also, wenn dann jemand auf die Idee kommt, dass er das einfach selber implementieren kann. Weil wie schwer kann das sein, ja, so'n Bezahlsystem zu implementieren? Wie schwer kann's denn sein? Hey, man könnte ja mal fair Classic dafür benutzen. Ist schon da. Es funktioniert ganz super. Und Classic heißt doch eigentlich ein Klassiker. Klassiker sind doch immer gut, oder? Ja. Gut abgehangen. Gut abgehangene Riesen. Ähm ... genau. Äh ... Also, dieses Problem, was passiert, wenn wir anfangen, mit Machine Learning auf ... den Menschen loszugehen, begleitet uns diesen ganzen Kongress so seit der Kino von Schaltz-Dross hier. Und wir haben das doch das ganze Jahr so in den Vorhersagen des nächsten Jahres gesehen. Es gibt ja diese YouTube-Videos, diese autogenerierten Kinder, Anfix-Videos und ... Wir haben da, glaube ich, den Anfang überhaupt noch nicht gesehen. Also, wenn wir uns jetzt mal die Technologie-Komponenten überlegen, wir haben ... mittlerweile ziemlich gute Text-to-Speech und relativ gut funktionierende Speech-to-Text. Und das heißt also, mit einer Maschine telefonieren, das erste Mal, dass wir mit einer Maschine telefonieren, dass wir ein Werbeanruf sein. Der dich anruft und sagt ... Oh, gab's schon? Und war's okay, oder ... hatte sie Verständnis mit dir? Also, was, ich glaub, das wird daran scheitern, dass kein Mensch mehr sein Telefon zum Telefonieren benutzt. Ja, dieses Daten sind ... das ... Öl oder was auch immer, des 21. Jahrhunderts. Äh, war ja letztes Jahr so einer dieser Sprüche, über die wir uns irgendwie ... kratzt haben so, was war jetzt an Öl eigentlich so gut, ja? Wir haben irgendwie angefangen, über Kriege zu führen, wir haben damit unseren Planeten im Wesentlichen vernichtet. Eigentlich schreiben sich die Witze von selber, ja? Also, Daten sind das Öl oder was auch immer, des 21. Jahrhunderts. Okay, also, das mit den Kriegen ist klar. Also, wir werden die Ozeane damit vollmüllen. Was ist denn da das Equivalent-AWS-Buckets? Ja ... Und die ... Naja, also, halber hat da was Schönes neulich geschrieben, der meinte so, also, Daten sind zwar ... sind eigentlich nicht so sehr das Öl, des 21. Jahrhunderts, Daten sind mehr so wie so ein ... das Fass, irgendwie mit brennendem Benzin, was du im Vorgarten stehen hast. Und man kann sich zwar ein bisschen dran wärmen, aber sonst hat's nur Nachzeige. Man kann das auch noch weiterspinnen, nicht? Wenn Data the New Oil ist, dann ist Data auch the New Snake Oil. Und da sind wir dann wieder beim Thema Statistik ist hart. Also, das, was man aus Daten rauslesen kann, das muss man auch erst mal können. Und wenn man das eben nicht kann, dann kann man einem mit Daten ja auch alles Mögliche verkaufen. Ja. Und was ist dann Zucker im Tank? Hm. Hm. Äh, wir haben doch noch ein bisschen was. Hm. Ja, Social Media, Facelifting wird sicherlich ... Also, es wird ja zum Tag schon betrieben. Es gibt also Professionals, die einem so den Instagram-Account aufhübschen und dafür sorgen, dass man irgendwie schön und beliebt aussieht. So, äh, zusätzliche alternative IDs werden immer wichtiger, weil ... also, es gibt da so Länder, wo man zum Beispiel halt irgendwie Schwierigkeiten hat, in ein Hostel anzuschicken, wenn man keine Facebook-ID hat. Und da will man natürlich eine besonders schöne, geklinnte, disinfizierte, familienfreundliche, unkontroverse ID für haben. Genau. Und für die, die das nicht kaufen wollen, die können sich ja dann eine ... App zulegen, die das, die ihnen dann dabei hilft, ihr