 Ron und Frank, Security Nightmares. Hallo Hamburg. Herzlich willkommen. Wo wir gerade bei den Umfragen waren, da fehlte natürlich eine sehr wesentliche Frage. Wer von euch hat ein Security Nightmare verursacht? Wieso meldet sich honk nicht? Vergiss es. Schon gut. Du stellst schon wieder die Fragen falsch. Man muss mal fragen, kennst du jemand, der ein Security Nightmare ist? Könnt ihr für einen Freund sprechen oder fragen? Ihr merkt schon, wie das funktioniert, oder? Es sind nicht die Leute, die sich verraten, es sind ihre Freunde, die sie verraten. Neulich stellte jemand auf Twitter die Frage, wie man Operational Security durchsetzen kann. Ich glaube, worauf sich alle geeinigt haben war, wenn du keine Mutter hast. Das ist, warum die Maschinen gewinnen werden, oder? Die haben schon vier Tage Kongress hinter sich, die finden sowas nicht mehr witzig. Da sind wir wieder. 15. Veranstaltung. 0xf. Wer war bei der ersten dabei? Will mal hin. Okay. 10 Leute. Haus am Kölnischen Park, ne? Nicht eidelt, steht da Burgerhaus, nein. Da war man schon lange rausgewachsen damals. Wobei hier sieht man teilweise die Nachfolger, von denen man die ersten Dinge im Eideltstädter Burgerhaus gesehen hat. Ich erinnere mich zum Beispiel, daran, dass ich im Eideltstädter Burgerhaus schon eine Nähmaschine gesehen habe, die GIFs akzeptiert hat. Auf Diskette? Ja. Wer weiß, was eine Diskette ist? Ja, genau, das ist das Icon, das auf dem Save-Button ist. Und wenn ihr euch unten diese Nähmaschinen, wenn man sie noch so nennen darf, ansieht, dann denke ich doch, man kann man klar sehen, wie weit wir gekommen sind in den letzten Jahren, meine Güte. Und du meinst, in fünf Jahren können wir den Animated-GIFs stecken? Das ist das, was wir wollen. Willkommen auf dem Kongress, auf dem letzten Tag des Kongresses. Ich weiß nicht mehr, jeder von euch ist noch voll zurechnungsfähig. Wir zählen darauf, die mit dem wenigsten Schlaf, wenn ihr euch schon mal an den Mikrofon anstellen könnt. Und die Dinge erzählen könntet ihr sonst nie erzählen würdet. Ja, danke schön. Und das nach dem Supportmarathon den anderen Leuten Weihnachten nennen, oder? Wie ist das so? Heimvernetzung bei den Großeltern, darf ich mal eben zählen. Also für wie viele Geräte seid ihr da inzwischen zuständig? Früher war es ja mal vielleicht ein Laptop. Dann ist völlig klar, dass man inzwischen auch den Router durchpatschen muss, wenn das nicht zwischendurch jemand getan hat. Was kommt da inzwischen noch dazu? Der Drucker, die Kamera. Wer ist im Elternnetzwerk, bitte? Ja, im Elternnetzwerk für mehr als drei Geräte zuständig. Ja, das ist ja, wow. Okay. Mehr als 50? Oh, okay. Das wird bei unseren Kindern anders sein. Ich sage euch das. Wenn bei mehr als 50 einer die Hand gehoben hätte, dann hätte ich gefragt, und wer von... Okay. Okay, dann stelle ich die Frage doch. Und wer von euch muss im älterlichen Netzwerk erst mal Endmap fahren, um rauszukriegen, um das zu machen? Ja, genau. Wir hoffen, dass die Industrie da bald einspringt. Wir haben da so ein paar Ideen dazu später. Wie immer, warum machen wir das? Wir wollen sprechen über die Security Nightmares, die wir haben wollen, weil sie vielleicht was ändern. In letzter Zeit scheint das immer öfter der Punkt zu sein, an dem sich was ändert erst dann, wenn es richtig schlechte Presse gibt. Und natürlich die, die wir nicht haben wollen, weil sie vielleicht die falschen Dinge ändern. Denn vorgewarnt zu sein, ist vorbereitet zu sein. Und außerdem, und jetzt bitte im Chor, es ist gut für das, told you so karma. Ja, schön, nochmal. Das, told you so karma. Das, told you so karma. Ja, wir mussten halt der Versuchung wieder stehen, die Folien vom letzten Jahr einfach nochmal aufzulegen und sie einfach irgendwie 10 dB lauter nochmal vorzutragen. Aber wir haben ein paar neue Dinge gefunden. Ja, wir haben ein paar neue Dinge gefunden. Vor allen Dingen fallen einem ja aber auch Dinge weg. Nämlich so, wenn man vor ein, zwei, sagen wir mal vor zwei Jahren bei vielen, Szenarien noch klar sagen konnte, du spinnst. Das ist total unrealistisch. Was für eine Verschwörungstheorie. Genau. Wo ist dein Aluhut? Ja, das fällt jetzt weg. Ich war vorgestern hier in so einem Talk, wo ich dachte, die Vortragenden sind aber echt von der Aluhut-Fraktion und dann dachte ich, ja, das war noch klar. Vor zwei Jahren war das noch ganz klar. Jetzt, jetzt sollte man sitzen bleiben und die Klappe halten. Weil was, was nächste Woche veröffentlicht wird. Wer von euch hat denn kein Smartphone? Okay. Und wie hat euch der Talk von Richard Stolman gefallen? Richtig gut, oder? Genau. Ich finde das ganz wichtig. Ich habe das sehr genossen. Einmal wegen den schönen Wortspielchen, die ganz klar war, Holland-Niveau hatten an einigen Stellen. Und weil das natürlich für den Realitätsabgleich auch ganz, ganz gut ist, mal zu sehen, wie man auch durchs Leben kommt. Damit beurteile ich das nicht. Ich sage nur, so kommt man auch durchs Leben. Ich finde es wichtig zu wissen. Früher haben die Banken ja auch immer noch, ich weiß nicht, machen die heute noch Paper-Days? Die Banken, gestimmt. Also von ein paar Jahren war es noch so, dass zumindest die großen Banken, haben so einmal im Jahr, haben die so getan, als wenn ihre Computer nicht mehr gehen. Und gut, an einigen Tage müssen sie auch nicht so tun. Ihr meint, das ist das, was den Mitarbeitern hinterherzielt wurde. Das war eine Übung. Ja, um halt zu gucken, ob ihre Papierprozedur noch funktionieren. Und tatsächlich ist es auch sehr reizvoll, so etwas mal im privaten Leben zu machen. Also zu gucken, ob man mal so ein Tag oder gar eine Woche, ohne Smartphone auskommt. Also ohne Mobiltelefon finde ich schon schwierig. Richtiger Einwurf. Sony macht das eine Woche lang, genau. Sony hat gezogener Maßen auf Papierprozedur und zurückschalten müssen. Es kann ja immer wieder passieren. Dass nicht die Zombie-Apokalypse kommt, sondern die Papier-Apokalypse. Zwischendurch kommt vielleicht noch die XP-Apokalypse. Wer ist zu Hause noch für XP-Installationen zuständig? Wer kennt jemand, der noch für eine XP-Installation zuständig ist? Wer kennt jemand, der in einer Firma arbeitet, wo man noch für XP-Installationen zuständig ist? Au, au, au, au, au, au, au. Wir brauchen so ein Lasergesteuert, eine Händehochzähler oder so. Irgendwas, was man unten links einblenden kann für die Zuhause. Okay. So, wo waren wir denn jetzt? Die Rückschau. Starten wir mit der Rückschau von vor zehn Jahren. Wir waren ja vor zehn Jahren schon da und haben Sachen erzählt auf dem 21C3. Wir haben Superworms angesprochen. Und dachten, vielleicht gibt es bald die ersten Würmer, die ihr Betriebssystem nachzuinstallieren. Nachinstallieren, um dann darauf irgendwie abstrakten Code laufen zu lassen. Also erst mal droppen, dann E-Max nachladen und dann Code. Da kommen wir gleich zu. Ja, das gab es noch nicht so richtig. Aber wir haben auch, wir haben auch jetzt halt nicht die Reihenfolge ändern sollen. Wir haben auch über Mobilbordnetze gesprochen. Was vor zehn Jahren noch so ein bisschen weit draußen war. Ja, ich glaube, wir haben im Wesentlichen gesagt, dass wir das jetzt noch nicht gleich erwarten, weil das war, glaube ich, noch Simi in Zeiten, oder? Ja, wir hatten mehrere Jahre, wo wir so, jetzt geht es aber langsam wirklich mal los, mit dem Mobiltelefon so als running gag hatten. Und es dauerte so zäh, so drei, vier Jahre, was jedes Mal drin hatten und es irgendwie nicht so richtig kam, dass es noch nicht so weit war. Ja, aber der Marktführer liefert ja jetzt. Also nicht Wurmen mit eigenen Betriebssystemen, sondern Betriebssystemen mit Wurmen, Abwerk im Handy. Also schon damals war ja diese Diskussion zum Teil auch darüber, ob es dann so etwas wie eine Pkw-Maut geben würde. Und dann haben die immer gesagt, nein, nein, nein, nein. Es geht da auf gar keinen Fall um Pkw, sondern um Pkw-Maut zu sehen. Nein, Sie haben den ADAC nicht erst demontiert, um dann die Pkw-Maut einführen zu können. Das ist eine Verschwörungstheorie, kann ja nicht sein. Ja, Biometrie, oder? Oder was? Ja, ich meine, Biometrie war ja damals, da waren wir ja ziemlich weit vorne, mit Biometrie so. Vor zehn Jahren ging es ja gerade erst so richtig los. Und die Frage war ja so, wird sich das durchsetzen, wird es irgendwie Lichtschalter, jede Türklinke, wird die Fingerabdruck haben wollen, geht es dann auch gleich in die Reisepässe oder erst ein bisschen später so. Und Telefone mit Fingerabdrucklesern gab es damals so, als so Sleeves, die man so ranstecken konnte, wo dann noch so ein Apparat, der so groß war wie das Telefon, da hinten so ein Fingerabdruckleser drin hatte. Dann kam irgendwann Laptops mit Fingerabdrucklesern. Und da haben wir dann alle mitgekriegt, die jahre funktionieren und dann nicht mehr. Weil der Sensor geht kaputt von dem ganzen Glipper, dass man immer an den Fingern hat. Und dann ist es ein bisschen eingeschlafen. Ja, da war es so ein bisschen, ja, ja, nur so Randerscheinungen. Also bis auf die Reisepässe natürlich und die Personaldokumente, die ja dann doch versucht haben, vorzubreschen. Ja, und in Science Fiction war das auch immer gut für den Gag. Genau, in Science Fiction war die... So war das, das