 Und ich freue mich sehr, heute jemanden auf der Bühne zu begrüßen, der eigentlich schon so ein bisschen zum Fast-Urgesteinen von den Datenspuren ist. Also ich habe den Reinhard schon auf sehr, sehr vielen Datenspuren gesehen, der hat schon Lightning Talks gehabt, der ist eigentlich so ein Regular und fast immer auf dieser Veranstaltung zu sehen. Deswegen freue ich mich, Reinhard Mutz hier begrüßen zu dürfen auf der Bühne und sein Talk dreht sich um Digital Privacy, Digital Digitale Selbstbestimmung und bitte einen großen Applaus für Reinhard Mutz mit dem Vortrag Patch Your Passwords. Ja, recht vielen Dank für die Begrüßung, recht vielen Dank für die Ankündigung. Ich muss eigentlich sagen, die Datenspuren heute morgen haben mich auch sehr begeistert. Ich war in dem Vortrag von Anja Hirschstuhl und Patrick Breier. Es ist genau das Thema, was wir eigentlich auch verfolgen und würde mich freuen, wenn ich zum Gelingen der Datenspuren jetzt beitragen kann. Mal ganz kurz was zu mir. Moment. Und schon haben wir das. Oh ja, gut. Da müssen wir nur mal raufgehen. Halt. Gucken wir, dass wir das hier wieder hinbekommen. Dann die zwei Modis so und klicken mit der Maus. So. Über mich ganz kurz. Ich bin seit 6 und 80 in der IT tätig. Mittlerweile habe ich es Rentenaltern erreicht. In meinem Nebenberuf bin ich Präsident von WPA, World Privacy and Identity Association. Der Verein wurde im Dezember 2016 in Graz gegründet. Damals Gründungsmitglieder 18. Mittlerweile sind wir bei 30. Um unsere Aufgaben, die wir uns vorgenommen haben zu erledigen, brauchen wir deutlich mehr Mitglieder. Und was wollen wir eigentlich erreichen? Wir wollen den Umgang mit den Technikern auch in der Bevölkerung erklären. Wir wollen die Bevölkerung erziehen, dass sie wissen, wo drauf sie sich einlassen, dass sie ein bisschen besser auch ihre Rechte kennen und auch am Ende in der Lage sind, die tatsächlich wahrzunehmen. Wir errichten zurzeit eine Certificate Authority wollen also auch hingehen und digitale Zertifikate für jedermann weltweit kostenfrei Dipläen und Ausliefern. Die Gründe, die uns dazu geführt haben, es sind eigentlich ganz einfach die Anerkennung der Menschenrechte in vollem Umfang. Dazu kann man die Menschenrechte noch mal aufzählen. Ich spare mir das, weil ich glaube, dass die meisten hier das bereits kennen. Und die zu den wichtigen Zielen ist, dass der Aufbau und der Vertrauenswürdung und belastbaren CA sowie der Betrieb einer PKE nach dem Standard X 509. Das heißt, es gibt persönliche Zertifikate zum Absichern und Verschlüsseln von E-Mails zum Signieren von Dokumenten. Und damit das Ganze funktioniert, benötigen wir ein entsprechendes Audit. Den Vertrag mit dem Deutschen TÜV haben wir vor einem Jahr unterschrieben. CP, CPS und andere Dokumente sind eingereicht und wir sind im Moment in dem Status, dass wir auf eine Antwort warten. Und das war dann auch mein Problem vor einigen Wochen. Ich habe den Vortrag in der letzten Stunde vor Erplauf der Frist eingereicht. Und die muss man an der Stelle sagen, danke, Heise, dass er mir an der Stelle entgegengekommen seit. Heise hatte gerade an dem Samstag die CT rausgebracht. Die lag bei mir im Briefkasten. Petro Passwords, Fido 2 als Passwort Nachfolger und dann so eine Artikel-Serie von vier Artikeln recht kätzrig. Schmeißt eure Passworte weg, nutzt Fido 2. Dass das im Moment keiner anbietet, interessiert nicht. Aber Fido 2 verhindert Fishing, verhindert alles Mögliche. Ihr seid sicher, wenn ihr Fido 2 benutzt. Die Frage ist, stimmt das? Nachdem man Fido 2 so hochgelobt hat, in einem Artikel, kommt man da rein und dann kann man auch Sätze lesen, wie die Hardwaretoken sind so klein. Also den kleinsten, den ich habe, der passt bei mir auf den Daumen nagelt. Das kann man im Gerät stecken lassen. Wenn ihr aber ein solches Token im Gerät stecken lasst, z.B. in meinem Laptop, um ihr kommt der Laptop-Panden, was macht denn der, die bringt er mir den Laptop zurück oder nutzt er meine digitale Identität und hat jetzt überall Zugang. Wozu ich eben auch Zugang hatte. Er ist ja berechtigt, der kann ja da irgendwo was machen. Einige Artikel weihen, also ein paar Seiten weiter, ein anderer Artikel. Die größte Gefahr besteht darin, dass der Token im Gerät stecken lassen und das Gerät entwendet wird. Prima, habe ich gesagt. Prima. Genau das ist Qualitätsjournalismus. Das, was A gesagt hat, muss C am Ende widersprechen. Nur wer hat da was von? CT ist ein Magazin, das kenne ich seit 30 Jahren. Und ich habe die CT in diesen 30 Jahren mal abonniert, mal nicht abonniert, dann irgendwo gekauft, wieder abonniert, mal wieder weggeworfen und so weiter und so fort. Das machen viele so, habe ich in der Zwischenfalt mitbekommen. Ich möchte sie nicht missen, weil es steht dort in komprimierter Form immer mal wieder, was uns aus dem Blick fällt, der IT Security, der IT Sicherheit im Feld auch interessiert. So viel Zeit hat man eigentlich gar nicht, sich diese Information durch lesenentsprechender Medien zusammenzusuchen. Ich finde klasse, dass wir mit der CT ein Werk haben oder eine Zeitung haben, dass sich diesen Aufgaben stellt und die auch tatsächlich vernünftig erfüllt. Nur, man muss das Thema Sicherheit der Passworte ernst nehmen und man muss sich vor allen Dingen an die wenden, die das Ganze beeinflussen können. Der Endernwender hat keine Chance. Der muss das nehmen, was er vorfindet. Wenn ich Fishing verhindern will, da muss ich zu den Banken gehen und zwar zu den Verbänden, nicht zu einer einzelnen Sprachkasse vor Ort, sondern ich muss zu