 Hallo und willkommen zurück zu der X-Hine-Stage. Der nächste Gespräch wird in Deutschland gehalten, aber es wird eine Live-Translation sein, die du jetzt switchst. So, jetzt also weiter auf Deutsch. Willkommen zurück auf der Lichtung der Stage hier vom X-Hine. Ich bin euer Harold Karl, aber ich habe heute eine etwas komische Doppelrolle, denn der folgende Talk, da bin ich auch Speaker. Deswegen mache ich jetzt erstmal vor allem den organisatorischen Teil. Ihr könnt Fragen zu dem folgenden Talk stellen, auf Twitter und Mast zu tun unter dem Hashtag RC3X-Hine oder auf hackend im IRC im Channel RC3-X-Hine. Ja, jetzt bin ich, jetzt switche ich in meine Rolle als Karl von Zerforschung und Lillit. Was ist eigentlich Zerforschung? Genau, also Zerforschung. Wir sind ein Kollektiv von einer Menge jungen Menschen, weniger als 10 momentan, so genau ist das nochmal schwer zu definieren. Und wir haben uns im letzten Jahr irgendwie so zusammengefunden, verteilt über ganz Deutschland, miteinander kommunizierend über Signal und Big Blue Button. Und ja, wir haben irgendwann angefangen aus Interesse, uns Technik anzuschauen. Und seit wir damit angefangen haben oder innerhalb des letzten Jahres vor allem, sind wir dann von Sicherheitslücke zu Sicherheitslücke gestolpert. Und heute in dem Talk wollen wir uns damit beschäftigen, was wir gerne von einem Jahr gewusst hätten, bevor uns das alles passiert ist. Ich habe vor einem Jahr schon gesagt. Also soll ich was sagen? Ich bin Linus vom Chaos Computer Club. Der Chaos Computer Club ist eine Vereinigung von Heckerinnen und Heckern, eine der größten Vereinigungen, wenn ich die größte Europa ist. Potenziell haben einige von euch auch schon mal davon gehört. Wir machen Schwachstellen, Suche und Schwachstellen. Meldung schon etwas länger als ein Jahr. Und ich habe der Zerforschung anfangs ein bisschen mit Rat und Tat zur Seite gestanden. Und in diesem Vortrag wollen wir nicht nur das besprechen, was die Zerforschung euch mitteilen möchte, darüber, wie man meldet, sondern auch so ein bisschen, wie man auf eine Meldung reagiert. Denn wenn ich eine Sache auf jeden Fall beobachtet habe, ist das das so. Ich hatte zwischenzeitlich den Eindruck, dass die Unternehmen oder die Betroffenen besser reagieren. Und in diesem Jahr haben sie teilweise besonders ungünstig und doof reagiert und das wollen wir in diesem Vortrag auch ein bisschen berühren. In dem gesamten Vortrag werden wir immer wieder Verweise auf allerlei Paper oder andere interessante Informationen machen. Dazu haben wir eine Linkliste, eine Shownote zusammengestellt. Die findet ihr unter rc3.zerforschung.org. Und da wird dann nach dem Vortrag auch ein vollständiges Skript erscheinen, falls ihr das Ganze nochmal nachlesen möcht. So, dann will ich uns aber nicht länger aufhalten. Eine Warnung noch. Der nachfolgende Film wird ermöglicht durch Grinch-Platzierung und damit Matz ab. Oh, wow. Das sind einfach alle Daten von der ChaosCat Community. Oh, Linus, das ist auch in den Daten. Ey, Karl, soll ich das verzwittern? Soll ich das verzwittern mit der ChaosCat Community? Okay, da mach ich das. Ich tag mal noch in die Notziffer. Ey, Notziffer. Schau mal deine Daten. Hat er doch gesagt, Sicherheitslücken verzwittern. Aufmachen, Polizei! Stopp, so nicht. Das, was wir jetzt gesehen haben, das war Full Disclosure. Das bedeutet, dass jemand eine Sicherheitslücke findet und diese dann einfach vollständig veröffentlicht. Das kann euch in richtig krasse Schwierigkeiten bringen und ist vor allem gefährlich für die Menschen, deren Daten dadurch öffentlich werden. Und es ist auch einfach nicht cool. Es hat schon ein Grund, warum es in der Hackerin in Ethik heißt, öffentliche Daten nutzen, private Daten schützen. Und um diesen zweiten Punkt geht es uns heute. Denn wir beschäftigen uns mit Responsible Disclosure. Also, in einem Prozess, wie ihr einem Softwarehersteller Bescheid sagt, dass ihr dort eine Sicherheitslücke gefunden habt. Es spricht nichts dagegen, die Lücke hinterher trotzdem zu veröffentlichen, aber halt erst hinterher, wenn der Hersteller sie geschlossen hat und alle Risiken behoben sind. Und wie man das richtig macht, das schauen wir jetzt. Nicht alles, was im Internet kaputt ist, ist auch direkt ein Datenleck. Trotzdem wollen wir uns heute wirklich nur um die kümmern. Also genau diese eine Art von Sicherheitslücke, wo es Datenabflüsse in Online-Diensten gibt. Wir fokussieren uns heute auf Dienste-Apps und Webseiten, die auch nur von einem Hersteller betrieben werden. Also, wir meinen damit keine Standardsoftware, wie etwa ein WordPress oder ein Moodle, die jeder auf seinen eigenen Servern installieren kann. Wenn ihr z.B. bei einer Lernkarten-App herausfindet, wie ihr die Namen aller Nutzerinnen abrufen könnt, dann ist der Talk hier genau richtig für euch. Wenn ihr das nächste Log for Shell oder Heartbleed findet, dann müsst ihr ein paar Sachen komplett anders machen, als wir das heute erklären. Das wäre aber für diesen Talk auch einfach ein bisschen zu viel. Aber da könnt ihr euch dann an Linus wenden. Der kann euch da bestimmt weiterhelfen. Ja, das kann ich machen, schreibt einfach an disclosure at ccc.de. Super, da kann euch Linus weiterhelfen. Dann habe ich doch gerade gesagt. Ganz genau. Also, wieder zurück zu unserem Thema, die Datenlücken. Bevor ihr in irgendeine Richtung losrennt, wäre es gut, wenn ihr euch zu aller, allererst überlegt, wie schlimm ist diese Lücke eigentlich. Davon hängt dann nämlich ab, was ihr tun solltet und wie schnell. Es ist total klar, jede Sicherheitslücke muss gemeldet werden. Aber genauso ist auch klar, nicht jede Sicherheitslücke ist gleich schlimm. Wir schauen uns erst mal an, wie man eine Sicherheitslücke ein bisschen besser einschätzen kann. Dabei geht es vor allem darum, was für eine Art von Lücke es ist, wie viele Menschen betroffen sind und in welche Daten es genau geht. Zuerst, was für eine Art von Lücke ist es? Könnt ihr die Daten lesen, verändern oder sogar löschen? In unserem Beispiel vom Anfang, da ging nur das erste. Das ist aber auch schon schlimm genug, denn wir können eine Liste aller Namen, Adressen und keine Ahnung, was das noch für Daten waren, runterladen. Wir können die Liste aber nicht verändern und zum Beispiel nicht allen, denen der Vornamen Karl gibt. Außerdem können wir die Liste nicht löschen. Auch das ist wichtig, denn zur Sicherheit gehört eben auch, dass Daten nicht einfach verschwinden können. Wenn es um persönliche Daten geht, dann sind die letzten beiden Punkte verändern und löschen der Daten auch echt ungünstig. Aber es ist eigentlich schon schlimm genug, wenn die Vertraulichkeit von Daten verloren geht. Wenn also Menschen Einblicke in Daten haben, die da absolut nichts verloren haben oder anders formuliert Daten leckst. Davon gab es in diesem Jahr echt schon genug Fälle. Wir haben zum Beispiel bei vielen Corona-Testzentren, in einigen Audio-Chat-Diensten und sogar in einigen Schul-Apps Sicherheitslücken gefunden. Und überall konnten wir auf die Daten von vielen, vielen tausend Leuten zugreifen. Mal ein Beispiel. Vor einiger Zeit haben wir eine Sicherheitslücke bei einem Testzentrenanbieter namens Schnelltest Berlin veröffentlicht. Die hatten sich so ein tolles System gebaut, bei dem man sich online für seinen Schnelltest registrieren konnte und dort dann auch das Testergebnis bekam. Wir haben uns dort testen lassen und danach mal genauer geschaut, wie das System eigentlich funktioniert. Dabei haben wir eine Schnittstelle gefunden, über die eine Liste aller im System registrierten Personen abgerufen werden konnte. Und über eine weitere Schnittstelle sogar deren Testergebnis. Das waren insgesamt fast 700.000 Tests mit allen Daten, Name, Adresse, E-Mail-Adresse, Telefonnummer, Personnummer und sogar das Testergebnis. 