 Sehr gut, danke nicht zu dunkel, bitte. Und wie eben schon gesagt, wir hätten gerne nochmal das Cyber, das Publikumsgeflüster mit dem Cyber-Cyber. Dankeschön. Dankeschön. Ja, wir sind jetzt hier bei der 20. Ausgabe in Dezimal. Jubiläum für die, die Dezimalzahlen mögen. Ich habe das ja fast verpinnt. Letztes Mal haben wir, glaube ich, im Oktalsystem noch gezählt, da vor ein paar Mal im Hexadizimalen Raum. Und dann fiel mir das eine Weile nicht auf, bis ich dann dachte, oh, 2.0, das ist doch irgendwie wichtig. Ja, deswegen haben wir auch eine 20 Jahre Rückblendung gleich kurz. Aber nur als Ausnahme, das machen wir jetzt nicht jedes Jahr. Wer ist denn das erste Mal da? Na ja, schön. Okay, was war das, ein Drittel? Ja, 20, 25 Prozent. Und wer war beim ersten Mal da? Also für die, die das jetzt noch im Kopf rechnen, also vor 20 Jahren, das war dann der 16 C3 im Haus am Kölischen Park. Wer war da? Ah doch, 5. 5, schau an. Okay, wer war damals noch nicht geboren? Mehr. Mehr, sehr gut. Wir verjug uns da doch nicht schlecht. Ja, damals im Haus am Kölnischen Park war im insgesamt, auf dem gesamten Kongress knapp halb so viele Leute, wie hier jetzt im Saal sind. Genau. Also 1999. Vor der Jahrtausendwende. Das war die erste Verwendung der Abkürzung 16 C3 in dem Jahr. Und es war das zweite Mal im Haus am Kölnischen Park in Berlin. Sehr schöne Location. Und da haben halb so viele Leute, wie in diesem Saal, passen, reingepasst in das ganze Haus. Und es fühlte sich einigermaßen voll an. Ja, weil man muss halt wissen, das Haus am Kölnischen Park, da war ja im großen Saal, haben so viele Leute reingepasst, wie vorher in das gesamte Eidelstehter Bürgerhaus. Ja, kann das mal schnell jemand hochrechnen, wo wir dann in 20 Jahren sein müssen? Nein, wir sind jetzt post-growth. Wir haben ja festgestellt, mit dem Wachstum ist es schwierig und der Planet ist irgendwann alle und deswegen wachsen wir jetzt lieber nicht weiter. Ja, genau. Und der Kongress war nur drei Tage. Das heißt, man konnte das an einem Stück durchmachen. Wer von euch hat es versucht? Mit vier Tagen? Ja, schämt euch. Die liegen hier, die liegen irgendwo. Genau, ich kann mich noch daran erinnern, als ich das erste Mal auf einem ersten vier Tage Kongressor und gedacht habe, das kann da alles nicht wahr sein. Das ist doch ein Anschlag auf die Gesundheit. Ich glaube, diese Korrelation von, wir sind auf vier Tage gewechselt und es served das massiv gewachsen, die ist nicht kein Zufall. Aber am Ende ist es gut, oder? Vier Tage? Wer findet es ein Verbrechen am Hackertum hier schon wieder entlassen zu werden nach vier Tagen? Also die Hälfte. Wer hätte gerne einen Monat Kongress am Stück? Okay, auch zwei Drittel. Genau, nahtloser Übergang vom Camp zum Kongress. Ich glaube, das ist eine gute Steilvorlage, weil 1999 war ja auch das Jahr, in dem das erste Camp stand fand. Wer war da? Eier doch, auch fünf. Gut, das sind die langjährigen Begleitere. Was war das große Thema? 1999, natürlich das Jahr 2000. Wer bereut noch den Ankauf eines Generators? Nein, nicht bereut. Außer habe ich nicht so viel bezahlt, das war sehr lustig, weil die Firma von denen ich gekauft habe auf Rechnungen war am Januar einfach pleite. Wie konnte das passieren? Nächstes Jahr, wo wir dabei sind, ist wieder ein Schaltjahr. Das heißt, wenn ihr vom 28. auf den 29. auf den ersten März irgendwo übernachtet, nehmt euch eine Rolle Klopapier extra mit. Ja, das Jahr 2000 war ja eines der ersten Themen, wo diese Abhängigkeit von diesen IT so ein bisschen ins öffentliche Bewusstsein gerückt ist durch diese ganze Panik. Und deshalb ist heute nicht so ganz klar, ob das jetzt so Panik war, die irgendwie unberechtigt war oder ob die ganze Panik dafür gesorgt hat, dass genügend Energie und Zeit und Geld reingesteckt wurde, dass es kein Problem gab. Irgendwie ist bis heute so ein bisschen ungeklärt und wir schauen alle mit großer Freude auf das Jahr 2038. Was sich ja langsam näher zu gucken ist, also sozusagen 2038 ist näher dran, als die ersten Security Nightmares von jetzt wechseln, nur so als Referenz. Genau. Ja, und dann saßen wir da alle und haben den Vortrag von Prof. Grundstein mit leichten Gruseln, der uns erklärt hat, wie die Welt untergehen wird. Na ja, those were the days. Gut, das erschreckende ist, dass man die Jahre 1999 bis 2019 in einem einzigen Bild zusammenfassen kann, in einem Screenshot. Also bei der Vorbereitung haben wir auch so ein bisschen davon angefressen, dass wir sozusagen in diesen 20 Jahren keinen wirklichen Fortschritt an dieser Front feststellen konnten. Was wir dieses Jahr massiv hatten, sind ja so Ransomware, Ransom-Attacken, die zum allergrößten Teil immer noch über Office Makros als Infektionsvektor funktionieren. Und das war 1999 nicht anders. Es war genau dasselbe. Zwischendurch war es doch mal ein bisschen weniger, aber inzwischen sind wir wieder genau da. Und so langsam fragt man sich, so ist diese Menschheit irgendwie langfähig, also wie viel da draußen von der Wirtschaft würde brechen, wenn man jetzt einfach sagt, okay, liebe Microsoft, so zum Wohle der Menschheit, ihr schaltet jetzt einfach mal Office Makros einfach komplett ab, so, aus. Und das Problem dabei ist halt, wahrscheinlich würde wirklich ganz schön viel Bullshit-Wirtschaft brechen. So, diese ganzen Reporting-Sheets und diese 400-Megabyte Excel-Dokumente, mit denen so Großkonzerne betrieben werden, ist kein Schatz. Ja, also so lebende Excel-Dokumente, die halt sich verändern, wenn man irgendwo was reinschreibt, dann ändern sich 15 Sheets weiter, Dinge, und die muss man später auch noch ausfüllen, ist tatsächlich die Realität da draußen, ist also nicht irgendwie selten oder so. Aber es sind alles Sachen, wo man sich so denkt, naja, wenn die weg wären, würde jetzt, glaube ich, auch nicht allzu viele Leute starben, glaube ich. Obwohl, keine Ahnung, in Krankenhäusern gibt es wahrscheinlich auch Office Makros. Also die starben da doch nicht, sondern erst später, wenn die Radsom werden da war. Ja, da darf man nicht so viele Scherze machen. Doch, immerhin. Genau, also zum Regelprogramm, die vor zehn Jahren hatten wir Cloudy Computing angesagt und waren der Meinung, dass MyWare und Cloud konvegiert. Für wen von euch ist denn das eingetroffen? Eier acht. Die Ansage war, glaube ich, dass sehr viel Mal wer in die Cloud reinwandert und die Cloud in ihrer eben vielleicht nicht Sicherheit dann zum Problem wird. Tatsächlich scheinen wir etwas anderes zu beobachten, dass es so ein bisschen so aussieht, als wenn nur die Cloud noch das ist, was verteidigt werden kann. Oder zumindest viele versuchen, diesen Eindruck zu erwecken? Ja. Dafür sind ja die ganzen Antiviren, Snake-Oils in die Cloud gewandert. Die verkaufen jetzt ja alle Cloud-Antivirus. Alle verklauten, verkaufen Cloud, alles Cloud. Ist eh klar. Stimmt, hat aber weise, Ruth gezahlt mir damals angesagt. Interessanterweise hat mir da eine Weile drüber diskutiert, wie wir dazu gekommen sind, was daraus geworden ist. Und haben festgestellt, dass klar gibt es, also es gibt halt so Toolkits, mit denen man halt irgendwie so Ausbruch aus so Hypervisor und so machen kann, die