 Also gut, der nächste Tag ist von Hanno Böck, eine Suche nach wissenschaftlich geprüfter IT-Sekurität. Er wird sich selbst vorstellen, also nur ganz kurz vor mir. Viel Spaß und ein Applaus für Hanno, bitte. Hallo, also ich bin Hanno Böck. Ich arbeite als Journalist und Hacker. Ich vermeide den Begriff Sicherheitswissenschaftler. Ich denke, das wird dann offensichtlich werden. Wir werden unseren Tag. Normalerweise schreibe ich für Golem in der Regel über IT-Sekurität. Und ich arbeite beim Fasin-Projekt. Das wird von der Linux Foundation Core Infrastruktur Initiative unterstützt. Also in meiner Arbeit in IT-Sekurität gehe ich hin und wieder zu Security-Konferenzen, also nicht nur Konferenzen wie die, sondern auch Messen, wo Hersteller eher Sicherheitsprodukte verkaufen wollen. Also ich habe da eine Handvoll Bilder gemacht. Das ist Next Generation RPT-Verteidigung. Da verkauft jemand was mit künstlicher Intelligenz. Und jetzt bewegt sich alles in die Cloud. Wieso dann nicht deine IT-Sicherheit? Dieser Händler hier sagt, wir sind den Einzige Händler mit garantierter Verteidigung gegen ransomware, garantiertem Schutz. Wenn ich diese Dinge sehe, bin ich jemand eher skeptisch. Ich denke, viele dieser Begriffe haben nicht wirklich eine fixe Definition, sondern sind mehr so Marketingbegriffe. Oder wenn ich weiß, was die machen, denke ich, die Begriffe passen nicht wirklich. Und ich bin nicht der Einzige, der da irgendwie skeptisch ist. Also bei Sicht, ob wir den hier kennen, Theresa Mania arbeitet für Google. Er schaut sich Sicherheitsprodukte an, Sicherheitssoftware. Und sagt, viele dieser Produkte sind selber nicht sicher. Also er sagt zum Beispiel, Avast hat Open Source Code verwendet und eine Funktion ersetzt, die dann die neue Version hatte, ein Buffer Overflow. Die war zwar schneller, aber ja, super. Trend Micro hat zufällig eine Remote-Debunking-Schnittstelle angelassen. Palo Alto Network hat den Speicher-Koroptionsfehler, die eine Option verwendet haben, die nicht funktioniert hat. Und hier versuchte er, AVG Kontakt aufzunehmen, weil ihr Code keinen Sinn ergibt. Und wir hatten Schlagzeilen wie diese hier zum Beispiel. PCWorlds hat Antiviren-Software, macht ein Computer angreifbarer. Oder hier Antivirus-Tools sind nutzloses Checklist und Abarbeitentools. Da war eine ziemlich hitzige Debatte über den Wert von Antivirus-Software, von einem Chrome-Developer hier. Er sagte, Antiviren-Software ist wie Homeopathy. Und dann April King von Firesoft hat gesagt, Antiviren-Softer macht ein Haufen Sicherheitsprobleme für Firefox. Das ist von der Stelle, wo Google fragt hat, Google hat IT-Security-Experten und Benutzer gefragt, was sind die wichtigsten Dinge, die wir machen, Sachen sollten für Sicherheit. Und die Usaminger sagt, das Wichtigste ist Antiviren-Software, aber die Sicherheit, Experten denken das nicht. Das ist nicht mal in den Top 5, Antiviren-Softer zu haben. Also zusammengefasst, es gibt da, die Leute sind sich nicht einig, weder Antiviren-Software überhaupt eine gute Idee ist. Also wie wissen wir, dass Antiviren-Software funktioniert? Und das anzuschauen, werde ich jetzt mal über was komplett anderes sprechen. Also ich werde, ja, die Industrie benutzt oft Analogien aus der Medizin, wie zum Beispiel, naja, ein Virus, also es ist ja nicht etwas aus der Medizin. Also das hier ist zum Beispiel eine Form von Antivirus, das sind Vitamin C-Tabletten. Also wenn jemand eine Erkältung hat, dann denken