den Verbänden gehen und sagen Leute, die Technik, die ihr da einsetzt, ob das jetzt Video Identverfahren sind, ob das Postidentverfahren ist oder was auch immer, taugt nichts. Wir brauchen sichere Identifizierungsverfahren, nutzt an der Stelle den NPA, geht hin und so weiter. Wir werden sehen, wie sich diese Dinge in Zukunft weiter entwickeln. Nun, was ist mein Grund? Wie gesagt, ich habe mich geärgert über die CT. Es kommt hinzu vor im Juli war es, dass die Nutzung von PTP für unbrauchbar erklärt worden ist. CT hatte es hingegangen und hat gesagt, das WOT stirbt langsam, aber es stirbt und es stirbt sicher. Mittlerweile gibt es eine neue Gruppe G-Version, die die Signaturen von Key-Sovern gar nicht mehr anerkennt. Die ist also auch mittlerweile ausgerollt. Er hat diese Sache mitbekommen. Es sind irgendwelche Esel auf die Idee gekommen, das WOT anzugreifen, also das Web of Trust. Indem man beliebige Schlüssel hoch lädt und die mit beliebigen Fakes signiert und es dann dazu führt, dass Schlüssel auch von bekannten Leuten für den Endanwender unbrauchbar werden. Das ist aber ein Fehler. Man kann sagen Fehler im Design, soweit okay. Nur als die Sache auf den Markt kam, also vor vielen Jahren, hat mit einem solchen Ausnutzen niemand gerechnet und in solches Fehlverhalten ist also eigentlich auch man würde am Stammtisch sagen unter aller Sau. Ein vernünftiger Ausdruck hier in dem Kreis fällt mir im Moment nicht ein. Deswegen lasse ich es mal dabei so stehen. Wenn man jetzt auf dem Niveau hingeht und sagt, schmeißt eure Passorte weg, dann kann das aus meiner Sicht nicht unwidersprochen hingenommen werden. Was ist ein Passwort? Ich blätter jetzt mal durch so ein Parfolien durch, die ich schon mal öfter irgendwo gehalten habe. Es sollte ein Geheimnis sein, das nur ich kenne. Ein Passwort sollte bestehen aus einem Mix der nicht druckbaren Askezeichen. Der Askezeichen setzt um fast 128 Zeichen. Davon sind 32, wenn man so schön sagt, nicht druckbar, verbleiben 95. Und wenn ich aus diesen 95 zeichne, ein Passwort-Bastel, ist das schon ziemlich schwer zu erraten. Dann steht auch hier ganz klar, ein Passwort sollte man aufschreiben. Keinesfalls ausdrucken. Wir haben mittlerweile moderne Drucker, die nach Hause telefonieren. Wenn Sie in der Firma auf die Idee kommen und mit irgendeinem Textprogramm Ihre Zugänge aufschreiben, die Passorte dazu über ein Firmendrucker ausdrucken, dann dürfen Sie wissen, dass irgendein Admin auf die Idee kommen wird, mal zu gucken, was die Leute da so ausdrucken. Er wird den Druckauftrag auf seinem Drucker ausführen. Ach, schön. Habe ich, und wenn Sie dann auch noch private Zugänge drin haben, wissen Sie nicht, was damit passiert. Ich habe längere Zeit mal in einer Internetfirma gearbeitet, der ist mit Kreditkarten umgegangen worden und so weiter. Und die Leute in den Calls-Centern, die eigentlich die Nummern telefonisch entgegennehmen, sind in der Lage auf dem Markt für beliebigen Preis, möglichst niedrig, in Sammelsurium an Kreditkarten zu kaufen und dann so nebenbei zu gucken, sind die denn gültig. Wenn die gültig sind, gehen sie einkaufen. Und womit sie natürlich nicht rechnen, ist, dass man solche Versuche auf elektronische Wege abfangen kann. Und dann wohnen dann zu sich, wenn am Arbeitsplatz die Polizei erscheint und sagt, so nehmen wir mal dahin hoch, zwei Leute zack, boom. Du fasst weder die Tastatur noch den Rechner an und kommst erst mal mit raus, boom. Und dann geht die Sache in eine andere Abteilung und so weiter und so fort. Es kommt eben vor. Wenn wir ein Passwort sehen, wissen wir auch Zahlensystemen, wie das aufgebaut ist. Ich habe hier neun Milliarden, 876 Millionen und so weiter und so fort. Von rechts nach links, Anzahl der Einer, 10 hoch 0 ist übrigens eins. Der Vorstand, die Zahl, wie oft die eins geschrieben wird, in unserem Fall eine Null. Das geht so weiter und die allgemeine Schreibweise steht ganz unten. Die Formel, die werden die meisten von euch kennen. Und wir wissen, dass wir verschiedene Zahlensysteme benutzen. Wir haben solche zur Basis 2, bekannt, Null und Eins und sonst gar nichts. Wir haben ein Zahlensystem zur Basis Ack, die 200-Oktale Systeme zur Basis 16. Wer Assembler programmiert, kennt die Anweisung Punktradix. Unter hinter die Basis des Zahlensystemes, welches zu benutzen ist. Und in unserem normalen Leben, sprich also auch bei Passworten, sind wir dann soweit, dass wir sagen können, wir nehmen hier den Ascizeichensatz und das sieht es dann so aus. Wir haben ein System zur Basis 95. Sofern wir den kompletten Ascizeichensatz benutzen. Wenn ein solches Passwort jetzt eine Länge von 20 Zeichen hat, entspricht die Anzahl vor Suche, das im Brutforz durchzuprobieren und so weiter, 95 hoch 20. 