aber in der freien Wildbahn eigentlich relativ selten verwendet werden, weil die Notwendigkeit für so eine unglaublich elegante, fiese Attacke gar nicht besteht, weil der Kram, der in den Virtual Machines läuft, so schlecht ist, dass es gar nicht lohnt, da von hinten durch die Brust ins Auge irgendwie über den Hypervisor zu kommen, sondern man geht einfach direkt durch die Vordertür rein. So kann man sich irren, ne? Also optimistische Annahmen über Softwarequalität haben wir, glaube ich, gelernt. Geschichten der Security-Nightmares haben sich nie bewahrheitet. Das stimmt. Die Frage ist, hätten wir das jetzt, wenn es Office-Macros nicht mehr gäbe? Das hier war die Idee, dass man, wenn man so vor seiner Suchmaschine der Wahl sitzt und Fragen stellt und Fragen stellt, dann ist es ja vor allen Dingen auch immer eine, jede Frage an Google ist eine Antwort an Google, war der schöne Spruch. Und wie verschleiert man sich denn da? Und ich muss aber sagen, ich habe keinen Plug-in gesehen, dass einfach zwischendurch immer mal nach Britney Spears sucht oder was halt gerade so ansteht, damit man harmloser aussieht. Ich glaube, wenn du heute nach Britney Spears suchst, würde dir wahrscheinlich irgendwie zarafetisch unterstellt oder so. Es war halt vor zehn Jahren die Ansage. Genau. Street View war ein Thema vor zehn Jahren. Das hat Deutschland ja so hart verbrannt, dass Google jetzt lieber gar nichts mehr veröffentlicht und alle anderen da auch eher nicht mitgemacht haben. Was ich den Eindruck habe, aber das vielleicht nur meine Filterblase, was weiß ich schon, dass das jetzt alle ein bisschen schade finden, dass es alles so vor sich hingammelt, diese Street View Bilder und nichts geupdatet wird. Also ich finde das ja eigentlich ganz interessant so. Man ist sozusagen so lebendiger Archäologie. Man kann halt irgendwie sehen, wie es vor ein paar Jahren da aussah und was sich ja so inzwischen verändert hat. Das Problem ist halt, die Street View war halt damals so state-of-the-art und heutzutage ist es halt so, wir haben jetzt irgendwie, wir haben in der Vorbereitung mal geguckt, so aktuelle Luftbilder in so bekannten Kartenplattformen haben so zehn Zentimeter Auflösung. Das heißt also, man ist noch nicht ganz beim Nummernschilder lesen, aber das ist auch nicht mehr so weit weg davon. Und es ist doch das eigentlich Faszinierende, weil ich mal, ich glaube, das war dieses Jahr, hatten wir zwischendurch die Diskussion. Wir wussten, dass eigentlich mit Luftbildern, die werden ständig immer besser. Ja, ich glaube, Bing hatte damit mal angefangen, die haben das dann irgendwie, wie haben die das genannt, Bird View oder sowas. Und Apple nennt das irgendwie Flyover oder so. Und die haben wirklich gute Daten. Und da ist vor allen Dingen gar nichts verpixelt. Jedenfalls habe ich nichts gefunden. Und dieser Aufschrei, der damals durch Deutschland lief, irgendwie, ich muss mal ein Haus verpixeln, das scheint sich über die Luftbilder, ist dann aber irgendwas. Ich glaube, es hat zwei Gründe. Der eine Grund ist, du siehst in Luftbildern von oben primär. Also klar, hast du diesen 3D-View, kannst auch so ein bisschen von der Seite sehen, aber du kannst noch nicht so richtig Schrift lesen, also auch keine Nummernschilder, und du kannst noch nicht so richtig Gesichter erkennen, was beides in Street Viewer ging. Und jetzt diese da verbauen gerade mit zum Gesichter verpixeln und Nummernschilder wegpixeln. Die brauchten ja auch erst mal ein bisschen, bis sie dann so weit waren, sondern gab es natürlich dieses ganze, wie verpixeln, mal ganze Laden, Fronten und Häuser und so. Aber ich glaube, dass die Entwicklung wird da jetzt relativ schnell gehen, wenn 5G ausgerollt. Also es gibt so diverse Projekte, die sagen, okay, 5G, viel Bandbreite, da können wir doch eigentlich so 360°-Rundumkameras einfach mal so auf Taxis oder Müllautos oder so kleben. Und dann haben wir die ganze Zeit Live-Updates von dem Street Viewer, weil die werden halt die ganze Zeit über 5G rausgestreamt, dann zusammengestitched und dann an die Stelle geklebt. Die brauchen natürlich dann auch Algorithmen zum Verpixeln von Nummernschildern und Gesichtern, weil sonst Datenschutz. Und das eröffnet aber interessante Perspektiven, weil dann kann man plötzlich mit diesem, wenn man seinen Laden nicht in dem Live-Street Viewer haben will, muss man eigentlich nur die Schriftart für Nummernschilder nehmen und einen Ladenbeschriftung damit machen, dann wird sie automatisch weggepixelt. Genau, das geht dann hin bis zur Nummernschild-Tapete, die man sich dann von außen an sein Haus klebt, damit es einfach nicht da ist. Also klar, das ist halt noch nicht vorbei, das hat jetzt nur geschlafen. Also dieses Live-Street-View-Ding wird halt kommen, das ist relativ unabsehbar. Ja, und sich über die Luftbilder so ein bisschen angeschlichen würde ich sagen. Genau, die Flash-Mop-Vermieter sind jetzt Bot-Hörder. Die Bot-Netz-Bekämpfungs-Bundesbetreuer, das war lustig, das war ja nur eine Ankündigung damals. Das wurde dann irgendwie botfrei.de oder so gestartet, ein Jahr später. Und der Grund war ja, das war damals das Jahr von dem Konficker-Virus. Und es hieß, 5% der Unternehmens-PC sind verseucht und Deutschland war auf dem Platz 2 weltweit der Länder mit den meisten Bot-Netz-Infektionen. So, und dann wurde da Dinge getan und ein paar Jahre später war Deutschland dann aus den Top 10 raus und ist jetzt auch grad nicht drin. Und dann wurde das so ein bisschen runtergefahren. Interessant ist, dass sich Japan letztes Jahr, also hat sich die Regierung erlaubt, nach IOTs zu scannen und wohl dieses Jahr damit angefangen. Ich habe jetzt noch nichts über Ergebnisse gelesen. Ich gehe mal an, dass die auch versuchen, dann Leute, die IOT mit schlechten Passwörtern zu kundaktieren und so, wie das damals hier gelaufen ist mit verseuchten Systemen. Vielleicht haben wir da nächstes Jahr ein Update. Hat man damals schon Umwelt- versus Datenschutz? Damals ging es um intelligente Stromzieher. Mittlerweile haben wir das Phänomen, das etliche aus der starken Klima- und Umwelt bewegten Ecke so ein bisschen der Meinung sind, dass wenn wir damit den Planeten retten, dann ist auch da ein Überwachungsstaat dafür bauen, gerechtsfertigt, um halt irgendwie die Leute dazu zu bringen, sich halt umwelt- und klimagerecht zu verhalten. Dieser Konflikt wird halt nicht weggehen. Also der wird halt auch stärker werden und der wird halt die gesellschaftlichen Bewegungen, die sich halt für die verschiedenen Ziele einsetzen, dazu treiben, dass man sich da auch intensiver drüber unterhalten muss. Also es ist halt so ein Ding, was wir gerade sehen, auch im politischen Spektrum. Bei den Grünen gibt es da durchaus Leute, die irgendwie eigentlich nicht so richtig finden, dass Datenschutz irgendwie ein gleichwertiges Ziel ist. Und da durchaus eher geneigt sind zu sagen, so ein bisschen Überwachung, wenn es den Planeten rettet, ist ja schon eigentlich ganz okay. Dieses Problem werden wir in den nächsten Jahren auf jeden Fall auch noch mal häufiger diskutieren müssen und da auch sinnvolle Wege des Diskroses drüber finden, auch mal außerhalb des