die meisten Leute, man sollte Vitamin C nehmen. Leider ist das wahrscheinlich nicht sehr effektiv. Wieso wissen wir das? Ja, wir wissen das, weil wir haben wissenschaftliche Untersuchungen. Wir benutzen Wissenschaft, um zu untersuchen, ob etwas funktioniert. Also für das Vitamin C haben wir hier ein paar Zitate aus einer Studie. Ja, so regelmäßige Aufnahme von Vitamin C hatte kein Effekt auf die Häufigkeit von Erkältungskrankheiten. Also wenn man als normale Person Vitamin C nimmt, dann hat das nicht einen signifikanten Einfluss, aber es kann sein, dass es die Dauer einer Erkältungskrankheit zur Verkürzung. Aber wenn man während einer Erkältung schon einmal Vitamin C genommen hat, hat es keinen weiteren Effekt nachher. Also das ist jetzt von einer Organisation, die Meta-Analysen macht und die meisten sind sich einig, dass diese Organisation sehr, sehr hochwertige medizinische Studien herausgibt. Also wenn wir wissen wollen, in der Medizin zum Beispiel, wie zum Beispiel ein Medikament oder Vitamin C funktioniert, dann macht man einen Randomized Control Trial. Also man nimmt eine Gruppe Leute, die eine Krankheit haben und die teilt man zufällig in zwei Gruppen ein. Es ist sehr wichtig, dass man das zufällig macht, weil wir wollen keinen irgendwie komischen Statischen Effekt haben, wenn zum Beispiel, wenn die eine Gruppe kränker ist, als die andere, das beeinflusst das Resultat. Also man muss diese Aufteilung in zwei Gruppen zufällig machen. Also die eine Gruppe erhält dann das Medikament, das man testen will und die andere Gruppe bekommt Placebos. Also tatsächlich ist es in der Regel ein bisschen komplizierter, denn in der Praxis hat man oft ein Medikament, das man weiß, dass es funktioniert und die Frage ist dann eher, funktioniert das Medikament, das ich testen will besser als das, was ich schon habe und dann gibt es noch irgendwie eine Alternative zu Medikamenten, die man testen will, zum Beispiel legen wie Sportübungen oder sowas, also oder dann will man vielleicht auch herausfinden, ob das Medikament zusammen in Plänsplottübungen besser ist. Aber dann, uns ist meistens eine Einzelstudie nicht wichtig. Es können viele Sachen schiefgehen. Was für uns wichtig ist, ist der komplette Beweisstand insgesamt. Und deswegen machen wir eine Meta-Analyse. Wir suchen alle Studien, die es zu einem Thema gibt, wo es die meisten kontrollierten Studien gibt und wir kombinieren die Ergebnisse. Wir fassen jetzt zusammen, dass es manchmal kompliziert, weil die Studien unter Gruppen der Bevölkerung genutzt haben kann, die sind nicht immer vergleichbar, aber das ist die allgemeine Arbeitsweise. Wir haben viele Studien kombinieren die Ergebnisse und dann haben wir die gesamte Beweislast. Wir nennen das Evidenz- oder Beweisgeführte Medizin. Das heißt, wir benutzen Ergebnisse von Untersuchungen als sehr hohe Qualität. Ich möchte darauf hinweisen, dass wir da das Ganze nicht aus einer idealisierten Perspektive betrachten. Es gibt nämlich in der Realität Probleme. Eines der Hauptprobleme ist das eines der wichtigsten frei verfügbaren Paper. Das beschreibt, warum in den Studien manchmal Fehler sind. Das Mittlere zeigt uns ein Problem, das in den letzten Jahren besprochen wurde. Es gab ein großes Experiment um Studien in der Psychologie, zu wiederholen. Sie konnten nur ein Teil der Ergebnisse replizieren, nur etwa 30 Prozent. Die meisten Studien scheinen fehlerhaft zu sein, oder aber die Wiederholung ist schwierig. Aber