400.000 Personen waren betroffen. Doch in diesem Fall kam es noch schlimmer. Wir konnten nicht nur alle Tests aus dem System lesen, sondern selber auch neue anlegen und deren Ergebnis speichern. Wir konnten also für beliebige Personen eintragen, sie hätten einen negativen PCR-Test gemacht, ohne dass sie je ein Testzentrum von ihnen gesehen hätten. Wir haben das mal versucht. Für Robert Koch geboren 1843. Gut, dass der Test negativ war. Mit 178 Jahren wäre so eine Corona-Infektion sicher voll gefährlich. Damit konnten wir also fremde Daten lesen und neue Daten ins System schreiben und ihr ahnt es schon, wir konnten auch Daten aus dem System löschen. Eine Katastrophe aus Sicht der IT-Sicherheit und der Gesundheit. Wenn ihr nun wisst, was ihr mit den Daten machen könnt, geht es weiter mit der Einschätzung, wie viele Personen betroffen sind und welche Daten dieser Personen mehr oder weniger frei rumfliegen. Denn offensichtlich ist eine Lücke mit vielen Betroffenen schlimmer als eine mit wenigen. Wenn also eine große Anzahl Menschen betroffen ist, sind wir schon bei Alarmstufe dunkelrot. Aber so ganz pauschal kann man das auch nicht sagen. Denn wenn es um höchst private Daten geht, dann sind auch wenige Betroffene schon eine sehr große Sicherheitslücke. Ein paar Beispiele für solche Daten stehen schon in der Datenschutzgrundverordnung, in Artikel 9. Also zum Beispiel Gesundheitsdaten, wie Corona-Testergebnisse, Daten zur sexuellen Orientierung, zur weltanschaulichen Überzeugung, zur Gewerkschaftszugehörigkeit und noch ein paar mehr. Wenn es also auch noch besonders sensible Daten sind, dann sind wir bei Alarmstufe dunkelrot. Und das ist der Punkt, wo wir allerspätestens anfangen sollen, alles, was wir herausgefunden haben, aufzuschreiben. So, es war einmal in einer Software vor langer Zeit... Moment, Karl, ein Report, das ist doch kein Roman. Also noch mal einen Schritt zurück. Nehmen wir an, wir haben eine relevante Sicherheitslücke gefunden und wissen durch die Kriterien von eben, wie schlimm sie ist. Und jetzt wollen wir uns an das Responsible Disclosure-Verfahren wagen und die Sicherheitslücke melden. Um ehrlich zu sein, das ist uns jetzt schon sehr oft passiert, aber eine ordentliche Portion Adrenalin, die haben wir dabei immer noch im Blut. Ist ja auch völlig normal. Da hat man höchstwahrscheinlich gerade Daten anderer Leute gesehen, die man nicht hätte sehen sollen. Da geht der Puls halt schon mal hoch. Deshalb ist das Allerwichtigste in so einer Situation erstmal Ruhe bewahren. Noch mal nachschauen, habe ich da gerade wirklich diese Sicherheitslücke gefunden und habe da wirklich diese Daten anderer Leute gesehen, die ich nicht hätte sehen sollen. Ich weiß, guckt einfach nochmal nach, das klingt immer einfacher, als es ist. Ganz wichtig ist dabei immer, müllt nie einen Daten anderer Leute. Ich meine, das steht schon in der Heckerinethik. Legt euch also, wenn immer es geht, einen zweiten Account an oder fragt Freundinnen, wir deren Account benutzen könnten. Wenn ihr glaubt, dass ihr Daten verändern oder löschen könnt, bei denen das gar nicht hätte möglich sein sollen, dann versucht es logischerweise auf gar keinen Fall an den Daten anderer Leute. Wenn dann wirklich alles so ist, wie ihr es vermutet habt, dann geht es an Schreiben. Ihr dokumentiert die Lücke und das gleich für mehrere Zielgruppen. So ein Dokument, das geht nämlich üblicherweise durch mehrere Hände. Zuallererst kommt das zu Leuten, die nur die ersten paar Sätze lesen werden, die dann aber dafür verantwortlich sind, dass das Dokument bei denenjenigen ankommt, die auf den Rest eures Geschreipses verstehen können. Deswegen sollten die ersten Sätze für alle Menschen verständlich sein und die wichtigsten Fakten sollten da direkt rein. Dazu gehören zum Beispiel, wie viele Leute sind von der Sicherheitslücke betroffen und welche Daten von diesen Leuten sind betroffen. Verzichtet dabei möglichst komplett auf die technischen Details. Dafür habt ihr im Report später noch genug Platz. Wenn ihr die Lücke auch an offizielle Stellen, wie das Zertbund oder die Datenschutzbehörden meldet, ist es super, super, super sinnvoll, direkt auch zu beschreiben, um was für einen Dienst oder Produkt es geht. Weil es hilft diesen Stellen dann nämlich dabei, die Lücke schneller und besser einzuschätzen. Stellen wir uns zum Beispiel rein fiktiv vor, die ChaosCat Community hat eine App veröffentlicht, über die die Mitglieder ihre Daten verwalten können. Die hat eine Sicherheitslücke und ihr habt die gefunden. Dann könnt ihr ihr zum Beispiel sowas schreiben. In der Mitglieds-App der ChaosCat Community können durch eine Sicherheitslücke die Daten aller Mitglieder abgerufen werden. Dazu gehören Name, Adresse, Bezahlstatus und Impfstatus. Und den Rest, den schreibt ihr dann für eine technisch halbwegs Fidget-Zielgruppe. Die wissen, was eine API ist und wie man die benutzt. Schreibt also technisch präzise, aber kurz und verständlich. Schreibt keine Bachelorarbeit, kein Roman, sondern eine gute Dokumentation. Da können Screenshots helfen, um das Problem besser zu beschreiben und nachvollziehbarer zu machen. Dabei beschreibt ihr erstens, was genau die Sicherheitslücke ist. Und in unserem Beispiel könntet ihr das zum Beispiel sowas schreiben wie. Ich habe die API der ChaosCat Community Mitglieder-App aufgerufen und herausgefunden, dass sich über den api-end.slashmembers.id durch das Hochzählen der Mitgliedsnummer ID persönliche Daten aller Mitglieder abrufen kann. Ein Profil sieht dabei zum Beispiel so aus. Zweitens, die Auswirkungen. Auch relativ kurz. Für diesen Fall zum Beispiel. Durch diese Sicherheitslücke habe ich Zugriff auf die gesamte Mitglieds-Datenbank der ChaosCat Community. Kann also von allen Mitgliedern Name, Adresse, Geburtstatus, Bezahlstatus und natürlich, dass sie Mitglieder sind erfahren. Das ist zum einen wichtig, damit die Gegenseite schnell verstehen kann, wie schlimm diese Lücke ist. Und zum anderen hilft es den Aufsichtsbehörden dabei, besser einzuschätzen, ob sie gegen das Unternehmen vorgehen müssen. Als Drittes geht es darum, wie man die Lücke nachvollziehen kann. Beschreibt das in ein paar Sätzen. Wenn ihr ein kurzes Skript habt, das das tut, könnt ihr auch das dort direkt einfügen. Sonst beschreibt in klaren Schritten, was man tun muss. Zum Beispiel, erstens Mitglied der ChaosCat Community werden. Katzen sind immer gut. Zweitens in der App anmelden, danach die Lock-In-Code merken. Drittens diese URL aufrufen. Viertens das Profil von Katzen mehr Catface ist zu sehen. Und manchmal kann man auch noch ganz gute Tipps geben, wie die Lücke geschlossen werden kann. Wenn ihr da was habt, dann schreibt auch das in den Report rein. Aber das muss auch nicht sein. Das ist schließlich Aufgabe des Unternehmens, und nicht eure, das rauszufinden. Nachdem ihr alle Infos für euren Report zusammen habt, dann muss das Unternehmen davon erfahren. Und dafür gibt es auch wieder mehrere Möglichkeiten. Huck, Huck, Huck und Huck Kase machen die Bänke für die Daten. Wie kann ich Ihnen helfen? Ja, hier ist Karl von Zerforschung. Wissen Sie, warum ich anrufe? Möchten