 Jetzt geht's aber los. Herzlich willkommen zum Talk Hacker-Ethik, eine Einführung. Gehackt wird viel, ob aus Spaß, aus Aktivismus oder aus reiner Neugier. Aber man muss auch immer wieder mal in sich kehren und überlegen, okay, wie weit kann ich eigentlich gehen? Was ist okay und was nicht? Klar, die AfD ist scheiße. Aber darf man deswegen die persönlichen Daten aller, die mal irgendeine Webseite von denen irgendwo bei Facebook geliked haben, veröffentlichen? Da hat schon mal einer eine Meinung. Es gibt viele Fälle, wo es nicht immer ganz klar ist, wie wir vorgehen wollen. Es ist nicht wie in Hollywood, wo wir den White und den Blackhead Hacker haben, den Guten und den Bösen, sondern wir befinden uns immer wieder in Grauzonen, wo wir überlegen müssen, wie weit geht es. Und da kann uns die Hacker-Ethik helfen. Etwas, was es schon lange gibt. Und da bekommen wir heute eine Einführung von Frank. Frank ist schon seit vielen Jahren Sprecher des CCC und noch seit viel, viel längeren Jahren aktives Mitglied in unseren Rhein. Und ich freue mich sehr, ihn heute hier zu haben und auch für mich nochmal eine erneute Einführung in die Hacker-Ethik zu bekommen. Also begrüßt ihn mit einem großen, herzlichen Applaus. Ja, vielen Dank. Die Hacker-Ethik. Die Hacker-Ethik, die der CCC verwendet, ist schon ein bisschen älter. Die ist ursprünglich mal entworfen worden, also aufgezeichnet worden, von Stephen Divy, der amerikanischen Journalist. Der hat ein Buch über die Hacker-Kultur am MIT in den 80ern geschrieben. Das hat den schönen Titel Hackers. Das wurde 1984 passenderweise verlegt. Und viele von den Regeln oder Punkten, die wir in der CCC-Hacker-Ethik verwenden, gehen darauf zurück. Eings nicht alle. Wir haben einige dieser Regeln oder Anhaltspunkte, die wir ja so ein bisschen hochhalten, als Orientierung verwenden wollen, adaptiert. Insbesondere Vauch Holland hat es damals getan. Und darüber will ich heute ein bisschen reden. Warum? Warum brauchen wir so was wie eine Hacker-Ethik? Was ist eigentlich der Sinn davon? Kann man nicht einfach machen, was man will, so einfach Spaß am Gerät haben und nicht länger drüber nachdenken? Unser Impuls dazu ist, dass Macht Verantwortung schafft. Wenn wir gucken, wer so sich in der Hacker-Community bewegt, dann sind es häufig Menschen, die können mehr, die wissen mehr als der Durchschnitt, sind häufig energetischer, auch wenn es manchmal nicht so aussieht, haben einen Drang zu wissen, zu forschen, rauszubekommen, eine unbändige Neugier, eine endlose Geduld, mit der es dann möglich ist, Dinge zu schaffen, die von außen aus sehen wie Magie, Techno-Magie. Und daraus resultiert aber eben auch die Möglichkeit, Dinge zu tun, die nicht so toll sind, die schlecht sind, die andere Menschen ins Unrecht setzen, sie müssen brauchen, dafür sorgen, dass sie ein schlechteres Leben haben und dem versuchen wir so ein bisschen uns etwas entgegenzustellen. Diese Idee, dass Macht Verantwortung schafft, ist in der heutigen Gesellschaft mittlerweile nicht mehr ganz so populär wieder so und wir haben ja eher gerade eine Tendenz weg von den Werten der Aufklärung, von Freiheit, Gleichheit, Brüderlichkeit, hin zu Trennung, hin zu dem Versuch zu spalten und hin zu dem Versuch, irgendwie zu sagen so Hauptsache, ich kann mich selber durchsetzen, ist mir doch egal, was die anderen tun. Wir, hier auf diesem Kongress, zeigt es immer besonders, denken, dass es der falsche Weg ist, sondern dass eben die Werte der Aufklärung, faktenbasierte Kommunikationen denken nicht anhand von Wunschträumen, sondern von dem, was wirklich ist, der Weg vorwärts sind in eine bessere Zukunft. Was wir dazu brauchen, ist natürlich Wissen und eine der ersten Regeln aus der Halteneckerhütte ist, der Zugang zu Computern in allem, was einem zeigen kann, wie die Welt funktioniert, sollte unbegrenzt und vollständig sein. Die haben wir genau diesen Punkt, diesen Wert der Aufklärung, dass die Zugänglichkeit von Informationen wissen können, wie ein System funktioniert, die Verfügbarkeit von wissenschaftlichen Ergebnissen, von Dokumentationen und dazu gehört auch manchmal sein Sourcecode zu dokumentieren. Ja, ich weiß, dass das ein Kern unseres Wesens ist. Die Verfügbarkeit von Informationen war lange Zeit ein Problem, also wir erinnern uns 