 Was machst du denn da? Ja, Rückblick. Oh, Jahre da, letztes Jahr, WannaCry, ne? Da ist einiges dieses Jahr passiert. Oh ja, ganz schön. Wir waren viel unterwegs am Anfang des Jahres. Oh, Dortmund, war das schlimm. Aber egal, lass uns das die Profis erzählen. Wir begrüßen hier, ganz freundlich. Konstanzel. Nexus. Frank Rieger. Und Linus. Lauter! Du musst das anschalten. Ich habe es angeschaltet. Nein, du hast es ausgeschaltet. Herzlich Willkommen zum CTCA. Das Jahr war ja so ein bisschen holprig, würde man wohl sagen. Und es war eine ganze Menge los, darüber wollen wir sprechen. Im Gegensatz zu früheren Jahren, werden wir dieses Jahr nicht chronologisch vorgehen. Weil wir dachten, dieses Jahr macht chronologisch noch weniger Sinn als ohne Chronologie. Deswegen sind wir so ein bisschen auf Themenblöcke ausgewichen. Wir fangen mal an mit einer Danksaugung an unseren alten Standort. So sah Hamburg aus, als wir damit fertig waren. Ja, und so eine Location zu verlassen, ist natürlich irgendwie ein emotionaler Moment, aber auch so ein Blick auf, wie sich auch die Veranstaltung gewandelt hat. Wir haben den 28 C3 in Berlin mit ungefähr der Anzahl Personen abgehalten, die in Hamburg in den Saal 1 gepasst haben. Die Gesamtfläche vom BCC war ungefähr das, was wir in Hamburg als Hexcenter hatten. Also so die Grundfläche. Und die Veranstaltung haben wir von etwas über 3 auf 6 auf 12.000. Und jetzt hier in Leipzig auf 15.000 Personen gebracht. Von euch ist es zum ersten Mal auf dem Kongress. Herzlich Willkommen. So eine Veranstaltung auf größer werden zu lassen geht natürlich nur, weil wir sehr viele Menschen haben, die als Engel helfen, diese Veranstaltung zu wuppen. Und es ist auch so ein bisschen der Kern, dass ein wiederer Chaos-Computer-Club funktioniert. Wir machen eigentlich alles, was irgendwie geht, mit freiwilligem Arbeit. Das hat natürlich Auswirkungen daraus, wenn wir im Laufe des Jahreslubricks noch mal zukommen, dass wir nicht immer so super-ultraprofessionell agieren können, weil die Menschen halt, die sich für den Club engagieren, halt einfach auch normaler Leben haben, normaler Arbeit nachgehen und alles, was sie für den Club tun und im Club tun, halt ihre Freizeit ist, was sie tun, weil sie daran glauben, was sie gerne möchten. Das ist natürlich dazu führt, dass wir insbesondere, weil wir dann halt mit, sagen wir mal, professionellen Lobby-Organisationen zu tun haben, uns schon überlegen müssen, wie wir da in solchen Konflikten bestehen können. Was es auch bedeutet, ist, dass die Frage, wie schafft man im Club auch auf den Veranstaltungen eine Community, die immer größer wird, trotzdem noch beieinander zu halten, dieses Kongressgefühl, dieses, wir sind eine Familie, beieinander und aufrecht zu erhalten, obwohl wir immer mehr werden und auch immer mehr unterschiedliche Interessen und, na ja, ich würde jetzt nicht sagen Strömungen, aber doch Arten zu leben und zu denken, zueinander kommen. Und das ist so eine der großen Aufgaben, die wir so sehen in den nächsten Jahren, nicht nur auf den Veranstaltungen, sondern auch im CCC. Wir haben aber auch, denk ich gerade in dieser Hamburger Zeit, einfach viel Zuwachs bekommen um, und den haben wir absichtlich bekommen und den haben wir über den freuen wir uns auch von verschiedenen Teams, die eigentlich die Orga und das Event jetzt ergänzen. Ihr erinnert euch sicherlich an das Projekt Chaos-Partien, die sich bemühen für Erstbesucher und insbesondere Frauen hier in Willkommen zu schaffen und die eine Akklimatisierung auf so einer Großveranstaltung herzustellen. Wir haben eine Awareness-Team, was hier sich dafür sorgt, dass alle einen vernünftigen Umgang miteinander pflegen. Und ich denke, das ist die eine Sache, über die wir uns ja wohl alle einig sein sollten. Ich hatte an dieser Stelle jetzt mit Applaus gerechnet. Wir haben einen Zert, dass hier die absolut perfekte medizinische Versorgung mit unglaublich vielen Menschen mit einem professionellen Background in einer professionellen Service-Level-Qualität bereitstellt, die jedes Jahr sich nochmal toppen und für alle Bedürfnisse, die unterschiedliche Menschen hier haben können, insbesondere auch, wenn es Limitierungen gibt, wie man sich bewegen kann, für all das bereitstehen. Wir haben, ihr habt es bei der Opening-Ceremonie gesehen, da ist wieder so ein Applaus, mit dem habe ich auch gerechnet. Wir haben Gebärdensprachen, Dolmetscher, wir haben das Lingo-Team, was live übersetzt. Ich bin einfach jedes Mal so ein bisschen überwältigt, wie ich das alles so auf einem hoffen sehe. Wir haben auch seit einigen Jahren schon ein Team, was Menschen aus dem autistischen Spektrum näher betreut, das auch gewachsen und bietet ihr sozusagen, nachdem er so inoffiziell war, jetzt als offiziellen Service an. Das heißt, aus der Community heraus sind diese Ideen gewachsen und werden einfach in den Teams organisiert, ohne dass da groß Hilfe von der Gesamtauger gelessert werden muss und sich einfach selbstständig organisieren. Und dass die Anzahl der Engel mit der Größe des Wachstums, derjenigen, die hierher kommen, mitwächst, macht uns natürlich unglaublich stolz. Es ist, glaube ich, ein Charaktermerkmal dieses Kongresses, was wir auch unbedingt erhalten wollen, sodass sich ein Großteil als Teilnehmer versteht und nicht als Konsument. Und dass man auch wie heute, wo so viele wegen des Jungehackertags so viele Jugendliche und Kinder dabei sind und auf Familien freundlicher geworden ist, das wir dabei behalten können und diesen speziellen Charakter erhalten können. Das war ein Danke an euch. Wir freuen uns natürlich über den neuen Spielplatz, den wir jetzt zu bespielen haben. Allerdings. Wir sehen, wie bei so einem Umzug, da kann man vieles sofort wuppen. Und man sieht immer auch noch einiges Optimierungspotenzial und sei es auch nur typografisch. Wir müssen da mal dran arbeiten. Genau, also in diesem Sinne, dieser Kongress ist quasi die Beta in diesem Haus. Das heißt, wenn es an so ein paar Ecken noch ruckelt und noch nicht so ganz so endgültig toll ist, das sind alles die Dinge, die wir uns für nächstes Jahr aufschreiben. Das heißt also, es liegt dann auch an allen, alle Dinge besser zu machen, die wir dieses Jahr feststellen, die noch nicht so ganz so toll super sind, wie es halt so ist direkt nach dem Umzug. Da hängen die Bilder auch noch nicht richtig an der Wand und sind noch nicht alle Bücherkisten ausgepackt. So, dann kommen wir mal zu den Klassikern, dieses Rückblicks, nämlich der Verein. Der Chaoscomputerclub ist ja eine große Familie, die sehr viel größer ist als die eigentliche CCCEV. Trotzdem gibt es diesen Verein, der halt quasi den Kern bildet im Sinne von dem engeren Familienkreis, der sich um die ganzen Finanzen und diesen ganzen Kram kümmert. Darüber wollen wir kurz ein bisschen erzählen. Nächster, was machst du das? Wie immer hat uns das Office in Hamburg, was schon seit Jahren einen sehr, sehr guten und echt anstrengenden Job macht, weil dort werden mehrere Tausend Mitglieder verwaltet. Auch wieder Zahlen zur Verfügung gestellt. Hier die Neumitglieder der letzten zwölf Quartale, damit man mal so ein bisschen Überblick hat, wie sich das dann auch entwickelt und wie sich so die Strukturen bilden. Wir haben tatsächlich, sieht man irgendwie so, dass häufig so am Anfang des Jahres immer so ein bisschen weniger ist, Richtung Ende des Jahres ein bisschen mehr. Und wir sehen, dass der Verein eigentlich deutlich weiter wächst. Wir haben auch dieses Jahr wieder eine deutliche Inzahl von neuen Mitgliedern gewonnen. Und das ist eigentlich schön zu sehen, dass es auch immer mehr Menschen gibt und die Masse eigentlich immer breiter wird. Du musst schon die Anomalie erklären. Da kommst du nicht drumherum. Die Anomalie 2017 ist so ein bisschen eine Frage. Das könnte so ein bisschen dran liegen, weil der nächste Block, der ist ziemlich groß, dass das Office ausnahmsweise mal ein bisschen Urlaub gemacht hat. Man muss das mal so sehen. Wir hatten auch noch mal Zahlen, wie das so mit Mails aussieht. Da werden im Jahr mehrere Tausend Mails von Hand verfasst und rausgeschickt, wie man das jetzt irgendwie leistet. Das ist schon einiges an Respekt wert. Wir haben jetzt schon auf dieser Veranstaltung gehört, dass einige neue Fördermitglieder eingetreten sind. Wir bitten auch um etwas Nachsicht, wenn die Bearbeitung über das Office manchmal etwas länger dauert. Es ist immer nach dem Kongress oft so ein Hümpel an, so ein Stapel an Papier. Das wird auch alles in freiwilliger Arbeit gemacht über das ganze Jahr. Ich kann mir schon vorstellen, dass das Echte, die sind auch gar nicht so viele und die sind echt gut beschäftigt. So, wir haben mal versucht, so ein bisschen rauszuklamüsern, wo sich der Chaos Computer Club so konzentriert. Wir haben ja in Deutschland insbesondere, aber auch in Parland und im Ausland, eigentlich in fast allen größeren Städten lokale Gruppen, die sich Rfa nennen. Das ist noch ein schönes, altes Wort aus der Zeit von Tuvert. Das ist der Erfahrungsaustauschkreis. Das haben wir beibehalten, und dann gibt es noch Chaos Treffs. Diese lokalen Gruppen ist eigentlich das, wo der Chaos Computer Club und das Jahr halt stattfindet. Also, wo sich Menschen zusammenfinden, wo sie zusammen Projekte machen, wo sie überlegen, was man tun kann. Veranstaltungen machen, lokale Bildungsinitiative machen, lokale Pressearbeit machen und halt in der Regel einen sozialen Raum haben, also in Hackerspace, den sie mit Leben erfüllen. Das heißt, dieser, das Herz und die Seele des Vereins, nicht das, was so nach außensichtbar ist, sondern die eigentliche Chaos Computer Club in den vielen Städten, wo Menschen sich zusammenfinden. Ja, also man muss an der Stelle ganz klar erwähnen, dass tatsächlich die ganze inhaltliche Arbeit, die irgendwie so stattfindet, über das gesamte Jahr auch dieses, kommen wir später am Ende wahrscheinlich nur kurz zu, wir haben immer einen relativ großen Blog gehabt, über Events, die lokal stattfinden. Diese ganze Arbeit wird in den Rfaß irgendwie geleistet und in den Chaos Treffs. Und das ist eigentlich so das, was auch diesen Kongress trägt, weil das ist das, was die Menschen zusammenbringt und es überhaupt ermöglicht, dass wir solche Veranstaltungen dann später überhaupt irgendwie durchführen können. Also wenn es euch hier gefällt und ihr zum ersten Mal hier seid und ihr fragt so, wie geht es denn so ein bisschen weiter, dann guckt mal, ob es in eurer Stadt einen lokalen CTC-Ableger gibt in der Regel ja oder in der nächsten größeren und schaut einmal vorbei. Die sind in der Regel sehr freundlich, in der Regel gibt es immer einen offenen Tag die Woche, wo man einfach mal vorbeischauen kann und man kann mal unten in den Sammleys viele von den lokalen Rfaß in Chaos Treffs haben da halt ihren Anlaufpunkt und haben eigentlich die schöne Tradition, dass um Kongress sich immer Leute zusammenfinden, die zwar aus derselben Stadt kommen, aber sie noch nie können, das wollen natürlich auch fortsetzen. Wir haben auch weltweit eine Menge CTC-Mitglieder, die verteilen sich relativ wenig überraschend primär auf das deutschsprachige Ausland, aber auch noch in diversen anderen Ländern. Wenn man es auf der Weltkarte anguckt, kann man so fast sagen, wir sind überall. Wir haben jetzt eine Weltkarte. Genau, wir haben jetzt eine Weltkarte. Aber Nächste, du wolltest mal die Farben erklären, die ist ja nicht selbsterklärend. Ja, das hat uns das Office so geschickt. Wir haben da einen Moment drüber gegrübelt und das mit der Liste vorher verglichen und das ist tatsächlich so, je dunkler die Farbe ist, desto mehr Mitglieder sind dort verortet. Da wo weiße Flächen sind, das heißt nicht etwa, dass wir da keine Mitglieder haben, sondern da ist die Mitgliederzahl eben sehr gering. Und diese etwas geräulichen Flächen, das sind die Orte, wo wir vielleicht noch Mitglieder suchen müssen, ist vielleicht auch ein Ansporn, wer da irgendwie bekannte, verrannte Freunde hat. Vielleicht wäre so was interessant, damit wir diese Karte vielleicht mal komplett gefüllt bekommen. Oder auswandern will. Oder auswandern. Ja, dann kommen wir ein bisschen zu den Themen. Das ist eines der bestimmenden Dinge, wo wir am meisten anfragen dieses Jahr, was die Presse angeht, also mit am meisten anfangen hatten. Zwei Themen. Aber eines der beiden war dieser ganze Komplex, Fake News, Social Bots und dann am Ende dieses Netzwerk Durchsetzungsgesetz. Da müssen wir jetzt leider mal ein bisschen länger drüber reden. Hoffentlich zum letzten Mal. Ich glaube nicht. Also das war wirklich sehr anstrengend. Also diese Social Bots haben wir dann wirklich ... Ich war im Monat, das war schon letztes Jahr beim Kongress, dass wir dazu die ganzen Anfragen bekommen haben. Und irgendwie, ich glaube, die DPA hat getickert, einer der Schwerpunkte sind die Social Bots. Und das war ... Schwerpunkt ist natürlich ein großes Wort. Dann war es ein Schwerpunkt. Dann war es einer zumindest für unsere Arbeit. Und das ging dann so nach ein paar Monaten, da wurde dann eine Technikfolgenabschätzung Studie gemacht, wo wir unsere Einschätzung zugegeben haben. Da gab es öffentliche und nicht öffentliche Anhörungen zu diesem Thema. Und ich sage mal, das Thema hat ja jetzt gar nicht unbedingt so viel Fleisch, wie jetzt zum Beispiel so etwas wie Staats- und Anforgersdatenspeichern. Also aus der technischen Sicht. Aus der technischen Sicht. Aber wenn du mal ... Die Situation, zu denen es da kam ... Man achtet auch das Datum von diesem Bild, was ein bisschen so was dazu sagt, wie sehr wir dieses Thema mochten, so übers Jahr. Das ist also der 30. Januar, man sieht, ich bin dann auch so nur noch mild gut gelaunt und werde aber auch mit einigen Befremden von den anderen Sachverständigen da wahrgenommen. Ich glaube, das zeigt so ein bisschen auch die Rolle des CCC hier. Wir haben eigentlich ein bisschen mit Verärgerungen wahrgenommen, wie wenig Daten getrieben, wie wenig fundiert, da die Debatte stattgefunden hat. Und haben natürlich dieses Jahr hier, ich glaube, mit zwei Vorträgen ... Drei, eigentlich. Sind's drei. Drei zu dem Thema, glaube ich mal, gezeigt, wie man sich dem Thema auch mal wissenschaftlich Daten getrieben und aufgeklärt nähern kann. Und freuen uns, dass wir dieses Jahr den Schwerpunktshauschebots dann auch vernünftig gefüllt haben. Es hat sich über die Jahrfindings ein bisschen geändert. Am Anfang war die Debatte aus meiner Sicht innerlich sehr flach. Ja. Und so über die Jahr ist es aus meiner Sicht ein bisschen besser geworden, weil man auch zur Kenntnis genommen hat, dass es allerhand wissenschaftliche Studien gibt, über die man mal sprechen muss. Und so ein bisschen auch diese Geifande und diese Hysterie, die sich am Anfang da so darstellte. Es waren ja immer die russischen Meinungsroboter, die uns manipulieren. Genau. Die uns den Brexit gebracht haben und Trump. Und ich sag mal, diese These war ja dann doch schon so ein bisschen steil. Es gab einen zweiten Schwerpunkt, den wir im Nachgang nochmal auch in Deutschland gemerkt