 Guten Morgen. Freut mich, dass ihr zu so früher Stunden gekommen seid. Der Titel des Vortrags sagt eigentlich schon eine ganze Menge aus. Offenheit der ganzen IT Supply Chain, einschließlich Tools und Fabs. Also gemeint ist, wenn wir irgendetwas haben wollen wie sichere Systeme, dann müsste man eigentlich alles öffnen, transparent machen. Manchmal erschrecke ich, das ist ein bisschen riesig und ein bisschen groß. Ich habe mir das auch nicht alleine ausgedacht, sondern mit Co-Autoren erwähne ich dann noch. Der Hintergrund daran musste ich eben denken, also in der Nussschale sind es zwei Gründe. Das eine ist subjektiv, habe ich ein winziges bisschen mitgemacht vor 20 Jahren, daran, dass man lange Schlüssel in der Verschlüsselung verwenden darf. Eigentlich habe ich und meine Forschungspartner, eigentlich haben wir nicht damit gerechnet, dass dann die Schichten unten drunter unterminiert werden. Eigentlich haben wir gedacht, hey, das geht jetzt für die Wirtschaft, kann man und für die Privatperson lange, lange gute Verschlüsselung machen. Das war das eine Aha-Erlebnis sozusagen, also wenn wir irgendeine Ebene irgendwie sichern, muss man damit rechnen, dass eine andere unterminiert wird. Und der andere Aspekt ist in Vorbereitung sozusagen unserer Aktivitäten und dieses Talks, hörten wir immer wieder Sachen wie, ich weiß ja nicht, was in meinem Server ist. Muss dann zwar irgendein Unternehmer sozusagen dafür haften, aber er weiß gar nicht, was drin ist. Und das andere ist aus der deutschen Industrie, die alle möglichen Sachen mit Chips bauen will. Wir wissen eigentlich auch nicht, was in den Chips ist, die sind eine Black Box für uns. Das ist im Kern das Referat oder die Konklusio, aber jetzt vielleicht noch mal der Reihe nach. CLA finde ich lustige Abkürzungen, sozusagen steht für Confidentiality, Integrity und Availability. Privatsphäre schließt für mich auch politische Aktivitäten jeglicher Art ein. Also ich bin sozusagen bis nach 68 mit diesen Sachen aufgewachsen und die geringsten Abweichungen vom Nachkriegs Mainstream wurden scharf mit knackenden Telefonen und Ähnlichem gehandelt. Betriebsgeheimnisse, sehr wichtig, kriegen wir immer wieder mit. Diese sogenannten Mittelständler, Zulieferer, wie sie alle heißen, haben ihre tausend kleinen Geheimnisse, mit denen sie erfolgreich was verkaufen können, Designs, was auch immer. Finde ich es eigentlich bedroht, wenn man nicht weiß, was in den Kisten drin ist, die man als Unternehmen kauft. Infrastrukturen, das ist sozusagen breit bekannt, wenn es kein Brot mehr im Supermarkt gibt, kein Strom, kein Wasser, Krankenhäuser, kein Dieselöl mehr haben und dergleichen. Da haben wir eigentlich ein Problem und da ist ein gewisses Bewusstsein, da Infrastrukturen ist besonders heikel. Ich habe Stux nicht erwähnt, kennen wahrscheinlich die meisten. Ich habe ihn auch deshalb erwähnt, weil man sich vorher eigentlich nicht so ausgefuchste Angriffe vorstellen konnte. Diese Computer Network Exploits habe ich erwähnt, weil dadurch Snowden vor fünf Jahren oder so wurde bekannt, dass die NSA bei Gemalto diesen Chipkartenhersteller und bei der Belga kommen, drin war und irgendwas gemacht hat. Eigentlich habe ich gedacht, hoppla, jetzt ist es tatsächlich passiert. Man hätte damit gerechnet, dass es schon einen gewissen Aufstand gibt. Wir brauchen eigentlich eine bessere Server, PC, Laptop etc. Infrastruktur für unsere Unternehmen. Deswegen erwähne ich das gern, eigentlich ist es doch ziemlich wackelig, wenn wer weiß, wer rein spazieren kann in die Geräte. Logic Bombs erwähne ich als sozusagen aus Zitat aus einer chinesischen Publikation von Regierungsmitarbeitern, die waren Hinweis meiner Co-Autoren. Die Chinesen schreiben doch offen, dass sie logische Bomben einbauen wollen, dass man das tun sollte, die man zur Not hochgehen lassen kann. Also wir sind sozusagen da nicht irgendwie amerikafeindlich, sondern