Verhältnisses Staatburger. Genau, aber mein intelligenter Stromzähler tut immer noch nichts, was wirklich interessant ist. Wir hatten Malwe mit Update-Zyklen von einer Woche. Inzwischen sind wir bei einer Stunde oder so angelangt. Das ist, glaube ich, ein anständiger Fortschritt. Ja, und dann haben wir gedacht, die elektronische Gesundheitskarte ist vielleicht tot. Wir können ja einfach den Vortrag hier vom Kongress euch anschauen und euch dann selber ein Urteil bilden. Ja, die Zeit läuft. Das Internet-Normalitäts-Update ganz schnell so ein paar Zahlen in die Runde geworfen. Es gab diese Microsoft-RDP-Volnerabilität, die Blue Keep genannt worden ist. Als das veröffentlicht wurde, gab es mal eine knappe Million Systeme, direkt erreichbar und verwundbar. Das ist so die Größenordnung, um die es im Moment geht, obwohl sich auch noch ganz viel Malwe fröhlich verbreitet, auch wenn man direkt nur ein paar Zehntausend Systeme sehen kann. Dann gab es größere Zahlen, natürlich, was so verdient wurde in der ransomware-Branche. Hier sind Zahlen, das sind, glaube ich, Eigenangaben von den Leuten, die diese Malwe hier gemacht haben. Das ist deswegen ganz interessant, weil die lief halt nur so ungefähr 16 Monate und die haben gesagt, sie hätten da 160 Millionen US-Dollar verdient. Spannend ist, dass auf der anderen Seite die Betroffenen sagen, sie hätten, was war das, 2 Milliarden Schaden und die Zahlen passen natürlich immer alle links und rechts, überhaupt gar nicht zueinander und dann ist eben die Frage, wenn die sagen, wir haben das verdient, ist das echt Profit nach allen Kosten? Macht ihr dann eine ordentliche Buchprüfung? Das muss auditiert werden, ja, eigentlich, solche Zahlen. Sollte man meinen, oder haben die aufgerundet oder abgerundet und ist natürlich auch klar, dass die Unternehmen sagen, ach, das war so furchtbar teuer, die haben dann noch was als ich irgendwas neu gemacht bei der Gelegenheit und das dann damit reingezählt, aber, na ja, irgendwo in der Größenordnung 2 Milliarden Schaden, 160 Millionen Dollar verdient, wie war das bei euch so mit der ransomware? Wer kennt denn da einen Betroffenen über zwei Ecken? Ach, doch so wenig, das sind ja höchstens 100. Und wer von euch kennt Unternehmen, die von ransomware oder einer ransomattacke betroffen waren? Deutlich mehr. Und wer von euch kennt eine Person oder ein Unternehmen, die gezahlt hat? Ach, auch schon nicht so wenig. Na ja, 15 oder so? Ja, okay. Und wie viele Sterne würdet ihr dem Kunden-Service geben? Fünf? Nee, ich meine, ich glaube, die Branche muss ja immer erstmal erklären, was ein Bitcoin ist und so und wie man an einen ran kommt und all diese Dinge, die haben ja viel zu tun. Also es ist ja deswegen schon die Frage nach dem Kunden-Service. Sind Ihnen die Daten hinterher zurückgekommen? Genau, bei wem sind die Daten zurückgekommen? Also wer kennt jemand, bei dem die Daten zurückgekommen sind oder ein Unternehmen? Ach, doch. Der Kunden-Support ist ausbaufähig, ihr seht es schon. Es waren deutlich weniger als Betroffene. Das gab ja so Zahlen, habe ich das jetzt hier genau. Was ich gefunden hatte, also was mir entgegensprang war, eine Behörde, ich glaube in Florida, die 600.000 gezahlt hat an ransom. Es gab andere, die haben 400.000 gezahlt und ähnliches. Hat jemand von einer höheren Summe gehört? Ich. Ist die offiziell? Nee, aber also Menschen, die mit dem Aufräumen nach solchen Dingen beschäftigt sind berichtet mir unter anderem, dass die zumindest eine Gruppe sich einfach am Umsatz des betroffenen Unternehmens orientiert. Also die nehmen halt einfach irgendwas wie ein bis 2% aus Umsatzes, den sie aus irgendeinem Unternehmensauskunftsregister rausziehen und nehmen die so pauschale als Rensumforderung. Und, na ja, muss man sich mal kurz überlegen, wenn die Produktion stillsteht, so, dann ist so ein 3-Tage-Produktionsausfall und da kann man dann schon mal schnell ins Rechnung kommen als Unternehmen. Also ist halt durchaus so ein... Also letzten Endes ist diese ganze Rensumgeschichte gerade so ein bisschen so der Punkt, wo viele von den Vorhersagen, die wir über die letzten Jahre gemacht haben, halt einfach geballt eintreffen. Weil wir jetzt die Situation haben, wo Post... Post, die Post war die auch betroffen? Post für euch. Oh, eine Postkarte. Danke schön. Eine sehr schöne Postkarte. Time travel is not a crime. Na, die erzählen wir nachher. Diese Rensum-Währ, beziehungsweise Rensum-Attacken, weil nicht alles davon ist Rensum-Währ. Viele davon sind auch tatsächlich gezielter Angriffe auf Unternehmensnetzwerke, wo man sich dann einnächstet, irgendwie einmal querverbreitet, sich die schwächsten Punkte im Unternehmen sucht und dann genauer da zuschlägt. Also zum Beispiel bei einem Unternehmen, was halt viele Sachen verschickt. Macht man halt die Auslieferung platt, damit halt keine Sachen rausgeschickt werden können oder macht halt die Finanzabteilung platt oder sowas auch immer, gerade wo es halt weh tut so. Und was da jetzt passiert ist, dass diese ganze, sagen wir mal, der Schuldenberg an unaufgeräumten technologischen Problemen, den so Unternehmen vor sich her schippen, der kommt jetzt halt zurück. Und wir haben uns ja mal gefragt, so warum haben jetzt in den letzten Monaten so viele von diesen Rensum-Vorfällen so Gemeinden und Krankenhäuser und Universitäten und so betroffen? Die Antwort ist ganz einfach. Da ist es am schlimmsten. Also da sind die ältesten IT-Systeme unterwegs mit irgendwie den wenigsten Aussichten auf Besserung. Und ja, das führt halt dazu, dass die dann natürlich irgendwie die schwächsten Mitglieder der Herde sind, die als Erste betroffen werden. Die können natürlich auch weniger zahlen, klar, so weil müssen sie ja irgendwie haushalterisch verbuchen so. Aber letzten Endes sind die dann halt auch im Zweifel motiviert halt irgendwie zu zahlen. Das heißt, diese ganze Rensum-Angriffe erzeugt jetzt tatsächlich sowas Ähnliches, wie eine intrinsische Motivation, sich mal um IT-Security zu kümmern. So, also insofern hat halt möglicherweise auch positive Auswirkungen in der Gesamtheit natürlich jetzt nicht für das einzelne Unternehmen oder die einzelne Behörde. Genau. Die Rensum-Vor-Infektionen stiegen um über 350 Prozent. Die Backbauen, die Prämien steigen auch. Ich glaube, Apple ist jetzt auch nochmal eingestiegen mit 1,5 Mio für iOS Zero Click. Dann hatten wir in diesem Jahr 19 Zero Days, die es in Umlauf geschafft haben. Das waren 2018-12. Deswegen hat sich für einige von euch vielleicht dieses Jahr ein bisschen Geschäftiger angefühlt. Aber vielleicht nicht so sehr wie 2017. Da waren es nämlich 22. Der durchschnittliche Cyber-Schaden in Deutschland liegt bei 2 Mio. Euro. Und jede achte deutsche Firma hatte einen Cyber-Angriff. Das sind halt so Zahlen, wo man sagen muss, so... Jede achte. Die anderen lesen keine E-Mail. Oder genau, die Zahlen sind komplett kaga. So eine Zahl, die halt immer von diesen Branchenverbänden kommen, sind also insbesondere diese letzte, so jede achte deutsche Firma oder der Gesamtschaden von Cyber-Vorfällen in Deutschland sind keine Ahnung, eine 2-stellige Milliardenzahl. Dann muss man sich halt