das Problem ist nicht nur auf die Psychologie beschränkt. Es gibt das Problem auch in anderen Feldern der Wissenschaft, zum Beispiel in der Krebsforschung. Und das unterste zeigt, dass viele klinische Studien gar nicht veröffentlicht werden. Was auch sehr wichtig ist, das heißt, die Wissenschaft, die wir sehen, ist nicht die ganze Wissenschaft, die auch tatsächlich passiert ist. Wir haben oft die Lage, dass eine Studie durchgeführt wird. Und das Ergebnis zeigt, ist es interessant genug, um zu veröffentlicht werden? Oder wirft man das Ganze weg? Wenn wir sozusagen evaluieren wollen, was gute oder schlechte Wissenschaft ist, dann gibt es ein paar Dinge, die wir uns anschauen können. Das heißt, wenn es nur sehr wenige Leute geben, mit denen Untersuchungen gemacht werden, das ist ein Hinweis. Wir haben das zum Beispiel, wenn die Leute sagen, wir haben das mit zehn Leuten getestet, und dann sagen wir, das bedeutet wahrscheinlich nicht so viel, das können vielleicht Zufall sein. Ein weiteres typisches Problem ist mit der Bericht über, sozusagen, Wissenschaft. Korrelationen werden so gezeigt, als wären das gute Ergebnisse. Das heißt, wir haben einen Datensatz, und wir finden aus, dass alle Leute, die Eigenschaft A haben, haben auch Eigenschaft B. Und dann denken wir, okay, Eigenschaft A führt zu Eigenschaft B. Aber es könnte auch genau umgekehrt sein, dass B zu A führt. Das ist der sogenannte Confounder. Wir haben einen Faktor, den wir gar nicht kennen, der für A und B verantwortlich ist. Und das ist ein Problem in fast allen Studien, wo ein bestehender Startensatz verwendet wird. Und deswegen macht man Kontrollgruppen, wo wir Gruppen in zwei Gruppen aufteilen, nach Zufall, um herauszufinden, ob es andere Faktoren gibt, die Ergebnisse beeinflussen. Und manchmal haben wir nur eine einzelne Studie über ein Thema oder vielleicht sogar nur sehr, sehr wenige. Und wir möchten, dass gute Wissenschaft so viele Studien wie möglich darauf basiert. Und wir möchten auch, dass die Studien voneinander unabhängig sind. Dann haben wir, sozusagen, den Veröffentlichungsvorbehalt. Wir sehen nicht alle Studien, die durchgeführt wurden. Es kann beispielsweise einen Grund geben, dass eine pharmazeutische Firma eine Untersuchung eines Medikaments macht. Das Medikament ist in der Studie, funktioniert nicht. Und das heißt, sie machen dann so lange Studien, bis eine sozusagen zeigt, dass das Medikament hilft und die wird dann veröffentlicht. Das heißt, wenn wir nur die Studien mit guten Ergebnissen uns anschauen und die Negativen nicht. Und wenn wir dann diese Ergebnisse sozusagen in der Metaille sie verbinden wollen, dann bekommen wir einen Resultat, das nicht der Wahrheit entspricht. Ein weiteres Problem ist sozusagen Veränderung des Ergebnisses. Das heißt, man sucht sozusagen nach Ergebnissen. Wir haben Ergebnisse gefunden. Sie passen nicht zu deiner Theorie. Und dann versuchen wir so ein bisschen rum. Wenn wir ein bisschen was verändern, wenn wir nur eine Teilmenge der Ergebnisse verwenden, vielleicht kann ich dann doch etwas beweisen, was meiner Grundtheorie entspricht. Und wenn wir lang genug suchen, dann können wir unsere Meinung auf der Basis von zufälligen Werten dann stützen. Das ist eigentlich kein Problem. Aber man muss sagen, okay, ich arbeite so. Wenn man erst für eine Sache gesucht hat und danach nach der anderen, dann muss man deutlich darauf hinweisen, dass sich die Richtung geändert hat. Im besten