95 zum Quadrat sind 9.025, glaube ich, und das ganze hoch 10. Da kommt eine verdammt lange Zahl raus. Und dann kann man anfangen, das mal umzurechnen. Der Tag hat 86.400 Sekunden und so weiter. Sie brauchen enorm viel Rechenpower, um so was knacken zu wollen und dann entsprechende Zeit. Also Zeit kann man dadurch einsprachen, dass man eine Vielzahl an Maschinen nimmt. Oh je, jetzt ist funktioniert wieder. Und ein Passwort dient eigentlich dazu, irgendwo etwas zu schützen, und zwar so lange zu schützen, bis dass es niemanden mehr interessiert. Und wie gesagt, wenn man den Aufwand an der Stelle ein bisschen hoch treibt, ist man eigentlich am Ziel. Das unknackbare Passwort ist unhandlich und eigentlich kenne ich keinen, der dann ein unhandliches Passwort gebraucht. Man kann Folgendes machen. Gnupig, erlaubt die Möglichkeit, die Schlüssel auf die Open-Nupig-Smartcard zu schicken. Sondern kleine, die kriegen sie bei der FSFE oder bei Kernel Concepts. Ich glaube, die haben umfamiliert. Kostet ungefähr 18 Euro plus Porto. Da können Sie ein Schlüssel draufsetzen und um die Karte dann zu benutzen, verkürzen Sie diesen Schlüssel auf sechs Zeichen. Üblicherweise sechs Ziffern. Und Sie haben drei Versuche. Nach dem dritten Fehlversuch macht die Karte dicht. Und antwortet nicht mehr. Fertig. Das heißt, Sie können also auf diese Art und Weise einen sehr langen Schlüssel erst einmal sichern. Und diese Schlüssel können Sie mit einer Passphrase sichern. Die neue Version der Gnupig-G-Karte erlaubt eine Passphrase von der Länge und bis zu 64 Zeichen. Ich habe mir dafür eine Vorlage gemacht. So ein Excel-Bad, zwei Zahlen, 32 Leerfelder. Da kann man mal reinschreiben, wie das aussehen soll. Und wenn ich das im Vortrag mit oder in den Workshop mit den Leuten durchexerciere, dann sehe ich die größte Schwierigkeit, die die Leute haben. Ich gucke in Gesichter wie in der Schule. Wir sitzen da, gucken mich an, nehmen den Bleistift, ich schenke einfach einen Mund und werde drauf rumgekaut. Und dann verschreibe ich ihn da jetzt da rein. Ich sage ja beliebige Zeichen. Was ist denn das auf der Tastatur? Such und finde, eintragen und nachher abtippen. Und abtippen von 32 Zeichen ist verdammt schwer. Da halten die sich die meisten auf. Das ist der dritte, vierte, fünfte Versuch und dann ... Aber anders geht es nicht. Und daraus muss man natürlich eins merken. Wenn irgendwo eine Registrierung in Passwort verlangt, schreibt durch das Passwort, bevor es eintippt, auf ein Zettel. Am besten in eine Kladde mit Adresse von dem entsprechenden Server oder Dienst usw. Schreibt das Passwort auf und dann tippt es vor und da, aus, da rein. Man schlägt damit nämlich mehrere Fliegen mit einer Klappe. Eine wichtige Sache, auf die ich dann nachher nur noch mal so ganz kurz eingehe und die kaum einer im Kopf hat, ist, wenn man sich irgendwo registriert. Was passiert in dem Fall, wo sie selber einen Treuhänder brauchen? Wie funktioniert das mit ihrem digitalen Nachlass? Das sind Gedanken, die in diesem Umfeld eigentlich nirgendwo erwähnt werden, die aber wichtig sind. Bekannter von mir hatte eine Herzuppe, den haben sie in der Klappe gesetzt. Der steht am Geldautomaten, steckt die Krache rein. Was habe ich denn damals beim letzten Mal, als ich Geld abgeholt habe, eigentlich noch gemacht? Muss eine Pinnein geben? Ja. Und? Muss nach Hause den Zettel von der Bank suchen? Wo habe ich den dann abgehiftet? Ich habe das auf den Zettel geschrieben, wieder hin zum Automaten und dann funktioniert es. Ich selber habe Glück. Mich haben sie im Januar in vollen Akkuse gepackt. Ich bin danach irgendwann aufgewacht und so weiter und so fort. Sollte Effekte konnte ich von mir nicht beobachten. Aber das muss nicht so sein. Und es kann jedem passieren, dass er durch ungeschicktes Benehmen im Straßenverkehr oder so plötzlich in der Situation ist, jemanden zu benötigen, die an der Stelle für einen selber handelt. Und es ist gut, wenn sie einen Archiv haben und können an ihrer Frau oder ihrem Lebensgefährten zu Hause sagen, da und dort liegt die Unterlage. Das ist keine Handlungsanweisung dabei. Kümmer dich bitte darum. Ich kann im Moment nicht. So laut. Heise, guck mal mal zurück zum Thema, gibt es dann viele Sachen, die falsch laufen. Eine der tollsten Meldungen war die hier. 220.000 Euro durch den Telefonanruf einer künstlichen Intelligenz wandern von England nach Ungarn und sind weg. Die Kriminellen haben sich irgendwo künstliche Intelligenz besorgt, ein Telefongespräch geführt, die Stimme vom Chefklang so vertraut, wie sie immer klingt und der Druck, der aufgebaut worden ist, war ganz einfach. Freitag-Namitag kurz vor Torus Schluss, das Geld muss heute noch raus. In Deutschland ist schon alles passiert. Da sind die Banken schon zu, die machen nichts mehr. Wir müssen das von unserem Konto aus überweisen. Und die Leute im Betrieb haben ihren Chef erkannt, die haben gehorcht. Kriminellen haben dann die ganze Sache nochmal per E-Mail hinterhergeschoben. Da konnte man beweisen, das ist nicht ausgedacht. Die Versicherung ist eingesprungen und hat bezahlt. Betroffenen haben Glück gehabt. Solche Methoden des Fishings werden durch Fido 2 nach wie vor möglich sein. Fido 2 verhindert das garantiert nicht. Das ist eine Meldung, die hat viele aufgeschreckt, aber die nutzen halt ein Forum und dieses Forum ist geschrieben mit PHP und seit langem in der Kritik und so weiter und so fort, wenn so was passiert. Da können sie Passworte benutzen, wie sie wollen. Auch solche Sachen liegen außerhalb der Reichweite von Fido 2. Ein Sicherheitsvorcher bei Google, Tavis, um Ovan, Ovan ist, ob er heißt, falls ich jetzt nicht genau entlockte, den Passwort Manager LastPass kennenworte. Das hat viele aufgeschreckt, weil Passwort saves. Gelten ja als, wenn ich hier dran komme, man entstammt Passwort saves, gelten ja als sichere Aufbewahrungsort. Und wenn Passwort saves auf einmal die Passworte verraten, dann steht der User da, der kriegt es nämlich gar nicht mit. Fido 2 wurde es an der Stelle auch nicht verhindern. Und die Frage ist eben, wie ist er da dran gekommen? Es ist wunderbar beschrieben in der Analyse von ihm. Und zwar ist es eigentlich so, dass die zuletzt besuchte Webseite das Passwort noch im Speicher hat und dieses Passwort verrät. Und es funktioniert über alle möglichen Grenzen hinweg. Mittlerweile ist die