 Warst du schon mal so viel Leuten auf der Bühne? Jo, okay. Du kannst den Zettel nicht lesen, oder? Ich habe es versucht. Ich glaube, ich habe meinen Fehlens zweimal mitbekommen. Also von daher, dann sag mal die Übersetzung an. Das war französisch und es ist stream.c3lingo.org. Okay, so wie es jedes Mal gibt es eine Traduktion in French, das ist auf c3lingo.org. Warte mal, du hast jetzt noch die Chance, deine Mutter zu grüßen. Es ist ja schlecht, die ist in Spanien. Dann macht das doch auf Spanisch. Buenos dias, mama. Danke. Und für die Englisch-Speakers, streamen.c3lingo.org und du kannst alles auf der Bühne beherrschen. Ah, Saal 1 ist doch immer wieder ... Es ist aber auch Aufregung, oder? Ich habe Puls. Ich habe Biscuit Puls. Was ist mit euch? Am Alte Männer Honor Puls? Der eine, der andere. So, machen wir ein kleines Spiel. Ihr kennt das mit den Defragmentieren. Ja, vielleicht klappt der mal eure Tisch-Computer zusammen, hat der eine oder andere Muske gegebenenfalls aufstehen. Ja, und wenn ihr einen Rucksack neben euch habt, weil ihr glaubt, eure Freundin schafft es noch. Bitte verstauen Sie Ihr Handgepäck jetzt unter den Sitzen. Ja, danke. Und dann einmal kurz die Hände hoch, dass wir sehen, wo ist noch was frei. Wo ist der da? Oh, gar nicht so viel Defragmentierung. Hier vorne ist sogar noch richtig was vor. Wie viele von euch haben sich vor der Pause schon hingesetzt? Okay, alles klar, alles klar. Dann können wir uns das sparen, können wir gleich zum Spaßteil übergehen, oder? Können wir eigentlich machen, wir haben Fakten. Ja, Fakten machen wir später. Wollten wir erst mal noch die Übung fürs Closing machen? In Hamburg hat das sehr gut geklappt. In Hamburg hat das sehr gut geklappt. Ob das hier auch klappt, wissen wir nicht. Du nimmst die Hälfte, ich nehme die Hälfte. Alles klar. Darf ich anfangen? Wir teilen hier so in der Mitte, da wo die Kamera ist. Das ihr seid meine Hälfte. Wir würden gerne eine Laola mit euch üben, weil wir das schon so lange nicht mehr gemacht haben. Und diesmal eine Clashing-Laola. Und wir würden gerne dort anfangen. Und zwar jetzt. Ja, kommen Leute, krieg ich doch, ja, ja, ja, ja, ja, ja, ja. So. Und ja. Oh, 1er. Und jetzt zurück nochmal mit richtig viel Sound. Sekunde, noch nicht, noch nicht, noch nicht, ganz ruhig. Richtig laut. 1, 2, 3, Laola. Alter, die Gänse haut. So, und jetzt kommen die Fakten. Fakten, Fakten. Wir haben ein wenig bei den Engeln recherchiert. Ja, genau. Die Engel sind die Leute, ihr wisst fast alle. Warum? Kommen wir gleich zu. Sind die Leute, die das Ganze hier organisieren. Dafür erstmal einen Riesenapplaus, bitte. Jetzt ruft mich einer an. Bei mir hat es auch gebimmelt. Die immer dieselben Scherze, oder? Ist das ein Scherz, oder geht es gerade irgendwo anders ab? Oh. So insgesamt haben wir, die Zahl ist noch sehr klein. 1.043 hätte da auch 1.042 draus machen können, damit sich das besser anhört. Aber es sind 1.043 Mann-Tage. Mann-Tage. Mann und Frau-Tage. Es waren 2.969 Engel mit wenigstens einer Stunde. Gegliedert ist die ganze Sache in 59 Engel-Typen. 59 Engel-Typen, also verschiedene Aufgaben, die es zu tun gibt. Von Flaschen aufsammeln, bis hier oben stehen und euch besprachen. Ich habe mir mal den Spaß gemacht und habe 9,50 Euro Mindestlohn einfach so als Voraussetzung gesetzt. Und die Mann-Tage mal 8 genommen. Ich wusste, dass wir dafür Ärger kriegen. Ich hol uns da wieder raus. Du holst uns da raus. Wenn wir die ganze Sache mit 9,50 Euro multiplizieren, kommen wir aus 79.268 Tacken. So. Da ist ja Mindestlohn. Ihr seid ja IT-Leute. Genau. Und ich habe mal mit so 99 Euro gerechnet für den Freundschaftspreis. Und dann sind wir schon bei 826.000 Euro. Gar nicht statt dem C-Punkt ein. Ich gehe jetzt in Rechnung stellen. Ich hoffe. Und insgesamt haben sich 2400 Leute angemeldet, um zu Engeln. Das heißt, fast die Hälfte hat nur Engeln können, weil es so viele von euch gibt, die mithelfen wollen. Vielen, vielen Dank. So, wir sind doch vorbereitet. Ja, ein bisschen wenig. So, wer hatte denn dieses Jahr diesen Moment von I told you so? Wer hatte den mindestens einmal ... Komm, Leute, das kann nicht sein. Also, das ist ... Jetzt kommen sie langsam in Schwung. Der Familie gegenüber in der Firma, bei Meeting. Wer kennt jemand, der diesen Moment hatte? Wer kennt jemand, der den Moment hatte? So müssen wir natürlich fragen. Wer kennt denn jemand, der diesen Moment mindestens fünfmal dieses Jahr hatte? Da sind jetzt nicht bedeutend weniger. Na ja, gut, dann ist der nächste Talk gar nicht so schlecht. Wir geben euch neues Futter. Neues Futter von den beiden. Ron und Frank. In der 13. Ausgabe und ab die Post. Einen tobenen Applaus. Ja, Test, Test. Hallo. Hallo, Computer. Hallo. Vielen Dank. Herzlich willkommen zu den Security Nightmares. Hallo, Leipzig. Hallo, Neuland. Schön, dass ihr alle da seid. Die 19. Veranstaltung auf dem 35. Kongress. Das ist ja für den Kongress eine Grenze, weil mir, ich glaube vor zwei oder drei Jahren, jemand erzählt hat, dass alles, was älter ist als 35, darf in ein Museum. Also, das heißt, nächstes Jahr wird das Eidlstehter Bürgerhaus dann abgefahren. Nee, der erste war da gar nicht. Ups. Das müssen wir nochmal geschichtlich klären lassen. Okay, kurz. Wer ist das erste Mal hier? Oh ja. Okay. Das finde ich einen guten Trend. Ja. Wer von euch kann denn die Grundlagen von TCPIP erklären? Naja. Und wer von euch hat es auf diesem Kongress gelernt? Okay, jetzt greifen wir in die Kiste. Wer kann die Grundlagen von SPX, IPX erklären? Eier 15. Immerhin. Immerhin. Drei. Lea 1 und zwei von Wi-Fi. Ah, hier haben wir ein paar Wi-Fi-Kabel-Experten. Ich sehe schon. Und von Laura waren? Interessant, da melden sich immer dieselben. Merkt sie euch. Das sind die, die wir vor der Zombieapokalypse brauchen. Das sind die, die auch hinterher noch ein Netz haben, wahrscheinlich. Vielleicht. Genau. Was immer witzig ist, ist, ich tue immer die, die Zahl in den Zahlenkonverter und gucke dann, in welchem Zahlensystem eine hübsche Zahl rauskommt. Und diesmal war das, das ist die 23. Veranstaltung, wenn man das Oktalsystem zu Grunde legt. Ja, das ist auch hübsch. Und, und ihr seht, wie das da, ne? Die Notation? Die Notation, 0 O. Und ich gedacht, das erinnert mich an irgendwas. Und ich gedacht, so habe ich das ganze Jahr geguckt. Okay. Aber das, das eigentliche Bild des Jahres, habe ich gerade entdeckt auf Twitter. Und mit der, mit der DSGVO und der Europäischen Richtlinie haben ja die, die Santa Claus-Witze und Satieren eine ganz neue Dimension erreicht. Ja, also