gucken in alle Richtungen. Man kann eigentlich nicht denken, die Chips aus China wird schon okay sein, drücken wir dir uns die Daumen, dass nichts passiert. Einer meiner Co-Autoren war bei Intel und weiß sozusagen aus erster Hand, dass ein Europäer nicht erfahren darf, was in dem Prozessor drin ist. Weiß nicht, Jung und Becker, habt ihr das breit? Hat das jemand gehört? Weiß jemand, was ich mein? Akademische, wenn sie so wollen, theoretische Möglichkeiten, Trojanische Pferde in Hardware unterzubringen. Und zwar in einer Form, wenn man die Leiterbahnen anschauen würde, was praktisch hier unmöglich ist, wenn man die Leiterbahnen anschauen würde, und trotzdem diese Trojanischen Pferde nicht erkennen, weil man schwer sichtbar die Dotierung geändert hat oder die Entfernung zwischen Leiterbahnen ein bisschen reduziert hat. Will heißen, es gibt aus der Forschung leider vielfältige Möglichkeiten, auch in Hardware Trojana einzubauen. Wissen Sie, manchmal dachte ich dran, hey, also das haben wir sogar im Europaparlament, diskutiert, ich bin hier vom KIT, haben wir sogar im Europaparlament ansatzweise diskutiert, man könnte davor schreiben, ein hochsicheres Betriebssystem einzusetzen und deswegen schauen wir eben auch unten drunter, weil wenn wir das hätten, ja, nachdem was in der Welt passiert ist und die Konflikte schärfen sich eher zu, das ist kein richtiges Deutsch, muss man damit rechnen, dass eben auch unten drunter Angriffe fahren und das sind sozusagen die ausgefuchstesten Angriffe auf Hardware, die momentan diskutiert werden. Meltdown Spectre hatten wir gestern Abend, also es gibt auch Tonnen, also es gibt die Zero Day Exploits und Pannen und Fehler und dergleichen und eigentlich müssen wir auch gucken, dass man die reduziert und solche Überraschungen nicht passieren. Hab schon angedeutet, es scheint eine Position zu geben, das trifft alle, aber erstens ist es sowieso vielleicht nicht so gesund, also man stelle sich vor Snowden wäre ein mittelgroßer krimineller und hätte als Insider einfach versucht, neue Designs an Wettbewerber für viel Geld zu verkaufen, also dass man einfach als deutscher Bürger, als jemand, der eben die weiß, wie die deutsche Industrie oder auch jeder andere funktioniert, einfach so hofft, es wird schon schief gingen und gegeben, falls alle treffen, finde ich eigentlich blauäugig, insbesondere wenn es uns gelingen würde, ansatzweise Lösungen zu skizzieren. Abwarten bis neuartiges Problemeintritt soll heißen, dass man natürlich auch sagen kann, na ja, wer weiß, ob jemals irgendjemand eine Infrastrukturgröße angreift. Man sollte nicht allzu paranoid sein, umgekehrt wäre es eigentlich gut, sich rechtzeitig zu wappnen. Also einer aus einer Halbleiterfabrik sagte mir mal, wissen Sie, unsere Kunden fragen schon nach Hardware-Toyanern, die sich gegenseitig blockieren könnten. Also das habe ich nicht erfunden, das sind Diskussionen da draußen, das finde ich eigentlich alles ein bisschen beunruhigend. Völlig anderer Aspekt, na ja, nicht völlig. Also dass sie jünger sind wie ich, ist nicht so schwierig. Ich habe teilweise selber beobachtet, wie wir in Deutschland und Europa noch dachten, wir haben IT-Industrien. Und ich finde, es muss auch nicht für alle Zeiten so bleiben, dass diese Industrien nun davon gezogen sind, die Inhalte in den USA definiert werden. Und China stellt sozusagen alles schwierige her. Das heißt, wir haben leider eine Spur von Fehlentscheidungen unserer Investoren. Was aber umgekehrt heißt, man könnte und sollte versuchen, das zu ändern. Also wir schlagen sozusagen ein neues Paradigma vor, wie erwähnt. Und damit könnte man vielleicht auch Geld verdienen, bessere Produkte, ein Teil der Wertschöpfung wieder hier herholen nach Europa. Ein altes Beispiel war, dass 1980 hat eine Schweizer Firma versucht, PCs mit einem Graphical User Interface zu verkaufen. Das war mehrere Jahre vor Leiser