1984. So, ich kann mich noch erinnern, so Mitte der 80er Jahre, wenn ich irgendwie Informationen darüber wollte, wie man Computer benutzt und bedient, die jetzt über, sagen wir mal, irgendwie das Handbuch zu der NRW kopierten Software aus dem Westen hinausging, musste sich in eine Bibliothek fahren. Es gab kein Netz, es gab Informationen, waren schwierig zu beschaffen. Mitte der 80er, überlegen wir uns kurz, da war es so, dass Informationen tatsächlich ein heißes Eisen war, die Zugänglichkeit dazu, davon war bei weitem nicht selbstverständlich. Ich kann mir noch genau erinnern, wie ich nach den illegalen Op-Codes im ZYLOG Z80 Mikroprozessor suchte, den DDR damals kopiert hatte. Und dann musste ich mich durch diverse Bücher wälzen, bis ich die dann gefunden habe. Und das hat eine Weile gedauert. Heutzutage will man einfach sein Telefon aus der Hosentasche ziehen und irgendwie kurz in die Suchmaschine seiner Wahl benutzen und hättest Ergebnis in 30 Sekunden. Und trotzdem ist es so, dass wir diese Frage, den Zugang zu Informationen immer noch zum Gegenstand politischen Aktivismus machen müssen. Weil wir jetzt das Problem haben, dass Informationen entweder mit Daten bezahlt wird, wenn wir Suchmaschinen wie Google benutzen oder für viel Geld gehandelt wird, wenn wir uns irgendwie diese Wissenschaftsverlage angucken, die Forschungsergebnisse, die wir mit unseren Steuergeldern bezahlt haben, versuchen uns teuer wieder zu verkaufen. Das heißt, dieser Zugang sowohl zu den Computern als auch zum Wissen über die Welt ist immer noch ein wichtiges Thema. Die radikale Formulierung davon ist, alle Informationen müssen frei sein. Und eine Zeit lang, ich weiß nicht, wie er sich noch daran erinnert, auf dem Chaos Communication Congress, wenn wir die Netzwerkstatistiken gezeigt haben, dann hatten wir immer so einen schönen Graf, der zeigte, dass wir mehr ins Netz hochgeladen haben als aus dem Netz runtergeladen haben. Das war ein gute Kongresse, wo das so war. Es gibt natürlich die Kehrsette dabei. Alle Informationen, alle wirklich alle Informationen. Deswegen kamen die Regel dazu, wie damals vor Holland dazu geschrieben hat, öffentliche Daten nutzen, private Daten schützen, Privatsphäre bis handlungsfreiheit. Jeder von uns hat was zu verbergen. Ja, das ist auch gut so. Das ist ein gutes Recht. Niemand ist gezwungen, sich zu offenbaren und es auch falsch so zu tun, als wäre es normal. Als wäre es vorkommen in Ordnung, dass man nur, weil man einen neuen Messenger installiert, sein gesamtes Telefonbuch hoch lädt. Als wäre es total in Ordnung, Menschen auf Fotos zu taggen, die davon irgendwie nichts wissen und es eigentlich auch nicht wollen. So zu tun, als wäre nur, weil man selber noch nicht verstanden hat, dass seine eigenen Daten möglicherweise ein Wert haben. Und zwar für die eigene persönliche Handlungsfreiheit, für den eigenen Spielraum im Leben, als könnte man dieses Denken auf andere extrapolieren. Wir reden hier von 1984. Diese Dualität zu sagen, öffentliche Daten, Daten, die uns allen nutzen, wissen, was um uns herum passiert, wissen, wie die Verkehrsflüsse sind zum Beispiel, wann es möglich ist, zum Beispiel mit der Bahn zu fahren. Also einfach so simple Sachen wie Fahrplan-Daten. Darum schlagen wir uns immer noch rum. Es gibt auch Talks auf dem Kongress darüber. Das heißt, dieses Thema wird irgendwie nicht alt. Also, dass der Staat und die großen Konzerne sitzen auf den Daten, auf den öffentlichen Daten, die uns möglicherweise ein schöneres Leben, bessere Zukunft ermöglichen können. Aber unsere privaten Daten, wo wir wann gewesen sind, mit wem wir kommuniziert haben, was wir gerne haben, wie wir bezahlen, was wir kaufen, was wir bezahlen, was unsere Suchbegriffe sind, diese höchst privaten Daten, die werden von denen privatisiert und meist bieten vermarktet. Wir hatten dieses Jahr eine Reihe von Skandalen, wo es genau darum ging, dass irgendwo so eine Facebook, aber auch Google und andere Unternehmen in großen Maße persönliche Daten erhoben und verhökert haben und damit sogar politische Manipulation begangen haben. Und es zeigt, dass dieses Feld immer noch aktuell ist. Und wenn man jetzt so schöpffreusch-kritisch mit Technologie unterwegs ist, dann tritt man ziemlich häufig in so einen Konfliktfall, genau an diesem