Sie eine Bestellung aufgeben? Oh, da haben Sie eine Deklamation. Weder noch. In Ihrem CRM ist durch eine CSRF mit Missing Authentication Full Access auf die PPI ihrer Customers möglich. Wir haben MDF, HDF, Multiplex, Vollholz. Was anders haben wir nicht. Ach so, nee, da haben Sie mich falsch verstanden. Ich habe da eine Sicherheitslücke bei Ihnen gefunden, durch die ich die Daten all Ihrer Kundinnen abrufen könnte. Hätten Sie fünf Minuten Zeit für mich? Das ist schlecht, ja, das ist schlecht. Ja, genau. Und da wollte ich jetzt mit Ihnen sprechen, wie ich mich am besten an Sie melde, an Sie wende, damit das möglichst schnell beruhen wird. Das hat jemand für uns gemacht. Wenn Sie dranbleiben, kann ich Ihnen einen Kontakt raussuchen, den Sie anrufen können. Ja, das ist perfekt. Super, danke schön. Bis gleich. In vielen Situationen ist es wahrscheinlich am einfachsten, über das Schwachstellenformular des BSI zu gehen. Das geht auch anonym. Das findet Ihr unter dieser URL. Wenn Ihr das ausfüllt, schickt Ihr die Schwachstellenmeldung direkt an das ZERD-Bund, also das Computer Emergency Response Team des Bundes. Das ist ein Team beim Bundesamt für Sicherheit in der Informationstechnik. Deren Hauptjob ist, dafür zu sorgen, dass die Infrastruktur der Bundesverwaltung sicher ist. Also zum Beispiel, dass niemand den Bundestag hackt. Daher sind die auch Ansprechpartnerin für Leute wie Euch, wenn ihr Schwachstellen in der Infrastruktur des Bundes findet. Aber nebenbei kümmern die sich auch darum, zwischen SicherheitsforscherInnen und Unternehmen zu vermitteln. Also Euren Report entgegenzunehmen, in der Regel innerhalb weniger Stunden zu prüfen und dann den betroffenen Unternehmen Bescheid zu sagen. Das macht es für Euch jetzt ein bisschen einfacher, denn Ihr müsst keinen direkten Kontakt zum Unternehmen haben, außer natürlich ihr wollt das. Und wenn das BSI einem Unternehmen schreibt, dann kümmern die sich oft sehr, sehr schnell darum, die Sicherheitslücken zu schließen. Denn so ein Bundesadler auf dem Briefkopf macht einigen Eindruck. Ansonsten haben die auch rechtliche Möglichkeiten und können zum Beispiel eine Produktwarnung aussprechen. Dabei waren sie dann öffentlich vor der Software eines Herstellers und es wollen die Hersteller auf keinen Fall. Das kam aber erst dreimal vor. Damals wurden Android-Handys verkauft, die bereits mit Schad-Software ausgeliefert wurden. Doch eins solltet ihr immer im Hinterkopf haben. Das BSI ist eine Sicherheitsbehörde, wie Polizei und Geheimdienste und ist dem Innenministerium nachgeordnet. Das ZBund arbeitet zwar anders als Polizei und Geheimdienste und aus unserer Perspektive ziemlich unabhängig. Aber überlegt euch immer, was ihr denen erzählt und meldet. Eine Lücke, die sich zum Beispiel für ein Staatstrojan ereignet, wie das nächste Heartbleed oder Lock for Shell, würden wir den eher nicht melden. Damit das in Zukunft nicht mehr nötig ist, fordern wir, dass BSI muss eine unabhängige Behörde werden, der Hecker in den Paragraphen muss abgeschafft werden und genauso Frontex. Ja, das fordern wir schon lange. Soweit so gut, es gibt aber auch ein paar Sachen, die beachten müsst bei eurem Bericht. Erst mal von vornherein alles erzählen, was ihr wisst, kein Wissen zurückhalten. Und dann keine Forderungen stellen, keine Frage nach Geld, nicht nach dem T-Shirt, nicht nach Schokolade, nicht nach irgendwelchen Geschenken, gar nichts. Ihr verlangt überhaupt nichts und ihr licht alles wissen, sofort mit allen Empfehlungen auf den Tisch. Im Umkehrschluss müsst ihr aber auch aufpassen, dass ihr keine Forderungen an euch stellen lasst, also irgendwelche Geheimhaltungsvereinbarungen, irgendetwas, was ihr unterschreiben sollt, was häufig übrigens auch Bedingungen sind bei Backboundies. Da muss man sehr vorsichtig sein, weil dir der gerne mal ungewollt oder unbedacht oder unvorsichtig einen Knebelvertrag eingeht, der euch nachher daran hindern soll, über die Sicherheitslücke zu sprechen oder noch einmal die Systeme von den betroffenen Unternehmen anzuschauen. Also keine Forderungen stellen und keine Forderungen entsprechen, erst recht keine Geheimhaltungsvereinbarungen, sogenannten MDAs. Wir haben diesen Fehler auch mal gemacht und darüber ärgern wir uns echt bis heute. Damals hatten wir noch nicht so viel Erfahrung und haben Sicherheitslücken über das offizielle Backboundie-Programm eines Softwareherstellers gemeldet. Und was wir dabei überhaupt nicht bedacht haben ist, dass das Programm eine Verschwiegenheitsklausel hatte, sodass wir bis heute nichts darüber erzählen oder schreiben dürfen, was der Hersteller uns nicht vorher freigegeben hat. Genau das ist, was die Hersteller mit solchen Abmachungen erreichen wollen. Das Narrativ zu kontrollieren und euch daran zu hindern, frei über diese Schwachstellen zu sprechen. Und das ist ein Problem, weil auch wir als gesamte Gesellschaft wir müssen über Sicherheitsprobleme in Software reden können. Denn nur so können wir auch darüber sprechen, wie möglicherweise neue gesellschaftliche Maßnahmen aussehen, damit wir solche Lücken in Zukunft nicht mehr so viel haben. Versucht auch nicht den Unternehmen, den ihr da gerade eine Sicherheitslücke gemeldet habt, irgendwie eure Beratungsdienstleistung oder irgendwas anderes zu verkaufen. Geht auch nicht darauf ein, wenn die euch danach fragen. Sagt einfach, nee, machen wir nicht. Ich habe euch jetzt was gemeldet und damit muss gut sein. Das Risiko ist einfach zu groß, dass sie das dann später sonst gegen euch verwenden. Wenn ihr euch irgendwie unsicher seid, ob euer Report zu mir gerade ist Gutes oder ihr euch sonst in irgendeiner Situation irgendwie auch noch ein bisschen unsicher seid, dann fragt lieber nochmal jemanden, der damit mehr Erfahrung hat. Das kann zum Beispiel der Linus machen. Ja, das kann ihr machen, schreibt ja einfach an disclosureatcc.de Genau, das kann der Linus machen. Und das ist auch nichts, wofür man sich irgendwie schämen sollte. Wir haben das auch schon ganz oft gemacht, andere Leute zu fragen. Und statt Linus, könnt ihr auch einfach uns Zerforschung fragen. Ihr erreicht uns unter hello at Zerforschung.org und wir machen das super, super gerne. Ja, Zerforschung kann das auch machen, da muss ich das nicht alles machen. Die machen das bestimmt auch sehr gerne. Ey Linus, das habt doch ich gerade schon gesagt. Ihr solltet außerdem eine Sicherheitslücke immer zügig reporten. Das heißt jetzt nicht, dass ihr es überstützen müsst. Aber ihr solltet zum Beispiel nicht eine Lücke finden, sie testweise mal ausnutzen und dann werft ihr das erst mal in die Ecke und schreibt wochenlang keinen Report. Denn wenn das Unternehmen die Lücke von sich aus in der Zeit findet und die dann ihre Logs zum Beispiel rausfinden, dass ihr die ausgenutzt habt und nicht Bescheid gesagt hat, dann wirkt es auf die Unternehmen vielleicht erst mal böswillig, weil die wissen ja nicht, dass ihr gute Absichten hat. Und da wieder rauszukommen und seine guten Absichten zu beweisen, das ist dann manchmal wirklich sehr kompliziert. Und deswegen meldet Lücken von euch aus, sobald ihr das einmal gut durchdacht habt, ein Report formuliert habt, schickt den Zeit nach aus. Das heißt übrigens auch, schreibt alles in den Report, was ihr wisst. Wenn ihr dabei nämlich einfach Infos zurückhaltet, dann kann es auch schnell so aussehen, als würde ihr das vielleicht absichtlich machen. Und was eine echt beschissene Idee ist, ist dann Geld zu verlangen, um irgendwie