Sache gefixt und sollte an der Stelle so weit nicht mehr funktionieren. Ein Beispiel, das die andere Seite zeigt, auch auf Heise. Sicherheitsforscher, er hacken sich knapp zwei Millionen US-Dollar in drei Tagen. Auf irgendeiner Konferenz haben sich dann ein paar Leute zusammengetan, 1000 Bucks gefunden und im Backpounty-Programm mehr als 2 Millionen kassiert. Eine lohnende Sache, geht auch, kann man machen. Beispiel 4, unsicher konfiguriertes Server, liegen Daten von Millionen Patienten. Da muss man sich mal vorstellen, wenn man dann dabei ist, was passiert denn dann? Wir wissen auf einmal, wie ihre Zähne aussehen. Sie wissen, wie ihre Leberwerte funktionieren oder nicht und so weiter und so fort. Man denkt, es geht nicht mehr schlimmer. Es geht schlimmer. Es geht ganz schlimm. Das hier, da habe ich mich erschrocken, weil ich gedacht, ich habe es auf Twitter gesehen, weil ich gedacht, es kann eigentlich nicht Es gibt jede Menge Apps, die Frauen helfen, so bestimmte Tools, Wecker, was auch immer. Und ich kann nur empfehlen, allen die hier sind, schaut euch den Artikel auf Privacy International an. Es ist eine wunderbare Analyse. Man analysiert den Netzvorkehr und man kann also genau beweisen, auf welche Daten es diese Typen abgesehen haben. Und die ganze Sache ist eigentlich so. Im letzten Jahr oder wenn das war doch vor zwei Jahren, hatten wir solche Skandale im Bereich Kaila, die Puppe, die spricht und nach Hause telefoniert. Wir hatten Sexspielzeuge vorgestellt, die nach Hause telefonieren und die Leute, die da sozusagen das zu Hause kontrollieren können, die sehen dann plötzlich, wer mit wem rum spielt und so weiter und so fort. Es ist unglaublich, es gibt wirklich nichts. Diese Typen lassen nichts aus, was sich ein Gehirn ausdenken kann. Heiße selbst gibt ein Hinweis darauf, warum Fishing so richtig gut funktioniert. Und zwar auf Technology Review haben sie einen Artikel, einer Psychologin. Abgedruckt, den Vortrag gehalten hat, auf einer entsprechenden Konferenz in Amiland und die einfach sagt, wenn uns positiv Versprechen gemacht werden, sitzt das Gehirn aus. Wir gucken auf die positiven Effekte, sind unheimlich leicht begeisterungsfähig und das gilt eben auch im digitalen Umfeld. Wenn uns per Mail oder was auch immer Versprechungen gemacht werden, die verlockend klingen, sind die meisten Leute bereit, vernunft sein zu lassen und gegen jede Warnung zu klicken und sich in Teufel einzufangen. Die Art und Weise, wie Betrüger vorgehen, ist teilweise dermaßen Menschenverachten, muss man schon sagen, dass man es nicht glaubt. Ich habe vor vier, sechs Wochen oder so ein Artikel gelesen, eine junge Frau arbeitslos, arbeitssuchend, bekommt ein Angebot für einen Job. Hat das irgendwie im Netz gefunden, hat sich beworben, kriegt einen Vortrag zugeschickt und denkt, prima, super. Und jetzt wollen sie mir auch noch Geld überweisen. Die richten für mich in Konto, ein meiner Bank, Klasse. Telefontermin ist da, sie nimmt den wahr, identifiziert sich gegenüber der Bank per Video-Identverfahren, das ja unklagbar ist, was ja total richtig gut ist. Und danach war tote Hose, die kriegte keinen Kontakt mehr zu den Leuten, dann guckte sie aufs Konto, das Konto stand mit über 8.000 Euro im Minus. Es ist zur Polizei gelaufen, die Polizei ermittelt erst mal gegen sie, weil sie an dem Betruch gegenüber der Bank mitbeteiligt ist. Kommt am Ende dazu, dass sie sagen, okay, die Dame ist an der Stelle so unschuldig, wie man nur unschuldiger nicht sein kann. Und das Verfahren gegen sie wird eingestellt, allerdings das Geld muss er bezahlen, dafür gibt es auch kaum eine Versicherung. All diese Dinge werden auch in Zukunft passieren, ob wir Fido 2 haben oder nicht. Wenn man aber hingeht und dann sagt Fido 2, hat das Zeug zum, ich darf nicht auf der Kabel treten, sehe ich gerade. Ja, ja, genau. Gut. Jetzt stehe ich nicht drauf und dann. Na ja, gut. Okay. Fido 2 ist an der Stelle ein Tool, ein Stück Hardware. Und wenn ich das so propagiere, wie es die CET macht, dann kann ich mir das an ein Lennjahr basteln, Brandbacken, um den Hals hängen. Und dann habe ich eine Wudu-Puppe. Ich hätte mir meine 7 Stück, die ich zuhause habe, mitbringen können und dann sagen können, guck hier, hilft gegen falsche Versprechungen, hilft gegen Betrug, sorgt für sicheres Login auf dieser Seite und so weiter. Nein, habe ich gesagt, machst du nicht, wird am Ende lächerlich. Das machen wir wirklich nicht. Wir gucken einfach mal, was ist eigentlich der richtige Fehler, den die CET hier macht? Und dann muss man eigentlich hingehen und sagen, die CET ist ein Magazin, das sich an den Endanwender richtet. Und die Bereitstellung von einem Fido 2 Login muss gefordert werden von dem kompletten Finanzsektor. Nicht vom Anwender, sie als jemand, der irgendwo einkaufen geht, geht zu einem Shop und lockt sich dort ein. Dann werden irgendwelche Registrierungsdaten abgefragt. Man muss hier und da und auch zustimmen, wenn man das ganze paar sicherem Login machen kann und kann dort sein Fido 2 und registrieren, dann ist die Welt in Ordnung. Wenn das aber nicht angeboten wird, nützt mir so ein Token gar nichts. Und wenn ich den von den Shopbetreibern, von den Finanzverantwortlichen in der Finanzwirtschaft und so weiter, diese Dinge nicht verlangen, wird es noch nicht passieren. Die werden ihre Wege gehen, weil sie bedenken, sie können bestimmte Schäden auf den User abwenden, weil der User sich sowieso nicht wehren kann. Ja, und dann wird sich an der Situation im Ganzen nichts ändern. Und dann wird also auch