war... Demolition Man, Dankeschön. Da kommen wir später noch darauf zurück übrigens. Sehr empfehlenswetterfühlen, aber... Genau. Ja, und jetzt haben wir, als relativ abgleich, den... Und jetzt haben die ersten Urteile zu dem Thema, die ja wohl dann offensichtlich klären, ob Biometrie durch ist oder nicht durch ist. Rein technisch ist es natürlich durch. Ihr habt alle den Vortrag von Starbucks gesehen. Das haben wir gemacht, aber dieses Jahr gab es das erste Urteil in den USA, wo sie erklärt haben, dass ein Passwort nicht zu sagen ist in Ordnung. Ja, das plötzlich vergessen zu haben oder so. Es ist in Ordnung, was es ja in England übrigens nicht ist, aber in USA ist das in Ordnung. Aber es ist völlig in Ordnung, die Hände irgendwie auf den Rücken und dann das Telefon daran vorbeizuziehen. Das darf man. Es gibt aber auch andere Gründe im Leben eines Menschen, warum man vielleicht von Biometrie wieder auf Passwörter umstellen will. Und ich war mir aber eigentlich ganz sicher, dass Andreas Bogue getwittert hatte, dass er jetzt wohl auf Fingerprint-Sensor umstellt, weil sein Kind nämlich jetzt Passwörter und ähnliches rückwärts, also umgekehrt... Schulter surfen kann? Ja, Schulter surfen kann. Aber noch nicht Fingerabdrücke nachmachen kann. Also als Kindersicherung ist Biometrie wahrscheinlich noch okay. In so einem... Aber ich schätze immer so... Ich schätze immer so, bis die dann so zwölf oder 13 sind oder so. Und dann auf den... Ja, wir haben das auch als Bildungslücke irgendwie bei seinem Kind betrachtet und nicht als irgendwas anderes, ja. Genau. Sekundenkleber, ja. Wo du bist. Immer abends den Sekundenkleber draufmachen und morgens wieder abpulen, wenn man wach ist. Nein, ich weiß auch nicht. Dann haben wir gedacht, bei SIGBI geht noch was, weil wir sind ja immer noch auf der Suche nach dem landesweiten Standard für Blinkenleitz, also auf Straßenebene. Ich habe auch tatsächlich jetzt ein Gerät, das man theoretisch SIGBI sprechen könnte in meinem Haushalt, aber das war es auch schon, der Antenne hat das nicht. Wer hat denn SIGBI zu Hause? Wir finden euch was nicht, was SIGBI ist. Ja, das macht es klar, glaube ich. Ja, mobile Bordnetze hatten wir gerade, findet statt. Aber was da zwischen uns steht und der Vollkatastrophe ist natürlich die Batterie, das Mobilgerät. Und ich weiß auch aber nicht, was ich sagen soll. Wenn wieder so ein Mobilfunk-Bennutzer mir erzählt, dass irgendwie seine Batterie ja echt ganz schön, nur ganz schön kurz gehalten hat. Und dieses Telefon immer so warm wird? Ja, weiß ich auch nicht, ob ich dann sagen soll, ja, steck mal eine neue rein und wenn es sich nicht ändert, dann hast du dir was eingefangen oder ob man die Leute daran bestärkt, sich ein neues zu kaufen, weil man genau weiß, dass, was sie da in der Hand haben, hat schon seit zwei Jahren kein Software-Update mehr gesehen. Gewissensfragen, Gewissensfragen. Wer von euch hat denn auf seinem Telefon ein Nicht-Vorm-Hersteller geschipptes Betriebssystem, also was wie Zyanogen und so? Und wer von euch hat das deswegen, weil der Hersteller keine Updates mehr liefert? Da sind aber nur 10 Prozent. Aber ihr seid die Avant-Garde, das geht weiter so. Genau, vernetzte Autos und Überwachungskameras. Vernetzte Autos waren ein bisschen mau, noch nicht so viel passiert. Na ja, schon eine Menge passiert. Wir sehen es nur noch nicht. Aber ich dachte, IK wird erst nächstes Jahr vielleicht verabschiedet. Dieses Emergency-E-Call, Entschuldigung, E-Call, Emergency-Call, Standard für Autos, wird erst vielleicht nächstes Jahr verabschiedet. Dann fängt es dann an richtig lustig. Wir sind jetzt in dem Moment, wahrscheinlich ist es so ein bisschen so wie mit den Mobiltelefonen, wir erzählen es jetzt noch mal so drei Jahre so und dann haben wir dann mobile Botnetze. Aber das mit den Überwachungskameras, das war Spot on. Da gab es eine echt schöne Website, die heißt, glaube ich, Inseekam.com. Der hat, der crawlt das Internet nach ungesicherten Webcams und sortiert die dann über Geolocation nach Ländern und Städten. Da kann man sich dann also direkt runterklicken auf seine eigene Stadt und gucken, was man da so sieht. Und da ist auch alles, ne? Wieso machst du an die Autos, haben wir später noch. Ah ja, und Mac OS X, der hatte, glaube ich, die Schonzeit, das Ende der Schonzeit angesagt. Räuft noch ganz gut, ne? Ja, dieses Jahr hat Apple zum ersten Mal ein Security Update ohne Nutzer-Nachfrage gepusht, ne? Das NTP Update. Genau, das war die Geschichte. Wenn man Glück gehabt hat, und eine Einblendung gesehen, wir haben da mal übrigens ein Software Update installiert und machen sie weiter. Es gibt nichts zu sehen. Und gefragt wurde man nicht. Aber Reboot war ... Ja, ja, der ich red grad vom Default, ne? Und gefragt wurde man nicht und lief einfach durch. Aber Reboot war ja auch nicht notwendig. Und das Erstaunliche war eigentlich das ausbleibendes Aufschreiß, oder? Ja, wenn das vor zwei Jahren passiert wäre, vor drei Jahren, dann hätte es aber richtig Alarm gegeben, glaube ich. Und jetzt war das so, ja, hat man wohl machen müssen. Na ja, wir kommen jetzt langsam zu dem Punkt, wo wir uns die Frage stellen müssen, was ist tatsächlich besser, ja? Durchpatschen ohne den Anwender zu fragen oder dem Anwender noch die Option zu geben, weil welcher Anwender kann es noch beurteilen? Kommen wir noch zu. Apple kann das übrigens seit zwei Jahren, bin ich der Meinung. Ich weiß nicht, ob wir damals schon gedacht haben, dass das so ein Dauerbrenner wird. Ich glaube nicht. Aber was da allein in Sachen Voice Over IP und ähnlichen da kommen nachher noch zu, da sind ein paar echt schöne Dinge passieren. Und dann dachten wir ja vor zehn Jahren, wir dachten das mit Spam, das kriegt keiner mehr im Griff. Spam hat jetzt E-Mail getötet und Fax wird wieder eingeführt, großflächig. Und irgendwie weiß ich nicht. Wer von euch hat denn das Gefühl, seinen Spam-Problem im Griff zu haben? Ja, sie ist die meisten. Okay. Und wer löst es alleine? Wow. Und wer lässt es lösen? Okay. Wer hat mehr als ein Anruf pro Monat von den Eltern wegen komischen E-Mails und ob man da jetzt draufklicken soll? Ja. Nicht so viele. Die anderen klicken halt drauf. Okay, die richtige Frage wäre gewesen. Wie viele von euch kriegen von ihren Eltern einen Anruf bevor die auf den Link klicken? Und welche kriegen ersten Anrufen nachdem die auf den Link geklickt haben? Okay. Gut, das Internet-Normalitäts-Update. Wir bringen ja immer so ein paar Statistiken mit, die wir übers Jahr eingesammelt haben. Was wir da so gefunden haben. Die Nile of Service, distributed the Nile of Service maximal. Bandbreiten, die gemessen wurden dieses Jahr, 500 Gigabit. Und das steigt glaube ich rasant an. Oder das war irgendwie so dieses Jahr 500, letztes Jahr 300 und das Jahr davor 150 oder sowas Böses. Ist halt mehr Bandbreite vorhanden, ne? Ja, das habe ich mir jetzt gar nicht aufgeschrieben. Ich dachte mehr Opfer, die man kontrollieren kann. Vielleicht auch das, ja. Ja gut, meine insbesondere die NS Reflection, die du hast. Ja. Genau. Dann eher von der Bandbreite, desjenigen abhängig, der seinen DNS-Servon nicht im Griff hat. Und wie vieles davon gibt, genau. Und dann ist ja immer wieder, finde ich, das sehr unterhaltsam, diese Studien zu lesen, die da teilweise gemacht werden. Und dann veröffentlicht werden. Da ist ganz tolles Zeug dabei. Letztes Jahr haben wir berichtet von einer Schulstudie, wo sie in England gefragt haben, für wie viel die Leute, für wie viel Fund, also Geldnoten, Fundnoten, sie denn das Firmenpasswort verraten würden. Und da kam dann raus, habe ich vergessen, 20 Pfund. Und dann, und wie viel, für wie viel würden sie ihr Facebook-Passwort verraten? 50 Pfund vielleicht? Ja. Und jetzt gibt es, dieses Jahr gibt es ein paar andere Zahlen. So dieses, wie viele benutzen eigentlich Passwortmanager, damit sie sich keine komplexen Passwörter merken müssen. Das sind in Deutschland immerhin schon 24 Prozent. Und plus 5 Prozent gegenüber dem letzten Jahr. Ja, mühsam ernährt sich das Eichhörnchen. Der Durchschnittsbürger in Deutschland hat wohl 9 Passwörter. Das ist eins mehr als letztes Jahr. Und wofür ist das? Für den Kühlschrank nicht. Für den Passwortmanager. Genau. Dass Facebook noch nicht in den Markt eingestiegen ist, ne? Ja. Wer von euch würde denn seinen Facebook-Account für SSH-Lockins verwenden? Das hast du falsch gefragt. Okay. Genau. Sieben Prozent der Rechner in Deutschland sind noch mit Windows XP. Rechner am Netz. Was? Wenn wir jetzt mal mit den Statistiken hier korrelieren, wie viele Leute zuständig sind für Firmen, Rechner, die noch Windows XP fahren, dann haben wir eigentlich sowas wie eine Selbsthilfegruppe, oder? Ja, die Statistik ist geschönt, ruft hier gerade jemand rein. Und das ist sicherlich so, weil das sind die Rechner, die man sehen kann wohl am Netz und über die gesurft wird. Ja, schlimm genug. 