schon immer fragen, wie rechnen die denn eigentlich? Und haben Sie die Makros eingeschaltet beim Rechnen oder nicht? Ja. Das ist dann eher spannender zu gucken, was steht da sonst noch drin. Und spannend war eben dieses, dass die Rufe in der Industrie wohl größer werden, dass dann mal jemand, nämlich der Staat, regulierend eingreift. Und wir haben uns überlegt, dass es vielleicht dann auch einfach die Verzweiflung der Sicherheitsbeauftragten in den Firmen, die einfach merken, sie kriegen das Geld nicht vom Vorstand oder von wem auch immer. Und schauen so neidisch in Branchen, die reguliert sind, weil dort mehr verbaut werden darf, muss, kann. Und hoffen dann auf mehr Regulation. Wir werden sehen. Gut, die Jahresrückschau, da müssen wir jetzt ein bisschen durchstressend, glaube ich. Ein bisschen. Kammergericht Berlin und vieles mehr. Die mussten also krass die Faxe entstauben. Ich glaube, die mussten die nicht entstauben. Die sind da super gewartet. Also ich meine, wenn du so die Justiz kennst, wenn da ein Ding wirklich gut gewartet und entstaubt ist, dann ist das ein Faxgerät. Ja, aber haben die dann die Leitungen verzehnfacht? Oder die Fax aus dem Keller geholt? Ich glaube, die haben halt einfach den, nicht einen Stapelpapier daneben, sondern vielleicht so eine Palettepapier daneben und dann so ein Hivide daneben gestellt, der mal Papier nachschiebt. Irgendwas, sowas, ja. Es gibt ja so einen blöden Spruch von den Anwälten, dass erst das elektronische Übermitteln von Dokumenten es möglich gemacht hat, dass diese Schriftsetze so eskalierend in ihrem Umfang, weil vorher gab es halt immer das Problem, dass man hier rechtzeitig fristgerecht durchkriegen musste und dann gab es so natürliche Limits in, ich will 100 Seiten, wenn man da so eine halbe Stunde durchkriegt. Und nach dem Motto, wenn ich mich kurz fasse, kann ich später abgeben. Genau. Ja, dieses I-Voting geht halt nicht so richtig weg. Wir haben halt irgendwie in der Schweiz den Versuch gehabt, der dann klärglich gescheitert ist, auch dank der aktiven Arbeit der Schweizer CCC-Mitglieder. Applaus. Applaus. Das ist immer, die spanische Firma Skytle hat dann, das sind halt so Zombies, also die gehen halt nicht weg. Die machen halt dieses Web-Sover-basierte I-Voting und haben dann auch bei der SPD die Mitgliederbefragung gemacht, wo es halt auch von unserer Seite natürlich intensive Kritik dran gab. Und die wurde dann von der SPD immer so abgebügelt, ja, das ist ja keine richtige Wahl, sondern eine Befragung der Mitglieder, die der Parteitag dann nochmal umsetzt oder so ähnlich. Das wird halt auch nicht weggehen, also die werden dann weiter durch die Gegend zombien und da muss man ein gutes Auge drauf haben, weil so langsam stellt sich denn auch einer der weiteren Vorhersagen raus, dass die Stimmte, nämlich wenn man digitale Wahlen hat, oder elektronische Wahlen hat, die ist der Nachweis, dass nicht gefälscht wurde, quasi nicht möglich. Und genau das haben wir gerade in Bolivien gesehen. So ein Bolivien... Okay, Bolivien. Ist der Präsident gestürzt, weil die halt dann eine Wahl durchgeführt haben unter anderem mit digitalen Systemen. Und dann hat irgendjemand Wahlfälschungen gesagt. Und dann konnte niemand sagen, nee, da war keine Wahlfälschung. Ging halt einfach nicht so. Es gab dann so ein Audit, dieses Audit hat festgestellt, dieses System ist so kaputt wie alle anderen Digitalwahlsysteme auch. Wir wissen jetzt, dass da gefälscht wurde. Das heißt, digitale Wahlen einsetzen bedeutet, in dem Moment, wo irgendjemand hinterher sagt, Wahlfälschung hat man eigentlich schon verloren. Ja. Und dann diese faszinierende Thematik mit den Ringkameras. Und natürlich einmal das Thema der Passwortqualitäten und Software-Vulnerabilität, so in ähnlichen Geschichten, aber noch viel spannender, was in den USA passiert, dass da es so eine unheilige Allianz gibt zwischen den lokalen Polizeidienststellen und dem Hersteller, wenn ich das richtig verstanden habe. Und dann, man sozusagen dazu gebracht wird, der Polizeizugriff auf die Kameras zu geben. Wobei man da auch sagen muss, was da absehbar ist, ist, dass es zu so einem sozialen Druck wird. Also in den USA gibt es ja diese NATO Neighborhood Associations. Das heißt, in diesen vorstehenden, in den etwas besser situierten, gibt es quasi Vorschriften darüber, wie man sein Haus, sein Garten und so weiter zu gestalten hat, damit der Wert der umliegenden Grundstücke nicht sinkt. Also man darf sein Grundstück nicht irgendwie anders machen oder so ein bisschen den Rasenlänger wachsen lassen, weil dann damit beeinflusst man den Wert der nebenliegenden Häuser und das geht halt nicht. Und da ist halt vorkommen absehbar, dass es relativ bald so weit sein wird, dass diese Neighborhood Associations sagen, okay, übrigens, wir sind eine Ring Neighborhood, irgendwie haben alle diese Kameras an der Tür und die gehen auf unser örtliches Polizeidepartement. Und dann kann man sich die Black Mirror-Szenarien, die daraus folgen, halt natürlich gut ausmalen. So von da rennt jemand weg und die Kameras in der Neighborhood gucken halt, ob das Gesicht von dem irgendwo gesehen wird also diese Kameras, die direkt in die Cloud streamen, ist ein Phänomen, was wir echt im Auge behalten müssen. Also wir haben immer davor gewarnt, schon lange, dass es passieren wird, jetzt passiert es tatsächlich. Also wir haben zum Beispiel im asiatischen Raum, gibt es Unternehmen, die machen das so, die verkaufen eine Kamera, die Kameras streamen in die Cloud, die schneidet aus allen Videobildern alles raus, was wegen Gesicht aussieht, schickt es in die Cloud, wo die Gesichtserkennung läuft und wenn die dann irgendjemand erkennen und dann sagen, der ist schon mal als Ladengieb verdächtigt worden oder so, kriegt der Shopbesitzer auf sein Telefon, eine Message, da steht hier, guten Tag, diese Person, die wir gerade in ihrem Videostring gesehen haben, ist woanders schon mal als Ladengieb verdächtigt worden, behalten sie den beim Auge oder was auch immer. Und als Service, also gegen Geld. Und natürlich hat der Start dann wiederum auch Zugruf auf diese Daten und kann noch selber Daten in die Gesichtserkennung reinfinden, dass die nur 80% korrekt, das ist vollkommen egal, solange das System halt so aussieht, als wenn es einen Mehrwert bietet. Und diese Form von Integration, von staatlicher Überwachung und privater Überwachung mit den Konzernen, die die Technologie bauen, die sich zu einem Konglomerat zusammenfügen, die werden wir immer mehr sehen. Da müssen wir uns auch daran gewöhnen, mental, dass dieses Start versus Industriedenken einfach nicht mehr funktioniert. Es wird zu einem Konglomerat werden. Genau, und dann wird es uns vielleicht nicht retten, wenn die Sicherheit so schlecht ist, dass man dafür sorgen kann, dass es in jedem zweiten Bild Dumbleduck auftaucht. Gucken wir mal. Datenreichtum. Ja, jede Menge Datenreichtum in diesem Jahr ist eh klar. Bemerkenswert, vielleicht zwei Dinge. Nämlich einmal, dass sie 30 Terabyte Daten bei den Top 3 Antivirusherstellern rausgetragen haben. Was ja schon mal wirklich anständig ist. Ob die ihre eigenen Produkte nicht verwendet