Fido 2 nicht laufen. Ich tritt schon nicht mehr drauf. Können wir mal probieren. Moment, jetzt müssen wir aber erst mal hier umschalten. Nen, ich habe ich glaube, was mal hier Systemeinstellungen und dann Systemeinstellungen hier und dann so jetzt anwenden. Und nichts. Ja, dann lieber mit ein bisschen gewackeln. Ja, dann gucken wir weiter, wie es geht hier. Umsehen, da habe ich jetzt was. Das ist PDF. Gut. So, also wir hatten waren auch dabei gerade stehen geblieben. Es wird von zu wenigen Anbietern derzeit angeboten. Und was wir machen müssen ist, ist halt, wir müssen wirklich uns in der Gesellschaft Gehör geschaffen und wir müssen halt dazu kommen, dass Finanzwirtschaft und die Leute, die auf elektronischem Wege handeln und so weiter und so fort, dass die auf die Idee kommen und dem Begehren der User letztendlich folgen oder einfach hingehen und sagen, ja, wohl, ihr habt recht. Wir müssen an den Stellen in Sicherheit investieren und wir müssen eigentlich auch solche Sachen einsetzen. Ich habe auf der Folie einfach mal. Ich hoffe, man kann die richtig lesen. Eine Vielzahl an Vorträgen der letzten zwei Chemnitzer Linux Tage aufgelistet. Die Nummern sind die Beitrags. Nummern, die oben an Beitrag einfach nur dran gehangen werden. Und man ist auf den entsprechenden Seiten. Dann wird man sehen, dass wir auf den Linux in Chemnitz immer wieder auf Alternativen zum Passwortlosenlogin verweisen. Die Sachen, die auch von der CT in dieser Richtung in der Vergangenheit gebracht worden sind, sind alle beispielhaft und nicht vollzählig. Es gibt also auch noch viele andere Möglichkeiten. Zum Beispiel funktioniert der Passwortlosenlogin wunderbar mit persönlich digitalen Zertifikaten, sofern man als Serverbetreiber eine solche Möglichkeit anbietet. Wir werden demnächst solche Zertifikate von uns verteilen können. Und damit ist es jederzeit möglich. Man muss eigentlich nur hingehen, als Serverbetreiber und die wichtigen Informationen im Zertifikat übernehmen, abspeichern und das Zertifikat, das präsentiert wird beim Verbindungsaufbau, darauf hin prüfen, ob die entsprechenden Informationen identisch sind. Falls ja, geht es weiter. Es wird eine gesicherte Verbindung aufgebaut und so weiter und so fort. Man kann hingehen und SSH Login betreiben mit einem SSH-Key, der dann in seinem Raumverzeichnis liegt. Und man kann sich darüber dann mit einem entsprechenden Server verbinden. Es gibt die technische Möglichkeit der Wanda Empire Swords oder Security Keys beispielsweise wie Netro-Key, Ubiqui und so weiter. Zu Ubiqui muss man sagen vor drei, vier Jahren. Hatte Ubiqui so eine tolle Idee und hat die Sourcen, die man da verbraucht, als Open Source deklariert. Die standen also auch öffentlich zur Verfügung. Wer ein Konto bei GitHub hatte, kriegte 25 Prozent Rabatt auf gleich drei Ubiquis. Seitdem habe ich die dann auch. Und ich habe seitdem auch ein Konto auf GitHub. Und dann hat es nicht lange gedauert. Ungefähr drei, vier Jahre oder sowas. Da war dann vorbei mit Open Source und die nächste Generation war dann wieder geschlossen und proprietary Software. Da bin ich auf Netro-Key umgestiegen. Dann kann ich das nämlich da so direkt machen. Und Netro-Key, die formalisiert ist in Berlin, da kann man sich wenigstens auch noch mal mit denen auseinandersetzen. Auch wenn die Hardware aus Amiland kommt, aber es ist eben so. Man kann hingehen und im CTA schief nach diesen Dingen suchen. Man würde so noch mehr finden. Und zur Frage der Identifikation immer wieder. Leute nutzt den neuen Personalausweis. Der neue Personalausweis ist in Europa einmalig. Und auch wenn da bei der Einführung Fehler gemacht worden sind, diese Fehler, die man da gemacht hat, sind eigentlich nicht wirklich diskutiert worden. Es fehlt eine Ethik-Kommission. Und der neue Personalausweis hat circa 70 Kilo bei Platz für Daten, die man dort abspeichern kann. Man muss mal vorstellen, wenn eine nationale Regierung auf die Idee kommt, so was wie den Judenstern auf dem NPA zu hinterlegen. Dann haben sie nicht das Problem nach dem Motto, da ist auch mein Fingerabdruck drauf. Das haben ganz andere Probleme. Und dass mit das nicht passiert, hätte man über eine Ethik-Kommission, die die ganze Einführung begleitet und auch die technische Seite betreut, hier im Vorfeld agieren müssen. Ansonsten ist es so, der NPA ist ein Stück Technik. Sie haben eine Seriennummer, die bei jedem Zugriff auf den NPA neu generiert wird, sodass es dem Abfragenden nicht möglich ist, über die Seriennummer irgendwie eine Datenbank bei sich aufzubauen. Die ändert sich und ist jedes Mal anders. Das ist eine Zufallzahl, die da kommt und hat mir der eigentlichen Seriennummer nichts zu tun. Die Daten, die dort abgefragt werden, kriegen sie angezeigt. Wenn Sie also hingehen und haben ein Lesegerät und wollen sich dann mit dem NPA identifizieren, tun Sie das. Sie kriegen die Daten angezeigt, davon weiß der Abfragende immer noch nicht, wer sie sind. Und wenn Sie dann hingehen und sagen, abbrechen, dann war es das für den. Dann wird die Verbindung abgebrochen und nicht wieder neu aufgebaut. Es müsste ganz von vorne wieder von Userseite aus passieren. Dieses Bild mit drei handelnden Akteuren, die voneinander unabhängig agieren, ist in Europa tatsächlich einmalig. Die entsprechenden ID-Cards, die es gibt in Belgien, in Estland, auch in Österreich, die Bürgerkarte, kommen an dieses Modell nicht dran. Biometrische Verfahren sind ein absolutes Nogo. Ich verweise hier auf das erste Beispiel, fehl, das ich gebracht habe. Künstliche Intelligenz