 Ja, herzlich willkommen zum CCC Camp 2015. Ich glaube, es ist wichtig, sich nochmal das Datum vor Augen zu führen, weil viele Freundinnen und Freunde, die hier im Publikum sitzen, erinnern sich, glaube ich, dass es nicht mein erster Talk zu Windows-Problemen ist. Und in der Tat ist das eine Sache, die uns seit sehr langer Zeit beschäftigt, aber jetzt eine Eskalationsstufe erreicht ist, die mich so verärgert hat, dass sie sogar ein schönes Schild hochgehoben haben in der Zeit. Es ist jetzt wirklich so, dass bei Windows 8 und vorher immer von der Seite von Microsoft noch eine gewisse Bereitschaft war, Rücksicht zu nehmen auf diese ungewaschenen Friegs, die Linux auf den Windows-Maschinen implementiert und gestartet haben. Diese Maske fällt immer mehr. Microsoft ändert sein komplettes Geschäftsmodell und mit Windows 10 werden wirklich den Nutzern ganz central die Kontrolle über die eigene Hardware und Software entzogen. Sofern ist es wenig verwunderlich, dass sich Fefe darüber wundert, dass Microsoft sogar den Recovery Key in die Cloud hochlegt und damit natürlich alle Daten für Leute, die die Sachen abhören, durchaus entzifferbar machen. Das ist eine Sache, die sich Microsoft wirklich fragen lassen muss, ob sie angesichts der aktuellen Rechtslage wirklich verantworten kann, Kundendaten massiv in der eigenen Cloud zu speichern. Aber der Reihe nach noch einmal zur Erinnerung, um was geht es? Es ist ein Konzept namens Trusted Computing und das war schon im Ende des letzten Jahrtausends in der Diskussion und viele Kryptografen haben sich die Sache angeguckt. Zentral, meine Folie, auch schon von damals, 2002, ist die Folie von Ron Ribes, der in RSA, derjenige, der RSA entwickelt hat, der die Hash Funktion entwickelt hat, der RC4 entwickelt hat, also der Kryptograf, der eigentlich den wirklich tiefgreifendsten Einfluss auf die Verschlüsselung im Internet genommen hat über die Jahre und er hat eigentlich relativ einfach formuliert. Im Prinzip tut man Teile seines Computers an Leute ausleihen, die man nicht unbedingt vertraut. Also ganz konkret, wenn wir zukünftigen Rechner kaufen, ist ein Gerät drin, wo ein Schlüssel ist, der uns schützen soll, aber der insbesondere auch für uns geschützt werden soll. Wir haben wirklich nicht mehr die volle Kontrolle auf unserem System und wir haben schon vor vielen Jahren gewandt, dass das kathalrechtliche Probleme mit sich bringt, wenn man andere Software installieren muss. Und, Entschuldigung, ich weiß, Hacker haben die Tendenz zum Klug scheißen, Professoren sind da anders, die haben nur die Tendenz zum Besserwissen. Die Warnung, dass Microsoft die Sache deaktivieren kann, wurde von Anfang an klar kommuniziert. Inzwischen haben wir, ich habe hier den topgeheimen, heiße Security Newsletter irgendwie, jetzt auch mal wiedergenommen, haben wir die Situation, dass in der Tat Microsoft andere Systeme, die aktiviert hat, die haben nicht nur die Möglichkeit, um es mal juristisch zu formulieren, sie haben es auch mehrfach umgesetzt. Eine Sache war, wie gesagt, im Dezember 2013 wurden auf einmal Bootsystem aller Hersteller deaktiviert mit nicht unbedingt befriedigen Begründungen, beziehungsweise je stärker man danach gefragt hat, desto mehr ist man in Sorgen gekommen. Gut, gehen wir mal einen Schritt zurück. Leute haben im Prinzip die freie Entscheidung, ob sie so eine abgesicherte Windowswelt betreten wollen oder nicht. Theoretisch, ja, durch die Marktdürfsträngung müsste man kathelrechtliche Fragen stellen, aber nehmen wir das einfach mal an. Insofern, wir haben jetzt Leute, die sagen, sie