haben? Vielleicht war die Lizenz abgelaufen. Ja, das könnte sein. Und das andere, was ich einigermaßen irre fand, war, dass da ein paar Sicherheitsforscher einen Datentopf gefunden haben, der nicht ordentlich gesichert war. Da waren also Daten drin von 80 Millionen US-Haushalten so richtig anständig mit Geburtsdatum und Adresse und GPS-Daten und Einkommen und so Zeug. Und das lag wohl in einer Microsoft-Cloud-Geschichte rum. Und sie konnten anhand der Daten nicht feststellen, wem sie gehören. Es war einfach so, hm, das ist irgendwie Datenhalt. Große Datei. Wir haben das Format auch auf ihrer Webseite veröffentlicht und so mit Schwerzungen und dann aufgerufen, ob ihnen nicht jemand helfen kann, das zu finden. Und das Einzige, was passiert ist, ist, dass Microsoft dann schnell den Server abgeschaltet und wohl auch demjenigen Bescheid gesagt, dem sie für diesen Server die Rechnungen schicken, aber natürlich nicht gesagt, wer es war. So, das heißt, die Frage ist noch offen. Und das wird häufiger passieren. Ja, also davon können wir mal ausgehen, dass das häufiger passiert, dass irgendwie Daten auftauchen und dann alle sagen, ob das könnte in einer Bank gehören, könnte nicht, könnte in einem Steuererberatungsunternehmen gehören, könnte nicht. Ja, also vielleicht wird das auch ein neuer Klassiker. Ja, das so, ich meine, wie kommt so was zustande? Da braucht irgendwie jemand noch ein bisschen Back-up-Space und die IT hat gesagt, das neue NAS wird erst fertig in vier Wochen und dann sagen die, ja, bei unserer Deadline ist nächste Woche, dann haben wir uns irgendwo einen Bucket, dann laden wir das dahin. Krypto brauchen wir nicht, weil machen wir nur zwei Tage und Security brauchen wir auch nicht, weil dann dauert es ja länger und wir löschen das ja dann ganz bestimmt schnell und Freitagabend sagt dann noch einer, hast du die Daten schon gelöscht? Nee, mache ich gleich. Dann kippt ihm der Becher auf die Tastatur, dann ist er mit was anderem beschäftigt, dann macht er Urlaub und ist weg und die Daten bleiben da liegen. So, und je nachdem was das dann für eine Kreditkarte ist, merkt es irgendwann jemand oder auch nicht und so wird noch so viel wegkommen und so oft wird man nicht wissen wer es war. Ja, eines der Dinge, die dieses Jahr wieder auch ihre zombiehafte Charakteristik offenbart haben, ist die Diskussion hinter Türen in Verschlüsselung. Der momentane Spin, der da passiert, läuft unter dem Stichwort verantwortungsvolle Verschlüsselung oder auch Responsible Encryption. Und hier geht halt so, dass die Behörden sagen so, naja, gut, okay, wir wollen jetzt nicht, dass die Verschlüsselung schwächer wird, weil die Chinesen und die Russen. Aber wir möchten gerne, dass Firmen die Verschlüsselung verwenden, also zum Beispiel die großen Tech-Konzerte, die so bauen, dass man im Zweifel noch einen zusätzlichen Schlüssel hinzufügen kann, der dann halt für die Strafefolger ein Dienst ist und der individuell jeweils dazugefügt wird, wenn halt die Notwendigkeit besteht und am besten gar nicht irgendwie extra speziell bauen, sondern einfach sagen, okay, wenn du halt irgendwie ein Google-Account hast, der sowieso verschlüsselt ist, dann tue halt noch einen weiteren Schlüssel dazu und dann kriegt die Behörde halt ein Google-Account, wo die Daten reingespiegelt werden. So Sachen also. In dieser Diskussion wird in den USA ziemlich radikal geführt, vonseiten der Staatsvertreter da, also dann so richtig die Vertreter von den Tech-Firmen, denen so richtig die Pistole auf die Brust setzen, sagen so, ihr kriegt auch sonst alles hin, ihr müsst euch jetzt was ausdenken, macht mal, dass das so ist, wir wollen es ganz unbedingt, nein, wir wollen keine anderen, wollen nichts hören, dass es irgendwie schwierig ist oder halt irgendwie Sicherheitsprobleme verursacht, löst das Problem. Genau, und zwar mit Zeitansagen. Wir hatten dann eine Anhörung, Rechtsausschuss vom USA Naht, es wurden gegrillt, die Firmen Apple und Facebook und ich weiß nicht, ob noch jemand anders da war und die Ansage war relativ klar, also was heißt relativ klar, die war so richtig glasklar, wenn ihr das bis heute, nächstes Jahr, also same time next year, nicht euch was überlegt habt, dann regeln wir euch. So, ja, also wir sind ja dann wieder da, same time next year und dann sehen wir ja mal, was dabei rausgekommen ist. Also die, die Diskussion läuft in Deutschland auch, also es ist ein international koordinierter Push zwischen den Strafverfolgern und Geheimdiensten, in Deutschland wird die, versucht die Umsetzung halt unter Annahme über das Telemedia-Gesetz zu machen, das heißt also die, wie die in jeweils die nationalstaatliche Ausprägung aussieht, wie die Firmen halt irgendwie gezwungen werden sollen, da Hintertüren, Hintertür-Optionen einzubauen, ist halt verschieden, also zum Beispiel keine Ahnung, wenn man halt ein Verschluss hinten chat hat, dann soll halt vorgesehen werden, dass der einen zusätzlicher Teilnehmer zu dieser Kommunikation verdeckt hinzugefügt wird und dessen Schlüssel mit in die Kommunikation kommt, sodass es halt dann eine Kopie des Chatverlaufs bei diesem Teilnehmer, der dann halt gar nicht zur Strafverfolgung was gibt. Und die, die Problemlage, die sich da stellt, ist natürlich, dass es über kurzerlang dazu führen wird, dass verschlüsselte Kommunikation von kommerziellen Unternehmen, die diesen rechtlichen Regularien unterliegen, nicht mehr als wirklich Ende zu Ende sicher angesehen werden kann. Also wenn man halt irgendwie sich diesen Regularien unterwirft, wie wenn man halt zum Beispiel Apple oder Google oder was so aber ist und halt unter diese Grenze von der Million User, die da diskutiert wird, also da drüber fällt, dann ist es diesen Unternehmen nicht mehr rechtlich möglich, vertrauensvolle Kommunikation zu bauen. Das heißt also das einzige was da noch geht, ist Freistoffe benutzen, eigene Dienste benutzen, eigene Systeme benutzen oder halt dann zwei für die von Unternehmen, die noch so klein sind, dass sie halt unter die Schwelle fallen. So, das heißt, dieser Zustand, den wir momentan haben, dass wir obiquitere Krypto überall drinnen haben, der ist dann zwar besser geworden, dank Snowden so, aber die geben sich halt nicht damit zufrieden auf der Startseite, die wollen die Kommunikation mitlesen können und das ihr momentaner Push ist gerade diese Hintertür-Geschichte als verantwortungsvolle Verschlüsselung. Genau. Ganz schnell noch das Bemerkenswerte. Wir müssen furchtbar auf die Tour drücken eigentlich. Man kann doch mehr lernen auf eine Art aus den Reports von den Reaches, die es jetzt von einigen gegeben hat, als gefühlt in den Vorjahren. Von daher, wenn ihr euch das interessiert, dann googelt das immer mal mit den entsprechenden Namen, Equifax Data Breach Report und solche sicheren Sachen. Das ist schon zum Teil sehr spannend, weil sie auch Zeitlinien machen. Andere Firmen haben ja gemerkt, dass es gut ist fürs Marketing und fürs Mitleid bei den Kunden und Zulieferern, wenn sie offen mit der Situation umgehen und erzählen auch ein bisschen, wie sie sich dann wieder aufgestellt haben, nachdem das Cyber einmal durchs Netzwerk gefegt