dieses irgendwie, ne? Er macht eine Liste von Kindern, die lieb sind und nicht so lieb sind. Und außerdem kriegt er demnächst ein Einschreiben mit Rückschein und muss sich melden und dazu Stellung nehmen, wie er die Daten hinterherlöscht. Ich finde ja, das Auskunftsersuchen fast noch spannender. Also ich meine, allein der Lieferprozess, ne? Die meisten Eltern haben ja so lustige Spiele, wo sie entweder in Weihnachtsmann mieten, ist aber langweilig. Aber viel lustiger ist ja eigentlich, wenn dann irgendwie sie irgendwie sowas hin basteln, so, weil das dann plötzlich der Sack dasteht mit den Geschenken und der Weihnachtsmann schon wieder weg ist oder so. Und dann ist die Frage, wie stellt man denn eigentlich zu? Hängt man es an den leeren Sack, das Auskunftsersuchen und die Antwort? Obwohl es wäre länger als 12 Monate, das würde wahrscheinlich nicht durchgehen. ChaosPost. Der ChaosPost funktioniert, vielen Dank. Das ist angekommen. Meine Postkarte gekommen, genau. Genau, nächstes Jahr können wir mit der Rückschau vor 20 Jahren anfangen, aber das lassen wir. Wir gehen lieber weiter mit den 10 Jahren, das ist vielleicht lustiger. Sonst müssen wir die letzten 10 Jahren nochmal machen. Vor 10 Jahren hatten wir dieses Thema mit den Beta-Testern für neue Überwachungstechnik und es wäre doch schön, wenn man da die Bundestagsabgeordneten ein bisschen mehr verpflichtet, weil sie das ja dann immer beschließen und einmal scheinbar, das ist jedenfalls unsere, Wahrnehmung gar nicht merken, was sie da dann lostreten, weil sie vielleicht dann doch nicht betroffen genug sind und wenn man dieses, wenn man das ändern würde, dann würde sich vielleicht auch die Einstellung dazu ändern. Was wir dieses Jahr hatten, war ja, dass nicht die Bundestagsabgeordneten, aber die Ministerien innovative Überwachungstechnologien hatten, also immerhin ein Trojaner, der Kommandt- und Kontroll über E-Mail gemacht hat, was ich tatsächlich wirklich innovativ fand, weil da gibt es dann halt nicht mehr viel an Kommandt- und Kontrollsverwand zu hacken, sondern man schickt einfach eine Mail hin und das Ding antwortet per Mail. Ich finde es auch sehr komfortabel so. Wahrscheinlich gibt es das dann demnächst auch als Chatbot so. Da kann man so, hey Trojaner! Fehlt noch, dass es eben ins BAM steganografiert wird. Oder in Advertising-Cookies. Ich finde, das wäre dann tatsächlich nochmal ein innovatives Kommandt- und Kontrollsystem für Trojaner, dass man einfach die Advertising-Cookies, wenn man also Trojaner so tut, als wenn man dann auf den Advertising klickt und den Cookie, den er zurückspielt, den Inhalt, den man haben will, die Bitcoins oder so. Vielleicht baut es jemand. In dieselbe Kategorie fiel das Thema öffentliche Vorratsdatenspeicherung für alle Abgeordneten. Und ich sage mal, das hat ja in Grenzen funktioniert, weil die ersten WhatsApp-Gruppen weggekommen sind. Also die Inhalte davon. Ging letztes Jahr schon los, was? Ging letztes Jahr schon los. Also hat nicht zehn Jahre gedauert, sondern nur neun. Und das wird ja von hier aus nur weitergehen und wir werden. Also wir waren da vielleicht ein bisschen früh, aber wir haben da noch Hoffnung. Die Tendenz stimmt. Genau. Lauter. Das mit den Rautern war vor zehn Jahren tatsächlich da. Okay, lauter. Wer soll noch lauter sprechen? Lauter über die Rauter sprechen. Lauter über die Rauter. Gut, also vor zehn Jahren haben die US-Behörden 3.500 Router auf den Enziskologe klebter aus ihren Netzen rausgeräumt und waren darüber so ein bisschen beunruhigt. Weil es waren keine Enziskoroute, die sahen nur so aus. Und dieses Jahr hatten wir diese Diskussion über Hardware-Backdoors ja relativ umfänglich. Also Blumenberg hatte sich ja da ziemlich aus dem Fenster gelehnt und gesagt, hier wir haben hier irgendwie Hardware-Implants von Supermicro, die bei den diversen Cloud-Anbietern verwendet wurden, sind den Beweis dafür bis heute schuldig geblieben. Die Fotos waren alle Montagen. Das hat, glaube ich, eine Woche gedauert, bis das rauskam, dass die Fotos waren alles Kunstberge. Wahnsinn. Also meine Vermutung ist ja, die haben tatsächlich irgendwie gehört von einem Irgendwas, was tatsächlich passiert ist, das, worüber sie berichtet haben. Aber interessant daran ist dann, dass diese Diskussion natürlich dann weiterging und ja so ein bisschen den Boden bereitet hat jetzt über, was die Backdoor-Debatte angeht bezüglich Huawei. Die Amerikaner haben ja gerade da ziemlich rundheringend die Welt Stress gemacht, auch bei deutschen Unternehmen um Huawei daraus zu kegeln mit der Begründung da seien ja chinesische Backdoors drin. Und diese Backdoor-Diskursion ist natürlich insbesondere deswegen wenn man sich die Snowden-Dokumente anguckt, weil da wissen wir ja, dass Hintertüren in amerikanischen Produkten jetzt nicht unbedingt eine Seltenheit waren und die NSA, die da oft und gerne installiert hat. Und jetzt stellt sich sozusagen die Frage, ist jetzt diese Politik, die da jetzt getrieben wird, ist quasi so eine, welchen Backdoor-Anbieter hätten sie denn gerne? Genau, und da kann man sich dann verschieden, also das sind ja so Spielchen, wo man dann erst denkt, irgendwie okay, also schmeißen sie jetzt als erstes die raus, wo sie eine Backdoor rein haben wollen, aber keine gekriegt haben, oder schmeißen sie die zuerst raus, wo sie eine Backdoor denken, dass sie jemand anderes einer hat. Und muss man dann, gilt dann dieser Witz, mit irgendwie, du brauchst eigentlich drei Viren-Scanner, einen amerikanischen, um die Russen zu fangen, einen russischen, um die Amerikaner zu fangen und ein, was war das, was ein Finnischen für die Schweden oder so? Na ja. Ja, Equal Opportunity Backdoor-Ring ist ja ein schöner Sport. Genau, auf jeden Fall passt zwischen eine Fireball und eine Fireball immer noch eine Fireball. Ja, auch im kommerziellen Bereich war Hardware-Backdoors damals auch ein Thema, nämlich in Kreditkartenterminals. Und da gab es halt so Hardware-Impliance in Kreditkartenterminals schon damals die, so Kreditkartenterminals sind ja versiegelt. Also die sind halt dafür gebaut, dass man dann nicht ohne Weiteres rein kann. Aber wenn der Implan schon ab Werk kommt oder irgendwo im Service installiert wird, dann ist natürlich ein bisschen schwierig, den zu finden. Und deswegen hat man damals gesagt, okay, dann wiegen wir die eigentlich einfach. War eine gute Idee. Jetzt, dieses Jahr, kam dann raus, dass auch Wiegen nicht mehr hilft, wenn man irgendwie diese Gehäuse entsprechend modifiziert und die Hardware ganz klein und leicht macht, so dass