 fangen wir mal an der erste talk am tag oder die erste talkzeit am tag da zumindest ein paar leute hier sind ihr wollt es wohl wirklich wissen passen natürlich für video audio da oder aus dem geraffel familie der rest will es wirklich wissen so früh na gut okay spannend ja ich werde ein bisschen was dazu erzählen wie hackback mit unserer gesellschaft spielt und warum wir dieses spiel so spielen sollten dass wir vielleicht noch eine zukunft haben und nicht alles auf eine karte setzen und so ein bisschen was zu mir ich mache diverse dinging kontext kritische infrastrukturen und habe kritische endstadion von daher befasse ich mich mit dem ganzen schon seit einiger zeit ja wie sieht dieses quartet aus was ist eigentlich ein hackback und die frage stellen sich die deutschen sicherheitsbehörden auch regelmäßig und immer wieder wie reagiert man quasi offensiv auf cyber angriffe zurück oder wie hackback ich zuerst wie mache ich einen digitalen gegenangriff was ist es ist der finale digitale rettungsschuss haben wir auch schon gehört also die haben alle möglichen armen formen einer formulierung tatsächlich ist keine genau definiert weil man damit unter dem radar der exakten festnagelung bleibt das heißt hackback oder die regierung sagt explizit in drucksachen also kleinen antworten auf kleine antragung von oppositionen dass sie den griff hackback nicht benutzen aber eben am ehesten aktive cyber aber es variiert immer wieder damit kommt man auch nicht zu einer festen definition und zu einer begrifflichkeit mit der man arbeiten kann die regierung arbeitet schon seit vielen jahren an entsprechenden gesetzgebungsvorschlägen kriegt die aber irgendwie nicht finale und warum das so ist kommen wir nachher zu bevor wir uns die frage stellen bei wem cyber zu eigentlich so in deutschland und das ist ein auszug also der ist jetzt auch extra klein das ist egal ja da stehen alle möglichen drin der untere schwarze block ist das bsi die hängen schon relativ tief drin aber es hat also es hat inzwischen in deutschland so eine verantwortungsdiffusion jeder will mal mitmachen mit jeder konstellation und irgendwie überall aber auch nicht und solange diese cyber rei irgendwie nicht geklärt wird wird diese verantwortungsdiffusionen auch nicht geklärt oder aufgeklärt oder auch mal fest geregelt wer hier eigentlich welcher art von cyber rei machen darf das hat auch ein bisschen was mit einer organisationssoziologie zu tun aus dem sozialwissenschaftlichen finde ich sehr spannend weil eben auch die sozialwissenschaftler sagen na ja wenn ich viele leute habe habe ich eben als leiter dieser Organisation deutlich mehr macht deutlich mehr aussage das wird repräsentiert in wie viele mitarbeiter hat mein ministerium mein versi mein weißer kuckuck und diese organisationssoziologie führt also auch dazu dass jeder sagt ich will das machen da kann ich viele leute kriegen und damit habe ich mehr aussagekraft mehr macht mehr standorte gut mehr standorte ist nicht immer die goldene lösung das bsi hat jetzt auch so ein ableger in weit weit weg in irgendwo definiert bekommen das heißt zwar dresden aber es ist immer noch ein vorort der weit weit weg von dresden ist und wirklich in der letzten ecke ist ob die da überhaupt internet haben und cyber zu verstehen stelle ich mir die frage so aber es ist ein anderes thema Fakt ist jedenfalls das hier ist nur ein auszug der ist von der stiftung neue verantwortung die haben das mal zusammengetragen es gibt im oktober november ein deutlich komplexeres digitales modell wo man dann auch rein und raus suchen kann das hier ist von stand april da ist aber auch nicht alles drauf was jetzt schon rum cybert oder mein cybert zu missen oder irgendwie aktien in deutscher cyberei hat wirklich erst mal nur ein teil abschnitt warum das so ist ist unter anderem auch weil die gesetzgebung im kontext hackback halt naja nicht so einfach ist es gibt das völkerrecht das findet ziemlich unwitzig wenn man kritische infrastrukturen oder damals dieses dann zivile infrastrukturen angreift es gibt das grundrecht da habe ich gleich noch mal detail dazu was bei bestimmten irgendwie sagt nee ihr nicht und die genfer konventionen die ja auch noch irgendwie was dagegen haben es gibt noch das talin manual da kann man auch noch mal drüber reden das aber irgendwann springt den rahmen ich wollte es jetzt auch nicht zu gesetzlich langweilig gestalten aber ein bisschen was da drüber werden wir schon diskutieren müssen um zu verstehen was ist eigentlich der rechtliche organisatorische rahmen warum und wieso will man das eigentlich tun und die rechtlichen fragen zur hackback oder eben cyber war cyber abwehr wie auch immer es gibt eine schöne drucksache von der bundesregierung die eben sagt nur ist eine antwort auf eine kleine infrage die bundesregierung geht davon aus dass sie nennst jetzt schad software ich nenns digitale waffen weil es faktisch diese sind digitale waffen auf kritischen infrastrukturen in deutschland ja sind bestimmt vorhanden also wir gehen davon aus das ist eine ganz klare annahme dies dies realistisch das heißt wir sind schon infiltriert und können auch jederzeit angegriffen werden wenn dieser digitalen waffen zum wirk einsatz kommen die regierung hat aber auch gesagt kauf und Entwicklung von digitalen cyberwaffen durch die bundesregierung also wer verneinen das jetzt nicht explizit nur den einsatz gut der einsatz ist auch explizit laut grundgesetz verboten für die bundeswehr aber sie versuchen das ein bisschen darzustellen und auch ein bisschen schön zu reden was ist jetzt diese schad software oder mal wäre oder offensives zeugs oder was auch immer oder warum ist es eigentlich eine digitale waffe ich hatte auf dem auf dem camp beispielsweise mit mit fokami auch eine diskussion und im nachgang mit diversen leuten auch gesprochen weil er sagte das Kannst du nicht digitale waffen nennen gesagt doch es ist eine digitale waffe machen wir uns nix vor und der erste unterschied der prägnanteste unterschied ist wir security researcher machen eben forschung wir machen eine remote code execution für ein kalk exa aus und sagen ta da der rechners mal wieder da so wir zeigen den taschenrechner und sagen ist kaputt wir biegen dann aber ab in die richtung mitigation patching wie fixt man das wie geht man damit um wie baut man defensivität auf digitale waffenentwicklung fängt dann erst richtig an der taschenrechner konnte ausgeführt werden und jetzt will ich den payload ich möchte diese anlage zerstören nachhaltig das ist der große unterschied und deswegen nenne ich sowas eine digitale waffe weil sie einfach dieses ziel hat das ziel ist die antwort nicht die technische schwachstelle was ist mein ziel und wenn ich etwas zerstören will mutwillig absichtlich mit voller brutalität und mit vollem bewusstsein ist mit vorsatz und offensiv dann ist es eine digitale waffe ungefähr in meiner meinung oder kopfnäcken unsicherheit doch okay keiner dagegen sehr gut wer könnte denn in deutschland solche digitalen waffen ausführen oder ja anwenden jetzt haben wir sowas wie den bnd und den verfassungsschutz