 Der Speaker ist bestimmt ganz vielen von euch schon bekannt, hoffentlich auf die gute Weise. Im Zweifel wegen zu viel Bass, aber eher auf die schlechte Weise in der Vergangenheit. Unser Honkhase hat in den letzten Jahrzehnten die Sicherheit dieser Veranstaltungen durchgeführt. Und nach einer Kollision mit einer MiG-23S, die er überlebt hat und dem MiG-23 ist nicht mehr flugfähig, hat er sich entschieden, zu größerem vorzuschreiten. Und zwar will er sich jetzt um die Sicherheit hier im Land unserer Infrastruktur kümmern. Hier ist für euch Honkhase mit dem Vortrag zur Defensive Stadt Offensive, am Beispiel von Critis oder auch Ethik Rekalibrien. Einen großen Applaus! Ja, Namen zusammen. Nach der Ankündigung kann Borja auch nichts mehr über mich zu sagen. Da ist schon alles gesagt. Ja, ich möchte mit euch über Defensive Stadt Offensive sprechen, zum Beispiel von Critis und dabei auch ein bisschen die Ethik Rekalibrien, die man immer nur für sich selbst rekalibrieren kann. Ich habe in den letzten Jahren relativ viel Zeit damit verbracht, das zu diskutieren, auch nicht nur am Beispiel von Critis, sondern auch Defensive Stadt Offensive. Und da möchte ich euch einen kleinen Auszug zeigen, was da alles so geht und warum das aus unserer Sicht vielleicht eher so doofe Ohren hat. Ich habe Critis im Endstadium. Insofern beteilige ich mich an diesen ganzen Dingen ziemlich lang und ziemlich intensiv. Das ist schon echt schwer. Und dann stellt sich eben die Frage, warum eigentlich Defensive Stadt Offensive? Wir brauchen Schutz, wir müssen uns verteidigen, wir müssen angreifen können und so weiter. Aber bevor ich dazukomme, was sind eigentlich kritische Infrastrukturen? Eine Gesellschaft, die funktioniert nicht ohne Strom, Trinkwasser, Ernährung. Ja, auch mit Banken, ohne geht es nicht. All diese Sektoren sind eben unverzichtbare Grundlage für eine Gesellschaft, für ein Funktionieren miteinander. Und das ist eben definiert worden als Critis, als kritische Infrastruktur. Und diese kritischen Infrastrukturen sind eben das Herzstück einer Gesellschaft. Die kritischen Infrastrukturen sind in Deutschland zumindest, als der NES-Richtlinie aus der EU eben definiert worden in neun verschiedenen Sektoren. Sieben davon sind in der BSI-Kritisverordnung definiert und zwei Stück. Die seht ihr, sind ein bisschen heller, Medien und Kultur, Staat und Verwaltung. Bei den beiden ist es so, dass es eben in einem sogenannten UP-Kritis beim Bund selber reguliert wird. Das ist eben in der Regel nicht so privat, sondern er reguliert, landesweit reguliert, nicht bundesweit. Da gibt es also ein paar Spezialitäten. In den anderen Sektoren ist es eben so, oder grundsätzlich in allen neuen, aber in den sieben, die eben auch in der BSI-Kritisverordnung definiert sind, es ist so, ab 500.000 Menschen, die betroffen sind oder betroffen sein könnten von dieser kritischen Infrastruktur, ist es eben so, dass ein Versorgungsengpass durchaus ein Großschadenslage in Deutschland bedeuten könnte. Heißt also, ein Versorgungsengpass würde ein Problem darstellen für die Gesamtbevölkerung. Das heißt, man möchte Sicherheit für diese IT-Komponenten implementieren oder eben auch gesetzlich reguliert vorschreiben und eben dafür sorgen, dass der Schutz der Bevölkerung gewährleistet ist, dass sie eben Strom nutzen können, dass sie Trinkwasser haben, dass sie genauso wie hier auf dem Camp das Abwasser auch entsorgt bekommen. Ansonsten ist das ziemlich scheiße. Dieser Schutz der Bevölkerung, das ist das Primärziel und deswegen geht es nicht um den Betreiber, der Betreiber ist sozusagen Sekundärziel. Es geht wirklich um uns als Bevölkerung. Das Problem ist nur, und deswegen greif ich vor, warum Defensiv statt Offensiv diese kritischen Infrastrukturen benutzen in der Regel dieselben SCADA-Komponenten, dieselben PLC-Leitrechner, die haben dieselben Steuersystem am Start. Die OT ist also ungefähr überall dieselbe mehr oder weniger. Es gibt bekannte Hersteller und die werden eben weltweit eingesetzt. Heißt, diese Dinger vernetzen sich immer mehr mit dem Internet und wollen quatschen, also miteinander. Dann kommen irgendwelche Salesdrohnen und sagen, macht das über das Internet dran, dann ist das schick. Und so haben wir eben die eine oder andere Situation, dass immer mehr von dem Zeug angeschlossen ist oder eben nicht sauber getrennt ist, anhand von Office-Netzwerk separat, OT-Produktions-Netzwerk separat. Und dann hast du eben nicht so einen dämlichen ransomware Trojaner über eine E-Mail, die dich da irgendwie angreift. Auch über den Start, der Odays beispielsweise zurückhält und für kritische Infrastrukturen gegebenenfalls vorsieht, wenn der Feind dann irgendwie bedroht werden muss und man irgendwie zum letzten greifen muss, würde in letzter Konsequenz also auch kritische Infrastrukturen bedrohen, die die auch bei uns läuft. Und damit ist es ein Risiko für uns als Bevölkerung. Da artet man so ein bisschen Richtung Prepper aus, wenn man sich da so eine Weile das auf der Zunge zergehen lässt. Der Punkt ist halt, Cyberabwehr defensiv funktioniert in der Form, dass man kritische Infrastrukturen schützt. Cyberabwehr in der Form von Hackback oder Offensiv geht ehren die Richtung, dass man kritische Infrastrukturen bedrohen will und eine Outage provozieren will und das bedeutet in letzter Konsequenz den ersten Punkt, den ich auf den Folien habe. Schutz der Bevölkerung soll ja eben genau unterwandert werden. Im Idealfall natürlich vom Feind, aber das heißt ja noch lange nicht, dass dieselbe Komponente bei uns nicht abgegriffen wird. Und dazu haben sich beispielsweise in Deutschland die Überlegungen so gemacht. Für den Cyber-War und das Hackback gibt es in Deutschland halt das Kommando Cyber- und Informationsraum oder im militärischen Kardio-Zill. Die haben einen Bereich Zentrum Cyber-Operationen und deren Kernauftrag ist Offensiv. Das ist also wirklich der Angriffstrupp, der ein Hackback sozusagen durchführen würde und auch den Wirk-Einsatz steuert. Ein Wirk-Einsatz ist immer das, was eben wirklich zu einem Schaden führt. Also wenn ich einen kinetischen Wirk-Einsatz habe, dann benutze ich herkömmliche Waffen. Atomare-Wirk-Einsatz ist dann eben entsprechend der Atomare-Angriff, den wir inzwischen halt hoffentlich nicht mehr haben. Und die Verkettung der ganzen Cyber-Vernetzung führt eben unter anderem im militärischen Sprachgebrauch zu einer sogenannten Cyber-Wirk-Kette. Das ist so richtig schönes Amtsdeutsch, können wir ganz gut. Und man sieht beispielsweise bei dem internen Verbandsabzeichen vom CZU, dass sie eine rote Tastatur haben. Das kennen wir ja auch von unserem CCC-Kongress, aber eben auch ein Schwert darüber. Das bedeutet also im Endeffekt, schlagen sie auch durch. Und das ist auch genau das Ziel dieser Konfiguration, Installation. Es stand heute, nach meinem Kenntnis stand ungefähr 100 Mann in der ZCO tätig. Das heißt, diese 100 Mann machen den ganzen Tag nichts anderes als, naja, sie nennen es unter anderem auch Red-Teaming. Das ist also das Trainieren an der Produktionsumgebung, an Produktionsnahen, echten