 Nun folgt der Vortrag mehr schlecht als recht, Grauzone-Sicherheitsforscher mit Dominic und Fabian. Stellt euch vor, ihr seid Forscher, ihr wollt euch ein Stück Software genauer angucken, verstehen, wie es funktioniert und macht das, was üblich ist, reverse engineering. Dabei findet ihr eine Sicherheitslücke. Wenn man so in den Programmschedule von diesem Kongrass guckt, ist es jetzt nichts Allzu-Unübliches, was passiert. Aber plötzlich kommt Post vom Anwalt. Von dieser Geschichte erzählen uns die beiden Forscher Dominic und Fabian. Begrüßt sie und ihren Leidesweg mit einem großen Applaus. Danke schön. Genau, wir halten mein Kollege Fabian und ich halten heute einen Talk. Warum stehen wir hier? Das hat gerade schon etwas angedeutet. Das hat irgendwas mit rechtlichen Dingen zu tun. Disclaimer vorweg, wir sind keine Rechtsanwälter. Ich muss auch dazu sagen, es sind nicht nur wie beide betroffen gewesen. Es waren acht Leute insgesamt, die hier in rechtlichen Turbulenzen verwickelt waren. Das waren zwei Gruppen, komplett unabhängige Forscher. Einmal das Team im folgenden Team V von der Friedrich-Alexander Universität Erlangen. Das sind drei Leute von der FAU und mich. Ich bin inzwischen an der TU Berlin und das andere Team, das Team TUM aus München, TU München, vier Leute, inklusive Fabian und eigentlich einer noch von der TU Eindhoven. Der wurde aber im Laufe des Prozesses irgendwie von der Gegenseite einfach ignoriert. Es ist okay, er hat sich nicht darüber beschwert. Das Einzige, was wir gemeinsam haben, ist, dass wir keine Lösung trauen, die absolute Sicherheit bewirbt. Und wer macht sowas? Die sogenannte Antragsstellerin. Es ist eine Anbieterin von Sicherheitslösungen. Das Versprechen ist, gib mir deine Software. Ich mach sie sicher, egal wie böse das Betriebssystem ist. Schützt vom Man-Ware-Man-in-the-Middle-Code-Injections-Bio-Ware. Also einfach vor allem. Und warum haben wir beide Gruppen uns das angeschaut? Wegen der relativ hohen Verbleitung am deutschen Markt. Das war der Grund. Wie ist das Ganze? Wir haben es letztes Jahr angeschaut. Und daraus ging dann so eine Veröffentlichung vor. Langsam ging es los. Erst mal ein Artikel in der Süddeutschen. Ende letzten Jahres. Ihr seht rechts auf den Folien immer schön die Zeitleiste. Blau ist dafür die Color Coding der Team FAU. Grün ist die TU München. Genau, wir haben das gemeldet und ohne weitere Details ein Zeitungsartikel veröffentlicht. Und dann einen Monat später gab es einen Vortrag auf dem Kongress dazu. Die farbleifte Welt des Mobile Bankings von Vincent Haupert von der FAU in Nürnberg. Und darauf ausliegend haben wir dann ein Paper auch noch geschrieben. Also ein Wissenschaftliesspapier, das wir auf der DIMVA dieses Jahres vorgestellt haben. Honey Ash Runkia App Security. Da haben wir dann nicht nur die Antragstellerin betrachtet, sondern auch noch das umliegende Umfeld. Also wir haben uns auch nicht auf diese eine Firma verschossen, sondern wir haben uns dann auch noch ein bisschen den Markt angeschaut. Ja, das war eigentlich so das von uns. Und dann war es für uns auch vorbei das Thema. Deswegen kommen wir jetzt Fabian. Ja, danke Dominik. Also was das Problem in dieser ganzen Geschichte ist, dass es leider ziemlich verzwickt ist. Es gibt zwei Zeitstrengende, die quasi an einigen Stellen parallel abläufen. Ich erzähle jetzt was gleichzeitig an der TUM geschah. Was passiert ist, ist, dass ein Kollege von mir aus unserer Autorengruppe an der TUM sich die Elster App für die elektronische Lohnsteuerklärung angeschaut hat und festgestellt hat, naja, dass das da drinnen ist, dass sie ziemlich nach dem aus, was der Winz sind, auf dem 34C3 schon mal einem Talk erwähnt hat. So ist der allererste Kontaktstand zu kommen. Zu dem Zeitpunkt war das Paper auf der DIMVA gerade conditionally accepted, wenn ich mich richtig in Sinne. Und dann flossen ein bisschen was von unserer Analyse in das Paper noch mit ein. Was wir außerdem gefunden haben, ist eine sogenannte Whitebox-Kriptografie, die zu sicher Schutzbaustein in der Software der Antragstellerin ist. Und wir hatten, haben eigentlich danach, dass ich nach diesem Whitebox-Kriptografie schon immer mal länger anschauen und haben gedacht, zu diesem akademischen Diskurs bringt Whitebox-Kriptografie etwas, bringt es nichts, ohne zu wissen, was es ist, genau ist. Wollten wir was beitragen und haben dann den Versuch, ein Paper zu veröffentlichen und haben einen Paper auf dem 12. News Next Workshop of Unoffensive Technologies, der kurz WUIT 18 eingereicht und wir haben uns dann sehr gefreut, dass es conditionally accepted wurde knapp einem Monat später. Hätten wir tatsächlich nicht mitgerechnet. Dann sind wir überrascht worden, das erste Mal so knapp, man sieht das hier an der Zeitleiste, ein paar Wochen nachdem wir das conditionally accepted bekommen haben, gab es eine E-Mail vom CTO der Antragstellerin mit dem Betreff responsible disclosure violation. Da sind wir das erste Mal aus allen Wolken gefallen, eigentlich, man muss dazu sagen unsere Findings, das war jetzt eigentlich, wir haben da zwar reverse Engineering betrieben, aber es war eigentlich, wir haben nicht so direkt ein Sicherheitslektor