ist und so, das kann schon sehr spannend sein. Es gab diese superkrasse IOS-Sicherheitslücke, also eigentlich nicht IOS, oder? Das ist der Bootloader. Checkmate, den Apple wohl nicht patchen wird können und der erst gefixte ist ab iPhone 11 oder sowas. Und das ist dann natürlich schon ziemlich bitter. Aber auch das wird nicht das letzte Mal sein, dass sowas passiert. Das hält alles immer nur eine gewisse Weile. Die nächste Diskussion, die wir am Start hatten, zum Teil auch sehr, keine Ahnung, schon fast emotional geführt, war dieses Thema DNS über HTTPS. Aus meiner Sicht ist es so ein bisschen wie dieses Thema TLS for the secrecy. Krypto wird besser, oder überhaupt die Kommunikation oder so von Daten wird besser, Sachen werden verschlüsselt, dann gibt es erstmal ganz viele, die sagen ach doof, dann muss ich ja irgendwas Neues kaufen, um mit lauschen zu können. Und ich brauche das doch für die Security. Und dann gibt es natürlich die, die das doof finden, weil sie das brauchen, weil sie die Daten meinen und verkaufen, vielleicht für Werbung und andere Sachen. Das ist gerade bei DNS, bei den Internetprovidern in den USA wohl sehr weit verbreitet. In Deutschland darf man das nicht. Also die Telcos dürfen es nicht, sagen wir es so. Und ja, aber natürlich ist das für Firmen, ist das mehr nur ein Ergernis. Die können sich darauf einrichten und dann Dinge regeln über Policy, Softwareverteilung, GPOs und anderes. Die, die schlecht dran sind, sind die Datenhändler. Das ist sicherlich super. Und die, die schlecht dran sind erstmal, sind die Regierungen, die mit lauschen wollen und das führt dann eben zu mehr Druck bei der Diskussion, die wir eben gerade hatten. Ja, ja, gut. Eins wollte ich ganz kurz eingeworfen haben, der erste Rückruf von der FDA, von einem Stück Medizintechnik wegen Sicherheitswulnerabilitis war 1907, Entschuldigung, 2017. Also vor, vor zweieinhalb Jahren. Das Irre ist immer, wie lange das dauert, ja. Diese Funkinsulinpumpe, um die es hier gerade geht, die jetzt, wo es ein freiwilligen Rückruf gab, da mussten die Sicherheitsforscher 2,5 Jahre, zweieinhalb Jahre dran bleiben an dem Thema, bevor dann was passiert ist, ja. Und immer nachlegen, Wahnsinn. Und das ist ja nur die Spitze des Eisbergs, ja. Man weiß aber auch, was da nicht noch eigentlich alles zurückgerufen werden sollte, müsste. Ansonsten beobachten wir stark das Thema Automation und Arbeitsteilung und Spezialisierung bei den ganzen Malware-Produzenten. Also die Industrie schaukelt sich da fröhlich hoch. Und Frank hatte ja gerade gesagt, die Schwächsten werden dann so umgefahren, wobei, wie gesagt, MERSC eigentlich nicht zu den Schwächsten gehört, aber die es auch sehr erwischt hat. Und dann gehen die Firmen natürlich los und schauen sich das an und sagen so, was brauchen wir jetzt? Okay, wir brauchen bessere Backups. Okay, wir müssen schneller Systeme wiederherstellen können. Okay, wir brauchen, was heißt ich, ein Active Directory im Schrank oder so, dass wir dann schnell rausschmeißen können und so weiter. Und dann kann man sich vielleicht fast hinstellen als Unternehmen und wenn man dann so einen kleinen Ransomware-Befall hat oder einen Mittlerin, einfach sagen, ich zahl nix. Ja, und das kriegt die Branche aber auch mit und das führt jetzt zu einer Steigerung von Ransom zu Blackmail. Was halt passiert ist, bevor Sie die Platten verschlüsseln, tragen Sie erstmal die Daten raus und sagen dann halt nicht nur einen guten Tag. Irgendwie, wenn Sie Ihre Daten wieder haben wollen, dann hätten wir gerne ein paar Bitcoin oder so. Sondern wenn man dann sagt so, ja, ach nee, ich hab Backups, alles gut. Dann sagen Sie, ja, wir haben auch Backups und vielleicht interessieren ja auch noch andere Leute, was in diesen Backups steht und was Sie dann so machen, dass so ein bisschen so eine Tröpfchen foltern. Also die lassen so nach und nach immer mehr Details raus bis dann das entsprechende Unternehmen halt der Meinung ist, man könnte doch vielleicht lieber bezahlen. Das wäre doch irgendwie besser. Das ist halt ein durchaus traditionelles Geschäftsmodell, was auch schon mehrfach Anwendung gefunden hat. Aber was jetzt halt wiederkommt, als Bestandteil dieser ganzen Ransom-Geschichten? Ja, das überspringen wir mal schnell. Metadaten klauen. Und genau, was bemerkenswert ist, dass man inzwischen Produkte findet, die mehr als eine Hintertür haben, weil die bei der Herstellung des Produkts mehr als einer beteiligt war, der eine Hintertür eingebaut hat. Also sozusagen der Bestandteil der Wertschöpfungskette, die mehrstufig ist, so was wie Chipset-Hersteller, Firmware-Hersteller, Geräte-Hersteller. Hinterlässt halt jeder sozusagen seine Duftmarke in Form eines Hard-Coded Passwords. Wer da mal Spaß haben will, dem empfehle ich mal so auf einer beliebigen Online-Handelsplattform mal so ein paar chinesische IP-Kameras zu kaufen. So in der Kategorie so unter 50 oder um die 50 Euro und sich dann da mal hinzusetzen, das ist ein sehr schönes so Reverse-Engineering-Anfangstraget. Da findet man in der Regel halt so mehrere Hard-Coded Passwords und irgendwie nach Hause telefonieren und seltsam mit Dingen, die in NTP-Paketen drinstehen. Und so ist es sehr unterhaltsam, also es ist wirklich so viel unterhaltend für wenig Geld. Und man lernt auch eine Menge dabei, unter anderem genau dieses Wertschöpfungsketten-Ding. Also sowieso sollte der tatsächlich mal machen so. Also vielleicht bei euch im Hackerspace so. Pickt euch mal irgendwas aus der Spielzeug-Geld-Kategorie und dann nehmts auseinanders, immer Highly Entertainment. Genau. Kommen wir zu der Vorhersage. Die Wettervorhersage. Ja, ein kurzer Hinweis. Wir hatten das letztes Jahr schon gesagt. Das alles, was euch verraten kann, wird euch verraten. Alles kriegt jetzt einen Chip, alles kriegt Speicher, alles zeichnet alles auf, alles hat immer mehr Sensorik. Und da wird es dann auch Hardware geben, die irgendwie aufzeichnet, irgendwie bei welcher Temperatur ihr den Akku geladen habt oder eben nicht geladen habt. Und solche Dinge und ob es warm war oder zu kalt war und das wird bestimmt einer versuchen, gegen euch zu verwenden und Dema sagt, nein, keine Gewährleistung, weil dem Akku war, war zu kalt. Dem Akku ist zu kalt geworden, der Klassiker bei eBikes. Und das stand halt draußen bei minus 10 und danach will der Akku nicht mehr, dann sagt einem der Händler, so ja, kann ich da ein Angebot für einen neuen Akku machen, aber Garantie ist das leider nicht mehr. Und das ist natürlich blöd, aber das sind ja nur Daten. Der kann man ja möglicherweise was dran tun. Dafür braucht man halt den Lock-File-Frisör. Ja, was wir beobachten, was sich 2020 auch schon weiter verstärken wird, ist so die Auftragung des Marktes für insbesondere Geräte nach so Datenschutz-Geschäftsmodellen. Es gibt dann so das untere Ende. Das sind dann halt so insbesondere so super billige asiatische Endgeräte. Die haben Datenschutz noch nie so gehört, sondern die refinanzieren die Preise, die niedrigen Preise für die Geräte durch vorinstallte Apps. Das heißt, das Modell ist, man hat so ein Telefon, diese Telefon kostet überraschend wenig Geld. Auf