man die gar nicht mehr sieht. Ja, und die wissen jetzt, dass gewogen wird. Das heißt, die kleben dann da auch einen Zendrhein. Ja, um das, oder flexen was raus, glaube ich, das war's. Genau, flexen was raus. Wenn ein bisschen was rausgeflext, damit der zusätzliche Schip, den man reintut, nicht auffällt. Genau. Deswegen ist jetzt die Gegenmaßnahme, ist Unwucht erkennen. Kein Scherz. Die stellen diese auf Rotations-Tische und gucken, wie die richtige Unwucht ist und unterscheiden die von der falschen Unwucht. Man darf die halt nicht aufmachen. Dann ist das Siegel kaputt und dann ist es nicht mehr komplänt und so weiter. Das heißt, sie müssen dann quasi eins aufmachen, von dem sie ganz schön sicher sind, dass es in Ordnung ist. Und reingucken und nochmal nachgucken, dass da nichts ist. Und dann baseline darüber machen und sagen, dass hier so sollen die anderen sich auch alle verhalten. So, und wann macht ihr das mit den Servern in eurem Rechenzentrum? Ich glaube, wenn man so ein Server unwuchtet, die sind doch nur noch zusammengeklickt, da sind doch gar keine Schrauben mehr drin. Dann hat man die ganzen Servern... Doch, was? Ja, ist sowieso alles SSD, aber dann hat man, glaube ich, so diese Teile, wenn die dann so lose kommen, dann liegen alle so in einer Ecke von uns vor. Stell ich mir sehr lustig vor. Genau. Ja, und dann gab es vor zehn Jahren diese Auftragskillers, BAM-Mails. Die gingen so, dass man halt eine Mail bekommen hat, wo drin stand, guten Tag. Ich bin dein heutiger Auftragskiller. Ich habe den Auftrag bekommen, dich umzubringen, aber du kannst dich frei kaufen bei mir. So, überweise doch einfach Geld dahin. Dann kaufen wir ein paar iTunes-Guthaben-Karten oder so, wahrscheinlich Päckchenweise. Also, es war vor zehn Jahren. Deswegen war es mit den Bitcoins noch nicht so, wie es heute ist. Wer von euch wäre Bitcoin-Millionär gewesen, wenn er nicht vor zehn Jahren dafür einen Burger gekauft hätte? Oh, ha! Mehr als ich erwartet hätte. Gut. Das ist ja inzwischen, hat sich ja weiterentwickelt. Es gab jetzt gerade einen Artikel, wo war der in Wired, über jemanden, der recherchiert hat, der Auftragskiller-Webseiten. Also, Auftragskiller-Bestellungs-Webseiten. Der tut so, als würden Aufträge für Auftragskiller vermitteln. Genau, unter verschiedenen Brands. Und er nimmt auch Geld dafür? Genau, Bitcoin. Er erzählt dann auch immer was von escrow und alles und er wird das Geld erst kriegen, wenn der Mord auch ausgeführt ist und so weiter. Ja, und wenn man dann dahin Bitcoin überweist und Namen an die Location angeht, dann heißt es immer, der Auftragskiller ist informiert. Und dann heißt es zwei Tage später, er ist schon unterwegs. Und dann heißt es... Es gab eine Verzögerung im Betriebsablauf. Genau. Leider ist das Auto kaputt. Der steckt jetzt fest, ob man nochmal ein paar Bitcoin überweisen könnte, um das Auto wieder flott zu machen. So. Und dann nach noch einer Woche, na, der ist vielleicht nicht so gut, aber der hat das Geld jetzt schon. Und nur gegen einen geringen Aufpreis könnte man ja einen noch professionelleren Auftragsmörder für den Job bekommen. Also diese kompletten Stories. Und das Irre ist halt am Ende, redet der sich darüber raus, dass er den Leuten, die man umbringen wollen, Zeit und Geld klaut. Auf jeden Fall ein ethisch sehr interessantes Problem. Und mit der Heckerethik Gesichtspunkten wäre das eine sehr spannende Beurteilung. Könnte man einen interessanten Käst draus machen. Gut, machen wir weiter. Ja, und dann haben wir wohl vor zehn Jahren gesagt, dass das mit den sozialen Netzwerken sicherlich eine gute Grundlage für Daten verbrechen ist. Und man sich das in zehn Jahren nochmal anschauen müsste. Gehe es im Sicherheitslücken. Müssen wir auch nichts zu sagen. Springen wir drüber. Ja doch, es gibt eine interessante Frage so. Wie viele verschiedene Wege eine GSM-Base-Session aufzumachen, hast du denn so im Rucksack? Nee, kommen die Bord sind aus China, die sind bestimmt voll in Ordnung. Ja, damals fing es ja schon an mit den nationalen Filtern, die das Internet nach nationalen Kriterien filtern sollten. Und die ersten Länder fingen damit an, die aufzubauen. Und die sprachen damals darüber, dass man ja vielleicht mal so Browser-Pluckins oder VPN-Pluckins bauen könnte, um zu gucken, wie das Internet aus einer anderen Perspektive aussieht. Also was irgendwie so die... Oder die Landesgrenzen. Ja, die Sicht aus dem Nachbarland so ist auf die anderen Seite. Und es hat ein bisschen länger gedauert, als wir so gedacht haben. Aber im Grundlevel ist tatsächlich klar, dass da eigentlich in sehr vielen Ländern passiert, dass also diese Filter sowohl Download- als auch Upload kommen. Und die Frage, wie Technologie aussehen kann, um zu gucken, wie es in dem anderen Land aussieht, doch interessant wird. Genau. Also die erste Form von Virtual Reality für alle oder so ähnlich. Auf Nationalstaaten, Blickpunktebene. Und aber für die Privatperson ist eigentlich inzwischen eher interessanter. Wie sieht diese Webseite aus, wenn ich sie nicht mit meinen Cookies aufrufe? Ja. Und ich glaube, dafür fehlen die Pluckins noch. Da müsste noch nachgearbeitet werden. Aber immerhin gibt es jetzt einen Markt, location-based pricing. Ja, und manche Leute stellen fest, dass wenn sie irgendwie den Browser-Cache lernen und alle Cookies wegschmeißen und dann nochmal fragen, ob der Preis nach B kostet, dass der Preis dann plötzlich ganz anders ist. Häufig günstiger. Okay. Das Internet-Normalitäts-Update mit Zahlen aus 2018 und zum Teil aus 17, weil es noch keine für 18 gibt. Es gibt jetzt 40 Android-Smartphones mit Trojaner Abwerk. Das sind Effizienzsteigerungen, ne? Ja. Da muss man dann nicht extra noch installieren. Grundausstattung. Und außerdem muss das Geld ja irgendwie verdient werden. Dann gab es eine Studie, die wahrscheinlich massively bei ist. Aber wo ich gedacht habe, das ist schon Captain Obvious, der da unterwegs ist. Wenn ich DefOps habe und da explizit noch ein DefSecOps einbaue, dass ich dann schneller bin als normal, ist glaube ich klar, was vielleicht überrascht ist, dass man dann zehnmal schneller ist. Also ich glaube, DefOps erfordert das aber auch. Also ich meine, wenn du 20-mal so schnell deployst wie sonst und 20-mal so oft deployst wie sonst, dann musst du auch mindestens 10-mal so oft in der Security fixen, damit du auf derselbe Niveau von schlechter Software kommst wie in den traditionellen Methoden. Genau. Skimming-Angriffe auf Geldautomaten, das ist nicht interessant. Also die Zahl hat sich leicht