gefunden, es ging eigentlich eher mehr so um Vergleich von etwas mit einer, mit der akademischen Welt. Und trotzdem die Forschungsergebnisse, die wir hatten und Vorabzug des Papers der Firma, die ist dagegen zur Verfügung gestellt und haben dann, die waren natürlich nicht begeistert, dann haben wir über verschiedene Aspekte unseres Papiers mit den zehn Tage lang diskutiert. Ja, Überraschung, wir hatten ja zu dem Zeitpunkt, habe ich vorhin schon dargelegt, eigentlich abgeschlossen, mit dem Thema, wir hatten unser Papierrelease, das ist so eine Wissenschaft üblicherweise, da hat man dann nicht mehr so viel damit zu tun und plötzlich flattert so ein Schreiben offiziell aussehendes Schreiben, also erst mal kam eine Mail am Freitagabend, am unter kam dann auch das Post. Bitte einmal unterschreiben, im Volksmund wird es eine Abmahnung genannt. Worum ging es da? Ja, an E-Mails von der Rechtsanwalt, es kann Sly zur Forderung der Abgabe einer Strafverwertung, Unterlassungserklärung, das muss ich ablesen. Mit der Frist von, also Freitagabend kam das an, nur zwei Werktagen, was nicht sehr viel ist, Verstoß gegen. Ja, was könnten wir Verstoßen haben? Wir sind böse Hacker, deswegen wahrscheinlich irgendwas mit Hacker-Sachen, genau Urheberrecht und natürlich waren wir auch noch Wettbewerber und haben unlauteren Wettbewerb betrieben. Wir haben uns gewundert, die Forderungen waren folgendermaßen kein Reverse-Engineering mehr machen, also zumindest der Software der Antragstellerin, keine Schutzmaßnahmen umgehen, die, die hier irgendwie, das ist ja den ihr Job, also die machen Schutzmaßnahmen, wir dürfen die nicht mehr umgehen, damit ist dann wieder der Schutz perfekt. Nichts mehr veröffentlichen und keine Software mehr erwerben oder besitzen, die entweder A oder B ermöglicht, also kein, hört auf mit eurem Job ein Leben lang, Strafe hier Verstoß, 10.000 Euro, also hier ist mal wenn ich heiter aus Versehen irgendwo, egal, strafrechtliche Konsequenzen auch noch angedroht, also so ein böser Nebensatz, der sagt ja übrigens, obwohl ihr hier vielleicht das unterschreibt, ihr könntet dann trotzdem noch auf anderen Wege belangt werden, das fanden wir nicht so gut. Ich hatte jetzt die glückliche Situation easy an der Uni, ich bin ja Forscher und so, ich habe da angerufen, ja ich habe ein Problem, liebe Rechtsabteilung und die Rechtsabteilung sagt ja, Hauptgar kein Problem, machen Sie sich keine Sorgen, wir kümmern uns um das Thema, damit bin ich fertig. Danke für eure Aufmerksamkeit, geht zurück an Fabian. Ja, jetzt wäre es ja schön gewesen, wenn das für uns auch so einfach gewesen wäre. Also wir haben diesen schönen Brief in Form eines Vorabzugs per E-Mail an einem Freitag bekommen, ich glaube es war irgendwie so 15, 15.30 oder so, wir saßen glücklicherweise noch an der Besprechung meiner Chefin, meiner Professorin, die mir meine Promotionsprojekt betreut und die hat dann gleich reagiert und meine Rechtsabteilung angerufen, naja gut jetzt, Uni, ich weiß nicht, könnt ihr euch überlegen, was passiert, wenn man um 16 Uhr an einem Freitag, da versucht irgendjemanden zu erreichen, es war zum Glück tatsächlich noch jemand, ja also es war noch jemand da, der unsere Anfrage erst mal aufgenommen hat, es hieß allerdings tatsächlich nur ja, der Herr Oberregierungsrat, der sich das anschauen könnte, der ist leider nicht mehr im Haus, ich gebe mir das gleich am Montag. Ich habe hier so einen kleinen Kalender, um zu sehen, wie knapp das war. Also am 20. November bekommen der 24. Juni war die Frist, bis dahin sollten wir das zurückschicken, unterschrieben, dann könnten wir vielleicht den zivilrechtlichen Forderungen entgehen, wurde uns versprochen in diesem Abstand schreiben. Gut, am Wochenende ist leider nichts passiert, wir mussten dann so zehn Knüschen des Wochenende gehen, ohne was bewegen zu können. Am 23. und 24. haben wir dauernd mit der Rechtsabteilung telefoniert, mehrfach, oft, und haben versucht irgendwie, den zu erklären, was eigentlich passiert ist. Die sind erst mal aus einem Wolken gefallen, oh Gott, was ist denn da schief gelaufen, dann haben wir erst mal versucht zu sehen, was ist die Historie, wir haben ja schon im Vorfeld eine Diskussion zu unserem Paper mit denen geführt, haben den unser Paper gegeben und dann gab es das nächste Problem, na ja, ich will jetzt die Juristen nicht runter machen, keineswegs, aber die haben ein anderes Fachgebiet und wir machen unsere Forschung, wir machen unsere Forschung da und sollen denen jetzt auf einmal erzählen, was unsere verschiedenen Analyse-Techniken denn bedeuten und wie das rechtlich einzuordnen ist. Es war sehr schwierig und die Rechtsabteilung hat das auch am Anfang nicht so locker gesehen. Die erste Reaktion war, glaube ich, oh Gott, wir informieren erst mal den Vizekanzler, wir sehen da potenziell auch noch Schadensausforderungen auf uns zukommen, potenziell auch nach ausländischem Recht und ja, das war nicht witzig. Wir haben nur eine Fristverlängerung gebeten, die Rechtsabteilung hat das netterweise für uns übernommen, es ist ein Schreiben an den gegnerischen Rechtsanwalt, wichtig ist eigentlich, nutze ich das Fette, wir bitten um eine Fristverlängerung bis