alles zu erzählen, was ihr wisst, weil ihr wisst ja, dass ihr erpressorisch wirkt, das kann ganz schnell Böse enden. Also macht das auf keinen Fall. Was auch sowohl bei den Unternehmen als auch bei den Behörden wirklich nicht gut ankommt, ist, wenn ihr einfach einen automatisierten Report mit eurem Schwachstellen-Scanner generiert und den dann einfach direkt verschickt. Also nicht falsch verstehen, auch so Scanner, die können total wichtige Hinweise liefern. Aber wenn ihr so einen Hinweis habt, dann steht ihr halt immer erst total am Anfang. Also springt ihr jetzt einmal zurück zum Beginn unseres Vortrags und fängt an, diese Lücke zu bewerten. Das klingt jetzt vielleicht nach viel Spaß. Und das ist es auch. Aber es ist wichtig, dass ihr vor jedem Schritt gründlich nachdenkt, denn es kann auch viel schief gehen. Wenn ihr so eine Lücke gefunden habt und sie meldet, dann sagt ihr damit Implicit auch, ey, ich hab die Lücke ausgenutzt. Das geht natürlich kaum anders. Aber in Deutschland könnte das eine Straftat sein, nach dem sogenannten Hackerinnenparagrafen, 202, Strafgesetzbuch. Der verbietet es, sich Zugriff auf besonders geschützte Daten zu verschaffen. Das klingt erst mal sinnvoll, aber der Paragraf ist super unklar und wird dadurch auch gefährlich für Menschen, die eigentlich nichts Böses im Schilder führen. Selbst die CDU, die sich dieses Gesetz ausgedacht hat, versteht die Paragrafen nicht richtig und hat Lilith neulich angezeigt, nachdem sie eine Sicherheitslücke in der CDU-App gefunden hat. Die hat sie natürlich richtig gemeldet, aber das war der CDU egal. Die Staatsanwaltschaft hat am Ende gesagt, ey, die Daten waren so schlecht geschützt, dass man nicht strafbar darauf zuzugreifen. Aber Sicherheitsforscherinnen sind dann natürlich trotzdem in Gefahr. Und liebe CDU und alle betroffenen Unternehmen, es ist eine richtig schlechte Idee, Sicherheitsforscherinnen anzuzeigen und nur wirklich sehr, sehr schwierige Menschen versuchen das. Von denen haben wir zum Glück bisher wenige kennengelernt, aber es gibt sie. Daher hoffen wir sehr, dass dieser Paragraf bald abschafft wird. Damit sind wir übrigens nicht die einzigen. Das haben neulich auch ganz viele IT-Sicherheitsforscherinnen in einem offenen Brief gefordert. Überlegt euch also gut, ob ihr eure Identität herausgeben möchtet. Melden geht ihr auch ohne euren richtigen Namen. Und denkt dran, im Internet seid ihr in der Regel nicht anonym unterwegs. Schützt euch am besten von Anfang an. Denn wenn ihr etwas gefunden habt, dann wurde eure IP-Adresse schon irgendwo mitgelockt und es ist zu spät, sich noch um Anonymität zu kümmern. Dazu haben Linus und THS neulich schon einen sehr guten Talk mit dem Titel, du kannst alles hacken, du darfst dich nur nicht erwischen lassen, gehalten. Oh, da habe ich zusammen mit Thorsten meinen Vortrag drüber gehalten. Unter dem Titel, du kannst alles hacken, du darfst dich nur nicht erwischen lassen. Ja, genau. Dazu hat Linus und THS neulich zusammen schon einen sehr guten Talk mit dem Titel. Da habe ich doch gerade gesagt. Und wenn ihr mit dem Unternehmen kommuniziert, solltet ihr ebenfalls sehr vorsichtig sein. Haltet keine relevanten Informationen zurück, aber passt auch auf, euch nicht unnötig zu belasten. Und erwartet auch nicht, dass das Unternehmen euch von Anfang an super dankbar ist. Gerade zu Beginn sind die oft erst mal im Schock und wissen nicht so recht, was da eigentlich gerade passiert. Dabei dürfen sie euch natürlich nicht drohen, anzeigen oder ähnliches. Aber vielleicht sind sie am Anfang ein bisschen pumpig. Und wie bereits gesagt, seid extrem vorsichtig, auf keinen Fall irgendwas zu tun, was euch als Drohung oder Erpressung ausgelegt werden könnte. Generell empfehlen wir, eure Wohnung einfach immer in einem durchsuchungsbereiten Zustand zu halten. Es ist super scheiße, dass das gerade nötig ist, aber aktuell ist es so. Und manchmal kommen die Bullen ja auch aus einem ganz anderen Grund vorbei. Hier würden wir den Talk, Sie haben das Recht zu schweigen, von Udo Fetter empfehlen. Den findet ihr zum Beispiel auf media.cc.de und dort wird ausführlich erklärt, wie ihr euch am besten schützt. Aber wo wir gerade darüber sprechen, sich selbst zu schützen, das gilt natürlich nicht nur für eure Technik. Passt auf euch auf. Und ich weiß, das ist leichter gesagt als getan. Denn wenn man tatsächlich so eine Sicherheitslücke gefunden hat und all die Schritte anstehen, den kann es ganz schön stressig werden. So eine Meldung kann viel Zeit, Nerven und auch eine Menge Schlaf kosten. Deshalb kümmert euch auch um eure Gesundheit, körperlich und auch geistig. Am besten sucht ihr euch Verbündete, gute Freundinnen, Menschen, mit denen ihr reden könnt, denen ihr vertraut und die euch auch mal sagen, dass jetzt mal Schluss ist mit der Heckerei. Und stattdessen Zeit für ein Ausflug, zum Beispiel zu einem hübschen Zug. Gegenseitig aufeinander aufpassen, geht einem viel besser zusammen als jeder für sich alleine. Und es tut einfach gut. Denn ist eine Forschung, das ist genau das, eine krasse Herde. Und zusammen haben wir es geschafft, dieses Jahr viel mehr zu erreichen, als jede von uns einzeln geschafft hätte. Und wir hatten auch noch richtig, richtig viel Spaß dabei. Außerdem haben wir so die Pandemie bis jetzt ein bisschen besser ausgehalten. Für uns ist total klar, ohne dieses Kollektiv hätten wir das alles überhaupt gar nicht hinbekommen. Schon alleine zeitlich. Es ist einfach unglaublich entlastend, wenn man Aufgaben auch mal abgeben kann. Und mehrere Köpfe denken immer besser als nur einer. Durch das Kollektiv haben wir unterschiedlichste Perspektiven und total unterschiedliche Skills. Und das ist einfach mega praktisch und schön. Natürlich kommt es vor, dass wir überhaupt keine Lust haben manchmal. Wenn wir uns beispielsweise an einem Dienstagabend um 23.42 Uhr zusammensetzen und feststellen. Ey, bis morgen um 6 Uhr muss der Text fertig sein. Und die Threats für Social Media. Und irgendwer muss auch so ein Titelbild für den Blogpost basteln. Das ist wirklich nicht immer spaßig. Aber gemeinsam geht das dann doch immer irgendwie. Und am Ende macht es uns immer wieder sehr, sehr glücklich, wenn wir das Ergebnis sehen. Also, sucht euch Freundinnen, bildet Banden und meldet eure Sicherheitsglücken gemeinsam. Gut, angenommen, ihr habt jetzt alles richtig gemacht. Und ihr sagt jetzt im Unternehmen Bescheid. Wir schauen uns jetzt an, was danach passiert. 