kümmern sich um alles, dann sollte man mal kritisch angucken, machen sie das einigermaßen akzeptabel. Und auch hier wieder der Hinweis an die Vergangenheit, diese ganzen Konzepte und die Algorithmen, die vorgeschlagen sind, sind über 10 Jahre alt. Und das führt zu einem ganzen Stall von Problemen. Ich habe das hier nur mal exemplar. Es gibt Standardfehler in Standarddokumentationen. Es gibt ungenügend Sicherheitsparameter, Sicherheitsparameter, die schon Anfang dieses Jahr tausends kritisiert werden, werden unverändert weitergeführt. SHA1, S.A. mit einer nicht ausreichenden Schlüssellänge von 2048, wird einfach weitergeführt. Es gibt schlicht und einfach kryptografische Fehler. Es gibt Sicherheitsprobleme durch die Integration. Die ganze Zeit wird uns Trusted Computing verkauft, das ist ein neuer Sicherheitsbaustein. Den können wir sicherer bauen als integrierte Systeme. Genau dieser Punkt ist aufgeweicht worden, bzw. haben wir die Situation, dass es aktuelle Systeme sehr häufig wirklich hoch integrierte Lösungen haben, wo auch dieser Sicherheitschip nur ein Teilchip ist. Hier muss ich wenig sagen, wenn man Sicherheitschips deswegen sicher macht, weil da eine Hardware-Schranke ist, dann ist es in den meisten Fällen kein guter Idee, diese Hardware-Schranke aufzugeben. Insofern werden wir Hacker möglicherweise mit den hoch integrierten Sachen hinreichen, viel Spaß haben in der Zukunft, dazu am Ende des Vorschlags. Vielleicht sind wir einfach zu verrückt und zu besorgt und denken zu viel um Ecken. Ich werde an zwei, drei Punkten zeigen, dass die Sicherheitslage sogar noch katastrophaler ist. In kurz gesagt, man braucht gar keine Hacker-Skills, um hier ein drastischer Sicherheitsprobleme zu induzieren. Ein, um zunächst einmal den Standard-Fehler zu machen, es ist ein Problem, wenn man in Standards irgendwie schreibt, es schreibt, es meh und so weiter. Schutt und meh sind so Sachen, es wäre schön, wenn wir das machen würden, aber egal, wenn du es nicht machst, könnte man sagen, na ja, trotzdem sind Empfehlungen was Gutes, aber denkt bitte immer dran, wenn man als Entwickler zu seinen Geldgebern oder das Geldmanagern geht und sagt, ich möchte einen neuen Tipp machen und ich möchte ihn sicherer machen, dann müssen wir die Kapitalisten gar nicht verdrechen dafür, das ist in gewissen Maßen ihr Job, ein Job der Leute zu sagen, was kostet das. Gibt es eine billigere Lösung und die billigere Lösung ist natürlich die alte Kryptografie die nicht neu entwickelt werden muss. Also insofern, wenn wir in der Welt leben, wo die Leute, die das Geld vergeben, ein stärkeres Wort haben, als die Leute, die Sicherheit betreiben oder ingenieursmäßig Sachen machen, kann man sich überlegen, was daraus kommt. Und am Ende muss ich jetzt glaube ich auch nicht zu hakka polemisch werden. 2048 Bit, da kann ich einfach die Signatur-Gesetzrichtlinie mir anschauen, ist allenfalls für mittelfristische Sicherheit geeignet. Müssen wir nicht rum ideologisieren, klicken wir einfach auf die Vorgaben und dann werden wir sehen, dass mit nichtem ein Schutz von 2048 Bit für ausreichend angesehen wird, für die Laufzeit von aktueller Hardware und auch aktuellen Betriebssystemen. Und meine Lieblingsgeschichte ist natürlich die Weiterverwendung einer gebrochenen Hechtfahrt zu Schaar 1. Und hier ist ein Punkt, wo ich wirklich gesagt habe, da ist mir es wirklich zu doof. Ich habe danach Artikeln gegoogelt, habe einen guten gefunden und habe gemerkt, das ist mein eigener Rückschauartikel aus der Datenschleuder von 2005. Ich muss mal ganz klar zu sagen, das