nachrichtendienste aber so ein verfassungsrechtliches trennungsgebot das liegt mit der historie der fahrung mit der gister pot zusammen im dritten reich hat man so gesagt nee deutsche nachrichtendienste sind ja nicht wirklich geheimdienste die dürfen nur informationen sammeln auswerten aber so ein zahlbeangriff durchführen nee danke in dem kontext muss man aber auch wissen nachrichtendienste dürfen informationen sammeln und auswerten also aufklärung machen und es ist durchaus eine gute vorlage zu sagen war so ein bnd hat den auslandsauftrag die gehen dann mal aufklärung betreiben in externen infrastrukturen im militär in anderen kritischen infrastrukturen wie könnte man denn das heißt also die sind durchaus in der lage potentiell derjenige zu sein der sagt ich spioniere das mal aus ich mache eine auskundschaftung vorab und die infrastruktur ist klar und dann kann derjenige der den angriff ausführen soll weil wir dürfen ja nicht eben mit diesen informationen agieren das ist eine theoretisch mögliche einsatz und aufgabenteilung die im bereich des realistischen wer für mich als lein da müssten vielleicht expert noch mal drüber gucken aber grundsätzlich von den gesprächen die ich mit einigen gemacht hab ist das eine einsatz scenario das kann durchaus funktionieren wie sieht es denn mit einem bka oder mit der bundespolizei aus naja die ermitteln bei computer straftaten die machen das auch unter einsatz von staatsdrojanern und quellen tkju für die staatsdrojaner brauchen sie natürlich auch exploids brechen auch in systemen ein aber es ist ja ein anderer kontext das ziel ist ja nicht eine kriegerische handlung oder eine zerstörung externe infrastruktur sondern das ziel ist eben einer computer straftat aufzudecken zu ermitteln und beweise zu sammeln zwar aus anderer sicht schlecht weil sie auch diese dieses old-aid trading exploit trading ja auch befeuern mit geldern oder mit einkäufen was auch nur ein ding ist aber ist ein anderer kontext fallen also beide auch aus wer bleibt denn dann eigentlich übrig im endeffekt die streitkräfte der bundesrepublik deutschland streitkräfte sind definiert als bundeswehr m ad und noch ein bisschen mehr und wenn die bundeswehr bei so einem hackback tätig werden soll dann muss es sich um einen sogenannten spannungsfall sie vorstufe zu einem verteidigungsfall oder eben dem verteidigungsfall handeln und zwar immer so wirklich echt immer das ist im grundgesetz verankert im artikel 87 a2 der steht da ja außer zur verteidigung dürfen die streitkräfte nur eingesetzt werden soweit dieses grundgesetz ist ausdrücklich zulässt und es gibt eine ausdrückliche zulassung im katastrophenfall im im groß schadenslagebild da muss die bundeswehr ausrücken und sanctek geschleppen damit das hochwasser die menschen nicht halt irgendwie gefährdet diese ausnahmefälle sind aber ganz genau im grundgesetz definiert und ist auch klar geregelt wer da welches mandat aus welcher sicht politisch gibt das ist schon sehr ausgeklügelt und wirklich intelligent gemacht ich habe mich in den letzten tagen etwas genau mit dem grundgesetz befasst um muss sagen scheisse geiles dokument wenn man versteht was drin steht es ist echt kompliziert geschrieben es gibt da aber durchaus leute die das gut erklären können und das ding ist echt ein hohes gut also ich wertschätze das wirklich bis zum extrem das ist eine tolle sache was ist denn jetzt dieser verteidigungsfall der da drin steht den wir ja machen dürfen mit deutschen streitkräften die verteidigungsfall ist im endeffekt eine reaktion auf eine militärische gewalt anwendung die von außen kommt also muss von außen kommen es muss einen militärischen kriegerischen akt oder eine handlung darstellen und es muss eine gewaltbereitschaft da sein man möchte ja mit gewaltrein satz eine meinung auf deklinieren und und überlagern ja ist schwierig wenn jemand irgendwie ein bisschen am computer rum hackt es ist noch schwieriger wenn ich sage ich mache eine aktive cyber abwehr bevor er mich angreift dann habe ich ja eigentlich genau diesen akt vorgenommen passt auch nicht so ganz also ich hätte ja dann schon den kriegerischen akt durchgeführt das haben wir also festgestellt naja die bundeswehr wäre unter umständen eventuell wenn man diese grundgesetz ein bisschen anpasst und das ist ja auch schon durchaus im gespräch man könnte ein paar gesetze anpassen das grundgesetz und dann sind wir in der lage wer würde denn sowas tun naja wir haben jetzt das kd oz also kommando cyber und informationsraum das ist jetzt der vierte bereich im militär neben her marine und luftwaffe haben wir jetzt das kd oz für die cyber informationsraum es gibt übrigens schon eine fünfte definition die längst auch in den in der deutschen in den deutschen streitkräften etabliert ist und zwar den weltraum das us spacecom ist von ein paar wochen gegründet worden die kümmern sich jetzt um militärisches im weltraum die deutschen haben das auch schon seit jahren in ihren folien und in ihren vorgaben also die reden schon von fünf dimensionen während sie gerade erst die fort eingeführt haben innerhalb dieses kd oz gibt es die zco des zentrum cyber operationen da werde ich mal ein bisschen zu diesem kernauftrag ausführlicher darlegen die führen cyber operationen zur aufklärung und wirkung durch cyber wirkketten die hatte ich beim beim camp mal kurz angerissen was ist eine cyber wirkkette das ist ein auszug aus dem kd oz die cyber wirkkette so definiert als beispiel ich greife ein scarter system an und führe damit ein ausfall der stromversorgung wenn die stromversorgung ausfällt dann bricht die telekommunikation irgendwann zusammen in analogen umgebungen acht stunden weil so lange noch sozusagen die akku oder stromleistung gegeben ist die masken zu versorgen oder so und im digitalen funk ist es auf zwei stunden reduziert worden kostiales geld muss man sparen also digital funk funktioniert zwei stunden zuverlässig so viel akku power müssen die haben dann darin schicht im schacht das ist dann auch in der cyber wirkkette schicht im schacht weil wenn die telekommunikation nicht mehr führt führt es zum ausfall oder der erheblichen einschränkung von schutzfunktion katastrophenschutz kann sich nicht mehr so einfach koordinieren die bundeswehr müsste sich im inneren falle erst mal eigene kommunikationsinfrastrukturen aufbauen wir müssten ter verrufen und sagen könnt ihr hier irgendwie stromgeneratoren an die mobilfunkmasten klemmen damit wir wieder saft haben oh warte die krankenhäuser kommen zuerst wir brauchen sprit wir haben 15.000 tankstellen in deutschland ist ja kein problem wie viele davon haben der notstrom aggregate 15.000 wie viele jemanden mit vermutung ne null nicht so schlimm ist es jetzt auch nicht also bitte wir sind in deutschland deutsche gründlichkeit nee ah nah dran 42 drehst ein bisschen um und manipulierst noch ein bisschen 14 14 tankstellen haben notstrom und könnten noch pumpen im stromausfall ja von 1000 15.000 also ich will damit sagen wenn wir wenn wir wirklich ein problem haben unsere cyber wirkkette uns trifft egal wen also deutschland oder jedes beliebige andere land