Dienstag den 31. Juli, wie ihr jetzt auf diesem Calendar sehen könnt, das wäre jetzt genau eine Woche gegesen, gekriegt, ein Tag haben wir. Danke. Okay, also weiterhetzen, wir müssen irgendwie mit unserer Rechtsabteilung klären, was wir jetzt machen können, also wir haben mit den tatsächlich juristische Fachartikel gewälzt. Danke haben am 25. Leider noch der nächste Brüller, ja, wir können das Antwort schreiben, leider nur vorbereiten, unterschreiben müsst ihr selbst, wir können es als Uni nicht zurückweisen. Auf dem Briefkopf steht euer Name, ihr müsst es unterschreiben, die TUM ist nicht offiziell Prozesspartei bis jetzt. Da war auf unserer Seite erstmal stille, wir konnten es nicht fassen, wir mussten dann tatsächlich darauf eingehen und haben das deren vorberechtetes Antwort schreiben, dann selbst unterzeichnet und die Forderung des Antragstellerinnen zurückgewiesen. Ganz kurz, erinnere mich dran, ich habe es jetzt komplett vergessen irgendwie, das war natürlich nicht wiesbar, also Sie haben sofort gesagt, ja es steht Ihr Name drauf, Good luck, have fun. Sie sollten sich dringend ein Antwort nehmen, geht uns nichts an, also das war dann geil. Weiter rechtlicher Hintergrund, Fabian. Also das, was jetzt folgt, das wussten wir natürlich zu dem damaligen Zeitpunkt noch nicht, das ist das, was wir jetzt über den, das wird es vielleicht noch alles kommt im Vortrag, da haben wir das so angesammelt an Wissen, wie gesagt wir sind das Kleine, wir sind keine Anwälte, aber ich versuche trotzdem mal so ein bisschen euch auseinanderzunehmen, wo ist das Problem juristisch, soweit wir es verstehen. Wir haben uns für unsere Analyse der Software und Disturging verschiedener Methoden aus dem Reverse Engineering Baukasten bedient, der ist jetzt hier mal so als Querbalken Grün dargestellt und da ist zum Beispiel halt drin dekompilieren, verschiedene statische Analyse Techniken, man kann das Programm zum Beispiel testen, den man es in einem Immulator ausführt und nicht direkt auf der Hardware und dem Immulator kann man dann ein bisschen pimpen an ein paar Stellen, man kann das Programm so einfach nur als Blackbox nehmen und einfach dem zuschauen, was es tut. Wenn man es im Debugger ausführt tatsächlich, dann sieht man auch, wie sich die Registerwerte verändern. Disassemblieren, tatsächlich wird auch durch ein Debugger gemacht, tatsächlich ist, aber ja man kann es auch bei Object Dump oder so reinschmeißen. Juristisch ist es so dekompilieren, never dood, das ist verboten nach verschiedenen Paragraphen aus dem Urheberrecht und Teilanspruch, je nachdem, glaube ich, auf welchen Anwalt man trifft, leiten die das auch her aus dem Gesetz gegen den unlauteren Wettbewerb, wo steht man darf, nicht mehr technischen Maßen am Geschäftsgeheimnis, einer Gegner, einer anderen Firma, sich aneignen, testen und beobachten wiederum, tatsächlich ist völlig okay, das ist explizit erlaubt nach dem Urheberrecht und dankenswerterweise auch nicht ausschließbar nach den AGB. Bei den ganzen Zwischendingeren ist es so, ja, ja, also je nachdem, welchen juristischen Fachartikel man da liest, wenn es denn dann mal, da gibt es nur ein paar von, also wir haben gefragt, keiner konnte das so richtig sagen, wir mussten uns im Vorgang auch Anwälte nehmen, auch die meinten ja, das ist nicht abschließend geklärt unserer Meinung. Es gibt bei dem dekompilieren netterweise eine Ausnahme, das ist die Herstellung von Interoperabilität, also wie gesagt, ich bin wieder kein Jurist, aber ich vermute, das trifft zum Beispiel, so wie Treiber entwickeln, ich habe ein Closed Source Treiber und ihr wollt, es gibt eine Schnittstelle und ihr wollt jetzt einen Open Source Pendant dazu anbieten oder es gibt irgendeine klar definierte Schnittstelle und aus Wettbewerbsgründen, damit der Wettbewerb bestehen kann, darf man im Notfall da auch dekompilieren, um herauszukriegen, wie diese Schnittstelle zu bedienen ist. Im Emulator ausführen, wir haben mal unsere Anwälte dann später gefragt, die meinten, es ist wahrscheinlich eher verboten. Es müsste euch jetzt mal auf der Zunge zergehen lassen. Also das ausführen, also die Begründung war dann, naja, das Programm läuft dann ja nicht mehr in seiner natürlichen Umgebung. Schwierig und statische Analyse, also teilweise, wir haben auch justische Fachleden, da war Disassemblieren schon verboten. Also, wenn ihr im HECC-Tour das Programm aufmacht und den Disassemblierer in eurem Kopf hat tatsächlich, also ihr könnt dann aus den HECC-Ziffern die Jobcodes herleiten und selbst wenn ihr in eurem Kopf dekompilieren könnt, das ist fein. Wenn ihr aber ein Tool dafür benutzt, automatisch macht das schwierig. So, eigentlich war unser Ziel des Ganzen, wir wollten eigentlich gerne mit der, also wir hatten keinen Interesse an Streit. Wir haben gesagt, naja, okay, was können wir denn machen, ohne unsere wissenschaftliche Unabhängigkeit zu verlieren, um das der Gegenseite so ein bisschen schmackhaft zu machen, dass wir das Paper veröffentlichen. Wir haben dann mit denen diskutiert, ein paar Formulierungen, die wirklich einfach drin waren, die wissenschaftlich null Relevanz haben, wo man nicht sagen kann, hey, wir hätten uns da jetzt ein