Social Score-Management zu optimieren. Am besten AI-Gestützt, oder? Hm, ich mein, die China steigt da jetzt voll in das Thema ein, oder? An dieser Social Score-Geschichte, ja. Ja, und dann wird der Social Score benutzt, um zu gucken, ob man den Kredit kriegt oder nicht. Weil mit Geld kriegt man ja die Leute. Und da soll dann alles Mögliche rein, so auch, was die Regierung gerne hätte, im Sinne von, wenn einer ... einen Parking-Ticket nicht bezahlt hat, dann ist das sehr viel schwerwiegender, als wenn er seine letzte Telefonrechnung nicht bezahlt hat. Und jetzt hab ich auch was gehört von Gesundheitsdaten, sollen da auch einfließen. Und dann fragt man sich ja immer, ob die Konsequenzen daraus sein, und die Antwort, da ist klar. Schokolade-Schwarzmarkt. Also, angesichts der Arbeitsteilung im Mail-Ware-Sektor, wo man sich dann mal fragt, okay, die machen irgendwie Speckend und irgendwie das Payment, und dann gibt's die Kommatum-Kontrolle, und dann gibt's die Leute, die Exploits bauen, und die einen Dropper bauen, und die sagen, was sie in den Käse gehen sollen. Es wird mittlerweile ein richtig komplexes Environment, und wir vermuten, dass es das schon gibt, den Mail-Ware-Wertschöpfungskettenprüfer, wo man sich ja was davon ab von dem Coin-Miner, oder was auch man da gerade deploy hat. Das heißt, also, das muss man auch irgendwie ordeten. Also, man hat ja braucht so Standard. Die Compliance im Mail-Ware-Sektor wird sicherlich ein großer Arbeitsmarkt werden. Also, ich hab mir immer gesagt, Automatisierung ist nicht so schlimm, weil es wird neue Arbeitsplätze geben. Und möglicherweise sehen wir hier gerade in den Anfang von so was. Neue Arbeitsplätze, die wir früher noch nicht dachten, so Compliance-Auditor im Mail-Ware-Sektor. Ja, das ist eine ... So, wo ist ... der IoT-Geisterjäger? Ja, und ... Wir hatten letztes Jahr den IoT-Wünschel-Routengänger. Ein IoT-Wünschel-Routengänger ist einer, der die IoT-Geräte findet, die überhaupt da sind. Ja? So, und der Geisterjäger ist, wie ihr aus dem Film wisst, derjenige, der die dann einfängt. Auf eine Art und Weise, wo man dann ... sie noch hinterher analysieren kann. Also, ich meine, wenn so ein IoT-Gerät mit Malwe befallen ist, und man dann rauskriegen will, was da eigentlich Böses draufläuft, dann darf man da ja nicht den Stecker ziehen, weil dann ist es ja weg. Das heißt, man braucht da so einen Strahlungskreuzungs ... Ne, Entschuldigung. Nicht die Strahlungskreuzung. Das ist so über 2,3 an 230 Volt. Strahlengrozen, nicht Strahlengrozen. Genau, fünf Volt, zwölf Volt, Gleichstrom-Dinger. Muss man das abgreifen können und rauszutragen, um dann den Speicher auszulesen. Also, dieses ... Das könnt ihr dann in der Verwandtschaft üben. Also, ich finde immer, Jobs gut, wo man klein anfangen kann. Ja? Genau, erst mal das Sempel auf dem Plaster-Router bei der Verwandtschaft isolieren, was man später üben kann, auch unter ... Weil, das sind alles gebrauchte Jobs, ja, Industrie 4.0 kommt. Äh ... Guten Tag, ich muss gerade mal ihr Fertigungszentrum mitnehmen. Ja, und ich muss den Drehstrom dranlassen, damit die Mehrwert drauf bleibt. Ich brauch das Sempel. Ja, Quanten-Competence-Lizium ... Wissen wir natürlich nicht. Also, Quanten-Unscharfe kennen wir ja. Es ist halt irgendwie schwer zu sagen, ob's jetzt nun kommt und es sieht so aus, als wenn wir nächstes Jahr da mehr Fortschritte sehen könnten. Wenn es da nicht fundamentale Probleme gibt, mit denen wir heute noch nicht wissen, ob sie löstbar