war gar nicht meine Leistung. Ich habe mich 2005 mal hingesetzt und habe gesagt, Leute, Schar 1 ist seit 10 Jahren kaputt oder Schar 1 ist im Moment drastisch kaputt. Ich habe das einfach mal aufgeschrieben. Es ist auch noch online. Und nochmal, wir sind jetzt 10 Jahre weiter und es ist inzwischen auch nicht bestritten. Es gab auch irgendwie umfangreiche Wettbewerb für Schar 3. Es gab Empfehlungen, Schar nimmer zu benutzen. Aber im Trusted Computing ist weiterhin eine Unterstützung von Schar 1 ab. Ich habe eben die freundliche Möglichkeit gehabt, bei der Standardisierung innerhalb des deutschen Dienenprozesses ein bisschen mitzuarbeiten. Und es wurde auch vom deutschen Dienenprozess durchaus eine deutliche Kritik an diesen Sicherheitsproblemen von Schar 1 geäußert. Diese Kritik wurde von den internationalen Normen leider nicht umgesetzt. Auch hier gibt es ein bisschen unspektakulärer Liege als andere Liegs-auf-Netz-Politik. Aber es war trotzdem sehr interessant zu lesen, dass in dieser Standardsache es Abstimmungsergebnisse war, dass zwei Gegenstimmen gegen diese kryptografisch-problematischen Sachen gab und die kamen interessanterweise aus Deutschland und der Volksrepublik China. Also insofern habe ich vor ein paar Monaten gesagt, dass die Diskussion, ob man für Windows 8 und die Sicherheitsimplikationen warnt, die im Moment in der Bundesregierung geführt wird, in China natürlich anders gelöst wird. In China ist die Installation von Windows 8 auf das Rechnersystem verboten. Und ich bin mal gespannt, ob da nicht eine ähnliche Fatwa in Richtung Windows 10 in Kürze kommen. Um nur die Punkte zu machen, die kryptografischen Probleme sind hochrelevant. Integritätsprüfung ist angreifbar, Zertifikatssachen ist angreifbar. Auch hier gab es einen schönen Talk auf einem früheren CCC-Kongress, wo eine Gruppe von holländischen Wissenschaftlern, wo auch Jacob Applebaum beteiligt war, gezeigt hat, dass diese kryptografischen Schwächen wirklich durch Direkt genutzt werden können. Um Zertifikate zu fälschen. Und das ist natürlich eine absolute Katastrophe in einem Bereich der Sicherheit. Kleine weitere Fußnote, das habe ich im heut morgigen Kryptotalk auch erwähnt. Schar1 kommt 1 zu 1 aus der NSE. Es ist keine Verschwörungstheorie, das steht irgendwie in den Entwürfen da. Und ich sage jetzt auch mal wirklich kryptografisch eine der wenigen Sachen, wo ich was aus den Notendokumenten noch lernen konnte, war die Sache, dass im Bereich der Hechtfunktionen die NSE noch ein paar schmutzige Tricks drauf hat, die wir erst hinterherforschen müssen. Sind wir in Arbeit, wird nicht mal lang gehen. Aber wir haben die Situation, dass die beste Organisation für Angriff auf Hechtfunktionen, nämlich die NSE, selber Hechtfunktionen designt. Kein warm und fassivielige. Und das ist auch keine Verschwörungstheorie. Schar3 hat für den neuen Standard Schar3 wirklich einen neuen Wettbewerb ausgeschrieben, wo die Offenheit und die Beckdorffreiheit wirklich relativ zentral genannt worden ist. Und Schar3 ist jetzt in den letzten Tagen auch durch diese offiziellen Prozesse durchgelaufen. Gut, ich bin mehrfach gebieten worden von Leuten, auch mal ein bisschen grifflichere Parolen zu machen und für das versprochene Update der Sicherheitsprobleme, die ich in weißer Voraussicht am Kongress gesagt habe. Wir werden wahrscheinlich aufm Camp ein paar lustige Sicherheits-Updates haben. Wäre ich in den nächsten paar Minuten machen traditionsgemäß, wäre ich nach der bösen Bemerkung die Krypto-Zombies bedrohen Windows. Nur die seriösen und freundlichen Kollegen von