verschlechtert, aber nicht viel. Was interessant war, war hinter dieser Schlagzeile und hinter ein paar anderen. Und es ist mir nicht aufgefallen während des Jahres. Es ist mir erst aufgefallen, als ich mir versucht habe, das ganze Jahr in zwei Wochen noch mal reinzuziehen. Dass man dann plötzlich sieht, dass da andere Meldungen drinsteht, dass von zum Beispiel jetzt diese 2,2 Millionen Euro Schaden, sind nur 15 % tatsächlich in Deutschland angefallen, weil es da inzwischen internationale Abkommen gibt, die den Schaden in das Land drückt, dass das niedrigste Sicherheitsniveau hat. Oder es gibt andere Meldungen, wo dann steht, das war ein Schaden von so und so viel oder die mussten ganz viel zahlen und die Pressungstrojaner wegmachen und dann kommt dahinter, aber die Versicherung hat es bezahlt. So, okay, internationale Abkommen, Versicherungen, so interessant. Aber ich hätte jetzt erwartet, dass das auch irgendwie die Sicherheitsniveaus nach oben drückt, weil die Versicherungen dann irgendwas erwarten. Ja, gut, also ich meine, wenn man sich diese Geldautomaten anguckt, mit dem Aufwand, mit dem man das Gaming betreiben kann, dann kann man das Geld auch direkt rausholen, oder? Genau, Loch reinbohren, USB-Stick reinstecken und dann das XP dazu überzeugen, irgendwie alles auszuspucken. Ja, oder wir hatten ja einen Talk hier also dazu. Das schönste fand ich mit den drahtlosen Keyboards. Ich finde, jeder Geldautomat sollte ein drahtloses Keyboard, ein drahtloses Keyboard, den ich hier installiert haben. Es verbessert die Servicequalität erheblich. Ja, Google hat irgendwie gesagt, dass sie 700.000 böse Apps aus dem Play Store entfernt haben. Wir sagen am Ende eine Zahl. Bei Apple ist es so ein bisschen wie mit den Eskimos und dem Schnee. Sie haben viele Worte dafür. Das ist aber keine genaue Zahl. Also klar ist jedenfalls Apps, die halt bösartig sind, also insbesondere was Trekking angeht und Datenexfiltrationen und solche Dinge, sind ein großes Geschäftswelt geworden. Genau, und offensichtlich nicht so leicht zu erkennen, dass es immer gleich beim Eingang in den Store auch aussortiert wird. Ja, dass es sicherlich da ein entspannendes Schlacht fällt. Also auch bei Geräte ausliefern. Die kaufen ja auch Komponenten von allen möglichen Zulieferern zu. Gerade wenn man so billige Android-Tablets kauft. Da kann es schon mal vorkommen, dass halt so eine AdWare vorinstalliert ist. Also Lenovo hat es zum Beispiel erwischt dieses Jahr. Das war glaube ich schon letztes Jahr. Aber dieses Jahr mussten sie dann zahlen. Und zwar richtig anständig, also 7,3 Millionen. Das ist jetzt vielleicht nicht irrsinnig viel Geld für so ein Riesenunternehmen, aber es ist sicherlich etwas, mit dem man dann intern Dinge besser machen kann. Gut, so eine Zahl, die kommt dann da, steht irgendwo rum und da hat dann irgendjemand gesagt, ich habe da V4-Internet abgescanned und 12 Peter-Byte-Firmdaten gefunden. Also da Daten hier des Öl des 21. Jahrhunderts sind, ist ja so ein schöner Datenreichtum. Das Öl liegt auf der Straße. Es schwimmt auf dem See. Genau, es schwimmt auf dem See. Man glitcht da so drauf rum quasi. Die meisten davon waren interessanterweise in irgendwelchen offenen S3-Buckets und offenen FTP-Serveren und so was. Es ist ja, also bei Lucky Luke war das, wo die dann immer ein Loch in den Boden gestochen haben und dann so, pfff, kam das dann so entgegen und dann liefen sie mit schwarzen Gesichtern durch die Gegend. Und ja, das ist ja bei Daten nicht so, sonst würden die Researcher ganz anders aussehen. Das ist ja aber lustig, ne? So ein Datenreichtum aussieht wie so eine Tonerexplosion so bei so einem Kopierrad. Dann würde mehrere schneller was passieren, oder? Die Tech Support Scams. Das ist dieses Modell, wenn ich jemand anrufe und gehst an das Telefon und dann heißt es, guten Tag, hier ist die Firma Microsoft. Sie haben ein Virus auf ihrem Computer und wir würden das jetzt gerne zusammen mit ihnen löschen. So, und ich hatte immer den Eindruck, ja, aber in Deutschland nicht wegen der Sprachbarriere. Und tatsächlich scheint es aber so zu sein, ich meine insgesamt nimmt das zu, keine Frage. Da gibt es inzwischen Umfragen in 180 Ländern oder sowas. Aber es gibt eben auch schon Fälle aus Deutschland und da dachte ich, fragen wir doch mal hier ins Publikum, wer denn jemand kennt, der schon einen Anruf von Microsoft hatte, das wäre ein Virus auf dem Computer. Ach, ne? Okay. Schon ein paar. Und wer hatte dann einen Anruf, der auch auf Deutsch war? Genau. Und wo war der Anruf auf Englisch? Ach, doch schon halbe, halbe? Mhm. Wow. Okay. War das okay? Ja. Wir haben ja so eine Theorie dazu, da kommen wir später zu. Ja. Warum das so ist. Okay. Sehr interessant. Applaus für Letzend Kript. Genau, 50 Prozent aller öffentlich erreichbaren Zertifikate und Microsoft vertraut den seit, was war es, August? Irgendwie sowas. Genau. Wir sind halt immer ein bisschen vorsichtiger. Gut. Und dann so zum Thema Dinge, die nicht zu Ende sind und auch noch die nächsten zehn Jahre wahrscheinlich gar nicht zu Ende sein werden. Also das Spannende daran ist halt, was so die Dimensionen sind. Also diese IP-Adressen, von einigen, hinter einigen dieser IP-Adressen, waren offenbar mehr als 5000 Hosts, die noch mit WannaCry infiziert waren und wir stellen uns so die Frage, wie kann man jetzt immer noch zu sowas, also solche riesigen Infektionsraten haben. Und dann kam er darauf, wahrscheinlich braucht es sowas ähnliches wie so ein Oldtimer-Kennzeichen für so alte Hardware. Nur, also so ein Oldtimer hat ja spezielle Regeln, mit dem darf man auch in die Umweltzone fahren, obwohl man da sonst nicht rein durfte, weil es ja irgendwie wertvolles Kulturgurt auf hier redet. Wenn ein Alter als 30 Jahre ist und bei gut einer IT kann man sagen, so vielleicht wenn es Alter als 10 oder 15 Jahre ist, dann kriegt es so ein Computer, dann auch so ein grünes Hard-Kennzeichen so. Aber was macht man denn damit? Also wie geht man damit um? Na ja, Gummi-Zelle, also Einzel-Gummi-Zelle. Das Hard-Kennzeichen ist dann mehr so, dass auch Panne-Belechter so einmal eingesperrt. Gut, die Rückschau auf dieses Jahr, natürlich den wertvollen Bundestagsheck, der wie der Innenminister sagte, technisch anspruchsvoll war. Damit möchte er sagen, die Steuergelder, die eingesetzt wurden, um das Ganze zu schützen und hinterher aufzuräumen. Die sind alle richtig eingesetzt gewesen, weil es schon anspruchsvoll war. Ja, lassen wir das. Also wenn man sich so überlegt, wenn der Heimathaus irgendwas anspruchsvoll findet. Ja, der