14 Prozent deutscher Arbeitnehmer haben eine verschlüsselte Mail verschickt dieses Jahr. Zirka 25 oder so Prozent haben dafür überhaupt die Voraussetzung. Im Umkehrschluss, was dann bedeutet, 10 Prozent nutzen das nicht. Die könnten das, benutzen es aber nie. Nee, wir reden von Ende zu Ende Verschlüsselung, nicht TLS. Und 65 Prozent haben wohl die Voraussetzung gar nicht. Also da gibt es echt noch viel zu tun. Wie viele von den 7 Prozent Windows XP Rechnern ... Sind noch die Geldautomaten? Es gibt eine umgekehrte Statistik, die ich dieses Jahr gesehen habe. Da hieß es sowas wie 95 Prozent aller Geldautomaten sind noch Windows XP. Was aber in der Unker-Korrelation heißen müsste, dass wir hier ganz schön viele Bankenadmin sitzen haben. Genau. Also da gibt es großartiges Zeug. Zum Beispiel gab es eine Studie, wo Fishingmails verschickt worden sind. Die haben einfach mal 120.000 Mitarbeiter von verschiedenen Unternehmen gezielt, mehr oder weniger gezielt angeschrieben. Also immerhin so gezielt, dass da schon das Firmenlogo mit in der Mail drin war. Und die Trefferquote, also Leute, die sich eingelockt haben mit dem Firmenaccount auf dieser externen Webseite, war 20 Prozent. Und dann hat die Studie, die das Ding aufgemacht haben und dann da draufgeklickt haben, auch noch in verschiedene Gruppen eingeteilt. Ihr lacht euch schlapp her. Da gibt es dann die Narren. Das klassifiziert diejenigen, die nachdem sie sich eingelockt haben. Dann beschweren, dass das, was sie dort bestellt haben, nie ankommt. Ja. Und dann die, weiß ich nicht, wie die, ich glaube, die Rheumütigen oder sowas in der Richtung, die dann doch hinterher schnell das Passwort geändert haben. Und nur jeder hundertste Mitarbeiter hat die böse Seite zum Sperren gemeldet bei dem, bei dem Firmenproxy-Team oder sowas in der Richtung. Genau, IPMI. Wer von euch hat dann seinen IPMI mit dem nackten Arsch im Internet? Wer kennt jemand? Da hätte ich mich nicht getraut, die Hand zu heben, glaube ich. Also das sind diese, das ist diese Server-Management-Schnittstellen. Die gibt es auch unter anderen Namen. Ich glaube, das von AMD heißt noch irgendwie anders. SSM oder sowas in der Richtung. ILO, ja, ILO, dankeschön. Und das ist wohl ein furchtbares Massaker, ja. Da haben sie 230.000 Server am Internet gefunden, am Internet gefunden. Und davon waren 46 Prozent noch auf IPMI 1.5, was, glaube ich, irgendwie Admin-Zugriff ohne Passwort gibt oder sowas in der Richtung. Ja, Sie siehe auch die ganzen UEFI-Bioskatastrophen und ähnliche Sachen, alles total spaßfrei. Sieg, die verschlüsselten Verbindungen in der EU haben sich vervierfacht. Sie haben sich vervierfacht. Sie sind von 1,5 auf 6 Prozent gestiegen. Genau. Ja, wow. Aber in Nordamerika ist es weniger. Ja, dann hat mal jemand die CA-Zertifikate in Windows untersucht. Also, interessant ist jetzt mal die absolute Zahl, ne? Also, wie viel CA sind in Windows dann eigentlich drinnen? Also, Dutzen bestimmt, oder? Mehr vertrauenswürdige Stellen kann es doch auf diesem Planeten gar nicht geben, oder? Ich weiß nicht, also... 377. Davon haben 148 nie ein HTTPS-SSL-Zertifikat herausgegeben. Auf der Basis von 48 Millionen untersuchten SSL-Zertifikaten, die übers Internet erreichbar waren. Was da nicht mitgezählt wurde, sind so Code-Signing, CA's und so weiter. Das fällt da schon raus, aber es ist schon ziemlich erschreckend, oder? Und was normalerweise unter bemerkenswertes gefallen wäre und was wir heute mal verschoben haben in das Normalitäts-Update, ist, wie lange manche Mellwerk-Kampagnen schon laufen. Was meint ihr von diesen drei hier? The Mask, Dark Hotel und Harkonnen. Wie viele davon laufen länger als drei Jahre? Entschuldigung, seid ihr der Meinung, alle von denen laufen länger als drei Jahre? Ja, das sind aber wenig. Die Jüngste davon, also die, die am kürzesten läuft, läuft fünf Jahre. Fünf. Und die älteste von denen? Na, wer gibt mehr als zehn? Wer gibt mehr als zehn Jahre? 20? Nee, zwölf. The Mask, fünf, Dark Hotel, sieben, Harkonnen, zwölf Jahre. Also hier sind Kinder auf diesem Kongrass, die waren noch nicht geboren, als diese Mellwerk-Deployt wurde. Genau. Oh wow, ja. Und das sind durchaus interessante Dinge, ja, also The Mask, Mellware, Bootkit, Bootkit, Versionen auch für Linux und MacOS. 400 Systeme in 31 Staaten infiziert. Und dann wurde die Studie oder diese Research darüber gepublished, veröffentlicht und die Command- and Control Server waren vier Stunden später offline. Also da heißt jemand schnell dabei. Dark Hotel, das war ja dieses Leuteangreifen, die sich in ein Hotel-Netzwerk einbuchen. Das wurde immerhin noch gemacht. Die waren die Angreifer mit im selben Hotel. Das haben die dann über, keine Ahnung, Check My Trip oder ähnliche Geschichten oder einfach nur die Facebook-Status-Seite mitgekriegt, wo die absteigen und sich dann ins selbe Hotel eingebucht. Also da ist eine Vorortkomponente dabei, während bei diesen Harkonnen Sachen wohl keiner Vorortkomponente dabei ist und das läuft seit zwölf Jahren 300 Firmen angegriffen. Haben Sie sich SSL-Zertifikate besorgt ordentliche und um die ordentlichen SSL-Zertifikate zu bekommen? Haben Sie sich ordentliche Domains besorgt und um diese ordentliche Domains zu bekommen? Haben Sie über 800 Firmen gegründet? Bist schon ganz schön sportlich. Die Rückschau? Ja, China hat, glaube ich, keine Lust mehr. Die verbieten jetzt den Einsatz von Windows 8 und sie verbieten den Einsatz von ausländischen Antivirus-Systemen und die interessante Frage ist ja, warum tun Sie das eigentlich? Ja, die haben die Folien von Rüdies Vortrag schon vorher gekannt. Das heißt, dass sie ein neues Linux-Root getragen haben. Hatten die nicht auch den Source-Code von Simon-Tänk geklaut? Oh, Sie machen es, Sie haben ihn auch gelesen. Ja, oder vielleicht ist das nur lokale Wirtschaftsförderung? Das kann auch sein, ne? Wenn die Volksbefreiungsarmee jetzt auch einen Antiviren schreibt. Ja, wo Russland schreibt, schreibt Kohle aus, um Tor-D-Anonymisierung zu machen. Die USA geben dem Torprojekt Geld. Hier behauptet gerade jemand im Publikum, das wäre eine Ente. Es war übrigens auch eine Ente. Das möchte ich hier nochmal zur Verteidigung meiner Heimatstadt erklären, dass es ein paar Vavis geschafft haben, den Ausbau von WLAN in Hamburger Schulen zu stoppen. Das ist aber so eine schöne Geschichte. Dafür gab es Deutschland sicher im Netz. Und bei Deutschland sicher im Netz, das muss, glaube ich, war jemand da, Deutschland sicher im Netz, bei der Veranstaltung, wo die Ergebnisse präsentiert wurden. Das klang ein bisschen traurig, also so ein bisschen hoffnungslos, also so im Sinne von, als wenn die, die sich damit mal beschäftigt hätten, wie sicher Deutschland im Netz ist, danach ziemlich hoffnungslos rausgekommen sind. Und dann ruft man natürlich nach dem TÜV. Ja, nee, ich kann das verstehen. Jedes Auto auf Deutschland Straßen braucht eine Plakette und jeder Computer auf Deutschlands Datenautobahn braucht auch eine Plakette. Also immerhin könnte man dann sicher sein, dass alle Schrauben an die PC hinterher ordentlich festgezogen sind. Und vor drei Jahren oder so, also sagen das andersrum, wenn diese ganzen Snowden-Sachen nicht hochgekommen wären, dann gibt es vielleicht Leute, die in irgendeiner Form nie glauben würden, dass sie mit so was durchkommen. Aber jetzt würde ja jeder davon ausgehen, dass der TÜV dann auch gleich die Hintertüfe den Staat mitinstalliert, oder? Was wir da haben, ist halt schon so ein Problem, dass also eigentlich die Instanz, die in diesem Land im Prinzip erst mal so viel Sicherheit zuständig sein sollte, dann so vom Ruf und von ihren Intentionen her nicht mal mehr im Ansatz des Vertrauen genießt, dieses zu tun. Also wenn jetzt irgendwie mal ein Tag, wir sind vom BSI, wir würden gerne mal gucken, ob ihr Computersicher ist. Ist ein bisschen schwierig irgendwie so, so rein vorstellungsmäßig. Oder guten Tag, wir sind vom BKA, wir wollten Sie auf eine Computersicherheitslücke hinweisen. Demnächst dann auch, guten Tag, wir sind von Verfassungsschutz. Wir haben da eine Sicherheitslücke bei Ihnen gesehen. Ja, genau, die E-Mail-Kompatibel. Dann wurde der Index gelegt. Von der Bundesprüfstelle für Jugendgefährliche Medien. Und da kam dann auch raus, irgendwie diverse von den Domains. Dort waren schon seit vier Jahren nicht mehr im Betrieb oder so ähnlich. Was diese, wofür diese Listen gut sind. Dafür hat es der Club auf die Liste in England geschafft. Wo war das in England? Genau in England, ja, wir waren so ein paar Tage gesperrt. Da waren wir irgendwie im Pornfilter. Ich würde auch echt immer noch interessieren, warum eigentlich. Nee, ich dachte, da gab es mal so eine Pornfirma, die ... Ach so, wir waren als terroristischer Extremistenpropaganda gesperrt? Hm. Die nackten Bits hier waren zu anstößig. Ah, es gab eine Pornfirma, die hieß CCC. Ich weiß nicht, ich hab irgendwie bisher immer nur die Caribbean Crabfishers Corporation gesehen. Regen? Ja, Regen, natürlich auch zum Thema E-Government. Hat also irgendjemand beschlossen, es zu wenig E in diesem Government? Vor allen Dingen in diesem EU? Also, meine Theorie ist ja, dass diese gegen Regierungen gezielten Mehrwert-Kampagnen eigentlich nur die Vorbereitungen für die Weltregierung sind. Weil ich meine, letzten Endes braucht man eine gemeinsame Entscheidungsgrundlagen und wenn alle sich gegenseitig ordentlich mit Mehrwert infiziert haben und dann nur verteilte Suchanfragen in ihre Systeme richten müssen, dann kann man, also geht es der Weg zur KI