Komponenten und wollen damit natürlich die Cyber-Sicherheit fördern. Aber im Endeffekt ist es ein dauerhaftes Training, um wirklich ein Staat anzugreifen, kritische Infrastruktur an dem Staat anzugreifen und eben auch eine Outage zu provozieren und damit eben auch dieses Schadenausmaß in Kauf zu nehmen. Warum das noch nicht so krass in Deutschland ist, die Amerikaner sind da schon sehr weit, die Israelis auch, insgesamt gibt es um die 100 Länder, sagt man, die auch durchaus All-Days oder digitale Cyber-Waffen im Portfolio haben. In Deutschland ist es so, wir haben halt so einen rechtlich organisatorischen Rahmen, der die Historie berücksichtigt und so bestimmte Trennungen forciert hat, die es in anderen Ländern eher nicht so gibt. Wir hatten da so zwei Situationen, die so ein bisschen sehr weltweit ausgeartet und daraus hat man gelernt, wenigstens in Deutschland, die Besatzermächter haben da nichts draus mitgenommen. Diese Trennung gibt es also beispielsweise nicht in Russland oder in den USA. Die machen so was einfach. Wir haben eher die Frage, wie geht man mit Hackback um, wie geht man mit aktiver Cyberabwehr, also dem Rückschießen um. Das ist schon seit Jahren bei uns in der Bundesregierung in der Diskussion. Es kommen immer wieder kleine Anfragen der Opposition, so wie, was können wir tun, wie sieht es aus, wie ist der Stand, was sagt der Völkerrecht, der Grundrecht, heißt das ja, Völkerrecht, Grundrecht, schwierig. Wir arbeiten noch dran und analysieren da. Im Endeffekt stehen Sie vor diesen zwei Hürden. Sie müssten das Grundrecht ändern, um digitale Cyberwaffen einsetzen zu können, außerhalb einer militärischen Situation einen konkreten Auftrag und es eben auch innerhalb Deutschlands einsetzen zu können im Worst Case. Diese ganze Diskussion ist, wie gesagt, ziemlich lange am Laufen. In der Parallel gibt es auch so eine Anfrage, das ist die Drucksache, die ich hier auf den Folien habe. Die Bundesregierung hat in einer Antwort auf eine kleine Anfrage eben gesagt, naja, wir gehen davon aus, digitale Cyberwaffen, sie nennen es Schadsoftware, auf kritischen Infrastrukturen in Deutschland ist auf jeden Fall vorhanden. Wir sind da relativ realistisch und machen uns nichts vor. Die Deutschen sind auf jeden Fall auch in der Aufklärung im Ausland tätig und haben das eben entsprechend. Dieser Punkt ist eigentlich schon so beantwortet, der zweite Punkt, den sie beantwortet haben, ist Kauf und Entwicklung von digitalen Cyberwaffen durch die Bundesregierung hat man sozusagen explizit nicht verneint. Na ja, da könnt ihr euch daraus denken, was gerade akut ist. Nur deren Einsatz wollen wir noch nicht so richtig umsetzen. Das ist eben das Problem, dass das Völkerrecht und das Grundgesetz eben das nicht zulässt. Aber diese ganze Aufklärung oder auch diesen Kauf und die Entwicklung der Odays, das ist eben ein Punkt, der schon lange angegangen wird, der auch teilweise mit Geldern und Budgets freigegeben wird. Und die Budgets und Gelder sind in Deutschland, man sagt immer diesen lächerlichem Vergleich zu Amerika, die da viele Milliarden drauf werfen. Wir kommen mit unseren paar Millionen, aber nur um mal eine kleine Vorstellung zu kriegen, das ist ja alles eigentlich schon relativ durchgelutscht seit vielen Jahren. Die Preisliste für digitale Cyberwaffen, wenn ihr jetzt hier so ein iOS von Apple hasst, kann man als Researcher 4 Millionen Dollar dafür kriegen, wenn das Ding Remote Code Execution darstellt und man eben selber nicht mehr rumklicken muss. Dementsprechend sind die Dinge für PLC Steuersysteme, für SCADA-Systeme, für IoT haben dann ähnliche Preise, das wird halt unter der Hand gehandelt, aber eben die Staaten können die auch aufkaufen und das tun sie auch, beispielsweise Dark Matter, die das für die Arabischen Emirate gekauft haben, die NSA und so sind gute Kunden von solchen Anbietern. Das ist der Einkaufspreis, für den man das vom Researcher kauft und der Verkaufspreis ist entsprechend höher an den Staat, der es kauft. Vorhin habe ich erwähnt, ungefähr 100 Staaten haben Aufhalte. Man kann sagen, dass die durchaus vierstelliger Anzahl bei Amerikanern, Israelis, Deutschen, bei den Briten oder so vorhaben. Das heißt, wir reden davon, dass ziemlich viele Odays in den ganzen Kellern reifen und eben nicht gemeldet werden. Ja, wie leben wir das in Deutschland? In der Regel leben wir das so, dass wir eine wissenschaftsfeindliche Sicherheitspolitik haben. Nur weil es wahr ist, heißt das noch lange nicht, dass die Politik das wahrhaben will und umsetzt, wenn die eigene Agenda eine andere ist. Das ist ähnlich wie bei der Klimapolitik, die wir gerade haben. Die Fakten sprechen für sich, die Wissenschaftler sagen, klar, was Sache ist und in der Politik wird immer noch umgepuckt. Dasselbe ist so diese Methodik, die sie bei der Sicherheitspolitik anwenden. Das bringt aber eher nicht mehr Security, sondern eher so mehr Cyber-UN-Sicherheit. Sie haben die Vorstellung, dass die UN damit besser wird oder die NATO oder die Welt. Aber das ist halt Hane Büchner Unsinn, der es auch schon mehrfach widerlegt. Aber das heißt noch lange nicht, dass Politiker zuhören. Ja, wenn die nicht zuhören, dann können sie ja ihre Wünsche äußern, wie sie wollen. Wir theoretisch auch. Ich habe mit vielen Leuten in den letzten Monaten geredet und habe gedacht, wenn die Wünsch dir was haben, können wir das auch. Keine Ahnung, ob man mich abgehört hat, aber Seehoferlein hat ja diverse Wünsch dir was auch dieses Jahr in den Start gebracht. Dieses Jahr ist das Spooky-Jahr, das wir wollen alles. Um nochmal auf diese Odays, auf die digitalen Cyberwaffen zurückzukommen, unterschätzt diese Marktpreise nicht und unterschätzt auch nicht, wie starten diesen Markt anfeuern. Das ist schon ziemlich krass. Und auch, wenn man immer erzählt, wir würden sowas niemals tun, unter der Hand oder in nachweislichen Quellen-Recherchen, wenn es rausgekommen ist, ist eben doch klar, dass der eine oder andere das für ein Staatstrojaner einsetzt, der eine oder andere für eben genau diesen Hackback-Cyberwar und dann am Ende doch irgendwie das ganze Portfolio versucht abzudecken. Zum Glück sind da auch Stimper dazwischen. Und dann haben wir eben auch nicht so die Gefahr, das ist auch eine Frage der Zeit. Und das bringt natürlich irgendwie nichts. So, wenn die sich was wünschen, wünschen wir uns auch was. Was man also wirklich haben will, ist eigentlich diesen legalen Handel von digitalen Waffen irgendwie zu unterbinden. Ich meine, Atomwaffen gehe ich auch nicht auf den freien Markt handeln oder schreibe Spooky-Mails über ein Secret Channel und kauf mir welche. Warum darf man das bei digitalen Waffen so? Da könnte man sicherlich auch nochmal darüber diskutieren und die Beteiligung durchstarten, ist vielleicht auch nicht so prall. Ich rede jetzt nicht explizit für Deutschland, aber Deutschland kann sicherlich diese Themen initiieren und eben auch dafür sorgen, dass diese Thematik einfach in die UN, in die NATO, in die EU eingebracht wird und diese Diskussion einfach dann auch mal geführt wird. Das ist halt ein Punkt, den haben