Heiße Security zitieren. Das ist weitgehend lustig genug. Warum habe ich mich entschlossen, also dieses schöne Krypto-Zombiebegriff zu verwenden? Na ja, was sind Zombies? Das sind Sachen, die schon längst tot sind, aber immer noch bedrohlich rumlaufen. Und der erste Kandidat dafür war Freak. Um noch mal klar zu machen, hier ist eine komplette Sicherheitskatastrophe entstanden, weil in den 90er-Jahren die Amerikaner der Meinung waren, dass sie Kryptografie-Software nicht exportieren dürfen. Junge Leute, die damals Kryptografie aus Amerika rausgebracht haben, waren Waffenschmuggler. Ich war jung und habe sowas natürlich nicht gemacht damals, aber es war eine ein bisschen entspannterer Situation im heutigen Bereich mit der Terrorhistorie, wäre das wahrscheinlich noch unlustiger gewesen. Auch vielleicht historische Kämpgeschichte. Die erste Befreiung von PGB war auf dem Camp, ich glaube, auf der HIP-Konferenz 1997, da haben Amerikaner den Sourcecode von PGB ausgedruckt in Bücher, weil Bücher dürfen darf man exportieren, Freiheit der Sprache. Wurde dann auf den Acker in der Nähe von Amsterdam gebracht und dort wurde dann die erste Version von PGB eingescannt und veröffentlicht. Also insofern haben wir auch ein Teil der Geschichte auch in unseren Camps gemacht. Es ist verdammt lang hier, aber diese Probleme, die dann auch, und das möchte ich auch nochmal ganz deutlich sagen, vielen Dank an Werner Koch. Werner Koch hat GPD geschrieben und am Tag nach dem GPD veröffentlicht wurde, haben die Amerikaner die Krypto-Export-Restriction aufgehoben. Also machen wir uns klar, ein verrückter Programmierer, der richtige Sachen macht, kann wirklich eine Weltmacht zum ändern, ihre arroganten Politik führen. Und ich denke, wir sollten Werner Koch gar nicht genug können, Werner Koch kaum genug dafür danken. Und es ist vielleicht auch für eine Sache, die ich mal an Studenten gerne erzähle, während der Meinung ist, dass man mit guten Ideen, die die Welt ändern kann, soll einfach sehen, dass wir durch Internet und Kryptografie und Mathematik wirklich die Möglichkeit haben, dass einer, der mal wirklich die Husband hat, sich reinzusetzen und ein paar Programme ordentlich zu machen, die Sache ändern können. Wie gesagt, Freakatec war von Microsoft dann am 6. März wahrgenommen. Dann gab es ein Workaround, der die Systeme sicherer machen sollte. Und was passierte dann natürlich? Na ja, anschließend funktioniert bei einigen Systemen das Herunderladen. Also Microsoft hat mal wieder sein Update-System zerschossen. Alle Witzen über zerschossene Update-Systeme habe ich eigentlich schon auf ein Kongress gemacht. Insofern will ich jetzt gleich weiterführen, auch mit den größten Worten von heiße Security-Windows-Nutzer-Sinn inzwischen daran gewöhnt, dass es da Probleme gibt. War ich auch ein bisschen schmutzig am grinsen, mein grinsen vergangen wir. Ihr erinnert euch, ich habe gesagt, ein Zombie ist im Haus, nämlich diese Exportrestriktion. Die werden jetzt im Moment ja vom Herrn Cameron in England wieder aufgewärmt. Ich finde mich ganz einfach, dann kann ich meine alten Folien recyceln. Insofern sehe ich das eigentlich mit großer Gelassenheit, weil es war damals eine dumme Idee und ist heute mir vielleicht angesichts der Tatsache, dass die Abhörerei jetzt bestätigt ist ein gutes Ding. Erlaubt mir dann, einen kurzen Innerab zu machen. Die Spinner, die auf diesen Kempferanstaltungen hier vorne saßen, noch einen Echelon erzählt haben, die über Jahrzehnte ignoriert wurden. Denn sollten wir nicht nur, weil es Notendokumente irgendwie gezeigt hat, die