dann hat er drüber ohren nach ziemlich schneller zeit und das ist auch den dem militär klar und es sagt halt nur diese kette gibt so dann sind die schutzfunktionen auch nicht mehr gegeben und wenn schutzfunktionen nicht mehr gegeben sind dann hat man ja die besten optionen sehr effektiv zu agieren gegen diesen gegner nennen wir es mal ganz neutral jetzt habe ich mal so eine annahme getroffen wie das deutsche militär das vielleicht sehen könnte wir haben so eine globale reichweite bei sofortiger wirkung ohne vorwand zeit weil ich kann ja sofort zurückhecken ganz spannend hier oben hohe wirkbreite ähnlich zu abc waffen ja die wirkbreite von so einer cyberwaffe ist ja sehr hoch reversible wirkung bei minimalen kontraltalschäden weil es wird ja mal gesagt ja kollateralschäden wir können ja zielgenau eine ip wegbomben das ist ja total unschwer stichwort attribution ein scheiß könnt ihr also das funktioniert so nicht das wissen wir das wissen die auch aber sie wollen sich schön reden und ich würde mal sagen dass es die behauptung die da steht hohe genauigkeit und weltweit verteilte ziele kann alles kaputt machen keine exponieren des angreifers also es gibt keine großexplosionen wirkenmittel und tralla langer vorlauf und notwendige eindringphase das ist dann die theorie des bnd und dann hätten wir so ein ähnlich einer neutronenwaffe ohne fall out ein ziemlich geilen effekt haltet ihr die annahme für realistisch die ich da treffe klingt so abgespaced ja nein ich hab es aus dem auszug aus einer militärischen folie vom kd ozil die sehen das genau so hohe wirkbreite ähnlich zu abc waffen ja sie wissen ganz genau dass wir hier von abc und d-waffen reden digitale waffen aber es wird immer schön geredet ja ist hackback für das gute und überhaupt aber sie legen es auf dieselbe edene das ist schon zwei Jahre alt das ding und ähnlich einer neutronenwaffe ohne fall out also irgendwie fehlen mir dann auch die worte weil ich das vor monaten schon irgendwie als vermutet habe und mit mehr leut nicht geredet und mehr recherchiert aber ich sage das klingt alles danach und riecht total fischi aber der beweis ist sogar offen klassifiziert ist noch nicht mal geheim die stellen sich einfach hin und sagen so sieht es aus das ist die cyber welt kriegen wir hin cyberoperationen im militärischen umfeld definiert das kdo so also kann man jetzt so rumsehen böse mächte gegen uns kann man aber auch so sehen das ist unser auftrag als kdo so weil wir machen ja auch cyberoperationen im militärischen umfeld gegen andere spionage gut ist klar beeinträchtigung der führungsfähigkeit wenn den kopfabschlage dann wird es schwierig aber sabotage kritische infrastrukturen ist eine zielsetzung einer cyberoperationen im militärischen umfeld machen wir uns nichts vor kritische infrastrukturen treffen die bevölkerung und nicht das militär keine soldaten die sich dazu entschieden haben kriegt zu führen und riskieren ihren ihr leben für ihr land was auch immer das hier trifft alle als bevölkerung als gesamtgesellschaft das ist das ziel und warum weil man eben unter anderem die die gesellschaft von innen heraus treffen will ja wenn ich eine maximale ein maximales durcheinander schaffe dann habe ich ein bevölkerungskrieg oder eine bevölkerungsunruhe man kann sich auch in ruhe die diese bevölkerung übernehmen beeinträchtigen oder meine meinung aufdrücken gut die facement von regierungswebseiten offiziellen kommunikationswegen und desinformationen über soziale medien machen sie natürlich in in korrelation klar blockade des nationalen zugangs zum internet ist auch eine eine cyberoperation im militärischen umfeld die durchaus sehr effektiv sein kann wenn jetzt hatten ja paar leute vom telekom und ko diesen diesen herm poops man könnte ja deutschland auch abschotten wie die russen dann trennen wir uns ab wenn alles schlimm wird also die implikationen ich gebe nur ein paar beispiele jedes unternehmen was auf cloud dienste von google amazon microsoft setzt so ist dann abgeschnitten diese rechenzentren tun nicht mehr ich kann weder meine software ausführen noch meine anwendung noch meine kli in der cloud weiß ja guckuck was sie machen ja die volle digitalisierung ist gerade mal ein satz und die sagen wir schocken uns mal kurz ab und dann läuft das ja klar das klingt nach nem plan und deutschland abzuschotten wenn es ein europäisches stromnetz als verbund gibt wo wir durchaus gezielt und das war ich glaube vor zwei tagen gab es ein stromnetz abfall in der frequenz und es musste in der kürzester zeit aus dem ausland ganz schnell dazugekauft werden um diesen abfall wieder zu korrigieren kann also richtig diesen peak sehen so was kann man dann nicht mehr machen weil man mit den andern nicht mehr kommunizieren kann guter plan dann haben wir sind wir erst offline und dann sind wir auch gleich mit dem blackout in deutschland auch noch offline also so richtig offline toller plan tolle theorie überhaupt nicht über die auswirkungen nachgedacht er krieg plack in den augen also ist aber für für militär natürlich eine ganz legitime option zu sagen wir dann schotten wir den nationalen zugang zum internet ab und dann sind die kaputt übrigens die usa hat ungefähr selbst elf ungefähr ziemlich genau elf seh kabel und damit zugänge zum internet wenn man an diesen elf stellen oder maßgeblich von diesen elf stellen böse dinge tun würde dann haben die nur noch sateliten ablink oder sowas da geht nicht mehr viel es ist also auch durchaus nicht so lustig wenn wenn man solche scenarien betrachtet wie wenig herzstückkomponenten es eigentlich gibt das internet ist zwar sehr global aber doch wieder an vielen stellen sehr konzentriert was ist denn für das militär eine charakteristik hybrida bedrohungen weil machen uns nichts vor ein cyberkrieg wird es nicht alleine geben cyberkrieg hilft nicht weil auch hier wieder sozial wissenschaftliche politik sicht wenn du ein cyberkrieg führst mit cyberwaffen kannst du jemanden beeinträchtigen oder richtig böse weh tun aber du kannst die nachhaltigkeit nicht sicherstellen der baut irgendwann die systeme wieder auf oder der kriegt die wieder hoch gefahren er wird sich resilienter aufstellen das problem ist also dass man nachhaltig sein muss und dafür braucht man besatzungstruppen die dann reingehen in das land oder kinetische wirkwaffen die das noch mal ein bisschen untermauern und beeindruckender machen also einen reinen cyberkrieg humbug hybride warfare oder hybride kriegsführung yo und den macht man unterhalb der schwelle eines bewaffneten konflikts in der maximalen vorbereitung jetzt mal wieder bei so bnb bereitet vor oder so verschleierung der u-wissenschaft zur vermeidung der attribution wir haben gerade noch eine folie gesehen wo sie sagt haben total ziel genau und wir können jeden weg sagen jeden weg sammeln ohne collateral schäden das hier ist auch sozusagen ein folienauszug vom kdo zur was dann an anderer stelle wieder sagt naja also wir verschleiern uns und uns findet keiner aber wir wissen genau wen wir wegbommen müssen hatten humbug konzentrierte desinformationspolitik klar und ich hatte ja vorhin