wir hier und den sollten wir auch nutzen. Und das ist unter anderem der Grund, warum ich hier stehe. Damit wir einfach mal darüber diskutieren und das auch ein bisschen aktivieren. Was sich das BMI auch so wünscht, ist ein sogenannter Vulnerability Equity Process, dieser VAP, das gibt es schon in den USA, die sagen halt so, naja, wir als Staat geben im Prinzip fast alle, die wir so entdecken und schwach stellen oder die uns gemeldet werden, weiter. Es gibt aber manchmal diesen einen Fall, da könnte das vielleicht so für die Staatssicherheit relevant sein und da hatten wir den also voll so mit diesem Prozess ordentlich definiert zurück. Alle anderen geben wir dann auch wirklich weiter und das ist der Großteil. Das ist alles Harnbüchner-Dünnschiss. Ich meine entweder gebe ich die konsequent raus und unterbinde das, gibt das dem Hersteller, der soll es fixen oder ist es eben nicht gefixt. Da brauchen wir nicht rumdiskutieren und noch nicht rumlamentieren. Da brauchen wir auch keinen Pseudo-Prozess, der Staat uns beweisen würde, dass er sagt, ich setze den Prozess auf und er wird parlamentarisch kontrolliert und es wird wirklich nur in den Situationen gemacht, wo auch wirklich in einer rechtsstaatlichen, in einer demokratischen Kontrolle gesagt wird, ja, den einen halten wir wirklich zurück, den anderen geben wir weiter. Wenn das bewiesen wäre, würde ich sagen, alles klar, können wir machen, dann reden wir über ein VAP, dann können wir den auch einführen. Aber bis jetzt haben so uns doch jedes Mal an der Nase rumgeführt mit solchen Stories. Das BMI hat oft genug Hühel gesagt, hat gemacht, das Vertrauen ist nicht mehr da und dann brauchen Sie sich auch nicht wundern. Wenn wir bei Vertrauen sind, das Mitnahmegeschäft, was man mit so einem VAP einführen würde, ist, das BSI hat einen erneuten Zielkonflikt. Sie sagen immer, sie sind defensiv, aber im Endeffekt sind solche Dinge eben offensiv und nicht defensiv. Das hat man beim Staatstrojaner, Sie haben immer gesagt, wir würden da nie, dann mussten Sie irgendwie die Krypto checken und haben gesagt, nie, nie, nie, das Vertrauen ist das Vertrauen der Bürger weg. Ist natürlich rausgekommen, das Trauen der Bürger ist weg. Bei kritischen Infrastrukturen sieht es eher so aus, die müssten ja unter anderem auch nach diesem Paragraf 8B, das ist Meldegesetzverfahren, im BSI-Gesetz, Störungen, IT-Störungen, die außergewöhnlich sind, an das BSI melden. Wartet mal, was damit passiert. Weil das BSI wird natürlich schön brav und ordentlich das Ganze weitermelden und einen Lageplan machen und Sicherheit irgendwie integrieren. Bleibt noch so dieser Restgeschmack von diesem BMI anhängig und naja, da könnte vielleicht doch der eine zurückgehalten werden und das geben wir mal nicht weiter. Dieses Mitnahmegeschäft würde man sich mit Odays und mit einem VAP-Prozess irgendwie erneut an die Backe heften. Wir brauchen ein sicheres BSI, wir brauchen ein vertrauliches BSI, die kritische Infrastruktur und müssen sich darauf verlassen können und das ist im Moment nicht gegeben. Mit so einem Szenario würden wir das erneute infrage stellen. Welcher kritische Infrastrukturbetreiber werden so bescheuert, seine kritischen IT-Störungen dann ans BSI zu melden. Das findet doch keiner prall, solange das Setup so ist, wie es im Moment ist. Das heißt, in letzter Konsequenz muss man eigentlich hingehen und sagen, wir haben Atomwaffen, wir haben biologische Waffen, wir haben chemische Waffen, die echten wir. Wir haben digitale Waffen. Warum echten wir die nicht, wenn sie uns bedrohen? Und zwar so richtig, und zwar massenbedrohung. Das ist ja auch im KardioZir, das kann man offiziell im Internet durch alte Folien irgendwie nach recherchieren. Die sagen offiziell und zeigen in ihrem Ausblick so, dass sie diesen Fallout, also wenn die schon so weit sind, das war 2016 oder 2017, das so klar zu kommunizieren, dann wissen die genau, was dahinter steht. Aber dann weiß ich auch genau, das ist eine digitale Waffe und die möchte ich genauso echten wie die anderen Dinge. Das führt halt eben nicht zu mehr Sicherheit für mich als Bürger. Was sich der PSI noch so wünscht, ist zum Beispiel, dass sie diese CNI-Implementierung machen. Sie sind dabei ein... Also sie wollen Cyber War führen können, ganz klar, und bauen dazu bis 2021 die Streitkäfte aus. Das KardioZir ist ins Leben gerufen worden. 14.500 Mann wurden ins KardioZir umdisponiert, also innerhalb die Soldaten umgewatschelt. Das sind ja jetzt nicht alles die Ultracracks, die machen natürlich überwiegend Verteidigung oder den eigenen Betrieb, die können ja nicht alles auslagern. Aber es ist eben eine ganz klare Roadmap, dass sie bis dahin die Streitkräfte auch im Cyberraum so aufgestellt haben, dass sie Cyberkrieg führen können oder eben auch ein Hybrid War für aktivieren. Also sowohl kinetischen Wirk-Einsatz als auch den Cyber-Wirkeinsatz gemeinsam in Kombination. Ja, für diese Hackback-Zeugs ist auch durchaus das BND oder der BND geeignet. Warum? Das Militär darf ja aus diesen zwei Gesetzesgründen nicht so wirklich aktiv werden, außer sie haben klaren militärischen Einsatz und der ist ja eher selten in Deutschland zum Glück. Und solange muss man ja irgendwie den Theoretischen Feind ausspionieren, man muss wissen, wie die kritischen Infrastrukturen funktionieren, was sie eigentlich tun, wie man sie los wird. Diese ganze Spionage, das ist so das Hobby von den BND-Menschen, die da mehr oder weniger gut können. Das heißt, vermutlich, das ist jetzt nicht bestätigt, aber das kann durchaus eine gute Kombo sein, dass man eben sagt nur, der BND geht schon mal vor, guckt nach, pult über ein bisschen rum, das ist ja auch kein Militär, das ist ja dann auch gar kein militärischer Angriff, dann kann man das auch nicht nach Völkerrechts definieren. Gut, wenn sie erwicht werden, werden sie halt ausgeladen und dann gibt es Victim-Blaming, aber das haben die anderen ja auch und dann haben wir so lange Spionage und Aufklärung, bis es eben zu einem militärischen Konflikt kommt und dann kann das Militär durchschlagen. Also so ein Hackback macht man ja nicht irgendwie so Ey, jetzt an die Konsole, wir müssen die irgendwie hacken, das ist ja Humbug, das braucht Monate in der Vorbereitung, weil OT, also diese ganzen IoT oder Industrial-IoT-Komponenten ein Transformator die ganzen Safety-PLC-Steuersysteme, das ist so uraltgeraffelt, muss man erstmal genau engenieren und rausfinden, wie das funktioniert, was da funktioniert teilweise haben die da echt Vorkriegsmodelle im Einsatz, wovon der Hersteller nicht mal mehr existent ist. Der Code ist auch schon verloren gegangen und dieses Uraltsystem läuft halt noch 20 Jahre, dann geht man eben nicht mit einem Standard Exploit hin und testet mal, dann muss man das ordentlich ausspionieren. Dafür kann man eben den BND vorher nutzen und nachher dann mit dem Militär nachschlagen, wenn es bis zum Extremen kommt. Was sich das BMI noch so vorstellt ist, wir haben Cyber-Abwehrzentrum das Cyber-AZ und da hat der Onkel Seehofer erzählt ja, wir können ja ein Cyber-AZ Plus machen was ist denn genau