Vompromiss gemacht, haben wir gestrichen, aber das hat alles nichts gebracht. Letzten Endes haben wir trotz intensiver Diskussion mit der Antragsgegnerin das Paper dann feinerlich zurückgezogen. Obwohl die Wut uns signalisiert, also es kam zwischendurch von der Wut die E-Mail, ja, wir nehmen das an in der Fassung, also das war nicht minuconditionally accepted, es war finally accepted zu dem Zeitpunkt. Wir bringen das dann irgendwann später, vielleicht mal. Und dann sind wir in den Urlaub gefahren und haben gesagt, naja, jetzt ist ja hoffentlich Ruhe, oder? Warst du dann auch irgendwie so ein Wochenende bei Ruhe? Hier ist das Unboxing Video, was du dann am nächsten, nächste Woche kam. Ah, naja, zur Wiederverwendung, ihr Schlecht. Dafür ein sehr gehaltvolles... Ja, das war das Schreiben. Danke. Im Inhalt, oder zumindest an Wasser fehlt es nicht. Das war das Schreiben vom Gericht vom Nürnberger Landesgericht. War sehr gehaltvoll. Und was war das dann? Sie haben versucht, eine einstweilige Verfügung zu erreichen. Das Gericht hat es aber nicht direkt akzeptiert und hat gesagt, das ist ein sehr komplexes Thema. Erst mal ein sehr großer Wert und so, wir wollen das gerne, also man kann da irgendwie als Gericht sagen, ja, das winken wir direkt durch, einstweilige Verfügung wird akzeptiert und da muss man irgendwie dagegen klagen und so weiter. Oder man sagt als Gericht, das will man gerne mal verhandeln. Das hatten Sie gerne verhandelt mit Anwaltszwang. Das ist, wir haben uns dann auch Anwälte genommen, so und volles Programm natürlich und persönliches erscheinen wird angeordnet. Und dann sind wir alle nach ziemlich viel Schriftwechsel. Also dann man denkt so, ja, Verhandlungen, da geht man hin und schaut mal, was passiert. In Wirklichkeit war dann mit unseren Anwälten wirklich Beschuss. Also es gab Seitenweise von der Gegenseite von uns, irgendwelche Schreiben, die das recht interpretiert haben und im Gericht versuchen, im Vorfeld schon mal klar zu machen, dass die jeweilige Gegenseite Quatsch redet. Jedenfalls nach diesen Gesamten hin und her, haben wir uns dann auch getroffen im Gerichtssaal und war alles überfüllt. Die Richter haben gemeint, na ja, so eine volle Zivilverhandlung hatten sie noch nie. Also wir waren acht Leute, der komplette Lehrstuhl ist noch mit angereist aus Interesse. War sehr interessant. Also es war eine recht lange Verhandlung. Unser Anwalt hat mit zwei Stunden gerechnet, maximal. Und es waren dann sieben und es war, also genau. Und da waren natürlich sehr interessante Stilblüten mit dabei, die ich jetzt hier nicht zeitlich alle vorbringen will. Aber solche Sachen wie die Verteidiger oder die, keine Verteidiger Rechtsanwälte, der Antragstellerin haben so Sachen losgelassen, wie es kann, der Sicherheit der Software unserer Klientin ja nicht dienlich sein, wenn die Sicherheit in der Öffentlichkeit diskutiert wird. Genau, also es war interessant. Die Richter haben ihren Job tatsächlich verhältnismäßig. Wir hatten Glück, dass sie sich wirklich drauf eingelassen haben auf das Thema. Nicht nur Täter, Streibtisch-Täter, sondern wirklich sich damit auseinander gesetzt haben. Die Schriftführerin ist irgendwann nach Hause gegangen, weil sie Feier machen musste und sieben Stunden später hat dann, also sieben Stunden später hat dann die dritte Richterin das Niedertippen dürfen, die Schriftführerin war weg. Wir haben einen Vergleich geschlossen mit der Gegenseite. Wir haben uns quasi darauf geeinigt, dass die Gegenseite erst mal alles zahlt. Das war uns sehr wichtig. Aber dafür haben wir zugestanden, dass wir in Zukunft Responsible Disclosure Ihnen gegenüber einhalten. Also wenn wir jemals wieder deren App anschauen, dann sagen wir erst mal Bescheid, wir haben eine neue Sicherheitslücke, wir haben gegeben Ihnen x Tage Zeit, die wir verangemessen halten. Daraufhin darf die Gegenseite dann sagen, ja, ist uns nicht genug oder wir brauchen mehr Infos oder ja, passt. Wir fixen das im Idealfall. Und wir dürfen dann die die Kommentare der Gegenseite prüfen und dürfen entsprechend agieren. Und was uns besonders richtig war, wir dürfen weiterhin veröffentlichen trotzdem und genau Sie tragen komplett die Verhandlungskosten. Also sagen wir mal ein okayes Ergebnis. Nach dem Vergleich waren wir alle super durch. Und es gab auch ein Heißartikel dazu, der regelkommentiert wurde. Also eigentlich gerade noch mal alles gut gegangen oder? Also es war natürlich, es klingt jetzt so mittelgut. Also es sind acht Forscher und wochenlang ist echt Stress. Also wie gesagt, Papierkrieg bis zum Umkippen. Laute Sachen, die man noch nie sich hätte träumen lassen wollen können. Wir haben keinerlei Umgleiten beantwortet, nur dadurch, dass wir gesagt haben, ja, wir nehmen den Vergleich an. Ist jetzt, also wenn wir gewonnen hätten, dann wäre Decompilieren trotzdem nicht legal gewesen. Wir hätten nur gesagt, wir haben nicht Decompiliert oder sowas. Und das Paper von der TU ist weiterhin nicht veröffentlicht. Das wird aber, Sie sind auf dem Weg. Also das kommt dann schon irgendwann, das ist ein halbes Jahr später oder so. Genau, was nehmen wir aus dem Gesamten mit? Erst mal keine Panik, aber das ist ein Standardding, nicht