schon gesagt destabilisierung einer gesellschaft von innen bei nem blackout haben wir nach fünf tagen bürgerkriegsähnliche zustände das sagt der wissenschaftliche dienst von vom vom bunt und die jungs haben das schon 2011 analysiert und in der studie ausführlich dargelegt ist wirklich super und es ist so also da müssen wir uns nichts vormachen gelebt wird also im ramm von cyber one hackback eine wissenschaftsfeindliche sicherheitspolitik dasselbe was wir gerade bei dieser wissenschaftsfeindlichen klimapolitik sehen bei beidem wird einfach ignoriert was experten oder wissenschaftler sagen und wollen irgendwie mehr security erreichen aber schaffen eher mehr cyber un sicherheit ja ist irgendwie genau das gegensätzliche ziel und das nicht nur experten aus einem wissenschaftlichen friedenskontext oder irgendwelche blabuletten wie ich die hier stehen und bla bla bla machen das irgendwie erzählen nee das ist wirklich wissenschaftsfeindliche sicherheitspolitik der netzpolitik org hat vor ein paar wochen dieses geheime gut achten oder vs nfd gut achten über die hackbackpläne der bundesregierung veröffentlicht und hat der wissenschaftliche dienst ein also den oberstleutnant zimmermann gefragt des prof anauni seit 30 jahren im bundeswehrdienst und er hat einfach komplett geschrieben das ist total ineffektiv und gefährlich ihr seid ja alle wahnsinnig hört auf mit diesem mist das geht voll in die falsche richtung wir müssen resiliente system haben wir müssen sicherheit haben aber auf gar kein fall offensives das jahr humbug wurde ja geheim gehalten nicht öffentlich gesetzt netzpolitik org war so lieb und ich danke denen so sehr für diese information das ist so geil ja die die die veröffentlichen ständig genau die infos die man braucht um als als teil der bevölkerung ohne lobbyismus ohne irgendwelche dinge dahinter oder großkonzerne einfach an die echten informationen zu kommen also von daher dank an netzpolitik org dafür lest euch das durch ist ein 18 seiten gut achten da steht viel harter tobak drin weil er ganz klar sagt also so nicht ja im endeffekt genau das was wir in der arbeitsgemein arbeitsgruppe kritis immer wieder erarbeitet haben und sagen schlechtes karma oder im endeffekt auch bestätigt also was wir als leien hinkriegen kriegen die experten der bundeswehr genauso hin die politik kriegt es nicht hin und das militär auch nicht so die zeit rennt mir aber ein bisschen weg ich drück auf die tube was ein kritische infrastrukturen einmal nur kurz dargestellt es gibt neun sektoren sieben sind reguliert weil sie weil sie bundesweit reguliert werden können zwei sind anders gehandhabt weil sie entweder staat und verwaltung selbst sind und der geht da anders mit sich selbst daran als als einfach nur zu sagen wir haben ihren gesetz und halten den normalen ablauf ein die gehen anders mit vor ist ja auch staatsschutz und eben medien und kultur weil medien sind landesweit reguliert da darf die da darf nicht eine bundesweite regulierung eintreten ist die einzige sonderlocke warum die zwei jetzt anders dargestellt sind aber diese neun sektoren sind also kritische infrastrukturen in deutschland oder als kritische infrastruktur definiert worden aus der europäischen ns-richtlinie und dienen primär dem schutz der bevölkerung und nicht dem betreiber es soll ja eine versorgung aufrecht gehalten werden sie haben eben identische komponenten im einsatz oder immer mehr identische komponenten im einsatz das sind fast so die großen komponenten sind eigentlich immer von denselben üblichen herstellern die werden immer mehr ans netz internet verklemmt und verdrahtet und durch den start kann es eben passieren dass das zurückgehalten der oday lücken diese eben bedrohen ja und damit im endeffekt nicht den betreiber sondern uns als bevölkerung weil wir die dienstleistung und die versorgung ja nicht mehr bekommen ja zwei beispiele wie wie sowas aussehen kann ukrainisches strommnetz hatte ja zwei outages die absichtlich durchgeführt wurden und die betroffenen personen in kef fahren und umfeld waren eben 250.000 man im winter ist ziemlich kalt weihnachten lief da irgendwie ein bisschen anders das kann dann auch ganz schnell zu zur toten führen durch erfrierung oder sonst was und auf dem saudi arabischen kraftwerk was angegriffen wurde triton war ja ne ne ja eine digitale waffe die sozusagen so geplant wurde dass man wenn das funktioniert hätte also sie war passiv sie war ne firma manipulation im ramm und wenn diese erfolgreich ausgeführt worden wäre das hat leider nicht so ganz oder was heißt leider also aus deren sich leider nicht so ganz funktioniert dann wären explosionen und die freisetzung von schwefel wasser stoffgas die folge gewesen das heißt sie haben nach safety integrity level das habe ich oben links in der ecke sel sel 3 ungefähr 200 bis 400 tote bedeutet das ist die klare aussage dass man gezielt versucht hat menschen umzubringen mit dieser ja schad software oder auch einfach mal ehrlich genannt digitalen waffe ja das war durchaus geplant 2 bis 400 Menschen zu schädigen oder wirklich zum tot zu führen so was machen wir denn jetzt damit alles käse oder auch nicht ich hätte gern eine unabhängigkeit des bsi vom bmi dann haben wir einen vertrauen da drin dann geht es auch nicht an das bmi an die geheimdienste an weißer koko quass sondern die wirtschaft und die bevölkerung kann sich vertrauensvoll ans bsi wenden und weiß dass da nichts dahinter irgendwie komisch laufen kann wir haben das in der vergangenheit erlebt mit der analyse des staats trojaners wo die bevölkerung und die wirtschaft gesagt hat ft wtf aber das bsi selber hat erkannt dass das doof ist wurde aber gezwungen vom bmi und hat es dann gemacht ist rausgekommen jetzt glaubt natürlich keiner mehr dazu nicht doch von oben auf dekliniert bekommen manchmal was man machen muss ist also wirklich ein wichtiger punkt um dieses vertrauen also bei wem cybert's ja wir haben ja die große map gesehen es macht schon Sinn dass diese ganze zauberei cyberei beim bsi aufgegangen ist aber bitte in einer unabhängigen form weil wir haben jetzt gesehen wie viele player da wie mitmachen wollen also das hätten wir gerne in defensiv und nicht offensiv oder hingefuscht so eine strikt defensives cybersicherheitsstrategie für deutschland ist das a und o wir haben jetzt gesehen dass hackback nicht wirklich zielführend ist oder oder hilfreich oder sinnvoll und in dem gutachten in 18 seiten demand hat auch nochmal professionell nachlesen wir brauchen wirklich eine defensives cybersicherheitsstrategie und wollen die resilienz der systeme erhöhen wir wollen die wiederanlaufzeit der systeme schneller gestalten und dann können die so lange umzeibern wie die wollen dann treffen sie uns vielleicht aber es hat kein schadensausmaß dann fällt halt was aus und wir fixen das und ziehen es wieder hoch da können die so lange umzeibern und waffen drauffeuern wie sie wollen das verpufft alles das ist doch das eigentliche ziel eine echtung von abc und d waffen ja wenn wenn das militär fordern kann das ist ja vergleichbar dann ist ja auch eine vergleichbarkeit bei der echtung