das Plus, hieß es dann von der Opposition, ja das ist dann so dieses gewisse Extra, die können dann irgendwie bewerten und entscheiden, ob das Cyber-War ist und ein Hackback rechtfertigt ist und so, da kommen dann irgendwie alle Infos zusammen also wieder das Zusammenführen von Geheimdiensten, Militär, Ermittlungsbehörden und anderen staatlichen Akteuren was wir eigentlich in Deutschland ja wegen so Situation nicht dürfen und danach total toll kommt ein kompetentes Gremium und entscheidet, ob das auch wirklich Sinn macht da sind so hochrangige Kompetenzen wie Kanzleramt, Auswärtiges Abend Verteidigungsministerium und das hochkompetente BMI selber und dann machen wir da irgendwie diese Entscheidungsvorlage, entscheiden ob das ein Hackback ist oder ein Krieg oder nicht ein Krieg und dann können wir da total toll definieren da sage ich nur Wirk, ja ich hätte gern oder das was ich, was wir fordern sollten ist, ist eine defensive Cyber-Sicherheitsstrategie für Deutschland wir haben eine Cyber-Sicherheitsstrategie bekommen 2016 die hat so 32 Seiten glaube ich das Ding kann man nicht Strategie nennen während strategisches Papier kennt das ist keins das ist peinlich, das ist lächerlich das wird diesem Namen nicht gerecht ich hatte ja schon gesagt wie wissenschaftsfeindlich diese Sicherheitspolitik gelebt wird alle die irgendwie Ahnung hatten haben gesagt das Ding hat dovorn aber es ist genauso rausgekommen die Politik weiß es besser das BMI weiß es besser das ist peinliche Dokument und sagen das ist unsere Strategie für Deutschland das Ding müsste mal wirklich zu einer Strategie aufgepimpft werden und dann noch den defensiven Anteil beigesteuert und dann ist das auch ein astrales Setup also lange das nicht kommt können die da rum eiern so viel so wollen das bringt nichts die ganzen Gesetze die schon definiert wurden oder gerade in Arbeit sind wäre ja schick wenn man die mal evaluieren würde so wie es sogar manche Gesetze vorsehen und auch tatsächlich eine Kompetenz an den Tag legt und Experten mit dazu holt und sagt wir haben diese ganzen Dinge so und so definiert wir haben die und die Gesetze erweitert, wir haben da und da noch die Sicherheit erhöht dafür aber die Freiheit gekürzt was ist denn jetzt der Impact was haben wir davon also ist dadurch wirklich die Sicherheit besser geworden hat das im Verhältnis zur Freiheits-Beraubung die wir damit vorgenommen haben eigentlich auch wirklich ein Mehrwert dargestellt ist das gerechtfertigt diese Evaluierung gibt es nicht oder es gibt sie nicht öffentlich zu lesen wenn man nachfragt bei der Bundesregierung heißt es ja ja, da evaluiert haben wir das alles ja und wo sind die Ergebnisse oh, das ist geheim klassifiziert das hätte ja dann irgendwie, das ist gefährlich Teile dieser Informationen könnten die Bevölkerung my ass weißte solange ich das nicht sehe solange es Experten nicht sehen solange es wissenschaftliche Analysten nicht sehen sage ich es gibt es nicht den Beweis sind zu uns schuldig wenn ich also Sicherheit versus Freiheit versus diesem gesamten weltweiten Impact nehme dann möchte ich auch wissen macht es Sinn, macht es keinen Sinn dann möchte ich auch wissen dass Experten das analysiert haben und sagen jo, passt, wir brauchen aber noch diese solchen mehr was sie im Moment gemacht haben ist das IT-Sicherheitsgesetz 1.0 ist ins Leben gerufen worden das ist auch grundsätzlich sinnvoll da steht wirklich viel Gutes drin aber keiner weiß so richtig wie viel davon jetzt so richtig geiler Scheiß ist und wie viel davon so naah geht so, könnte man noch optimieren aber irgendwie sind alle mit ihrem Wünschstier was dahin gegangen haben gesagt ja und dann müssen wir noch jeder der unberecht dem anfasst gleich verklagen und schwere Straftat jeder der irgendwie in der Kreise in China umkippen lässt, schwere Straftat also zum Beispiel dann die Straftaten von 3 auf 5 Jahre bis zu verlängert hat den kleinen Nebeneffekt dass wenn man Dinge bis 5 Jahre auslegt man auch zum Beispiel mit einem Staatstrojanereinsatz denjenigen observieren und unterwandern kann das heißt, sie haben also durch eine Hintertür beispielsweise den Staatstrojaner ganz schön erweitert in seinem Einsatz-Szenario und viele, viele andere komische Dinge in dieser IT-Sicherheitsgesetz 2.0 geschrieben wo selbst Lobbyverbände gesagt haben das hat ein bisschen doof geworden das ist ein bisschen viel weil wir sollen hier takedown von Servern oder unter Bindung von Accounts Bereitstellungen von Kundendaten machen die Leute können einbehalten werden und müssen ihren Account bereitstellen und die Ermittlungsbehörden dürfen in seinem Namen weiterfingieren da steht also echt komisches Zeug drin ich empfehle euch diesen Referentenentwurf vom IT-Sicherheitsgesetz 2.0 Netzpolitikorg hat den ja veröffentlicht die demokratische Bundesregierung war der Meinung, dass die Bevölkerung das lieber nicht sieht und mitdiskutiert es gibt diesen Prozess nicht dass wir das erhalten wir erhalten das erst, wenn es eigentlich schon fast verabschiedet ist das heißt, wir werden an dieser Diskussion erst beteiligt wenn der druchs gelutscht ist das ist zu spät insofern bin ich jemandem wie Netzpolitikorg wirklich wirklich dankbar dafür das bereitzustellen dass man reingucken kann dass man weiß was in den Köpfen von den Leuten vorgeht was für ein Harnbüchern in Unsinn die sich da aus den Rippen schälen oder was uns demnächst belasten wird genau dasselbe haben sie mit dem Verfassungsschutzgesetz gemacht da sind ja irrsinnigste die haben den Verfassungsschutz vorgesehen die wollen von 3.000 Mann auf 6.000 Mann steigern also noch die doppelte Menge von diesen komischen Leuten im Einsatz haben in Deutschland ja mal Zeit das wird bestimmt doppelgut also das ist übrigens auch auf Netzpolitikorg gelegt worden insofern auch da nochmal Dankeschön das ist wirklich toll viele Recherche Dinge die ich tue oder die viele tun die ähnliche oder gleiche Sachen oder auch Mitstreiter in verschiedenen Tiefs leben davon leben davon, dass Leute wie Netzpolitikorg diese Dinge verbreiten und der dritte Punkt den ich jetzt als Beispiel hier aufgebracht habe internes Eckpunktepapier mit 4 Stufenplan scheißding ist noch nicht öffentlich aber da stehen ganz spooky Dinge drin die ich auf 4 Punkteplan bin haltet stilllegen von Internetleitungen und Servern wenn es noch immer ausgeht ich könnte jetzt als wenn ich jetzt so Offensiveangreifer werde wäre würde ich sagen ich kompromite hier eine kritische Infrastruktur macht von da aus ganz fieses Zeug und dann bomben die da weg mit ihren digitalen Waffen an das Schicht im Schacht kann man wunderbar steuern ganz so billig funktioniert es auch nicht aber das wäre zumindest eine der Strategien das zweite also diese 4 Stufen man hackt sich in fremde Netzwerke man sendert Daten, man löscht Daten die Intention ist klar dieser Bundestagsheck da sind die Daten von den allen gelegt worden, sie wollten sie am liebsten schnell über entfernt haben die Idee ist gut, die Umsetzung ist denn ich könnte auch Daten verändern Netzer hacken und Daten löschen von kritischen Infrastrukturen