kürzer. Also, wenn dann Josh aus KI die Welt übernimmt, dann hat sich dann irgendwie gleich alle Regierungsdaten schon mal ordentlich in maschinenniesbarer Form vorliegen. Ja, das braucht also eine Open-Data-Schnittstelle, sagst du. Genau. Die Maschinenniesbare Regierung? Also, Regen, Weltregierung 0.9 Alpha. Feststrahlierung? Ja, naja, gut. Also, das war schlimm. Wir brauchen dazu eigentlich nicht mehr sagen, oder? Ja, das ist, das ist durch, wir üben alle das Schlüssel auswechseln. Das hier war spannender. Das Thema Trugript, da ist ja auch irgendwie nichts mehr hochgepoppt jetzt in den letzten Wochen, oder? Also, der letzte Stand war, Nordkorea war es nicht. Und dann haben sie uns noch empfohlen, dass wir alle auf BitLocker umstellen sollen. Das war hoffentlich nicht ernst gemeint. Mikrofon 1? Ich wollte auch nicht unterbrechen. Ja. Interessanterweise, es lief ja über ein Crowdfunding die Auditierung von Trugript noch an. Kurz vor der Einstellung, die lief noch durch. Und hat sozusagen mit einem ziemlich erfolgreichen Team noch dort Auditing durchgezogen von Trugript. Nach meinem Verständnis gab es da von zwei Stufen, die erste Stufe, da ist rausgekommen, bisschen sloppy, aber alles in Ordnung. Die läuft noch, ne? Das weiß ich jetzt nicht, ob es da, wie weit das ist. Weißet jemand? Läuft noch. Ja, alle sind sicher einiges, läuft noch. Okay. Gut. Ja, trotzdem eines der interessanteren Mysterien, kennt jemand, jemand, der weiß, was da passiert ist? Genau, da sind die Mikrofone. Datenverbrechen, da wollten wir mal ein paar Worte verlieren und dann haben wir ein paar Worte. Wir haben ein paar Worte. Ich glaube, da haben wir zwei, drei Sachen gelernt, die ganz interessant waren. Also einmal, dass es da halt irgendwie Leute gibt, die Celebrity-Fotos, also Celebrity-Nacht-Fotos, Selfies und ähnliches tauschen. Ein sehr kleiner Illustrakreis. Und dass die Leute Zugriff haben auf State of the Art Forensic Software, weil den ganzen Alkohol-Soft und so weiter Firmen dieser Welt ihre Software schon mal weggekommen ist und die dann benutzen, um da die iCloud-Accounts leerzumachen und was auch immer. Da stellt sich dann schon die Frage so ein bisschen so, wie, also neben dem moralischen Aspekt, den wir auch schon im Chaos-Rückblick so ein bisschen diskutiert hatten. Die interessante Frage ist eigentlich, was ist eigentlich mit der Haftung der Anbieter? Also, weil irgendwie ist es auch nicht einzusehen, dass die Leute halt jetzt, also, man, dieses Victim-Blamming, was da lief, also dass die Leute beschuldigt wurden, ihr solltet auch einfach Nacktbilder nicht ins Internet stellen. Ja, das war total unrealistisch, oder? Ich meine, man kann sich zwar, selber schuld, wenn du nackt Foto von dir machst, ne, ne, ne, ne, ne. Ja, was steht dahinter nur neid oder was? Also, ich glaube, so funktioniert das nicht. So funktioniert das nicht mehr. Wenn heute so kommuniziert wird, dann sollten wir das als Gesellschaft mal akzeptieren und uns überlegen, wer hier eigentlich Schuld ist. Und Schuld sind sicherlich die, die die Daten nicht ordentlich gesichert haben. Ja, wenn man da hört, dass Apple nicht in der Lage war, ein Boot-Force-Angriff-Schwellwert da zu definieren und erst hinterher, das ist nicht akzeptabel. Und, was willst du machen eigentlich? Sieht das so aus wie irgendwie ne Gesetzeslücke, ne? Nein, die Frage ist halt, wie definiert man den Schaden dafür? Also, ich hab mich ja dieses Jahr mit ein bisschen intensiver beschäftigt mit der Frage, ob man über Haftungsregelungen damals für ein bisschen mehr Durchzug sorgen kann. Das halt bei den, insbesondere bei den Dienstbetreibern, da mal ein bisschen mehr Ordnung reinkommt und diese ein bisschen motivierter sind, auf die Daten auch wirklich aufzupassen. Und die große Schwierigkeit ist halt, wie monetarisiert, also, wie definiert man den, ja, geldlichen Verlust, wenn solche Daten wegkommen. Und ich tendiere da eigentlich so ein bisschen dazu, so einen relativ radikalen Vorschlag, nämlich zu sagen, okay, es sollte sich vielleicht einfach daran orientieren, wie der Schadenersatz, den man normalerweise vor den deutschen Gerichten bekommt, wenn die Bildzeit irgendwie ungefragt, Nackbilder auf Seite 3 von einem postet, da ist man mit so einem 5- bis 6-stelligen Betracht dabei. Und eigentlich wird es durchaus ein angemessener Schadenersatz für, wenn man seine Bilder zum Beispiel in einem Cloud 3 oder wo auch immer hat und der Anbieter verspricht, dass er gut drauf aufpasst und dass sie verschlüsselt sind und nicht wegkommt und so weiter und so fort. Und dann kommen sie doch trotzdem weg und werden im Internet publiziert, dann sollte es auch schon so richtig doll wehtun und die Entschuldigung ist uns mal passiert, abhanden kommen sein. Also man muss dann natürlich aufpassen, dass man so strukturiert, dass man dann aber halt nicht kleine Startups komplett aus dem Markt rauspreist und dafür sorgt, dass nur noch die ganz großen Unternehmen in der Lage sind, um solche Dienste anzubieten. Aber klar ist halt auch, dass so, wie es jetzt gerade ist, dass es also keinerlei Verbindlichkeiten, Verantwortlichkeiten und maximal so ein bisschen Schulterzucken und irgendwie, naja, dann kriegst du halt so einen Kreditkarten, monitornen Report und vielleicht auch irgendwie eine Stunde beim Psychologen, für den seelischen Schmerz spendiert. Damit kann es halt nicht getan sein. Es musste halt schon mehr Zug und Verantwortung rein. Was unter anderem möglicherweise auch dazu führen würde, dass diese Services plötzlich Geld kosten und nicht mehr mit Werbung finanziert werden könnten. Ich weiß, das wird euch schocken, aber wir haben einen Bild mitgebracht. Und zwar ein Bild aus der freien Wildbahn, eines Rechenzentrums, war das ein Rechenzentrum? Soll das ein Rechenzentrum gewesen sein? Der erste One-Time-Password as a Service. Also, was wir da sehen sind, für die, die es nicht verstehen, wir sehen an diesen Pubkartons sind so One-Time-Passwort-Token, die halt jede Minute ein neues Passwort anzeigen, mit dem man sich bei dem Server eindrücken kann, und die man normalerweise an seinem Schüsselbund haben sollte. Und die sind dann ein Schuhkarton geklebt und vor eine Webcam in diesem Reck gestellt. Und diese Webcam wurde ohne Passwort betrieben. Ich finde das ein sehr schöner Cloud-Service. Ja, es ist einfach auch, es ist hier in der Tradition, das ist ein weiterer Schritt in der Evolution. Letztes oder vorletztes Jahr haben wir gelacht über den Menschen, der seinen eigenen Job in der Firma, für die er gearbeitet hat, outgesourced hat und den OTP-Passwort-Generator, also RSA-Token oder whatever, an denen geschickt hat in Vietnam, China, Vietnam, whatever, der für ihn den Job gemacht hat. Wo ich auch dachte schon so, warum FedEx, der das Ding dahin, wenn man da auch eine Kamera aufstellen kann. Weil genau das ist, was, glaube ich, beim MIT mal gemacht wurde, vor zehn Jahren oder so. Na ja, Full Circle. Überhaupt sind dieses Jahr viel die Passwörter gewechselt worden von allen möglichen, also alle möglichen Leute haben mitgekriegt. Also es war in der Zeitung, dass man jetzt seinen Passwort ändern muss. Mehrfach. Erst mal 16 Millionen Adressen weg, dann 18 Millionen Adressen, Passwort, Kombination weg, dann an eBay, 145 Millionen. Dann das Thema Firmware Update, Volksupdating. Die Hälfte der Router in Deutschland sind von AVM oder so. Und jetzt wissen alle, was ein Firmware Update ist. Find ich auch gut. Haben die ja auch echt professionell gemacht. Die haben echt Updates für 30 Plus-Modelle rausgebracht, die teilweise wirklich jahrelang am Markt sind. Das haben wir von anderen nicht gesehen. Also einmal noch Applaus, danke. Was ich ja bei dieser Passwortgeschichte so interessant finde, ist ja die, mit welchem religiösen Eifahrter so ein einigen gerade so Unternehmen und auch Behörden, so die Passwort-Police, die betrieben wird. Also mindestens einmal im Monat wechseln. Du darfst keins verwenden, was du in den letzten 32 Monaten schon mal verwendet hast. Du darfst natürlich auch nicht auf einen Zettel schreiben. Passwortmanager installieren darf man auch nicht. Ich meine, wenn man solche Bedingungen hat, ist eigentlich vollkommen klar, was daraus kommt. Ich glaube, Sony hätte sich gewünscht, dass sie so was gehabt hätten. Das war zu einfach. Nee, es ist schon richtig. Wir haben uns darüber Gedanken gemacht, ob das nicht überhaupt Falsches mit Verboten zu arbeiten. Das lernt man ja doch. Mit Verboten arbeiten ist schlecht. Also du sollst keine nur Kleinbuchstaben nehmen. Vielleicht muss man das umdrehen und sagen, du kriegst Gummipunkte, wenn du mehr Sonderzeichen benutzt oder so. Ich weiß das. Schicken dir ein flauschiges Genut zu. Oder man verleiht jeden Monat in der Firma den Preis für das schönste Passwort. Genau, das Passwort muss dafür natürlich ausgedruckt werden. Ich glaube, das ist ein guter Punkt. Früher gab es die Straße der Besten. Vorher, wenn man in ein Vib reinkam, da hingen dann die Porträts von denen, die versinnlich die Norm über erfüllt hatten. Vielleicht kann man auch die besten kreativen Passwortschreiber der Firma ... Genau. Da hat Frank ja vorletztes Jahr von dem Schreckmoment erzählt, als er mal im