Punkt. Gerade heute schon wieder an meiner Inbox, jemand, der gestolpert ist über eine Datenbank mit tausenden Daten von Menschen, die höchst privat sind und der jetzt natürlich fragt, okay, was machen wir jetzt? Wie gehe ich denn jetzt damit um? Soll ich die veröffentlichen? Soll ich versuchen mit dem Betreiber dieses Dienstes zu reden? Soll ich ignorieren? Soll ich versuchen, all diesen Menschen eine Mail zu schreiben und zu sagen, hier guck mal, deine Daten liegen übrigens da offen im Internet herum. Und es sind keine einfachen Abwägungen. Also man hat eine große Macht. Man kann an so einer Stelle eine Menge Mist bauen, der das Leben von Menschen stark negativ beeinträchtigt. Und diese mit dieser Verantwortung umzugehen ist nicht immer einfach. Wir hatten auf vergangenen Kongressen meine Telefonnummer, die Hacker-Ethik-Hotline, wo wir gesagt haben, okay, wenn du zufällig im Internet über Dinge gestolpert bist, wo du da längst, naja, das könnte möglicherweise jetzt ein bisschen schwierig werden, ruf uns an. Und die Fälle, die wir da bekommen haben, drehten sich eigentlich fast immer darum, dass Daten irgendwie schlecht geschützt waren, dass auch Daten erhoben wurden, die nicht erhoben hätten werden sollen. Und man befindet sich da natürlich in so einer gewissen Zwickmühle. Am Ende ist unser Rat da immer zu sagen, tue das, was am wenigsten Schaden macht, aber dafür sorgt, dass dieser Missstand abgestellt wird. Und es ist in der Regel natürlich was, was halt irgendwie mit den, darauf hinausläuft, mit den Betreibern diese Systeme zu reden, was wir auch gerne tun. Also wenn ihr in solcher Situation seid, kommt zu uns, wir helfen da gerne weiter, weil es in der Regel sehr viel einfacher, wenn der Anruf so geht, so Guten Tag, Frank Rieger, Chaos Computer Club, ich hätte gerne mal die technischen Geschäftsführer gesprochen, in der Regel werde ich sofort durchgestellt, als wenn sie da versuchen, irgendwie Guten Tag, ich bin John Doe Hecker, ich hab da ihre Daten, das geht in der Regel schief. Heiße Security macht auch so was ähnliches, die helfen auch in solchen Fällen, also wir sind da nicht alleine, wir versuchen halt irgendwie da möglichst auch andere, die halt irgendwie mit solchen Fällen qualifiziert umgehen können, zu helfen und voranzubringen. Letzten Endes geht es darum, haben solche Unternehmen eigentlich einen Unrechtsbewusstsein, so sind die Willens in einer Lage da zu handeln oder ist es denen eigentlich total egal? Und was wir da häufiger jetzt haben ist so eine Art Umarmungsstrategie, also so ein Schön, dass sie anrufen. Wir wollen natürlich sofort gerne alles helfen, aber wir brauchen leider ein halbes Jahr dafür. So, so eine Probleme stellen sich tatsächlich heutzutage in der Realität, dass also versucht wird, möglichst auf Zeit zu spielen, möglichst viel Zeit rauszuschinden. Während dieser Zeit liegen die Daten häufiger dann immer noch ein halbes Jahr am Internet und so war es natürlich inakzeptabel. Das heißt, das Abstellen von solchen Missständen ist tatsächlich oberste Priorität. Die Frage, wie wir dafür sorgen können, dass möglichst viele öffentliche Daten zur Verfügung stehen, also die etwas abgemilderte Form von alle Informationen sollen frei sein, hat natürlich auch eine Menge mit zivilem Ungehorsam zu tun. Also ein schönes Beispiel, was wir dieser Tage hatten, war die Öffentlichmachung aller Gesetzblätter im Internet. Man denkt sich so, Deutschland, Gesetze, naja klar, sind die im Internet. Stellt sich raus, die sind bisher gehören, die dem Bundesanzeigerverlag einer privaten Organisation, die profitabel betrieben wird von einem Verlag. Und nachdem dann eine Initiative die Daten halt einfach mal als Netz getan, gesagt, das ist eine Entschuldigung, wir sind hier Deutsche, wir müssen doch wohl unsere Gesetze haben können, ohne dass wir irgendwie dafür Geld bezahlen, hallo. Ging es dann plötzlich ganz schnell und die Justizministerin hat verkündet, dass die Daten, also diese Gesetze und Verordnungen demnächst kostenfrei digital zur Verfügung stehen. Also da sieht man tatsächlich, es funktioniert. Und diese Aussicht darauf, dass die eigene Aktivität, was zum Besseren verändert, dass das eigene Handeln nicht bedeutungslos ist, dass das, was wir tun, mit dem, was wir können und wissen einen