spricht ja nichts gegen es ja generell in dem Eckpunktepapier definiert vom Hörensagen ich habe das Dokument auch nicht gesehen haben, sagten das so das heißt mit dieser Strategie gehen sie wieder so weit vor und sagen der Kollateralschaden, dass wir im schlimmsten Fall alles kaputt machen der könnte vorkommen, aber wir sind ja die Guten wir sind ja die nicht die Achse des Bösen, wir sind ja der Tolle Westen also diese Strategie geht halt nicht mehr auf das glaubt den keiner aber das was sie in Raum stellen das was diese Eckpunktepapier zeigt das eben das was wieder unevaluiert ist unklar warum diese Gesetzeslage so ist warum haben sie diese Maßnahmen definiert was ist die Idee und die Intention dahinter insofern wäre dieses wissenschaftsfeindliches Setup an Sicherheitspolitik in Deutschland echt mal irgendwie anzugehen so den letzten großen Kracher den ich als Beispiel aufführe für die Sicherheitspolitik in Deutschland und das wünscht ihr was vom BMI nachdem so Vorbilder wie Australien gesagt haben ja verschlüsselte Messenger Texte die werden exfiltriert, Punkt wir nutzen dafür so etwas wie Staatstrojaner, Bektor, wir zwingen den Anbieter pief egal, das ist inzwischen schon durch und die Deutschen haben halt gesagt, das können wir auch wir wollen jetzt irgendwie alle Messenger dekripten können und zwar, das ist wieder dieses schöne Juristen Beamten Deutsch vor Anordnung Chats in liestbarer Form an Behörden geben stellt man sich das vor ja, Behörden wollen auf richterliche Anordnung diese liestbare Form übergeben bekommen, da denkt man gleich an diesen Passierschein A38 schön ausgedruckt, 3-fache Auslage und dann hingeschickt per Post das ist den dann auch aufgefallen dass das ein bisschen Hör und Tod klingt und im Juni 19 hat unter anderem geheimtagender Bundes-Sicherheitsrat diskutiert und ja, man müsste ein Grundgesetz dafür ändern, aber das ist ja für die Sicherheit und das ist sinnvoll wer braucht schon Grundgesetze, es gibt diese Supersicherheitsgesetze, Sicherheit und dann ist das mehr als Grundress was aber die neueste Idee ist, wie sie das verfeinert haben ist, man nimmt eben diese Ende zu Ende Verschlüsselung von WhatsApp, Streamer, Signal pief egal und sagt eben, naja, wir unterwandern entweder ein durch ein Staatstrojaner und können das dann am vordem Ende eben mitschneiden oder der Anbieter wird gezwungen einen dritten Beteiligten in diesen vertraulichen Kanal einzuschleusen und die Authentifizierung zu unterwandern und dann gibt es halt ein Ende zu Ende verschlüsselten Kanal und halt noch ein Ende verschlüsselten Kanal der hat dann auch nochmal dieses Ende zu Ende zu Ende halt da schöne Idee Leute ist auch technisch pfiffig aber damit habe ich eben auch keine starke Verschlüsselung mehr und wenn ich keine starke Verschlüsselung habe, ohne eine Hintertür heißt das, dass jeder andere das auch unterwandern kann dann haben ja durchaus Leute vom CCC anhand des Staatstrojaners gezeigt, wie Hörntod und Schwachsinn nicht so was ist und diesen Beweis zeigt man ständig und immer wieder aber diese Sicherheitspolitik ist halt wissenschaftsfremd und hat immer diese Vorstellung aber in diesem Fall, echt jetzt wird das funktionieren so nein, echt nein immer noch nein da werden sogar Experten, die wirklich jeden Tag diese Diskussion führen Lobbyisten jeder die kriegen langsam die Kretze und sind schon so sakastisch geworden dass man irgendwie sagt, was ist schlechtes Jahr so dieser Zynismus und Sarkasmus ist so inzwischen im Bild infangt schon bei so Leuten das geht echt nicht mehr also natürlich kann starke Verschlüsselung ohne Hintertüren auch von der OK, also organisierten Kriminalität genutzt werden, natürlich können da auch irgendwelche Terroristen nutzen irgendwelche durchgeknallten Einzelfälle rechtsradikale das sind Einzelfälle aber der Punkt ist halt, die können genauso Post benutzen um Drohbrief zu schicken oder Entracks oder was auch immer die können die Autobahn benutzen die können Lkw in Weihnachtsmarkt fahren ja ist jetzt ein Lkw kriminell ist die Straße schlecht nur weil es Cybers ist es nicht automatisch gefährlich und schlecht, sie haben Angst vor dem neuen sie betreten wirklich Neuland manche davon sie betreten nur dieses Neuland als Lotusblüten an denen perlt echt alles ab und das ist zum kotzen die sollten sich wirklich mal die Experten anhören, die Expertenmeinung verstehen und dann kapieren sie auch warum eine starke Verschlüsselung nur ohne Hintertüren funktioniert und die Bundesregierung macht beides sie fördert starke Verschlüsselung beim BSI und sie unterwandert sie durch die staatlichen Akteure überwande im BMI das BMI ist die Behörde die dem BSI vorgibt was sie tun das passt nicht es passt so was von nicht dass ich auch immer wieder mal das Gespräch gesucht habe mit dem ein oder anderen und das hier ist jetzt nicht irgendwelches person blaming oder victim blaming ich wollte einfach nur mal zeigen im BMI ist Onkel Lokalhorst irgendwie der Obergockel dann gibt es ein Staatssekretär der für die Informationstechnik zuständig ist und dann gibt es einen Abteilungsleiter eine Fahrzleiter und so weiter und so fort das Organigram ist verfügbar ich habe jetzt auch nur die vier hier rausgezogen es ist so, dass ich teilweise mit diesen Menschen per du bin ich diskutiere mit denen die sind wirklich diesen Gesprächs bereit man kann mit denen alles besprechen die sind nett die sind menschlich top aber sie haben halt eine Agenda die Politik eiskalt durch und es führt sogar so weit dass ich mit jemandem abends ein Gespräch geführt habe und gesagt habe, ey, dieses ganze Zittis ich kriege irgendwie Krebs an den Augen dann baut ihr noch so eine Cyberagentur auf jetzt wird das BSI noch an Hintertupfingen bei Dresden ausgelagert WTF und er sagte nur deine ethischen Bedenken sind ja durchaus gerechtfertigt beispielsweise der demokratische Prozessreferentenentwurf das ist noch zu früh aber das recht eigentlich veröffentlichen wir so etwas erst wenn die Gesellschaft gar nicht mehr darüber diskutieren kann nehme ich mal mit aber an der anderen Stelle kannst du dir auch mal mitnehmen ist schön dein Vortrag über Ethik ist auch ganz toll, dass die da ist ich finde das auch bewundernswert aber wir finden genug Leute ihr macht zu wenig ich habe gesagt wie wir machen zu wenig ihr macht offenbar zu wenig weil ihr eben nicht die Leute dazu bewegt sich darüber Gedanken zu machen ich habe gesagt ja, das ist ein guter Punkt den nehme ich mal mit, dafür habe ich auch keine Antwort vielleicht habt ihr eine Antwort und ihr könnt mit euren Freunden, Kumpels, Kollegen wir auch immer darüber reden ich habe mitgenommen, ich halte mal einen doofen Vortrag und bemühe mich in der Arbeitsgruppe oder was auch immer es ist ein ganz wichtiger Punkt da hat er auch recht zurück zu Critis was haben wir denn da noch so im Angebot haben wir ja jetzt alles gesehen was so passieren könnte, was ist Critis an einem konkreten Beispiel ukrainisches Stromnetz ist ja jetzt zu genüge ausgelutscht, waren 250.000 Leute betroffen, es war zweimal sogar in der Outage da die Schadsoftware