ein Panik, aber ich habe natürlich zu wenig gepanagt. Ich habe am Freitag gedacht, ja, ist der E-Wochenende. Montag wird das meine Uni schon richten. Nee. Nicht blind Sachen unterschreiben natürlich, ich glaube, das ist auch Objes. Also wenn wir den ersten Wisch unterschrieben hätten, dann hätten wir halt einfach unseren Jobs an den Nagel hängen können und kompletter Käse. Die Uni-Juristen sind keine IT-Experten, also selbst da an den Unis, wo sie was gemacht haben. Also war es nicht so leicht, das denen zu vermitteln. Die FAU zum Beispiel da, die Juristen haben sich hervorgetan. Wir waren positiv zu erwähnen. Ja, wie auch immer. Nicht übertreiben in Publikationen, das ist so mal ein bisschen gegen uns selbst. Wir tendieren dazu in der Wissenschaft immer so alles voll cool, was sie gemacht haben und so weiter. Wenn wir Sachen reinschreiben, die im Schluss vielleicht rechtlich verwerflich sind, dann problematisch. Und auch warum den Firmen nach einem großen Titel packen, wenn man es nicht muss oder so was, könnte man sich dann für die Zukunft überlegen, ob man das wirklich will. Das Wichtigste natürlich, never decompile. Also niemals jemals in Decompiler verwendet. Keine fünf mehr. Taste gleich rausreißen aus der Tastatur. Glücklicherweise, die Beweislast liegt beim Gegner. Also falls doch jemand mal ausrutscht auf der Maus oder der Tastatur, die Beweislast liegt beim Gegner. Nicht reinschreiben. Also wenn man wirklich ein Papier oder so was veröffentlicht, man hat nicht decompiliert, hat man einfach nicht. Problem ist, es gibt irgendwie dann noch wieder Ansprüche. Also wenn der Verdacht besteht, dann könnten da auch wieder... Das geht jetzt auch zu tief ins Detail. Never decompile. So, dann haben Sie wir uns einige Fragen gestellt, die wir jetzt im laufenden Fall noch ein bisschen beantworten möchten. Also bevor wir jetzt zum Ende des Talks um so ein bisschen mehr kommen, wir haben natürlich uns selber während des Prozesses schon einige Fragen gestellt und auch von außerhalb welche bekommen. Und das Best of möchte ich euch jetzt nicht vorenthalten. Natürlich. Na ja, wenn die Richter, also das muss man klar sagen, während des Gerichtsprozesses haben sich die Richter sehr tief in die Karten schauen lassen. Haben der Gegenseite quasi wortwörtlich gesagt. Also Leute vor dieser Kammer habt ihr mit euren Vorderungen keine Chance. Das könnt ihr vergessen. Da kann man sich natürlich jetzt fragen, warum haben wir das dann nicht einfach durchgezogen, sondern uns verglichen? Na ja, ich habe euch das Thema so ein bisschen aufgemalt. Was wir ja gekriegt haben, das ist der Instanzweg, wir haben jetzt ein ein zweites Verführungsverfahren gehabt, das ist das, worum es bei uns ging. Die Abwahlung haben wir gekriegt, die haben wir, haben alle unabhängig voneinander zurückgewiesen und dann geht der Weg, falls ein ein zweites Verführungsverfahren ist, erst mal zum Landgericht, dann zum Oberlandesgericht, wenn die Gegenseite in Berufung oder Revision geht. Und danach gibt es auf jeden Fall erst mal in einem Einzigenverfahren eine Entscheidung. Davon unberührt es aber noch ein eigentliches Verführungsverfahren, das ist quasi also ein zweiliches Eilverfahren, ich habe mir gehört, ich hoffe, es stimmt, in Bayern muss man das zum Beispiel auch einen Monat nach Kenntnis als Vorfall einreichen, sonst ist es offensichtlich mehr eilig, wenn man einen Monat damit wartet, bis man zu Gericht geht. Unabhängig davon kann man noch mal versuchen, die gleichen Ansprüche in einem normalen Verführungsverfahren durchsetzen. Ein zweilig ist einfach nur die eilig Geschichte, dass es eben des Zustand eingefroren wird. Wo waren wir denn jetzt? Wir haben die erste Stufe dieser fünfstüpfigen Pyramide, die haben wir quasi gezündet, wir waren bei Landgericht und haben es auch auf dem Urteil, also waren da, hätten es auf dem Urteil Anlass ankommen lassen können, das wäre wahrscheinlich in unserem Sinne ausgegangen. Die meisten Fälle, von denen wir wissen und den von, die Tumanwälte wussten oder uns von unserem Team, die Anwälte wussten, die enden schon bei der Abmahnung. Die meisten Firmen haben nur den Interesse daran, in einem öffentlichen Rechtsstreit die Sicherheit ihrer Software zu diskutieren. Das war bei uns nicht so. Mit dem Vergleich, da drinnen enthalten ist eine Abgeltungsklausel, das bedeutet, alle Ansprüche sind erledigt, völlig egal ob sie berechtigt sind oder nicht, und damit kann man nicht in Berufung oder Revision gehen. Das heißt, wir haben dem Gegner, die vier Stufen, die noch hätten gezündet werden können, alle erspart. Oder haben wir uns erspart. Ihr Gegner auch. Wir vermuten, dass wir am Ende die gewesen wären, dass wir den etwas kürzeren Atem gehabt hätten. Und wie gesagt, dieses Vergleich für uns ist in unserem Sinne. Wir wollen sowieso Responsible Disclosure, dass uns im Laufe dieses Verfahrens-Szene vorgeworfen wurde. Na ja, die Kommunikation war nicht so gut. Das tut uns leid, aber war halt ein Missgeschick. Man könnte auch noch Gutachter bestellen. Verführungsverfahren ist viel länger. Es kann sich über Jahre hinziehen. Man muss es auch nicht gleich machen. Und so weiter. Wir wollten nicht auf einer