Krankenhaus war. Und da aus Versehen sein Rechner in das Ethernet gesteckt hat. Und dann irgendwie geguckt hat, was passiert ist, sie ihn dann schnell abgezogen hat und irgendwie drauf getreten hat. Damit auch keiner auf die Idee kommt, er sei daran schuld. Oder wüsste zu viel. Aber das hat ihn in den USA mal wieder. Ein Krankenhaus mal ein klitzekleines Ordet gemacht, sich das Erkenntnis angeschaut, ist blass geworden, hat ein großes Ordet gemacht. Und dann haben sie den Laden zugemacht. Nee, stimmt gar nicht. Sie haben natürlich keine Ahnung, was Sie gemacht haben. Aber das muss ein totaler Vollausfall gewesen sein. Also nicht im Sinne von, dass da was ausgefallen ist. Sondern das Ergebnis war wohl ein totaler Vollausfall bei diesen Medizingeräten, die eine Ethernet-Schnittstelle haben. Da ist dann alles, was man kennt, irgendwie 1, 2, 3, 4. Und Admin, und zwar hardcoded, oder nur Admin eingeben. Und dann brauchst gar kein Passwort mehr. Und keine Trennung zwischen Geräten für, die dir Sachen ins Blut spritzen und den Druckern. Also, ich sag mal so, Dinge, die man nicht tun sollte, wenn man in einem Krankenhaus liegt, ist M-Map benutzen. So. Und ich habe einen von den Skada-Vorträgen hier gesehen. Und der Vortragende hat gesagt, warum kümmert ihr euch alle um Banken und um Internet-Shops und die Sicherheit von Nacktfotos, da draußen gibt es große Maschinen, die Dinge mixen, ja, physisch Dinge mixen. Und wo es echt schlecht ist, wenn es zu warm wird, oder zu kalt wird, oder die falsche Sache in die andere falsche Sache reingemixt wird. Ja. Und warum kümmert ihr euch nicht um das? Er hat schon durchaus recht, ne? Ja, mit ihm kann man nur zurufen, weil wir uns kümmern uns ja noch nicht mal um die Krankenhausseite. Ich meine, dieses Stahlwerk, was da irgendwie beschädigt wurde, die haben sich halt offensichtlich, war das ja kein... Also, nach dem, was man jetzt so weiß, viel weiß man ja nicht, China ist ja kein gezielter Angriff zu sein, sondern die haben sich halt einfach so einen Nominus rumgefangen. Nee, die haben M-Map laufen lassen. Ja, also, das ist echt... Ja, wird einem ganz anders. Dann haben wir eigentlich meine Kategorie gehabt für die interessantesten Schadroutinen in Viren und Würmern. Und ich glaube, dieses Jahr gewinnt ebenfalls in der Kategorie Spaß haben mit Embedded Devices, Dodge Coins auf Synology meinen. Schon nicht so schlecht. Was Synology sind diese Festplattenwürfel, die man sich so zu Hause hinstellt, wenn man irgendwie keine Lust hat, zu einem Rätsel zu administrieren, dann kocht man die einfach, steckt die da rein und dann wundert man sich immer, warum die Lüfter dauernd an ist. Ja. Das erste Telefon, das so günstig war, dass der Hersteller leider keine andere Wahl hatte, als ein Virus einzubauen, weil er das Wasser darunter kratzt, an den meistbietenden zu verkaufen. Das ist jedenfalls das, was wir denken. Also, dass das jetzt zur Monetarisierung gehört von Hardware. Das ist eigentlich nur die logische Fortsetzung von werbefinanzierten Services, ne? Ja. Das IAC sagt auch, dass Erwass 2015 Homedischen jetzt gegen Viren schwitzt, die über HTTPS kommen. Und zwar wird das HTTPS aufgepackt und reingeguckt, ob ein Virus drin ist oder so. Ich glaube, Kaspersky hatte auch so einen Bock geschossen, mit irgendwie E-Mail aufmachen und so. Ja, Bett USB. Wer von euch kauft denn seine USB-Sticks, um sie nur noch einmal zu benutzen? Boah, ihr seid ja alle mutig. Ja. Wer hat denn schon bei seinem Rechner die ganzen USB-Schnittstellen mit Heißkleber zugemacht? 3, 5. Wer hat extra lustig buntes Glitzer von seinen Töchtern mit reingemix, damit er auch merkt, wenn ihm jemand anders da Heißkleber rein? Okay. Ja, schwierig mit dem Daten dann so, ne? Also, gut, also, das heißt, ihr habt keine Angst vor USB. Na, dann wissen wir, was nächstes Jahr die Kongressdorche werden wird, ne? Nächstes Jahr ist die Eintrittskarte ein USB-Stick. Nächstes Jahr ist der Eintritt frei und wir versteigern, wer die Firma für diesen USB-Stick liefern darf. Stimmt, beim Camp gibt es wieder eine Rockhead, jetzt wo du sagst. Das schaffen wir mit dem Vorlauf nicht mehr. Das wird zu knapp. Hat jemand ein paar Details zu diesen predictive Policing-Sachen in NRW und Bayern? Ja, ja, ich habe da mich gemerkt. Von NRW habe ich nur mitgekriegt, dass sie was machen wollten und oder gestartet haben dieses Jahr. Von Bayern habe ich nur mitgekriegt, dass sie was total erfolgreich abgeschlossen haben? Nein, nein, Sie haben es erfolgreich gestartet und Sie haben drei Wohnungseinbrüche mehr aufgeklärt. Immerhin. Also, ich meine, ich weiß nicht, wie Sie Ihre Vergleichszahl ermitteln, aber hey. Also, diese predictive Policing-Geschichte ist natürlich ein zarter Anfang, worum es da geht, ist natürlich Big Data für die Polizei. Also, der Versuch halt irgendwie möglichst aus vielen Daten erkennen, wohin man, die immer weniger werden, an Polizisten, die auf der Straße nachher rumlaufen, hinschickt. Also, wieder so der nächste Schritt im e-Gavament. Also, wir wollen eigentlich nicht mehr von Menschen gesichert werden, sondern nur noch von Computern. Genau. Und wir kommen da ja eigentlich noch zu, aber ich muss das, glaube ich, jetzt sagen, weil sonst platzig. Du hast dann diese KI-Systeme der Behörden, die versuchen, rauszukriegen, wo du als nächstes einbrechen wirst. Indem sie gucken, wer wann, wo eingebrochen hat. Und die Leute kommen dann immer irgendwie wieder dorthin, wo sie schon mal eingebrochen haben. Und auf der anderen Seite hast du Google Now. Und Google Now sieht dann ganz genau, also, der war erst da, wo er sonst nie war, und dann war er da, wo er sonst nie war, und dann war er da, wo er sonst nie war, und dann war er auf der Polizeiwache. Und benutzt dann dieses Pattern um dem Nächsten, der da war, und da war, und da war, und da war, sagt, und als nächstes hast du einen Termin in der Polizeiwache. Glaub ich ja nicht. Wahrscheinlich wird es dann eher so sein, dass sie die Daten zwischendurch an Amazon verkaufen und die dir eine schöne Neutitanenbrechstange empfehlen. Also vor dem Termin in der Polizeiwache. Genau. Ja, genau. Dazu müssen wir gar nichts mehr sagen, deswegen haben wir ein Bild mitgebracht. Attribution ist hart, let's go shopping. Wer kann man dazu eigentlich nicht mehr sagen? Genau. Ja, der war gut. Der erste Antivirus-Programm, was parallel nochmal guckt, ob dein Router up to date ist oder da sich da was eingenistet hat. Und eigentlich sehen wir diesen Trend auch so im Corporate-Bereich, also wo doch eigentlich immer interessantere Mail wäre zu deiner Sicherheit auf deinem ArbeitsPC installiert wird. Genau. Es besteht keinerlei Gefahr für die Bevölkerung. Gehen Sie weiter. Also auf verschiedenen Ebenen interessant. Also erst mal dieses Antivirus ist tot. Das hat Simon Tech gesagt, das haben die gesagt, als sie noch 40% Umsatz mit oder gewinnen, keine Ahnung, mit Antivirus gemacht haben, dieses Jahr sagen die Antivirus ist tot. So. Und andere, das kommen auf die Idee, dass man sich vielleicht nicht nur um den lokalen PC kümmern sollte, sondern auch um das Netz, in dem man ist. Das ist ja eigentlich ganz begrüßenswert. Und das war jetzt die erste Software, die ich gesehen habe, die tatsächlich guckt, wer ist der Default-Router und geht es dem eigentlich noch gut? Ich glaube, das ist die Home-User-Edition gewesen oder so. Und die guckt dann erst mal, ob das irgendwie einer von den bekannten Routern ist, die einen Firmware-Problem haben, also ein Update brauchen. Und was man ja in Firmen sieht, ist, dass Firmen sich eigentlich nicht mehr, ihrem Inventory-Management nicht mehr vertrauen und irgendwie die eigenen Netze rauf- und runterscannen mit Vulnerability-Tools, um dann zu gucken, was sie da so finden, ob sie das eigentlich alles kennen und ob da irgendwas gepatched werden muss. Und das hier ist jetzt der erste, jedenfalls soweit ich das sie mitbekommen habe, das erste Produkt, das tatsächlich sowas ähnlich ist, was man im Enterprise-Markt hat, das auch für den Heimbereich kommt. Und der nächste Schritt ist dann ganz klar das, was die zwei Leute schon machen, nämlich das ganze lokale Netzscan. Und dann sagen, guck mal irgendwie, da ist ja nicht nur dein Router, der braucht ein Patch, sondern da sind noch andere Sachen. Und da gibt es auch schöne Beispiele für. Also wenn man dieses AVM-Ding nimmt, was da gelaufen ist, Heise hat da ja so einen schönen Router-Test dann rausgebracht und wo man dann gucken konnte, ob der Router getroffen war oder nicht. Dann haben da Leute bei Heise angerufen und gesagt, ich habe mal ein Router gepatched und trotzdem ist hier das Fenster rot. Was ist denn das? Eure Software ist kaputt. Und da kam dann raus, die hatten längst vergessen, dass sie davon AVM auch noch einen WLAN-Repeter zwischen sich und dem Router hatten. Ja, hey, den steckt man in die Steckdose, dann konfiguriert er sich fast von selbst und dann vergisst man ihn, völlig verständliches Problem. Und wenn jetzt ein so ein Antivirus-Ding sagt, Antivirus ist tot, ich muss was anderes machen, was könnte ich denn tun? Mal das Heimnetzwerk prüfen irgendwie und den Leuten erklären, dass ihr Telefon quatscht, dass ihr Fernseher irgendwie ganz