wobei wir noch lange nicht da sind dass alles auch wirklich weltweit geächtet wird aber das kann eigentlich nur das konsequente ziel davon sagen evaluierung der vorhandenen gesetze und maßnahmen wäre auch schön wenn diese ganzen maßnahmen auch mal geprüft werden so funktionieren die funktionieren die nicht haben die mehr sicherheit gebracht oder mehr unterwanderung der freiheit für nichts und eben bevölkern schutz durch behebungen von schwachstellen durch hersteller für die defensives cyber sicherheitsstrategie habe ich drei vier beispiele aufgeführt bei kritis eingesetzte software grundsätzlich open source oder eben den quellcode in treuen richer verwaltung dann hat man das auch noch wenn der hersteller nicht mehr da ist aber diese produktionsanlage noch 30 bis 40 jahre läuft bildungspolitik ganz wichtig a sichere quellcodeentwicklung ausbilden jeder darf programmieren einfach so irgendwie warum haben wir das in der bildungspolitik nicht integriert dass die alle auch erst mal beigebracht bekommen was sichere entwicklung ist das ist ganz oft nicht der fall es gibt einfach kein strukturiertes bildungspolitik konstrukt dafür keine bereitstellung von budgets für staatliche aktöre um oder ist zu kaufen oder zu entwickeln wo kommen wir dahin ja wir wollen auch nicht atomwaffen bauen dann brauchen wir keine digitalen waffen bauen was soll das oder die voraussetzung dafür die exploits ohne verpflichtung der staatlichen aktöre ihn bekannt geworden ist schwachstellen über ein unabhängiges bsi an den hersteller zu melden und der muss das dann auch fixen den kann man auch mit einer produkthaftung oder was auch immer dazu bringen und die kritische infrastrukturbetreiber haben dann die pflicht die einzuspielen und dann wird das auch in diesen drei span funktionieren aber wenn wir diese drei span nicht haben brauchen wir auch nicht wundern wenn sowas nicht funktioniert also mit der maßnahme würde man extrem viele infrastrukturen absichern und damit hätte man schon ganz viele der der outages in den letzten jahren eliminiert die meistens nämlich tatsächlich ungepetschtes system oder lücken die nicht beruhen wurden so machen wir uns nix vor so ist es unabhängigkeit des bsi ich habe so einen schönen passus angebracht man könnte in pf1 vom bsi gesetzt eben sagen dass bsi führt diese aufgaben dies hat auf der grundlage von wissenschaftlich technischer erkenntnisse aus gibt es auch keinen wie ignorieren mal solche wissenschaftlichen ergebnisse und die anforderungen werden jeweils mit den fachlich zuständigen ministerien gemeinsam durchgeführt guck man sich das iti sicher als gesetzt 2 0 an hat das bmi ganz tolle ideen gehabt aber tatsächlich waren viele davon strafverfahren und strafverlängerung oder sowas das ist ganz klar das bmjv äh bm justizministerium ähm und die haben gesagt wird das steht so viel von uns drin über den entwurf reden wir gar nicht wir reden auch nicht über anpassung oder so wir lehnen den einfach ab hat sich erledigt die haben mal den arsch in der rose gehabt so eine ansage zu verpassen aber tatsächlich muss das eigentlich auch beim bsi wirklich drin verankert sein und dann hätten wir auch den marschstab dass sie sagen ja bmi hat hier wünsche aber müssen hat ja ordentlich umsetzen jetzt müssen wir mit den anderen ministerien reden das wäre wirklich cool so ausblick demnächst also 7.8.februar nächstes jahr wird es eine defensive con in der cbase in berlin geben die ich mit koordiniere und organisiere da ist die zielsetzung so ein bisschen in politikern oder aus der politik das ja alles nochmal durch mehrere beiträge ein bisschen transparenter zu machen und bis dahin könnt ihr euch noch auf twitter ag kritis info oder sonstwo informieren oder mich nerven oder andere oder die meinung weiter verbreiten danke schön so jetzt habe ich extra ein bisschen auf die tube gedrückt damit wir noch ein bisschen diskussionszeit haben weil es spannende an dem ganzen sind fragen und antworten und daraus lernt ihr aber auch ich lerne ich würde mir wünschen wenn wir die zeit jetzt auch wirklich für fragen und antworten nutzen weil sonst habe ich auf die tube gedrückt für nix bitte sehr ja du hast auf die erheblichen mängel bei der organisation hingewiesen interessant finde ich jetzt die frage ist das basieren auf unfähigkeit von verantwortlichen oder haben wir dort auch wirtschaftliche interessen von bestimmten wirtschaftlichen playern diese motivation ist ja zweifellos vorhanden wahrscheinlich bis das zeitgründen nicht darauf eingang das war aus wirtschaftlichen gründen da einfach bestimmte sachen vorangetrieben bekommen wo siehst du die ursache dass da wirklich so ganz offensichtliche mängel in der organisation im grundsätzlichen bestehen also es gibt jetzt nicht die eine echte ursache sondern ist eine kombination aus ganz vielen wovon ich ja auch nur ein paar stück nennen kann die mehr auf der hand liegen es gibt natürlich wirtschaftsakteure die die sich da dran irgendwie in reibach machen machen wir uns nix vor die rüstungsindustrie in deutschland verdient nicht dadurch dass sie frieden gibt sondern sie verdient dadurch dass kriegseinsätze waffen verbrauchen die man weiter verkaufen muss dasselbe hat die cyberindustrie diejenigen die ode exploits treten oder verkaufen die wollen die für millionen mehrfach verticken oder die wollen noch mehr bekommen um noch mehr zu verkaufen die verdienen sich blöd daran ich meine die haben ja schon die ethisch ins gruppel nicht dann können sie auch das maximale geschäft rausziehen die ganzen produkthersteller die immer umrennen installiere mein produkt dann bis 100 prozent sicher 100 prozent sicherheit gibt es nicht das ist blar aber die rennen heutzutage immer noch damit rum tatsächlich ist es so dass ich nehme jetzt mal ein beispiel antibierend software du musst dir inzwischen wirklich ernsthaft bei einem bei einem kritischen system überlegen ob du sie installierst und damit mehr gefährdung erzeugst als du kompensierst und das ist halt eine entwicklung die ist gefährlich die diese diese industrie produziert eben auch nur noch so auf halb acht und die software reift beim kunden oder ja da gibt es dann bugs aber muss man die fixen also selbst wenn man als researcher eine schwachstelle meldet da wird man ja eigentlich müsste man erwarten so der rote teppich wird ausgerollt danke sag uns wie es läuft stattdessen kommt doch wenn man nur ein slap in your face so du kriegst die leute nicht erreicht dann musst du über irgendwelche beziehung oder sonstigen ecken gehen irgendwann hasse dann jemand erreicht der sich da der sache annimmt und dann sagt sie hier ist kaputt fixer doch mal ich hab intern mit den leuten geredet die sehn hat er als naja also wenn wir das als bug klassifizieren müssen was beheben aber dann kriegen wir auch kein geld von kunden wenn wir das irgendwie anders machen dann wir können das auch einfach oh guck mal ein dreiköpfiger dann gibt's diejenigen die sagen nehmen wir entgegen interessiert uns aber auch nicht leg mal auf seite damit mach mal kein geld oder um keine zeit oder keine lust oder denn kommt noch bescheuerte