4, 20. Hack, hack, hack und hack, wir bauen die Bankgeführe Daten. Wie kann ich Ihnen helfen? Datenabfluss haben wir gehabt, wir haben einen ganz normalen, wir haben einen Industrieausguss einfach und einen Spülausguss. Datenabfluss. Ist das der Krankheit oder was? Was soll das heißen? Kundentaten. Sind sie... Na. Nein, der Rufi, nein, der Rufi, die Polizei. Nein, das geht so nicht. Ja, ich habe einen Motorhof. Also, ich habe, haben Sie eine Cyberpolizei, irgendwas? Ihr habt einen Anruf gerade gehabt, der wollte mir erpressen oder sonst irgendwas. Der hat was mit Daten gesagt, Datenabfluss. Wir hatten, er hat alle meine Kundentaten, nee, ich weiß nicht, der hat einen Namen, hat er gesagt, ich weiß nicht, ich habe mir nicht gemerkt, irgendwas, was Artig ist, von der Forschung oder sowas in der Richtung. Ja, ich bleibe da. Tja, liebe Unternehmen, jetzt kommen wir mal zu euch. Eigentlich sind eure Aufgaben relativ einfach erklärt. Seid freundlich und offen gegenüber der Meldenden, schließt die Lücken und kommt gar nicht erst auf die Idee, uns zu verklagen. Na ja, ein bisschen, was haben wir dann vielleicht doch noch zu erzählen? Vorweg, ihr kommuniziert in dem Responsible Disclosure Prozess oft mit einer Person oder einem Team, die das in ihrer Freizeit machen. Das bedeutet, geht wirklich ordentlich mit den Leuten um. Aber eigentlich fängt eure Aufgabe schon weit vorher an, lange bevor ihr die Hacker-Innen am Hörer habt. Der allererste Schritt für euch als Unternehmen ist es, erreichbar zu sein, denn Fehler können passieren. Aber wenn jemand dieser außerhalb eurer Organisation findet, dann sollten die euch möglichst einfach mitgeteilt werden können. Die wichtigste Frage, die sich Sicherheitsforscher in der oft erst mal stellen ist, wie erreicht man euch? Da hat es sich bewährt, dass ihr auf eurer Website eine spezielle E-Mail-Adresse für Sicherheitsangelegenheiten stehen habt, wie zum Beispiel SecurityEd. Es ist außerdem sehr ratsam, dass diese E-Mail-Adresse dann auch von mehreren Personen gelesen und regelmäßig abgerufen wird. Denn es bringt nichts, wenn ihr eine wichtige Sicherheitslücke gemeldet bekommt, aber die verantwortliche Person gerade im Sommerurlaub ist oder eh nur einmal im Monat nachschaut. Die ankommten Mails sollten am besten direkt von technisch kompetenten Personal gelesen werden, damit alles möglichst schnell gehen kann. Ihr solltet auch regelmäßig in den Spam-Ordner schauen, denn Hacker-Innen nutzen manchmal ihre eigenen E-Mail-Server und die schaffen es nicht immer in den Post-Eingang, gerade bei Google und Outlook. Das mit der Erreichbarkeit klingt erst mal trivial. Aber wir erleben es regelmäßig, dass wir erst mal keine expliziten Ansprechpartnerin für solche Sicherheitsprobleme finden. Das bedeutet dann, wir schreiben an alle E-Mail-Adressen, die wir finden, aus dem Impressum der Datenschutzerklärung oder der Kontaktseite. Und das ist natürlich auch für euch als Unternehmen suboptimal. Denn dann landet die Meldung direkt bei einer Menge verschiedener Leute. Die sind meist gar nicht auf Sicherheitsmeldung spezialisiert und können diese nicht richtig einschätzen. Dann herrscht erst mal Panik, niemand weiß, was zu tun ist und dann kann alles Mögliche passieren. Die Nachricht wird ignoriert oder im schlimmsten Fall wird sie von den falschen Leuten in der Chef-Itage gelesen und dann erst mal direkt zu den Anwälten eskaliert. Daher ist eine reparate Adresse sinnvoll. Und wenn dort eine Meldung eingeht, solltet ihr schnell reagieren und zeitnah eine Eingangsbestätigung versenden. Dann wissen wir, dass ihr die Meldung gelesen habt und wir nicht weiterprobieren müssen, euch zu erreichen. Denn wenn wir bei Zerforschung euch auf dem E-Mail-Wegg nicht erreichen, dann versuchen wir es auf immer neuen Wegen. Dann schreiben wir euch vielleicht auf WhatsApps, leiden euch in die Twitter-DMs, schicken euch einen Fax, suchen euch auf LinkedIn, rufen eure Investoren an oder sogar eure Eltern, wenn das nicht gerade das Gleiche ist. Es klingt erst mal komisch, aber all das haben wir schon gemacht, denn wir wollen ganz sicher gehen, dass ihr über das Problem bescheidet wisst und es möglichst schnell behebt. Genau daher sollte die Security-Mail-Adresse einfach auffindbar sein, z.B. im Impressum stehen oder noch cooler, zusätzlich in einer Security-TXT. Das ist ein offener Standard, wie ihr alle relevanten Informationen für Sicherheitsforschende auf eurer Website hinterlegt. Darin können dann sowohl die konkreten Ansprechwege als auch eure bevorzugten Sprachen für die Meldung, Kryptokies und vieles mehr stehen. Damit macht ihr uns und auch euch die Arbeit einfacher. So, ihr habt nun eine Meldung erhalten und der nächste Schritt ist jetzt zu prüfen, ob ihr die Beschreibung der Lücke auch tatsächlich nachvollziehen könnt. Denn wenn das so ist, dann solltet ihr das direkt gegenüber der SicherheitsforscherInnen bestätigen. Das ist wirklich wichtig, denn sonst werden wir euch einfach immer weiter nerven. Das kostet uns und auch euch Zeit. Am besten erklärt ihr dann auch direkt, wie es weitergeht, bis die Lücke behoben ist. Hierbei ist es sowohl interessant, welche Sofortmaßnahmen ihr trefft, als auch welche langfristigen Konsequenzen ihr daraus zieht. Zum Beispiel. Und wenn ihr die Lücke aus der Beschreibung nicht direkt nachvollziehen könnt, dann fragt lieber erst mal nach, ob ihr das alles richtig verstanden habt und behauptet auf gar keinen Fall vorschnell, dass eine Lücke nicht existiert. Ihr wollt den Menschen, der euch da gerade geholfen hat, auch wirklich auf dem Laufenden halten und keinerlei Missverständnis in der Kommunikation aufkommen lassen. Deswegen schickt lieber ein Update zu viel als eines zu wenig. Am besten, wenn ihr die Lücke aus der Beschreibung auf dem Laufenden schreibt zum Beispiel jede Woche einmal den aktuellen Stand darüber, wie weit ihr mit der Problembehebung seid. Kommuniziert dabei sehr, sehr deutlich, wenn es zum Beispiel eine Verschiebung in der Timeline zur Behebung gibt, dann solltet ihr das explizit zu benennen und begründen. Ihr wollt ja, dass die Sicherheitsforscherin ehrlich sind und vollständig transparent, also seid es auch, packt alle Karten auf den Tisch und haltet nichts zu tun. Und wenn ihr die Lücke auf dem Laufenden auf dem Tisch und haltet nichts zurück. Außerdem ist das wichtig, da Sicherheitsforschende manchmal auch selber etwas über diese Lücke schreiben wollen. Hier zum Beispiel versuchen wir nach immer einen Blog-Post zu schreiben. Dort beschreiben wir, wie wir die Lücke gefunden haben und was die Auswirkungen davon waren. Dadurch können alle etwas aus diesem Fehler lernen und solche Lücken werden dadurch in Zukunft hoffentlich selten nach. Wenn ihr mit Sicherheitsforschenden redet oder schreibt, gilt eigentlich das Gleiche wie für alle anderen Menschen. Nehmt euch nicht daneben, seid freundlich, ehrlich und dankbar gegenüber den Meldern. Bedenkt immer, da helfen euch Leute in ihrer Freizeit eure Software sicherer zu machen. Das wäre eigentlich eurer Drop. Und ja, es ist keine schöne Situation, wenn da ein großes Sicherheitsproblem in eurer Software gefunden wird. Aber darin sind nicht die Sicherheitsforscher entschuld. Die haben die Lücke nur gefunden, nicht eingebaut. Don't shoot the Messenger. Also überlegt mal, wie beschissen sich das für eure Gegenseite anführt. Da hat sich jemand in ihrer Freizeit hingesetzt, in ihrer Software angeschaut und ein Problem gefunden. Und dann hat die Person euch sogar Bescheid gesagt und von euch kommt nur Gepöbel, Drohung oder gar eine Strafanzeige. Damit verschreckt ihr ehrliche Sicherheitsforscher in. Das ist der Worst Case für eure Sicherheit. Denn die Lücken sind ja nicht weg, nur weil niemand sie euch meldet. Stattdessen werden die Lücken dann gar nicht gemeldet, als Full Disclosure direkt im ganzen Internet bekannt gemacht oder an Kriminelle verkauft. Das musste auch die CDU auf die harte Tour lernen. Nachdem sie Lilith angezeigt hat, gab es einen großen Aufschrei und sogar der CCC hat gesagt, dass sie der CDU keine Sicherheitslücken mehr vertraulich melden werden. Das ist natürlich ein dramatischer Fall. Wir können niemandem mehr reinen Gewissens dazu raten, der CDU Sicherheitslücken zu melden. Wir werden das auf jeden Fall auch nicht mehr tun. Wir wünschen der CDU viel Glück oder dass sie die Sicherheitslücken vielleicht selber findet oder hofft, dass niemand anderes sie findet. Stattdessen wurden dann in den nächsten Tagen einige weitere