Unterschied macht. Darum geht es in eine Hecke-Ethik. Es ist nicht egal, was ihr tut. Es ist nicht so, dass da draußen in der Welt sich nichts verändert, wenn man nicht an der richtigen Stelle das Richtige tut. Ein ganz wichtiger Punkt, den wir seit anbeginn des Kras-Computer-Clubs haben, ist, wir wollen Hecker und Heckerinnen nicht danach beurteilen, wie sie aussehen oder wo sie herkommen, oder aus welcher sozialen Schicht sie kommen, oder wie viel Geld sie haben, oder was auch immer. Eigentlich interessiert nur, was sie können und was sie wissen, was sie für Energie haben, was ihr Ziel ist. Und man muss sich immer mal wieder gegenwärtigen, dass es ein ziemlich radikaler Anspruch ist, zu sagen, wir sind eine Meritokratie. Wir möchten eigentlich nicht aus irgendeiner anderen Grundlage über Menschen roteilen, als darüber, was sie tun. Und dieser Ansatz ist natürlich umstritten. Einerseits von den Konservativen, die halt sagen, aber hoher Status muss doch irgendwie sein Privileg haben, andererseits von Leuten, die erst sagen, so ja, nee, Menschen können noch gar nicht so verschieden sein. Man muss sich wieder gegenwärtigen 1984. Es ist eine Zeit, an der die Nerds in der Regel den Klassen noch im Papierkorb stecken, an dem Leute, die irgendwie besser waren in Mathe, nicht so richtig die populären Kids in der Schule waren, wo es als jemand, der halt sich für Computer interessierte und Netze und all diese Dinge, war man jetzt nicht so unbedingt so der Held in der Klasse. Und der Kast-Computer-Club war schon immer eine Heimat für solche Menschen. Die meisten von uns sind dahin gekommen, genau weil wir da zum ersten Mal Leute getroffen haben, die dieselben Interessen hatten, die genauso wird und verrückt und schräg waren wie wir selber. Und das vorherrschende Gefühl, wenn man auf so einem Kongress ankommt, denkt so endlich zuhause. Endlich unter den Menschen, die wissen, dass das, was mich interessiert, auch wichtig ist. Und die genauso daran interessiert sind, was ich tue, wie ich interessiert bin und was sie tun. Und diesen Grundsatz, diese Gleichheit in unserem Tun, in unseren Interessen ist es, was den Kern des Clubs ausmacht, wo wir nicht von abweichen werden. Misstrau-Autoritäten fördere Dezentralisierung. Der Kast-Computer-Club ist schon immer eine Organisation gewesen, wo die zentrale Dezentrale hieß. Aus dem einfachen Grund, weil wir gesagt haben, okay, wir wollen eigentlich nicht so viel Zentralisierung haben. Klar, gibt es R-Verkreise, die ein bisschen wichtiger sind, die ein bisschen aktiver sind, wo mehr Menschen sind, so. Aber es gibt jetzt nicht das Hauptquartier oder so. Und wenn wir uns diesen Kongress angucken, wie dieser Kongress organisiert ist, gibt es eine große Menge von Teams, von Freiwilligen, die ihre Zeit und ihre Energie reinstecken und die sich an der Aufgabe suchen, die sich einen Ziel setzen und sagen so, wir wollen dafür sorgen, dass dieser Teilbereich bestmöglich erledigt wird. Da stecken wir unsere Kreativität, unsere Energie, unser Tun rein und genauso funktioniert der Kast-Computer-Club auch insgesamt. Das heißt, es gibt dann nicht irgendwie ein Organigramm oder irgendwie den großen Vereinen, der dann halt irgendwie schön strukturiert, das wie eine Pyramide, sondern es ist halt eher so ein Gewusel. Wir versuchen sozusagen so, denk für dich selber, wirst selber aktiv, versuch selber das zu tun, was nötig ist, ohne darauf zu warten, dass dir irgendjemand sagt, wo vorne ist. Die Strukturen, die wir haben, sind ein bisschen schwierig zu verstehen. Wenn man aus so einer, da gibt es ja so einen Verein und so ein Verein hat so einen Vorstand und der Vorstand hat so einen Vorsitzenden und der Vorsitzende sagt, wo es lang geht, denke kommt, ist man im Kast-Computer-Club ein bisschen falsch. Ist nicht das, was wir tun. Der Kast-Computer-Club funktioniert so, dass wir sagen, es gibt Gruppen, die machen Dinge und da wird dann schon irgendwie zusammen wuseln. Wir haben das Chaos auch im Namen stehen nicht ohne Grund. Wir haben ja festgestellt, über die Zeit funktioniert mal gut, mal weniger gut, es hat natürlich auch Nachteile so, also wir sind nicht besonders gut daran, zum Beispiel sehr lange an irgendeinem Thema dran zu bleiben, dass da dann jemand interessiert sich dafür. Immer wenn