tickenden Zeitbombe sitzen bleiben. Jetzt gibt es das nächste Problem. Kameran-IT-Sicherheitsforscher bringen durch rechtliche Schritte zum Schweigen. Schwierig. Unsere Meinung, nein. Bei uns hat es irgendwie nicht funktioniert. Wir haben uns das rechter Kämpf, unsere Forschung jetzt gerade aufseiten der Atom. Dass wir es immer noch veröffentlichen können, wenn wir das wollen. Wir haben kein NDA unterzeichnet. Wir können hiermit euch heute über den Vorfall sprechen und tun das auch, um die Erwärmung für dieses Problem zu steigern. Damit euch hoffentlich nicht so was Ähnliches passiert wie uns. Auf der anderen Seite haben wir schon das Gefühl, dass das alles so ungeklärt ist. Besonders diese verschiedenen Nuancen, der Analysen. Dass man eigentlich ja irgendwie immer ein Grund konstruieren kann, der rechtlich für den Juristen scheinbar ja auch plausibel zu klingen scheint. Sodass man sagen kann, na ja, das Anspruch ist vielleicht gerechnet. Und dann ist der Forscher, wenn er keinen Bock hat, durch einen wahnsinnig langen Stanzweg zu gehen, eigentlich immer einen Mund totmachen. Und der psychische Druck ist enorm, das sage ich euch. Also das war einer der stressigsten, vielleicht der stressigste Sommer in meinem Leben. Wer vertritt denn Unisicherheitsforscher eigentlich? Haben mir viele Leute gefragt, na ja, Leute, ihr seid doch Arbeitnehmer. Ihr seid alle abhängige Forscher. Ihr habt ja eine Uni. Also wieso kümmert sich eigentlich nicht die Uni da drum? Und warum müsst ihr das machen? Warum das geht? Das kann ich euch rechtlich leider nicht aus komplett auseinander nehmen. Es gibt da zwei im Bayerischen Beamtenrecht. Oh Gott, ich glaube Abschnitt acht. Absatz zwei, drei in Verbindung mit zwei, eins. Lass mich lügen. Ihr seht schon, wie sehr ich mich mit diesem Scheiß beschäftigen musste, obwohl ich kein Jurist bin. Aber beantragt haben wir das? Eine Antwort haben wir dazu heute noch nicht. Im schlimmsten Fall muss das ins Bayerische Wissenschaftsministerium rauf, um eine Aussage zu kriegen, ob das geht oder nicht. Aber das ist tatsächlich aus Turmseite bis heute umgeklärt. Wie geht man als Forscher mit Nebentätigkeiten um? Mehrere von uns haben kleines Gewerbe nehmen bei, indem sie zum Beispiel Pentesting oder allgemeine IT-Tätigkeiten, die man halt so macht, dass man das irgendwie abrechnen können und ordentlich abrechnen kann. Wenn jetzt, es ist tatsächlich in der Abmahnung aktiv passiert, von Seiten einer Firma konstruiert werden kann, na ja, eine Firma. Das ist ein Konkurrent. Der steht entwettbewerbt mit mir und unterliegt dann viel strengere Regeln. Das ist, finde ich, sehr kritisch. Also zum Glück haben die Richter tatsächlich gesagt, na ja, also stellen die jetzt ein Konkurrenzprodukt her, nein. Aber trotzdem, der Vorwurf steht natürlich erst mal im Raum. Was wäre schön zu haben? Was hätten wir gewünscht zu haben? Es wäre natürlich kurzfristig erst mal cool, wenn man das ganze Risiko von dem Unternehmen verklagt zu werden, irgendwie versichern könnte, sodass man, wenn der Worst Case eintritt, dass man da wirklich jemanden hat, der will sich nicht einigen und der will dich durch die vollen fünf Instanzen durchschicken, dass man das irgendwie abfangen kann und dass man das nicht auf private Rechnung machen muss. Man kriegt das, also da kriegt man vielleicht mal Geld wieder beigericht, wenn man ein Recht kriegt, aber die Anwälte, jedenfalls unsere von, die wir engagiert haben, die wollen natürlich monatlich bezahlt werden. Und man kann ja auch mit einer Instanz verlieren. Da wäre natürlich cool, man hätte irgendeine Rechtsschutzversicherung. Keiner von uns hatte eine. Nächstes Problem, das sind Sachen aus dem Urheberrecht, das ist ja ein Kopie-Weitverfahren. Das ist wohl, da haben unsere Anwälter es jetzt also sah, wenn sie selbst, wenn sie eine gehabt hätten, das Urheberrecht ist meistens ausgeschlossen. Das liegt an den ganzen Fallsharing-Geschichten. Die normalerweise verhalten nämlich die alle da rein. Und wenn man wegen unleuterem Bewerb verklagt wird, wenn man nebenbei eine Firma hat, dann braucht man ja eigentlich so Gewerbe, ist dann auch irgendwie gerne ausgeschlossen bei Rechtsschutzversicherung. Also tatsächlich haben sie genau die beiden Punkte getroffen, wo sie wehtut. Okay, also es wäre cool, wenn es da eine Versicherung geben würde, die genau für sich jetzt wahrscheinlich so ein Risiko versichern würde. Unterstützung durch Forschungsinstitute. Also auch vor allen Dingen für, also wir hätten natürlich die Uni Unterstützung gebraucht. Also ich hatte schon den Eindruck tatsächlich, dass da durchaus viele Leute waren, die bemüht waren, uns zu helfen. Und die, die das auch versucht haben, aber die dann irgendwie über den Paragrafen gestolpert sind, sodass sie es nicht machen konnten. Und es hat an einigen Stellen tatsächlich auch leider das Gefühl gehabt, es gibt so einen Unwillen im System, der halt sagt, ja, das fassen wir lieber nicht an. Da bräuchte man eine klare Bekenntung zu Forschern, halt auch extern Forschern, weil nur den Mitarbeitern, das hätte jetzt Dominic zum Beispiel nichts gebracht und vor allen Dingen auch Studenten, wenn die auf so eine Arbeit einmal drauf