Fall sollen alle Studien, sollten manche die auf der Basis von statistischen Untersuchungen sein. Da sollte vorher geprüft werden, was man eigentlich tut. Das heißt, ich möchte ein Medikament untersuchen. Ich möchte zufällige Gruppen verwenden. Und dann habe ich eine Registratur, in der das alles veröffentlicht wird. Wenn ich am Ende dann meinen Untersuchungsschwerpunkt verändere, dann sehen das die Leute, die meinen Untersuchungsgebnis erlesen. Aber aktuell sind wir noch weit davon entfernt. In der Medizinforschung passiert das. Das ist noch nicht ideal. Es gibt noch viele Schwierigkeiten. Aber zum Glück ist es leider in den meisten anderen Feldern noch gar nicht so weit. Also gehen wir zur IT Security zurück. Hier ist ein leeres Leid. Das ist Absicht. Das ist sozusagen die Liste aller zufälligen Untersuchungen für IT-Sicherheitsoffen. Es gibt Leute, die machen Antivirustests. Die sehen so ein bisschen aus wie Wissenschaftliche Tests. Aber ich glaube, dass die Methode, die Sie verwenden, grundsätzlich falsch ist. Was Sie meistens machen, Sie verwenden eine Sammlung von Melvier, die hoffentlich der Realität entspricht, was draußen unterwegs ist. Und dann gucken Sie, welche Software was findet und welchen nicht. Das hat viele Schwierigkeiten. Wenn man eine Melvier findet, kann das sein, dass wenn man sie nicht findet, dass die Melvier ausgeführt wird. Es könnte sein, dass die Melvier versucht, ein Browser-Exploit zu verwenden. Und der Exploit greift aber nur eine alte Version, an die der Benutzer gar nicht hat. Und Sie gehen beispielsweise nicht davon aus, dass man auch was anderes verwenden könnte wie Antivirus zum Beispiel, Updates verwenden, Anwendungen, Weitlisten und so weiter. Und die Grundlage dieses Tests ist, dass die einzige Lösung ist Antivirus und man muss eben Antivirus-Pulten miteinander vergleichen. In diesen Studien geht man nicht davon aus, dass die Antivirus-Software selber ein Sicherheitsrisiko ist. Und Sie testen die in der Regel nicht mit echten Endanwendern, sondern in einem Labor. Und das ist sehr weit verbreitet, dass die Statistiken nicht auf einer guten Basis sind. Zum Beispiel das Zählen von CVEs. Das sind Nummern für, einfach Nummern für Sicherheitsschwächen. Und manche Leute zählen diese Verwundbarkeiten, sagen Windows hatte so und so viele, Linux hatte so und so viele. Und dann sagt man eben, Windows oder Linux war besser. Aber das ist komplett falsch, weil diese CVEs gar nicht umfassend und vollständig sind. Und wenn ihr mir nicht glaubt, dass man einen Talk von demjenigen, der die CVEs erfunden hat und er sagt, warum man solche Statistiken nicht auf der Basis von CVEs machen kann. Mein Gefühl ist, dass IT Security in den meisten Fällen nicht auf wissenschaftlich erhobenen Beweisen beruht. Darüber mache ich mir Sorgen, weil ich arbeite in der IT-Sicherheit und ich versuche da einen wissenschaftlichen Ansatz zu verfolgen. Und wenn mir jemand sagt, das ist gesund, dann frage ich, hast du mir Studien, die das belegen können? Ich glaube, das nicht. Und meistens ist die Antwort auf meine Frage die Beweise. Gibt es nicht. Gibt es aber nicht ganz viele wissenschaftliche Paper und Konferenzen zum Thema IT-Sicherheit? Und schauen wir uns mal die am häufigsten zitierten wissenschaftlichen Papiere zur IT-Sicherheit an. Natürlich, wenn man nur die Zitierungen zählt, das ist wiederum auch eine kontroverse Metrik. Ich gehe da mal nicht tiefer da rein, aber da gibt es eine