diesem Telefon sind irgendwie 30 Apps vorinstalliert. Jeder, der von diesen App-Betreibern hat zwischen 20 Cent und 5 Dollar bezahlt für diese Vorinstallation auf diesem Telefon. Die Apps sind halt in der Regel System-Apps. Das heißt, die haben zugruf auf alle Sensoren, alle Daten und monetarisieren dann halt die Daten direkt aus dem Telefon. Das heißt, das ist dann keine Plattform mehr dazwischen oder so, sondern es machen die Apps dann direkt oder bauen ihre eigene Plattform damit. Dann gibt es so das untere Ende. Dann gibt es halt so das obere Ende, die sagen, okay, so alle Apple, wir wollen deine Daten nicht, wir haben dein Geld schon. Die hardware war so teuer, dass irgendwie die 100 Dollar, die wir dann noch aus dem Daten rausbringen können. Das lohnt dann halt nicht. Und dann gibt es halt noch so alles dazwischen, so diese Graustufen, so wie Google bei den Pixelphones, die sagen, schön, wir haben dein Geld für die teuren Telefone. Jetzt wollen wir auch noch ein bisschen was aus deinen Daten rausbringen. Nein, wir wollen auch noch alle deine Daten, aber mach dir keine Sorgen. We will do no evil. Die sind nur für uns. Und diese Ausdifferenzierung nach Datenschutz-Geschäftsmodellen, wenn wir nächstes Jahr auch noch verstärkt sehen, da lohnt es auch genauer hinzugucken, um so ein bisschen zu verstehen, was so die datenschutzökonomischen Grundlagen der einzelnen Hersteller sind. Ja, und die traurige Wahrheit ist aber natürlich, es wird da auch welche geben, die werden behaupten, sie hätten Datenschutz und wären deswegen teurer und haben gar nichts. Bei Heiser gab es ein paar Artikel über einen Hersteller von Kinder, Smartwatches, und da fällt einem nichts mehr zu einem, wenn man das liest, wie die damit umgehen, was ihnen da berichtet wird über reine Produkte und was sie dann alles nicht tun. Wahnsinn. Die Cloud kriegt jetzt alle Daten, frei nach dem Motto, nur da sind sie sicher. Und wird damit natürlich dann zum Single-Point-off alles Mögliche inklusive der eben zitierten Blackmail. Genau. Und da kann man dann halt, also nehmen wir mal an, als Rensim-Gruppenbetreiber, findet man so eine Firma, die hat es mal so einmal Tierschlösser betreibt, die in der Cloud hängen, und die haben so keine Ahnung, 500.000 Kunden oder sowas, und dann kann man sagen, also wir könnten uns jetzt überlegen, ob bei allen Kunden die Schlösser aufgehen oder kaputt gehen oder zubleiben oder kaputt gehen, und dann kann man also ein ausdifferenziertes Preismodell machen. Also das ist dann so. Wir haben uns gefragt, ob im nächsten Jahr der erste große Fall von APO-Soleszenz vorfallen wird. Das ging los, weil ich in der Familie so Anfragen hatte, wie, sag mal, ist WhatsApp nicht, hört das nicht auf nächstes Jahr? Wenn ich noch ein iPhone 4 habe oder Android Whatever, und die Antwort immer ist doch egal. Aber das sehen ja viele Leute nicht so. Und da habe ich mich dann gefragt, okay, was ist denn jetzt eigentlich die Realität? Und die Realität scheint zu sein, dass sie da halt bestimmte Dinge dann nicht mehr unterstützen wollen von bestimmten Plattformen, keiner will mehr 16-Bit machen und dieses und jenes. Und wird das dann heißen, dass in dem Moment, wo die irgendwas an ihre API machen müssen, aus Sicherheitsgründen, dass dann plötzlich ein paar Millionen Endgeräte nicht mehr ticken, weil es keine Updates mehr für diese Geräte gibt auf die neue API-Version. Ja, und dann haben wir ein bisschen drüber nachgedacht und gedacht, nee, wahrscheinlich nicht. Wahrscheinlich werden sie sich das schlicht nicht trauen, sondern irgendwie versuchen, das auf der Server-Seite so zu machen, dass sie die alten Geräte noch an die alte API lassen und die neuen Geräte an die neue API und dann versuchen, die Dinge irgendwie wegzufiltern und sonst wie irgendwas, irgendwas. Weil eigentlich hatten wir das ja schon bei SMS, es gab es ja auch genug Probleme, die dann im Netz gelöst wurden und eben nicht durch Updates der GSM-Telefone oder ähnliches. Also vielleicht wird dann nichts passieren. Am Ende, oder was heißt am Ende? Also es gibt jetzt bei den Datenbergen, also bei den Daten, die wegkommen werden, zwei Baustellen, die sich weiterhin verstärken. Und es ist einmal die offizielle Digitalisierung, die stattfindet. Ja, und ich meine, wir haben vorhin über die elektronische Gesundheitskarte gelacht, aber da gibt es ja auch andere Dinge wie das besondere anwaltliche Postfach, das dafür sorgt, dass Anwälte jetzt eben noch mehr digital machen können und noch weniger faxen und noch weniger per Post schicken und ähnliche Dinge. Und dann ist noch dazugekommen das besondere Notarpostfach und die Zitate, die da in den Medien zu lesen waren, die ziehen einem immer den Boden unter den Füßen weg aus meiner Sicht. Ja, also der hat dann mal ein Journalist freundlich gefragt oder ich glaube sogar wie jemand aus der Politik oder so, ob man da einen IT Security Order gemacht hätte und dann wird geantwortet, dass man dazu keine Veranlassung sieht. Weil die Hersteller sind nämlich vertrauenswürdig. Also wenn man es mal so zusammenfassen will, die Digitalisierungsstrategie von heute ist der Datenreichtum von morgen. Wer von euch arbeitet in einer Institution oder Behörde oder Unternehmen, dass gerade ganz viel damit zu tun hat, eine Digitalisierungsstrategie zu entwickeln. Ach doch ein Drittel. Also Digitalisierungsstrategie scheint tatsächlich so ein Ding zu sein. Und wer von denen, die jetzt sich nicht gemeldet hat, findet denn, dass sein Unternehmen eine Digitalisierungsstrategie haben sollte und damit aber noch nicht mal angefangen hat. 10 Prozent? Ja, na gut. Also die Wahnsinns, also wenn man da so ein Wahnsinnsansatz hat, wie gerade gesagt, es gibt keine Veranlassung da irgendwie die Sicherheit zu prüfen, dann ist klar, wie es kommen wird. Das ist die eine Seite, die andere Seite ist, die sind die unsichtbaren Datenberge der Schatten-Digitalisierung. Kruselts euch schon. Damit ist eure Tante gemeint. Alle Menschen, die Digitalgeräte benutzen, und keine Ahnung davon haben, was sie damit tun und trotzdem eure Daten dabei irgendwie verarbeiten, verteilen, teilen, hinterlassen. Das ging los mit der Digitalfotografie, wo man Fotos macht, Fotos macht, Fotos macht und hinterher nicht ausmistet, sondern das einfach irgendwie auf irgendeine Platte schmeißt, die man noch umliegen hat. Und die Platte ist dann irgendwann am lokalen Netz und irgendwann synkt sie sich durch irgendeinen kleinen Fehler in die Cloud. Da bleibt es dann auch liegen, wenn der Hersteller sein Geschäftsmodell nicht ändert und dadurch das Speicher immer billiger wird. Das findet ja nicht nur im privaten Stadt, das findet auch in jeder Firma statt, dass man immer mehr Daten abspeichert, ablegt und sich dann hinterher nicht ums Aufräumen kümmert, weil es ja einfach nicht sichtbar ist. Und genau, da werden noch unglaubliche Dinge zusammenkommen. Genau, wenn es dann einen kleinen Staudernbruch am Datensee gibt, eine Datalake, schöne Sache, überall in der Industrie gibt es Datalakes und also wo die halt einfach mal alle Daten gesammelt haben, ohne sie wegzuschmeißen und hofften irgendwie, dass jetzt mit