schön viel Bandbreite nach draußen verbraucht. Dann ist das nicht die falsche Richtung. Ja, die Frage ist dann halt nur, wer kontrolliert dann halt diese Forensignal? Also, weil letztendlich bauen wir da gerade so lustige Pyramiden ja auch in den Firmen, oder? Da gibt es dann halt so die zwei, drei Konsolenarbeitsplätze, die dann das Mobile Device Management und den, ja, live, wie heißt das, permanent live Forensics, oder da gibt es so schöne Schlagworte für kontrollieren. Und eigentlich muss man dann ja nicht mal mehr anfangen, so was wie Regen in die Firma einzuschleusen. Ist ja schon da. Eigentlich muss man es nur repurpose und für die eigenen Zwecke. Ich glaube, es ist alles ein großer Plan mit dem, was wir jetzt schon kommen. Der nächste, das nächste schöne Beispiel für Hardware, die inzwischen billig genug ist, dass man neue Angriffe fahren kann, war dieses Thema mit den Infrarot-Kameras zum Ausspielen von Pins, an diesen Kreditkarten, Zahlungsterminels mit diesen Gummitastaturen. Und Gummitastaturen sind ganz toll. Wenn man da drückt, 1, 2, 3, 4 und dann davon einen Wärmebild macht, kann man genau sehen, welche von den Tasten das zuerst gedrückt worden ist und welcher als Zweite gedrückt worden ist und welcher als Dritte gedrückt worden ist, weil die Wärme so gut speichern. Und die Kamera, die man dafür noch braucht, die ist so groß, dass man sie sich hinter seinen Telefon schieben kann. Und dann sieht man aus wie einer, der hinter dem steht und ein Selfie macht. Ich finde es ja interessant. Letztens brechen da jetzt diese ganzen Authentication-Technologien alle nach der anderen weg. Noch eine schöne Nummer. Das war der Anunakbankraub. Da haben Sie 50 Banken angeblich, 50 Banken in Russland aufgemacht, drei Bezahlungssysteme, 25 Millionen Dollar abgeräumt. Angefangen hat es mit der Infektion eines Mitarbeiter-PCs und dann haben Sie 42 Tage gebraucht im Durchschnitt oder am schnellsten, habe ich vergessen, die Automaten durchzubeißen. Und wisst ihr, wie man so ein Geldautomaten, wenn man ihn nur softwaremäßig anfassen kann, dazu bringt, also als Auszahlungsterminal benutzt? Man kann ihm nicht sagen, mach mal die Klappe auf und schmeiß das Geld raus. Das geht nicht. Also jedenfalls bei den meisten nicht. Aber was sehr wohl geht, ist die Ordnung der Geldkasetten-Scheine zu umzusortieren. Dann sind die eben wohl hingegangen und haben gesagt, gib mir mal 10, 50 Rubelscheine und dann kam raus 10, 500 Rubelscheine. Oder sowas. Mikrofon 1? Wenn wir nicht so depressiv wären, möchte ich eine positive Entwicklung, die mir 2014 auch viel einbringen. Ich weiß nur nicht, ob sie unter Government-Daten-Verbrechen oder beim Merkenswert fällt und mir ist auch gerade der Englische Begriff entfallen. Das ist das, was man in einem amerikanischen Raum seit und außer dem Lada-Levison-Fall so viel über die National Security Letters gesprochen wurde, dass sich nämlich diese Kanarienvögel, da hat sich ein englischer Begriff für etabliert, bei ... Die Volunt Canaries. Ja, danke schön. Die haben sich, finde ich, da gab es sehr einfahrtsreiche Varianten von. Ich habe keine Anfragen zu diesem oder jedem, nach diesem oder jedem fieser Titel und es dann plötzlich nicht mehr hinschreibt, dann weiß man, dass da was fehlt. Sehr begrüßenswerte Idee. Guzi? Mikrofon 2, bitte. Zu der Bankraubgeschichte. Wisst ihr, woher das kommt? Mit dem Geldkasettenwechsel. Vor drei Jahren hatten wir das, als irgendwelche Teenies in den USA die Anleitungen von Geldautomaten zur lokalen Tankstelle gefunden hatten. Das Standard-Passwort aus der Anleitung ausprobiert haben. Per Pin-Pet die Geldkasettenreihenfolge, also Belegung für Scheine geändert haben. 20 Dollar, was dann 200 Dollar waren, abgehoben haben, ist wieder zurück geändert haben und das Jahre lang getan, oder eine ganze Zeit lang getan, am Monatelang, bis einer vergessen hat, das Ding wieder zurückzustellen. Die Party nimmt auf. Operation Security ist hart. Gut. Was hatten wir jetzt gesagt? Wir spielen dazu Fahrstuhlmusik eigentlich. Wir spielen jetzt hier zu Fahrstuhlmusik. Lassen das so fünf Sekunden laufen, dass jeder Zeit genug hat, um sich davon ein Foto zu machen. Und dann machen wir den nächsten. Und dann warten wir noch mal fünf Sekunden, warten das Gelächter ab und gehen dann weiter. Die Stichworte für 2015. Böse Hardware ist böse Software ist, alles eh egal. Das Thema Patches ohne Rückfrage hatten wir schon kurz angesprochen. Und ich denke, wir werden sehen, dass sich da die Auseinandersetzung glaube ich oder Diskussion oder so wahrscheinlich den Höhepunkt sehen wir dann. Also ich glaube, wir haben als Industrie was falsch gemacht. Also wir im Sinne von die Industrie und wir die Power User, was falsch gemacht. Weil wir haben dieses Modell, ich will wissen, was auf meiner Maschine passiert und das bedeutet, dass ich wissen will, wann irgendwelche Patches kommen und ich will die einzeln abnicken und so weiter. Das haben wir übertragen und gesagt, jeder muss das tun können per Default. Und dann haben wir jahrelang die Anrufe entgegengenommen, wo dann die Familie anrief und sagte, jetzt ist hier JRE Unterstrich 32, Unterstrich Intel, Punkt X will auf das Internet zugreifen, ja oder nein. Und haben immer noch nicht die Einschläge gemerkt. Und jetzt geht es los, dass die ersten Hersteller sich gerade trauen, aber eigentlich müssten wir sie dazu prügeln. Der Punkt ist einfach, die meisten Leute, die ein Computer haben, können nicht beurteilen, ob das jetzt okay ist oder nicht. Und deswegen sollten die Patch-Dinger einfach durchlaufen. Warum noch jemand zu fragen ist sinnlos, ist sogar gefährlich. Ich habe das nicht, ich habe nicht ja gesagt, ich habe mich nicht getraut. Ja, verdammt nochmal, das war ein Betriebssystem Patches für dein Java, wenn du es schon nicht abschalten kannst, dann musst du patchen, immer als erstes sofort. Wer von euch hat dieses Jahr war in der Lage, mal wieder irgendwo ein Java zu killen in der Familie? Ist immer ein gutes Gefühl, oder? Ja, ja. Aber so, und natürlich wollen wir in der Lage sein und ein Registrik hier haben, um das abzuschalten und sagen zu können, dass wir gefragt werden wollen. Aber wollen wir das noch für die breite Masse? Ja, ich glaube, die Frage muss man jetzt mal langsam stellen. Mikro 2? Genau das wollte ich auch noch dazu sagen. Ich bin dabei euch, für die breite Masse wäre es besser, wenn die einfach durchlaufen. Und Fragen ist auch überflüssig, weil kann deine Oma eh nicht beurteilen, aber wir sollten ganz dringend darauf achten, diesen Registry Switch zu haben und das einfach ausschalten zu können, because every feature you can't turn off is a bug. Klar. Aber ich frage mich noch, wie die Industrie, die diese Forderung umsetzen wird, wird sie den Leuten sagen, du, wir können nicht auch in die erste Welle Patches tun und dann ist das Produkt billiger? Sie sagen nur 5 Dollar extra und du kommst in die erste Gruppe, die die neue Version kriegt. Was? Kommt mit Windows 10. Kommt mit Windows 10. Na, alles klar. Mikro 1? Also wenn wir über diesen Apple Vorfall reden, wo sich irgendwie kein Schwein darüber aufgeregt hat, dass nicht drückgefragt wurde, gab es aber einen anderen Schützter als die Apple, die für uns so eine Werbemaßnahme, ich glaube, es war ein Song von U2, in deren iTunes hohe Lernen haben, um sie zu fragen. Da gab es den fetten Schützter im Gegenappel, weil das darf man ja auf gar keinen Fall machen. Na ja, gut, ich meine, wir sagen mal so zwischen so einem NTP Patch und so einem Bonus-Hong. Ich wüsste, glaube ich, worüber ich mich aufregen würde. Habt ihr den Internet-of-Toilets-Talk gesehen? Also dieses Internet-of-Sings, da wird uns ja mal gerne so eingeräht, der geht es irgendwie wesentlichen darum, dass deine Waschmaschine unter den Kühlschrank irgendwie Internet haben, damit sie irgendwie an- und ausgehen können, wenn der Strom gerade billig oder grün ist. Aber eigentlich wird es wahrscheinlich wie immer ganz anders kommen. Also wovon wir da reden, ist ja eigentlich dieses Phänomen, wenn es plötzlich Daten sprudelt. Also jeder Lichtschalter, jedes Endgerät, jedes Stück Hardware, was irgendwie Strom hat, kriegt eine IP-Adresse, ob es nun sinnvoll ist oder nicht. Und wenn man sich so diese, du machst es ja gelegentlich, diese Home-Automation-Forene zu frequentieren, da bekommt man ja schon einen ganz guten Vorgeschmack darauf, wie so Menschen so, also ich finde es immer sehr interessant, weil das sind so mutige Menschen, die die Zukunft ausprobieren. Und auch wenn sie schon noch ein bisschen scharfig und blutig ist. Aber was wir da am Ende raus bekommen, ist die große Frage, wer kontrolliert am Ende die Daten, die dabei anfallen? Ja, aber Home-Automation ist ja so ein Ding, ich meine das von vornherein klar, dass man will, dass die Sachen zusammenarbeiten, und zwar im eigenen Haus zusammenarbeiten und nicht irgendwo anders in der Cloud oder beim E-Gavament zusammenarbeiten. Aber das ist ja das, was wir hier kriegen. Die Internet of Things heißt, alles hat eine IP-Adresse, alles telefoniert nach Hause und alles ist ein Sensor. Auch wenn man gar nicht glaubt, dass das ein Sensor ist, auch wenn es erst mal nicht so aussieht, als wenn es