Debatte dazu, ob man diese Impact-Faktoren verwenden soll oder nicht. Aber wenigstens gibt es uns die grobe Richtung vor, was sind die meisten wissenschaftlichen Paper, die andere Wissenschaftler für wichtig erhalten? Diese Papiere sind von 2012 bis 2013. Das erste ist Candidate Indistingual Obfuscation and Functional Encryption by Four Auto Circuits. Wenn wir den allgemeinen Endanwender haben, der benutzt E-Mail, der benutzt ein Browser-Festball und so weiter, wie wichtig ist dieses Paper für ihn? Wenn ihr dafür eine Antwort habt, dann sagt man das bitte später. Und man könnte die gleiche Frage stellen für die anderen Paper ebenfalls. Ich musste bis zum Punkt 11 gehen, um etwas zu finden, das es sich mit Software handelt. Das war ein Paper über Shards of Death für Android-Betriebssysteme. Und Nummer 20 war auch ein Paper, der sich mit echter Software behandelt. Das ist das Paper, was für mich wichtig ist, weil ich mit Krypto arbeite und das geht hier um Angriffe auf Kryptografie. Es ist eine zeitbasierte Angriff und es ist sehr schwierig, diesen Angriff durchzuführen. Es ist so schwer, diesen Angriff durchzuführen, dass dieser Angriff in der realen Welt einfach nicht machbar ist, um eine reale Person anzugreifen. Aber das sind die Paper, die wissenschaftlichen Artikel, die wir spannend finden, weil wir sagen, hey, die haben diesen interessanten Angriff durchgeführt. Das ist großartig. Das verändert die Grundlagen der Kryptografie. Und es hatte da auch einen großen Impact auf die Wissenschaft und ich bin stolz darauf, dass ich einen kleinen Fehler darin gefunden habe. Der ist aber nicht so wichtig. In dieser ganzen Liste mit 26 Papers gab es nicht ein einziges Paper, welches sich mit normalen End-Anwendern beschäftigt hat, was passiert, wenn echte Benutzer das Internet verwenden und was es da für Sicherheitsprobleme gibt. Das heißt, der End-Anwender scheint nicht für den Wissenschaftler in der IT-Sicherheit wichtig zu sein. Mein Gefühl ist es, die meiste wissenschaftliche Forschung ist Grundlagenforschung. Wenn wir über Homomorphe-Verschlüsselung sprechen, Fuskierung, Kryptotheorien, das ist vielleicht interessant für Produkte, die es in der Zukunft gibt, das ist richtig. Grundlagenforschung ist völlig in Ordnung. Aber wir scheinen die Anwendung von Wissenschaft zu vergessen. Wenn wir uns die praktische Forschung angucken, dann geht sie auf interessante Unterprobleme, aber nicht die wichtigsten. Das ist auch okay, aber ich glaube, wir vergessen einen ganzen wissenschaftlich relevanten Bereich. Was würden wir machen? Wir möchten eine zufällig ausgewählte Kontrollgruppe für Untersuchung von Sicherheitsoffen machen. Wir brauchen eine große Gruppe von End-Anwendern. Wir teilen die völlig zufällig auf. Sie benutzen unterschiedliche Sicherheitsoffen, die eine Gruppe benutzt alternative Behandlungsmethoden, wie zum Beispiel regelmäßige Updates und Application-Wide-Listungen, was als allgemeine Alternative akzeptiert ist. Eine andere Gruppe bekommt Training. Die werden ausgebildet. Wir müssen nicht auf diese Attachments klicken. Ich glaube nicht, dass Training für Benutzer eine gute Idee ist, aber wir sollten das mal testen. Oder wir haben eine Gruppe, die als Placebo dient, die arbeiten genauso weit wie zuvor. Und dann zählen wir Security-Inzidenz, also Sicherheitsvorfälle. Es ist natürlich schwierig, das zu definieren. Es kann auch andere Faktoren geben. Wir können auch gucken, welche Nebeneffekte