Machine Learning man aus diesem Datalake was extrahieren kann und stellen dann immer fest, dass leider die Daten darin nicht so gut brauchbar sind und das sind viele Zwecke. Aber die liegen halt trotzdem weiter rum, weil könnte ja irgendwann mal was passieren, was man damit machen kann. Genau. Und genau, das beliebte Format Geschäftsfelder. Bitte? Ja. Die Geschäftsfelder, so, also dann gab es, dann hat jetzt jeder ein Cyber und es haben mehr Firmen, das ist noch im letzten Jahr ein Cyber und inzwischen hat die Industrie verstanden, dass man da natürlich helfen kann und es gibt irgendwie Incident Response und Emergency Deals und Emergency Genes und Leute, die man anrufen kann, wenn man ein Cyber hatte und dann helfen die einem das auszutreiben und da hängt ja noch viel mehr dran. Also da muss man ja auch nicht IT-ler sein, um da mitmachen zu können. Also Cyber Notfallseelsorge zum Beispiel. Für Leute, die vom Cyber betroffen sind, ist auf jeden Fall ein Geschäftsfeld was boomt so. Also wenn man sich so ein bisschen anektotisch umhört in der Branche, dann sind da durchaus Leute, die sich um die professionelle Hirnwartung nach Cybervorfällen kümmern müssen. Datenverlust, Bewältigungsstrategien. So was. Ja, digitale Trauer. Wie sieht das aus? Also inklusive Restrukturierung hinterher. Ich meine, bei Merz haben sie gesagt, naja, da war halt die IT dann weg und die Emails gingen nicht mehr und dann sind wir halt alle zu WhatsApp migriert und haben uns da dann organisiert. Und dann haben wir da Gruppen gemacht und in den Gruppen haben wir dann versucht, das Geschäft zu organisieren. Ja, und hinterher haben wir uns vor dem Einschalten von der E-Mail überlegt, das ist vielleicht unsere neue Firmestruktur. Die WhatsApp-Gruppen, ja. Sie haben nicht gesagt, ob alle, die nicht in einer WhatsApp-Gruppe waren, dann hinterher entlassen wurden. Ja, also da hängt noch viel dahinter. Was man da auch hat, ist natürlich das Problem, wie vermittelt man so Cyberprobleme? Also die meisten Menschen sind davon überfordert. Für die sieht das sowieso aus wie Magie. Es gibt keine wirkliche Möglichkeit mehr, das so richtig zu erklären im Detail, was zu komplex geworden ist. Dann kann nur noch so irgendwie komische, vorallgemeinende Analogien finden. Und danach kann man es eigentlich auch so richtig all-in gehen und sagen, okay, wenn die Technologie schon aussieht wie Magie, dann kann man sich auch erklären wie Magie. Und weil so mit Fantasy Magic, so kennen sich ja sehr viele Leute aus und haben da so eine Begrifflichkeit von so. Und wenn dann sozusagen so eine, keine Ahnung, man hat sich da halt irgendwie so eine Ransom-Gang eingetreten, die irgendwie in dem System pasistent geworden ist und da sich lateral durchbewegt hat, dann heißt das dann halt in Cyber Fantasy übertragen, dass Dämonen haben die äußere Brugwauer durchbrochen. Sie wohnen jetzt in unseren Katakomben. Sie können überall hochbrechen in unsere Räume. Und wir brauchen jetzt Menschen, die diese Dämonen in den Katakomben jagen gehen. Na so, nur mal so als Vorschlag. Dafür braucht es natürlich Profis, die solche Geschichten erzählen können und sie so übertragen können, dass man halt irgendwie sie dann halt der Geschäftsführung erklären kann. Genau. Und du musst jetzt, ihr müsst jetzt bei Sonnenaufgang mehr Cyber Gänse schlachten. Ja. Aber nur bei Vollmond. Genau. Ja. Dan Kaminski sagte mal gerne, data wants to lie to you and wants you to be wrong. Ja, Daten wollen nicht anlügen. Das haben viele noch nicht begriffen, dass ihr Data Lake eigentlich vorhat, sie in die Pfanne zu hauen. Und das ist natürlich sehr wichtig, dass man dann sich trainiert, da drin die Verzerrung, die in den eigenen Daten drin sind, durch die Sensoren, die man da benutzt hat, durch die Daten, die man abgefragt hat, durch die Daten, also durch die Datenquellen, die man hatte zu erkennen. Ja, und das ist sozusagen das komplette Gegenteil zu dem, was heute eher passiert, dass man Leuten sagt, in diesen Daten sind tolle Dinge drin. Und die schauen dann auf das Rauschen so lange, bis sie irgendeinen Muster sehen. Also, wir haben jetzt so das Phänomen, dass die Migration zu IPv6 ja so ein bisschen länger gedauert hat, als alle gedacht haben. Und jetzt aber so ein bisschen so plötzlich stattfindet, weil die Geräte können jetzt zum Beispiel alle plötzlich vor 6 und machen halt auch so vor 6 und dann guckt mal in so ein Netzwerk und sieht da lauter vor 6-Paket nichts, aber ich habe ja noch kein vor 6 und meine Firewall kann noch kein vor 6 und mein Monitoring hat von vor 6 auch noch nie gehört und mein Router kann aber irgendwie schon vor 6 und genau. Und deswegen denken wir, dass es so erst mal gibt es dann halt so das Berufsbild des IPv6-Exorzisten, der halt irgendwie versucht IPv6 aus den Netzwerken raus zu exorzieren. Und der muss dann später umschulen, wenn vor 6 sich denn durchgesetzt hat, auf IPv4-Exorzist. Um halt, ja. Krypto ist ja so eine Sache, ne? Also, haben jetzt alle verstanden, dass das Krypto wichtig ist, dass man Krypto machen muss, dass es auch ohne Krypto nicht geht. Wie gesagt, es verlangt keiner mehr, dass es kein Krypto gibt. Es wollen nur alle noch eine Hintertür und dann noch ein extra Schlüssel und ähnliches. Und damit stellt sich ja dann die Frage aber, ob es auch die ganze Zeit an ist, ja? Oder ob es nur da ist, aber nicht an oder nicht konfiguriert oder mit den falschen Parametern oder nur manchmal an oder nur auf bestimmten Verbindungen an oder was auch immer, ne? Ja, oder nach dem Software Update plötzlich wieder weg, weil der Parameter umgekippt ist oder so. Und da wird es dann sicherlich genug Software geben, die dann versucht rauszukriegen, ob das Krypto noch an ist und wenn ja, für wie viele. Wir müssen mal jetzt was für die IT-Security tun. Es hieß ja immer so lange, man solle irgendwie aufpassen und man müsste irgendwie als gebildeter Bürger, also das Problemsitze zwischen Tastatur und irgendwie Schreibtestuhl. Das Problem ist aber eigentlich, die Software ist halt einfach Scheiße. Und natürlich sollte jede Software, die ich betreibe, heute in der Lage sein, damit zu klarzukommen, dass da irgendwelche Daten in einer E-Mail drin sind und dabei nicht um die Ohren fliegen, nicht mein Computer kaputt machen, nicht dafür sorgen, dass das Software installiert wird. Das heißt, diese Predigt von wegen, müssen Sie mal nicht auf Anhänger und seien Sie ganz vorsichtig und wenn Sie sie doch tun, dann sind Sie selber schuld. Das ist alles Victimblaming, das geht gar nicht. Victimblaming, dann müssen wir aufhören. Wahrscheinlich sollten wir auch mit den Gewerkschaften reden und den Klarmachen so pass auf. Immer auf jeden Anhang klicken führt zu mehr Tagesfreizeit. Also, es ist jetzt so ein klarer Fall von, wir können so nicht mehr weitermachen, wir müssten jetzt einfach mal die Situation deswegen immer auf aller Anhänge klicken, zumindest in der Firma. Ne, Makros, ich glaube Makros, lassen wir mal außen vor, Makros ausschalten ist trotzdem eine gute Idee. Ja, das ist unser Aufruf an euch. Und dann wünschen wir euch ein guten Rutsch ins Jahr 1984. Wir sehen uns wieder, nächstes Jahr.