Spinner Wahrheit gesagt haben, noch einmal im Nachhinein noch größeren Dank aussprechen, weil es war in der Stimmung, wo man wirklich Probleme gekriegt hat, wenn man sowas Verrücktes behaupt hat, wie dass unsere amerikanischen Freunde uns global abhören. Da möchte ich zum Beispiel auch einem SPD-Vertreter aus Bayern, Herrn Schmidt, danken, der im Europaparlament als Spinnender Einzelkämpfer die Sache durchgefrochten hat. Und jetzt ist glaube ich ein Punkt, den Leuten nochmal zu danken. Und hier ist mir auch ein Bedürfnis, die Leute hier auch auf dem Vortrag hier nochmal ausdrücklich dafür zu ärgen. Gut, schmutziges Grenzen über Windows-Problem ist die eine Sache. Böse Überraschung für Leute, die ein Linux-System drauf haben, ist nicht so richtig lustig. Bei diesem aktuellen Update am 13. März hat Microsoft Dual Boot-Systeme von Windows runtergeschossen. Da hat die ganze Grupputeinstellung zerschossen. Und naja, das klingt jetzt ein bisschen nervig, aber denken wir einfach mal dran, es gibt durchaus eingebettete Systeme, wo Linux und Windows draufrufen oder noch ein altes Windows drauf ist, das irgendwann mal updated wird. Wenn dieses Windows update, dann bootet vielleicht dieses eingebettete System nicht mehr. Noch einmal ist es, Microsoft durchaus zu danken, dass wir 2015 Schar 1 rausschmeißen und Schar 2 integrieren. Wir haben das erst so seit Mitte der 90er Jahre gefordert. Also noch mal vielen Dank, dass Microsoft nach 20 Jahren da vielleicht auf einige Kritikpunkte gehört hat. Es wäre fröhlich gewesen, wenn sie dann nicht alles kaputtgeschossen hatten. Schlimm genug, dass ich meine Folien updaten muss, aber von ein paar Tagen, bevor wir losgefahren sind, gab es eine Blackhead-Session von Stone und Chapman. Die gezeigt haben, dass Windows Enterprise-Systeme einfach komprimitieren kann durch ein Update. Und da will ich nur ein Wort zitieren. Die haben ein böses Update schon fertig zu installieren. Fassen wir noch mal zusammen. Leute wollen unsere Sicherheit komplett managen, die nicht in der Lage sind, ordentlich zu updating. Über Monate lang, sich jetzt schon auf zwei CDC-Events dafür verspotten lassen müssen, die alte Krypto einbauen, die jetzt irgendwie in der Situation sind, selbst wenn alles ordentlich sind, böse Updates eingespielt werden müssen. Es ist ein Punkt da, wo man einfach mal sagen muss, okay, ihr bemüht euch ein paar Sachen. Ich sage nicht, dass Microsoft bewirrt, aber ihr könnt es im Moment nicht. Und wenn ihr es nicht könnt, dann lasst wenigstens unsere Systeme in Ruhe und gibt uns weiterhin die Möglichkeit, da was zu installieren. Und das ist genau das Problem. Das wird verdammt noch mal immer schwieriger. In Windows CDU ist verpflichtend ein Hardware-Gerät, das bedeutet, das ist praktisch ein verpflichtender Einführung eines Trusted-Plattformmoduls. Ein Ausschalter, der Pflicht war, ist nur optional vorgesehen. Also das bedeutet, dass wir demnächst, also Systeme haben, wo wir mit den ganzen schmutzigen Tricks, mit dem Linux im Moment booten oder alternative Systeme große Schwierigkeiten haben. Jetzt wird viele Systeme haben, wo Windows, wo dieses Secure Boot sich gar nicht mehr ausschalten lässt, wir also in dieser Windows-UV-Welt eintreten wollen. Und hier ist einer der wenigen Punkte, wo es die geschätzten Kolleginnen und Kollegen von Heiser Security bekritisieren muss. In dem Zitat, es gibt Probleme mit exotischer Software. Leute, es gibt Probleme mit aller Software, die so entwickelt wurde, wie die freie Software entwickelt wird. Wir brauchen praktisch, wenn wir ein Open-Source-Systeme