rückfragen so kannst du uns das noch mal genau erklären wir haben das jetzt versucht zu reproduzieren aber nicht geschafft dann gibts ja noch mehr infos und dann so ja haben wir also irgendwie immer noch nicht kannst du mal da machst eine wissenschaftliche Ausarbeitung und dann kommt immer noch so hm ja weiß ich nicht genau also am besten kannst du uns den patch schicken so was ja aber hat es alles gegeben und auf der anderen seite gibt es aber auch einfach dieses ja gut ich schreibe die scheiße einfach in eine mail schick's an so ein exploit trader und der schickt mir einfach die Kohle per bitcoin cash whatever zurück und sagt danke so das ist das ist dieser scheiß unterschied den wir haben in dieser industrie und die wirtschaft es gibt viele in der wirtschaft die sich daran gesundstoßen an diesem dunke blubber unsere software kann alles oder wir beraten jetzt super duper es gibt auch leute die einfach hingehen und sagen die zco macht offensive ja gut die müssen dann also regelmäßig red teaming trainieren oh dann bieten wir den red teaming training an ja ist ja für einen guten zweck für für das militär in deutschland hurra vielleicht sollten sie sich auch mal überlegen ob das ein guter dienst ist kann man übrigens auch recherchieren wer zum beispiel unter einem öffentlich bekannt geworden ist wer da so red teaming für für die offensiven militärstreitkräfte in deutschland anbietet also es gibt ganz viele situationen und gründe warum so was sein kann es gibt natürlich diese diese organisations problematik sie wollen wichtig und groß sein skadiot so will ja bis 20 2 20 21 komplette wirkstärke haben die roadmap sieht vor 20 21 haben sie die volle wirkstärke erreicht 14 500 man alle ziele die sie sich gegeben haben sind dann umgesetzt ob das schaffen weiß ich nicht aber es sieht schon ganz gut aus die wollen natürlich auch noch mehr macht noch mehr power noch mehr durchsetzungskraft sie machen ja inzwischen druck das grundgesetz zu ändern damit sie eben nicht mehr eine verteidigungsarmee sind also das ist schon eine ursache oder oder ein grund wo man echt mal mit einer fliegenpatsche ein paar leuten durchs gesicht ziehen muss und sagt komm mal klar was vorderst du da wir haben wir haben hier historische erinnerungen die sind bei euch vielleicht ein bisschen verblasst aber das ist in der bevölkerung steckt das noch in den knochen die wissen was das bedeutet gut irgendwelche klappspaten die also 20 prozent die kreuz einer falschen stelle machen vielleicht nicht aber die werden es dann irgendwann noch mal lernen so ich hoffe nicht also ich will nicht dass sie es lernen müssen auf die harte tour weil ich muss es dann mit lernen und meine tochter und mein sohn auch so und deren also meine enkel und ich bin ich schon grandpa also das das ist auch ein wichtiger punkt dass die ihr interesse haben ihre ihre macht zu erweitern und damit auch ihre ihre wirkkraft zu steigern und politiker gehen natürlich auch hin und sagen ich muss mich profilieren ich muss wieder gewählt werden ich will etabliert sein ich will hier nicht weg vom fenster sein warum haben wir denn in leipzig halle die cyberagentur dingsbums hindecliniert bekommen weil da jemand gesagt hat ich brauche ja mal irgendwie arbeitsplätze ich werde demnächst gewählt im oktober und ich muss jetzt irgendwas haben man hat mal gesagt moa dann nimm doch die da so wirst du offiziell nicht wo lesen aber fakt ist doch das also jeder blinden mit dem rückstock der sich die dinge anguckt das liegt auf der hand hat das so geschaffen wurde auch da ist es wieder so eigeninteresse alle bogen strategie statt ein gemeinsames miteinander dieser egoismus ekelt mich an aber das ist das womit wir leben müssen jetzt will ich die aber auch weder mit abc waffen wegbomben noch mit d-waffen so der streu schuss trifft uns alle ist das kann nicht die lösung sein aber genau das ist den leuten scheiß egal aber die haben wir unter uns die müssen wir auch unter uns ertragen und respektieren weil sie eine meinung haben und eine meinung ist ein hohes gut ich habe eine andere meinung ich kommunizier sie so ich versuch leute aufzuwecken und zu sagen ist die falsche meinung und wenn wir das alle tun dann funktioniert das wenn wir alle sagen kann ich nicht bin nur einer ich habe monatelang diesen krieg in mir geführt und sagt nee ich also stelle mich jetzt ein nun erzählen das ist mir egal wenn es jemand hören will wenn keiner kommt oder wenn ich nicht erzählen darf dann halt nicht aber dann habe ich es versucht so und das funktioniert das hören leute zu und es ist inzwischen sogar bei der bei der bundeswehr so dass einige leute in recht hohen positionen sagen gestimmt grundsätzlich deiner meinung zu aber der ganz oben ist eine ganz anders portfolio und irgendwie so also ein paar leute können da vielleicht hoffentlich bald in renne und dann können wir vielleicht wieder eine ordentliche defensive verteidigungsmacht werden auch eine aussage und so lange so lange unsere streitkräfte halt ich meine kriegen ihre budgets gekürzt die laufen echt nur noch auf verkrüppelten elementen rum dass die dann angepisst sind kann ich irgendwo auch verstehen das ist auch die falsche strategie ich bin nicht für krieg ich bin auch nicht für waffen aber wir müssen diese verteidigungsbereitschaft ja schon herstellen da bin ich da bin ich realistisch das brauchen wir so und wenn das nicht ordentlich aufgesetzt ist dann versuchen die mit allen mitteln nach vorne und dann gehen sie auch ins offensive das ist auch klar also auch das kann ein grund dafür sein setzen wir ordentlich auf und definieren die noch mal klar in die köpfe alter streitkraft defensiv machen und dann wird das auch was aber solange wir dieses offensive zeug alle hoch pushen von deren seite aus damit sie überhaupt irgendwas kriegen wird es das ganze auch nicht vereinfachen sondern er verstärken und von von diesen habt ihr jetzt einige auszüge gegeben gibt es noch hunderte also warum das so ist es gibt nicht den einen grund ist es ganz viel was ineinander verwoben ist es ist einfach komplex da kommt ja auch noch europäische politik rein da kommt un nato usa israel die ganzen ostblockländer russland china du kannst es beliebig kompliziert machen es gibt stand heute über 100 staten die exploids oder schwachstellen information zurückhalten weil sie selber vielleicht unter umständen irgendwas machen müssen letzte woche hat polen offiziell gesagt so 2022 bis 24 bauen wir unsere cyberstreit macht auf 24 sind wir wirkfähig das sind die die letztens nicht mehr ganz so demokratisch waren weiß ich auch nicht aber die welt bewegt sich an allen ställen und das alles wirkt natürlich auch darauf ein das ist keine triviale sache die du für sich genommen ändern kannst und sagst oh dann ist die welt schön und wenn wir so eine abcd-waffenechtung wollen dann ist es auch nicht deutschland macht das jetzt so ein gutes sondern deutschland soll sich erst mal bewusst werden dass sie es wollen dann bringen sie es in die eu ein dann bringen sie es in die nato ein und in alle anderen bereiche und sagen ey frankreich wollen wir nicht mal