ihr denkt so, der Kast-Computer-Club müsstet auch jetzt zu diesem Thema unbedingt mal was sagen und er tut es nicht, dann kann es entweder zwei Gründe haben, entweder es gibt da keine irgendwie geartete Konsensfindung zu, so wir sind uns darüber nicht einig, also zum Beispiel dazu war zum Beispiel Google Street View oder es interessiert einfach niemanden, kann auch passieren. Die Möglichkeiten, die wir dadurch haben oder nicht haben, ergänzen sich mit anderen NGOs natürlich ganz gut, die halt ein bisschen mehr Kontinuität da reinbringen, aber wir denken, dass genau diese Unabhängigkeit zu sagen, es gibt eben keine Zentrale, die sagt, jetzt machen wir aber das, sondern Themen werden beackert oder angegangen, wenn Leute Bock darauf haben, wenn sie das Gefühl haben, es ist notwendig, wenn es ihnen Spaß macht, dass es uns einfach die Möglichkeit gibt, solche Dinge wie diesen Wahnsinnskongress hier zu stemmen, also überlegen mal kurz 17.000 Leute und das Ganze wird von Freiwilligen gemanagt. Autoritäten führen in der Regel dazu, dass sich Dinge verfestigen, dass es keine Bewegung gibt, dass Neues ist schwieriger hat, deswegen versuchen wir das irgendwie zu vermeiden, wenn es geht. Ja, der Teil, den Karina vorhin so schwimmen mit irgendwie Black Hat, Weithat, Grauhut oder wie auch immer beschrieb, den hat Wau damals als Mülle nicht den Daten anderer Leute beschrieben, Entschuldigung. Okay, Entschuldigung, war ich falsch informiert. Ihr seht, der Vorteil von Dezentralität und des Traum von Autoritäten ist, dass manchmal die Autoritäten am Saal sitzen und einen korrigieren, finde ich gut. Ja, Mülle nicht den Daten anderer Leute. Die Frage, was passiert, wenn man so ein System gehackt hat und man steht jetzt vor so einer Datenbank oder man hat jetzt plötzlich die Macht, Dinge zu tun, die man vorher nicht tun konnte, ist natürlich so alt wie dieser Club, so alt wie die Fähigkeit in anderen Leuten Systeme einzudringen und sie zu manipulieren. Hacking definieren wir als den schöpferisch kritischen Umgang mit Technologie. Wir definieren es nicht als das einbrechenden anderer Leuten Systeme, um damit Schindler dazu treiben, wie es im Rest der Welt so gerne definiert wird. Und die Frage, wie geht man in so einem Fall vor, ist natürlich eine nicht ohne Weiteres und nicht ohne nicht ganz so einfach zu beantworten. Wir versuchen in der Regel, wenn wir mit solchen Fällen konfrontiert sind, nicht zu sagen okay und dann machst du das oder das oder das oder das, sondern wir versuchen Fragen zu stellen. Und die wichtigste Frage ist, was passiert dann, wie geht es denn weiter danach, wenn du, was auch immer du gerade vorher getan hast. Überraschenderweise stellen sich die meisten Leute diese Frage nicht. Man denkt erstmal nur bis zudem und dann veröffentlicht die Daten und schreibt eine Pressemitteilung dazu und dann wird schon alles gut werden. In der Regel ist das nicht der Fall. Die Erfahrung zeigt, meistens geht das Leben danach weiter und es wird dann halt schwieriger. Das heißt, die Frage, was passiert dann, ist die, die man sich in solchen Fällen immer mehrfach hintereinander stellen sollte. Wir haben diese Verantwortung, die damit kommt, dass man zum Beispiel ein anderer Leute das Thema einbringen kann oder dass man Systeme manipulieren kann. Mittlerweile Inskalierungsfaktoren, die wir früher für quasi unmöglich gehalten hatten. Im letzten Kongress kam jemand zu mir, die hatten einen Botnet gebaut, eigentlich mehr so aus Versehen. Also die hatten tatsächlich, es lief halt so, die hatten einen Fehler in einem beliebten IoT-Gerät gefunden und haben dann halt den Bot dafür gebaut, der sich halt so ein bisschen verbreiterte und dann dachten sie auch, naja, es wäre doch eigentlich ganz schön, wenn der auch noch gucken könnte, ob andere Geräte in dem selben Netzwerk auch dieselbe Schwachstelle haben und sich dann da auch installiert. Der Bot hat nichts weiter getan, der hat halt nur sich installiert. Also hat kein DEDOS gemacht oder irgendwas. Nur hat sich einfach nur propagiert und nach Hause telefoniert und gesagt, hier bin ich. Na ja, dann saßen die halt da so auf einer niedrigen sechsstelligen Anzahl von IoT-Geräten und dachten sich so, und nun? Was machen wir denn jetzt? Und oft genug gibt es dann halt so Komplikation. Also