ein Sensor ist, ist alles ein Sensor oder vielleicht sogar ein Sender. Und man muss nur manchmal ein bisschen länger drüber nachkommen, bis man drüber nachdenken, bis man auf die Idee kommt, für was etwas denn ein Sensor sein kann. Und was so ein Ding eigentlich alles sehen kann. In England gibt es da diese Mülltonnen, die gucken, welche Wi-Fi-Mac-Adressen von Clients sie sehen. Und damit sie sehen können, ob jemand sich langsam durch die Straße bewegt oder schnell durch die Straße bewegt oder ob er irgendwelche lustigen Kurven dreht und ähnlich ist so. Und dann ist der erste Hersteller losgegangen, hat bei seinem Telefon so eine Software, also die Firma geändert, wenn der nach SSIDs fragt und nach WLANs sucht, dass er dann die Mac-Adresse wechselt und so weiter. Aber das ist, wenn man sich das mal genauer anguckt, ja gar nicht der Punkt. Ne, letztens ist halt die Frage, für wen werden diese Daten angesammelt? Und was passiert damit? Und meine Theorie ist, dass das nicht für Menschen ist, sondern für künstliche Telegienzen. Letzten Endes fallen da so viele Daten an, dass man sie eigentlich nur mit KI in ungnaten Weise beackern kann, also mit Machine Learning. Und wenn man sich so anguckt, wohin so gerade so Google Now und Siri und so, Facebook wahrscheinlich auch, die kaufen quasi jeden, der nicht bei drei auf den Beinen ist, und irgendwas von KI versteht ein. Die sagen auch nicht so richtig, wo sie damit hinwollen, sondern es sickert so ganz langsam rein. Und das ist halt nicht so eine Hall 9000 KI, sondern so, also die sagt am Ende zwar auch dasselbe, sorry I can't let you do that, Dave. Aber eben sehr viel schmalbandiger und nicht mit eigenem Bewusstsein. Sondern es sind dann halt so die kleinen Nützlichkeiten, die halt dann Tagespattern lernen, wenn man sich so anguckt, so die ersten Anfänge davon, kann man gerade so auf diesen Google-Uren beobachten. Also diese Smartwatches da, Gier heißen die. Da gibt es nicht mehr so richtig User-Interface, da gibt es halt nicht mehr so richtig Eikens oder so, sondern also man kann ja natürlich nachinstallieren, so wenn man auch Apps draufschiebt. Aber so im Auslieferungszustand ist man erstmal total verwirrt, weil diese Uhr denkt, sie ist schlauer als du und das zeigt, die sie gerade für relevant hält. So und kann damit richtig liegen, kann damit falsch liegen, aber das zeigt halt so den Ansatz, wo sie eigentlich damit hin wollen. Nämlich tatsächlich einen, sagen wir mal so künstlich intelligenten Lebensbegleiter, der halt so schon grob eine Ahnung hat, wie dein Leben aussieht. Wobei das ja gar nicht künstliche Intelligenz ist in dem Sinne. Also künstliche Intelligenz mal schön in Anführungsstrichen. Wir reden hier über eher simples Pattern-Matching, oder noch? Also wo die sich einfach, wo die gar nicht sagen, dass da irgendwie ein Elektronengehirn darüber nachdenkt, wenn du das machst und dann das machst, willst du bestimmt das machen, weil es irgendwie ein Bild von der Welt in seinem Kopf hat, sondern schlicht und einfach vor dir waren hier schon 10.000 Leute, in diesem Fall 13.000, und von denen haben 4.000 erst das gemacht, dann das gemacht und dann das gemacht. Das heißt, wenn du A und B machst und die anderen haben alle C gemacht, dann schlage ich dir jetzt auch mal C vor. Ja, das ist ja keine künstliche Intelligenz in dem Sinne, richtig? Ja, aber das ist ja nur ein Teil des ganzen Spiels, weil nebenbei liest das Ding auch noch deine E-Mail und dein Kalender und versucht zu raten, was jetzt du vorhast und was passiert. Also... Und dann sagst du ihm immer freundlich, das war falsch. Du hilfst ihm beim Lernen, so funktioniert Machine Learning. Ja, ich denke 2015 werden wir ziemlich viel über autonome Fahrzeuge reden. Es geht doch relativ schnell jetzt so alles. So eines der bemerkenswerten Dinge daran ist, dass die meisten Menschen haben noch nicht so ganz verstanden, dass eigentlich schon fast alles fertig ist. Also, wenn man sich heute so eine aktuelle Oberklasse kauft von einem großen deutschen Hersteller und ohne Rücksicht auf die Endsumme alle Kästchen anklickt, für alle Assistenzsysteme, dann kriegt man ein Auto, wo das einzige, was einen noch daran hindert, das Ding so kompletter Autobahnabschnitte autonomen fahren zu lassen, die Hindern-Lenkrad-Erkennung ist. Also, wenn man halt so viel Spurassistenz, irgendwie Geschwindigkeit, Assistenz, irgendwie alles andere einfach anklickt, dann fährt das Ding halt einfach von selber auf der Autobahn. Und es meckert halt nur rum, wenn man halt die Hände vom Lenkrad nimmt. Kann man die nicht als Zubehör kaufen, die Hände am Lenkrad? Und das zweite, was dann auch fehlt, ist die Integration mit dem Navi, damit es halt auch Autobahnausfahrten auf die nächste Autobahn von selber nehmen kann und man dann noch per Hand eingreifen muss. Wie man dahin kommt, überlasse ich mal lieber dem geneigten Leser, bevor ich noch Ärger mit dem Kraftfahrzeugbundesamt bekomme. So, und das ist diese Hardware. Die verknüpfen wir dann mit den Netzen. Da geht auch noch einiges im Bereich Monetarisierung. Wir hatten gerade dieses Thema mit diesem Darknet-Hotel, oder Darkhotel, Entschuldigung, Darkhotel, wo Leute angegriffen worden sind, während sie im Hotel waren, weil sie sich da in ein nicht vertrauenswürdiges Netz eingebucht haben und das Netz vorher halt über normen Strichstrich angegriffen worden ist von anderen Leuten, die diesen Personen böses wollten. So, und das ist wieder ein Beispiel dafür, wo Technologie, die am Anfang irgendwie vom Militär eingesetzt wird, oder Spionage, dann sich dann Richtung Business-to-Business-Angriffe und dann irgendwie Angriffe gegen alle weiterentwickelt. Ich denke mal, der nächste Schritt wird sein, dass wir, das ist vielleicht auch etwas für Geschäftsmodelle der Zukunft, wo dann jemand kommt und sagt, ach, liebes Hotel, ich biete dir an, Internetzugriff, für alle deine Gäste, für umsonst. So, und die Detail ist, dass der dann jede SSL-Verbindung aufmacht und alles abspeichert, was darüber geht, das ist dann halt Modetarisierung. Gibt es schon? Ja, ich meine, wenn ich mich so gucke, was irgendwie in manchen Hotels los ist, da frage ich mich auch schon so, ob es da nicht so einen gewissen Konkurrenzkampf sogar gibt zwischen verschiedenen Anbietern. Ich war neulich in so einem Hotel, da gab es vier verschiedene kommerzielle WLAN-Anbieter. Die kosten alle nichts, hatten alle eigene Infrastruktur. Keine Ahnung. Ich habe keinen von denen benutzt. Ja, das nächste ist für VPN-Anbieter gilt dasselbe. Ja, dann benutzt doch ein VPN-Service oder so, auch ne gute Idee, oder? Das ist mal erstmal auf der Liste von den Leuten, die VPN-Services benutzen, ganz tolle Idee. Halt sich auch nicht. Das ist Captain Obvious, ja. Ich meine, jeder, der auf dem Vortrag war von Tobias oder Carsten, der weiß, dass nach SS7, vor SS7 kam SS5, nach SS7 kommt LTE-Diameter und das wird uns sicher noch ein paar Jahre begleiten, das Thema. Und was jetzt, wenn man das zusammenzählt, dann sind wir wieder bei unserer alten Kategorie, die wir schon, ich glaube, zwei, drei Jahre nicht mehr hatten, weil uns dazu nix mehr einfiel, aber das ist dieses Corporate-City-States 1.0, das sind aus diesen Zukunfts-Visionen von Bruce Stirling, William Gibson und Demolition Man. Und Demolition Man. Ihr solltet alle nochmal Demolition Man gucken, weil Demolition Man war tatsächlich der erste größere Hollywood-Film, in dem es eine Smart City gab. Wer von euch kennt denn den Film? Zu wenige. Aber gut, die anderen gucken, die haben nächstes Jahr nach. Aufschreiben, Hausaufgabe. Ja, so was ist der Lohn, kann man dann noch ignorieren. Außerdem war er dann noch relativ jung. Aber es gibt, also da gibt es, sehr interessante Features, also da gibt es halt so automatische Abwehr von, genau, es gibt automatische Abwehr von diesem und jedem und ansonsten achtet auf die drei Muscheln. Aber schönsten finde ich allerdings die Strafzettelprinter, die an jeder Wand hängen. Und wenn man flucht oder so, oder jemand sonst wie beleidigende Worte benutzt, dann kommt da so ein Zettel raus. Also da, jedenfalls kann man da sehr schön sehen, wie so was funktioniert, so eine Smart City. Also wenn man so Smart City denkt, denkt man ja so, na ja, dann ist das alles intelligent und grün und irgendwie versucht, irgendwie einen möglichst dahin zu leiten, wo man gelitten haben will. Was aber eigentlich dahinter steht, ist ja das Zusammenfließen von so drei Konzepten. Zumal, also erste ist, alles ist ein Sensor, das heißt also, wir haben jede Menge Daten. Das zweite ist, wir haben alle irgendein elektronisches Gerät in der Tasche, mit dem man uns irgendwie Nachrichten zukommen lassen kann, unser Verhalten beeinflussen kann. Und das Dritte ist die Überzeugung, dass irgendjemand das besser weiß, meistens halt ein Stück Software dann am Ende, die dafür sorgt, dass die Menschen Dinge tun, die smarter sind. Also so einfaches Beispiel dafür ist zum Beispiel halt, nehmen wir an, man weiß halt irgendwie, in einem bestimmten Bereich ist halt irgendwie gerade viel Verkehr unterwegs, dann könnte halt so ein richtiges Smart City in dem Bereich halt die Parkgebühren verzehnfachen und parallel dazu dafür