britische Geheimdienst kam um die Ecke mit einer sehr interessanten Forderung. Die haben nämlich gesagt, wenn wir so eine Region haben und diese Region ist interessant und wir mehr darüber wissen, dann wollen wir doch möglichst viel darüber wissen. Und da jetzt ja die ganzen bösen Menschen da draußen schon Verschlüsselung verwenden, können wir da nicht mehr mitlesen, was die kommunizieren. Also müssen wir deren Computer aufmachen. Und da wir ja Massenüberwachung früher benutzt haben, wollen wir jetzt auch Massenüberwachung haben. Also müssen wir ganz viele Computer auf einmal aufmachen. Sprich, die wollen das Recht haben um 10.000, 100.000 Computer in bestimmten Gegenden aufzumachen. Proaktiv. So einfach ohne, dass sie einen konkreten Verdacht haben, einfach nur so mal zu hören, was da so los ist in der Gegend. Und da halt die Daten draus zu exfiltrieren. Ich sage doch, die brauchen so ein Chatbot-Trojaner, ne? Die brauchen so ein Chatbot-Trojaner, weil dann erzählen die Leute ihnen eh alles. Nachts um drei. Sie haben aber nicht, man denkt ja immer, dass es da irgendwie um die Laptops oder um PCs geht. Aber es geht da ja inzwischen auch um die Fernseher. Und morgen wahrscheinlich auch um die Barbies. Und die Alexas. Genau, und die Alexas und die Homepods. Und das Google Ding, wie heißt das noch gleich? Ja, genau. Ja, das e-Government ist ja bei uns immer in der Regel mit Geschichten von hoher Kompetenz verbunden. Also ist alles technisch anspruchsvoll. Und da gab es dieses Jahr diese Geschichte, die also schon vor ein paar Jahren mal hoch kam, aber dann immer wieder kochte. Und weiter ging, dass DSLE seine Kommunikationssysteme für Absprachen mit seinen Quellen in diversen Ländern über Websysteme betrieben hat, die sie für viele Millionen von Dollar von einem amerikanischen Regierungscontractor gekauft haben. Nur, dass dann halt irgendwann die Iraner ihnen den Doppelagenten untergeschoben haben, der Doppelagent seinen Führungsoffizien erzielt hat, wie die Webseite aussieht, auf der da mit der sehr e-communiziert und die dann halt mal nach ähnlichen Webseiten gegoogelt haben. Und davon ein paar Dutzend gefunden haben, dann halt die entsprechend dazu gehörigen Leute überwachtend Hops genommen haben und sich dann mit den Chinesen unterhalten haben, die dann halt auch noch was dazu beitragen konnten, was dann halt dazu führte, dass DSLE als Nachweis seiner herausragenden E-Government Kompetenz beziehungsweise des Contractors seine gesamten Agendennetzwerke in diesen Ländern verloren hat. Da sind auch viele Leute umgekommen. Also wir sehen, E-Government ist immer noch eine schwierige Aufgabe. Genau, auch wenn man technisch anspruchsvolle Dinge sich gegen technisch anspruchsvolle Dinge verteidigen muss. Der Fachbegriff dafür ist ein Google-Dork, könnt ihr ja mal googeln, haha. Genau, der Nächste ist ein absoluter Brilla. Ja, weil in Australien ist da ja gerade ein Gesetz durchgekommen, die Assistance und Access Bill liebevoll abgekürzt als As Bill von ihren Fans und gibt da auch ganz tolle Erklärvideos zu, die zum Schreien komisch sind und die möchten jetzt halt wirklich hinter Türen einbauen dürfen. Und sie wollen richtig weit gehen. Sie wollen auch australische Mitbürger dazu motivieren können, dürfen, dass sie hinter Türen einbauen in den Firmen, in denen sie arbeiten. Und das alles aus einem Land, das einen anderen Skandal am Laufen hat, der heißt The Cabinet Files. Worum geht's da, fragt ihr, die Antwort ist. Da hat eine Zeitung mehrere Akten-Schränke bekommen, die auf dem Gebrauchtwarenmarkt für Akten-Schränke verkauft wurden, mit Inhalt. So, und jetzt fragt ihr natürlich, warum wurden die mit Inhalt verkauft? Because we lost the keys. Okay, wir haben, wir war es noch mal darauf hin, dass wir letztes Jahr gesagt haben, dass ein neues Geschäftsfeld wird, irgendwie, dass man Leute unter Hypnose dabei hilft, ihre alten Passphrases wieder zu erinnern. Also kommt noch. Wahnsinn. Ja, einer der großen Debatten dieses Jahr war die um TLS 1.3, wo ja verschiedene Teilnehmer an diesen Diskussionen der Meinung waren, das ist zu sicher, weil man kann ja dann nicht mehr reingucken, jedenfalls nicht so ohne Weiters. Und das ist halt so eine, also dazu muss man sagen, so die alten Sicherheitsmodelle, wo man sagt, okay, wir müssen da reingucken können, sagt, naja, wir haben so ein Netzwerk in, dem können wir vertrauen. Und dann kommen da die verschüsselten Verbindungen an, dann erschüsseln wir die und machen alles in und verschüsselt, weil drinnen ist ja alles sicher. Da hat sich in der Praxis nicht so sehr bewährt, weil auch wenn man in diese jemals verschüsselten Datenströme reingucken kann, wenn die Trojaner anfangen über E-Mail zu kommunizieren, wird das halt schwierig. Dann hilft alles nicht mehr so sehr. Deswegen geht man jetzt hin und sagt, das ist so eine Trustless Network. Das heißt, man baut halt auch die inneren Netzwerke so, dass die Server einander nicht mehr vertrauen und nur noch untereinander verschüsselt kommunizieren. Und dafür ist dieses TL-S13 eigentlich gedacht gewesen. Wir werden sehen, wie sich das entwickelt. Und dann gab es dann auch diesen sogenannten E-Fail-Angriff auf SMIME und OpenPGP. Die Details sind interessant. Lesst euch das mal durch, wenn ihr die Zeit dazu habt. Wir haben es hier eigentlich nicht aufgelegt, um jetzt irgendwie darauf rumzuhacken. Aber ich weiß nicht, wie es euch geht, aber ich glaube, ich habe dieses Jahr schon zwei Leute getroffen, von denen ich den Eindruck habe, dass sie jetzt wirklich ganz offiziell der Meinung sind, dass sie das in ihrer Firma nicht mehr hinkriegen mit der E-Mail-Verschlüsselung. Es kriegen sie einfach nicht durch die Tür und haben jetzt aufgegeben. Kennt noch jemanden, der aufgegeben hat? Ach, nur so wenige. Das lässt ja hoffen. Ich glaube, wir müssen das Licht ausmachen, wenn wir die Frage noch mal stellen, oder? Ach so, wer ist in einer Firma, wo man damit nie angefangen hat? Ach, ja. Wir mussten dieses Jahr mit einem Kollegen oder Chef, das mit der verschlüsselten E-Mail versuchen zu erklären. Okay, das geht immerhin. Na gut, noch weiter. Dann gab es noch jede Menge bemerkenswertes, durch das wir jetzt durchhetzen müssen. Das geht. Den Datenschutz-Denial of Service, der da DSGVO heißt. Genau, da wollen wir gerne euch mal fragen. Wer von euch fand das mit dieser Datenschutz-Grundverordnung, die mir zusammenhängen, Stress und Ärger und so weiter, zuvor eher schlecht? Wer fand es eher gut? Und wer fand es eher unterhaltsam? Okay, okay. Das heißt, die meisten