man würde jetzt sagen, okay, so in einer idealen Welt, Hollywood-Szenario, wo man sagen, naja, dann benutzt du diesen Bot halt, um irgendwie diese Lücke zu schließen und sich danach selber zu löschen und wenn du damit fertig bist, dann sagen wir dem Hersteller Bescheid. Stellt sich raus, das geht nicht schadensfrei. Also ein Teil der Fälle wäre es dazu bei bestimmten Firma-Version oder Hardware-Version, wäre es dazu gekommen, dass es da halt dann zu einem Geräteverlust gekommen wäre, was jetzt nicht so unbedingt das Tollste ist. So auf der anderen Seite kann man jetzt sagen, naja, wäre jetzt andererseits auch denkbar, dass irgendjemand anders dieselbe Lücke findet und da halt nen DDoS-Netzwerk daraus baut. Was machen wir denn jetzt? Am Ende hat sich die Sache relativ einfach geklärt, weil die Lücke, dem Hersteller offensichtlich auch irgendwie aufgefallen ist und deren halt mit der nächsten Firma-Version von sich aus ein Patch nachgeschieben hat, geschoben hat, deswegen ist die Sache nicht öffentlich geworden und gibt immer noch ein paar tausend Geräte da draußen, die angraffbar sind, aber nicht mehr in der Dimension. Aber es war ganz, ganz interessant, genau dieses Mal zu durchdenken, weil in der Regel haben wir jetzt wirklich das Problem, wenn wir eine Sicherheitslücke haben, dass wir nicht mehr davon reden, dass man mal einen Server aufmacht. So wir können mittlerweile mit den Bandbreiten, die wir haben, das vollständige Internet enumerieren. Wir können alle Server im Internet finden, die eine bestimmte Lücke haben. Es gibt genügend Suchmaschinen, mit denen, wenn man die Muster, nach denen man fragt, für eine Sicherheitslücke entsprechend gut aufbaut, wirklich fast alle Maschinen im Internet findet oder alle IoT-Geräte findet, die diese Lücke aufweisen. Das heißt, auf einer Sicherheitslücke zu sitzen, die plötzlich 10.000, 100.000 oder gar Millionen Geräte betrifft, ist nicht unwahrscheinlich. Es ist nicht so, dass einem das nicht passieren kann. Manchmal guckt man auch lieber gar nicht nach, es gibt es auch. Also es kennen Leute, die sagen, okay, ich habe mir eine Lücke gefunden, ich gebe die mal lieber nicht in so eine Suchmaschine ein, weil ich will es eigentlich gar nicht wissen. Kann man machen, ist aber eigentlich verantwortungslos, weil man dann nicht dafür sorgt, dass das Problem aus der Welt geht. Wir reden jetzt bisher immer davon, Systeme aufzumachen und Sicherheitslücken zu finden. Viele von uns sind aber auch damit beschäftigt, Systeme zu bauen. Also dafür zu sorgen, dass wir unsere Computer funktionieren, dass Datenbanken funktionieren und so weiter und so fort. Neben der offensichtlichen Verantwortung dafür zu sorgen, dass diese Systeme halbwegs sicher sind, soweit es eben die Technologie erlaubt, gibt es auch eine andere Verantwortung und ist die Verantwortung dafür, was diese Systeme tun. Und wir haben genau dieses Skalierungsproblem auch auf der anderen Seite. Wenn wir heute ein System bauen, nehmen wir mal ganz harmlos, ein Dating-Portal. Dann fallen in diesem Dating-Portal tonnenweise Daten an, höchstsinnible Daten. Will man es? Will man, dass diese Daten so gespeichert sind, dass sie irgendwann mal jemand, der über eine Sicherheitslücke steubert zum Opfer fallen, unter dem möglicherweise kriminell verwendet oder für Erpressung verwendet? Will man Systeme bauen, die ein hohes Schadenspotenzial haben? Oder will man sie Energie vielleicht lieber darauf verwenden, Systeme zu bauen, die das Leben besser machen, in dem zum Beispiel die Daten ordnungsgemäß verschlüsselt sind, in dem die Daten vielleicht gar nicht erst erhoben werden, in dem dafür gesorgt wird, dass die Menschen diese Systeme verwenden, nicht im Unklaren darüber gelassen werden, was mit ihren Daten eigentlich passiert. Und immer wenn ich so gucke, es gibt so jedes Jahr so eine Landkarte der Firmen, die in der Werbeindustrie tätig sind. Das sind Tausende Firmen, die nichts weiter tun, als dafür sorgen, dass, wenn man auf eine Webseite geht, die Daten aus den Cookies und aus sonstigen Identifikationsmerkmalen möglichst schnell weitergeleitet werden und Leute darauf bieten können, welche Werbung sie einem jetzt irgendwie reinspielen. Und ich denke mir immer so, da müssen Leute sitzen, die programmieren den Scheiß. Da