macht stimmend nach. Abgezockt vom elektronischen Chef, so steht es in der CT. Problem bei biometrischen Verfahren ist, egal welches Verfahren sie nutzen, sollten diese Daten abhanden kommen, haben sie keine Möglichkeit zu sagen, ich bin das nicht. Wie auch immer diese Daten bekommt, wird sich zu jeder Zeit so Ausweisung können, dass er tut, es sind sie. Und das Gegenteil zu beweisen, ist unmöglich. Sie haben dann nicht nur schlechte Karten, sie haben verloren. Deswegen sollten sich auf solche Verfahren nirgendwo einlassen. Und zu biometrischen Verfahren gehören tatsächlich ihr Risken. Es gibt einen ganz tollen Film, James Bond. Da geht es um hochkriminelle Aktivitäten. Da wird ein Pilot in einer Maschine abgeschossen, die ich dann irgendwann unter dem See. Da geht es darum, dass man mit seinem Auge eine Tür öffnen kann. Und dann man ist halt ermordet worden, nur damit man ihm aus das Auge ausoperieren kann. Das sind Sachen, die sind nicht von mir erfunden. Das sind Sachen, wenn sich das Ziel lohnt, dann muss man damit rechnen, dass diese Sachen auch tatsächlich umgesetzt werden. Fingerabdruck, Schäuble, CCC Hamburg, haben sie durchs der Schäuble ein Wasserglas hingestellt, weggetragen, Fingerabdruck genommen und den dann anschließend veröffentlicht. Zum Beispiel, Venenbilder, nachgemacht. Ja, man kann ja hier die Venen vom Arm oder dergleichen nehmen, die ändern sich nicht. Man könnte sich darüber identifizieren, ja. Man muss zu den biometrischen Verfahren klipp und klar sagen, das Einzige, wofür die gut sind, ist zur Identifikation von Toten. Damit Lebende zu identifizieren, mag sein, wenn die im Knast sitzen und vergleichen, aber so hinzugehen und zu sagen, identifiziere dich gegenüber deiner Bank. Never. Absolutes Logo. Und dann das Problem, das ich vorhin kurz mal angesprochen hatte, denkt an euren digitalen Nachlass. Digitaler Nachlass ist eine Sache, wenn man jung ist, denkt man da nicht dran. Das ist eine ganz klare Sache. Aber es kommt jeder, unabhängig vom Alter in eine Situation oder besser gesagt, kann in eine Situation kommen, dass er einen Stellvertreter braucht, ein Treuhänder. Und wenn es in dem Moment nicht geregelt ist, schwer. Und auch da gibt CT eine sehr einfache Antwort. Kryptografie funktioniert. In einer der letzten CTs wird in einem kurzen Artikel mit einer reißerischen Überschrift gesagt, Chef der Kryptobauser nimmt 100 Millionen Bitcoins mit ins Grab. Und das wäre da eine Sache, die sich lohnen würde, wenn man da dann käme, nicht wahr? Ich habe in meiner Mailbox unter anderem von Netzpalaver was bekommen. Tipps zur nachhaltigen Betrugsprävention. Und Betrug hat viele Gesichter, ob am Telefon, im Internet oder an der Lagertage und so weiter und so fort. Wir haben demnächst die ITZER im Oktober. Sprachbiometrie ist die Zukunft. Der traditionelle Identitätsnachweis zum Beispiel durch PINs oder Passwörter verliert zunehmend an Bedeutung. Das hat zum einen damit zu tun, dass laut Gauntner durchschnittlich 15 bis 30 Prozent der Nutzer die Daten immer wieder vergessen und die Methode somit in der Praxis schlecht abschneidet und zum anderen damit, dass 60 Prozent der Cyberkriminellen in der Lage sind, diese Art von Sicherheitsabfrage zu hacken. Je weiter die technologischen Möglichkeiten in Fortschreiten des so mehr Alternativen gibt es zu antwortbasierten Authentifizierungen. In Zukunft wird unter anderem das Thema Sprachbiometrie eine wichtige Rolle spielen, sicherlich. Aber mehr im Sinne von abgezockt vom elektronischen Chef, laut FBI im letzten Jahr 20.000 Fälle in Amieland, oder von denen es FBI wusste, weniger in dem Sinne, dass es hier eine sichere Identifikation oder Identifizierungsmethode darstellt. Dann kommen wir zum zweiten Teil der digitalmündige Bürger. Wuchtbar sollte der aufgeklärte Mensch informiert entscheiden können in dem Feld der Digitalisierung. Wir erleben ja heute, dass die Datenschutz-Grundverordnung die informierte Einwilligung verlangt. Wir informieren Sie darüber, dass wir Ihre Daten mit unserem Partnernetzwerk teilen über irgendetwas. Sind Sie danach informiert? Wer liest denn überhaupt noch die AGBs von Facebook? Also ich habe vor einiger Zeit mal geguckt, da hat jemand, der sich damit auskennt, behauptet, um die zu lesen und zu verstehen, braucht mal 14 Tage. Warum macht das? Weil die AGBs, je nachdem, auf welcher Facebook-Seite sie sind, die sind ziemlich zahakt und untergliedert und so weiter, und verweisen und und und. Und ausgedruckt muss da ziemlich viel sein. Und 14 Tage für AGBs von Facebook habe ich keine Zeit. Es ist für mich dann ganz einfach zu sagen, Facebook nutze ich nicht. Fertig. Braue ja auch, die AGBs nicht zu lesen. Wir haben heute Morgen gesehen, dass in dem Vortrag von Andrea Hirschl und Patrick Breier so Anforderungen an den informierten Bürger formuliert werden können. Nach dem Motto, das sollte er wissen, das und das. Aber muss ich ganz ehrlich sein, ich sehe mich nicht in der Lage, diese Antworten hier in dem Kreis zu postulieren, weil ich bestimmt 50 Prozent vergessen werde. Einfach nur über Sehe aufgrund dessen, dass ich nichts weiß. Der Spur ist schon über 2000 Jahre alt. Ich weiß, dass ich nichts weiß. Und er gilt immer noch. Ich lerne, obwohl ich alt bin, ich lerne schon immer noch jeden Tag dazu. Das bleibt auch nicht aus. Gott sei Dank. Und kann euch auch nur raten und empfehlen, den Larnprozess niemals zu unterbrechen. Wir haben jetzt in dem Bereich der Schulen und im Bereich der Bildung eine tolle Diskussion, die genau darum geht, was muss man