wenn wir zwei zusammen dann kann das in eu was werden gut england hätten wir jetzt auch gefragt aber hat sich bald erledigt kann man kann man alles machen wenn man es will im moment willst deutschland nicht so ja ich hab das mikro hier gerade erst mal vielen dank für den schönen vortrag bitte vielen dank für den schönen vortrag sehr interessant bitte fand das wirklich sehr sehr gut eine frage nur du hattest da die folie gezeigt hier von dem kdozir glaube ich heißt erzähl ja genau also nur damit ich es richtig verstanden habe wenn die hier sagen minimale collateral schäden dann meinen sie damit erst mal das thema der klaren attribution wahrscheinlich ja weil wenn ich unten ja zum ergebnis komme sage ich bin ähnlich einer neutronenwaffe dann tue ich mir ein bisschen schwer von nicht mehr collateral schäden irgendwie zu sprechen gut das riecht ich auch so also das ist stay in wonderland drink bluna ja das mit den collateral schäden kein problem attribution kein problem können wir alles machen wir werden nur den treffen den wir wollen und das total easy und also total wir haben keine sorgen wir sind die besten und kriegen das hin alle anderen auf der welt schaffen es nicht so was das für eine aussage stimmt ja voll zu dass das hier ist politisches blar und das ist total wissenschafts fremdes und nicht nur wissenschaftsfeindliches blar die realität spricht eine andere sprache in der digitalen forensik in der in der incident response in in gutachten vor gericht wenn wenn es um sowas geht selbst bei kippo und also kinderpornografie und so weiter du hast fast immer indizien beweis geführte verurteilungen weil es am ende immer nur eine kette von indizien ist ganz selten erwicht man ja jemand in flagranti der sitzt noch an der konsole und tippert dran rum und du hast den in dem moment physisch hops genommen dann kannst du sagen okay er war es selbst wenn du ein screenshot auf dem bildschirm machst mit einem staats trojaner oder was auch immer weiß immer noch nicht wer vor der konsole saß wenn da nicht eine webcam montiert ist die da auch noch mitgenommen hast also dieses indizien geführte ist ein ganz wichtiges element normalerweise muss man eindeutige beweise haben ansonsten ist in dubio pro reum zweifelsfalle für den angeklagten in der it welt in der edv welt oder neudeutsch cyber welt ist es einfach so du hast fast immer nur indizien die dazu führen dass du vielleicht unter umständen sagen kannst all diese indizien sprechen für jetzt hast aber auch dieses fake news gebaren oder falsche attributierung dass du eben ganz gezielt fehlinformationen streu ist plus noch ein also so brösel in alle sozialen medien und sonst wo oder journalisten unter jubels und weiß ja guckuck und du hast noch die möglichkeit so wie es bei der nsa nachdem sie ihre ihre ganzen digitalen waffenschrank einmal leer geräumt bekommen haben so eine library hast die professionell entwickelt wird und diese fehl attribution gezielt darstellen soll also du hast die library eingebunden gesagt soll auch sehen wie von pakistan oder von russland und dann hat das ding die time stamps und alles mögliche danach manipuliert und dann guckst du dir diese ganze indizien als als forensiker oder als militärischer mitarbeiter an und sass time stamps spricht nach arbeitszeit moskau da stehen russische zeichen also krillische zeichen dazwischen hier ist noch ein russischer kommentar an diesem russischen forum habe ich noch irgendwie ein spruch gefunden der könnte dazu ziehen liegt auf der hand das waren die russen so und dann sitzt dahinter was weiß ich irgendein irgendein holländer nehmen wir die niederländer die niederländer waren vor zwei wochen bei niemandem auf dem tacho für den stucks nette keine sau hat holland gesehen oder niederlande alle haben gesagt das waren israelis total krass die unit 8200 mit den amerikanern zusammen und jetzt kommen auf einmal die holländer sagen wir haben übrigens den usb stick eingebracht wir waren die die den typ da eingeschläust haben wir haben zwar 3 4 anläufe gebraucht aber wir haben es geschafft wir waren die ganz krassen die können social engineering bis zum access what the fuck so das hättest du vorher jeden expert in dieser welt gefragt hätten die jeden geantwortet nur nicht die holländer so also die die selten und gar nicht vorkommen sind auch scheiße gut aber die attributierung hast aßfreien funktioniert die haben so was von geil von sich gezeigt und das verwischt dass niemand auf die idee gekommen ist bis es verplappert wurde und das ist das was immer passiert am ende es wird verplappert so eine hat gesprochen dazu hatten ja linus und oder linus allein in vortrag mal gehalten auf dem congress hat gesagt wenn du einen guten hack machen willst das wichtigste ist versuch deine spuren zu verwischen und vor allem halte die fresse darüber red nicht poll nicht dann dann wird dieser hack funktionieren aber leute wollen sich profitieren leute wollen labern leute wollen gesehen werden ich weiß jetzt nicht mehr die details warum niederlande jetzt bekannt geworden ist ich glaube auch weil weil jemand das geliegt hat aber das ist auch noch mal ein wichtiger punkt in dem kontext ich habe ja vorhin gesagt nettspolitik org hat hat dieses gut achten veröffentlicht ey whistleblower den mussten wir auch den roten teppich genauso wie den wie den sicherheitsresearchern ausrollen und sagen danke dass ihr diesen dreck aufspült ja stattdessen kriegen die auch noch eins ins gesicht so jetzt gibt es auch noch whistleblower gesetze wenn ihr das machst dann machen wir dich kaputt so super also der überbringer der Botschaft wird lieber zerstört als ernsthaft in die ursache zu gucken wir fuschen an den auswirkungen rum die ursache bleibt und wir sorgen auch nicht dafür dass sie wegkommt und das ist so in der wirtschaft nennt man das kwartalsdenke ja ich muss wieder bis zum nächsten kwartalsbericht kommen bei militär ist halt dieses wir wollen mehr ja wir wollen mehr macht wir wollen mehr mitmachen so wenn wir nicht mitmachen dann stehen wir herum und drehen däumchen hilft auch keinem so damit motivierst du keine truppe die die wollen krieg führen so dafür sind die da ja die wollen nicht blümchen irgendwie durch die kaserne tragen dafür sind die nicht da hingegangen die wollen ihr land verteidigen so jetzt gibt mir mal eine verteidigung keine da gibt mir eine cyber verteidigung ja und was sollen die dann machen ja also all diese dinge führen halt zu diesem zeugsohn kram was soll ich sagen nimm mikro nimm mikro dann könnts die die am stream sind oder aufgezeichnet werden irgendwie auch mit mit hören job sicherheit ja gut klar also job sicherheit als auch nen punkt ne man jammert über die rüstungsindustrie job sicherheit wir müssen mehr häckler und koch oder klaus mafai wegmann verticken gut dann stellen wir mehr leopard 2 her und schicken die nach saude arabien da ist kein krieg oder doch aber nein eigentlich nicht also die sind nur zur verteidigung und dann gehen wir dann ein paar milliarden drüber dann kriegen die israelis 4 atom u-boote also atomsprengkopf taugliche u-boote aber da waren ja keine