müssen Leute sitzen, die ihren Tachter mit verbringen, dafür zu sorgen, dass die Bilder von dramatisch ausgeleuchteten Zahnpastlatuben schneller bei mir im Brauser landen und die wissen, dass ich lieber verfemmen Zahnpasta mag, als welche mit Himbergerschmack. Ist das ein Lebenszweck? Fühlt man sich dabei irgendwie gut so? Arbeitet hier jemand in so einer Branche? Nein, kennt jemand jemand, der in so einer Branche arbeitet? Geht es den gut irgendwie? Und ich denke, dass das Heckerethik auch bedeutet, sich zu überlegen, was man mit seiner Lebenszeit anfängt. Wofür man seine Zeit verwendet, was die Dinge sind, die man hinterlässt oder die Bewegung, die man in Gang setzt, die trennt, die man schafft. Und ich glaube, da sollte man ein bisschen länger drüber nachdenken. Ich verurteile niemanden, der in so einer Branche arbeitet. Wir müssen alle irgendwie unsere Miete bezahlen. Aber möglicherweise kann man seine Talente auch anders verwenden, da, wo sie tatsächlich einen positiven Unterschied machen. Viele von uns tun es hier. Ich kenne auch etliche, die sagen, okay, ich arbeite in so einer eher etwas schattigen Branche, wo es nicht so schön ist, aber dafür habe ich irgendwie mehr Freizeit, die ich halt in gute Dinge tun kann. Das ist auch ein Trade, auf der aus meiner Sicht jetzt nicht völlig falsch ist. Aber darüber nachzudenken, das eigene Handel zu reflektieren, in Frage zu stellen, zu gucken, ob das, was man da gerade macht, noch das ist, was man eigentlich tun sollte und wollte, ob die Ideale, mit denen man mal angefangen hat, noch irgendwas damit zu tun haben, ist auf jeden Fall gelegentlich eine ganz gute Übung. Wenn man, egal ob man eine Systeme eindringt oder über Sicherheitslücken stolpert oder Systeme baut, eine gute Frage ist, heil ich dir eigentlich gerade jetzt die Mittel. Oder konkreter, was wäre, wenn das, was du da gerade tust, dir jemand zufügen würde, wenn du davon betroffen wärst, wärst du dann immer noch okay? Würdest du denken, okay, unter den und den Voraussetzungen ist es eine legitime Handlung, es ist ein Ja, ein Vorgehen, was du irgendwie gut heißen würdest, auch wenn du selber betroffen wärst. Und kann man natürlich irgendwie sich schön reden oder so, aber also einer dieser Fälle ist halt, was passiert eigentlich, wenn man Technologie verwendet gegen echte oder wahrgenommene politische Gegner und sie damit quasi legitimiert? Was passiert denn, wenn selbe mit deinen Freunden passiert? Bist du dann immer noch der Meinung, dass es eine coole Sache war? Die Antwort darauf kann ja sein, kann sein, dass man sagt, okay, ist vollkommen in Ordnung. Oder man kann sagen, naja, vielleicht hätten wir da doch noch mal einen Moment länger drüber nachdenken sollen. Also eine Variante davon ist so, schießen wir gerade mit Kanonen auf Spatzen, wir haben häufiger mal so Fälle, wo Menschen kommen und sagen, so hier, ich hab hier diesen Online-Shop aufgemacht, da war das PRP ein bisschen älter und hab da irgendwie 2.600 Leute gefunden, die irgendwie Lebkuchen gekauft haben. Na ja, gut, okay, wir mussten halt irgendwas damit tun und wenn das nur der erste Online-Shop ist, den der oder diejenige gerade aufgemacht hat, dann ist natürlich der Puls noch ein bisschen höher und irgendwie die Aufregung groß. Aber gut, dann muss man halt sagen, okay, naja, dann reden wir halt mit dem Anbieter helfen, ihm sein PRP abzudaten, sorgen dafür, dass die Daten nicht ins Netz gehen und kriegen vielleicht noch eine Packung Lebkuchen geschenkt, wenn alles gut gegangen ist. Da müssen wir jetzt kein großes Fass draus machen. Also wir müssen jetzt nicht irgendwie da eine Pressemitteilung draus machen, dass irgendwie, keine Ahnung, Lebkuchen 24-Nau fiktiver Adresse Senataten im Netz hatten. Also wir machen nicht aus allem, was zu uns kommt, irgendwie tatsächlich eine Pressemitteilung, sondern nur dann, wenn es darum geht, dass entweder wirklich mit sehr sensitiven Daten hochgradig schlamppig umgegangen wird und auch, sagen wir mal, die Betreiber von solchen Systemen dann auch in so eine gewisse, wie soll ich sagen, Beratungsresistenz zeigen, dann kann es halt schon passieren, dass es dann auch eine Pressemitteilung wird, aber in der Regel versuchen wir halt möglichst die Sachen zu erledigen, ohne dass da jemand zu Schaden