haben. Und das war als im US-Kongress die Berichte rauskamen und die Facebook-Vertreter vorgeladen wurden. Also nochmal um diese russische Meinungsmanipulationen. Das war so eine Art Welle, die sich über die Jahre gezeigt hat. Also das war so ein bisschen unser Phänomen, dass wir eigentlich davor standen und gesagt haben, ganz ehrlich, die paar Bots auf Twitter, die werden noch jetzt nicht die Wahl umgestimmt haben, habt ihr euch mal über zielgruppenorientierte Werbung Gedanken gemacht, was nochmal das Geschäftsmodell dieser asozialen Netzwerke ist. Und da waren wir noch allein auf weiter Flur. Interessant, dass es dann eben wenige Monate später sich in dem US-Kongress dann auch zeigte, wo wir diese wunderschönen Momente hatten, dass da eben Wahlwerbung in Rubeln bezahlt wurde. Und Facebook sagte, seems legit. So, es haben bezahlt, können wir machen. Insofern schien das Thema da mit den Social Bots zumindest zu diesem Zeitpunkt und in der Betrachtung der Auswirkungen doch so ein bisschen verfehlt. Nichtsdestotrotz ist, glaube ich, ganz klar, dass wir mit dem Vertrauensverlust in die Politik, Vertrauensverlust in die Medien, der sich ja irgendwie unter dem Stichwort Fake News zusammenfasst, auf jeden Fall ein Phänomen haben. Und dass wir auch ernsthaftes Problem haben, welcher Umgang untereinander in diesem Internet teilweise herrscht. Und wir mit irgendwie vielleicht befremden auf jeden Fall darauf blicken, dass dieses schöne Netzwerk, was vielleicht nicht geschaffen wurde, um uns alle zusammenzubringen und uns allen in den Austausch zu ermöglichen, so doch eigentlich uns das Potenzial bietet. Und wir dann doch mit einigen Entsetzen und einigen Erstaunen darauf gucken, was da in diesem Netz los ist, wie da Menschengruppen miteinander umgehen und dann natürlich auch direkt wieder mit Entsetzen darauf blicken müssen, wie sich dann die deutsche Bundesregierung berufen fühlt und darauf zu reagieren. Dann ging dann halt relativ bald die Diskussion über dieses Internet-Zweck-Durchsetzungsgesetz los. Da hat der immer noch am Tiernudistizminister Heiko Maas einen Vorstoß gemacht, der sich eigentlich ziemlich nahtlos einreist, sondern die wenigqualifizierten Arbeiten seines Hauses in der Düsselduppe, die am Kern der Sache weitgehend vorbeiging. Also es gibt da in diesem Netzwerk-Durchsetzungsgesetz genau einen einzigen sinnvollen Punkt, nämlich dass soziale Netzwerke bzw. Webseiten auf den Usergenerator-Content publiziert wird, in Deutschland mal jemand haben müssen die mal anrufen kann. Also es ist halt einfach eine Ansprechstelle gibt, wo man halt den Anbieter erreichen kann und man ein Problem hat. Und der Rest ist halt tatsächlich ein Gesetz, mit dem die Durchsetzung von Recht delegiert wird an die Plattformanbieter. Das sind die Plattformanbieter mit den werbefinanzierten Anzeigen. Genau, also mit den werbefinanzierten Anzeigen. Weil die Bundesregierung nicht sagen wollte, welche konkret gemeint ist, also auch die Informationspolitik, welche, also irgendwelchen namentlichen Netzwerke hier gemeint sind, hat die Bundesregierung ja nicht sagen wollen. Für mich waren zwei Sachen daran interessant. Einmal könnt mich wenigen Themen daran erinnern, dass sich bei netzpolitischen Themen diese Art von Bündnis gefunden hat. Wann ich bemerkenswert dreit? Wir haben ja auch nicht so häufig, dass wir uns mit Wirtschaftsverbänden und so in einen Topf begeben, umgegenwärts zu protestieren. Und wie wenig sich dieser breite Widerstand, der von sehr unterschiedlichen politischen Ecken kam, abgebildet hat in den Diskussionen im Bundestag. Die Union und SPD konnten gar nicht verstehen, worüber die Menschen da draußen debattieren. Also, das war ein Disconnect, den ich selten erlebt habe. Also, die Reaktion auf den Widerstand war relativ gering vonseiten der Koalition. Also, um mal zu zeigen, wie breit dieses Bündnis war. Dieses Bündnis war so breit, dass Volker Tripp von digitaler Gesellschaft, als sich ihm dann telefonisch sagte, alles klar, der Chaos Computer Club hat sich entschieden, sich dem Bündnis anzuschließen, sagt er so, super, Linus, nur eine Frage, wenn Facebook den Bündnis auch beitritt, trittet ihr dann wieder zurück oder nicht so breit, weil dieses Bündnis, ja? Das war schon ... Also, er zeigt natürlich auch, wie vielschichtig die Kritik daran war. Die war einerseits rechtlich, aber natürlich auch ganz faktisch, wie soll das eigentlich gemacht werden. Ich glaube, daran zeigt sich so ein bisschen, wie unterschiedlich die Arten von Kritik waren. Also, auch interessanterweise vielleicht. Facebook selbst hat sich tatsächlich geäußert in vielen anderen Ländern, also schriftlich, mit einer Stellungnahme. In vielen anderen Ländern hat eine Regierung keine Reaktion dieses Werbekonzerns erhalten, auf gesetzliche Maßnahmen. Aber immerhin scheint der Deutsche Markt so interessant zu sein, dass sie sich tatsächlich im Detail mit einer eher rechtlichen, aber auch teilweise mit ein paar technischen Stichpunkten, Stellungnahme schriftlich geäußert haben. Das fand ich schon bemerkensweiter, sind wir anders als andere Länder. Wenn ein Plattformbetreiber gebracht wurde, ist halt, das ist im Prinzip gesagt, wurde per Gesetz pass auf. Du musst die Meinungsfreiheit verletzende Äußerungen innerhalb von 24 Stunden von der Plattform gelöscht haben. Wenn das wiederholt nicht der Fall ist, gibt es eine Strafe. Das heißt also, man kriegt quasi als Plattformbetreiber so ein Inhalt gemeldet und ist dann der Richter darüber, verletzt das jetzt die Meinungsfreiheit oder nicht? Ist das ein Inhalt, den ich löschen muss oder nicht? Und jetzt kann man natürlich einen Alpha-Fehler oder einen Beta-Fehler machen. Wenn ich jetzt also lösche, wenn ich den Beitrag lösche und der hätte eigentlich Wer von der Meinungsfreiheit gedeckt gewesen und ich diesen Fehler mache, dann habe ich keine Sanktionen dafür. War ja mein gutes Recht, ich musste ja löschen, ich musste sicher gehen. Das heißt, in Meinungsfreiheit ich lasse das mal stehen, das ist schon noch in Ordnung und nachher werde ich vor Gericht dazu verurteilt, dass das nicht der Fall war. Das heißt, mein Urteil war falsch, der andere Fehler, dann habe ich sofort mit drakronischen Strafen zu rechnen. Es ist natürlich ganz klar, dass ich als Plattformbetreiber dann ein Bayes-Entwickler lieber zu viel zu löschen als zu wenig, denn zu viel zu löschen kostet schon mal kein Geld, zu wenig zu löschen kostet Geld. Ich meine, wir wurden natürlich da sofort wieder in Richtung der Heater gedrückt. Niemand hat hier Interesse daran, dass irgendwelche Hassbotschaften im Internet und irgendwelche illegalen Tätigkeiten und irgendwelche Aufrufe zu irgendwelcher Gewalt, die irgendwelche Spinner andauernd da wieder reinschreiben, dass die bestehen bleiben, dass für uns auch keine, also was verboten ist, ist halt für uns auch keine Meinungsfreiheit. Aber das, was wirklich die Gesellschaft voranbringt, findet eben nicht in der Mitte der Meinungsstadt, sondern am Rande, wo der Graubereich ist, wo eben auch man ein Descent ausgesprochen werden muss, auch über Details, über die sich vielleicht eine Einigkeit herrscht. Und da möchten wir eben auch, da wollen wir den Diskurs erhalten. Das heißt nicht, dass wir uns auf die Seite irgendwelcher Spinner bewegen, die mit diesem wunderschönen Internet echt nichts Besseres anzufangen wissen, als etwas zu da machen. Weil wir gerade noch diese Überschaft haben und diese Netzwerk-Durchsetzungsgesetz so oft als Facebook-Gesetz bezeichnet wurde. Wir müssen natürlich die Ironie dieser Situation, dass wir sehr oft darüber gesprochen haben und dann in der Anhörung auch eine sachverständige Meinung abhergeben haben, die müssen wir schon mal herausstellen. Irgendwie so die ziemlich einzige Sub-Community, die so gibt in unserer Gesellschaft, die diesen Unsinn nicht benutzt, sozusagen muss ich hier sachverständlich äußern. Das ist so ein bisschen wie so ein, also mir kommt ja manchmal vor wie so ein, wenn man auf so einen Zoob legt hier. Also da hat schon eine gewisse Ironie, dass es eben im Chaoscomputer Club und auch so die sich als Freunde des Chaoscomputers verstehen halt eine sehr geringe Nutzerquote gibt. Das hat schon eine gewisse Komik. Ja, das hat alle tatsächlich am Ende nichts genutzt. Die Bundesregierung hat dieses, und der Bundestag haben dann halt dieses Netzwerk-Durchsetzungsgesetz beschlossen. Das Geld ist recht und wird tatsächlich auch schon angewendet. Und wie toll dieses Gesetz ist, zeigt er sich dann halt irgendwie wenig später. Das ist ein Exportschlager. Da hat dann Russland nämlich einfach mal genau dieses Gesetz gruppiert. Und die Reporterhäune-Grenzen, die das irgendwie entdeckt hatten, die meinten halt so, naja, das Problem ist halt, für Russland funktioniert das ganz prima. Also weil die können damit halt irgendwie ihre Zensur ganz hervorragend durchsetzen, genau mit dem Wörtingesgesetz ist. Dann werden wir wohl wahrscheinlich in der nächsten Regierungspäiode noch mal drüber zu reden haben. Wenn es dann halt vor das Verfassungsgericht geht. Ich meine, was man ganz klar nochmal rausstellen muss, das, was der Gesetzgeber da getan hat, ist anerkannt, dass unser Rechtsstaat, wie wir ihn haben und unsere Rechtsprechung, wie wir sie haben und wie sie funktioniert, im Internet nicht gilt, oder nicht durchsetzbar ist. Das heißt, wir verabschieden uns von dem, was wir eigentlich als demokratische Grundordnung erkennen. Und gehen dazu hinüber, dass wir sagen, naja, gut, im Internet da können Richter nicht so richtig, das können wir nicht leisten, das können wir als Staat nicht machen, das muss jemand anderes tun. Und das ist etwas, das ist eine Bewegung, die erschreckend ist. Und das ist etwas, was wir vielleicht, wie schon gesagt in Russland lässt es sich leicht durchsetzen und das haben wir hier jetzt auch. Vielleicht noch ein Satz zu Heiko Maas, weil wir ihn jetzt gerade gesehen haben, der Justizminister der Sozialdemokraten von Demink auf den gestanden Hofer, dass er in einer neuen Regierung, die sich bilden wird, diesen Posten nicht mehr einnimmt. Denn aus meiner Sicht ist dieser Minister natürlich auch verantwortlich zu machen, dafür auch jenseits der Debatte um das Netzwerk Durchsächsungsgesetz, dass die schwierige Austarierung, die es üblicherweise in bundesdeutschen Koalitionen gibt, zwischen dem Innenministerium, insbesondere auch in Fragen der Überwachung und in Fragen der Grund- und Bürgerrechte überhaupt keine Form von Equilibrium herstellen konnte. Wenn man sieht, mit welcher Durchsetzung Bundesinnenministerium über viele Projekte, über die wir jetzt im Anschluss noch reden werden, erfolgreich war gegenüber einem Justizministerium, was die typische Ausgeglichenheit in keiner Weise mehr hergestellt hat, also kein Befürworter von verfassungsrechtlichen Grundsätzen mehr hatte, dann bin ich insbesondere über diesem Minister schwer enttäuscht. Also, da ist nicht nur, finde ich, da ist was verrutscht in Bezug auf die Normalisierung von Überwachungsmaßnahmen, das gar nicht mehr darüber debattiert werden muss, ob Daten festgehalten werden, sondern höchstens noch darüber, wer darauf Zugriff nimmt. Das hatte ich für eine fatale Entwicklung, da werden wir sicherlich in einigen Beispielen aber da ist für mich Heiko Maas auf jeden Fall auch ein Sinnbild für. Ja, eine Sache, die wir im Zuge der Diskussion natürlich bemerkt haben ist, dass die Werbefinanzierten-Netzwerke sich versuchen, jetzt neue Regeln zu geben, Twitter ist da hier am stärksten am rumrangieren und was sich da wieder zeigt, ist, dass es da halt nicht um ein Rechtsstaat geht. Nach den Regeln von Twitter, die momentan gelten, hätte Trumps Account lange zugemacht werden müssen. Das würde natürlich nicht passieren, weil da haben sich dann halt noch irgendeine Ausnahmeklausel dazu gemacht. Die war die? Die Ausnahmeklausel bezieht sich auf die sogenannte Newsworthiness, dann ist quasi die Trump-Anomalie. Twitter hat zum Herbst rumgesagt, naja, wenn wir ganz klare Community-Regeln haben und jemand dagegen verstößt, indem er zur Gewaltaufruf zum Beispiel zur Vernichtung eines Landes wie Nordkorea, dann soeidet eine klare Hassbotschaft und würde gegen die Nutzungsregeln verstoßen. Aber es hätte öffentlich Nachrichten wert, weswegen man das trotzdem stehen lässt. Die Debatte bei Twitter bezieht sich aus meiner Sicht sehr viel stärker auf die US-amerikanische Diskussion und weniger auf die Diskussion hier in Deutschland um das Netzwerk durchsetzungsgesetz. Aber alle Plattformen haben natürlich in gewisser Weise auf politischen Druck reagiert und Maßnahmen ergriffen. Auch YouTube, Facebook natürlich und Twitter. Bei Twitter ist nur diese Tatsache, dass sie den Nachrichten wert, die Newsworthiness ausnehmen. Natürlich war eine interessante, auch viel diskutierte Maßnahme geworden. Sie haben nun mal jetzt im Präsidenten, denn das ist aus meiner Sicht auch kennzeichnet für das Jahr 2017, der alle Regeln der Diesenziehe, die man im politischen Raum hatte, missachtet. In einer Weise, wie das glaube ich, das ist der Fall, der mich zumindest auch immer noch mit der Art, wie er politisch kommuniziert, überrascht. Aber gleichzeitig für Twitter, wo Trump eine riesige Werbefigur ist, ist natürlich auch international ein Problem darstellt. Er verstößt ganz klar gegen die Community-Richtlinien, die sie selber gegeben haben, in Bezug auf Aufrufe zur Gewalt und Hate Speech. Und natürlich auch Fragen von Rassismus. Man kann diese Regeln eigentlich ziemlich gut zusammenfassen. Aber wenn man aus der Hate Speech und Aufrufe zur Gewalt aussah, bringt viel Klicks, dann ist es okay. Im Übrigen auf Nachfrage hat Twitter mitgeteilt, dass die Regeln, die geändert wurden, in zwei Schritten, jetzt im Dezember nochmal in Bezug auf Gewaltaufrufe, auch um, da geht es auch noch nicht nur um Textuelle, sondern da geht es auch um Symbole, wie z.B.Tagenkreuz, die sie als symbolhaften Gewaltaufrufe eben auch verbannt haben. Hat Twitter nochmal gesagt, dass es also keinen Unterschied gibt zwischen Regeln in den USA und Europa. Was natürlich gleichzeitig auch heißt, dass die Meinungsfreiheit, die stärker ist, in amerikanischen Rechten natürlich damit auch ausstrahlt auf Europa. Es gibt keinen Unterschied in den Regeln, wenn man bei Facebook ein bisschen anders ist. So verlassen wir jetzt die Werbenetzwerke. Bleiben wir noch bei den Werbenetzwerken? Ja, einen muss ich noch. Also was jetzt natürlich passiert ist unter dem Druck, dass die Zensur bzw. auch die Entfernung von Hat Speech und ähnlichen Dingen auf den Unternehmen abgeladen ist und die quasi ja die privatisierte Rechtssitzung zu übernehmen haben, ist natürlich für die die Motivation, sehr großes Weitgehen zu automatisieren. Und die tun jetzt halt eine Menge Geld rein, weil jeder Core-Center-Arbeitsplatz kostet irgendwie sehr viel mehr als irgendwie noch ein paar CPUs in irgendeinem Data-Center. Und daraus folgt dann eben, dass gerade insbesondere bei Bildern sehr viel mit automatisierten Erkennungen gearbeitet wird. Was dann