eigentlich unterrichten? Wie muss man es unterrichten? Da ist mir auf einem Lehrer-Netzwerk ein Begriff über den Weg gelaufen, der nennt sich Digitalkunde. Es fordert jemand Digitalkunde für den Unterricht. Für die Lehrer, die es unterrichten sollen, für die Schüler, die sich damit beschäftigen. Und es ist eigentlich auch ein Begriff, dem ich den Vorzug gebe gegenüber Informatik oder anderen einengenden Begriffen. Weil das, was man unterrichten muss an der Stelle, wo wir die Leute hinbringen müssen, ist, dass sie auch sogenannte Seiteneffekte kennenlernen. Wenn sie die nicht überblicken können, sollten sie die Möglichkeit haben, danach zu fragen. Wir haben früher ganz einfach immer geguckt, welche Seiteneffekte gibt es? Gibt es in der Softwareentwicklung Seiteneffekte dann die Frage, wo treten die auf, wie schlagen die zu? Manche kann man erklären und abstellen. Andere sieht man gar nicht, weil man gar nicht in der Richtung testet. Der typische Fall ist der Angriff im Umfeld-TCP-IP. Dazu mal ganz kleine Brücksicht oder im Sinne von, ich gucke mal nach hinten. Ich war 96 bei Nixdorf-Paderborn, habe einen Jahr lang getestet. Wir haben dort eine Eigenentwicklung gezeigt, weil Nixdorf hatte Maschinen auch selber gebaut. Und da war ein riesengroßes Projekt bei VW, in der betriebliches Informationssystem mit fünf Standorten, die da alle verbunden werden sollten. Und dort sollte rechnerübergreifend verschiedene Hardware-Protokolle gesprochen werden. Das eine war SNA von IBM, das andere eben TCP-IP. Und das war damals noch in den Kinderschuhen. Es gerade entwickelt worden. Wir hatten PCs, da kriegten man Karten, entsprechende Entwicklungsbibliotheken dabei. Acht Bitkarten damals noch, das kleine schwarze Kabel, also kleiner als mein kleiner Finger. Und auf den Dingern wurde dann gearbeitet. Und das Interessante ist eben, das war gerade auch so die zweite Stufe. Die erste Stufe waren auch das dicke gelbe Kabel, dicker als meinen Daumen. Alle 2,5 Meter konnte man eine sogenannte Maud ran setzen. So ein Gerät, man brauchte ein Lehrgang, um an der richtigen Stelle das Bohrloch zu treffen. Es musste senkrecht ein Loch geboort werden. Dann kam eine Kupfernagel da rein. Das Ganze wurde verschraubt. Wir hatten dann ein bisschen Elektronik dabei und dann ein dickes blaues Kabel, ungefähr so dick. Und von da aus ging es dann an den PC oder an die entsprechende Maschine. Wenn TCP-IP, wie es entworfen ist, nur auf einem Kabel bis zu einer Maximallänge von 800 Metern oder sowas funktioniert, ist es nicht möglich, dass sich jemand für einen zweiten ausgibt. Geht einfach nicht, weil für den Fall, dass zwei Leute die gleiche IP-Adresse haben, kommen die auf diesem Netz erstens nicht zusammen. Zweitens stellt das Netz es fest. Und dann ist die einfache Regel, haut alle rein und lasst den nicht sprechen. Und dann ist auch vorbei. Es gibt keine Verbindung, ganz einfach. Man hat dann Erweiterungen gebaut, hat Kabel verlängert über Repeater. Und wenn ich ein Repeater irgendwo mitten in den Kabel rein hänge, dann habe ich dann einen zweiten Kabelbaum. Und da ist es ganz einfach so, die Signale dauern. Und dann kann es eben sein, dass mir jemand antwortet, den ich eigentlich gar nicht meine. Weil ich habe eben mehr als einen Repeater da drin, ein richtig verzweigtes Netz, ist antwortet der Falsche. Und seitdem kümmern wir uns um diese vermeintlichen Designfehler, die diejenigen, die das Protokoll entworfen haben, gar nicht kannten, weil es die Technik nicht hergab. Heute sehen wir, dass wir Netze miteinander verbinden, die eigentlich nicht gehen. Man hat paketierten Verkehr, man nimmt das auf dem Internet bis irgendwo hin. Es geht dann per Satellit und Funk, woanders hin, wird dort wieder entpackt. Und dann sind Fehler in dem Bereich möglich. Alles das fällt unter dem Begriff Seiteneffekt im weitesten Sinne. Und man muss eben gucken, dass der User, der in irgendeiner Weise digitale Sache nutzt, Seiteneffekte in dem Umfeld, wie er es nutzen will, zumindest vom Ansatz her versteht. Er muss die Technik nicht begreifen. Das ist wie Autofahren. Was Sie brauchen beim Autofahren ist Kenntnis der normalen Regeln. Die müssen wissen, wie Verkehrsschilde aussehen. Das ist mittlerweile weltweit relativ einheitlich, obwohl in Holland mit den gelben Parkstreifen auf der Seite und auf der Seite normaler Deutschland nicht klarkommt. Die musste erst mal Holländer fragen. Habe ich heute eine gerade oder eine ungrade Woche? Weil das wechselt an, wochenweise und so weiter. Aber es sind Sachen, die man lernen kann. Und so schwer sollte es eigentlich dann auch nicht sein. Das interessante Buch hier ist von einem Dr. Friederick Weynard und der Inhalt ist relativ einfach. Man versucht hier auch, die Lehrer anzusprechen und zu sagen, setzt euch mit diesen Dingen auseinander und gibt es in der Richtung weiter. Und es wird auf den Schulen zur Zeit diskutiert, weil Lehrer und dann vor allen Dingen übergeordnet die gesamte Schulverwaltung im Moment nicht weiß, wie sie die Digitalisierung der Jugend beibringen soll. Man geht hier heute hin und hat die Beschlüsse gefasst nach dem Autowerk kippen mal fünf Milliarden in fünf Jahren in die Schulen rein. Dafür kann man Hardjack kaufen. Jo, geht. Was habe ich von Hardjack, wenn ich Hardjack nicht verstehe, nirscht. Stimmt auch. Also es kommt darauf an, dass wir Konzepte entwickeln, die die nächste Generation oder sagen wir mal den nachwachsende Generation an unsere Erfahrungswerte ranbringt, so dass die in der Lage sind, fundiert, Entscheidungen für die