einsetzen, brauchen wir eine Unterschrift von Microsoft. Im Moment unterschreibt Microsoft einen Bootloader, der im Prinzip alles lädt, der lädt einen weiteren Bootloader und dann geht die Sache weiter. Das bedeutet, Microsoft kann jederzeit eine Unterschrift zurückziehen und erinnert uns von Parfolien vorher. Es ist schon real, mehrfach passiert. Also ich muss noch mal sagen, es ist jetzt schon so, dass ich und meine Freunde jetzt anfangen, irgendwie alte Hardware einzukaufen, weil wir wirklich nicht wissen, wie wir irgendwie ohne große nachhaltige Schmerzen, na ja, wir wissen es, wir werden es auch hinkriegen. Aber wir haben teilweise möglicherweise gar keine Lust, irgendwie mit unserer eigenen Hardware in einen boshaften Hacknarr-Kampf einzutreten. Insofern ist das eine Situation, die massiv die Sache hat. Und nochmal, liebe Freunde bei Heiser Security, nicht exotische Software, seitdem ihr definiert Linux Mint oder Debian irgendwie freie Software entwickelt, die keine Unterschrift hat aus der Microsoft-Welt, also Suzer hat eine Unterschrift, Ubuntu und Redhead sicher natürlich, aber alles, was normale freie Entwicklung ist, wird unendlich schwierig, wird schlicht und einfach auf sicheren Systemen nicht mehr laufen, als sicheren System aus der Sicht von Microsoft, dass man sicher ist, dass da keine alternative Software eingesetzt wird. Kommen wir zu den aufreulichen Sachen. Die Integration ist für uns hackernatürisch ein freies Spiel. Wenn mir diesen Tipp, Sicherheits-Tipp, der seine guten Eigenschaften davon herleitet, dass er ein Sicherheits-Tipp ist mit Hardware-Schutz, wenn Hardware-Schutz aufgibt, dann ist es sehr überraschend, dass dann neue Sicherheitssachen sein. Ich sage jetzt einfach mal ganz deutlich, da habe ich auch mit jungen Talenten der Hardware-Sicherheit schon mal gesprochen, hier in den letzten Tagen. Es wird physikalische Angreifbarkeit geben, wenn diese Funktionalität in System oder Tipps dran ist. Es wird Zeitscheinen an Griffe geben. Wir werden Stromverbrauch und Timing messen. Das ist natürlich ganz besonders lustig, wenn wir das über das Netz machen können. Wie gesagt, Netzwerk-Tipp ist natürlich dann nochmal lustig. Zufallsgeneratoren kann man dann auch lustige Spiele machen. Also nochmal, wenn man ein System hat, das davon lebt, dass es ein eigenständig zertifizierter Tipp ist und die Systeme dann sicherer werden und wir diesen Hardware-Schutz wegmachen, dann muss man sich fragen, was soll der Mist? Dann lassen wir alles in Hardware. Wir müssen keine ihre Hardware-orientierte Einschlusswelt machen, wenn wir es nachher dann praktisch in Software doch realisieren. Also das nochmal zur Einschätzung, dass es nicht nur sicherstechnische Probleme gibt, sondern auch massive Probleme gibt für die Art, wie wir uns mit Computern da sagen. Und wenn Ron Riebes alleine hilft, dann hole ich noch einen weiteren Turing-Preisträger. Wie Diffy, der also die Diffy-Helmen- Protokoll-Familie mitzuverantworten hat, hat relativ deutlich gesagt, dieser Microsoft-Ansatz der führt zur Marktdomination und Lockout. Und kann man sagen, es gibt inzwischen auch konkurrierende Systeme, aber Microsoft versucht, ein massives geschlossene System aufzubauen. Und es bedeutet letztendlich, dass wir in unserer eigenen Computersysteme nicht mehr besitzen, nicht mehr verrückte Sachen machen können. Und das wäre ein Problem dieser Hacker-Gemeinde. Das Problem ist, dass dieser Hacker-Gemeinde halt die Software entwickelt hat, die das Internet voranbringt, die Linux entwickelt hat, die wirklich eine großen