oder die digitale Cyberwaffe heißt Triton ist ein Passiver Implant hat eine Remote Access Funktionalität sprich ein Datenpaket weg bis auf und dann kann man es nutzen der Punkt ist halt es hat die sogenannte Triconex Anlage angegriffen und es ist ein Safety PLC, nicht einfach ein Steuersystem sondern Safety Steuersystem und die Firmware wurde also im RAM gezielt manipuliert um eine Outage zu provozieren nach SEL 3 SEL 3 also Safety Integrity Level ist spezifiziert in IEC Norm und es ist so, wenn man jetzt eine Raffinerie als Beispiel nimmt, das ist mein Beispiel oben links in der Ecke alle Controls die man da hat 89% sind SEL Stufe 1 9% sind Stufe 2 2% sind SEL 3 diese Komponente in diesem Urkrechen nicht in Stromnetz war im Klassifiziert als SEL 3 in den SEL 3 heißt das Ding ist Schweine teuer das Ding ist Schweine reliable und echt safe and secure programmiert das hat kontrollierte Abläufe und es ist gute Software die ist wirklich gut abgehangen gut kontrolliert und läuft aber sie ist eben auch Schweine teuer und SEL 3 heißt so ganz grob wenn das Ding Schaden hat und nicht so funktioniert wie es soll kann man 2 bis 400 Menschen töten weil es eine Explosion passiert wurde ist sozusagen Absicht Menschen zu töten und zwar ein dreistelliger Anzahl wenn etwas an diesem Gerät passiert das ist also eine neue Form von Cyber War oder Cybercrime oder Hackback oder wie man es auch immer nennen mag der Punkt ist halt bei Stuxnet sollte nur die Produktion kaputt gehen hier hat man den Kauf genommen da geht Produktion plus Mitarbeiter kaputt das ist also eine ganz andere Bedrohung für Mitarbeiter für die Bevölkerung für kritische Infrastrukturen es gab Cyberangriffe in 2017-18 in der Energiebranche als Beispiel also die gab es in allen aber laut BSE gab es damals dann keine Hinweise dass es irgendwie auch erfolgreiche Angriffe gab es ist also alles gut aber ja, erfolgreiche Angriffe sind keine Theorie inzwischen haben ja genug Leute reale Situationen geschildert oder auch gesagt was kaputt war das ist Fake News ja, das ist vielleicht wieder so eine BMI-Info ist mir egal was es ist aber man hat es eben zum Anlass genommen und gesagt, naja, seit die Sicherheitsgesetz müssen wir weiterentwickeln wir brauchen zwei Nullen, noch mehr Vorgaben, Dinge Sachen Zeugs und Kram gibt diverse andere Angriffe auf Krankenhäuser auf Flughäfen es gab Outages Luftraum es gab irgendwie bei den Behördenproblemen also wirklich jeder Sektor ist betroffen weil es einfach kritische Infrastrukturen um genau relevant hat so, was machen wir denn nur damit ich habe mal fünf Beispielpunkte aufgeschrieben und gesagt was wäre eigentlich ganz nett ich habe jetzt so lange auch BMI und BSI rumgebäscht glaube jetzt ist klar, Unabhängigkeit des BSI vom BMI in der geeigneten Form und Art ja, anders kann man defensiv nicht machen dieses vermischen mit Offensive sehen wir in Amerika sehen wir in Israel, sehen wir in England das ist Fail by Design das sagt einem jeder Experte und das will man auch nicht eine strikt defensives Cyber-Sicherheitsstrategie die mal eine wirkliche Strategie ist wäre auch ganz schick ich habe gesagt, ABC Waffen sollte man ergänzen mit den digitalen Waffen also ABCD Waffen vielleicht kommen wir bis Z irgendwann aber wenn wir alles echten, was irgendwie scheiße ist dann haben wir auch viel erreicht im Leben und den Punkt kann Deutschland beispielsweise in die Welt austragen und mitnehmen Evaluierung der Fandengesetze und Maßnahmen es ist nicht schlimm, dass sich Gesetze ändern es ist auch nicht schlimm, dass Maßnahmen ergriffen werden aber es ist schlimm, wenn die Inkompetent realisiert werden und dann voll ausgereizt oder eben nicht voll ausgereizt und nach mehr Überwachung notwendig ist das ist echt der falsche Weg und ein anderer Punkt ist vielleicht auch der Bevölkerungsschutz durch das Fixen von Schwachstellen durch Hersteller zwingt die mit Produkthaftung dazu die haben doch so kein Bock drauf die haben so kein Bock drauf dass Leute die Research machen und Hersteller anschreiben irgendwie voll mühselig diesen Prozess durchlaufen müssen während du einem staatlichen Akteur oder diesen ganzen Allday-Händler nur eine ranzige Mail schicken musst mit ein paar Infos und du kriegst Kohle überwiesen oder Bitcoins das funktioniert nur weil es keine Produkthaftung gibt wenn die für ihre Produkte haften müssen dann sorgen die dafür, dass die nicht kaputt gehen das sieht man in der Automobilbranche das funktioniert ja, das hätte ich gern auch für kritische Infrastrukturen und zwar richtig und weltweit kann viel dauern wenn der Tag lang ist ich bin genauso wenig Experte wie der andere ich mach mir meine Meinung ich rekalibriere meine Ethik ich überlege was macht Sinn, was macht nicht Sinn dieser Cyber-Sicherheitsstrategie defensiv ich hab drei Beispiele aufgeschrieben im Kritisumfeld könnte man beispielsweise Open Source Software benutzen oder Quellcode in treuhänderische Verwaltung abgeben dann ist es eben nicht so dass der Hersteller nicht mehr verfügbar ist dieses diese Firmenwehr oder diese integrierte Embedded Software halt nicht mehr updatebar ist und kaputt bei Design ist aber noch die nächsten 20 Jahre in der Produktionsanlage steckt weil der so eine 5x 10x 5 Meter große Wasserpumpe im Staudamen nicht rausreißt nur weil die scheiß Software kaputt ist das heißt ja ein Versorgungsausfall bis das Ding wieder ausgetauscht ist und das dauert Monate das ist nicht der Sinn der Übung also könnte man damit vielleicht umgehen kann sich die Politik vielleicht mitnehmen keine Bereitstellung von Budgets für die Behörden warum sollen die verdammt nochmal Odys kaufen oder entwickeln können wir wollen alles sicher machen wir wollen uns anderen Hintertüren da ein das geht nicht alle staatlichen Akteure sollten eigentlich auch dazu verpflichtet werden, dass sie das über in Deutschland beispielsweise im unabhängigen BSI an den Hersteller melden wenn man dann noch die Produkthaftung oben drauf setzt eben auch sagt ist nicht mehr gibt noch mehr Ideen das ist nur so als Anregung für die Unabhängigkeit des BSI noch ein Beispiel man kann verschiedene klärten Meinungen und Optionen evaluieren ja sind einige definiert worden könnte man alle sich mal angucken eine sehr vielversprechende ist den pang auf 1 vom BSI Gesetz zu ändern in zwei wesentlichen Punkten sie würden wissenschaftlich technische Erkenntnisse als Grundlage nutzen dann ist dieser Hirnfurt mit der nicht wissenschaftlichen Variante vom Tich und sie würden jeweils fachlich zuständigen Ministerien mit einbeziehen müssen dann ist nicht mehr ein BMI-Wünsch dir was man hat auch mit den anderen Beteiligten Aufsichtsbehörden klären und die haben ihre Eigenagenda als alles zu unterwandern das wären durchaus zwei Punkte die man mal näher beleuchten könnte und vielleicht auch diese vielversprechende Option genauer bewertet und sagt dort läuft so damit bin ich am Ende von dem was ich euch heute mal aus Ausblick zeigen wollte ich habe jetzt beispielsweise nicht über Attribution oder so gesprochen ich habe mir zur Herzen genommen mit ein paar guten