stehen. So was wie Rechtsschutz und Mithaftung wäre interessant. Vielleicht gibt es eine Mithaftung tatsächlich, aber ihr wollt ja auch als Arbeitnehmer in der Uni nicht unbedingt gleich eure eigene Uni verklagen, oder? Also, das haben wir kurz überlegt, aber ihr habt gedacht, okay, in mehr Frontenkrieg gegen eine Firma und unseren Arbeitgeber, das ist so cool. Dann natürlich wäre es auch noch cool, eine rechtliche Basis für Sicherheitsforschung zu haben, die viele oder am besten alle Analysen, die man als Sicherheitsforschung so macht, irgendwie erlaubt. Also, wir sind da ja mit irgendwelchen Copywite, das ist sowieso schon eigentlich ein bisschen wahnsinnig, mit irgendwelchen Copywiteklagen überzogen worden. Ich frag mich ja bitte nicht genau aus, aber soweit ich weiß, gibt es seit 2016 da Digital Millennium Copyright Act, das ist das Entsprechung zum Urheberrechtsgesetz in den USA, eine explizite Ausnahmeregelung für Sicherheitsforschung. Wenn die da wäre, könnte man vielleicht viele rechtliche Fragen gleich im Keim ersticken und hätte auch mehr Sicherheit, wenn man da mit Juristen drüber redet, die sich jetzt nicht, diese ganzen Norms in der Sicherheitsforschung und der Analysen, die das eigentlich gar nicht so genau beurteilen können. Gut, das war es von unserer Seite. Wir stehen euch jetzt für Fragen zur Verfügung. Danke. Danke schön. Vielen Dank erstmal für diese Vorstellung, dieses Leidenswicht. Das ist ja wirklich erschreckend. Genau, wir kommen zur Q&A. Wer Fragen hat, kommt bitte an eins der Mikros. Meine Lieblingsansage ist immer Fragen.1 bestehen aus einem Satz mit einem Fragezeichen am Ende. Zweitens, wenn ihr ein Mikro redet, redet wirklich nah rein. Nicht in den Mund stecken, aber kurz davor. Der Nachredner wird es euch danken. Und für alle, die ganz dringend wohin müssen, bitte macht das so leise wie möglich, damit ihr nicht den Rest stört. Und damit kommen wir zu den Fragen und beginnen direkt bei Mikro Nummer 2. Danke für die aufregende Story. Vergleich mit einseitiger Kostenübernahme ist ja nicht der Standard. Meine Frage wäre, könnt ihr wenigstens beschreiben, wie hoch die Kosten waren, die die Gegenseite übernehmen musste, jetzt die Richtskosten und die Kosten eurer Anwälte? Also, da gibt es so eine recht anweiligliche Gebühren-Tabelle, die bestimmt nicht recht anweiligliche Gebühren-Tabelle heißt, sondern irgendwie anders. Es gibt bestimmt einen kultischen juristischen Begriff dafür. Und nach der wird das berechnet. Und nach dem Teil sind auch die Kosten abgerechnet worden. Also, das werden auch erst mal Angst bei diesem Streitwert. Der ist so wahnsinnig hoch ist tatsächlich, bei einer Einzelverfügung wollen sie eigentlich nur diese Unterlassungserklärung haben. Hey, wir dürfen das nicht mehr bei Andrungen einer Strafe. Und diese Streitwertgeschichte, danach berechen sich eigentlich nur die Kosten für Gericht und die Anwälte. Zweit, ich weiß. Mikrofon Nummer 1. Eine Frage, die ihr mit Ja oder Nein beantworten könnt. Hatte es für einen von euch acht noch berufliche Konsequenzen? Ja. Nicht mich, aber ja. Okay. Also, wir sind ein paar verschiedene Teams. Ja, eins von acht, ja. Ja, okay, eins von acht. Also, auf unserer Seite nicht, dass ich wüsste. Also, keine direkten beruflichen Konsequenzen. Also, nervlich auf jeden Fall. Also, auch schon so, dass man sich überlegt, hey, will man so ein Projekt nochmal anschieben. Aber ich persönlich bin froh, dass ich es durchgefochten habe bis zum Schluss. Und ich bin auch mit dem Vergleich zufrieden. Mikrofon Nummer 3. Haben eure Anwälte mal die Frage beantwortet, ob das, was da in juristischem Text als dekompilieren steht, auch wirklich das ist, was wir als Techniker darunter verstehen. Also, ist es wirklich F5 drücken oder ist es mehr so das kompilierte Programm in eine andere Form überführen? In eine, irgendwie sowas in Richtung, deswegen sagen wir Grauzone sicherheitsforschung. Es ist, dekompilieren ist auf jeden Fall böse. Deswegen hatten wir diese schönen Grafiken, es könnte alles irgendwie mit drunter fallen, übersetzen in andere Formen. Also, wenn du ganz viel Lust hast, 69e tatsächlich aus dem Urheberrechtsgesetz, das ist tatsächlich der Dekompilierungsparagraf, der allerdings erst mit die Ausnahmeregel, wo man noch dekompilieren darf. Da steht es tatsächlich als Überschrift ganz groß dekompilieren und es wird nicht mehr bestimmt, was jetzt genau dekompilieren ist. Ich gehe davon aus, das weiß ich tatsächlich nicht, dass genau jetzt für den Juristen dekompilieren ist. Wir haben juristische Fachartikel gelesen, da war Disassemblieren schon dekompiliert. Und genau diese Frage kann unser Rechtsanwalt nicht mehr antworten. Es müsste quasi das Gericht irgendwie dann trennen. Also, da kam von unserer Seite ganz klar die Ansage, wir kennen keine Referenzurteile dazu, wir haben keine Datenbasis, dass wir sagen können, hey, so wird das schon ausgehen. Das müsste man mal klären, juristisch. Alles, was wir Ihnen sagen können, sind nur Meinungen. Das kann jeder Richter anders sehen und entscheiden, wie er möchte. Haben wir eine Frage aus dem Internet? Es stellt sich die Frage, es würde im Vortrag angemerkt, dass die Studenten