wirtschaftliche Bedeutung hat. Dieser Open Source Software-Gemeinde wird dadurch massiv behandelt, verhindert. Und nochmal dazu ist auch kryptografische Antworten relativ kurz. Ohne jetzt riskieren so wollen Slogans zu generieren, sagt VitiFi, er sieht die Notwendigkeit, dass die Besitzer über ihre eigenen Schlüssel verfügen. Und das war 2003 richtig, das ist heute, denke ich, nochmal umso richtiger. Nochmal, TPM-Chip bin ich ein bisschen zündig gewonnen. Diese Folie ist in der Tat eine Folie von dem letzten Vortrag. Ich habe sie drin gelassen, weil das Einzige, wo ich gemeint habe, da hast du mal ein bisschen zu arg auf den Putz gehauen, war hier die Bemerkung, dass wenn die Sachen in China produziert werden, wir mit Backdoors nutzen rechnen müssen, dann habe ich sagen, musst das sein, du hast keine direkten Belege und ich habe es trotzdem drin gelassen, weil, glaube ich, grad vorgestern gab es wieder Berichte, dass es praktisch eine BIOS oder ÖFI, je nachdem, jedenfalls auf der unteren Ebene, dass es generell ankommt, eine Backdoor von Lenovo gab, das ist auch schon das zweite Mal, Lenovo ist ein kleiner mittelständischer Betrieb in der Volksrepublik China, in der auch diese völlig unabhängige Universität Anteile hat. Also Lenovo ist ein Ding, ohne jetzt also polemisch zu sein, ist ein staatsnaher Betrieb. Also das kann man klicken gestern oder vorgestern durch die Sachen, es gibt wieder eine Backdoor. Also diese Folie, die mir im Monat fast peinlich war, weil ich da nochmal gefragt habe, die Amis können abhören, aber was ist mit der Hardware, die in China geproduziert wird? Das haben wir heute jetzt wieder in den Ticker-Meldung oder bzw. gestern. Anderer Punkt, den ich auch nochmal hinweisen will, auch unsere verrückten Sachen, dass wenn man im ÖFI, dieses BIOSystem, das einfach nur sagen können, bute jetzt das System und sei ansonsten ruhig, hat man ein riesiges Monster aufgebaut und Probleme haben. Inzwischen haben freundliche junge Leute sich mal dieses italienische Hack-Team angeguckt und haben diese 400 Gigabyte veröffentlicht und da seid ihr selber eingeladen, den Bereich zu finden, wo ÖFI-Backdoor massiv drin sind. Ich bin da wirklich an den Punkt ein bisschen angefressen, weil genau die Sachen, wo man sich den Mund wußlich redet, werden ignoriert, aber ich muss klar sagen, im Moment ist es keine gute Idee zu regieren. Wir haben eine regierungsnahe Organisation in China, die hat es gemacht. Günstiger Erklärung ist, sie haben nicht gewusst, was sie tun, sie haben Mist gebaut, alles klar, aber es ist Fakt, es gibt ein Backdoor in Hardware aus China und nicht aus dem mittelständischen Betrieb, sondern von Lenovo. Und es gibt ÖFI-Backdoor, die sind in der Wahl drin, die sind im Hack-Team benutzt worden und wenn es irgendwie veröffentlicht ist, dann ist es draußen. Also nochmal ein Hinweis, das, was die Ultraspinerei waren, ist in den letzten Monaten massiv nochmal aufgedreht. Hinweis, wenn man im TPM herstellt extern, insbesondere wenn man das nicht als Hardware-Bau stand, ist der ganze misstraine Software. Das bedeutet, die Klis werden extern generiert und werden in das System gelegt. Das heißt, wir müssen eine Kopie Schlüsseldatei machen. Auch wieder Verschwörungstheorie Spinnerei. Ich möchte darauf hinweisen, dass die Amerikaner einen Chipkartenhersteller in so einem terroristischen Schurkenstart, ich glaube in der Niederlande angegriffen haben und genau das gemacht haben, dass sie die zentrale Schlüsseldatei da wohl geklemmt haben. Und das ist komplette Abwehr. Wenn wir dann ein System haben, wo wir