es gibt, stürzen Dinge ab, wird es langsamer, wie viel kostet es, gibt es Ausfallzeiten. Und nach einiger Zeit vergleichen wir die Ergebnisse. Und dann habe ich das mit Leuten besprochen, bevor ich diesen Talk gemacht habe. Und die ersten Leute haben gesagt, oh, das ist ja wirklich anstrengend. Und das ist schwierig. Es gibt ganz viele Probleme bei diesem Vorgehen. Ja, und ich bin da genau der Meinung, das ist wirklich hart, aber Wissenschaft ist anstrengend und schwer. Das heißt aber nicht, dass wir es lassen sollten. Also gut, einige Probleme, die hier auftauchen. Also man kann sich fragen, ja, wie sieht das aus mit Ethik? Also man gibt gewissen Leuten Security-Produkte, anderen nicht, setzt man die einem Risiko aus? Aber wenn ihr daran denkt, in der Medizin haben wir ja nicht genau das gleiche Problem. Also wenn man Medikament testet, dann gibt man das einigen und anderen nicht. Aber es kann ja auch sein, dass dieses Medikament einigen hilft und anderen nicht. Aber es kann auch sein, dass das Medikament neben wirkungen hat und dass man so diese Leute einem Risiko aussetzt. In der Medizin sehen wir es grundsätzlich so, dass, wenn man nicht weiß, ob ein Medikament funktioniert, dann sollten wir das ausprobieren, das hilft vielleicht Leuten in der Zukunft. Dann was anderes, habe ich auch schon gesagt, ja, wie können wir wissen, was ein Security-Problem ist oder was heißt genau, was ist denn ein Hack oder ein Sicherheitsproblem, das auftaucht? Je nachdem, wie man das genau definiert, haben wir dann ganz andere Resultate. Also wenn man jetzt zum Beispiel jemanden vergleicht, der wirklich gezielt angegriffen wird, sieht das anders aus, als wenn man jemand hat, der so normale Internetprobleme hat. Also ja, ich sage ja nicht, dass es einfach ist. Da gibt es viele Dinge, die man noch zuerst lösen muss. Ich denke, die Sicherheitsanwendung, wie zum Beispiel Antivirn Software, sind nur ein Beispiel. Es gibt viele andere Dinge, die wir testen können. Da geht es zum Beispiel Gabis Sicherheitsfeatures von Programmiersparen, also ist zum Beispiel Rust besser als C++, ich denke schon, aber das muss man halt testen. Oder bei Browsern, also ist Browser A besser als Browser B, muss man halt testen. Und dann möchte ich noch ein Beispiel machen, das ist gleichzeitig ein gutes und schlechtes Beispiel. Also es ist ein Tweet von FTC, also der Handelsaufsichtsbehörde der USA, und die sagen hier, bitte durch, bitte, eure Lieben, die Passwerte oft zu wechseln. Also die Handelsaufsicht hat dann irgendwann rausgefunden, die haben eigentlich keine wissenschaftliche Grundlage, dass das ein guter Tipp ist. Dann haben sie sich gefragt, wieso empfehlen wir denn das? Dann stellt sich raus, ja, das machen wir halt selber so, deshalb muss das wohl gut sein. Und dann haben sie angefangen das Gegenteil zu empfehlen. Also, ja, die haben sich das angeschaut, haben ein paar Studien dazu angeschaut und sind zum Schluss gekommen, dass zwingend oft das Passwort wechseln zu müssen, ist wahrscheinlich keine gute Idee. Ich habe die Studien angeschaut, die da Bezug dazu gemacht wurden, also ich war nicht so glücklich. Also die Qualität dieser Studien war nicht wahnsinnig gut. Also es hat basiert auf, nur auf Daten, die aus der Praxis stammen. Also sie haben kein Experiment aufgesetzt, sondern die haben nur Daten von Firmen angeschaut, die zum Beispiel zu einem Zeitpunkt eine Password-Change-Police hatten und dann nicht mehr in einem Paper