Sicherheitslücken bei der CDU gefunden und direkt öffentlich gemacht. Also passen sehr auf, dass ihr gut mit den Melden umgeht und wirklich nichts macht, was in irgendeiner Form als eine Bedrohung ausgelegt werden könnte. Es ist selbstverständlich, dass ihr die Leute nicht dazu zwingt, irgendwas zu unterschreiben. Keine Verschwiegenheitserklärung, kein Beratervertrag, nichts. Versucht es nicht mal. Wenn ihr euch in irgendeiner Form erkenntlich zeigt, aber auch das spreche ich immer vorher ab. Versendet nicht unaufgefordert Geschenke und überweist auch nicht einfach ein Backbounty. Fragt immer nach, ob das wirklich gewünscht ist. Und ganz wichtig, macht es, um euch ehrlich erkenntlich zu zeigen. Das ist keine Gelegenheit für eine coole Pressemitteilung und bindet es auch nicht an Bedingungen. Dazu zählt auch, bedankt euch nicht einfach öffentlich. Nicht jede Person will auf der Unternehmenswebsite genannt werden oder auf eurem Social-Media-Kanälen. Das kann an der politischen Überzeugung liegen, so wie wir zum Beispiel nie bei der Bundeswehr genannt werden wollten. Oder man möchte sich nicht mit der Lücke beschäftigen weiter. Es könnte Stress auf Arbeit bedeuten. Und manchmal wollen die Leute es auch einfach nicht. Das müsst ihr akzeptieren. Es hat sich bewährt, nicht nur in der direkten Kommunikation mit den Sicherheitsforscherinnen, sondern auch in der Außenkommunikation immer offen und ehrlich zu sein. Also nichts zu beschönigen oder sogar zu verschweigen. Es ist ganz barrennt darüber, was passiert ist und wie ihr das in Zukunft vermeiden wollt. Es kann sein, dass Mädchen über den Sicherheitsvorfall bei euch berichten wollen. Versucht wirklich nicht, die Anzulügen oder sogar Sicherheitsforscherinnen gegenüber Redaktionen zu diskreditieren. Das geht eigentlich immer für euch nach hinten los. Es gehört auch zum guten Ton. Eine Sicherheitslücke nicht einfach als Pressemitteilung völlig unangesprochen mit den Sicherheitsforscherinnen, die die gefunden haben, zu veröffentlichen. Wir möchten euch außerdem dazu ermutigen, eure Nutzerinnen über den Vorfall zu informieren. Auch das gehört zu einem guten und transparenten Umgang mit der Sicherheitslücke. Selbst wenn ihr nahezu ausschließen könnt, dass deren Daten abgeflossen sind. Das, was wir in den letzten Minuten erklärt haben, das sind nur die absoluten Basics. Wenn ihr wirklich gut mit Sicherheitsmeldung umgehen und eure Sicherheitsprozesse verbessern wollt, könnt ihr noch so viel mehr tun. Dazu gibt es viel Literatur, viel, viel mehr als in diesem Talk passt. Ein Link zu weiterführenden Inhalten und Dingen, die wir in diesem Talk erwähnt haben, findet ihr unten den Show Notes unter rc3.zerforschung.org. So, mit dieser Handreichung entlassen wir euch jetzt in die Weiten des Internets. Happy Hacking und bis bald! Der Schlüsteste sind die Aufträge von den Depperten Berliner. Läuft die Kamera? Gut. Die gehen wir dermaßen auf den Sack. Wollen Sonderfarben? Dieses jenes, smarte Bänke kannst alles dir hausen geben. Glump. Das Gute ist bloß, kannst Geld verlangen. Du nimmst deine alten Scheißpaletten, spackst die zusammen, die zahlen der 500 Euro. So Depperts haben sie die in ihre unsanierten Altbau-Wohnungen, stellen sie es rein. Blank Geziegel, das ist ihnen. Kannst du jetzt ein Fenster raushalten? Wie verkauft denn jeden Müll? So. Und mit diesen Worten sind wir wieder zurück hier live auf der X-Hein-Lichtung zuerst noch mal etwas organisatorisches. Jetzt ist ein kurzes Q&A geplant und falls ihr noch Fragen habt, dann könnt ihr die Stellen entweder auf Twitter und Mastodon unter dem Hashtag rc3x-Hein oder im Hack and I'll See im Channel rc3-x-Hein. Auch nochmal der Hinweis auf die Show Notes und das bald zur verfügungstehende Skript des gesamten Films, den wir gerade geschaut haben, unter rc3.zerforschung.org und falls ihr mehr Cringe von uns sehen wollt, dann folgt uns auf Twitter und natürlich auf TikTok und Instagram. Da gibt es all die Cringe-Videos, die wir über das Jahr hinweg produzieren. Und jetzt muss ich mich einmal in dir vorbeiträngen zu unserem schlauen Q&A-Pad. Und da ist auch schon die erste Frage aufgelaufen. Unterscheidet ihr zwischen echter Sicherheitslücke, also zum Beispiel irgendwie einer fehlerhaften Authentifizierung und einem offenen Scheunentor, also wenn man eine Versorgung hat, kann man sich natürlich mehr über das Scheunentor, aber so grundsätzlich ergibt das für uns erst einmal im Prozess und was wir so machen, überhaupt keinen Unterschied. Man müsste vielleicht neu ergänzen, es gibt ja auch teilweise Sachen, so eine Information Disclosure oder so, die ist dann, es wird häufiger mal, dass Leute sagen, ah, da ist aber jetzt hier Debugging an oder sowas und dass dann der Unterschied findet, man da drin etwas einen weiteren Angriff ermöglicht und irgendwie so absolute Kinkalizien meldet man ja dann vielleicht auch nicht unbedingt, wenn Sie jetzt nicht unüber halt sich weiter verwerten lassen. Genau, und wie man vielleicht auch während das Vortrag selbst jetzt gerade gemerkt hat, geht es bei uns ja vor allem darum, wenn wir tatsächlich Datenabflüsse haben, das heißt nicht, dass es nicht ganz viele andere Arten von Sicherheitsproblemen gibt, aber wir sehen halt relativ viele Datenabflüsse und das ist das, was wir auch immer ziemlich problematisch finden und da die Daten, die da irgendwie rausfallen und nicht so stark danach wie diese Lücke zustande kommen, also ob da irgendwie ein Debugmodus an ist und wir bekommen credentials aus dem Service raus oder ob da eine AP ist, wo wir hochzahlen oder was viel Komplexeres und was damit auch ein bisschen zusammenhängt, was wir jetzt schon öfter gehört haben, Unternehmen, die sich dann damit verteidigen, dass das ja nur zwei Wochen offen war oder nur ein Monat und da müssen wir auch sagen, ja, schön, bis jemand sie gefunden hat und irgendwie ein Responsible Disclosure Verfahren gemacht hat, aber wenn die Daten einmal abgeflossen sind, dann ist das relativ egal und das dauert oft nur wenige Sekunden. Dann, wo wir gerade schon über Zeiträume sprechen, ist hier die nächste Frage, was sind den vernünftigen Zeiträume zwischen eine Meldung und einer Veröffentlichung? Also die, ich glaube, die übliche Regel ist ja so 90 Tage, die sich so als ein Standard mal entwickelt hat, aber jetzt in diesem Sonderfall, wenn Kundendaten, also Personendaten betroffen sind, kann ich jetzt nicht sagen, hier in drei Monaten muss er aber weg sein, ja? Also da, du, du, du, ich denke, dass man das so von Fall zu Fall ein bisschen anhand der Dringlichkeit entscheidet und die Antwort, die man ja eigentlich haben möchte, ist, dass es halt schneller gefixt ist, als man jetzt überhaupt bereit wäre, zu veröffentlichen. Wenn das nicht der Fall ist, dann kann man ja schon sagen, okay, passt auf, so in ein paar Minuten muss das, oder dann und dann muss das weg sein, aber auf jeden Fall kann man ja eigentlich erst veröffentlichen, wenn es gefixt ist, weil sonst würde ja die Veröffentlichung quasi anderen den Zugriff auf diese Daten erklären. Das ist halt besonders, dieser Sonderfall betroffene Kundendaten, den ihr ja sehr viel behandelt. Ganz genau, also was bei uns immer so der wichtigste Zeitmaß ist, dass wir immer versuchen, nachdem wir den Report fertig haben, innerhalb von 48 Stunden eine Rückmeldung vom Unternehmen zu haben, in Sonderfällen sogar noch deutlich schneller und dann hängt das halt ein bisschen vom Fall und vom Unternehmen ab, aber ja, es