und Demac. Die Investoren fanden aber, naja, wer weiß, das ist riskant. Machen wir lieber nicht, finanzieren wir lieber den Gotthard-Tunnel. Also das war auch Original-Tunnen von einem, der das untersucht hatte. Bist ein später habe ich dann selber näher beobachtet. Da war, ich glaube auch, Dank des Chaos Computer Club, schon klar in der zweiten Hälfte der 80er Jahre Bildschirm Text. Das ist ein unflexibler, teurer Idee. Da war ja die Idee, dass man pro Bildschirm-Seite 5 oder 6 Fennig bezahlt. Sie sehen rechts diese Kabel aus der Telefonkabel. Damals kannte ich Leute, die wussten, wie man illegales Modem anschließt. Also da war eigentlich schon völlig klar, diese teuren Dienste haben nicht die Zukunft und die Flexibilität. Also sie mussten ja typischerweise einen zentralen Server benutzen. Und mit den illegalen Modems kamen sie auf alle möglichen anderen Computer. Selber beobachtet hatte ich auch wie um 2000 drum, wie attraktiv eigentlich das trattlose Internet ist. Wir haben mit Investoren gesprochen und Banken und so und dann hieß es 8. Warten Sie ab, wir nehmen hier mit MMS 38 Cent pro Bild. Das ist viel besser. Wir haben das Eigentum am Spektrum, am Funkspektrum. Stirn Sie unsere Kreise nicht mit Ideen von mehr Wettbewerb wie in Japan. So was wollen wir nicht. Ich habe Japan erwähnt, Steve Jobs angeblich ein Japan-Fan musste, diese ganzen Dienste eigentlich nur noch gut funktionieren, konfektionieren. Das heißt, hier war es auch bewusst, dass man gedacht hat, mit der GSM-Struktur und dem Eigentum am Spektrum, kann man doch ganz toll den Weltmarkt definieren. Einer sagte dann zu uns, ihr habt anscheinend so etwas vor wie make your upgrade again. Jetzt die große Frage. Wie kann man eigentlich insbesondere die Sicherheitsprobleme lösen, technisch und auch sonst? Ab kurz angesprochen, das ist nicht alles auf meinem Mist gewachsen. Wir haben unsere Initiative von diesen, was immer, 6 Leuten momentan, diesen Titel gegeben, Sovereignty, Security, Safety, Social Product. Security habe ich erwähnt, Sovereignty ist in gewissem Sinne trivial für Sie, wie kann man eigentlich unter Kontrolle halten, was man hier im Land oder in Europa hat. Safety ist klar, wenn Sie an Autos denken, Krankenhäuser und so steckengebliebene Fahrstühle bei Stromausfall oder so was. Und Social Product haben wir es dann genannt, um eine Allerteration hinzukriegen. Also ist es eigentlich für Sie und Ihre Kinder und Enkel gut, wenn man für alle Zeiten die Kontrolle über die IT, die angeblich immer wichtiger wird, sagen manche, die Kontrolle ziehen lässt. Wir haben dann Insider, also alle aus von mir sind Informatiker, nur ich nicht. Und ich habe die dann immer mit Lösungen gelöchert und mit Erklärungen und mit Alternativen. Und deswegen haben wir diesen Vorschlag auch auf 60 Seiten ausgebrätet. Die URL kriegen Sie nachher gleich. Aber das habe ich nicht eben nicht alles alleine gemacht. Es hat eigentlich viel Spaß gemacht mit den Coautoren und Informatik-Profs etc., das gemeinsam zu machen. So, zwei Lösungen, die schwierig sind, die wir aber gerne erwähnen. Das eine ist, es gibt in China, Indien, Russland und Glitzekleinesbisten sogar in den USA Überlegungen, die Wertschöpfungskette komplett national unter Kontrolle zu halten. War minimal in den Medien, also die Regierung Trump hatte oder Teile ein General, glaube ich, das erwogen und nach kurzer Zeit aufgegeben. Eine andere Möglichkeit wäre, man kauft Zulieferer, wie Siemens Mentor gekauft hat, um Halbleiterfabriken zu kontrollieren oder Softbank, Arm. Aber auch das ist aufgrund der weltweiten Verflechtung von Komponenten super schwierig. Das Problem ist eigentlich auch logisch, schwer lösbar. Das ist jetzt ein bisschen auch eine optisch schwer lesbare Grafik. Das Grüne ist in dem Prinzip stillisiert, vereinfachten paar Elemente der Wertschöpfungskette, links angefangen mit Hardware-Beschreibung und