sind, also, insbesondere, ob das Rauschen in den Griff zu bekommen ist. Aber wenn das passiert, könnte es sein, dass wir nächstes Jahr relativ große Fortschritte daran sehen, dass man Quanten-Computer mit traditionellen Fertigungsmethoden der Halbplatteindustrie bauen kann. Oder zumindest irgendwas, was sich so anfühlt und so aussieht wie ein Quanten-Computer. Dann haben wir so ein bisschen rumgefragt. Was geht dann so nächstes Jahr schief? Also, was sind denn so die Sachen, die bei Krypto halt jetzt noch so die nächsten Apokalypse drohen werden? Und die Antwort war eigentlich so von allen, die wir so gefragt haben, die früher auch schon mal für so kleine Apokalypsen gesorgt haben, dass ... also, es wird halt mehr so was wie Bleichenbacher geben, es wird halt mehr schlechten Zufall geben, insbesondere auch gerne ein hardware-implementiertem schlechten Zufall. Wir erinnern uns an dieses kleine Problem mit Infinion und Estland dieses Jahr. Zusammengefasst kann man sagen, was gibt's Neues? Es gibt nix Neues, das Alte ist noch nicht alle. Ja. Ja. Ja, Cloud-Exorcismus ist natürlich ein etwas, was man ... Also, wir hatten ja so in den letzten Jahren mal wieder so gesagt, okay, man braucht so Alten-Heime für Geräte, die halt irgendwie mit dem Internet nicht mehr so ganz klar kommen. Und mittlerweile haben wir aber hardware, wo man sagt, eigentlich geiler hardware, ne? Also, zum Beispiel halt so eine Werbewand, so schicke Mikrofone, ordentlicher Lautsprecher, dicker Prozessor, so leider ... mit diesem lästigen, nach Hause-telefonieren-Problem. So. Und da braucht man eigentlich so ein Exorzisten, der dann mit dem Kreuz dafür sorgt. Das Ding, halt, er sich seine schlechten Gewohnheiten, seine schlechte Seele entweicht. Und man ihm eine neue Seele entweicht. Genau, wir haben das hier noch unter der Abteilung Sport. Weil wir noch nicht sicher sind, dass man sich damit ... wirklich eine Familie ernähren kann. Wenn ihr euch noch mal den Vortrag anschaut über den Staubsauger-Roboter aufmachen hier, wo man dann sehen kann, dass Staubsauger-Roboter bessere Security haben als manche Banken. Da ging es ja auch um das Thema, wie macht man da die Klaut raus? Weil das Gerät ist vielleicht gar nicht so schlecht. Und ja, das wird noch mehr werden. Und wenn man das dann mal gemacht hat, dann kann man daraus vielleicht auch ein Geschäftsmodell, das von Sport-Upgraden Richtung Geschäftsmodellen, dass man dann sagt, ich hätte gerne den Staubsauger, aber ohne Klaut. Ja, und keine Ahnung, ob man den dann da kauft und dann dahin einschickt, um die Klaut entfernen zu lassen oder ob das mit Hausbesuchen funktioniert. Oder mit Fernwartung, oh nein. Oder mit so kleinen Prothesen. Also sozusagen wie so ein Aluhut. Der, der die Klaut fährt. Genau, ja. Also da geht was. Und die letzte Sache war, es sind ja relativ viele Bitcoins, die da draußen sind, von denen ich Leute sage, ich habe es auf Kongressie schon so durch. Fünfmal gehört so. Eigentlich habe ich ja auch noch so ein paar, aber entweder ist die Platte kaputt, man weiß nicht mehr, wo die Platte ist. Aber ich kann mich echt ums verplatzen, nicht mehr an diese Passfresser erinnern. Und nun muss man dazu sagen, Hypnotiseur ist im Gegensatz rechts an Wold ein Beruf, bei der es nicht nur eine Tarifierung nach Stundensatz geben kann, dass eine Erfolgsbeteiligung möglich. Genau, damit sind wir schon rum. Wünschen euch allen einen guten Weg nach Hause. Und wie immer, einen schönen Rutsch in das Jahr 1984.