sagen, wir brauchen keine Zusätze, dann sind wir ein Generalschlüssel für alles. Was kann da schon schiefgehen? Möchte erenden mit einer Wiederholung der Forderungen, die da sind? Es ist nicht illegitim, dass Microsoft ein geschlossenes System ermöglichen wird, wie Apple das schon seit Jahren erfolgreich wird. Es ist illegitim, wenn man die Entscheidungskraft der Nutzer wegnimmt. Und es ist auch zentral und da arbeiten wir auch zusammen die Wettbewerbsprobleme machen. Es ist eine zentrale Forderung der Bundesregierung und das war wohlgemerkt, sowohl vom Innenministerien als auch vom Wirtschaftsministerium, dass es optional ist, dass es optin, dass es durch eine freie Entscheidung möglich ist, in dieser Microsoft abgesicherte Welt zu machen. Es muss ein Out sein, man muss wieder lebend rauskommen. Auch das ist immer mehr hardware nicht aktiviert. Wir haben jetzt 2015 wir führen ein neues System ein. Ist es zu viel verlangt, da zeitgemäße Kryptografie zu machen? Ich muss sagen, Microsoft ist zumindest hier drauf eingegangen und hat CHAR2 Update gemacht. Wenn Sie es nächstes Mal so machen, dass es nicht Linux-Systeme dabei abschießen, bin ich Ihnen sogar freundlich gesonnen. Wir haben da eine Schutzfreundliche Kryptografie, zum Beispiel Direct Anonymous Destation und Perfect Forward Secrecy, die sollten pflichtmäßig eingebaut werden. Wir brauchen internationale Kontrolle und Zertifizierung des TPE Herstellungsprozess. Wir brauchen eine Offenlegung und Zertifizierung des Trusted Computing relevanten Codes. Es geht einfach darum, dass auf der untersten Ebene eine gewisse Sicherheit da sind, damit alle noch mitspielen können. Wenn wir weiterhin total kaputte Ufi Sachen machen, dann werden irgendwelche Leute da eindrehen. Und da haben wir Hacker halt ein bisschen die Unschuld verloren. Das sind so Skills, die wir grinsend wahrnehmen. Wir müssen aber damit rechnen, dass es Hacker auf der Welt gibt, die nicht den freundlichen CCC Codecs, dass man exzellent zueinander sein soll und mit Daten irgendwie verantwortungsvoll umziehen. Es gibt Leute, die ihre Hacking Skills für Geld verkaufen. Es gibt Leute, die in China ganz militär waren, die den ganzen Tag hacken. Also, wir sind so, vielleicht für das Ego ganz gut, wir sind in einem wichtigen Spiel. Das Problem ist, das Spiel ist so richtig, dass böse Leute hierher kommen. Und dann mit den Techniken, die wir nutzen, um Systeme zu befreien, um Menschen freundlicher zu machen, halt böse Sachen machen. Bei mir erlaubt, dass wir auch Foxcom nicht in einer Weise ethisch handelt, die ich als akzeptabel ansehe. Und das ist auch ein Ding, den wir in der Hacker-Szene mehr diskutieren wollen. Wir brauchen aber unabhängig davon ein sicheres Grundsystem, ein sicheres Gutsystem, um damit zu sorgen, dass wir weiterhin hardware einigermaßen vernünftig nutzen können. Letzter Punkt. Kartellrechtliche Prüfung von Microsoft ist eine Erleichtung. Es ist so, dass Microsoft nicht mehr der große Spieler ist, in der 2001 war. Trotzdem dominiert er den PC-Markt massiv. Und wenn Microsoft wirklich versucht, da andere Systeme massiv zu behindern, dann ist es eine Frage, ob sich das europäische Institutionen gefallen lassen sollen. Fassen wir nochmal zusammen. Ich befürchte, dass die nächsten zwei Cams uns nicht aufhalten lassen, die Sache voran zu treiben. Ich glaube, spätestens nach den Enthüllungen von Snowden ist klar, dass die Warnungen, die wir hier deutlich aussprechen, wirklich von der Realität zumindest weitgehend erfüllt und eingeholt sind. In diesem Sinne vielen Dank für eure Aufmerksamkeit.