sorgen, dass, wenn man in diesen Bereich fährt, das BVG-Ticket, also das Nahverkehrsticket umsonst ist. Das ist so ein Nudging nennt man sowas. Also man bestraften Menschen nicht, sondern man führt sie dahin, dass sie das Richtige tun. Und das eigentlich, dieses Versprechen davon. Und bloß, was da dahinter steht, ist eigentlich noch ein sehr, naja, so ein bisschen so dieser kybernetische Sozialismus, der versucht halt irgendwie, alles besser zu wissen. Und was mir da immer so einfällt, ist halt dieses, esst alle mehr Spinat, weil da ist viel Eisen drin. Das ist so 30 Jahre lang, irgendwie das Dogma war, bis ich dann irgendwie rausstellt, dass es leider ein verrutschtes Komma war und da gar nicht so viel Eisen drin ist. Ja, genau. Und ist euch aufgefallen, dass Google euch beim Helf, beim Wählen helfen möchte? Also wir benutzen ja, wir von euch benutzen den Valomad vorwahlen. Das ist auch schon relativ viel. Ja, ist halt ein sehr datengetriebenes Publikum. Ja, genau. Und eigentlich ist dieser Valomad ja relativ simpel, macht ja nur Stichwort-Mensching auf die Programme. Aber eigentlich könnte man ja mit so ein bisschen somatischer Analyse und so durchaus auch die Aussagen aus den Parteiprogrammen und von den Spitzenkandidaten mit einbeziehen und so weiter und so fort. Und dann müsste man sich mit diesem ganzen schwierigen Wahlthema nicht mehr so intensiv beschäftigen, sondern könnte einfach das Knöpfchen drücken oder das Kreuzchen da machen, wo das Googlechen meint, dass man es machen sollte. Wäre auch sehr smart irgendwie, sehr smarte Politik denn? Genau. Und also nochmal zurück zur künstlichen Intelligenz auf dem Niveau von Corporate City-States, irgendwie 0.9 oder drunter, wird dann irgendwann die Frage sein, was hat die KI Wann gewusst? Oder ich meine, das haben wir in der Politik ständig. Was hat wer Wann gewusst und wem gesagt? Und wenn man mal sieht, mit welcher Intensität diese Diskussionen da plötzlich geführt werden, wenn es mal um was geht, dann ist völlig klar, dass wir hier für KIs, die auch nur in irgendeiner Form Dinge beeinflussen können, entsprechende Auditrails gesetzlich verankern müssen, damit man genau weiß, was die KI Wann gewusst hat. Viel Spaß, dass der Firma Google abzutrotzen. Okay. Etwas fröhlicher? Geschäftsfelder. Hier schlagen wir vor, wo wir denken, man würde gutes Geld verdienen können. Und da haben wir ja schon seit ein paar Jahren das Thema Hardware, die irgendwie veraltet, irgendwie Lifecycle Management für Hardware, für die man keine Software-Updates mehr bekommt und ist das dann schon gleiche Elektronik-Schrott oder nicht und solche Sachen. Und da haben wir uns überlegt, ist es doch eigentlich inzwischen möglich, so was wie eine ganz persönliche Filterbubble für veraltete Android-Geräte im eigenen Haushalt zu machen oder sowas betreutes Wohnen für iPads? Ja. Man ist halt so, wenn so Geräte älter werden, entweder fehlt ihnen dann halt das Backend so, weil halt irgendwie der ganze Cloud-Shit schon lange nicht mehr da ist, auf den sie hinkonsipiert wurden. Das fängt jetzt auch schon langsam an, dass man halt keine Ahnung von irgendwelchen intelligenten Bilder, Rahmen-Therometern oder so halt einfach der Cloud-Service weg ist. Ja, und dann gehst du halt erstmal los und was machst du mit dem vier Jahre alten iPad, dann fällt dir auf, du kannst ja auch einfach m.spiegel.de aufrufen statt www.spiegel.de und dann geht es erst mal wieder zwei Jahre. Aber der nächste Schritt danach ist ja, irgendwie zum bisschen rumsarfen, ist eigentlich noch gut genug. Vielleicht nehme ich irgendwie meinen Router und sage eben, dass da irgendwie keine Ahnung, diese großen JavaScript-Bibliotheken, die einem da entgegengeworfen werden, irgendwie wegschmeißt oder animated GIFs, mit denen das Gerät eh nicht mehr umgehen kann. Das ist für mich so betreutes Wohnen für iPads. Das Netzfiltern. Also ich brauche eigentlich keinen Kinderschutzfilter, sondern ich brauche einen, das schafft der Prozessor von der alten Gurke, deren Display aber noch gut genug ist, nicht mehr, Filter. Warum wegschmeißen, oder? Also ganz im Ernst, warum wegschmeißen? Und das geht dann von betreutes Wohnen bis hin zur Gummi-Zelle fürs Fernseher. Ja, wenn der Fernseher nur alle Päze ist und die haben ja mittlerweile alle Internet und auch eine Kamera und Mikrofon, dann bleibt dann nichts weiter übrig, als die einzusperren. Da haben wir hier eine Kamera. Meine Uhr sagt mir, dass mein Telefon sagt, Presidential Alert, All your phones belong to us. Außerdem behauptet mein Telefon, ich sei jetzt bei AT&T eingebucht. Ich war doch immer Kunde bei Netz. Oh Mann, ey. Also aber jetzt mal ohne Scheiß, die nächste Milliarde Geräte auf diesem Planeten, das werden alles Androiden sein. Also im Sinne von Android. Darum müssen wir uns kümmern. Das ist ... Ach nee, ist egal, die Batterie ist dann kaputt und fertig. Hängt vom Gerät ab, ne? Also bei manchen kann man es auch noch wechseln. Bei Tablets halt nicht mehr so sehr. Aber man kann immer noch an die Wand hängen, als Bilderrahmen so. Ist das gut oder ist das schlecht? Ich weiß nicht. Ich glaube, für die nächste Milliarde Androiden brauchen wir eine Antwort. Und zwar eine Antwort, die darf eigentlich nicht länger als drei Monate dauern, weil länger dauert es ja nicht, bis das veraltet ist, oder? Ja, vier manchmal, ja. Das sind natürlich die Clients. Das sind die Clients, um die man sich kümmern muss. Um die Backends muss man sich auch kümmern. Was ist mit diesen ganzen Startups, die jetzt alle Pleite gehen werden? Die ganzen Kickstarter Smart Device-Wersteller. Genau, die irgendwelche lustigen, mehr oder weniger lustigen Backends haben. Und wo ihr dann irgendwie die Devices gekauft habt. Und dann geht plötzlich die Cloud kaputt, mit der das immer telefoniert. Ja. Und dann braucht man ja einen Cloudersatz dafür. Also mit Cloud-Backend-Simulationen für beliebte Produkte denken wir, kann man Geschäfte machen. Das ist das, was wir in der Zukunft tun. Und dann habe ich noch einen für ... Dann habe ich noch einen für ... Wir schmeißen ja ganz viel weg. Also die neuen Geschäftsfelder, die wir hier nicht auflegen, weil wir denken, das wollen wir nicht sehen. Aber ich denke, das sagen wir jetzt mal, weil das ist so schlimm. Da kommt bestimmt jemand auf die Idee. Und ihr könnt dann entscheiden, ob das schlimm ist oder nicht. In dem Kongress schaut ihr den Vortrag an von Starbucks. Gehst du durch die kalte Welt da draußen hierhin. Denkst du, das ist alles zu kalt. Wir frieren die Finger. Du denkst, du brauchst Handschuhe. Dann gibst du ja schon diese Handschuhe, die so touch-screen-sensitiv sind. Dann gehst du hier runter in den Keller, siehst die Nähmaschinen da. Und dann denkst du, fährt es nicht total falsch, wenn es ein Service gibt, wo ich irgendwie ein Foto von meiner Hand hoch lade. Und dann nähen wir das mit Grafit auf meiner Handschuhe vorne drauf. So dass du den Handschuhe nicht ausziehen musst, um den Fingerabdrucksensor zu benutzen. Natürlich ist das eine total schlechte Idee. Warte mal. Vielleicht könnte man es auch einfach so als ein Ring machen, den man unter dem Handschuh oder über dem Handschuh haben kann. Und dann könnte man auf die Webseite schreiben, garantiert individuell aus 99 verschiedenen Kombinationen ausgewogen. Es muss essbar sein, irgendwas, was man bei der Grenzkontrolle dann runterschlucken kann. Oder? Gummibärchen, Gummibärchen bitten sich da an. Ja, das hält ja dann nicht lange. Da kann man noch was draus machen, denkt ein bisschen drüber nach. Da geht noch was. Ja, und dann natürlich das Thema Trendsportarten. Dicht dran. Dicht dran. Das Thema ... Also ich meine, geteckte hoch aufgelöste Fotos von sich im Internet haben ist mittlerweile schon ein Problem, wenn man solche Biometrie benutzen möchte. Ja, vor allen Dingen, wenn man die Angewohnheit hat, ins Publikum zu winken oder so. Das ist ganz schlecht. Und weil das Thema ist durch. Das Thema ist so was von durch. Apropos minken, das Internet möchte, dass ich euch an die Redezeit erinnere. Ja. Die was? Ich soll euch an eure Redezeit erinnern. Ich habe eine Frage an das Internet. Wie ist denn das Plural von Iris? Und der nächste Punkt ist natürlich Personal Drone Airspace Defense. Also da könnt ihr schon mal ein bisschen drüber nachdenken. Wir probieren ein Neutrennsport ab und traditionell auf dem Camp aus. Da könnt ihr schon mal ein bisschen eure Kreativität spielen lassen. Vielleicht, wenn wir auch einen ansprechenden Wettbewerb dazu haben. Wir haben ja dann ein bisschen Platz. Genau, wir haben hier Leute, die können echt gut Dronen fliegen. Und die Frage ist jetzt, wie schnell kriegt ihr das Ding aus der Luft? Mit und ohne Kollateralschaden. Oh Mann, ja. Gut. Und damit nähern wir uns auch tatsächlich dem Ende. Wir haben nicht so viel zu sagen zur Krypto-Kalypse. Zur Krypto-Apokalypse, außer übt schon mal schön, dass Schlüsse wechseln und das Algorithmen wechseln. Und den PKI-Trausch. Wahrscheinlich wird es dann so ähnlich sein wie so Passwortwechsel-Polices. Genau. Und damit kommen wir zum Ende. Wir wünschen euch wie immer einen guten Rutsch ins Jahr 1984. Kommt gut nach Hause. Und jetzt kommt noch die Abschlussveranstaltung.