Freunden zu sagen, wir machen eine Defensive Kon in der Seabase in Berlin nächstes Jahr eine zweite, die erste war so eine ganz kleine Runde da werden wir also dann ein bisschen was über Defensive Strategien oder Möglichkeiten diskutieren und hoffe, dass ihr alle da auch aktiv mitmacht oder eben auch eure Ethik dauerhaft kalibriert und nicht nur auf diesem Punkt, danke da dies der letzte Talk des Abends in diesem Saales haben wir noch ein paar Minuten Zeit für Fragen und ich möchte euch herzlich bitten eure Fragen in die Mikrofone zu sprechen die unser Mikrofonengel dort im mittleren Gang für euch bereitstellt und während ihr zu den Mikrofonen geht möchte ich noch kurz betonen, dass das Thema Kritische Infrastruktur mich auch sehr interessiert und aus diesem Grund haben Honkhase und ich im April im Rahmen von TUWAT die AgriKrit ist gegründet, die Domain findet ihr da ganz unten auf der letzten Slide, wo wir uns als Arbeitsgruppe mit 20, 25 Leuten ungefähr mit dem Thema Endetail beschäftigen, britische Forderungen erarbeiten mit Behörden sprechen und schaut euch mal an und spread the word, da sind die britischen Forderungen, die in auszügenden Endetail schon dabei waren nochmal ausformuliert im Detail mit etwas mehr Detail Tiefe dabei und jetzt bitte schön zur ersten Frage Ja hallo Fokami hier also zum einfach erstmal vielen Dank für den Vortrag, Enesa hat mich ein bisschen ich würde doch sagen fast irritiert ist, es gibt gar keine europäische Perspektive dabei weil es ja so dass sozusagen das IT-Sicherheitsgesetz ist ein Ergebnis der nächste Direktive also dem was in Europa gemacht wurde der Cyber Security Act ist das nächste und für die Produkthaftung das ist ja gerade auf dem Weg d.h. da muss man tatsächlich ein bisschen rein sozusagen damit beschäftigen damit man da obwas erreicht erstmals Kommentar der zweite Kommentar den ich habe ist ich finde den Begriff digitaler Waffen unglaublich schlecht gewählt das Problem, wir haben nämlich zwei Probleme, erstmal verstehen die Unterschiede nicht zwischen dem XSS und dem Narimot Code Execution in irgendeiner Kritiskomponente und das heißt nämlich zweitens, dass die Leute die irgendeine Art von Schad Software oder so mit sich tragen, eine Waffe mit sich tragen und wenn die nach ABC und dann der Regeln da sind sieht das hier ganz anders aus, stell dir vor du würdest hier jemanden haben damit ein Stück Protonium romantiert was hier los ist und das ist halt sozusagen, da muss man wirklich das im Alltag in Brüssel das Dealers auf eine Art und Weise benutzen das willst du echt nicht sozusagen in dem Kontext haben, ja vielleicht ganz kurz was also ja, verstehe ich das Problem ist, du redest mit Politikern und die verstehen nur harte Worte wenn sie überhaupt was verstehen die hören nicht auf die Sicherheitsexperten wir, nicht nur ich, haben bewusst diesen Begriff digitale Waffe gewählt um auch klar zu machen, dass es scheißverdammt nochmal genauso eine beschissene digitale Waffe wie Protonium ist wenn du ein Blackout in Deutschland oder in Europa provozierst und ich schwöre dir, es gibt so viele Möglichkeiten das zu machen wenn du das, lass mich ausreden wenn du das provozierst und durchziehst haben wir ein Blackout am Arsch und der Schwarzstart wird nicht einfach der Wiederaufbau wird die Tage dauern, wenn nicht Wochen wir haben nach 2 Tagen ernsthafte Probleme, weil gefroren es auftaucht, weil Supermärkte Marsch sind und wir werden nach 5 Tagen einen Bürgerkrieg haben und zwar in ganz Europa und das ist kein Horrorszenario sondern scheißverdammte Realität und deswegen habe ich 30 Kilo Präparfutter in meinem Keller gehortert weil ich inzwischen gar kein Bock mehr hab auf diese europäische Politik oder deutsche oder amerikanische zu hören, die den ganzen Tag ankommen und sagen Cyber War, wir knallen alle ab das sind digitale Waffen und das sind Massenvernichtungswaffen wenn man das so durchzieht natürlich ist der XSS das nicht aber das kannst du den doch nicht erklären und ich zeig dir auch dass ein XSS sogar die Vorbereitung ist ist die Vorbereitung jetzt nicht schlecht Vorbereiten dürfen wir alles? Das sehe ich nicht weil du musst ein Mikro nehmen wenn du zu Mikro gehst vielleicht das Problem ist ja dass dieser Exploit ist ja nicht das was die Explosion zum Beispiel dabei führt sondern es ist ein weiterer Code das ist nicht der Exploit also das heißt die Diskussion die du führen musst die musst du eben und das ist halt warum ich in Europa bin weil du in Europa mit Leuten redest die ein bisschen mehr auf Spezialisten-Diskussionen legen und die Nisterdirektive ja auch an den Stellen wo sie in Deutschland gut ist ja nicht gut ist, weil die Deutschen so toll ist sondern weil das man das in Europa so hin gebaut hat und deswegen du musst dich auf die dass das hier so ist, kann ich verstehen aber ich glaube dass man die anders unter Druck setzen muss als denen etwas in die Hand zu geben was die uns in den Schuh Fuß schießen lässt weil das passiert die werden das nämlich nehmen und sagen wenn du hier IT Security machst dann möchte ich mal bitte das Recht haben dich jederzeit durchsuchen zu können zum Beispiel ja also ich möchte da auch noch mal kurz was zu sagen ich bin auch in der Art Redes aktiv Forschung und Schutz der Bevölkerung ist auch bei A, B und C Waffen möglich es gibt Labore in denen B und C Waffen vorhanden sind um damit Schutzmaßnahmen wie Gasmaßnahmen, Schutzanzüge und so weiter zu testen und zu schützen und im selben Sinne könnten wir unsere Community wenn wir es richtig aufziehen und wir sind proaktiv da wie ich das zu tun als ein solches Labor klassifizieren, aufbauen, positionieren von Anfang an zwischen einer Echtung heißt kein Forschungsverbot eine Echtung heißt nur dass Staaten sich demokratisch darauf einigen dass sie es nicht einsetzen wollen Forschung wird weiterhin erlaubt sein aber Hongkong und ich teilen das dass wir weiterhin forschen wollen und auch diesen Spielraum uns offen lassen müssen nächste Frage bitte ja, Thomas Wiegold ich befasse mich ein bisschen mit Bundeswehr und äußerer Sicherheit und im Gegensatz zu meinem Vorredner bin ich recht froh über den Begriff digitaler Waffen weil an einem Punkt möchte ich dir vielleicht ein bisschen präzisieren ich soll zurückgehen ok, dann gehe ich zurück was Streitkräfte angeht also konkret die Bundeswehr da gilt bislang die Aussage über die ich eigentlich ganz froh bin dass der Einsatz digitaler Mittel den gleichen Regeln unterliegt wie der Einsatz herkömmlicher konventioneller Waffensysteme das heißt die rechtliche Grundlage ob man Rakete abfeuert oder eine digitale Waffe startet ist die gleiche damit sind wir in einer Situation wo wir sagen außerhalb oder unterhalb Spannungs- und Verteidigungsfalls müssten wir die Bundeswehr eigentlich erstmal ein bisschen außen vorlassen ich weiß nicht ob es nicht der Debatte besser tete wenn wir die sehr besorgniserregende Entwicklung die sich im Bereich der inneren Sicherheit auftut unterhalb des Spannungs- und Verteidigungsfalls wenn wir nicht sehen dass da die eigentlichen Probleme liegen deswegen