wiederum dazu führt, dass Diskussionen, die wir schon mal hatten, und zwar so in den 90ern, da gab es irgendwie so, sind halt irgendwie viele Leute rumgelaufen mit so aufnähern mit durchgestrichenen Hakenkreuzen oder zerbrochenen Hakenkreuzen oder Hakenkreuzen, die in eine Tonne geworfen wurden. Also klare Statements gegen Nazis. Und diese Leute waren in der Regel die einzigen, die immer auftauchten in den Polizeistatistiken für Verwendung verfassungsfeindlicher Symbole. Weil die tatsächlich insbesondere in Bayern und in Baden-Württemberg richtig Stress bekommen haben, weil es da einzelne Staatsanwalter gab, die halt irgendwie keine Panker mochten, und dann losgegangen sind und ihre Polizisten angewiesen haben, solche Leute von der Straße zu fischen und wegen Verwendung von verfassungsfeindlichen Symbolen ranzukriegen. Genauso passiert jetzt wieder bei Facebook und zum Teil bei Twitter, weil natürlich irgendwie ein Hakenkreuz ist eine Sache, wo man halt relativ easy in Algorithmus drauf trainieren kann, den zu finden, und dann wird halt erstmal entfernt. Und genau das selbe Spiel haben wir gerade auch zum Beispiel bei Gruppen, die sich halt in Auseinandersetzung mit der Türkei befinden, also zum Beispiel Kurden. Deren Meinungsfreiheit auf den großen werbefinanzierten Netzwerken ist de facto nicht mehr vorhanden, weil sobald da irgendwo im Hintergrund ein Porträt von Edscharlane oder eine Fahne von einer kurdischen Organisation ist, die sie Türkei jetzt illegal deklariert hat, wird dieses Video quasi automatisch entfernt. Das heißt also, was wir da haben, ist eine Entwicklung, bei der jetzt nun auch in Deutschland staatlich legitimiert, muss man klar sagen, staatlich legitimiert, diese Konzerne zum definierenden Machtinstrument für, was darf man noch sagen und was darf man nicht sagen werden. Und das halte ich für eine absolut verteilte Entwicklung. Ein schöner Punkt ist zu sehen, dass in dieser ganzen Phase Fake News Debatte, die wir dieses Jahr hatten, wir auch in der Lage sind, mal etwas voranzuschreiten und Themen anzugehen, die die Politik über mehr als zehn Jahre, wie lange gibt es Facebook seit 2004, seit sehr vielen Jahren verschlafen haben, die wir jetzt versuchen selber zu stemmen, damit da mal Bewegung reinkommt. Wir haben dieses Projekt KAUS macht Schule, was im letzten Jahr glaube ich erstmal nicht wirklich ein Vortrag hatte, der auch sehr breit angenommen worden ist. Die waren wieder da. Ich habe den Vortrag nicht gesehen, hörbar gehört, der ist sehr sehenswert. Und wir haben Anfang des Jahres das Ausgehen vom KAUS macht Schule-Team, aber wir haben uns da auch ein bisschen mit reingehängt, dann am Ende Soforderungen aufgestellt, wie eine moderne digitale Bildung an Schulen auszusehen hat. Weil das, was politisch passiert und wie man sich Bildung digital vorstellt, man hängt ein paar Smartboards auf, vielleicht noch erklärt, wie die funktionieren, ist schon, naja, also üblicherweise hängen die da und man muss aufpassen, dass da nicht immer mit Whiteboard-Markanten dran geht. Und malere Ausbilden ist schon gar nicht drin, vor allem auch die, die im Beruf sind. Und wir sehen da jetzt die Folgen einer verschlafenen Bildungspolitik. Und das ist das, was wir in der Fake-News-Debatte sehen, weil da gehört natürlich der Kontext zu, dass man mit Informationen, die man übers Internet aufnimmt, irgendwie umgehen muss und gelernt haben muss, was ist das eigentlich? Also man muss irgendwie so ein Gefühl haben. Ein Gefühl, wie wir es vielleicht bei Zeitungsmeldungen früher mal gehabt haben, dass man geprüft hat, da stimmt das jetzt, was da kommt. Aber das Internet ist halt schneller. Und um dort anzusetzen, ist es natürlich wichtig, dass man auch in der Schulbildung anfängt. Und wenn man in der Schulbildung anfangen will, muss man in der Lehrerbildung anfangen. Und wenn man in der Lehrerbildung anfangen will, dann muss man irgendwelche Kultusminister dazu kriegen, auf Landesebene irgendwas mal entschließen. Und ich habe, seit Jahren rede ich auch mit verschiedenen, also wir haben ja immer so einen, es gibt auch so einen, ich weiß gar nicht, wie der heißt, Digitalisierung, Bildung, Schultag, was auch immer. Da kommen dann immer irgendwelche Medien, fragen uns mal, ja, was habt ihr denn dazu zu sagen? Und dann sagen wir ja, na, die Politik muss mal aufwachen. Die muss mal verstehen, es gibt dieses Internet. Und das Internet ist kein Thema, was sich irgendwie in Informatik-Unterricht pressen lässt. Das ist ein gesellschaftspolitisches Thema. Und das ist ein gesellschaftspolitisches Thema, was in jedes verdammte Unterrichtsfach gehört. Und offensichtlich ist an der Stelle nicht angekommen, dass im Geschichtsunterricht natürlich Artikel aus dem Internet gelesen werden, dass man sich im Religionsunterricht irgendwie damit auseinandersetzen muss. Was bedeutet das denn ethisch? Auch im Ethikunterricht, vielleicht im Philosophieunterricht. Was macht das denn mit Gesellschaft? Im Sprachenunterricht benutzt man vielleicht Wörterbücher im Internet. Also irgendwie, ich weiß nicht wo die Vorstellung herkommt, dass man das in einen Unterrichtsfach oder in einen Medienkompetenztag packen kann. Und das reicht dann, dass es genug Internet für Schüler mehr braucht, man nicht. Was wir jetzt gemacht haben, ist diese Forderung mal aufzuschreiben. Da gehört einmal so zu, dass man Schüler irgendwie erziehen möchte zu einer digitalen Mündigkeit, das man hingeht und sagt, ihr müsst nicht, vielleicht verstehen, wie der Chip funktioniert, aber so ein bisschen wie Programmieren funktioniert, das müsst ihr da mal gesehen haben. Was denn das Internet ist, wie das funktioniert, wie Inhalte fließen. Das integrieren entfächerübergreifende Strukturen ist wichtig, dass wir die Lehrkräfte vor allem an der Stelle stärken und irgendwie in die Lehrerbildung, in die Universitäten reingehen und dass die Lehrerbildung aufnehmen und dass die Schulen und auch die Politik sich an der Stelle Hilfe holt und die Chance nutzt, Menschen mit Schulen in Verbindung zu setzen, wie zum Beispiel unser Chaos-Macht-Schule-Team, die unabhängig von irgendwelchen Unternehmen die fertige Produkte an Schulen verkaufen und dort gleich ihre Werbung mit aufpacken. Große Konzerne, also in den USA ist es ganz gängig, dass die Schulen sich entscheiden zwischen Google und Apple, dass wir sowas in Deutschland nicht haben dürfen, sondern dass wir, dass uns klar sein muss, dass Digitalisierung etwas ist, was eine individuelle Entwicklung ist und wo wir aus kommerziellen Strukturen in der Schulbildung ausbrechen müssen. Und wir haben so ein bisschen die Hoffnung, dass wir mit unserem Forderungskatalog zumindest mal den einen oder anderen Menschen erreichen und mal irgendwie einen Stein überhaupt ins Rollen bringen können. Ja, ich hab das ja gerade schon mitbekommen. Ich bin ja ganz ergriffen. Chaos-Macht-Schule ist für mich auch so ein Projekt, was ich irgendwie mit großer Bewunderung jedes Jahr wachsen sehe und mir gleichzeitig die Fragestelle... Was ist das, dass wir 2017 muss der Chaos-Computer-Club noch selber seine ehrenamtlichen Leute, und das sind viele, die da ihre Freizeit draufgeben, um in die Schulen zu fahren, um da mal einen Medienkompetenztag zu machen, dass das überhaupt noch von unseren ehrenamtlichen, großartigen Menschen geleistet werden muss, 2017. Wir haben Diskussionen darüber im vergangenen Jahr gehabt, ob an den Schulen jetzt tatsächlich die Entscheidung getroffen werden soll, dass man die Existenz des Internets vor den Schülern und Schülerinnen nicht mehr verheimlicht. Das ist Realität. Und dann tritt dieser Philologenverband daher vor und sagt, nee, die sollen mal lieber ein Buch in die Hand nehmen. Und man fragt sich, wenn diese Schulen, die wir da ja betreiben, die leisten wir uns als Gesellschaft ja nur, um irgendwie auch von zukünftigen Generationen irgendwie wertvolle Mitglieder unserer Gesellschaft heranzuziehen, die irgendwie mit uns weiterbringen können. Und vor denen das Internet zu verheimlichen, ich weiß gar nicht, wie man auf so eine Idee überhaupt kommen kann, da nicht sofort ab der ersten Klasse das zu machen, was Chaos macht Schule seit Jahren in mühseliger, aber auch hoch motivierter und irgendwie geiler, freiwilligen Arbeit leistet. Aber das ist nicht der Sinn von Ehrenamt, dass wir irgendwie dahinter herkehren, wo unsere Politik seit Jahrzehnten versagt. Danke, Chaos macht Schule, na bitte weiter, wir brauchen euch. Also, ich möchte das nur zusammenfassen. Es ist bitter zu sehen, also seit letztem Jahr ist das ja richtig abgegangen bei Chaos macht Schule, die haben richtig Aufmerksamkeit bekommen. Und es ist bitter zu sehen, dass Chaos macht Schule in einem Jahr tausendmal mehr schafft als unsere Bildungspolitik in den letzten 14 Jahren. Ich würde vielleicht bei der Gelegenheit erwähnen wollen, dass Chaos macht Schule trotzdem nicht alleine ist. Also, wer immer auf so einem jungen Takt-Event war, was irgendwie großartig ist, oder auch die Coder do... Coder dojos. Dankeschön. Oder auch die vielen Cryptoparties, das ist ja mittlerweile auch näher zu Szene, die regelmäßig organisiert ist, in der Form von Erwachsenenbildungen, also wo sich Leute informieren wollen. Da ist jenseits... Manche haben mit staatlicher Hilfe aber auch nicht immer eine ganze Szene gewachsen, die sich in einem offenkundig bestehenden Problem widmet. Und da sind wir auch ganz froh, dass gestern der Vortrag, den wir jedem empfehlen können, den Chaos macht Schule hier gemacht hat, auch so viel Anklang gefunden hat und die also auch eine Menge Feedback bekommen haben. Man sollte halt nicht vergessen, dass die Planung für solche Bildungs-Dinge in den Bildungsbürokratien von denselben Leuten gemacht wird, die fanden, dass man im Informatikunterricht primär die Bedienung von Microsoft-Produkten lernen sollte. Da war ich... Als ich zum ersten Mal das sah, war ich doch sehr entsetzt. Also, um nochmal das Ausmaß hier... Wir müssen dann ganz dieses Thema... Das Ausmaß ist folgendes, das Zeitfenster in der Entwicklung der Menschheit, wo es Menschen gab, die die ersten Personal-Computer haben konnten und die ersten Internetanschlüsse und diese Entwicklung der Geräte zu solchen hier noch miterlebt haben. Und die vielleicht die Möglichkeit hatten, das zu verstehen, wie die zusammen interagieren, wie die zusammenarbeiten, wie es für viele von euch hier völlig normal ist, diese Entwicklung auch gesehen und in ihrer Entwicklung gesehen zu haben. Wir müssen das mal herkommen, wie überhaupt so ein Computer funktioniert. Dieses Zeitfenster ist winzig klein und die kleinen Menschen, die jetzt gerade nachwachsen, die kriegen einfach so ein leuchtendes Brett in die Hand und wischen darauf rum. Den muss das erklärt werden, was das ist, damit die nicht irgendwie mit diesen magischen Brettchen einfach nur noch in Zukunft über diesen Planeten mehr andern. Und wir alle Macht bei den Leuten haben, die diese eingeschränkten Geräte für sie programmieren. Das geht so nicht. Wir kommen aber mal wieder zu den Chaos-Computer-Club-Kernkompetenzen. Das ist die andere, um die Geräte zu manipulieren. Nein, hacken ist und bleibt unser täglich Brot, hätte ich jetzt fast gesagt. Wir sind ein Hackerverein und wir werden Hackerverein bleiben und wir hacken andere Hacker, in dem Fall den Staat. Staatssojana, langes Thema für den Chaos-Computer-Club, das ist ja so eins, wo wir über Jahre uns einbringen, wo wir aber auch die Jahre zermürbt und zerrieben werden. Dieses Mal mit einer Einladung zur Stellungnahme, die mich erreichte am 31. Mai 2017. Nein, da war die Stellungnahme. Mich erreichte die Einladung am 29. Mai. Ich möge doch bitte am Mittwoch den 31. Mai zur Anhörung eines Gesetzentwurfs zur Änderung des Ba-Ba-Ba-Ba-Ba-Ba und zur Weiterbundestagsdrucksache, lange Geschichte. Da ging es darum, dass in einer langen STPO-Novelle, die seit Monaten, die seit Jahren quasi in den Justiz-Ausschüssen des Deutschen Bundestags diskutiert wurde, jetzt noch kurz auf den letzten Drücker eine umfassende Staatssojana-Regelung rein sollte. Diese Änderungen haben die in dem Moment im Hut gezaubert, als im Prinzip fraktionsübergreifend, man sich einig war, dass das jetzt über viele Jahre die STPO-Novelle ist, die man haben wollte. Wo alle sagten, okay, wunderbar, das Ende der Legislaturperiode näherte sich. Und es war klar, das Ding müssen wir jetzt entscheiden, sonst ist es vorbei, also Bundestagswahl drohte. Und in dem Moment... Zur Erklärung, STPO ist die Strafprozessordnung und die regelt, was Ermittlungsbehörden tun dürfen, haben sich also lange darüber auseinandergesetzt. Und kurz im Mai, so im letzten Moment, wo alle sagten, jetzt machen wir noch eben STPO-Novelle, zieht das Justizministerium eine Formulierungshilfe aus dem Hut und reicht sie herab in dem Bundestag, auf das dann bitte schön das Gesetz entsprechend formuliert wird. Ich finde auch super, dass die Exekutive hilft dabei, hilft der Legislative freundlich, das ist doch schön in Form einer Formulierungshilfe. Naja, für uns hieß das dann Last-Minute-Einladung zur Stellungnahme, selbstverständlich nehmen wir diese Gelingenheit dankend an. Nur, damit ihr mal sieht, wie sowas formuliert ist, also die Einführung eines Staatszugangs, das sieht dann so aus wie... Also das Gesetz selber ist in § 100f Absatz 4, werden die Wörter § 100b Absatz 1,4 Satz 1 und § 100d Absatz 2 gelten durch die Angabe § E Absatz 1,3,5 Satz 1 gilt ersetzt. Das darf man jeden Einzelnen dieser Dinge sich anschauen und muss dann noch mal quasi sich diese Sätze zusammenpasen und sagen, was bedeutet das dann? Also diese Einführung von neuen Grundrechtseinschnitten werden da wirklich als Diff geliefert, damit es auch wirklich kein Mensch im Kontext verstehen kann. Das ist ausschließlich als Diff. Man muss sich alles wieder selber zusammenbauen. Es gibt ein Diff mit Kommentar. Und das Problem dabei ist halt, also nicht mal die Abgeordneten blicken es halt komplett. Und an dieser Stelle war es halt so, als wir dann mitbekommen, dass diese Formulierungshilfe da kursiert, sind natürlich losgegangen zu den politischen Parteien und gesagt zu hier, was denn hier los, das könnt ihr doch unmöglich ernst meinen. Wir machen ja nur schon eine Weile so und das ist halt so, dass solche Gesetze vorhanden kursieren, dann gibt es einen Referentenentwurf, dann wird der diskutiert, dann holen sich die Parteien nochmal so informell so ein bisschen Meinungen, dann gibt es möglicherweise noch eine Anhörung und so weiter. Und das war jetzt halt so ein Ding, was eigentlich so US-amerikanischer Stil ist, wo es nochmal so kurz verschloss, nochmal so auf der Hintertür quasi nochmal ganz schnell eine forschenliche Änderung des Inhalts des ursprünglichen Gesetzes reingebaut wird. Und da war es dann aber tatsächlich so, dass die Sozialdemokraten haben den Diskurs verweigert. Die haben gesagt, ne, da reden wir nicht drüber. Ja, vor allen Dingen hat das Justizministerium dem nichts entgegen gesetzt. Ja. Sie haben von denen kamen die Formulierungshilfe, ja. Also