Tools, die Sie in der Electronic Design Automation brauchen, bis Sie eben alles haben, bis Ihr Halbleiter gefertigt werden kann. Betriebssysteme, Anwendung usw. Kennen Sie, der Witz eigentlich für mich an der Grafik ist, diese kleinen senkrechten Pfeilchen, die heißen sollen, wenn Sie jetzt irgendwas versuchen, gut zu machen, dann machen Sie das mit Tools, die unter Umständen unterminiert sind und Ihr Ergebnis beeinflussen können. Von daher gibt es jetzt keinen rechten Anfang, dass man sagt, wir machen jetzt einfach einen Tool nach dem anderen hochsicher und passt da. Das wollen wir damit sagen, wir sind uns bewusst, dass es schwierig ist. Ja, das ist im Prinzip schon bei meinem eingangsworten geschilderten grobe Lösung. Es geht eigentlich nur auch gegenüber Lösungen, die man in Indien oder sonst wo sich ausdenkt. Wenn man alle Tools, die man irgendwo verwendet, öffnet, dann kann man versuchen, sie zu sichern und dann kann man auch wissen, was eigentlich drin ist. Leuchtendes Beispiel sozusagen ist die Entwicklung für einen offenen Prozessor namens RISC-5. Hier haben wir ein Muster ähnlich wie bei Linux. Sie haben also Enthusiasten wie an Unis in der Forschung und sie haben die Privatwirtschaft wie NVIDIA und Western Digital, die da auch Geld und Personen reinsteckt, damit man ein gutes Prozessor-Design hat, ein sicheres und auch ein billiges, NVIDIA und Western Digital haben läuft der letzten Monate angekündigt, dass sie diesen offenen Prozessor und ihre Produkte integrieren wollen. Und dieses Muster ist sozusagen spannend, weil sie dann eben ein bisschen Ressourcen kriegen, gute Leute auf alle Teile schauen. FAPS ist sozusagen ein großes Problem, nicht nur, wenn sie ein bisschen paranoid sind und denken, wer weiß, was die bösen Geheimdienste machen, sondern auch als Industrievertreter, wenn sie irgendwelche Geräte ans Internet hängen wollen, dann kaufen sie typischerweise eine Black Box. Selbst wenn sie das bei einem vertrauenswürdigen deutschen Hersteller kaufen, kaufen sie oft eine Black Box, weil der ihnen nicht sagt, wann genau Schlüssel wo gelöscht werden oder verbunkert werden, was es für Testmodi gibt und dergleichen. Offene Tools ist sozusagen nur die logische Referenz, es geht nicht nur um die FAPS, sondern auch um all das, was da innen drin verwendet wird, an Hard and Software. Es gibt einen Vorschlag, man könnte sie inspezierbar machen, einen gewissen Rufo Gereschi, der klang mal so, als hätte er Kontakt mit einer brasilianischen FAP, die das vielleicht sogar ermöglichen würde, eine Regionalisierung, auch im Sinne von Second Source, das nicht alles in Taiwan hergestellt wird oder bei Intel. Auch nicht meine Idee ist, dass eine Community wie eure eine Art Stiftung auf die Beine bringt. Und dann gäbe es die Möglichkeit, dass man sich stärker staatlich engagiert, wie das ja teilweise in Dresden der Fall ist. Also das ist einerseits ein großes interessantes Problem, andererseits haben wir eben die Sorge, wenn man jetzt wirklich sowas wie Souveränität haben will und in 1000 Produkte Chips einbauen will, kann man das eigentlich nicht weglassen, müssen wir überlegen, wie man das macht. Die FAP könnte natürlich dann immer noch Geld verdienen, eben mit dem Verkauf der Produkte, aber es wäre vielleicht besser kontrollierbar. Ah ja, Lösung, Validierung, wenn es nach mir gegangen wäre, stünde dann Verifikation oder formale Verifikationen, Beweise der Korrektheit. Meine informatiker Kollegen sagen, oh, ah, das ist schwieriger, aufwendiger. Es gibt nur wenige Enthusiasten, die sowas machen. Das kostet Millionen. Das ist nicht als Volk, es wird nicht so irrsinnig schockt. Aber es braucht auch entsprechende Ausbildungen, Willen, Prozesse. Es ist angeblich eine mühsame Arbeit. Es gibt es aber auch woanders in der Wirtschaft. Trotzdem finde ich das umgekehrt spannend, wenn man eine bewiesene Komponente hat, wie sie hier, Gernot