atomsprengköpfe drauf ich bitte dich also wir da nicht und wenn israelis fragen müssen die deutschen liefern das ist doch wir haben da so eine beziehung die war damals sehr sehr schwierig aber jetzt nett und jetzt müssen wir die liefern ja was wir müssen vier also vier u-boote liefern und haben teilweise schon wo atomsprengköpfe drauf montiert werden können nehmen müssen wir nicht so machen wir aber das ist job sicherheit aber auch weltweite job prisiko ich weiß nicht dieses gegengewicht finde ich liegt auf der hand aber einige leute können da nicht so ganz rechnen die können ja so nur mathe oder so nicht rechnen bitte die bundesrepublik übt sich ja alle paar jahre so ein bisschen in richtung krisen abläufe und pläne nennt es das ganze lükex lükex ja und lükex 21 steht ins haus ist schon irgendwas bekannt wie viel cyber da drin sein wird ja ich habe es jetzt noch nicht auswendig im kopf ich habe das letzte mal über es gab ja auch die die letzte lükex ist ja abgeschlossen worden da gab es ja auch noch mal ein paar details zu jetzt vermeng ich vielleicht was aber die lükex übungen sind tatsächlich sehr sinnvoll es werden auch konkrete betrugungscenarien betrachtet und auch ausführlich koordiniert und und eingespielt da wird also soweit ich mich richtig erinnere ist auch ein teil cyber dabei weil sie auch so ein so ein red und blue teaming im prinzip da darstellen der punkt ist aber nicht der sondern der punkt ist es gibt die lükex okay danke aber wo gibt es denn wieder anlaufpläne krisenpläne für einzelne sektoren oder branchen die kritische infrastrukturen sind im iti sicherheitsgesetz 2 0 im referendenentwurf hat man das ja hingeschrieben und gesagt naja wir müssen dann vielleicht mal so richtige krisenpläne machen damit das funktioniert jetzt hat er sich ja auf unbestimmt verschoben aber man realisiert so langsam naja wir müssten noch mal was tun also wir haben so viel von diesen von diesen fullback optionen weggebaut das thw ist unterbesetzt und hat nicht genug equipment die haben auch nicht genug Stromgeneratoren wenn wenn die kacke dampft um überhaupt alle krankenhäuser zu versorgen krankenhäuser selber können das auch nicht immer hundert pro sicherstellen oder es gibt ein ausfall und dann sagen die wir brauchen Ersatz die bundeswehr kann das auch nicht kompensieren und hat auch nicht genug die werden erst mal um sich selbst sich kümmern so Also man könnte damit schon vieles bewirken machen wir aber auch nicht stattdessen kriegt der thw mal weniger kohle und militär vielleicht mehr oder Wir stecken noch ein bisschen in die pkw maut oder weiß ja kuckuck wo es überall verbrannt wird ja es kommt aber zu wenig bei den Beim beim bbk beim thw und bei verschiedenen anderen freiwillige feuerwehr und so an ist alles zu wenig Selbst die freiwillige feuerwehr oder die berufsfeuerwehr wir haben ja diese woche oder jetzt am wochenende ist ja bekannt geworden dass die Das in saudi arabien jetzt zwei Produktionsanlagen Von zehn drohnen angegriffen wurden und in flammen standen wir haben das feuer jetzt unter kontrolle es ist von von diesem saudi arabischen Produzenten ungefähr die hälfte der produktion betroffen die stellen 1 prozent der gesamten Weltproduktion her das ist schon eklat hanter Part ja Aber das feuer unter kontrolle bekommen hat man bestimmt nicht dadurch dass man der feuerwehr auch das geld gekürzt hat also krisenreaktion und kriseneinsatzkräfte Sind essentiell für den wideraufbau und für die schadensreduktion In der cyber welt sagen wir auch ok dann ist jemand eingebrochen aber versuch jetzt den des ausmaß zu reduzieren warum macht die regierung das nicht Auch in in unseren kritischen infrastrukturen sie macht es absolut unzureichend das setzen sechs das ist nicht fünf und mangelhaft ist es wirklich sechs So gar nicht ausreichend Red mit tv red mit mit bbk oder so die pfeifen alle aus dem letzten loch hier und da kriegen sie mal ein häppchen Das kann nicht sein Gut jeder schreit er hätte gern geld andere müssen es dann irgendwie einsparen Aber an der stelle ist es an der falschen ecke gespart finde ich Ja Noch fragen Ja eine vielleicht ich weiß wie viel zeit wir noch haben. Ja, wir überziehen Okay, ganz ganz kurz wenn wir uns so auf die einschlägigen Schnittchenverteil-Events in berlin geht und sich von irgendwelchen cyber-experten was erzählen lassen Dann taucht da jetzt immer auch die finanzindustrie auf mit cyberversicherungen und irgendwelche zertifizierer die schon träumen vom nächsten iso 9 000 Wenn sie nur unser zertifikat haben dann ist es dieses system sicher Also diese ganzen leecher komme ich gerade aus ihren löchern mich interessiert deine meinung Ob es dann zusammenhang zu diesen ding gibt über die eben erzählt das und wenn ja wie dieser zusammenhang ist und wie relevant der ist Es gibt was sehr geiles in in der umsetzung von von der ns riecht linien deutschland per it-sicherheitsgesetz und kritisverordnung Da steht ziemlich deutlich in der umsetzung und es sagt auch dass bsc den prüfern oder den ausbildern der prüfer Ein allgefahrene ansatz für kritische infrastrukturen mit muss betrachtet werden das heißt du kannst nicht standard iso 27.001 folgensweise nehmen und sagen Das risiko akzeptiere ich das ja habe ich versichert und um die kümmere ich mich Eine risiko akzeptanz oder eine risiko auslagerung also versicherung kannst du nicht machen wenn damit der versorgungsausfall oder die versorgungseinschränkung eintritt Du kannst also nicht sagen meine laborwerte spielen verrückt das ding hat eine kaputte it und aber ich krieg ja den ausfall dass ich kein frischwasser mehr produzieren kann Weil es ja dann bakteriell verseucht 10 millionen versicherung habe ich läuft läuft nicht weil du hast kein frisch war also das frichwasser gewinnungswerk muss produzieren Und es hilft nicht wenn das bakteriell manipuliert wurde durch irgendwelche it messwert fehler Das ist schon per se ausgegrenzt in dem stand der technik den sie umsetzen sollen das steht im also im endeffekt ist die ableitung des bsi gesetz bargraf 8a Insofern kann man mit der nummer schon mal nicht so ganz glorreich punkten der zweite punkt ist Es gibt einen cyberversicherer der ja gesagt hat Was ihr wurdet hier von der rense um wer attackiert das ist ja eine digitale waffe Also waffen und krieg und so ist ja hier ausgeklammert wir zahlen nicht Und die sind jetzt vor gericht Und wenn die wirklich feststellen so die müssen nicht zahlen weil das eine digitale waffe ist also ich wünsche mir wirklich diesen beschluss das wäre so geil Dann ist es wirklich juristisch festgetackert und undiskutierbar dass sowas no go ist Wenn sie doch beschließen sollten das war legitim dann werden die cyberversicherer denke ich mal relativ schnell den hand zu drehen und sagen Cyberversicherung ja wer klammern mal alles aus und der rest den kann sie haben aber wer will das dann noch versichern also die essentiellen punkte sind Da nicht mehr drin und das ist wirklich ein Positiver ausblick den ich hab so Gut wir haben überzogen dann machen wir jetzt ende vielen dank für die letzte frage vielen dank fürs frühe dasein