es ist halt so, also was da passiert ist, ist also tatsächlich einer der schlimmsten Vorkommens in der parlamentarischen Demokratie, die wir in den letzten paar Jahren gesehen haben. Linus erwähnt ja am Anfang, wir schreiten uns über diesen Staatstrojaner zehn Jahre lang. Wir erinnern uns, wir haben zwei Bundesverfassungsgerichtsurteile zum Staatstrojaner. Einmal mit einem neuen Grundrecht, nämlich, dass der Staat zu gewährleisten hat, dass unsere Geräte intiger und vertraulich sein müssen. Und ein zweites Urteil zum BKA-Gesetz. Immer in diesen zehn Jahren war vollkommen klar, dass das staatliche Haken in einem Terrorismuszusammenhang steht. Das steht natürlich auch so im BKA-Gesetz drin. Was wir hier aber haben in der Änderung der Strafprozessordnung, ist die mit Abstand größte Ausweitung des staatlichen Hackens und zwar auf einem Bereich, der mit Terrorismus gar nichts mehr zu tun hat, sondern Dutzende andere Straftaten umfasst, wie etwa eine Urkundfälschung, eine Helerei Betäubungsmittelgesetz. Also eine Ausweitung, die ist eigentlich, die hätte unbedingt gesellschaftlich intensiv debattiert werden müssen, ob wir für Dutzende Straftaten staatliche Haken erlauben wollen. Stattdessen haben Sie da hinten rum in einen ganz anderen Gesetzentwurf hineingeschleustert. Justizministerium hat nicht auf unsere Bürgerrechte gepocht und Sie haben den Sachverständigen, die dazu meine Meinung abgeben können, irgendwie ein Zeitfenster gegeben, was lächerlich ist und Sie wollten auch nicht zuhören, was die Sachverständigen zu sagen haben. Ich hatte das für einen Dammbruch sondergleichen in Bezug auf die Erlaubnis, unsere Computer zu hacken. Diese Ausweitung ist, ich höre schon auf, nur nochmal um das zu betonen, jahrelang haben Sie uns gesagt, wir hacken ganz schlimm in Teamsphäre, nur bei ganz schlimmem Terroristen, kein Zusammenhang mehr. Und da dürfen wir uns auch von denen nicht erzählen lassen. Und selbstverständlich freuen wir uns darauf, dass in Karlsruhe diese nötige gesellschaftspolitische Diskussion nachgeholt werden wird. Denn dagegen wird es Verfassungsbeschwerden geben und wir können uns auch ein bisschen überlegen. Aber wir lassen es ja mit uns machen, haben dann in 1,5 Tagen 2, 20 Seiten formuliert. Konstanz und Frank haben mich da sehr viel unterstützt. Wie geht es zwar davon aus, weil natürlich alle Unterstellungen haben immer auch auf cc.de steht, ihr, die alle gelesen habt, aber falls ihr sie nicht mehr so genau in Erinnerung habt, dann geht es ja sehr intensiv über die Intimsphäre, die wir aufgeräten haben und die man nicht hacken sollte gesprochen, über den Bereich, der als höchstpersönlich geht. Aber mittlerweile hat sich auch die Welt verändert. Wir haben 4-Jahres Noten hinter uns. Wir haben sehr viel mehr geschrieben über die Fragen der IT-Sicherheit und was eigentlich ein Staat macht, wenn er in diesen Markt, der einer ist, wenn wir über Exploits und über den Handel von Sicherheitslücken reden, in den anderen Steuergeldern einmischt. Das ist ja auch eine Form von ökonomisch Entzentivierung. Wir haben ganz andere Schwerpunkte gesetzt, als wir in den vorangegangenen Stellungnahmen versucht haben zu setzen. Ich denke, das fällt sich erweitert und ich denke, zumindest das ist auch wenn wenig Zeit gelungen, würde ich sagen. Die Debatte ein bisschen zu verändern, worüber wir eigentlich heute streiten. Noch mal so kurz zu kommen. Hier das ist das Anschreiben der Bundesdatenschutzbeauftragten Andrea Foshoff, die damit ihre Stellungnahme übermittelt an den Ausschuss und die Ausschussvorsitzende. Leider hat es das Bundesjustizministerium unterlassen, mich zudem mit der Formulierungshilfe eingereichten Änderungsantrag zur Einführung einer Quellen- Telekommunikationsüberwachung in einer Online-Durchsuchung in den Vorhaben von dem Vorhaben habe ich erst am 17. Mai 2017 durch Medienberichte erfahren. Die Bundesdatenschutzbeauftragte erfährt da durch Medienberichte dasmediumwanetzpolitik.org denn dort ist dieser Gesetzesentwurf gelegt worden. Angesichts der erheblichen datenschutzrechtlichen und verfassungsrechtlichen Bedenken ist dieses Vorhabens diese Verfahrensweise für mich nicht nachverziehbar wegen der kurzen Zeitspanne, die mir für die Prüfung zur Verfügung stand, muss ich mich leider auf einige wenige Eckpunkte beschränken. Da fällt mir nichts mehr zu ein. Überhin haben wir überhaupt mal eine Wortmeldung von den stärksten Worten, die unsere Bundesdatenschutzbeauftragte wohl finden konnten. Wir waren ganz überrascht. Immerhin hat sie überhaupt eine Form von Kritik geäußert. Das ist ja sonst nicht so häufig. Man kann sogar sagen, es war so schlimm, dass sogar die Bundesdatenschutzbeauftragte was gesagt hat. Ich habe schon gesagt, dass wir das für einen Schwerenskandal halten. Für einen Schweren. Aber am Ende darf man sich natürlich dann auch noch verarschen lassen. Die CDU stellt sich hin und macht sich da irgendwie noch lustig. Wie immer geht es noch? Ich weiß nicht, wie... Das ist natürlich auch eine verhohene Pieplung aus meiner Sicht des ganzen parlamentarischen Prozesses, der ernsthaften Argumente, und dann hatten sie nicht mal die Eier diesen Tweet stehen, sodass man haben ihn gelöscht. Wo ich so denke, ich weiß nicht, was die CDU Deutschland für eine Marketingabteilung hat, denfalls keine besonders gute, aber Erdgeist hatte eine tolle Antwort. Was man dazu noch sagen muss, wir reden hier von Ende Mai. Das heißt also, da war so die Zeit, wo allen Parteien so klar war, September-Bundestagswahl, der böse Cyber-Rosse droht ganz schön doll ins Hemdchen gemacht haben mit dem Gedanken, dass möglicherweise ihre E-Mail-Verkehre sowie die von Hillary gehackt und geliegt werden konnten und so weiter. Und das Faszinierende daran war, dass die den Zusammenhang zwischen ihr wollt ja gerade ein Staatstrauer einer beschließen und habt auf der anderen Seite Angst davor, dass euch der Russe-Cybert nicht sehen wollten. Das verpasste irgendwie nicht zusammen. Das war nicht dieselbe Kategorie offensichtlich. Mai war übrigens auch der WannaCry-Monat. Der WannaCry-Monat Mai. Und das haben wir auch nicht in Connect gekriegt. Na ja, dazu kommen wir noch ein bisschen. Aber jedenfalls haben Sie die Debatte versucht, von diesem Beschluss wegzudrücken. So richtig gelungen ist Ihnen das nicht, aber dazu kommen wir noch. Vielleicht wollen wir erwähnen, natürlich hat dieses elende Beispiel gleich noch Schule gemacht. Wir haben in mehreren Bundesländern Initiativen auch in Landesgesetze Staatstrauerne reinzuschreiben. Und es hat sehr gefreut, dass in Hessen sich eine ganze Gruppe von verschiedenen regionalen Kreisen das CCC zusammengetan hat um Art zu informieren auf der Seite hessentrauerner.de wo wir auch normalerweise diese Presse-Team des CCC hat ja sehr häufig eher zu tun und es fand großartig, dass wir da ganz toll zusammenarbeiten konnten. Also auch Themen, die eigentlich sozusagen den Bundesland betreffen dann versucht haben, mit einer Pressemitteilung zu unterstützen. Und wir werden uns auch daran beteiligen in Zukunft, denn am 8. Februar wird dazu eine Anhörung stattfinden. Wir werden auch noch mal eine schriftliche Stellungnahme abgeben, sozusagen zu gucken, dass nicht plötzlich in den Bundesländern quasi wie Metastasen bildet kommen, denn letztlich jemand muss ja da auch rechtlich hinterherfiegen, indem er mit etwa Verfassungsbeschwerden dagegen vorgeht. Wir haben ja auch nicht unendliche Kapazitäten. Insofern muss man aufpassen, dass es nicht in diese Bundesländer ausstrahlt. Das haben wir versucht und die Hessen sind da auch tierisch aktiv. Da sind wir auch sehr stolz drauf. Wir müssen uns etwas beeilen. Ich werde sehr schnell etwas zu sagen, sehr wenig dazu sagen. Das ist eine Debatte, die ist bei der Republik in Berlin, wo sich der noch amtierende Innenminister Thomas de Maizière eine Debatte gestellt hat. Ihr wisst ja, das ist der Minister, der in seiner ersten Amtzeit die netzpolitischen Dialoge gemacht hat. Er wollte doch zugehen auf diese Internet-Community, ist natürlich alles vergeben und vergessen. Auch die Papiere, die damals in den netzpolitischen Dialogen in einer etwas abgewogene Sicht auf die Regulierung im Netz hatten. Er ist natürlich nichtig. Er hatte sehr stark seine ... Erst mal hat ein sehr einschläfernden Vortrag vor der kurzen Diskussion geliefert, aber er hat sich durchaus schon auch der Diskussion gestellt über die Normalisierung der Überwachung, die er zu verantworten hat. Über die wir teilweise schon gesprochen haben. Der Schatz zu einer Wahl noch nicht, aber insbesondere die Bereicherung, die er in seiner Amtszeit fällt, aber auch die Biometrie, also der Abruf unserer biometrischen Daten, aber generell auch so diese, wie wir darüber reden, dass wir Daten standardmäßig einfach mal festhalten. Und wie sehr er auch diese Agenda gepusht hat. Er hat sich immerhin gestellt, aber ich persönlich habe diese Diskussion als wenig fruchtvoll empfunden. Mir fehlt, ohnehin liegt vielleicht auch in einer großen Koalition, dass die politische Diskussion schwächer ausfällt. Mir fehlt dieser Widerhall, weil sich ja schon innerhalb der Koalition auch wenig gestritten wird und dann ist der öffentliche Diskurs natürlich auch in der Regel schwach. Möglicherweise haben wir dann eine Änderung mit der neuen Regierung, denn wir haben ja nur noch Schwarz-Rot und keine große Koalition mehr. Mal sehen, oder? Mal gucken. Also ich bin da jetzt natürlich auch nicht begeistert, wenn der Oppositionsführer heißt jetzt AfD, also da wird sich die politische Diskussion sowieso noch mal ändern. Man muss sich schon klar machen, dass viele der Überwachungsprojekte mit der Flüchtlingskrise verbunden wurde auf eine drastische fiese Weise in die Darstellung, dass die Flüchtlinge, die hierher kommen, irgendwie alle mit mittelnden Strafrechts behandelt werden müssen, fand ich unfassbar dreist und da hat sich die Politik der etablierten Partei natürlich von diesem AfD-Diskurs einfach überwältigen lassen, wogegen wir arbeiten müssen. Das wird natürlich glaube ich nicht besser werden. So. Aber damit wir nicht so furchtbar negativ sind, kommen wir zu paar positiven Sachen und wollen eine Beispielhaft, eine Broschüre hervorheben, die von dem TCT Schweiz kommt, die unglaublich oft runtergeladen würde und einfach so ein typischer Beispiel dafür ist, dass es einen großen Bedarf gibt, auch wenn die Überwachungsdiskursion in der Politik nicht so stattfindet. Sich selbst diese digitale Mündigkeit der Begriff kommt ja bei KAUS, macht Schule nicht vor, zu begeben. Und die wollen wir auch gerne noch mal empfehlen, obwohl die schon sehr viele geklickt haben, man kann sich die runterladen in Kooperation mit der Schweizer Wochenzeitung und wir hoffen eigentlich, dass so eine Angebote, die vom TCC kommen und auch sozusagen ein technisches Know-how in der verständlichen Form wiedergeben, dass wir so etwas weiter anbieten können und also vielen Dank an den Schweizer TCC für diese sehr viel geklickte Broschüre. Ich weiß nicht mehr, ob ihr das auch so könnt. Aber wir müssen schneller reden, wenn uns die Zeit wegläuft. Also einer der Dinge, die wir immer nicht vergessen dürfen bei all den ganzen Elend, was wir jetzt die letzten Folien referiert haben, ist ja, dass man bei dem Protest dagegen durchaus auch Spaß haben muss. Sonst wird es ja langweilig. Eine der schönsten Aktionen dieses Jahr waren die Dinge, die in Berlin Südkreuz stattfanden, wo die Bundesregierung ja gerade versucht, Kameraüberwachung mit automatischer Gesichtserkennung von Bahnhöfen zu normalisieren mit einem Feldversuch. Das heißt, da hängt eine Reihe von Kameras und die Kameras werden in verschiedenen Gesichtserkennungssysteme eingespeist und da gibt es halt so ein paar Freiwillige, die haben ihre Gesichter registrieren lassen und dagegen gab es dann halt eine sehr schöne Protestaktion, also eines meiner Highlights dieses Jahr war, also es gab mehrere. Tatsächlich, wo Menschen dann halt sehr vielen verschiedenen Gesichtsverschleierungen und auch entsprechenden Protestschildern unterwegs waren. Man sieht das leider nicht so toll auf den Bildern, aber wir hatten diverse, also es sind 2 verschiedene Tage, gab verschiedene Proteste. Wir hatten an dem Ehentag so 5 Kinder oder so, die kamen so in, wie heißt denn der mit dem Spiderman-Kostüm mit Gesichtsmaske? Also wir hatten auch Kids dabei, die sind leider nicht so nicht alle zu sehen. Es war ziemlich großartiger bunter Protest und wir kamen gerade in die Pause, wo Dimensioner noch nicht zu den Leuten gekommen war. Denn der war ja 2-mal vor Ort, 2-mal hat er sein Prestigeprojekt persönlich besucht und so standen die Kameras rum und hatten nichts zu tun und wir sind einfach immer diese Rolltreppe runtergefahren, war so ein großer Spaß. Ich glaube, braucht man manchmal auch ein bisschen um nichts in so einem Motivationsloch zu fallen, denn gerade dieses Projekt von dem unser Innenminister wie selbstverständlich mehrfach gesagt hat, dass er es nicht nur flächendeckend wünscht, sondern auch, obwohl er da schon ging, also nur noch zu sagen am Tieren der Minister war, auch mit den Ländern ins Gespräch kommen will, um nicht nur für den Bund, sondern auch für die Länder flächendeckend einzuführen. Ich finde auch die politische Kommunikation hier, dass er also die normale Videoüberwachung mit einer Gesichtserkennung und Personenüberwachung gleichsetzt, die angeblich von der Bevölkerung gefordert wurde, mit den Streben gewandelt. Ich glaube, es war mein allererster Kongress, wo ich mal hier saß, mit Starbucks und wir die erste große Biometriestudie analysieren konnten und deren die inneren Ränden schwächen dieser biometrischen Technik in Bezug auf die Erkennung. Aber da gab es noch eine Informationspolitik. Wir konnten die Studie immerhin lesen. Wir konnten die Zahlen sehen, auch wenn einige Anhänge nicht veröffentlicht wurden. Jetzt war so, dass sich der Minister nach ein paar Monaten dahin stellt um die 70% und mehr. Es gibt keine Zahlen. Er hat offenkundig, wenn man sich die Statements, die er da gemacht hat, ansieht, auch viele technisch nicht so verstanden und sich auch keine Mühe gegeben hat, konkret darzustellen und Tesse zu kritisieren. Es wird sehr viel härter, wenn man die Ergebnisse der Studie nicht bekommt. Und die Informationsfreiheitsanfragen liefen monatelang, bis es Innenministerium 10 Kilo Papier schickte, wo aber die wesentlichen Elemente, die wir eigentlich wissen wollten und übrigens auch die Kosten, mal wieder verschwiegen werden. Das ist natürlich auch eine Diskursverweigerung, wenn man die Daten, die dort tatsächlich erfasst werden, nicht nachvollziehen kann, sondern nur so ein paar Zahlen kriegt, die der Minister oder in der Pressemitteilung des Innenministeriums dann angibt. Wir müssen fordern, dass wir die Daten sehen. Sonst kommen wir in so eine komische Trump-Propaganda-Zeit, wo die immer irgendwann sagen wir haben, dass wir uns nicht mehr in den Regen geholfen haben, und wo sich versuchen, mit den obskusten Argumenten die IFG-Anfragen zu