Heiser sozusagen, für militärische Drohnen implementiert hat. Wenn man sowas zivil verwenden könnte, wäre man dann auf einem ganz anderen Niveau, als wenn man nur gehofft haben muss, dass die tolle Open Source Community schon alle Bugs gefunden haben wird. Das Ganze geht, sind diese SIL4 Sachen bekannt? Blöde Frage. Egal, also der Kern war, einen sicheren Betriebssystem zu haben, der sogar ursprünglich mal in Deutschland entwickelt wurde. Das ist eine Gruppe von ein paar Millionen bewiesen, dass der wohl Prozesse perfekt getrennt halten kann. Und die beiden URL sollen heißen, die drei Hins, also das Bild auf diesen Boing-Hubschrauber, wo keiner drin sitzt, ja, kann man vielleicht erkennen. In unserem White Paper ist eine Andeutung von ihm, wo man Ansätze der formalen Beweise auch auf Prozessoren anwenden könnte. Finde ich natürlich spannend, also ist man sozusagen ex ante, so Attacken wie Meltdown und Spectre ausschließen könnte, indem man eben das entsprechend formalisiert. Und Firma in München, Seg Elements, ist noch ein bisschen dunkel, was die genau machen werden, aber meine Idee ist immer, hey, wenn wir bewiesene Komponenten hätten, eine nach der anderen bewiesen hätten, wäre eigentlich schön, wenn wir das auch im zivilen Bereich verwenden könnten. Ja, komplette Kette sichern ist eigentlich ein schönes Ziel, finden wir auch. Ah ja, genau, hier kommen die 10 bis 20 Jahre, manche sagen zu Recht, also von den Co-Authoren, das ist aber viel Arbeit, das geht nicht so schnell, aber sie sagen auch, ja, als wir mit Linux vor 20 Jahren angefangen haben, haben wir auch nicht gedacht, dass das mal auf den meisten Servern drauf ist und auf den meisten Handys, also über 10, 20 Jahre kann man eigentlich viel erreichen, vor allem, wenn man bald anfängt. Und in dem Sinne wäre dann auch das logische Problem nicht formal beseitigt, aber unsere Vision ist, dass über Jahre und Jahrzehnte in der Welt entsteht, die nicht mehr geprägt ist von Fehlern oder Hintertüren in irgendwelchen Komponenten. Aber man kann ex ante nicht zeigen, weil irgendwo könnte eben noch ein Fehler drin gesteckt haben. Deshalb sagen wir, man sollte sinnvollerweise mal mit kleinen Systemen anfangen, also jetzt nicht das bessere Smartphone, bauen und so wie die Lage in Deutschland ist, sinnvollerweise vielleicht Industriepartner suchen, das machen meine Co-Authoren auch, um sozusagen den Risk Five-Erfolgsfall zu kopieren, wenn sie so wollen. Regulatorischer Schub, ja, das ist natürlich schon einerseits Zukunftsmusik, aber andererseits kann man sich natürlich vorstellen, dass man irgendwann für Infrastrukturen sagt, hier braucht es eigentlich offene Systeme, die vielleicht dann zertifiziert werden, damit der Prozess eben in Gang kommt. Machen habe ich jetzt Fett gesetzt, ja, einer meiner Co-Authoren der Steffen Reitz sagt, ja, die Leute wie ihr, ihr solltet anfangen, er fängt an. Er hat dann mal probiert, kann man eigentlich einen Prozessor bauen, hat sich einen relativ alten, einfachen vorgenommen, den zu kopieren, mit einer öffentlichen, offenen Hardware Description Language und dann auch mit offenen Tools, also diese Tools in diesen bunten Kästen sind, alle offen, um dann jetzt erst mal ein FPGA-Chip damit zu bauen und war ganz froh, dass er diesen Prozessor zum Laufen bekommen hat da drauf und eine AIS-Verschlüsselung hingekriegt hat und sein Ziel ist natürlich möglichst bald nicht natürlich, aber spannend wäre eben, wenn man zeigen kann, man kann mit den offenen Tools, die allmählich entstehen irgendwo auf der Welt, auch ein ASIC bauen, der dann preiswerter und schneller ist. Das hat er bei der Easter-Hack vorgestellt dieses Jahr. Er hätte wahrscheinlich mit diesem Slide aufgehört, macht mal, lass uns versuchen, gemeinsam die ganze Wertschöpfungskette zu sichern. Ich habe das, das passt gut, ich habe das White Paper erwähnt, die URL gibt's gleich, eine