haben, die probiert, ein theoretisches Modell zu machen. Aber eben die Grundlage für alle Studien war einfach Messdaten aus existierender Betrieb. Und dann haben die auch so Dinge wie Passwort Entropie angeschaut, aber das ist nicht wirklich was uns interessiert. Also uns interessiert werden meine Daten gestohlen oder so was und möglicherweise ist ein gutes Passwort ein guter Indikator davon. Aber es gibt natürlich andere Faktoren. Also zum Beispiel, wenn man ein Passwort an mehreren Orten verwendet, dann wäre das zum Beispiel schlecht, selbst wenn es ein gutes Passwort ist. Und in der Medizin nimmt man das ein surrogate Endpoint. Also wenn man etwas misst, das nicht eigentlich das ist, was einem direkt interessiert, sondern nur ein Indikator für das, was einem interessiert. Das wird generell als Studie von niedlicher Qualität angeschaut. Also ja, das Gute ist, die FTC hat herausgefunden, wir haben eine Aussage gemacht, die nicht aufgrund der Wissenschaft ist, aber und haben das korrigiert. Leider war dann alles, was das korrigiert, haben ihr auch Sorge nicht auf wirklich Studien von guter Qualität gemacht. Zum Abschluss habe ich noch eine Dinge, bei denen ich finde, ja, das scheint mir der richtige Ansatz zu sein, aber da gibt es immer noch ein paar Fragen offen. Also es gibt Dinge, Risiken gegen die wir uns schützen müssen, aber die können wir noch nicht wirklich gut einschätzen. Also zum Beispiel diese ganze Debatte über Post-Quantum-Kryptography. Also müssen wir uns schützen geben, Quantum-Computer-Angriffe. Also es gibt diese heute noch nicht, aber vielleicht wollen wir uns trotzdem auf eine Welt vorbereiten, in der Quantum-Computer existieren. Oder dann, was ist auch zum Beispiel mit Reproducible-Bilds. Also was ist, wenn ein Staat ein Debian-Entwickler beeinflusst und den zwingt, Pakete zu manipulieren? Ich weiß nicht, ob ein Angriff von dieser Sorte je schon passiert ist, aber vielleicht wollen wir uns trotzdem gegen diesen Angriff schützen. Und dann gibt es noch Dinge, die man nicht untersuchen soll. Also es gibt einfach zum Teil Behauptungen, die grundsätzliche wissenschaftlichen Grundlagen widersprechen. Also zum Beispiel sowas wie Kompletterschutz vor Malware. Also das verletzt das Halteproblem. Also es ist im Prinzip beweisbar falsch diese Aussage. Also ja, genauso wie in der Medizin, gewisse Dinge Behauptungen einfach nicht stimmen können, basieren auf den physikalischen Gesetzen. Also zusammenfassend, heute ist IT-Security oft nicht auf wissenschaftliche Grundlage gestellt. Ja, wir verlassen auch Experten oder noch schlimmer auf Marketing. Also wir wollen wissenschaftlich geprüfte IT-Security, aber das existiert noch nicht. Danke. Ja, ich habe gesagt, wir haben wohl keine Zeit für Fragen, aber vielleicht haben wir Zeit für eine. Wenn es medizinische Studien gibt, dann gibt es ja diese Dokumentation. Das heißt, weder der Experimentator noch die Teilnehmer wissen, ob es ein Placebo gibt oder die Medizin, kann man das in einem Test so nachbauen, damit die Leute gar nicht wissen, ob sie das Placebo haben oder nicht. Das ist ein guter Punkt. Also Studien von Blinden, ob man das machen kann oder nicht, hängt von der Situation ab. Wenn es in einem Ort ist, dass der User da wirklich was machen kann, dann kann man das nicht wirklich gut verblinden. Ja, leider haben wir nicht Zeit für weitere Fragen, aber Hanno ist bereit, hier noch Fragen zu beantworten, wenn ihr welche habt. Danke.