blockieren, einmal nationale Sicherheit. Hier auch noch fiskalische Interessen, denn da sind ja auch Privatfirmen dabei. Ich denke, da müssen wir uns auch strukturell wehren gegen diese Verweigerung. Ich glaube, ich wirke etwas verbiestert, aber ich glaube, dass wir uns nicht mehr verbiestert. Diese Verweigerungshaltung, wir sagen euch nichts mehr und versuchen, die etablierten Methoden der öffentlichen Wahrheitsfindung und Meinungsfindung zu unterbinden, war von dieses Jahr eines der Großprojekte davon ab den Abschluss, nämlich der NSA-Untersuchsausschuss. Wir hatten gestern nur weil wir zu wenig mitbekommen haben, die EID-Gesetz. Kommt auch noch. Mach weiter, als hätte ich nichts gesagt. Dieser BND-Untersuchsausschuss, also das NSA-BND-Untersuchsausschuss, zeichnet sich dadurch aus, dass sie primär nicht so viel gesagt haben und alles, was irgendwie da sinnvoll bewegt wurde, war im Wesentlichen aus Medien berichten, also sprich als Notendokumenten. Ich glaube, dieser Stil möglichst zu mauern, möglichst nicht zu sagen, möglichst nicht zu verweigern. Der zieht sich jetzt gerade auch so beim Innenministerium durch alle möglichen anderen Dinge durch. Naja, zwei Sachen dazu vielleicht. Zum einen ich empfehle jedem die Lektüre dieses riesenlangen Ausschussberichtes und bei Netzpolitik gibt es auch eine ungeschwärzte Variante. Zum einen weil die Fakten tatsächlich ziemlich akkurat zusammengetragen sind. Zwar nicht in allem nachvollziehbar war ja, auf einige verwiesen wird, was geheim ist, aber dennoch ist es, denke ich, eine gute Grundlage, um sich zu informieren. Und zum anderen glaube ich auch die Protokolle, die haben und auch, wie man jetzt sieht, hier das Bild von Merkel-Erzeugungen haben natürlich dafür gesorgt, dass er trotzdem obwohl es so lange lief, noch eine Aufmerksamkeit gab. Wir sollten uns glauben und das hat Hans-Christian Schröble gestern aus erdeutlicher macht aus meiner Sicht nicht damit abfinden, dass er letztlich Konsequenzen los bleibt und dass sowohl die Sozialdemokraten wie auch die Christenunion sich hinstellen und einfach sagen, Massenüberwachung ist ja nicht. Also ich denke da sollten wir nach wie vor gegenhalten und ich will ein Beispiel erzählen in dem Zusammenhang womit es noch deutlicher wurde, denn eine Folge der Snowden-Veröffentlichung und der Massenüberwachung ist ja auch dass es Fälle gibt vor dem europäischen Menschengerichtshof. Die wurden zusammengefasst in mehrere und eine der Beschwerdeführer und was mir auffiel an der, da gab es eine mündliche Anhörung, was uns sehr gefreut hat. Denn damit gab es eine hohe Medienaufmerksamkeit und ich habe auch keine Zweifel, dass Gericht im Unseren Sinne entscheidet, denn Sie haben sehr viel kritische Fragen gestellt, aber was mir auffiel an der Argumentation der britischen Regierung, die dort mit einem Vertreter war und darüber gesprochen hat, wie sozusagen die Massenüberwachung gerechtfertigt ist und wie die Regeln sind, das Zugriff zum Beispiel und wie die Regeln der Genehmigungserteiligung, die haben eine ganze andere Argumentation gefahren in Bezug auf Massenüberwachung, die ganz sicherlich auch bei uns kommen wird, nämlich überhaupt nicht mehr über das Festhalten der Daten zu reden und auch über diese Heuhaufenideologie hinauszugehen, also dass man wie das aus dem US-amerikanischen Diskurs bekannt ist, dass man so alle Daten aufhäufen muss um die Nadel zu finden, sondern die haben einen Zusatz gemacht, der hat gesagt, mehrfach hat er gesagt, wir brauchen größer werdenden Haufen schon deshalb, weil wir ja auch eine Mustererkennung machen wollen, also mit den Daten sehr viel weiter arbeiten wollen, also nicht nur sozusagen, wir gehen hinaus über diese Nadel finden, das fand ich schon sehr interessant, wie offensiv die ihren Ansatz der Massenüberwachung vertreten haben. Das wird sicherlich keinen Bestand haben und zu meiner Überraschung haben wir nicht so viel Zeit. Zu deiner Überraschung haben wir nicht so viel Zeit. Da könnte man noch sehr viel mehr zu sagen, auch davon gibt es eine Aufzeichnung und man kann sich darüber informieren und wir werden auch darüber informieren, wenn es weitere Schritte gibt und der Urteil wird aber noch ein paar Monate dauern. Ich habe aber keine Zweifel, dass es zumindest teilweise gegen die europäische Menschenrechtskonvention ja einfach, also aufgrund des Gründen der Menschenrechtskonvention rechtswidrig sein wird. Eine schöne, eine schöne Illustration, was passiert, wenn die Geheimnisse so vor sich hin unbeobachtet im Dunkeln weiter wirtschaften, kam dann halt ja auch relativ bald, nämlich WannaCry. Hier sehen wir Symbolbild Intensivstation, so werden da heute die Vital-Signale von den Patienten zentral erfasst und begutachtet, ist natürlich blöd, wenn man sich da eine Kryptolocker einfängt, der nebenbei mit einem NSA-Exploit noch deine SMB-Share aufmacht und da deine Weite sich durch der Netzwerk frisst und dafür unter anderem in Deutschland sorgt, dass die Bahn anzeigen, dann nicht mehr so gut zu lesen waren. Aber Sie haben die Tafeln wieder ausgepackt, die Holztafeln? Sie haben in Frankfurt die Holztafel wieder ausgepackt und in einer wunderschönen Handschrift da hingeschrieben, der nächste Zug fährt nach und dann so schön, also es war wirklich eine ganz feine Schrift. Es war nicht alles schlecht mit WannaCry. Ärgerlich natürlich, bleiben wir nochmal bei den Krankenhäusern, angefangen hat diese oder zum ersten Mal aufgefallen, die ersten Presseberichte kamen aus Großbritannien oder zumindest erhalten mich aus Großbritannien, wo Krankenhäuser getroffen wurden, wo Krankenhäuser auf einmal wieder mit Stift und Papier oder Kreidetafel arbeiten konnten. WannaCry hat interessanterweise zugeschlagen in so was wie Krankenhäusern, so was wie Logistikunternehmen, so was wie Produktionsanlagen und die haben natürlich alle eine Gemeinsamkeit diese Softwareanwendungen und zwar, dass es sich dabei um Nischen Software handelt. Also Nischen Software bezeichne ich oder bezeichne wir Software, die in sehr spezifischen Anwendungsbereich hat, für spezifische Kunden geschrieben wird von kleinen oder mittelgroßen, wie auch immer Softwareunternehmen quasi hochindividualisierte Lösungen die für einen kleinen Anwendungsbereich geschrieben werden. Also was weiß ich, der Rechner, der an so einem MRT-Scanner hängt und die haben natürlich immer dann enorm hohe Anforderungen an den Betrieb, so eine Gelddruckmaschine wie ein MRT-Scanner die will natürlich auch jeden Tag an sein. Gleichzeitig kann man die halt einfach nicht mal eben ausschalten und jedes Update da drauf fahren. Wir haben eine geringe Kundenbasis eine hohe Betriebsrate und deswegen werden diese Geräte nicht andauernd geupdatet. Kann man auch gar nicht, weil diese Software- man natürlich auch sagen, okay, wir haben diese Software geschrieben. Wir übergeben die euch und wir sagen, betreib die bitte auf einem Windows XP und wir sind nicht in der Lage, jetzt mal eben nur, weil Windows XP End of Life ist, unsere Software zu portieren, damit ihr den MRT-Scanner auf einer anderen Ebene fahren könnt. Was ist nicht End of Life, ist End of Patches? End of Patches, also ich will einfach nur das Problem, das ist einfach da und damit kann man eben dann auch umgehen. Damit muss man umgehen. Also man kann sich jetzt nicht einfach nur hinstellen und sagen, na na na, die Krankenhäuser waren doof, die haben ihre Geräte nicht geupdatet. Interessant ist aber die Schwachstelle, die WannaCry ermöglicht hat sich so rasant zu verbreiten war ja, wie ich gerade schon kurz erwähnt habe, in diesen SMB-Shares, es war ein Zero Day, das die NSA über Jahre gehortet hat. Und wenn ich die Zeit leiste, jetzt noch richtig auf die Kette kriege, war es irgendwann seit August 2016 öffentlich bekannt, dass die Shadow Brokers der NSA die ganzen Tools gezockt hatten. Das war einfach klar. Und die haben gesagt, wir werden die jetzt versteigern oder scheibchenweise veröffentlichen. Es war völlig klar, diese, das Wissen über diese Schwachstelle und das Exploit dazu sind in den Händen anderer. Im Februar hielt Microsoft dann ein Update zurück in diese Lücke von WannaCry dieses Eternal Blue im März. Das heißt, seit März war das Update draußen und erst im April veröffentlichen die Shadow Brokers. Und da fragt man sich natürlich, okay, die Shadow Brokers konnten quasi jeden Tag veröffentlichen. Die hätten auch niemanden vorwahren müssen, dass sie veröffentlichen werden. Aber selbst die Shadow Brokers hatten offenbar irgendwie die ethische Grenze zu sagen, einen Monat nachdem Microsoft den Patch ausrollt veröffentlichen wir erstmal. Also die hatten diese moralische Grenze, dass sie dieses Risiko nicht eingehen wollten. Keine Ahnung, die NSA hatte diese moralische Grenze jahrelang nicht und hat nicht darauf hingeführt, dass wir überhaupt einen Patch bekommen haben. Vielleicht dazu, dass natürlich für die NSA keine moralische Grenze in den USA gibt es Regeln über die Veröffentlichung der Sicherheitslücken und wann man dem Hersteller Bescheid sagen muss, die haben natürlich ihre schriftlich festgehaltenen Regeln missachtet. Also da ist es noch deutlich mehr, finde ich, als dass man sich der ethische Fragen stellt. Die haben einfach die Regeln, die ihnen gegeben wurden, missachtet. Ergebnis ist, dass Warner Cry eigentlich nur ein Bruchteil von dem Disaster war, was die NSA über Jahre jeden Tag billigend in Kauf genommen hat. Also diese diese Disko. Ich glaube, die Diskussion hat sich deswegen auch ein bisschen verändert, weil hier so viele Gesundheitsorganisationen oder Gebäude oder so betroffen waren. Das war von Anfang an klar, schon als es in Großbritannien losging. Und dass es unmittelbar auf Leben und Gesundheit von Menschen Auswirkungen haben kann. Hat die Debatte aus meiner Sicht verändert. Aber dann ist es mir auf jeden Fall, es ging auch sehr viel um Geld. Es hat nicht lange gedauert, bis sie die Schaden verwendet haben. So letztens habe ich gelesen 4,8 Milliarden wenn man den National betrachtet. Es war interessant, dass sich so ein bisschen die Berichterstattung da verändert hat. Interessant daran ist auch, dass diese Diskussion uns jetzt auch ins Haus steht. Die Medienberichterstattung geht ja gerade schon los. Zum Thema ZITIS in Deutschland. Die gibt jetzt eine gemeinsame Behörde, der mit der Sicherheit beauftragten Behörden, die das Thema und Geräte hacken soll. Und die Frage, ob diese Behörde Sicherheitslücken ankauft, wie sie damit tatsächlich umgehen wird. Also ob sie die dann halt disclose oder wie sie sich halt zum Auftrag der staatlichen Fürsorge stellen wird. Wird in den nächsten Monaten noch mal intensiver zu diskutieren sein. Wie gesagt, das geht gerade los. Also wir werden genau diese Diskussion halt in Deutschland auch haben. Was uns halt dazu bringt, was uns auch dieses Jahr sehr viel beschäftigt hat. Unter anderem auch wegen diverser Botnetze, die halt auf IoT-Komponenten, also Kameras und Plaster-Routern laufen, haben uns ziemlich viel beschäftigt. Da gab es diesen kleinen Vorfall bei der Telekom, die im wesentlichen Quateralschaden eines Krieges zwischen Leuten waren. Was war das von das Meingriffs-Serve? Ich habe es nicht mehr ganz im Kopf. Endlich war jedenfalls die Geräte da draußen und die sind halt unsicher. Wir haben da drauf in der Regel ziemlich alte Software. Die Hersteller kümmern sich nicht weiter drum. Die Verantwortung für diese Geräte ist unklar. Letzten Endes liegt sie halt beim Hersteller. Deswegen ist dann im Zuge von, also unter anderem auch von WannaCry die Diskussion losgegangen. Wie sieht es denn jetzt eigentlich aus mit der Verantwortung für die Geräte, für die Sicherheit? Der Telekom-Router-Ausfall hat relativ starke politische Folgen gehabt. Unter anderem auch, weil die Telekom selber damit relativ offensiv umgelassen hat, so okay, wir müssen da mal politisch was tun. Dann gab es da eine längere Reihe von Einladungen, Anhörungen, Sitzungen, sowohl vom Innenministerium als auch vom Wirtschaftsministerium, an denen wir auch jeweils teilgenommen haben in unterschiedlicher Besetzung. An deren Ergebnis ist jetzt eine Arbeitsgruppe gibt. Das ist die sogenannte Arbeitsgruppe Router-TA. Die eine technische Richtlinie für Plastorouter entwerfen soll. Die wird halt vom BSI veranstaltet, findet meistens in den Räumen des Innenministeriums in Bonnstadt. Linus war da mal, Mirko geht da regelmäßig hin. Das Ziel dabei ist halt irgendwie, dass es so was ähnliches wie ein Gütesiegel geben soll für diese Plastorouter inklusive Versicherung. Dass man sagen kann, dass diese Router-Folge zumindest irgendeiner Art von technischem Standard derzeit nicht total bescheuert ist. Sehr interessant daran ist, wie stark der Widerstand dagegen ist, zum einen da verbindliche Sicherheitskriterien vorzuschreiben, zum anderen auch dagegen, überhaupt Menschen die Freiheit zu geben, ihre eigenen Router sicherzumachen. Insbesondere die Kabelnetzbetreiber, die Betreiberverein, der fällt da halt auf. Man muss schon sagen, Sabotierendes Verhalten, die sagen halt die ganze Zeit, nein, wir können um gar keinen Fall die rutsige Router selber mit Firma versehen und wir wollen auf gar keinen Fall Verantwortung dafür haben, dass die Router sicher sind und so weiter. Es wird halt eine Menge lobbyigen Sabotage betrieben, die sogar so weit geht, umgehen. Was dann so zu solchen Aussagen führte, wie sagt man so was? Unser Netz ist sicher, sagt man, die Kabelnetzbetreiber und der ganze Raum brachen schallendes Gelächter aus. Oder auch so Aussagen von... Ist halt wie unsere Rente, ist sicher eigentlich? Ja, so ungefähr dasselben. Dann gibt es halt auch so Aussagen, wir vertreten unter anderem an dieser Position das sogenannte Mindesthaltbarkeitsdatum, dass wir sagen, okay, wir wollen gerne, dass auf jedes Gerät, wo Internet drin ist, Sticker drauf, wenn es verkauft wird, da steht drauf, bis wann gibt es da für Sicherheitsupdates? Bis wann verpflichtet sich die Hersteller, Sicherheitsupdates auszuliefern? Und so ist halt so eine Position, die haben wir schon vor mehreren Jahren entwickelt, um zu sagen, wir wollen mal was machen, was so simpel ist, dass es jeder versteht. Also IT-Sicherheit so, dass man es wirklich seiner Oma erklären kann. Jeder Apfel hat ein Mindesthaltbarkeitsdatum auf der Packung, warum nicht mein Router? Und die Antwort von einigen Routerherstellern darauf, ja, aber wenn wir das raufschreiben, ist dieser Router ja nicht mehr wirtschaftlich. Weil sie dann halt einkalkulieren müssten, was es kostet, diese Dinger geupdatet zu halten. Das ist natürlich nicht nur auf Router begrenzt, dieses Problem. Diese Forderungen stellen wir für jedes Gerät, vor allem wenn man in Richtung IoT blickt, wo gerade einfach in vielen Bereichen mit einer heißen Nadel Dinge gestrickt werden, die auf den Markt geworfen werden, wo man schon am Preisschild erkennt, irgendeine Form von Nachsorge für diesen Elektroschrott, für die ganzen Bugs, die da drin sind, ist da einfach nicht eingepreist. Und die wird ja auch nicht eingepreist werden. Und aus