sollte sehr, sehr, sehr zügig gehen, genau. Aber man sollte den Unternehmen natürlich trotzdem auch irgendwie die Möglichkeit geben, zumindest sinnvoll reagieren zu können, also irgendwie 12 Stunden ist ein bisschen sehr kurz von irgendeiner Meldung bis zu einer Veröffentlichung. Aber wenn man jetzt mit einem Unternehmen spricht, ist hier die nächste Frage. Was macht man, wenn die Betreiber in einer Software das ganze bucketalisieren wollen und zum Beispiel gegenüber der Presse sowas runterreden? Linus, du hast ja mit Presse viel Erfahrung. Das machen die ja immer. Also nicht ein einziges Mal habe ich jetzt irgendwas erlebt, wo nicht zumindest in irgendeiner Form versucht wird, das noch so ein bisschen runter zu kommen. Das war ja nur für einen kurzen Moment von zwei Monaten war die API offen oder ein kleiner Teil wurde zugegriffen. Das ist so die Lieblingsausrede. Ja, wir haben 5 Millionen Kunden Daten ins Feuer gestellt, aber Zerforschung hat nur 23 abgegriffen oder so und deswegen müssen wir jetzt zum Beispiel auch den Betroffene das nicht melden. Also eine Bagatialisierung in irgendeiner Form kommt immer und es ist ja auch gewissermaßen verständlich, dass sie auch natürlich den trostenden Teil dazuspenden wollen. Ich finde das ist schon okay. Schlimm finde ich, wenn es halt irgendwie so negiert wird oder die Meldende halt in irgendeiner Form angegriffen wird. Also dass die sagen das ist alles nicht so schlimm, wir haben die Situation unter Kontrolle, hier gibt es nichts mehr zu sehen. Das ist klar und das finde ich sollte man auch nicht übel nehmen, was sollen sie sonst machen. Aber wenn sie jetzt dann irgendwie persönlich werden oder sagen, ja die Meldepfrift war zu kurz oder was in diesem Jahr war wirklich echt viele Vorbefüllen. Genau, also für uns hat es sich halt auch so bewährt zu schauen, dass man im professionellen Medienpartner für die Veröffentlichung der Sicherheitslücke findet, weil wir dann ein bisschen besser das Narrativ für uns auch kontrollieren können, dass wir halt sagen können, ja, da wird auf jeden Fall die unsere Seite der ganze Veröffentlichung noch mal erzählt. Worst ist das Unternehmen, haut eine Presse mit Teilung raus und sagt dann, euch liegt Dankeschön im besten Fall im schlimmsten Fall, zeigen sie euch vielleicht an oder so. Aber haben da das Narrativ völlig inne? Also es ist irgendwie für uns ist es ganz wichtig mal ein Weg zu finden, dass wir das so ein bisschen haben. Da du gerade schon von PartnerInnen in solchen Verfahren sprichst, kommt hier die Frage nach den Datenschutzbehörden und was unsere Erfahrungen der Zusammenarbeit mit Datenschutzbehörden sind. Wenn wir denen etwas melden, scheinen sie kompetent, tun sie ausreichend viel? Die haben halt einen begrenzten Spielraum in Deutschland. Also so eine Datenschutzbehörde kann nicht unbegrenzt viel machen, die kann nicht einfach beim ersten Verstoß einfach so sagen, wer eben jetzt ein sehr hohes Bus gilt, da sind die relativ eingeschränkt, sondern da wird relativ viel Druck auf die auch ausgeübt aus Politik und Wirtschaft und so weiter und so fort. Deswegen haben die immer ein relativ begrenzten Spielraum. Auf dieser Arbeitsebene mit den Datenschutzbehörden zusammenzuarbeiten läuft bei uns im Kollektiv eigentlich immer super gut. Also wir haben da ein sehr gutes Verhältnis und die sind immer nett, die freuen sich über unsere Meldungen, manchmal helfen wir denen, die nachzuvollziehen und dann beginnt bei denen halt ein Prozess. Aber so rein rechtlich können Datenschutzbehörde in diesem Prozess nicht immer informieren. Also es gibt als Sicherheitsforscherin was rein und dann passiert irgendwas und vielleicht gibt es ein bisschen mehr Meldung. Leider kommt es wirklich selten vor, dass ein Unternehmen danach auch eine Strafe bekommt zum Beispiel. Also der Datenschutz schaut manchmal ein bisschen genauer dann hin bei diesem Unternehmen und kümmert sich darum, dass die Lücke wirklich geschlossen wird. Strafen sind leider relativ selten. Ganz kurz, weil ich höre da so ein leichtes Missverständnis aus der Frage raus. Es gibt halt IT-Sicherheit und Datenschutz und Datenschutz ist erstmal ja nur ein rechtliches Gefüge. Also nur weil du eine Sicherheitslücke hast, ist es nicht notwendigerweise, dass du jetzt einen Datenschutzverstoß hast. Du hast den dann, wenn du die zu spät meldest, wenn du die Leute nicht informierst oder wenn zum Beispiel im Rahmen der Sicherheitslücke klar wird, dass du da Daten auf dem Server hast, die da nach Löschfristen gar nicht mehr sein dürfen. Ja, solche Dinge. Das berührt dann das juristische Gefüge Datenschutz und dann können die auch sofort was machen. Aber nur bei einer Sicherheitslücke ist es halt so, naja, häufig vor und das ist halt, ich glaube, es ist auch sinnvoll, dass sie jetzt nicht jedes Unternehmen was eine Sicherheitslücke hat, auch unmittelbar halt Datenschutzrechtliche Probleme hat, aber trotzdem finde ich das genau sinnvoll, das zu melden, weil dann sind die schon mal aktenkundig. Und wenn das nächste Mal wieder etwas passiert, dann wird da sicherlich auch von Seiten der datenschutzrechtlichen Perspektive ein bisschen mehr Aufmerksamkeit draufgelegt. Aber am Ende geht es darum, die Sicherheitslücke muss weg und ja, solange es keine Hinweise gibt, dass die Daten wirklich gestohlen wurden oder irgendwelche Fahrlässigkeit in besonderem Maße da war, machen die Datenschutzbehörden halt verhältnismäßig wenig beim ersten Vorfall. Und ich würde sagen, das wahrscheinlich auch schon richtig so. Na ja, wir als Zerforschung würden uns, glaube ich, wünschen, dass die Datenschutzbehörden ein bisschen proaktiver sind. Das hören wir auch teilweise aus Datenschutzkreisen sozusagen, dass die Datenschutzbehörden eigentlich viel mehr machen wollen. Die wollen eigentlich auch proaktiv auf Unternehmen zugehen und ich meine viele der Sachen, die wir gefunden haben, das ist jetzt nicht die mega krasse Sicherheitslücke so, das ist nicht hier irgendwie so eine NSO-Lücke, die wahrscheinlich kaum jemand im Raum hier richtig versteht, sondern es sind oft Sachen, die relativ easy findbar sind. Aber da haben die einfach nicht genug Ressourcen. Also wenn für Gesundheitsdaten in Berlin irgendwie weniger ist in der Hand vor Leute zuständig sind, dann können die halt nicht alle Testzentren überprüfen. Deshalb fordern wir natürlich auch, dass die irgendwie besser ausgestattet werden und diese Möglichkeiten auch bekommen, die sie rein rechtlich schon lange haben. Im medizinischen Bereich finde ich es absolut, ich weiß, so bei der CDU Connect App, da wird jetzt nicht irgendein Datenschutz großartig rumstehen und sagen, dass da irgendwie eine App, wobei ich glaube, dass die sogar datenschutzrechtlich nicht in Ordnung war, oder? Ja, datenschutzrechtlich tatsächlich nicht in Ordnung, weil da politische Meinungen von Menschen erfasst wurden und das Spannende im Fall von der CDU war, ist ja das Implizit der Ruhr politische Meinungen, also Artikel 9, DSGVO Daten, also besonders schützenswerte Datenpunkte sogar erfasst waren. Deswegen ist das schon wieder so ein sehr interessanter Fall für den Datenschutz, also wo ich neben Gesundheitsdaten würde ich halt sagen, versämtliche Datenarten, die unter Artikel 9 fallen, sollten halt auch besondere Schutzmaßnahmen und besondere Prüfmaßnahmen von Datenschutzbehörden gelten. Das gibt die DSGVO ja eigentlich auch her. Richtig. Aber dann würde ich mal, ihr wer jetzt in so eine kleine mit Datenschutzbehörden