Mini-Kurzfassung, wie sagte gestern, einer Management Summary in Datenschutz und Datensicherheit und da gibt es alles, was ich weggelassen habe, hoffentlich detailliert begründet. Wir haben eine URL, das ist momentan noch ein kleines bisschen tot, die leitet sofort auf das KIT um, dort ist jetzt das White Paper, nicht nur dort, aber wir haben noch keine großen Inhalte, aber wir wollen auch auf dieser Website Fortschritte, Ereignisse verwenden. Ja, ich bin vom Institut für Technik-Volgenabschätzung hier in Karlsruhe, das ist da ein Europa-Platz und wenn ihr Fragen habt, Kommentare, Verbesserungsvorschläge, dann lasst sie mich bitte wissen. Danke. Kein Problem, danke schön. Schönen guten Morgen, du hast mittlerweile auch einen Herald. Wir haben noch ein paar Minuten für Fragen. Wenn ihr Fragen habt, winkt doch mal kurz mit der Hand, dann komme ich mit dem Mikro zu euch, damit euch der Hand versteht. Bleib bitte auf der Bühne, sonst erwischen dich die Videomenschen nicht. Danke. Ich hatte eine Frage zu den Hardware-Firmen, die zum Beispiel den RISK 5 unterstützen. Also bei Open Source ist es ja so, dass viele Firmen dann doch wieder mit einer Enterprise-Version von einer Open Source Software, die dann wieder nicht mehr Open Source ist, Geld verdienen. Was ist denn die Motivation der Hardware-Firmen, sich an solchen Sachen zu beteiligen? Wie kriegt man lieber so etwas ins Boot? Also so, wie ich Nvidia verstanden habe, das ist im Web und wir haben uns das angehört. Die suchen ein bewährtes, gutes, auch kostgünstiges Design und bauen das in ihre Produkte ein und vermengen das auch mit proprieteren Chips. Das heißt, in dem Sinne ist es nur eine Teillösung, aber unsere Vision ist zum Beispiel, nicht zum Beispiel, unsere Vision ist, dass diese Chips sind ja auch verfügbar, gibt es auch Kritikaster, die sagen, es ist nicht alles komplett open, aber egal, man kann sie auch so kaufen. Es gibt auch verschiedene Implementationen davon. Unser Ziel ist ein bisschen, das in den Massenmarkt zu suchen, wenn es um kritische Anwendungen geht, wie bei Infrastrukturen oder Autos, wo sie Abe-Millionen haben müssen, an Losgrößen. Und dann, es attraktiv sein kann, offene, also Chips einzubauen, deren Design komplett offen ist, weil sie dann regulierer etc. überzeugen können. Das ist jetzt völlig koscher. Es ist ein komplizierter, langer Weg, aber auf eine Art, es haben ja erst ein paar hundert Leute dazu begonnen, überhaupt den Weg zu gehen. Meitere Fragen. Ich hätte eine kurze, wenn es uns niemand hat. Wir haben ja gesehen mit OpenSSL, einer Open Source Library und Hardplate, dass Open Source nicht automatisch Sicherheit heißt oder bedeutet oder impliziert. Frage an den Volkswirt, wie incentiviert man jetzt Personen, Menschen, Firmen darin Geld in zu investieren, sich den Open Source auch anzusehen und genau diese Fehler und Security-Dinge zu fixen? Wir haben da jetzt keine Silver Bullet oder so. Und die Frage kam auch aus der Industrie. Also hier und da haben wir natürlich Gesprächskontakte zur Industrie und das ist einerseits ein großes Problem. Andererseits muss man versuchen, solche Communities aufzubauen. Ähnlich wie vielleicht die Linnungs-Community eher noch mit mehr Geld, mehr Industrie-Involvement, damit die Industrie ihrerseits auch zeigen kann, dass es sicher und auch große Losgrößen hinkriegt und hinterher kein Ärger bekommt, mit wem auch immer auch keinen schlechten Ruf. Das Problem ist davon nicht weg. Wenn Sie in das White Paper gucken, steht auch, das sind so eine Reihe to do's erwähnt und Forschungsbedarf und so. Und das ist natürlich auch eine große offene Frage und weiter sind wir nicht. Okay, gut. Dann muss ich jetzt leider an dieser Stelle abbrechen. Du bist wahrscheinlich noch ein bisschen hier heute zumindest. Wenn wir Fragen haben, darf er gerne zu dir kommen, oder? Dann sage ich noch einmal vielen herzlichen Dank an Weber. Danke.