diesem Grunde, denke ich, ist es hier ganz klar, dass wir da wirklich regulatorisch eingreifen müssen, um sicherzustellen, dass eben sowas nicht in die Welt gesetzt wird und am Ende irgendeine komische IP-Kamera irgendwie die Hälfte des Internet-Lamen legt, diese Phänomene haben wir jetzt gerade. Wir haben mit diesen IoT-Geschichten die Grenze überschritten, dass wir ernsthafte Infrastruktur-Probleme haben, weil irgendwelche Schrottgeräte da draußen stehen und sich niemand darum kümmert. Interessanterweise war dazu auch eine dieser Anhörungen, die ich da mal besucht habe im Verkehrsausschuss, weil man gemerkt hat, okay, unsere Infrastruktur hier ist offenbar in Gefahr, weil wir da zu viel Mist dran flanschen. Die Berichterstattung und auch das, was so von Journalisten so zurückkommt, wenn mal wieder irgendwas kaputt ist, da ist mal wieder irgendwas explodiert an Infrastruktur. Wenn man das mal so ein bisschen verfolgt, dann ist auch die Vorstellung der Hersteller, na ja, wenn da was kaputt ist, dann sagt uns der, der es gefunden hat, ja mal ein paar Monate vorher Bescheid und dann machen wir das halt weg. Und das ist einfach was, was sich irgendwie mal ändern muss und wo man ganz klar irgendwie daran arbeiten muss, die Unternehmen endlich mal in die Pflicht zu nehmen, weil irgendwie so eine Haftung gibt es in dem Bereich nicht. Überall sehen wir das, wenn wir draußen in die Welt uns irgendwas angucken, wenn wir ein Auto kaufen und da passiert ein Unfall, weil das Auto nicht funktioniert, dann haftet erstmal der Hersteller bei Software, haben wir das nicht, und das wird einfach immer wichtiger. Das ist eine altbekannte Weisheit. Es gibt zwei Möglichkeiten, etwas zu verkaufen, ohne jede Haftung. Das eine ist Drogen, das andere ist Software und beide Verkäufer nennen ihre Kunden User. Also interessanterweise in diesen Diskussionen haben wir, also gerade jetzt bei diesen Routergeschichten, diesen Artikel-Sachen, haben wir aber auch durchaus unerwartete Verbündete, die also auch sehen, dass die Positionen, die wir der Vertretern sehr sinnvoll sind und unterstützenswert so einer ist, sind halt tatsächlich Leute bei der Bundesnetzagentur, die halt sich auch Gedanken darüber machen, ja, so ein Internet stabil zu kriegen ist, wenn man da 10 Millionen nicht wartbare Geräte drin hat und natürlich die Leute bei den Versicherern, die halt sagen, okay, wie sollen wir so etwas versichern? Wir haben keine Ahnung, wie wir dieses Risiko kalkulieren sollen. Dann gibt es aber wieder auch noch so erstaunliche Dinge, wie, da kamen im Rahmen dieser Router-TR-Diskussion kam das Thema IPv6 auf und da meinte dann das Bundesamt für Sicherheit und Informationstechnik, ja, dazu machen wir uns noch keine Gedanken. Dann ... Machen wir schnell den nächsten. Eigentlich nur kurz um zu zeigen, dass wir ja auch weiterhin reisefreudig sind. Es gab dann auch Anhörungen im EU-Parlament zu diesen Themen einmal über den demokratischen Diskurs, also was ist da jetzt, wie begegnen wir als Gesellschaft dem Phänomen, dass der Diskurs irgendwie offenbar so ein bisschen entgleist, was sind da irgendwie vernünftige maßvolle Möglichkeiten zu reagieren. Und natürlich auch genau das Thema, was wir gerade hatten, WannaCry, was ist daraus zu lernen, gerade im Bereich vom Internet of Things und natürlich auch für diese Haftung. Also auch im EU-Parlament beschäftigt man sich mit diesen Themen und irgendwie gerade so, nachdem der Bundestag ja und die Bundesregierung irgendwie mit diesem demokratischen Prinzipien irgendwie immer mehr brechen, war das eigentlich mal ganz angenehm im Parlament zu sprechen, dass sich wirklich viel Zeit nimmt, viele Sachverständige einlädt und da wirklich mal interessiert war, das war irgendwie mal eine ganz angenehme Erfahrung. Also es ist natürlich für uns auch mal schwierig, glaube ich, wir machen manchmal so Ausschüssen oder zur Anhörung zu fahren, aber es ist natürlich trotzdem schwieriger, wenn man sich im Bundestag oder Landtag in der Regel besser auskennt und ja, da ist man mit den EU-Parlamenten so vertraut, aber zumindest vom Inhalt her, so, wenn ich da war, Linus kann ich glaube ich auch bestätigen, waren oft nicht so eine ritualisierten Anhörung, sondern meine Eindruck war, dass dort mehr Interesse war und wirklich so Dialog. Aber gut, insgesamt kann man eigentlich sagen, dass Europa relativ positiv, zumindest in manchen Bereichen auf die Regulierung im Netzpolitischen und digitalpolitischen Bereich wirkt, hat zumindest in manchen Aspekten. Wir haben gehört, einige, das noch im Fluss wäre am ersten Tag den E-Privacy-Verordnungsvortrag gehört, den ich jedem nur anraten kann oder sich mit den Fragen der Datenschutzgrundverordnung mal beschäftigt, also zumindest hat sich das verändert, dass wir immer nur saugenvoll nach Brüssel gucken, sondern da gibt es tatsächlich ja einige Regelungen, die über die Europäer kommen werden, die zumindest nicht unbedingt immer nur in Deutschland, aber auch europaweit einige verbessern. Da sollten wir uns dafür einsetzen, dass die gestiegene Bedeutung von Brüsseler Regelungen auch in unserem Sinne gestaltet werden. Dazu gibt es ja auch noch die E-Drie, wo der CCC seit, was ich, zwei Jahrzehnten oder so Mitglied ist, also European Digital Rights, die der außen strukturierter Arbeit machen im Sinne einer Lobbyarbeit, also die Köhle bei der Gelegenheit auch gleich nochmal als stets und auch permanent aktiver NGO, die wir unterstützen sollten, nennen. Da passt ja der europäische Zusammenhang oder zum nächsten Thema? Also eine der Dinge, wo wir sagen müssen, okay, gut, dass es doch Europa gibt, ist halt dieses Problem der Netzneutralität, mit dem wir dieses Jahr auch relativ viel zu tun hatten, anfangs halt mit dem Stream-on-Terief der Telekom. Ja, wir haben es da natürlich, also insbesondere im Bereich der Netzneutralität, die wir auseinandergesetzt haben. Wir haben in Europa eine schöne Situation, dass hier eine Netzneutralität per EU-Verordnung vorgeschrieben ist, eine Verordnung ist, wenn ich das jetzt richtig verstehe, sofort umzusetzen, das Gehältnisrecht in den einzelnen Ländern. Das heißt so was wie in den USA, dass da plötzlich jemand die FCC neu besetzt und ein Gremium von fünf Personen mal schnell alles wieder umwirft, droht uns in Deutschland nicht. Wir stehen da im Moment noch ganz gut. Natürlich ist trotzdem diese Abschaffung der Netzneutralität in den USA ein Dammbruch, der auf die eine Weise oder die andere uns in Europa auch Kopfschmerzen machen wird und sei es nur, dass europäische Anbieter eben in den USA benachteiligt werden. Und was vielen Leuten nicht so ganz klar ist, ist, dass die Bevorteiligung einiger immer auch die Benachteiligung anderer ist. Das heißt, dass die Bevorteiligung vom Stream on nicht anders als wenn irgendwo ein Voice of IP-Dienst geblockt wird oder so. Das ist ein bitter süßes Gift, was uns die Telekom da anbietet mit diesem Stream on. Und gleichzeitig steht man wirklich vor der Frage, wenn sie doch in der Lage sind, den Leuten unbegrenztes Streaming einfach zu geben mit den Preisen, die sie da zahlen. Und wenn eh die einzigen Leute doch die großen Streaming-Dienste sind, dann verstehe ich einfach nicht, warum dieses Inklusivvolumen dann nicht einfach für alle da in zur Verfügung stehen kann, so wie man sie nutzen möchte. Wir werden uns in diesem Themenfeld weiter engagieren und zwar sehr bald, weil die Bundesnetzagentur sich gerade nicht nur um Telekom Stream on, sondern auch um Vodafone Pass, also ein weiterer Rating-Angebot kümmert. Wir werden da eine Stellungnahme abgeben, die wir wie immer auch veröffentlichen werden, wahrscheinlich so Mitte Ende Januar. Wir wollen uns da auch positionieren. Ich glaube, dass die FCC-Entscheidung in den USA durchaus nochmal ein interessanter europäischer Debatt stimulieren kann, denn sich sozusagen anders zu positionieren, sieht ja so aus, als wenn in Europa immerhin möglich wäre. Es scheint mir wichtig, die Bundesnetzagentur hinsichtlich der EU-Richtlinien zu Netzentralität auf Stream on und Vodafone Pass gelegt. Da werden wir uns auch beteiligen in der Stellungnahme. Ein weiteres Thema, wo man ein bisschen da Brüssel gucken muss, wo aus Brüssel auch mal was Gutes kam, ist tatsächlich die Vorratsdatenspeicherung. Und zwar ist es so, wir haben in Deutschland aktuell ein Gesetz, was die Vorratsdatenspeicherung geregelt. Dieses Gesetz wird nicht ausgeübt dank eines Urteils des Oberverwaltungsgerichts im Nordrhein-Westfalen, was sich auf wiederum ein Entscheidungen des Europäischen Gerichtshofs bezieht, der gesagt hat, dass eine anlasslose Speicherung von Vorratsdaten nicht zulässig ist. Damit deckt sich das Ganze mit unserer Vorstellung und auch dem, was Gerichte zuvor schon mal entschieden haben, auch in Deutschland. Also der Punkt ist, dass dieses ganze zeitliche Ablauf, den muss man sich irgendwie noch mal bewusst machen, vollkommen absurd ist. 2015 wollte dann unsere Regierung noch mal einen neuen Anlauf starten und eine Vorratsdatenspeicherung einführen. Es gab ein Gesetzgebungsverfahren, das Gesetz wurde unterschrieben, sollte in Kraft treten am 1. Juli diesen Jahres oder ist sogar in Kraft getreten am 1. Juli diesen Jahres und dann gab es letztes Jahr, also knapp ein Jahr später, kurz vor eines Jahres, ich glaube, wir haben es im Jahresblick gerade noch erwähnen können, eine Entscheidung des Europäischen Gerichtshofs, dass eben eine anlasslose Speicherung von Vorratsdatenspeicherung nicht zulässig ist. Daraufhin hat sich unsere Kampen, wurde halt relativ klar, Deutschland ist der einzige Staat in Europa, der auch verhält, weil wir eben keine Vorratsdatenspeicherung haben. Da hat sich unsere Bundesregierung wohl gedacht, das geht so nicht. Das ist ein Alleinstellungsmerkmal, das können wir einfach nicht zulassen und dann auch noch Europa Recht einhalten. Wir machen das trotzdem. Und so hat man versucht tatsächlich am 1. Juli die Vorratsdatenspeicherung einzuführen und woraufhin dann ich beschwerden gab, es ist auch eine einzweilige Rechtsschutz abgelädt worden vom Oberverwaltungsgericht Anfang des Jahres und letztendlich hat man sich dann aber entschieden erst mal zu sagen, dass es nicht vereinbar ist und die Bundesnetzagentur hat dann gesagt, ja gut, dann dürfen wir das nicht machen und damit ist zwar dieses Gesetz noch da und ich glaube, da müssen wir ganz dringend nochmal dran arbeiten, weil das ist ein Gesetz, was gegen die EU-Grundrechte verstößt und die Grundrechte sind die EU-Verfassung und das ist eigentlich kein Spaß, sondern die Regeln mal wirklich, dass wie ein menschliches Zusammenleben in einer europäischen Union irgendwie möglich sein soll und richten sich ganz stark an ethische Grundlagen und moralische Grundlagen, die eigentlich so eine Entfaltung der Persönlichkeit und des Menschseins überhaupt möglich machen und wir müssen da nochmal dran arbeiten aber wie gesagt, die Bundesnetzagentur hat erstmal gesagt, ja, wenn das jetzt so ist lassen wir das erstmal mit der Vorratsdatenspeicherung somit haben wir dank der EU im Moment keine Vorratsdatenspeicherung in Deutschland. Ja, jetzt haben wir bei den im ersten Teil relativ viele Sachen so, die so ziemlich viel so mit Anhörungen und so juristischem Vorgehen und so zu tun hatten und öffentlichen Stellungnahmen und natürlich, wir sind ja der Chaoscomputerclub es heißt, es geht auch um den Spaß mit dem Gerät. Jetzt kommt der lustige Teil und da hatten wir dieses Jahr so einige Dinge und da wollen wir ein bisschen grundsätzlich anhand dieser Beispiele darüber reden wie geht man eigentlich mit Sicherheitslücken um und das wollen wir vielleicht mal so an 2-3 Beispielen durchiterieren, die so ein bisschen repräsentativ für dieses Jahr stehen wir hatten noch mehr Sachen wir haben jetzt nicht alle reingenommen sondern nur so die, wo man halt mal so ein bisschen zeigen kann, wie unterschiedlich der Umgang und ich dachte so 2017 müssen wir nicht mehr drüber reden aber offensichtlich müssen wir es dann doch immer noch Also häufig passiert das dann so, ich mach den mal ganz kurz zurück passiert das dann so, dass ich jemand an einen von uns wendet dieses Jahr habe ich das öfter mal übernommen und was ich dann eigentlich mache, ist einfach mal so bei dem Hersteller, wenn wir mich melden und sagen Hallo Linus Neumann, Chaoscomputerclub und die Antworten sind da schon sehr unterschiedlich also die schönste Antwort dieses Jahr war Scheiße, ich hab immer gehofft, dass ich so ein Anruf nie kriege aber das war dann auch zugegebenermaßen macht es wirklich am meisten Spaß bei diesen Anrufen, wenn man dann noch den Satz sagt Sie können sich hier wahrscheinlich denken warum ich anrufe Also mir ist mal passiert, dass ich die Freizeit hab wie weiß ich denn das, das stimmt also Sie können mich ja irgendjemand anrufen das ist unterschiedlich Sie ihr Angehängenexploit, dann wissen Sie das also wir haben dann es gibt häufig also diese Situation dass man dann irgendwie sagt, Sie haben da glaube ich ein Problem und wir würden Ihnen gerne helfen das Problem wieder los zu werden schön war irgendwie so ein Elastic Search Cluster in dem irgendwie alle Car Sharing Fahrrad Sharing, hast du nicht gesehen Fahrzeuge in Echtzeit zu tracken waren das wird dann geschlossen die Karrenzzeit die wir da gegeben haben war relativ eng und die wurde auch eingehalten oder auch hier so ein Fall ein System in dem so Bürgerämter ihre Termine verwalten da sieht man also irgendwie der Kunde Schmidt hatte dann und dann ein Termin und dann hier im Asylkalender war dann eben ein sonstiges Anliegen eines Asylbewerbers wir haben dann netterweise mal geschwärzt wir haben das geschwärzt aber nur um zu zeigen hier ist dann nochmal die Datenbank dazu die wir hatten hier muss ich einfach sagen das war natürlich etwas wo wir einerseits sehr schockiert waren, weil diese Schwachstelle offenbar auch schon sehr lange da war andererseits hat der Hersteller hier den Fix innerhalb von 2 Minuten vorgenommen weil ich im Prinzip also es war eine SQL Injection und ich sagte gehen Sie doch mal bitte in die und die PAP-Datei dann nehmen Sie einen PAP-Datei entgegen und den geben Sie offenbar einfach weiter in die Datenbank und der Parameter heißt so und so und der Hersteller sagte ich sehe die Zeile gerade vor mir fuck wir machen überall sonst Prepared Statements ich habe keine Ahnung wie mir das passieren konnte danke für den Anruf es ist jetzt in dieser Sekunde gefixt also noch am Telefon da muss man dann auch einfach mal sagen so das war ja dann auch in so einer Situation sieht man dann eben auch davon ab und dem Menschen die Hölle heißt zu machen in anderen Situationen ist das dann vielleicht anders bewertet worden also was wir ängst vergessen haben war zu fragen was die Datenbank-Datenbank-Table-Kinder-Regel bedeutet ja in anderen Situationen ist es leider ein bisschen anders wir hatten das letztes Jahr das stammt jetzt vom letzten Jahr wir hatten zwar auch ein Jahresrückblick die Bahn hat ja so WLAN gemacht man glaubt das nicht und die wollen jetzt