wird ja auch bei dem Hackback darüber diskutiert BSI oder BND die Bundeswehr wenn der große vaterländische Krieg ausbricht dann reden wir über andere Regeln das gebe ich zu aber wir reden genau über das darunter der zweite Punkt leider ist es nicht so dass atomare Waffen völkerrechtlich geächtet wären das wäre schön es ist nicht so chemische Waffen sind geächnet paar andere kleinere clusterbomben antipersonenmin sind geächtet ich halte das für ein heeres Ziel zu sagen man möchte eine Echtung auch digitaler Waffen wenn ich aber sehe dass derzeit die Debatte über KI in militärischen Einsätzen mit UN-Konferenzen läuft wo auch alle Experten versuchen auch nur zu einer UN-Konferenz über eine Echtung zu kommen dann bin ich bei dem Thema so was sonst skeptisch ich halte es nicht für realistisch dass es zu einer solchen Echtung kommt so schön das wäre ich würde es nicht im Moment zur Grundlage der Debatte machen danke ich habe nur gesagt wünsch dir was und ich wünsch mir das und ich wünsch mir auch dass atomare Waffen wirklich komplett geächtet werden es ist lächerlich, dass sich Deutschland da nicht sauber positioniert aber ich will das genauso für digitale Waffen und ich nenne sie auch weiterhin so weil sie genau das darstellen für mich dass man das in manchen Positionen und Diskussionen anders formulieren muss d'accord dass man manche Dinge auch übers Ziel hinaus formuliert ja gut, ich muss auch klappern damit man mich wahrnimmt ich bin auch nur einer ich reiß die Klappe auf und versuche mal zu gucken ob sich was bewegt ich habe auch Feedback bekommen dass diese ethische Rekalibrierung bei vielen Menschen durch das was ich tue durchaus eine Wirkung hatte dann freue ich mich da drüber aber da schaffe ich nicht dass es nicht so gut ist also von daher ich überziehe auch ein bisschen genau Moment, Fukami bevor du einen weiteren relevanten Begrüßbeitrag ablieferst möchte ich einmal kurz fragen lieber Signal Angel, haben wir eine Frage was du Internet einen Beitrag das ist ein Nein dann Fukami, bitte schön also ich möchte nochmal versuchen dir klarzumachen warum digitale Waffen scheißbegriffe ist ja Vollkontrolldiskussion vor einigen Jahren die vielleicht mitbekommen hast immer wieder dieses Ding gehabt was ist der Unterschied zwischen einer Idee und Code und wenn du dir in bestimmten Kontexten ankust, gibt es genau gar keinen Unterschied Punkt 1 Punkt 2 ist, auch wenn du so ein Labor hast wo du sagst die experimentieren mit Code in einem sicheren Environment so dass exploits oder digitale Waffen nicht sozusagen raus kommen oder so drehst du ja also das Problem was wir haben ist ja heute nicht in der Hauptsache dass Kritis in die Luft geht sondern dass unsere unserem Alltag jedes Kakt Device was wir haben die Luft geht das heißt dieses wenn du die digitale Waffe die du hast die gegen den IoT Device wirkt oder wie du selbst gesagt hast ein XSS könnte eine vorbereitende Handlung zu einem Angriff sein also die Absenkung dessen was dieser Code oder am Ende die Idee macht um einen Angriff durchzuführen der vielleicht auch tatsächlich ein Atomkraftwerk treffen könnte theoretisch sorgt nicht dafür dass du eine höhere Sicherheit erreicht sondern du wirst genau das Gegenteil erreichen nämlich dass du Gesetze kriegst die sagen was ich immer als Code Regulierung begreife dass sie sagen du darfst das nicht tun nicht benutzen, nicht angreifen nicht auf deinem Rechner haben und das diese Diskussion habe ich in Brüssel schon geführt mit Leuten aus den, also hier so ein Natenrahtumfeld Fokami, das ist völlig in Ordnung und du darfst diese Diskussion so weiterführen haben ich habe auch das Recht meine Diskussion so zu führen ich möchte dir ein konkretes Beispiel du kannst, ich trete ja noch nicht mal davon dass bei dir zu Hause ein IoT Device umkippt das interessierte Gasmann und Klempner aber wenn du halt dafür sorgst dass beispielsweise alle Sprengleranlagen gleichzeitig aktiviert werden hast du kein Trinkwasser mehr in diesem Staat weil der Druckabfall so hoch wäre wenn du eine Million Geräte gleichzeitig aktivierst dass du einfach einen Versorgungsenkpass hast und dann hast du auch mit einem lächerlichen XSS in so einer ranzigen Cloud von irgendeinem Hersteller der 3,50 Euro Komponenten dir vertickt hat weil einfach keine Sicherheit drin ist zu einer kritischen Infrastruktur Bedrohung gemacht und dann ist selbst dieser ranzige kleine Code den du da benutzt hast um ein bisschen Pillepalle kaputt zu machen eine Bedrohung für die Bevölkerung und das ist nicht witzig und das ist auch europäischen als auch deutschen Politikern klar zu machen du kannst dir die bescheuersten Systeme zusammenbasteln und sagen ich greif jetzt an und wenn du das gezielt in Kettenreaktionen machen, machst dann hast du auch von Kleinigkeiten die in der Kettenreaktion, das war das was ich vorhin mit Cyberwirk Kette ja, du manipulierst Wasser, dann sind sie beschäftigt und der Druckabfall macht Panik dann gehst du hin und machst einen gezielten Angriff gegen Strom und dann hast du irgendwann eine Kettenreaktion also ich will jetzt nicht zu viele Szenarien im Detail beschreiben, weil es vielleicht dann eher so Vorlagekonstrukte waren das mit dem Wasserweihern waren das sind natürlich Forscher die das gemacht haben nur der Punkt ist du kannst jede Konstellation von Kleinigkeiten zu einer digitalen Waffe ausbauen das ist ein Bausatz an Komponenten und wenn du die richtige Mischung hast und die geht verdammt schnell und einfach unter den Experten dann hast du da echt ein Problem du kannst mit einem kleinen, garstigen Code der eigentlich gar nicht so wild ist eine Luftverburblung in einem Ventil verursachen und damit eine Störung verursachen dann hast du eben kein Fließwasser mehr das ist bei einer großen Pumpe ziemlich blöd wenn die einfach monatelang braucht um ausgetauscht zu werden dann ist das kleiner ranziger Code der eine digitale Waffe darstellt und zwar als Bedrohung für ganz viele Menschen und nicht nur für einen bei dem so ein publisches IoT-Divisor das ist ja alles richtig das ist ja auch eine Diskussion wir sollten eine Diskussion abkürzen und vielleicht dann bei einem Bierchen weil wir springen den Rahmen aber also danke für die Anregung und ich werde mich auch immer diese Anregung stellen und auch das diskutieren aber dann habe ich mein Ziel erreicht ich möchte Leute mit diesem Talk anregen die Ethik zurückkalibrieren diese Dinge zu diskutieren und in Frage zu stellen stellt auch mich in Frage ich bin kein Experte, ich sage hier meine Meinung ich sage das was ich mitbekommen habe und ich wünsche mir, dass ihr euch alle mitnehmt dass ihr diese Diskussion auf dem Level führt das wäre super vielen vielen Dank für diesen tollen Talk und diese spannende Diskussion ich wünsche euch allen einen großartigen Abenteuter auf dem Camp trinkt nicht so viel wie ich und Honkhase leicht trinken werde geht früher schlafen als wir beide und sorgt dafür, dass ihr auch morgen noch ein schönes Camp haben werdet und ich finde, der Honkhase hat das sehr gut gemacht und sollte nochmal einen großen Applaus bekommen