kommt und niemand dabei heult. Eine der schönsten Teile der Heckerethik ist, man kann mit einem Computerkunst eine Schönheit schaffen. Und für uns ist es vielleicht mittlerweile selbstverständlich, weil die meiste Kunst, die wir kennen, kommt aus dem Computer. Wenn wir uns zum Beispiel Filme angucken. Schönheit kann man vielleicht drüber reden, aber wenn wir runtergehen in die Assemblies und Sex-Center und gucken, was die Leute so machen mit ihren Computern und wie schön es ist und wie viel Ästhetik und wie viel Scham da drin steckt, ist eigentlich vollkommen klar, dass es selbstverständlich geworden ist. Und das Interessante daran ist, damals war das nicht so. Damals waren Computer, diese Dinger, die halt irgendwie an Text-Terminals hingen und wenn man sie echt gequält hat und wirklich viel Zeit hatte und vielleicht sogar schon eine Grafikkarte hatte, konnte man vielleicht mal sowas wie irgendwie eine Mandelbrotgrafik die sehr schön war, dauerte halt nur sehr lange. Und wenn man dann Glück hatte, konnte man sie auf seinem neuen Nadeldrocker auch noch ausdrucken und dann die Wand hängen. Also das ist 84, wir müssen davon zurückgehen. Trotzdem ist es tatsächlich eines der Dinge, die mich immer wieder angenehm berührt, dass Menschen immer noch daran denken, dass man mit Computern auch wirklich Kunst und Schönheit schaffen kann. Der letzte Punkt ist eine der Kontroversisten. Wenn man aus der IT-Security kommt, da stellt sich dann so Montagmorgen beim Newslesen häufiger schon mal so dieses Ah, will ich nicht vielleicht doch lieber irgendwas mit Holz oder Metall machen oder scharfe Züchten oder Orchideen oder Rosen oder so. Und man kann ja schon so ein bisschen zynisch werden. Also gerade so IT-Security ist ja so ein Feld, wo man so dem immer so das Gefühl hat, das wird halt nicht besser so, außer man kümmert sich selber drum. Aber wir sollten nicht so zynisch sein. Tatsächlich ist es so, dass Computer für viele Menschen das Leben wirklich sehr viel besser gemacht haben. Ich habe mit vielen Menschen kommuniziert auf dem Kongressier und im Vorfeld und mir einfach erzählen lassen, wie Computer ihr Leben besser gemacht haben. Und da sind Menschen dabei, die können nicht sehen, die hören schlecht, die haben Orientierungsprobleme, die sind schon ein bisschen älter. Und für diese Menschen sind computergestützte Systeme um ihren Alltag besser zu bewältigen, essenziell und lebenswichtig. Die haben ihr Leben wirklich besser gemacht. Die meisten von uns wüssten gar nicht mehr, wie sie ihr Leben ohne Computer wirklich bewältigen sollten. Wir wissen nicht mehr so richtig, wie es geht, ohne Computer uns Informationen zu beschaffen. Ich weiß nicht, wer war irgendwie in den letzten vier Wochen in einer Blue-Take? Wer kennt jemand, der in einer Blue-Take war? Okay, über ein paar. Das heißt, wir sind nach der Zombie-Apokalypse, die ich vollständig verloren. Merkt euch die Hände. Ja, aber die Realität ist nicht nur Informationsbeschaffungen, sondern auch Kommunikation, alle Dinge, bei denen wir uns orientieren, so was wie digitalen Landkarten, so was wie die Wikipedia in der Hosentasche, so was wie digitale Bücher, die es möglich machen, in den Urlaub zu fahren, oder dass man einen zweiten Rucksack braucht. Diese Dinge haben wir alle mit Computern gebaut. Und dafür zu sorgen, dass es so bleibt, dass wir die positiven Aspekte davon weiter haben und weiter ausbauen können. Die negativen Aspekte, all die ganzen Probleme, die wir gerade haben mit irgendwie schon schönen Aufmerksamkeiten zu spannen, mit dem Hass in den sozialen Medien, mit der Spaltung der Gesellschaft in Segmenten, die nicht auseinander reden können, weil sie nicht einmal dieselbe Faktenbasis haben, sollten uns nicht davon ablenken, dass wir eine Menge sehr positive Sachen haben und wir vielleicht bestimmte Sachen einfach abschalten sollten. Ich meine, niemand stirbt, wenn Facebook morgen abgeschaltet wird. Aber wir sollten nicht den Fehler begehen, zu sagen so ach, diese Computer, ist doch alle doof. Wie gesagt, wenn man IT Security arbeitet, so ein Hobby mit Holz ist eine gute Sache, so kann ich sie empfehlen, auch löten ist ganz gut, aber im Prinzip hat dieser Satz immer noch seine Gültigkeit. In diesem Sinne, vielen Dank fürs zuhören und viel Spaß an die Red.