und Forscher ein Recht auf Versicherung haben sollten. Es ist weniger so eine klare Frage, als hätten nicht alle Recht darauf, eine Versicherung zu haben, wenn sie ihre eigene Software, die sie verwenden, auf Sicherheit überprüfen wollen. Das war so gemacht, die Meerengeforderung. Es wäre schön, wenn es eine Versicherung gäbe, die es versichern würde. Also kurzfristig. Wir haben uns gefragt, hey, schließen wir eine Rechtsversicherung ab, als das Schreiben reingekommen ist. Die hätte zwar nicht mehr den Schaden bezahlt, der jetzt gerade eingetreten ist, aber für zukünftige Fälle wäre das sinnvoll gewesen. Wir haben uns dann so ein bisschen informiert und sind auf diese Probleme geschlossen. Hey, selbst wenn wir eine Rechtsversicherung gehabt hätten, hätten wir vielleicht das gleiche Problem gehabt. Naja, ist nicht abgedeckt durch die Polizei, könnte selber zahlen. Natürlich stimme ich dem Internet dann auch zu. Es wäre das, was man, also man sollte, dass sich selbst anschauen dürfen. Aber das ist das Recht, das muss geändert werden vielleicht. Mikrofon Nummer zwei, bitte. Der CCC macht ja auch so was, wenn jemand einen Daten findet oder wie er auch immer rankommt, dass er sich da dann ja mit einschaltet. Habt ihr den CCC bei euch auch mit angesprochen? Und wenn ja, wie ist das gelaufen und ausgesagt? Da hatten wir wechselnde Erfahrungen. Ich habe rechts eng mit dem CCC kommuniziert gehabt und war natürlich gut. Wir hatten auch unsere Anwälte über den CCC empfohlen bekommen. Jbb war zum Beispiel sehr zweiter um hoch, wenn man so was hat. Aber das ist halt irgendwie bei acht Leuten verzweifelt. Auf unserer Seite tatsächlich ist es so ein bisschen, ich will jetzt dem CCC das nicht vorwerfen. Es kann vielleicht auch einfach nur ein Kommunikationsproblem auf unserer Seite gewesen sein. Obwohl es bei uns ist, von der ausgesteckten CCC, der nicht ganz so viel angeformt. Es ist ja die CCC Jbb, der die Nürnberger Forschungsruppe vertreten hat in dieser Sache. Der wollte uns nicht auch mit vertreten. Das war eigentlich mehr in dem Fall Pech, das gegenseitig uns einfach so eingericht gezerrt hat, wo wir eigentlich völlig separat voneinander geforscht haben. Der wollte potenzielle Interessenkonflikte vermeiden, weil wir ja doch sehr heterogen sind. Und dann hat er gesagt, na ja, ich empfehle euch einen Kollegen tatsächlich. Aber da, ja, das war halt dann schon sehr, sehr weit weg. Ja, vielen Dank für den Talk erst mal. Und die Frage bei den ganzen zurückgebliebenen Unklarheiten und ja auch so einer klagewilligen Antragstellerin, was er wohl auch nicht selbstverständlich ist, wäre es nicht voll sinnvoll gewesen, das einmal durchzuklagen, um irgendwie ein Grundsatzurteil zu bekommen, oder im Präzedenzfall, und die Kosten, die dabei entstehen, ja natürlich gefährlich sind, nicht eher solidarisch zu tragen? Genau. Meiner Meinung nach hätten wir am Schluss nur bewiesen gehabt, dass man uns nicht beweisen kann, dass wir gedekompiliert haben. Das wäre das, was am Schluss dabei hätte rauskommen können. Wen den wirksam wäre es vielleicht sinnvoll gewesen, zu verlieren, aber da hat ja absolut niemand Lust drauf. Okay, also meintest du jetzt tatsächlich, dass die Gegenseite, das Versuchs wirst du, wenn ihr durchzuklagen, um irgendwie zu gewinnen und sich nicht zu einigen? Oder worauf bezogst du die Frage? Die Frage bezieht sich darauf, ob diese Praktiken, die sozusagen bei der Sicherheitsforschung angewendet werden, dann doch durch die Gerichte so eingeordnet werden, ob das egal ist oder nicht, weil so bleibt ja das Jahr hin. Ja, das Problem ist, die Komponenten, die man nicht ganz vergessen, die sind acht Forscher, die alle auch im Leben noch was anderes vorhaben. Einige waren zu dem Zeitpunkt der Klage, zum Beispiel schon gar nicht mehr bei uns an der TU. Du bist mit dieser riesigen Autorgruppe davor gerichtet, das musst du über zwei, drei Jahre, wir haben versucht, alle Entscheidungen im Konsens zu treffen. Das habe ich einen Sommer lang, in der ich in der Grundzentrale für die Münchner Saitia Autorgruppe und es war ein Vollzeitjob, weil jeder überall war anders war und das versuchen, irgendwie über Jahre hinaus zusammenzuhalten, ist ein Halbtraum. Das ist ein wahnsinnig psychologischer Druck und du weißt du, vom Gericht, du versuchst ja erstmal, die niedrig hängenden Früchte zu nehmen. Also zum Beispiel in dem Schreiben der gegnerischen Rechtsanwälte, da waren formale Fehler drin, da fehlt mal ein Paragraf tatsächlich. Da ist fest, da fehlen Absätze. Das Dokument ist nicht schlüssig, an sich, rein formal. Das fängst du nicht erstmal an, in dem Boden der Decompilierung ganz tief hinabzusteigen. Du sagst erstmal, hey, Leute, da fehlen Seiten. Gebt dir euch damit euren Schreiben. Das ziehst du mir erst mal als erstes um die Ohren. Und ob dann am Ende wir wirklich uns jetzt auf das Decompilierungsding da gestürzt hätten, das ist völlig, völlig offen. Gut. Zeit ist um. Wer noch Fragen hat, ihr beide seid vielleicht ja noch ein Moment hier vorne erreichbar, als wer noch eine Frage loswerden will, kommt einfach nach vorne. Ansonsten war es das. Und damit wünsche ich mir nochmal einen großen Applaus für die beiden.