abdriffen. Also immer mit dazunehmen und nicht traurig sein, wenn da jetzt nicht eine Millionenstrafe bei rumkommt, würde ich als Fazit sagen. Genau, aber super oft, wenn sie halt aktiv was haben wir jetzt auch erlebt und gehen dann zumindest auf die Unternehmen zu und dann lernen die Unternehmen was und verhindern solche Fehler oft hinzukommen. Und gerade wenn das größte Probleme sind, dann besucht die Datenschutzbehörde auch mal das Unternehmen und dann sind die da wirklich dahinter, dass die Lücken geschlossen werden. Deswegen, der Datenschutz ist immer ein guter Partner, dass ihr das entweder mitbekommt oder dass sofort irgendwas super krasses passiert. Nächste ist eine rechtliche Frage, die wir, glaube ich, auf der rechtlichen Ebene nicht beantworten können. Aber ich finde die Frage trotzdem spannend. Darf man Probleme, die man jetzt gefunden hat, an kompetentere Personen überhaupt weitergeben? Also, ist es okay? Ich würde das mal von der rechtlichen Ebene nehmen und mehr auf die moralische Ebene schauen. Ist es okay, zum Beispiel auf den CCC zu gehen und zu sagen, okay, hier gibt es dieses Problem. Ich habe das jetzt gefunden. Wie können wir das sauber lösen? Ich habe da, ich vergesse das immer wieder. Da gibt es doch diesen, vor allem, wenn es jetzt welche Daten sind, da gibt es diesen Paragrafen. Wie gesagt, wir sind alle keine Juristinnen. Wo du jetzt die erste Person, die Kenntnis erlangt, ist quasi straffrei. Aber wenn es dann weiter gibt, dann ist diese Weitergabe irgendwie straffbelastet. Aber wir reden ja hier nicht davon, dass man sich straffermacht und man weiß nicht, welcher anderen Person man das weitergibt, um die Frage vielleicht vorsichtig zu beantworten, ist ja dabei entscheidend. Man kann nicht sagen, es ist grundsätzlich falsch, dass jemand anderem weiterzugeben. Aber wenn jemand anderem weitergeben, in diesem Fall heißt, Twitter und vielen Tausend Leuten weitergeben, dann ist das ein Problem. Wenn man jetzt zum Beispiel sagt, es passiert jetzt bei Disclosure, der CCC.de und dann sagen, ja, ich habe das und das gefunden. Und ich würde sagen, der Fälle ist meiner Antwort. Okay, du musst mir das vollständig beschreiben, damit ich es nachvollziehen kann und beurteilen kann. Wenn du einfach nur irgendwas schreibst, kann ich dir nichts dazu sagen und das melde ich auch so nicht. Dafür muss ich natürlich dann die komplette Sicherheitslücke mitgeteilt bekommen und werde die dann auch prüfen. Ja, und würde ich dann jetzt damit missmachen, dass das nicht geteilt hat, schlecht. Insofern, glaube ich, beantutwortet sich diese Frage am sinnvollsten. Es hat überlegt, okay, vertraut ihr der Person, dass die nach den gleichen ethischen Maßstäben arbeiten wird wie ihr und dann kann man sich ja dann seit ihr quasi eine Einheit und dann würde ich das nicht als juristisch riskant sehen. Genau, vielleicht noch eine kleine Anmerkung dazu. Bei Zerforschung haben wir es in der Zusammenarbeit mit Datenschutzbehörden jetzt auch schon erlebt, dass wir Glücken gemeldet haben und die Datenschutzbehörden gesagt haben, es gab keinen Datenabfluss, weil wir als Zerforschung eine vertrauenswürdige Instanz sind, was ein bisschen witzig ist, weil wir haben einerseits die Kriminalisierung in Deutschland, andererseits haben wir Sicherheitslücken gefunden und man weiß ja häufig nicht, ob zuvor irgendwie schon Daten abgeschlossen sind, bevor wir diese Lücke gefunden haben und so weiter und so fort, aber zumindest in der gelebten Datenschutzpraxis, also auch selbst von dieser Perspektive, wenn wir jetzt nicht von Hackerparagrafen das irgendwie schon gesehen, dass man sicher als Forscherin in der gelebten Praxis schon so vertraut, dass die Leute das jetzt da nicht so superproblematisch finden. Aber da muss man halt auch super aufpassen. Also ich glaube, diesen Vertrauensvorschuss sozusagen kriegt nicht jede Person, die jetzt zum ersten Mal da irgendwie in Erscheinung tritt. Deshalb, wie wir schon gesagt haben, lieber irgendwie Hilfe suchen, lieber irgendwie kompetentere oder erfahreneure Kompetenz sind wir ja alle, aber erfahreneure Personen eben zum Beispiel Linus oder auch uns, wenn ihr das gerne wollt. Und ich glaube, da das jetzt so die rechtliche Frage ist, können wir da nur unsere übliche rechtliche Forderung nochmal anschließen, nämlich der Hacker in den Paragrafen muss weg, zumindest in der jetzigen Form. Der muss so formuliert werden, dass so eigentlich die Sicherheitsforschung, wie wir sie alle tun, legal möglich ist und man nicht immer Angst haben muss, dass plötzlich die Bullen vor der Tür stehen oder meine Strafanzeige bekommt. Das muss ja vielleicht auch nochmal kurz sagen, so nach meiner Kenntnis, ich muss jetzt wirklich überlegen, aber mir ist kein Fall bekannt, wo jetzt mal jemand wirklich verurteilt worden wäre, die man nicht hätte verurteilen sollen. Aber das mit diesen Strafanzeigen ist halt deswegen so nerv, weil die euch die Computer wegnehmen, weil ihr dann da jahrelang Ärger mit hat, weil der Anwaltskosten, also Kosten für die juristische Auseinandersetzung anfallen und das ist einfach total nervig, wenn die irgendwie in die Wohnung kommen, wenn man die nicht eingeladen hat. Und deswegen ist das selbst wenn das am Ende nicht zu einer Verurteilung kommt, ist das halt ein riesiger Nerv einfach. Und deswegen macht das halt Sinn teilweise einfach mit dem CCC zum Beispiel gemeinsam das zu machen oder als CCC, weil irgendwie glaube ich, dass sich inzwischen zumindest ein bisschen rumgesprochen hat, dass man eine Haustür suchen beim CCC ist halt schwierig. Schwierig. Ja, ich glaube, dann haben wir diese Frage wirklich sehr ausführlich beantwortet. Hier ist noch die Frage, ob wir von Fällenwissen, die wir gemeldet haben und bei denen, wo die Datenschutzbehörden an Strafen oder ähnliches verhangen haben. Ich kann jetzt aus der Zerforschungspraxis sagen, uns ist nichts bekannt, aber uns ist auch bei vielen Fällen nicht bekannt, wie das Verfahren bei den Datenschutzbehörden ausgegangen ist. Denn das ist halt so ein Problem. Du hast, wenn du eine Beschwerde erstattest als Einzelperson, die betroffen ist, dann hast du weitgehende Auskunftsrechte, dann sagt die Datenschutzbehörde, die auch weiter Bescheid. Wenn wir das als kollektiv tun, hingegen nicht. Das heißt, eigentlich müsste dann irgendeine Person, die diesen Dienst nutzt, nochmal gleichzeitig als Privatperson, sozusagen, deine Beschwerde erstatten, wo dann auch oder Umständen wieder Informationen an Unternehmen weitergegeben werden können und so weiter. Das ist superkomplex und das ist der beste Weg, einen Haufen IFG an Fragen zu stellen. Oder ihr macht einen öffentlichen Aufruf und wer mit der Datenleck, wir brauchen jemanden, der da drin ist, könnte dann aber schnell einen Account machen. Das haben wir auch schon mal gemacht in einem Artikel, wo das Unternehmen nicht richtig reagiert hat. Da war dann die Telefonnummer bei uns im Blog veröffentlicht und da haben auch Leute angerufen und reichten dann irgendwie was was den Geschäftsführer haben. Aber ich glaube, das sind auch schon alle Fragen, die jetzt in diesem Pet gelandet sind und da ich da keine Veränderungen mehr sehe, würde ich sagen, it's a wrap. Vielen Dank, Linus, dass du hier warst und diese Couch mit uns gemacht hast. Ja, war doch ein sehr schöner Vortrag, hat mir sehr gefallen. Ich fand das, ich habe mir immer gewünscht, dass beim RC3 die Vorträge vorproduziert sind. Ich finde das super, wenn wir das gemacht haben.