von euch haben sich einfach nur darüber amüsiert, welche Battle-Mails da ankamen. Dass man doch bitte, bitte hier klickt, um weiter im Verteiler zu bleiben für die innovativen Produkte. Okay, ja. Das heißt, keiner von euch war irgendwie im Elternrat, wo eine Rechtsanwalt durchgedreht ist und versucht halt, die Schule in die Steinzeit zurückzubomben? Nein. Ach doch, ja. Genau, wer hatte denn so mit durchdrehen DSGVO-Hyperventilatoren zu tun? Ja, okay, ich sehe schon. Ihr kennt alle zu viele Anwälte. Die schönste Schlagzeit dazu fand ich ja schwerwiegende Schwachstelle im DSGVO-Pluck-In für WordPress. So, für 2018 kann man da eigentlich, fast ist ja gut zusammen irgendwie. Genau, Microsoft's BitLocker hat tatsächlich Festplattenfirmen, wer vertraut, die versichert hat, dass sie das mit der Verschlüsselung voll im Griff hat. Grandios. Ich meine, Microsoft ist nun wirklich eine Firma, die hat jeden Tag mit OEMs zu tun. Ja, die hat jeden Tag damit zu tun, dass ihnen OEMs irgendwas erzählen. Und hier ist unser toller, neuer Treiber, könnt ihr den mitverteilen und sehen, was da kommt. Ja, und dann glauben Sie, wenn die Festplatte sagt, ich habe das voll im Griff mit der Verschlüsselung, ist irre. Ja. Und überhaupt gab's ja... Alles ist vergiftet, kann man eigentlich nicht sagen. Wir hatten schon das Thema böse Apps und trojanisierte Apps. Und da gab's ja wirklich irre Dinge. Also das, wo man auch früher gedacht hat, manche Leute sind ja von der Außenwelt abgeschlossen, wie zum Beispiel Soldaten oder so. Die sind das ja heutzutage auch alle nicht mehr. Die kriegen alle irgendwie Internet früher oder später in die Finger, mehr oder weniger bandbreitig. Und dann installieren sie sich irgendwie WM-Apps oder Dating-Apps. Fitness-Apps, was? Fitness-Apps. Oh ja, reichlich. Wo sind denn diese supergeheimen Special Forces trainiert? Das ist ganz einfach. Besuchst einfach nach weitgehend unbewohnten Weltgegenden, wo sonst nicht so viele Fitness-Daten anzutreffen sind und überdurchschnittlich sind. Dann hast du die Special Forces gefunden. Also der, der jeden Morgen 15 Kilometer rent, alles klar. Schon viel lang. Ja, aber die Frage, wie man die Integrität von Open Source Projekten sicherstellt, und da gab's ja dieses Jahr einige, die mit Hintertüren versehen wurden. Die wird definitiv akuter werden, weil je besser die Sicherheit der Verteilungsinfrastruktur wird, desto weiter nach oben in die Kette, wenn die Angriffe gehen. Ja, das ist mit den Bugs natürlich nicht nur irgendwie bei normaler Software ein Problem, sondern auch bei Schadcode. Da gab's dieses Jahr einen interessanten Fall, wo in pädrochemischen Anlagen in Saudi-Arabien eine Trojana gefunden wurde, zum Beispiel ein komplexerer Schadcode, der halt nicht funktioniert, weil er buggy war. Das ist halt passiert. Testing is hard, let's go shopping. Genau, und ein neuer Meilenstein auf der Baustelle, also Integrated Lights Out, heißt das bei HP. Bei Intel heißt es Intel Management Engine. Bei EWM heißt es Integrated Management Module. Ne, Lenovo und so, wie auch immer. Und da ist die Firma HP die erste, die sagen kann, für unsere Systeme gibt es schon einen Erpressungstrojaner. Achievement unlocked. Ja, und dann im Kontext irgendwie Sachen, die schon lange vor sich hin glimmen oder so, wurde ja in OpenSSH dieses Jahr eine 19 Jahre alte Sicherheitslücke zugemacht, die man dazu benutzen kann, um valide Benutzernamen besser zu raten. Und in dem Kontext haben wir uns dann gefragt, wenn man sich so andere Sachen anguckt, wie diesen OpenSSHI-Bury-Woodkit-Geschichte von, wann war das, 2013, oder so. Der hat inzwischen 21 Subvarianten und es ist ja wie bei normalen Viren für Windows und machen wir hier eigentlich zu viele Witze über Windows und Windows 2003 Server, der immer noch nicht abgeschaltet ist, oder muss man da jetzt eigentlich auch mal mehr auf Alt-Versionen von Linux rumhacken. Die Antwort ist offensichtlich ja. Wer von euch kennt denn noch ein laufendes System, auf dem noch ein Einzerkörnel läuft? Okay, zweierkörnel? Ja, ich sehe schon. Wir hören jetzt hier mal auf, weil ich glaube, mit diesem H-Kennzeichen wird noch mal ein Thema werden. Betriebssystem übergreifen. Insbesondere bei diesen ganzen lustigen IoT-Geräten, wo man dann die Harter wegschmeißen muss, weil der Speicher nicht mehr reicht, wenn man den Kernel upgraded. Das wird noch alles so lustig werden. Wer von euch pflegt noch ein OS2? Ah ja, auch drei. Die Browser-Kriege sind erstmal vorbei, man kann einfach sagen, Google hat gewonnen. Microsoft hat aufgegeben. Das ist jetzt keine besonders gute Nachricht so, weil es dazu führen wird, dass im Wesentlichen Google jetzt die Internetstandards schreibt, je nachdem, wie viel Aufwand, Mozilla und Apple da noch reinstecken wollen an dieses Thema. Aber wir nähern uns denn so langsam der Click-Betriebssystems-Monokultur im Browser-Bereich. Das ist sicherlich bemerkenswert und auch noch bemerkenswert war dieser Google Assistant, der Restaurant-Tische per Telefon bucht. Wer von euch hat da die Audio-Demos gehört? Da doch viele, aber bei weitem nicht alle. Das Faszinierende dabei war nicht, dass der anruft und sagt, guten Tag, hier ist Google Assistant, ich möchte gerne einen Tisch buchen. Das Irre war, wie der dann geantwortet hat, sich geäußert hat, wenn auf der anderen Seite gesagt wurde, ja, ich muss mal eben schauen. Dann hat er nämlich so Sachen gemacht wie, mhm, oder okay. Also diese Zwischenbemerkung, die gar keine echte Bemerkung sind, außer ich habe verstanden, was du gesagt hast und warte jetzt darauf, dass du weitermachst. Ja, es ist sozusagen der nonverbale Touring-Test. Ja. Also zumindest für uns Menschen. Genau, also wenn euch einer anruft und sich nicht reusperrt, könnt ihr demnächst schon mal gleich misstrauisch werden. Ja. Wahrscheinlich muss man sich dann so überlegen, ob man wenn so Testsachen einbaut, so was wie einfach mal völlig unmotiviert sagen, so was wie Steuerdegradationsanpassungsgesetz. So mitten in der Restaurantbestellung und gucken auf der anderen, sich immer sagt, hä? Oder mhm. Die Frage ist dann eben, ob ihr das selber macht oder ob ihr da für einen Assistenten braucht. So, und damit sind wir auch schon bei den Stichworten für das nächste Jahr, wenn es denn reicht. Manchmal liegen wir ja daneben um wenige Jahre. Aber der Trend mit alles, was man sich nur vorstellen kann, kriegt jetzt ein Mikroprozessor. Und natürlich braucht ein Mikroprozessor immer Software, die auf ihm läuft. Und deswegen ist Hardware sowieso nie mehr nur noch