Zukunft treffen zu können. Denn eins ist sicher, das ewige Leben haben wir nicht. Und irgendwann treten wir. Und dann sind die anderen dann und wir sollten dafür tun, um an diesen Dingen teilhaben zu können. So was bleibt zu tun, wenn man soweit kommt? Das Erste ist eben, man muss an der gesellschaftlichen Diskussion teilhaben. Konsens schaffen. Mehrheitsfähige Lösungen suchen, aber nicht mehrheitsfähig um der Mehrheit willen, sondern im Sinne vom RFC, ich glaube, das ist 21, 21 oder 21, 12 Raffkonsensus. Sondern also Lösungen schaffen, die funktionieren, die verstanden werden und die auch einem garantieren, dass man sicher leben kann. Und wenn wir damit anfangen, sind wir auf dem Weg zum digitalmündigen Bürger. Und es wäre mein Wunsch, das mal irgendwann zu erleben. Ja, damit bin ich am Ende. Bedanke mich für die Aufmerksamkeit, wenn Fragen sind, Gerne. Ah, jetzt geht's. Danke. Sie haben zu dem Personalausweis was gesagt. Frage Nummer eins. Ich habe das nicht so genau verstanden. Haben Sie jetzt gesagt, wir sollen den benutzen oder wir sollen den nicht benutzen als ID, das kam irgendwie nicht so ganz raus. Und der zweite Punkt ist, dass mit dieser automatisch generierten ID, die da irgendwie rausfliegt, können Sie das noch ein bisschen genauer erklären? Das habe ich nicht so genau verstanden. Ganz einfach. Ich habe gesagt, benutzt den Personalausweis zur Identifikation. Zur digitalen Identifikation. Wir ist jetzt seit neun Jahren auf dem Markt. Banken hätten die Möglichkeit, das zu tun, müssten allerdings Geld in die Hand nehmen, bezahlen lieber ein Video-Identverfahren, weil das angeblich auch in Kazakhstan funktioniert. Aber es interessiert vor allen Dingen vor Ort, es interessiert Deutschland und was da in Kazakhstan passiert oder nicht passiert, ist mir zunächst mal egal. Weil ich kann mir nicht vorstellen, dass Chinese bei der Deutschen Banken Konto hat. Es sei denn die Deutsche Bank hat irgendwo in China mal eine Zweigstelle. Aber hier für Europa haben wir diese Möglichkeit ein bisschen relativ sicher. Die Seriennummer vom NPA ist nicht statisch eingebrannt, sondern eine rein zufällige Zahl, die sich jedes Mal mit jeder Abfrage ändert. Man kann es auch zeigen. Es gibt Peter, man kann darüber zum Beispiel erkennen, wenn man sich die Ausweisapp runterlässt, die zeigt einem dann eben auch, welche Daten da gespeichert sind und so weiter. Man kann einfach hingehen, die sehen. Ich kann über die Seriennummer keine Datenbank aufbauen. Mir erschließt sich irgendwie nicht wie eine automatisch generierte Zahl, die sich jedes Mal ändert, irgendwie für Identifikationen sorgen soll. Die Zahl hat mit der Identifikation nichts zu tun. Der Abfragende fragt einfach nur nach, ich hätte gerne von dem, der sich gerade bei mir angemeldet hat, Familienname, Vorname, Wohnort, Geburtsdatum. Und dann ist durch die Dreiteilung des Marktes geregelt, und zwar auf einem anderen Wege geregelt, dass er berechtigt ist, diese Information zu bekommen. Er muss nämlich vorher bei der Verwaltung und Berechtigungstartifikat beantragen und nachweisen, dass er diese Information für seine Geschäftszwecke benötigt. Wenn sie also ein Auto kaufen wollen auf Kredit beispielsweise, dann muss der Kreditgeber wissen, wem er Kredit gibt. Dazu gehört die Identifikation der Person. Und die Person identifiziert sich nicht über eine Seriennummer von irgendeinem Ausweis, sondern über Name, Vorname, Wohnort, Geburts, Ort, Geburtsdatum. Und diese Informationen darf er bekommen. Dafür kriegt er ein Berechtigungs-Zertifikat. Das legt er den Betreiber der Blackbox vor. Die Blackbox ist diejenigen, die das Ganze abfragt und die erhaltenden Daten dann an den Berechtigten weitergibt. Das Ganze wird protokolliert, sodass man immer weiß, wer da was abgefragt hat. Man kann mit den Dingen auch keinen Unsinn machen. Der NPA ist damals ziemlich in Kritik geraten, weil er die Möglichkeit bietet, ein Fingerprint, also einen echten Fingerabdruck aufzunehmen. Der ist aber nicht dazu da, eine Person zu identifizieren. Der ist sozusagen bei Werk. Wenn sie mal irgendwo bei Pech haben sollten und sie werden dann als Leiche gefunden und haben einen Ausweis dabei, dann kann man möglicherweise hingehen und sagen, ja, der Ausweis passt zur Person über sowas. Mehr nicht. Und man muss eben dann auch sagen, was ich schon mal vorhin erwähnt habe, es ist versäumt worden, ein Ethikrat einzurichten zur Begleitung des neuen Personalausfeises. Und es gibt jemanden in Italien, ein Rechtsprofessor, der in am Rahmen der EU bei EIDAS die entsprechende Gruppe geleitet hat, der hat also auch eine Webseite. Ich komme jetzt nicht auf den Namen, aber es ist eigentlich egal. Ausbildung, katholische Universität, katholisch bis ins Mark, kann man so sagen, einer der Ersten, der in Italien Notariatsnetzwerk mit aufgebaut hat. Und der hat auf seiner Webseite ganz tollen Artikel geschrieben. Nach dem Motto Mussolini war sicherlich nicht das, was wir als ein Demokrat bezeichnen, aber er rechtfertigte seinen Handeln durch vermeintliche Ziele. Und er warnt davor, die Technologie neuer Personalausweis mit dem für jeden Land freigehaltenen Datenbereich zu missbrauchen. Und der Missbrauch ist möglich. Da muss man aufpassen. Aber bis jetzt ist es eben so, dass diese Datenbereich freigelassen wird. Man diskutiert darüber, z.B. die Versicherungsnummer bei einer Krankenkasse dort einzutragen. Bis jetzt keine Zustimmung. Gibt es noch weitere Fragen? Okay. Wenn das nicht der Fall ist, würde ich sagen, wir danken dem Speaker noch mal. Danke.