eigentlich alles digitalisieren und dazu gehört, dass man jetzt im Internet beim Zug fahren auch ins Internet kommt so wie in anderen Staaten auf der Welt auch und dazu hat die Bahn eingekauft und zwar haben die gesagt naja gut wir müssen WLAN machen das muss jetzt ganz schnell gehen ich hab dann am Rande erfahren das ist dem zuständigen Vorstand mal bei einer Pressekonferenz rausgerutscht da kann man ja irgendwie WLAN machen und dann ist man halt losgegangen und ist einkaufen gegangen da gibt es nur viermal Alkomera die sitzt oben in Skandinavien und ist Weltmarktführer und da dachte man bei denen kauft man mal ein es gibt wohl auf dem Markt drei Hersteller und da war ja damals das Problem dass man auf die Landingpage über einen Javascript so ein bisschen Daten abgreifen konnte und dann feststellen konnte, dass jemand im Zug sitzt wo sich dazu befindet welche MAC-Adresse das Gerät hat welche API-Adresse man gerade hat in welche Funktionen man eingebucht ist bla bla bla also eine ganze Menge Informationen die man da so rauslutschen konnte das haben sie da weggemacht indem sie diese JSNP Endpoints dazu gemacht haben naja das war dann auch erstmal gut bis dieses Jahr und da haben wir dann irgendwie festgestellt wir haben das wieder aufgemacht aber jetzt also wirklich ganz stumpf das war einfach wieder offen dann haben wir das Javascript wieder ausgepackt haben dann diesmal eine Pressemeldung auf ccc.de hinterher gepackt woraufhin es dann hieß ja wir haben es jetzt geschlossen zwei Tage später kamen dann von uns die nächste nein habt ihr nicht, ihr habt nämlich neben diesen JSNP Endpoints zu dem Zeitpunkt noch gar nicht gewusst und weswegen sie dann auch an der Stelle wieder angreifbar war also es ist eigentlich so ein hinterher Rennen bei einem Projekt was irgendwie mehrere hundert nee stimmt gar nicht, also über 100 Millionen Euro war das 110 Millionen Euro also die Bahn hat vor 110 Millionen Euro dieses Projekt eingekauft bei einem Weltmarktführer und es nicht hinbekommen dieses Problem dauerhaft zu beheben da gab es noch ein bisschen Kommunikation der Hersteller dieser Lösung der fand das eigentlich der fand das eigentlich ganz ganz okay, dass das so ist weil alles andere macht es technisch kompliziert und die wollten diese Lösung eigentlich so wiederlassen also sie wollten das einfach wieder aufmachen weil es einfacher ist das entsprechend einfach aufzumachen und zu sagen naja gut was interessieren uns unsere fahrene Kunden Hauptsache die Technik funktioniert und bei dieser ganzen Geschichte und da gab es noch ein bisschen Kritik und wir haben eben nicht die Bahn darüber vorher informiert und das ist etwas was man so beobachtet, Unternehmen verlassen sich darauf zunehmend darauf dass sie mehrere Monate bevor eine Sicherheitslücke veröffentlicht wird sich darauf verlassen können dass sie auch informiert werden und genug Zeit haben die zu schließen und wenn man mal so die Berichterstattung es gibt ja diese Geschichte mit den Banking-Apps da gab es nämlich genau den gleichen Vorwurf das ist eine Lücke die vor zwei Jahren schon mal berichtet worden ist und da haben wir dann auch ein paar Berichterstattungen für Banking-Apps mit den Apps für das Banking selber auf dem gleichen Gerät zu haben und da hat dann irgendein Pressemensch von einer Bank gesagt wir bewundern uns, dass man uns da nicht mindestens zwei Monate vorher informiert hat nee, zwei Jahre vorher und ihr habt es nicht auf die Reihe bekommen und die Bahn wusste das auch und da gibt es einfach faktisch keinen Grund die darüber zu informieren weil die haben das einfach richtig zu machen und dann macht man das richtig und wenn man das nicht kann dann schaltet man es einfach nicht am ersten Tag an sondern dann schiebt man es ein Monat oder zwei und da muss man halt seinem Vorstand erklären warum es nicht geht und ich glaube an vielen Stellen das erste Beispiel von diesem Portal ist es gut wirklich eine Responsible Disclosure zu machen und erstmal zu reden und zu sagen macht das mal ordentlich aber in dem Fall ist es kein enorm großes Risiko dass jetzt Massen auf Daten abhanden kommen dass Nutzer sofort exposed werden und extrem gefährdet sind und da stecken einfach die Unternehmensinteressen hinter den Nutzerinteressen müssen einfach zurückstecken ja, ich hatte ja gerade schon genannt ich hatte ja gerade schon gesagt dass wir teilweise diese Kommunikation für Leute machen die sich an uns wenden die sagen können ihr uns dabei helfen manchmal sagt dann auch vielleicht jemand es könnte sein, dass ich da vielleicht doch irgendwie also es wäre mir lieber wenn da einfach der Club mit dabei ist wenn ich mit dem Hersteller rede wer weiß wie die reagieren oder so und dass wir da so ein bisschen halt einfach bei der Kommunikation unterstützen, das waren eben auch insbesondere bei den Beispielen, die ich gerade genannt habe die wurden halt aus dem Club heraus generiert und an uns herangetragen und wir haben da eben unterstützt und das machen wir natürlich sehr gerne und es begab sich dann das auch aus dem Bereich von Jugendhackt so die Bitte an mich herankamen so gesagt wurde ja irgendwie so einige Leute bei Jugendhackt und so die haben gehackt die haben gehackt und die bräuchten jetzt vielleicht auch mal kurzen Rat aber auch dass solche Situationen nicht immer so besonders gut ausgehen wenn wir da an den StudiVz Hack von vor ein paar Jahren zurück blicken und habe ich dann mal einen kleinen Gasbeitrag für Jugendhack geschrieben in dem ich halt einfach so formuliere was denn da so was wir so empfehlen im Umgang mit so Herstellern und haben wir auch da unsere Unterstützung angeboten und da bin ich auch schon im Bundesgebiet gewesen und habe dann da ein paar Brändefeuer ausgetreten wo eben sehr junge Menschen schon sehr große Probleme gefunden haben und wir dann dafür gesorgt haben dass auch die beseitigt wurden und das macht eigentlich immer sehr viel Spaß aber um nochmal kurz zu sagen es macht allen Beteiligten immer Spaß die Hersteller können das halt nicht so gut zeigen die freuen sich mehr nach ihnen nein aber ich muss da ganz ehrlich sagen die Hersteller klar, niemand lässt sich gerne irgendwie auf die Füße treten aber da kommen dann auch gerade für die jungen Menschen kommt dann auch mal gerne am Ende wenn man sich dann mal an einen Tisch gesetzt hat und ich sag sie wollen doch jetzt nicht etwa diesen jungen Kind hier drohen das kann ich mir doch überhaupt nicht vorstellen dass sie das gerade meint dass man die Situationen gerne auch mal so in so einem Praktikums oder Ausbildungsplatz umgedeutet und das ist doch dann echt irgendwie ganz angenehm wenn da die Leute willkommen geheißen werden aber es gibt auch andere Beispiele ja also die diese Umgang von Hersteller mit solchen Problemen ist variiert sehr stark und wollen ja hier nur so besonders hervorhebenswerte Beispiele herausstellen eins davon hatten wir auch noch dieses Jahr ja vielleicht fangen wir erstmal mit dem Vorlauf an also wir hatten ja letztes Jahr mal so ein bisschen was über einen Messenger erzählt die sichere Kommunikation Angeboten haben aber das nicht so richtig verstanden hatten was sichere Kommunikation heißt das heißt die hatten Ende zu Ende Verschlüsselung versprochen hatten einfach gar keine und es ging jetzt über das Jahr noch ein bisschen hin also ich hab mit denen danach ich hab von denen nichts mehr gehört und jetzt vor ein paar Monaten kamen die an und meinten das wäre ja alles nicht richtig was da stehen würde sie hätten ja alles neu programmiert und wir müssten das jetzt mal updaten was nicht ganz richtig ist es steht ja in Datum dran und sie können ja gerne eine Gegenvorstellung machen aber wie auch immer wir haben dann gesagt okay wir schreiben ein kleines Update dran haben dann unten drunter geschrieben naja der Hersteller sagt er hat es beseitigt dass sie der Meinung das ist Hate Speech sie müssten jetzt rechtlich vielleicht doch mal eine Klage einreichen ich hab das jetzt noch nicht weiter also bisher kam noch nichts ich bin mal gespannt wie sich das weiter entwickelt in dem Zuge haben sie sich aber Hilfe geholt fachmännisch und sie sind jetzt zertifiziert und sicher und sie haben tatsächlich ein Unternehmen gefunden was ihnen bescheinigt dass es ungefähr jetzt bis August 2018 sicher ist nein lacht nicht, das ist nicht komisch nee, das ist eigentlich ziemlich bitter wir haben halt den Namen des Ausstellungsunternehmens mal geschwärzt weil wir uns dachten so ja, vielleicht kann man es raten aber wir haben es mal geschwärzt weil wir dachten uns naja ich finde jemand müsste das vortragen weil man nicht richtig lesen kann es kann man sich ja googeln die bewerben ja dieses Zertifikat sehr stolz für das Unternehmen hat er sich offenbar ja auch nichts vorzuwerfen ich finde das sehr, also wenn am ende ein Zertifikat ist, dann ist auch klar wie die Beauftragung lautete und das ist der also aus diesem Grunde lehnen wir Zertifizierung ja auch grundsätzlich ab und das ist wirklich es gab dieses Geschäftsmodell früher schon mal das hieß Ablasshandel im Mittelalter hat man dafür bei wenigstens noch so eine schöne handgemalte Urkunde bekommen heutzutage sieht der Hersteller das nicht mal mehr ein sich irgendwie um die Details seines Word Processing zu kümmern da überschüssige Punkte zu entfernen und wir haben ja noch versucht ein schönes illustratives Beispiel man hat so ein bisschen das Gefühl die zuständigen Leute sind mal auf dem Kongress unterwegs gewesen und haben eigentlich grundsätzlich aber man muss sagen vielleicht hätte der Hersteller das günstiger haben können weil dieses Sticker liegen hier teilweise aus die kann man einfach mitnehmen und dann drauf kleben das war uns gratis gegeben ja ja kann man nochmal darauf zurück weil ich vorhin schon einen war weil ich mir nicht mehr bewusst war dass wir da noch eine extra Folie hatten wir haben auch eine Stellungnahme abgegeben zum IID gesetzt die Identitätsnachweis der auf dem Chip in der Ausweiskarte enthalten ist ausweislich den Zahlen die da erhoben werden haben sehr wenige Bürger daran und ein Interesse sehr viele haben gar nicht aktiviert und noch für weniger nutzend und gibt auch sehr weniger Angebote und entsprechend hatte die große Koalition die Bahn brechen die Idee da müssen wir noch irgendwer tun mit diesem teuren Totenpferd und was macht man, man macht die IID verpflichtend wir können das tote Pferd nicht reiten aber vielleicht können wir es verpflichtend zu reiten ja, vielleicht können wir die Leute verpflichtend zu essen man hatte also der Beschlussfahrt, der ist jetzt auch gesetzt geworden, dass man auf den Mälderämtern nicht mehr selber entscheiden kann ob diese IID deaktiviert ist oder aktiviert man kann auch diesen Status nicht mehr ändern der ist jetzt immer bei der Ausgabe aktiviert natürlich sage ich euch jemand voraus das ist ein Vogelfühl es wird trotzdem niemand nutzen man kann sich sehr genau ansehen es gibt doch keinen Anwendungsfall so ist das Sie haben natürlich in dem Gesetz auch versucht die Anwenderseite ein bisschen zu incentivieren indem man den Prozess wie man daran teilnehmen kann Angebote für die IID zu machen etwas erleichtert, aber das ist gar nicht worüber ich dabei eigentlich reden wollte das war eigentlich die Überleitung zum nächsten Thema der große Klops in diesem Gesetz war bei der Einführung der biometrischen Erfassung wurde uns ja hoch und heilig versprochen dass diese Daten nicht zentral gesammelt werden da steht auch ein Passgesetz drin es gibt keine zentrale biometrische Datenbank das war aber natürlich jetzt mit der Zeit ein Problem geworden vor allem wenn man am Südkreuz automatisierte Gesichtserkennung machen möchte und deswegen staunten wir nicht schlecht als wir diesen Gesetzentwurf lasen unterdrinnen dann fanden das alle Geheimdienste, alle Polizei und der Zollverhandlungsdienst in einem automatisierten Verfahren diese biometrischen Daten abrufen dürfen zentral es ist natürlich nicht mal eine Debatte wert gewesen ich fand es sehr interessant es gab eine kurze Verzögerung in diesem Gesetzgebungsverfahren und was dann rauskam oder war noch eine Verschärfung dieser Situation natürlich gab es von allen die dort vertreten waren und die sich dieser Problematik des automatisierten Abrufs der Biometrie die hatten gewidmet haben, auch Kritik aber keine Form von Reaktionen die Sozen und die Christen Union waren sich eilig und damit war das klar wir haben diesen automatisierten Zugriff und die Protokollierung findet auf der Seite der Zugreifenden statt und es wird auch sehr schwierig sein überhaupt zu kontrollieren wer der Zugriff eine Schattenbiometriedatenbank ist sehr wohl möglich und würde nicht mal protokolliert werden also zentral Zugreifbar machen schon aber jetzt noch zentral loggen wer da alles reinkommt das wäre echt ein bisschen zu viel Zentralisierung das kann man dann lieber eigenverantwortliche loggen wenn man dann sieht wir wollen hier diese Biometrie er sagt ja nicht Biometrie, er sagt immer Videoüberwachung wir wollen die Flächendecken dann kriegt man natürlich schon echt das Gruseln ja, eines dieser Dinge in diesem EID gesetzt, die hier oben drauf stand wir möchten, dass diese EID möglichst weitgehend benutzbar wird von Menschen und wie die uns schon sagte wir hatten da eigentlich bisher noch keine wirkliche Anwendung für gefunden und dieser Chip da gibt es schon allen Personaldokumenten drinnen und es gibt ja schon seit mehreren Jahren die Frage wie kriegt man diesen Chip da eigentlich tot ja, ich würde vorher noch kurz zu einer Sätze sagen, es gibt noch eine andere Geschichte wo es plötzlich um zentrale Datenbanken geht und ist ja das Problem, nicht jeder braucht jetzt gerade einen neuen Personalausweis weil die laufen ja eine Zeit lang aber es gibt die Reisepässe und dieses Jahr noch was ganz deutlich geändert was auch der Gesetzgebung widerspricht und zwar betrifft das den Reisepass und zwar ist Anfang April das war der 7. April spontan mal der EU Grenzkodex geändert worden und da ist aufgenommen worden dass beim Verlassen und Betreten des Schengenraums grundsätzlich die biometrischen Daten aus den Dokumenten gelesen werden sollen und müssen und gegen zentrale Datenbanken abgeglichen werden ob da den Verhandlungsaufrufe drin sind natürlich um Terrorismus zu verhindern was das bedeutet ist, dass diese Daten abgerufen, von den Dokumenten abgerufen und zentral irgendwohin gesendet werden in den entsprechenden Staaten allerdings sieht das deutsche Gesetz oder das deutsche Recht an der Stelle vor, dass diese Daten ausschließlich zur Überprüfung der Gültigkeit und der Zuordnung nicht ein dass das mein Ausweis ist, also der Persönlichkeit gestattet sind das heißt, das ist ein ganz klarer Recht Druck weswegen wir uns eigentlich ein bisschen dazu gezwungen gesehen haben auch direkt an diesem Tag nochmal zu erklären es gibt Möglichkeiten diesen Chip zu deaktivieren das ist vom Hersteller nicht vorgesehen aber es gibt sehr handliche Geräte zu kaufen ich habe hier mal was mitgebracht es gibt Hersteller