Hardware, sondern immer auch Software. Und diese Software will euch verraten. Aber eigentlich will sie es ja natürlich nicht. Denk will ja nicht, Software will ja nichts. Sie ist dazu veranlaugt. Sie ist dazu verdammt. Also, worum es eigentlich dabei geht, ist dieses überall, sind mittlerweile Prozessoren drin, egal ob es sinnhaft ist oder nicht. Also jeder Lichtschalter ist heutzutage eigentlich kaum noch ohne eine CPU denkbar. Man muss mittlerweile eigentlich fast sagen, es wird die Ausnahme, dass da nicht mehr irgendwas drin ist, was rechnet, sobald es irgendwie schon ein paar LEDs drin hat, die auch nur irgendwie blinken oder irgendwas anzeigen, hat es schon irgendwie mindestens ein Batteriekontroller drin, der davor sich hinrechnet und eigentlich eine Firmware hat oder so. Genau, und dann fallen da Daten an, und diese Daten werden im Zeichelsfall dann doch irgendwo noch ein bisschen gespeichert. Und dann werden sie halt wegkommen. Und woran liegt das? Es liegt daran, dass die Softwarequalität halt schlecht ist. Security braucht man am Anfang halt nicht, sondern das braucht man hinterher, aber erst mal braucht man es nicht, damit es überhaupt funktioniert und damit es die Leute kaufen, leider. So, und es schwemmt halt so viel auf den Markt, von so vielen Leuten, die das alle das erste Mal machen, und deswegen ist es zwangsläufig, dass das so ist. Und dann kommt noch was dazu. Ich habe neulich ein wunderschönen Artikel gelesen von einem Ben, irgendwas. Der hieß so was wie Thinking about AI. Also wie man über künstliche Intelligenz nachdenken sollte. Und der hatte ein schönes Bild, eine schöne Analogie. Die Analogie war künstliche Intelligenz heute oder Machine Learning, die ein bisschen fortgeschritten ist, ist wie ein Vierjähriger. Oder Vierjährige. Nur, wird halt nie müde, will keine Kekse. Und wenn du noch 30 brauchst, dann klickst du einmal. So. Und Vierjährige können dann Dinge tun, die kann halt dein Computer noch nicht. So, Mustererkennung, ist da ein Kaninchen in dem Bild drin. Ja, wie viele Einhörner sind das da? Solche Sachen. Und dann ist es ja eine total tolle Analogie, weil, wisst ihr wie Vierjährige mit Familiengeheimnissen umgehen? Genau. Genau so. Es soll ja Kindergärten geben, in denen hängen Schilder, auf dem Schild steht. Wenn sie nicht alles glauben, was ihr Kind sagt im Kindergarten passiert ist, dann glauben wir nicht alles, was ihr Kind sagt zu Hause passiert ist. Das ist jetzt die Frage, wie sieht da die KI-Analogie so aus? Die sind halt genauso. Du meinst, hey Alexa, nicht alles, was ich gerade gesagt habe, stimmt? Und Alexa, mhm. Genau. Also, aber es ist ja nicht alles schlecht. Es gibt ja auch Dinge, die besser werden. Also, es gibt technische Fortschritte, die finden statt, Apple arbeitet hart daran, ihr Betriebssystem für PCs härter zu machen. Microsoft hat gerade Sandboxing eingeführt im großen Stil, Sachen, die normal sind für Smartphone und Tabletbetriebssysteme, weil das halt dort von Anfang an drin war. So, und dieser ganze IoT-Kram, ja, das ist alles grauenhaft. Aber das, womit Menschen so direkt interagieren und so, das wird schon ständig besser. Besser. Ja, wenn es dann auf Up-to-date gehalten wird, etc. Und da passiert natürlich, dass die Angriffe gegen den ganzen IoT-Kram, die finden natürlich weiterhin statt und einfach mit Boot-Forcing und auf alte Software-Vulnerabilität gehen, etc. Aber so dieses Mittelfeld auf dem PC, da geht weniger. So, die ganzen zugenahmelten Endpoint-Produkte, die halt mehr so Tablets sind, halbwegs moderner Hardware mit irgendwie, wo man keine eigenes Betriebssysteme installieren kann, wo es halt nur noch so ein paar Apps drauf gibt und wo die Sicherheit des Systems auch noch durch Hardware-Unterstützung unterstützt wird, also Chips unterstützt wird, die sind dann halt schon ein bisschen schwieriger anzugreifen. Und da war für uns so ein bisschen die Frage, was passiert denn da jetzt eigentlich? Weil die Evolution geht natürlich weiter und bisher war es nie so, dass ich irgendwie die Kriminellen insbesondere davon haben aufhalten lassen, und die logische Konsequenz ist natürlich, dass Sicherheit immer mehr zu so einem Layer-8-Problem wird. Also das Problem sitzt zwischen Bildschirm und Stuhl. Und wir haben ja schon so ein paar frühe Vorfahren davon gesehen, da gab es vor ein paar Jahren, gab es so einen interessanten Trojaner, der auf einer bestimmten Bank über einen Exploit, der, wenn er im Tab nebenan lief, und man hat seinen Home-Banking aufgemacht, hat an dieses Home-Banking suggeriert so, hey du hast gerade eine Überweisung bekommen, du hast 750 Euro überwiesen bekommen und fehlerhaft. Das war leider eine Fehlüberweisung und weil du ein ehrlicher Mensch bist, möchtest du dir jetzt bitte zurück überweisen. Und das heißt, es war kein Sicherheitsangriff, es war nur ein Angriff darauf, was in deinem Kopf passiert, weil du wolltest ja ein ehrlicher Mensch sein, also haben die Menschen denn diese 150 Euro, die sie nie bekommen, haben zurück überwiesen. Und da hilft dann da keine Sicherheitsmaßnahme, weil der Mensch wollte es. Und wir denken, dass genau da die Zukunft liegt, für Angriffe, dass sich die Angriffe immer mehr gegen das menschliche Gehirn richten werden und die technischen Angriffe nur Hilfsmittel dazu sein werden. Und dann ist natürlich die Frage, wie sind denn halt so die, also wie macht man das? Und Menschen sind ja relativ ungeduldig, und meistens auch ein bisschen, sagen wir mal, mindestens abgelenkt. Ich würde nicht sagen, alle sind dumm, aber meistens sind sie abgelenkt. Und daraus folgt denn, das ist eigentlich eine schöne Aufgabe für so eine Horde von so 10.000 Vierjährigen. So eine Fishing-KI, so kann man sich so vorstellen, also einmal so die Messe hier so voller Vierjähriger. Ich will ein Eis. Ja, gerne nicht mal dein Handy haben. Wir wollen alle Taschen gilt. Genau. Und ich meine, ja, also ja, dieser I Love You Virus war vor was, 20 Jahren, 18? Mhm. Oder so. Und das hat mir ja einer aus dem Beninert Club erzählt. Der hat gesagt, ich habe mir da für Extranvirus aufgesetzt, Entschuldigung, ein Windows aufgesetzt, um die E-Mail aufmachen zu können, und das war der Kampf von meiner Freundin. Also die Menschen gehen da weit, um die Message zu hören, wenn die Message richtig ist. So. Und dann ist ja das nächste, dass jeder Datenunfall, der da draußen passiert, ist ja Futter für diese KI. Ja, also jedes bisschen Daten, das über euch wegkommt, hilft irgendeiner KI, euch noch bessere Fishing-E-Mails zu schicken. Und dann ist ja eher die Frage, wer die zuerst haben wird. Ja? Und weil das ja alles miteinander zusammenhängt. Also eigentlich ist das ja überhaupt nicht böse. Ja? Weil Fishing ist ja nur eine Form von Marketing. Tu was jetzt. Nicht kauf mich, sondern klick mich. Ja? Und Marketing ist Motivation, Motivation ist Bildung, Bildung ist Glück. Und da sind wir dann, da schließt sich der Kreis, das ist halt alles Dual-Use. Und die Frage wird, wird eine sehr moralische. Was ist noch okay? Und was ist halt überhaupt gar nicht mehr okay? Gar nicht mehr okay ist, mich dazu zu überzeugen, iTunes-Karten zu kaufen, um irgendwie meine Steuern zu bezahlen. Oder so ein Quatsch. Ja? Aber vielleicht möchte ich, dass die Software irgendwie alle meine Knöpfe drückt, damit ich auch heute fünf Minuten Englisch lerne. Ja? Ja, am Ende ist es die Frage, wem geben wir das Recht, uns zu manipulieren? Und mit welcher Motivation? Und also, wenn du sagst Englisch lern, also du glaubst, dass du Englisch lern möchtest, die Frage ist, wieso glaubst du denn, dass du Englisch lern möchtest? Welche Software hat dich denn dahin manipuliert, dass du plötzlich Englisch lern möchtest? Vielleicht will diese Software dir ja auch einfach nur eine Reise nach London verkaufen? Also, wir denken, dass diese Frage, welche Formen von Manipulation, sowohl technischer als auch emotionaler, moralischer Art, sind denn eigentlich noch okay? Und welche nicht? Und wo ziehen wir da als Gesellschaft die Grenze? Wird am Ende eine Sicherheitsfrage werden? Also die Frage von persönlicher mentaler Sicherheit. Weil wenn wir dann mit KI zu tun haben, was in der Lage ist, unsere Knöpfe zu drücken, und wir sehen ja schon sehr gut, was da so passiert auf Facebook und Co. Wenn wir da auf der anderen Seite ein Maschinenlearningsystem haben, was in der Lage ist, dafür zu sorgen, dass wir uns aufregen, dann ist eigentlich absehbar, dass diese Diskussion nicht mehr so lange vertagt werden kann. Wie übersetzt sich das jetzt in Geschäftsfelder und Sport? Wir denken, dass man sehr schnell den Überblick verliert. Welche Daten sind in diesem Monat über mich weggekommen? So, wer weiß jetzt was? Wer alles weiß schon, also ist schon bekannt, wie der Mädchenname meiner Mutter wirklich war? Ja? So, ich gebe dann natürlich über allen anderen an, weil den Trick kenne ich schon, aber ... Welche dieser Antworten sind schon bekannt? Genau, welche dieser Antworten sind schon bekannt? Und da gibt es ja inzwischen so Services, die jeder kennen sollte, wie Have I Been Pawned. Das ist so eine Webseite, die sammelt alle Datenleaks über Passworder und E-Mails ein, und da kann man sich dann registrieren und sagen, hier ist meine E-Mail-Adresse, und wenn ein Passwort zu dieser E-Mail-Adresse irgendwo wegkommt, dann schicken wir mal eine Mail. So, super Sache. Also diese anderen Leaks, die es da gibt, sind ja dann auch alle irgendwie aufbewahren, und die muss man ja sicher verwahren, weil wenn die dann wieder jemand findet, alle so an einem Platz, das ist ja dann auch wieder ein Problem. Und dafür brauchen wir also verlorene Daten, Schließfächer, so genannte, oder Doxing Manager, im Sinne von Password Manager, das brauchen wir, das müsste mal jemand erfinden, bitte. Ich bin jetzt hier in der Reihenfolge irgendwie ... Ich habe glaube ich ursprünglich weiter unten, aber können es gibt. Genau. Das ist das Hausmeister-Dingens. Excesses left to the reader. Ja, aber wir springen das jetzt. Gut. Dann stellen wir ja fest, die Bandbreiten werden immer höher. Und manchmal wird die auch die Qualität höher, und ich finde irgendwie, die Welt geht scheinbar weg von Telefonkonferenzen zu diesen, wo man auch Screensharing machen kann, und ich habe den Eindruck, immer mehr Leute, die jetzt an sowas teilnehmen, was man auch als Telefonkonferenz machen könnte, schalten dann trotzdem ihre Kamera frei, dass man sie dann sehen kann. Wer findet, dass das zunimmt? Doch einige, ne? Also ich fand es dieses Jahr sehr prägnant. Also Sachen, die vorher reine Telcos waren, sind jetzt plötzlich Videokonferenzen. Und wem hilft das bei der Arbeit? Wer findet es eher störend? Okay, also ihr schnarcht lieber unbeobachtet in der Telefonkonferenz? Kann ich verstehen. Aber so eine Kamera kann man ja auch benutzen, um zum Beispiel so die Atemfrequenz und den Puls zu detektieren. Und rauszubekommen, hat mein Gegenüber gerade Puls, weil ich Gira-Ticket 716B angesprochen habe. Was da seit sechs Wochen in der Q gammelt. Also man kann natürlich nicht wissen, ob er vielleicht vor allem noch zu viel Kaffee hat, aber immerhin ist das ein Anhaltspunkt. Und das ist natürlich klar, wenn es zunimmt, also sobald es eine Plug-in gibt, wo man aus dem Videostream von seiner Videokonferenz noch Zusatzdaten extrahieren kann, also zum Beispiel die Puls- und Atemfrequenz, dann braucht man natürlich Gegenmaßnahmen. Das machen wir dann als In-App-Kauf, oder? Da kann man dann anklicken, welches Profil man heute spielen will. Also Poker-Face für 250, zufriedener Mitarbeiter für 5 Euro, kolirischer auf den Tischklopfer für 6 Euro. Manchmal möchte man sich ja vielleicht über etwas aufregen, worüber man sich schon lange nicht mehr aufregen kann. Und dann ist es ja für die Gesundheit doch viel besser, wenn man einfach sagt, Computer riecht dich mal für mich auf. Ich meine gut, wenn man sich so überlegt, es gab doch diese Emojis, die man mit seiner Gesichtsmimik steuern kann. Und wenn wir das zusammen tun mit Deepfakes, also den Zusammenrechnen von echten Gesichtern auf echte Gesichter, da geht was. Also intelligente Avatare mit Stimmungsanpassung und so, da ist auf jeden Fall ein großes Geschäftsfeld. Ja, und zum Schluss denken wir, dass die Frage des Jahres wird, wenn man dann mit irgendwas interagiert, ist es ein Skript, ist es Machine Learning, ist es KI, ein Mensch wird es ja nicht sein. Wie war doch die Unterscheidung, wenn es Python ist, ist es Machine Learning und wenn es Powerpoint ist, ist es KI? Genau, KI ist Powerpoint Engineering. Und wenn noch irgendwas mit Blockchain und Quantencomputer dransteht, ist es definitiv Powerpoint Engineering. Ja, auch im Umkehrschluss. Wenn ihr da was habt und ihr müsst dann mit umgehen oder so und dann auch die Frage nicht, mit wem spreche ich da, sondern wie löse ich das Problem? Kann ich das Problem noch lösen, wenn mit nur einem Skript? Brauche ich schon Machine Learning? Oder muss ich noch warten? Ja, in diesem Sinne. In diesem Sinne? Sind wir dieses Mal ganz schön pünktlich, oder? Und wünschen euch einen guten Rutsch ins Jahr 1984. Vielen Dank.