auf dem Markt auch deutsche Hersteller, die sowas produzieren das ist ein sehr geignes Gerät wirklich speziell um Ausweise zu deaktivieren das gibt es auch ein groß als Vierfach-Einrichtung fürs Kochfeld ich habe die Geräte auch schon gesehen also für Hackerspaces mit Wandaufhängung es ist quasi die Mobile Version man will ja auch nicht immer mit so einem Herd wenn man so etwas sucht ich brauche ein Reisepass aber ich muss das erst mal anschließen dass das in Saal 1 nicht geht seht ihr, wenn das Licht ausgeht wir können damit nämlich auch mit Sicherheit zeigen dass im Gegensatz zu dem den wir niemand raten wollen in die Mikrowelle zu legen hier keine Brandlöcher entstehen nicht in die Mikrowelle zu legen gibt es Brandlöcher wahrscheinlich warte mal diese Induktionskochfelder ich weiß nicht ob das Ding das macht da stand irgendwas von 2000 Watt drauf das ist sehr experimentell eigentlich muss man das nur einsteigen und ich stelle das mal auf Maximum das sollte reichen der Krach ist normal und alles was man eigentlich machen muss es geht auch relativ zügig hier so ein bisschen gut rühren magisch und dann ist der eigentlich gut durch sieht noch aus wie vorher noch nur nicht mehr elektronisch da geht es zu der Reihe digitale Mündigkeit leider hilft das aber natürlich nicht gegen den automatisierten Abruf denn die werden ja nicht von dem Chip abgerufen aber möglicherweise da wäre ja vielleicht in Zukunft noch andere Maßnahmen von Thomas de Maizière zu erwarten haben so ein Minister bleibt obwohl soll Joachim Herrmann werden oh Gott wir wollen doch hier mal ein bisschen gute Laude verbreiten dann gab es noch ein Thema was uns in Deutschland dieses Jahr beschäftigt hat natürlich den G20 Gipfel und da gerät dann auch der Chaos Computer Club so an dem Punkt wo man sagt okay es gibt irgendwie, wir sind hier ein Hackerverein und wir haben unsere Themen, wir haben unsere Interessen und wir haben unseren Spaß und wo kommen wir an dem Punkt was wir als Club noch machen oder was Leute aus dem Club-Umfeld mal machen und ich denke gerade da wenn es in dieses allgemein politische Engagement geht da sieht man dann eben auch dass wir unterschiedliche Strömungen im Club haben so dass sich da eben auch, ich würde mal sagen so kleine Gruppen im Club finden die sich dann sagen wir machen etwas wir tun was das entsteht dann einfach der Berliner Club hat dann verärgert dass jetzt dieses schöne Hafengeburtstag in Hamburg stattfindet und es keinen Gipfeltreffen in Berlin gab deswegen gab es bei uns dann den G23 Gipfel eine sehr kleine Veranstaltung mit vielen feinen Leuten die sich dort vor einem Monat ungefähr vor dem G20 Gipfel in Hamburg einfach vernetzten, ausgetauscht haben sich Gedanken gemacht haben und auch beim G20 Gipfel selber ist der Chaos Computer Club sind Teile des Chaos Computer Clubs als eigenständiges Kollektiv zugegen gewesen und haben mit dem FCMC einem Medienzentrum im Stadion des FC Sankt Pauli aufgebaut und da für eine unabhängige Berichtserstattung gesorgt Möglichkeiten gegeben für Journalisten aus aller Welt dort zu arbeiten es wurde live gestreamt von unterschiedlichen Situationen eine davon seht ihr da oben und ich denke dass es auch das ist insbesondere Chaos Computer Club dieses Engagement da sind Leute wirklich auf dem Zahnfleisch gegangen und haben sich da tagelang auch eine Gefahr begeben haben sich Mühe gegeben und haben da das gemacht was wir immer noch am besten können das ist wirklich nicht toll also es ist halt nur ein Beispiel wo Leute aus dem Club übers Jahr hinweg bei verschiedensten Gelegenheiten Infrastrukturhilfe geleistet haben das Wock ist da ganz großartig auch bei Veranstaltungen sehr vieler verschiedener politischer weniger politischer Strömung worum es halt geht ist einfach die Fähigkeiten die wir haben als Hacker einzusetzen um möglich zu machen um Informationsfreiheit zu gewährleisten um Netz dahin zu bringen wo es halt notwendig ist und das denke ich auch eine der Dinge wo der CCC immer sehr gut ist und sehr viel leisten kann anstellen wo andere Organisationen meistens oder häufiger so ein bisschen hilfloser sind ja hilflose Organisationen hatten wir auch bei der Bundestagswahl 2017 da mussten wir dann noch eine Wahlsoftware uns anschauen die Vorgeschichte war eigentlich sehr interessant dieses Projekt wurde eigentlich an uns herangetragen von Karl Biermann von ZeitOnline der sagte ich habe da so einen Studenten der meint der hätte irgendwie in Hessen die Wahl gehackt kannst du, könnt ihr da mal gucken und wir haben dann gesagt ja dann gucken wir mal dann haben wir einen Taskforce zusammengestellt und dann nochmal zusammen mit Martin dieser Student Martin Schiesig aus Darmstadt haben wir uns dann zusammengesetzt und haben gesagt, alles klar was du da hast ist doch ganz fein aber bevor wir da jetzt das erste fein ding melden lass uns doch mal wirklich gucken was wir da alles noch so finden können am Ende stand dann ein 23 Seiten langer Bericht indem wir minutiös die wir da gefunden haben detailliert aufgelistet haben und eben direkt mehrere Angriffsszenarien gefunden haben um diese Software anzugreifen und sind also von dem initialen Heck wo Martin einfach mal ganz Hessen die ganzen Wahlergebnisse von Hessen zentral hätte manipulieren können haben wir dann gesagt okay das wäre aber schön wenn wir das eigentlich haben wir da also zusammen mit Thorsten noch sehr viel Thorsten Schröder noch sehr viel weitergebohrt ich mach das jetzt so ein bisschen im Schnelldurchdegang weil wir da zu gestern schon einen Vortrag gehalten haben den ihr euch bei Interesse natürlich sehr gerne auf media.cc.de der Plattform des Walk anschauen könnt weil es da natürlich auch wieder eine großartige Aufzeichnung von gibt danke das anderswo wir sind natürlich sehr stolz dass wir durch das Heck und das Update-Service und das ausspielen büsartige Updates und das umgehen verschiedener Verschlüsselungen einen Angriff durchführen konnten den wir Twellen Telekommunikationsmanipulation nennen in Anlehnung an die Quellen Telekommunikationsüberwachung mit der wir ja von der Bundesregierung seit Jahren geärgert werden und so konnten wir also schön die Stimmen werden wir in der Lage gewesen die Stimmen von sehr vielen Bundesbürgern zu manipulieren wie immer beim Chaos Computer Club sind wir an den Hersteller herangetreten Kai Biermann war uns da sehr behilflich der da die Kommunikation gemacht und wir hatten ein wahres Ton- Schaubenschießen Ton- Ton- Ton-Torben-Schießen genau das hatten wir weil wir immer wieder es war ein Hin und Her über mehrere Releases schon bevor wir veröffentlicht hatten und auch danach und dann haben wir irgendwann am 19. September gesagt okay es geht nicht mehr weiter der Hersteller schafft es nicht dass es nicht mehr so ist dass es nicht mehr so ist dass es nicht mehr so ist dass es nicht mehr so ist dass es nicht mehr so ist dass es nicht mehr so ist dass es nicht mehr so ist dass es nicht mehr so ist dass es nicht mehr so ist d.h. der Hersteller schafft es nicht das zu fixen also spenden wir einen sicheren Update-Mechanismus wie es sich gehört in open source sondern dann geht er immer um die Bundestagswald haben ja gestern im Vortag die drei auch nochmal betont D.h. wir haben hier auch hier eine Verantwortlichkeit wir wollten ja auch wählen auch im Block-Disclosure durchklingen lassen, dass wir durchaus auch unsere Kommunikation und unsere Kooperationsbereitschaft auch davon abhängig machen, wie gut wir mit einem Hersteller zusammenarbeiten können. Und ich denke, der Hersteller dieser Software hat sich hier wirklich von, hat ihr wirklich alles, nicht nur den technischen Teil falsch gemacht. Denn es war natürlich klar, dass unser kleines vergiftetes Geschenk hier ist ein sicherer Update-Mechanismus, der ist Open Source, den könnt ihr verwenden, den schenken wir euch, dass sie das nicht übernehmen würden. Stattdessen haben sie einfach gesagt, na ja, Mai, wenn die Updates das Problem sind, dann gibt es halt keine Updates mehr. Und das haben sie halt wirklich wenige Tage vor der Bundestagswahl, haben sie dann einfach alle Updates eingestellt und haben gesagt, ja, wir stellen die nicht mehr zur Verfügung. Es gibt die nur noch über den Service-Diensteister. Und bitte nehmen sie hierzu mit ihrem Betreuer-Kontakt auf. Und uns ist tatsächlich auch aufgefallen. Also wer dieses Software im Einsatz hat, der braucht offenbar sogar ein Betreuer. Die betreutes Update. Betreutes Update, ja. Aber das ist wirklich nicht, sorry, das ist einfach nicht akzeptabel, denn damit blieben wenige Tage vor der Bundestagswahl. Alle Versionen im Feld dauerhaft verwundbar. Es gibt jetzt ein Erschwerten-Update-Fahrt. Das heißt, die meisten Vulnerabilities werden eh nicht mehr gefixt. Das Problem bleibt. Und wir kriegten tatsächlich dann auch aus den Wahlämtern Anrufe von den IT-Leuten, die dann sagten, ja, in eurem Bericht steht, ihr habt die Version bis zum sonnensovielten September 2017 geprüft. Wir setzen hier eine von 2015 ein. Ist die etwa auch verwundbar? Schickt doch mal rüber. Es ist wirklich mehrmals kalt den Rücken runter und wir können also die Herstellerreaktionen hier wirklich nur Kopfschüllen zur Kenntnis nehmen. Also wir haben natürlich dieses Ding wieder verbunden mit einer Reihe von Forderungen, weil sie haben also da jedes Mal irgendwie mit der heißen Nadel hinterher zu reverse ingenieren und dann auch noch Patches selber schreiben zu müssen. Übersteigt dann doch irgendwann so ein bisschen so den Aufwand, den wir leisten können. Es ist halt klar, dass die Forderungen, die wir halt bei den Wahlcomputern hatten und die wir auch durchgedrückt haben im Sinne von der Abschaffung von Wahlcomputern, dass die auch für die Wahl, die sogenannten Wahlassistenzsysteme gelten müssen. Also dieses Primat von Geschwindigkeit, was die da postulieren, wir müssen jetzt dieses Software verwenden, damit möglichst schnell gezählt werden kann, ist natürlich halt vollkommen nach Quatsch. Also es ist halt klar, dass Sicherheit korrekte Nachvollziehbarkeit sind halt die wesentlichen Kriterien für so eine Wahlsoftware heißt halt, dass es halt keine, also kein Ding geben kann, wegen schneller ist besser. Und die Softwarekomponenten, die da am Wahrausgang in Wahlmeldung beteiligt sind, die dürfen halt auf gar kein Fall geheim sein. Sondern die müssen halt open source sein. Die müssen... Einmal. Nein, der braucht die Moderator. Ja. Und das heißt, wir brauchen also da auch nicht nur Open Source Software in den Wahlämtern, sondern im gesamten Prozess, der halt einfach da durchgeht. Und die müssen auditiert werden, wir müssen Zugang zu den Auditorgebnissen haben, die müssen mit dem QR-Code publiziert werden. Und das heißt, diese Forderungen fanden dann also insbesondere halt auch irgendwie die Forderungen nach Open Source Software in diesem Bereich, fand dann halt auch international sehr großen Anklang, weil wir da natürlich genau in dieses Problem, was in den USA halt hochgebubbelt ist, auch reingestoßen sind. Wo also klar war, die haben da das Problem noch mal sehr viel stärker. Wir haben da auch natürlich tatsächlich mit den zuständigen Ministerien geredet, weil es nun ja, wir waren halt kurz von der Bundesdass war und der böse, zaiberosse Drohte. Das heißt, da war der Gesprächsbedarf dann doch plötzlich sehr schnell und sehr groß. Und da haben wir zumindest ganz gute Hoffnungen, dass sich da jetzt halt den Prozess entwickelt bis zur nächsten Wahl, falls die nicht zu schnell stattfindet, das natürlich ja auch sein könnte, wo wir dann halt doch nochmal vielleicht ein bisschen bessere Software und entsprechend unsere Kriterien und Forderungen bekommen. Ich glaube, da haben um die 14.000 Leute unterschrieben. Das ist eine Kampagne der Free Software Foundation Europe. Wir wollen nochmal darauf hinweisen, auch ausweislich einer Antwort des Bundeswahlleiters. Es gibt ja nicht nur PC-Wahl, wir haben auch noch die Software EvoElect. Da geht natürlich diese Forderung genauso. Nur weil da noch niemand drauf geguckt hat, heißt es ja nicht, dass die wesentlich besser ist. Anhand uns, wir waren so ein bisschen unruhigt. Der ausweislich dieser IFG-Anforschein der Bundeswahlleiter auch noch gesagt, ja, aber sie haben auch Microsoft Office in der Benutzung, wo wir so dachten, oh, aber die wird wahrscheinlich als Public Code in dem Nächsten nicht kommen. Es ist halt so schade, weil es wäre problemlos möglich, die gesamte Bundestagswahl mit Open Source Software auszuzählen und auch eine saubere, durchgängige Signaturkette von jedem Wahllokaleiter bis zum Bundeswahlleiter zu haben. Und dass man einfach so was macht, wie GITPUL, Bundestagswahl 2017, auswerten.py, so ungefähr, das wäre überhaupt gar kein Problem. Und man fragt sich, warum hier in verschiedenen Hersteller unseriöser Software-Angebote so viel Geld versenkt wird und alles, was wir dafür bekommen, ist Intransparent und Angreifbarkeit. Und es wäre so eine schöne Sache, so eine Wahl einfach mal mit öffentlichen Geldern und öffentlichen Code auch transparent und erfahrbar zu machen. Es ist unverständlich, warum das nicht geschieht. Naja, also in dem Kontext kommt ja tatsächlich dann, wenn man mal nachfragt bei den Ländern die Begründung, nee, wir können solche Sachen sowieso nicht offenlegen, weil Sicherheit durch Geheimhaltung, wie man das als Informatiker halt weiß. Ja, dieser ganze Vorgang wurde von der FDP denn auch noch in einem schönen Wahlslogan umgebaut, den wir uns dann erlaubt haben, mal entweder nicht zu modifizieren, um diesen ganzen Komplexbundeswahl mal abzuschließen. Ja, wir kommen so langsam zum Schluss. Wie schon mehrfach erwähnt, haben wir im Kraus Computer Club ja eine große Menge an lokalen Gruppen, die sehr, sehr, sehr viele Veranstaltungen machen. Es sind so viele, dass wir dieses Jahr keine Folien für die einzelnen Veranstaltungen machen konnten, sondern nur so ein Star-Wars-Scroller der halt irgendwie mal versucht, irgendwie so ein bisschen irgendwie alles, was da so über das Jahr passiert ist, zusammenzufassen an CCC-organisierten, CCC-nahen Veranstaltungen. Und wir sehen halt, dass also die, also es ist keine Ansprache Vollständigkeit. Wir haben garantiert ein paar vergessen. Es gibt da halt auf eventscc.de immer die Terminansagen und der, ich lass es noch mal laufen, was so schnell ist. Die Frage hat, wo ist die nächste Veranstaltung? Wie sagt die eventscc.de? Da gibt es dann halt auch links noch zu den selbstorganisierten Veranstaltungen und so, die wir halt noch nicht überall in den Blockpusts haben. Es lohnt auf jeden Fall, diese Veranstaltungen sind in der Regel echt toll. Die sind sehr viel kleiner als der Kongress. Man kommt sehr viel leichter mit Leuten ins Gespräch und sie sind halt auch eine gute Gelegenheit, einfach den Chaos-Computer-Club auf der, in der Nahbereichebene, halt kennenzulernen. Also es nur sehr dringend ans Herz zu raten, da mal nachzugucken und mehr dahin zu gehen. Ja, damit sind wir am Schluss. Danke für die Aufmerksamkeit und wünschen euch noch einen schönen Kongress.